Internet蠕虫防范技术研究与进展

合集下载

网络蠕虫防范技术研究

网络蠕虫防范技术研究作者：王玉霞来源：《科技创新导报》 2014年第4期王玉霞(中石化淮安分公司淮安 223003)摘要：受文网络蠕虫的传播机制进行了建模分析，在此基础上进一步总结并且描述了网络蠕虫的检测技术，介绍了网络蠕虫的控制方法，着手于研究网络蠕虫的检测与防御技术。

关键词：网络蠕虫防范研究中图分类号：TP319.3 文献标识码：A 文章编号：1674-098X(2014)02（a）-0056-01网络蠕虫是常见的病毒，虽然具有一般病毒的特征，即通过网络载体进行复制传播，但与一般的病毒最主要区别是没有人为干预，能够独立运行。

网络蠕虫具有潜伏性强、传播快、生存周期长、覆盖面广、发生频率高等特点，特别是新型蠕虫与多态蠕虫的涌现，造成网络瘫痪，成为危害网络安全的重大隐患。

1 网络蠕虫的建模分析研究网络蠕虫的传播机制，通过蠕虫主体功能的四个模块对蠕虫病毒进行分析，即扫描、搜索、攻击、复制和传输四个模块。

1.1 搜索模块该模块决定采用技术的和非技术的方法搜集本地或者目标网络的信息，其搜索主要内容有系统类型、版本、用户名、邮件列表、开放的服务器软件版本、网络拓扑结构以及边界的路由信息。

1.2 扫描模块该模块利用信息搜集模块搜集的信息所完成的检测，探测搜索的主机。

通常扫描探测策略有顺序、基于目标列表、基于路由扫描、随机和选择性随机扫描等。

1.3 攻击模块该模块利用扫描探测模块探测的主机漏洞，对目标系统实施攻击和建立传输通道，以植入和运行蠕虫副本。

缓冲区溢出攻击是普遍的攻击形式，此外攻击形式还有系统误配置和字符串格式攻击等。

1.4 复制模块该模块通过交互原主机和新主机，将病毒复制到新主机并启动，生成多种形式的副本。

1.5 传输模块该模块在实施攻击后，下载安装附加的恶意代码到目标机，还会添加到windows进程中，致使系统操作异常。

通过对网络蠕虫的建模分析表明，网络蠕虫的传播虽具有突发性，但还有一定的规律性，因此，在传播初期进行有效的检测和控制能够抑制蠕虫的泛滥。

计算机网络安全防护技术的研究进展

计算机网络安全防护技术的研究进展在当今数字化的时代，计算机网络已经成为人们生活和工作中不可或缺的一部分。

然而，随着网络的普及和应用范围的不断扩大，网络安全问题也日益凸显。

网络攻击、数据泄露、恶意软件等威胁给个人、企业和国家带来了巨大的损失和风险。

因此，计算机网络安全防护技术的研究和发展显得尤为重要。

网络安全威胁的形式多种多样，包括病毒、木马、蠕虫、间谍软件、网络钓鱼、拒绝服务攻击等。

这些威胁不仅会破坏计算机系统和网络的正常运行，还可能窃取用户的个人信息、商业机密等重要数据。

为了应对这些威胁，研究人员不断探索和创新网络安全防护技术。

防火墙技术是网络安全防护的基础之一。

防火墙可以看作是网络的“门卫”，它能够根据预设的规则对网络流量进行过滤和控制，阻止未经授权的访问和恶意流量进入内部网络。

传统的防火墙主要基于包过滤和状态检测技术，但随着网络攻击手段的不断升级，下一代防火墙引入了更先进的技术，如应用识别、用户身份认证、深度包检测等，能够提供更精细和全面的防护。

入侵检测系统（IDS）和入侵防御系统（IPS）也是重要的网络安全防护手段。

IDS 通过对网络流量的实时监测和分析，发现潜在的入侵行为，并及时发出警报。

IPS 则不仅能够检测入侵，还能够主动采取措施阻止入侵行为的发生。

近年来，基于机器学习和人工智能的入侵检测和防御技术取得了显著进展。

这些技术能够自动学习和识别正常的网络行为模式，从而更准确地检测出异常和恶意行为。

加密技术是保护数据安全的重要手段。

通过对数据进行加密，可以将其转换为密文，只有拥有正确密钥的授权用户才能解密并读取数据。

对称加密算法（如 AES）和非对称加密算法（如 RSA）在数据加密中广泛应用。

此外，随着量子计算技术的发展，抗量子加密算法的研究也成为了热点，以应对未来可能出现的量子计算对传统加密算法的威胁。

在移动互联网时代，移动设备的安全防护也成为了关注的焦点。

移动设备面临着恶意软件、漏洞利用、数据泄露等风险。

网络安全防御技术及其应用研究进展

网络安全防御技术及其应用研究进展随着互联网的迅猛发展，网络安全问题已经成为全球范围内的重要关注点。

攻击者不断探索新的方法来窃取个人和组织信息，在这种情况下，网络安全防御技术的研究和应用变得尤为重要。

本文将探讨网络安全防御技术及其应用的研究进展。

一、传统网络安全防御技术传统的网络安全防御技术通常以防火墙、入侵检测系统（IDS）和入侵防御系统（IPS）为主要组成部分。

1.防火墙防火墙是网络安全的第一道防线，它通过控制进出网络的数据流量，过滤恶意流量，阻止攻击者访问和破坏网络。

防火墙可以根据特定规则设置网络访问权限，确保只有被授权的用户可以进入网络。

此外，防火墙还能控制互联网的访问，保护内部网络的安全。

2.入侵检测系统（IDS）入侵检测系统是一种监控网络流量，识别和报告恶意活动的安全设备。

IDS可以分为主机入侵检测系统（HIDS）和网络入侵检测系统（NIDS）。

HIDS监控单个主机的活动，而NIDS监视整个网络流量。

这些系统通过对流量进行实时分析，检测非法访问、漏洞利用、拒绝服务攻击等攻击行为。

3.入侵防御系统（IPS）入侵防御系统与入侵检测系统类似，但它更进一步，可以主动阻止攻击。

当入侵检测系统检测到攻击时，入侵防御系统可以根据预先设定的策略进行自动应对，例如阻止IP地址、中断连接等。

二、新兴网络安全防御技术传统的网络安全防御技术存在局限性，无法完全应对不断进化的网络威胁。

为了满足当今复杂的网络环境，研究人员不断探索和开发新的网络安全防御技术。

1.机器学习机器学习可以帮助网络安全系统自动学习，并不断改进对新攻击的识别能力。

通过学习和分析海量数据，机器学习模型能够识别恶意流量、异常行为和未知威胁。

它可以检测出传统规则无法识别的新型攻击，并及时采取措施进行防御。

2.行为分析行为分析是一种基于用户和实体行为的安全防御方法。

它监控用户和实体的行为模式，建立行为基准，并基于模式的偏离来检测潜在的攻击活动。

行为分析可以识别已被攻击者接管的用户帐户、内部黑客和未经授权的活动，并及时采取适当的措施进行防御。

网络攻击与防御的最新研究进展

网络攻击与防御的最新研究进展随着信息技术的快速发展和普及，网络安全问题已成为全球性风险，网络攻击也日益频繁和复杂。

然而，网络攻击者的手段也有了新的发展，包括网络蠕虫、病毒、木马、分布式拒绝服务攻击（DDoS）等。

为应对这些攻击，网络安全防御技术正在不断升级和完善。

本文将介绍网络攻击和防御的最新研究进展，以及相关技术的未来发展。

一、网络攻击的新发展网络攻击是指攻击者使用各种高科技手段，通过网络系统的弱点和漏洞，入侵他人计算机系统或网络设备，窃取、破坏或篡改他人数据信息的一种行为。

网络攻击者的目的可以是商业利益，也可以是政治、军事等动机。

网络攻击的形式和手段已经发生了很大的变化，攻击者采取了更高级的技术和手段，从而使安全防护更加困难。

以下是一些网络攻击的新形式：1. 零日攻击：零日攻击指攻击者利用目标系统的未知漏洞或弱点进行攻击，因为这些漏洞还没有被揭示或修补，所以攻击者能够获得预期的结果。

这种攻击是最危险的一种攻击方式，也是最难以防范的。

2. 知识图谋攻击：知识图谋攻击利用人工智能技术和机器学习算法，以欺骗人的方式攻击系统，为攻击者提供了更多的机会。

3. 无文件攻击：无文件攻击不需要在受攻击的计算机上留下任何痕迹，这使得攻击者更难以被检测和捉拿。

4. 钓鱼攻击：钓鱼攻击是一种利用社交工程手段，通过电子邮件、短信或即时消息等方式，欺骗用户点击恶意链接，或输入个人信息（如用户名、密码等）的攻击方式，露出用户的账号和密码，骗取个人信息。

5. DDoS攻击：DDoS攻击是通过“同步洪水攻击方法”，即在同一时间内利用大量假 IP 封包向网站或服务器发送高频请求，导致其服务器或网站全部瘫痪，影响使用者的技术攻击策略。

攻击者通常会使用一些网站或设备上的数据包放大器。

二、网络安全的防御技术为了应对这些网络攻击，网络安全防御技术应运而生。

网络安全防御技术分为以下几个方面：1. 防火墙：防火墙是安装在网络中的一种软件或硬件设备，主要用于监控、过滤和控制数据包流量。

网络蠕虫研究与进展

2 3
(中国科学院信息安全技术工程研究中心,北京
Research and Development of Internet Worms
WEN Wei-Ping1,2,3+, QING Si-Han1,2,3, JIANG Jian-Chun1,2,3, WANG Ye-Jun1,2,3
1 2 3
(Institute of Software, The Chinese Academy of Sciences, Beijing 100080, China) (Engineering Research Center for Information Security Technology, The Chinese Academy of Sciences, Beijing 100080, China) (Graduate School, The Chinese Academy of Sciences, Beijing 100039, China)
+ Corresponding author: Phn: +86-10-62645412 ext 8014, E-mail: qing1010@
Received 2004-04-22; Accepted 2004-07-06 Wen WP, Qing SH, Jiang JC, Wang YJ. Research and development of Internet worms. Journal of Software, 2004,15(8):1208~1219. /1000-9825/15/1208.htm Abstract: With the explosive growth of network applications and complexity, the threat of Internet worms against

Internet蠕虫防范技术研究与进展

Internet蠕虫防范技术研究与进展
周涛;戴冠中;慕德俊
【期刊名称】《计算机应用研究》
【年(卷),期】2006(23)6
【摘要】当前蠕虫的频频爆发使得蠕虫问题已成为网络安全领域的焦点问题.分析了蠕虫的特征行为,研究了国内外几种最新的Internet蠕虫防范系统,并在此基础上展望了蠕虫攻防的发展趋势.
【总页数】4页(P13-15,30)
【作者】周涛;戴冠中;慕德俊
【作者单位】西北工业大学,自动化学院,陕西,西安,710072;西北工业大学,自动化学院,陕西,西安,710072;西北工业大学,自动化学院,陕西,西安,710072
【正文语种】中文
【中图分类】TP309
【相关文献】
1.大规模网络中Internet蠕虫主动防治技术研究--利用DNS服务抑制蠕虫传播[J], 郑辉;孙彬;郑先伟;段海新
2.浅谈计算机蠕虫病毒的硬件防范技术 [J], 王莉
3.浅谈网络蠕虫及防范技术 [J], 吴士君;李媛媛
4.网络蠕虫防范技术研究 [J], 王玉霞
5.浅谈计算机蠕虫病毒的硬件防范技术 [J], 王莉
因版权原因，仅展示原文概要，查看原文内容请购买。

网络蠕虫的研究与防范

【要】摘随着网络系统应用及复杂性的增加，网络蠕虫成为网络安全的主要威胁。首先介绍网络蠕虫的特点及其与计算机病毒的差异；然后分析了冲击波蠕虫进行网络传播和攻击的基本原理和工作流程，讨论了网络蠕虫的一般行为特征和功能结构；最后分析了蠕虫病毒当前的
防治技术。
【关键词】网络蠕虫；网络安全；能结构；虫防范功蠕
０引言
行。
网络蠕虫蠕虫病毒）（是一种常见的计算机病毒，利用网络进行３蠕虫的行为特征和功能结构复制和传播，传染途径是通过网络和电子邮件。蠕虫病毒既具有计算３１蠕虫的行为特征分析．机病毒的一般特性．又具有自己的一些特征．如不需要将其自身附着通过对冲击波等蠕虫的整个工作流程的分析。可以归纳得到它们到宿主程序．利用网络和计算机的漏洞进行攻击和传播等随着网络的一些共同行为特征：的飞速发展．蠕虫病毒正逐渐成为网络和计算机安全的最大威胁。因（）１利用系统和网络服务的漏洞进行主动攻击：从搜索漏洞到利此．网络蠕虫的研究和防治成为信息安全领域的一个重要课题日对。用搜索结果攻击系统，到复制副本，整个流程全由蠕虫自身主动完成。（）２造成网络拥塞．降低系统性能：蠕虫入侵到计算机系统之后，１网络蠕虫与计算机病毒的比较大量的扫描和攻击线程会耗费系统资源．同时也因产生大量附加的网根据蠕虫和计算机病毒的定义可知．蠕虫利用计算机和网络的漏络数据流量而导致网络拥塞洞主动进行攻击和传播．而一般计算机病毒必须以其它程序文件为载（）３产生安全隐患：大部分蠕虫会搜集、扩散、暴露系统敏感信息，体，而且只有当用户运行病毒所依附的文件时。病毒程序才会被激活，并在系统中留下后门然后感染其所在的系统。蠕虫和普通计算机病毒的主要差别如表１所（）４反复性：如果没有修补计算机系统漏洞．即使清除了蠕虫，当示。计算机接入到网络还是会被重新感染。表１网络蠕虫与计算机病毒的区别３２蠕虫的功能结构模型．计算机病毒网络蠕虫根据上述分析．以总结出蠕虫的功能结构模型．可各模块的功能和用途如下：存在形式寄生独立程序（）１自启动模块：保证每次开机蠕虫都会自动运行，一般注册成为复制机制插入到宿主程序中自身拷贝服务或在注册表的Ｒｎ目录下添加启动项等ｕ运行方式宿主程序运行主动攻击（）２扫描模块：主要是漏洞扫描，通过某种算法寻找下一台要传染

计算机网络安全技术研究现状与发展趋势

计算机网络安全技术研究现状与发展趋势一、绪论随着计算机网络应用场景的不断扩展，网络安全问题也日益成为国家和企事业单位关切的焦点。

网络安全技术犹如一道拦击黑客、挖掘漏洞的屏障，为网络世界的稳定运行提供保障。

因此，研究网络安全技术的现状和发展趋势具有非常重要的意义。

二、计算机网络安全技术现状1.网络攻击类型多样网络攻击渠道往往是不易察觉的，普通用户甚至可能一无所知。

攻击类型诸如病毒、木马、蠕虫、DOS/DDOS攻击、水坑攻击等，它们能够突破网络安全防线，造成经济损失和社会稳定性的威胁。

2.安全威胁呈现多样性随着网络安全防范技术的不断提升，黑客也不甘于如此状况，他们利用各种方法不断逃脱安全防护的检测。

例如隐蔽性的木马程序，可以控制用户的计算机；ARP欺骗可以让受害者误以为攻击者的计算机是受害者的路由器；而仅是诈骗性的邮件则可以欺骗受害者提交个人信息。

3.安全技术的应用日趋广泛目前的网络安全技术被广泛应用于各大领域。

其中，防火墙、虚拟专用网、加密技术等是目前防护网络安全最为常用、最全面的安全技术。

4.网络安全技术存在缺陷面对不断变化的攻击手段，传统的网络安全技术显现出一些无法避免的缺陷。

如防火墙的检测机制较为单一，容易被攻击者绕过； IDS/IPS等安全检测设备费用昂贵，不适合自主部署。

三、计算机网络安全技术发展趋势1.人工智能在网络安全领域的应用正在增加人工智能技术的引进可以大幅改进现有的防御机制，在对一批信息进行扫描和挖掘等操作时发挥重要作用，有助于解决因病毒或其他恶意文件而对计算机网络造成的扰动。

2.区块链技术助力网络安全区块链用于数字资产的交换和安全记录，基于不同于传统的加密技术，可以在传输中实现更好的防御。

区块链技术可以使操作更安全，并减少黑客和其他敌对攻击的风险，有助于实现网络安全中内部数据信息的加密。

3.新型威胁的应对需求不断加强随着各类权威的紧密合作和人工智能技术的逐步发展，网络安全的未来将有更好的解决途径，可以更方便地应对各类攻击方式，降低内部系统的风险，提供更加流畅的通信服务，并更好地保护企业重要数据。

网络蠕虫病毒检测技术研究与应用

网络蠕虫病毒检测技术研究与应用随着互联网的普及和发展，各种网络蠕虫病毒也在不断涌现。

这些病毒可以在网络中迅速传播并感染大量计算机，给个人信息和数据的安全带来极大的威胁。

因此，开发和应用网络蠕虫病毒检测技术已成为计算机安全领域中的重要研究方向之一。

一、病毒检测技术的发展目前，根据对病毒检测技术的研究和应用，病毒检测技术可以分为传统的基于特征的病毒检测技术和基于机器学习的病毒检测技术两大类。

传统的基于特征的病毒检测技术主要是通过对病毒的特征进行分析和提取，然后与已知的病毒进行匹配，识别和检测病毒。

这种技术可以简单快捷地找到已知病毒，但对于未知病毒的识别能力较弱，无法有效应对未知的病毒攻击。

基于机器学习的病毒检测技术则是通过对已知的病毒样本进行学习，建立病毒检测模型，将模型应用到未知样本的分类和识别中。

相比传统的病毒检测技术，基于机器学习的病毒检测技术可以更快速准确地识别未知的病毒，且可持续性更强。

二、病毒检测技术的应用随着互联网的高速发展，各种在线服务的使用也成为了现代社会的主流。

尤其是在金融、电子商务、医疗等行业，不少信息处理都是通过互联网实现。

这些行业的信息数据一旦泄露或遭受病毒攻击，就可能造成极大的损失。

因此，网络蠕虫病毒的检测技术可以应用到各行各业的信息安全保护中。

例如，在金融领域，病毒攻击可能导致用户的账户信息被盗取或其金融交易遭到干扰。

因此，金融机构可以使用病毒检测技术来保障客户信息的安全，防范金融欺诈等不法行为。

在企业信息安全领域，病毒检测技术可以帮助企业及时发现病毒攻击，并及时做出应对措施。

通过定期巡检，及时检测病毒，企业可以降低病毒攻击对其业务造成的损失。

三、病毒检测技术面临的挑战网络蠕虫病毒检测技术的研究与应用，不仅可以协助用户有效地检测和清除病毒威胁，也有助于提高计算机网络的安全性。

但随着网络蠕虫病毒技术的不断变化和升级，检测技术面临着不小的挑战。

首先，病毒检测技术需要不断更新。

分析计算机网络中的网络蠕虫病及其防范措施

分析计算机网络中的网络蠕虫病及其防范措施网络蠕虫病是一种常见的计算机网络安全问题，它使用计算机网络作为传输媒介，破坏了网络系统和服务。

本文将介绍网络蠕虫病是如何工作的，以及一些防范措施。

1. 病毒和蠕虫在深入了解网络蠕虫病之前，我们需要了解一些计算机病毒的基础知识。

计算机病毒是一类侵入计算机系统的恶意程序，具有自我复制和传播的能力，它可以危害计算机系统的正常运行。

另一方面，蠕虫也是一种计算机病毒，但是它不需要人工干预即可自我复制和传播。

它通过寻找网络中其他计算机来传播自己，然后在每个受感染计算机上运行，导致计算机系统崩溃。

2. 网络蠕虫病的工作原理网络蠕虫病的工作原理非常简单，它通过利用网络中的漏洞，自我复制并在计算机上运行。

通常情况下，蠕虫程序会沿着网络路由器进行扫描，探测并感染网络中的其他计算机。

然后，在感染的计算机上运行自己的代码，这些代码可以损坏计算机的文件系统、内存等部分，并在计算机上运行恶意软件。

一旦一个计算机被感染，蠕虫程序就可以在后台轻松地运行，而不会给用户留下任何痕迹。

3. 防范措施为了保护计算机免遭网络蠕虫病的入侵，我们需要采取一些防范措施，包括以下几个方面：(1) 安装更新的防病毒软件，对计算机进行全面扫描。

(2) 安装最新的操作系统和程序更新，以防止蠕虫攻击已知漏洞。

(3) 禁止使用未经授权的软件或下载文件，尤其是一些来历不明的文件和软件。

(4) 配置防火墙，限制网络访问。

可以禁用网络上一些不必要的服务和端口，减少网络攻击的机会。

(5) 使用复杂和安全的密码，以防止被破解。

4. 结论从本文中可以看出，网络蠕虫病是一种严重的计算机网络安全问题，它可以通过网络传播并感染其他计算机。

为了有效防止蠕虫攻击，我们需要采取一些防范措施，包括安装防病毒软件、更新操作系统和程序、限制网络访问等。

通过这些措施，我们可以有效保护计算机系统免受蠕虫攻击。

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

, 其原理是在网络的边界路的字符串的
由器上进行流量监测 , 并计算网络上所有长度为
R abin签名。如果某些数据包频繁出现在所监控的网络上 , 就会得到大量重复的签名。当重复次数超过某个阈值时 , 系统就认为网络上出现了新蠕虫 , 并根据得到的签名进行数据过滤。注意这里不是对蠕虫样本进行签名 , 而是对观测到的数据 , 计算其所有长度为真效果。假设观测到的某段数据为 t1 t2 & tn , 对于子字符串 t1 t2 & t ( < n )的 R ab in 签名为
[ 3]
( 1) 在一个采样周期内对进出网络的数据包进行监测 , 根据目的端口的不同对数据包进行分类 , 然后维持一张端口 ∋ 连接次数关系表。如果某个曾经出现过的端口长时间没有新的连接就将其从表中清除。 ( 2) 对每个关系表中出现的端口 , 在一个采样周期内观测对该端口的访问总共涉及到多少个不同的目的地址 , 记为 N。计算从开始统计到现在的 N 的指数加权移动平均数 N = ( 1)N , 这里是常数。 )N, 则发出报警信 ( 3 )如果当前时刻的观测值 N > ( 1+ 号。这里 N+
是常数 , 它反映了系统对流量变化的敏感度。另外
此处有一个假设 , 就是相同时间内蠕虫对外的连接请求要大大多于正常用户 , 这个假设一般是成立的。 ( 4) 包过滤模块接到报警信号后 , 在网络流量中过滤掉目的端口为可疑端口的数据包。对端口的过滤有可能会影响 In ternet用户的正常访问 , 因而只能是暂时的 , 等到得到蠕虫的签名信息后可以针对内容而不是端口进行过滤。
的所有可能值 , 以供
生成签名使用。从以上分析我们可看出该系统具有以下特点 : ( 1) 无需获取蠕虫样本即可生成可疑流量的签名。 ( 2) 不是对整个蠕虫代码进行签名 , 而是计算给定长度的字符串的签名 , 这样即使蠕虫修改了部分内容逃避过滤 , 只要其主体内容不变仍可被检测出。 ( 3) 可以采用递推算法提高计算效率。 3 2 网络协议信息过滤方案同 Ear lyB ird 一样 , 基于网络协议信息的过滤也是利用了蠕虫扫描和攻击方式的单一性 , 所不同的是这种防范技术不检查网络数据包的数据部分 , 只检查数据包的 TCP 层和 IP 层协议信息。它的工作原理是蠕虫在传播时一般都是针对某种特定的系统漏洞 , 因此其扫描和攻击行为也是针对目标主机的特定端口。如果在一段时间内观测到的针对某个端口的流量出现异常 , 即可推测当前出现了新蠕虫的传播。由于网络协议信息可以在路由器上高效获取 , 而且同内容过滤相比无须进行签名计算 , 可以大大减少计算开支 , 因而这种方法更具可行性。美国 Southern Ca lifornia大学的研究人员提出了一种基于路由器的蠕虫检测和围堵方案 , 称为 DEW P ( D etec tor fo r Ear ly W orm P ropaga tion)
F 1 = ( t1 p
- 1
的子字符串的 R ab in 签名 , 然后根据签名内 = 39 取得了良好的仿
容进行监测。在文献 [ 3] 中作者设定
3 3 趋势检测方案
( 2)
+ t2 p
- 2
+ & + t ) m od M
基于内容和协议信息过滤方案都存在一个问题 , 就是如何选取作为异常判断标准的阈值。如果阈值取得过低 , 会造成较高的虚警率 , 反之则会导致漏报率上升。为此研究人员又提出了一种无阈值蠕虫预警方案 , 其原理是检测异常情况的发展趋势 , 而不是异常情况出现的次数 ( D e tecting the T rend , N o t the Burst[ 5] ) 。该方案的理论依据是 : 蠕虫传播时遵循流行病学模型 , 如果网络上确实有新蠕虫在传播 , 那么观测到的异常主机数量的增长过程将服从一定规律。通过估计 Internet 蠕虫的传播参数 , 可以判定当前网络上的异常主机数量增长过程是否服从流行病学模型 , 进而判定是否有新蠕虫的传播。美国 M assachusetts 大学的邹长春等人提出了一种基于 Kal m an滤波的 In ternet蠕虫监测系统 [ 5] 。其结构如图 2 所示。图中在各个局域网与 Internet 相连的部分设置扫描监测器 , 对网络上的异常扫描信息进行统计 , 然后汇总到蠕虫预警中心 , 预警中心对各个观测器上报的统计信息进行分类和关联。通过对 In ternet蠕虫传播模型 ( 式 ( 1) ) 进行分析 , 可以得到在蠕虫传播时 , 前后两个时刻的扫描包数量 Z t - 1和 Z t 满足如下关系 [ 5] :
Ab stract : Ow ing to the frequent explosions of In ternetw or ms , Interne tw or m has been the focus of attention in cybe rspace se curity fie ld recently . T his paper first analyzes Internet wo r m s cha racte ristics , then describes som e Internet wo r m conta inm en t system s which a re propo sed at ho m e and abroad, and pro spects the trend o f wo r m and anti w or m technology in the end. K ey words : InternetW or m; Cybe rspace Secur ity ; Propagation M ode;l F ilter
由于蠕虫是利用某个特定的漏洞进行传播的 , 蠕虫发出的扫描包内容一般都是相同的 , 另外 , 蠕虫在进行复制时传输的文件也是相同的。所以当有蠕虫活跃时 , 网络上一般会充斥着大量内容相同的数据包。 N icho las W eaver曾提到蠕虫在传播时可采用预定义列表、拓扑扫描、本地子网扫描、置换扫描等方法从而大大提高感染速度 [ 1] , 但在现实中绝大多数蠕虫还是利用随机生成的 IP 地址作为感染目标。这种感染目标的不确定性决定了蠕虫在传播过程中会产生大量的针对某个端口 , 但目标地址或目的端口不可达的扫描包。从蠕虫爆发过程来看 , Internet 蠕虫的传播模型可以用以下流行病学传播模型来描述 :
第 6期
周
涛等 : Internet蠕虫防范技术研究与进展
# 13#
Internet蠕虫防范技术研究与进展
周涛, 戴冠中, 慕德俊
( 西北工业大学自动化学院, 陕西西安 710072)
*
摘要: 当前蠕虫的频频爆发使得蠕虫问题已成为网络安全领域的焦点问题。分析了蠕虫的特征行为, 研究了国内外几种最新的 Internet蠕虫防范系统, 并在此基础上展望了蠕虫攻防的发展趋势。关键词: 蠕虫 ; 网络安全; 传播模型; 过滤中图法分类号 : TP309 文献标识码: A 文章编号 : 1001 3695 ( 2006) 06 0013 03
最终将自身复制到目标主机上完成一个传播流程。
1 引言
随着信息化的发展 , Internet 已经渗入到人们日常生活的方方面面 , Internet 蠕虫造成的安全威胁也日益严重。 Internet 蠕虫是指能够独立运行 , 并能通过寻找和攻击远方主机的漏洞进行自主传播的恶意代码。自 1988 年 11 月第一个互联网蠕虫莫里斯 (M orris) 出现以来 , 蠕虫就向人们展示了它不同于传统计算机病毒的特点和巨大破坏力。进入 21 世纪后 , 蠕虫更是频频大规模爆发 , 其爆发频率、扩散速度、造成的危害超过了以往任何时期 , 引起了网络安全研究人员的广泛关注。当前对 In ternet蠕虫的防范同计算机病毒一样 , 主要还是依靠单机防护和局域网防火墙。由于 Internet蠕虫的最大特点是可以通过网络自主传播 , 并且在传播过程中无需人的干预 , 这使得传统的防病毒措施在防范蠕虫时显得无能为力。目前国内外研究人员对 Interne t蠕虫的一致观点是应面向网络进行预警和防范 , 并提出了一系列新措施。
R esearch and D eve lopm ent on InternetW or m C ontainm ent Technology
Z HOU T ao , DA I Guan zhong , M U D e jun
(C ol lege of Au toma tic C on trol , N orthw estern P olytechn ical Universi ty, X i an Shanxi 710072, Ch ina )
2 蠕虫特征行为分析
只有明白了 In ternet蠕虫传播时有什么样的特征行为 , 才能采取针对性措施进行有效防范。 Internet 蠕虫的传播采用自动入侵技术 , 受程序大小的限制 , 同传统的黑客入侵相比其智能化程度不高 , 传播模式也比较单一。目前蠕虫常利用的传播模式为扫描―攻击― 复制。蠕虫在传播时都是针对某个特定的系统漏洞 , 所以蠕虫首先要选取一台主机作为感染目标 , 然后通过扫描判断该主机上是否存在能被自己利用的特定漏洞。如果漏洞存在 , 蠕虫就对目标主机发动攻击 , 获取一定权限 , 并收稿日期 : 2005 08 24; 修返日期 : 2005 10 29