网络蠕虫扫描策略和检测技术的研究
网络蠕虫
4.2.5未来蠕虫可能的方向
各种恶意软件也常常有意无意的和蠕虫合作。 比如蠕虫在穿越一个已经被病毒感染的节点的时, 可能会被另一个标准的文件病毒感染。一个蠕虫 携带3种甚至更多的病毒的现象并不少见,这种现 象对网络蠕虫和标准文件感染性病毒都是有益的。 有些病毒也会有意的和蠕虫合作。 “求职信”病毒程序具有双程序结构,分为蠕虫 部分(网络传播)和病毒部分(感染文件,破坏文件)。
4.2.3网络蠕虫的结构模型
4.2.4网络蠕虫的工作流程
网络蠕虫的工作流程 一般来说可以分为5 个步骤: 搜集信息 探测目标主机 攻击目标系统 自我复制 后续处理 被感染后的主机又会 重复上述步骤来攻击 网络上其他的主机。
开始 搜集信息
扫描网络, 寻找目标主 N 发现目标主机 Y 攻击目标主机 Y N
4.2.6结束语
随着网络环境的高速发展,各种各样的平台 日益增多,我们对网络的高度依赖,蠕虫的威胁 越来越严峻。 蠕虫采用了各种新技术,加密存储,远程下 载,多态蠕虫,都使得蠕虫越来越智能化。而且 由于蠕虫的传播性强,各种恶意软件也常和蠕虫 结合,给人们带来更加多的危害。 随着新技术的发展,各种新的平台为蠕虫提 供了新的发展领域,如P2P蠕虫,无线蠕虫等等。 所以抵抗蠕虫的威胁确实刻不容缓。蠕虫的检测 查杀技术越来越重要。关于蠕虫的对抗技术,我 们会在第五章防治篇中进一步的阐述。
4.2.2网络蠕虫的特征
5.反复感染 蠕虫是利用计算机系统的漏洞进行传播, 如果只是清除了蠕虫在文件系统中留下的 痕迹,像清除病毒一样单单地清除蠕虫本 身,而没有及时修补系统的漏洞,计算机 在重新联网后还可能会感染这种蠕虫。 6.留下安全隐患 大部分的蠕虫会搜集,扩散,暴露系统的 敏感信息(如用户信息),并在系统中留 下后门。这些都会 导致未来的安全隐患。
蠕虫病毒的分析与防范
蠕虫病毒的分析与防范作者:朱慧爽来源:《科学与财富》2019年第06期摘要:蠕虫病毒给网络环境带来了巨大的灾难。
日益严重的蠕虫问题,不仅给用户造成了巨大的损失,而且严重威胁着国家的信息安全。
蠕虫的检测和防范成为当前网络安全研究的热点。
关键词:蠕虫;病毒;网络安全1.蠕虫病毒简介蠕虫病毒与一般病毒不同。
蠕虫病毒不需要将其自身附着到宿主程序,是一种独立的智能程序。
它利用网络进行传播并能够自我复制,爆发时消耗大量的系统资源,使其他程序运行减慢甚至停止,最后导致系统和网络瘫痪。
“熊猫烧香”就是一个典型的感染型蠕虫病毒,其感染行为主要包括:复制自身到系统目录;创建启动项;在各分区根目录生成病毒副本;修改“显示所有文件和文件夹”设置;尝试关闭注册表编辑器、系统配置实用程序、Windows任务管理器、杀毒软件等。
2.蠕虫的检测技术(1)基于蠕虫特征码的检测技术首先将一些蠕虫恶意代码的特征值收集起来,然后逐个创建每一个特征值的特征码规则库。
检测时,利用在特征码和特征码规则库中的具体规则与要检测的网络行为进行匹配,如果存在异常就会匹配成功,对于这样的异常应当给出警告或者拒绝访问。
这样的检测方式有一定的限制,如果有些蠕虫病毒在规则库中没有匹配成功,就无法检测出蠕虫。
(2)基于蠕虫行为特征的检测技术Bakos提出了一种蠕虫行为特征检测技术,利用了ICMP目标主机不可达报文来判断识辨蠕虫的随机扫描行为,并通过信息收集点来收集网络中由路由器产生的这种不可达报文信息,然后统计消息的个数,并和给定的阈值进行比较,以此判断蠕虫是否有传播行为。
但是这种方法中如果路由器个数较少,那么收集到的报文信息数就会较少,会影响到判断的准确性(3)基于贝叶斯的检测技术在网络传播蠕虫的时候,蠕虫会先向网络中有漏洞的目标主机发送大量连接请求数据包,用这种方法就可以判断出目标主机是否开机,还能判断出这些目标主机是否存在漏洞,由此判断是否会被感染。
3.蠕虫病毒的防范3.1单位用户防范措施(1)提高网络管理员的安全意识和管理水平。
网络蠕虫
网络蠕虫基本知识所谓网络蠕虫是一种能够独立运行,并能通过寻找和攻击远方主机的漏洞进行自主传播的恶意代码。
他不同于病毒。
具有它们自己独特的传播方式和巨大的破坏力。
1 网络蠕虫的特性1)单一性:大量相同的数据包在蠕虫爆发初期出现,这是由于蠕虫发出的扫描包大多数是相同的,另外蠕虫在进行复制时传输的文件也是相同的;2)自主性:网络上感染规模不断增大这是由于蠕虫是自主传播,不受管理员的干涉,被感染主机数量以及扫描都呈指数级迅速增长。
这个可以有上边的模型看出;3)随机性:被感染主机会随机探测某个地址的固定端口,网络上会出现大量目标地址不可达或连接请求失败;4)利用软件漏洞,造成网络拥塞,系统消耗资源,留下安全隐患的特性。
2 蠕虫的运行技术介绍2.1 红色代码(CODE RED)2001年8月爆发的Code Red 利用IIS WEB 服务器 .IDA 缓冲区溢出漏洞传播。
这个蠕虫病毒使用服务器的端口80 进行传播,而这个端口正是Web 服务器与浏览器进行信息交流的渠道。
Code Red 主要有如下特征:入侵IIS 服务器,code red 会将WWW 英文站点改为:"Hello! Welcome to ! Hacked by Chinese! ";与其它病毒不同的是,Code Red 并不将病毒信息写入被攻击服务器的硬盘。
它只是驻留在被攻击服务器的内存中,并借助这个服务器的网络连接攻击其它的服务器。
这也正是蠕虫与计算机病毒之间最大的区别。
红色代码根据上述漏洞将自己作为一个TCP/IP 流直接发送到染毒系统的缓冲区,蠕虫依次扫描WEB,以便能够感染其他的系统。
一旦感染了当前的系统,蠕虫会检测硬盘中是否存在c:\notworm,如果该文件存在,蠕虫将停止感染其他主机。
在被感染主机上蠕虫将进行如下操作感染其他主机:1)起初始蠕虫环境,进行自我复制。
并开始获得控制权。
2)建立起n 个蠕虫线程。
(n 一般取100)。
蠕虫病毒
分类
根据蠕虫病毒在计算机及络中传播方式的不同,人们大致将其分为五种。
1、电子邮件E-mail蠕虫病毒
通过电子邮件传播的蠕虫病毒,它以附件的形式或者是在信件中包含有被蠕虫所感染的站链接,当用户点击 阅读附件时蠕虫病毒被激活,或在用户点击那个被蠕虫所感染站链接时被激活感染蠕虫病毒。
2、即时通讯软件蠕虫病毒
第一步:用各种方法收集目标主机的信息,找到可利用的漏洞或弱点。方法包括用扫描器扫描主机,探测主 机的操作系统类型、版本,主机名,用户名,开放的端口,开放的服务,开放的服务器软件版本等。当然是信息 搜集的越全越好。搜集完信息后进入第二步。
第二步:针对目标主机的漏洞或缺陷,采取相应的技术攻击主机,直到获得主机的管理员权限。对搜集来的 信息进行分析,找到可以有效利用的信息。如果有现成的漏洞可以利用,上找到该漏洞的攻击方法,如果有攻击 代码就直接COPY下来,然后用该代码取得权限;如果没有现成的漏洞可以利用,就用根据搜集的信息试探猜测用 户密码,另一方面试探研究分析其使用的系统,争取分析出—个可利用的漏洞。
(三)、传播更快更广
蠕虫病毒比传统病毒具有更大的传染性,它不仅仅感染本地计算机,而且会以本地计算机为基础,感染络中 所有的服务器和客户端。蠕虫病毒可以通过络中的共享文件夹、电子邮件、恶意页以及存在着大量漏洞的服务器 等途径肆意传播,几乎所有的传播手段都被蠕虫病毒运用得淋漓尽致。因此,蠕虫病毒的传播速度可以是传统病 毒的几百倍,甚至可以在几个小时内蔓延全球。
感谢观看
结构原理
结构
原理
蠕虫病毒的程序结构通常包括三个模块:
(1)传播模块:负责蠕虫的传播,它可以分为扫描模块、攻击模块和复制模块三个子模块。其中,扫描模块 负责探测存在漏洞的主机;攻击模块按漏洞攻击步骤自动攻击找到的对象;复制模块通过原主机和新主机交互将 蠕虫程序复制到新主机并启动。
网络安全技术中的入侵检测与防范措施
网络安全技术中的入侵检测与防范措施随着互联网技术的不断进步,网络已经深入到我们日常的生活中,我们可能在购物、银行转账、社交等方方面面都离不开互联网。
然而,互联网也带来了许多安全问题,其中包括入侵行为和网络攻击等。
本篇文章将重点讨论网络安全技术中的入侵检测和防范措施。
一、什么是入侵检测?入侵检测是一种安全技术,可通过监控网络通讯流量和系统行为来检测恶意行为。
它的主要目的是保护网络、系统和数据免受恶意攻击。
入侵检测有两种类型:基于主机的入侵检测和基于网络的入侵检测。
基于主机的入侵检测通常在单个计算机上运行,而基于网络的入侵检测通常监视整个网络,包括服务器、路由器和交换机。
入侵检测技术可以识别多种入侵形式,包括病毒、蠕虫、木马、DoS 攻击等等。
它通过比较当前的行为和预先定义的规则,来检查是否存在不寻常的活动。
如果检测到异常行为,系统就会发出报警,并采取相应的行动来防止攻击。
二、入侵检测技术的分类入侵检测技术可以分为两大类别:基于规则的和基于行为的。
基于规则的入侵检测是指在系统中定义一系列规则,来识别预定义的恶意行为。
这些规则通常基于先前的攻击模式和已知的恶意软件。
如果触发了一条规则,系统将会发出警告并采取相应的措施。
基于规则的入侵检测系统广泛用于网络安全领域,并且不需要使用特定的算法或模型进行分析,具有较高的准确性,并且容易维护。
基于行为的入侵检测则不需要预定义的规则,而是通过检查系统中正在运行的所有进程和行为来识别异常行为。
它利用数据挖掘技术和指标学习算法来自动学习系统行为,并检测异常情况。
这种技术可以防范未知的攻击,并且对新病毒和蠕虫可以有效防范。
三、入侵检测技术的应用网络入侵检测与防范技术的应用非常广泛,被广泛运用于各种行业和系统。
入侵检测技术广泛应用于以下几个方面:1. 保护网络安全:网络入侵检测技术可以帮助保护企业网络安全,防范未知的攻击和网络病毒。
2. 保护计算机系统安全:对于个人电脑和企业系统而言,入侵检测技术可以帮助防止恶意软件和木马。
一种基于SNMP的网络蠕虫防治方法——利用无级别分布式监测和SNMP抑制蠕虫传播
块 ( cn as ne cp bli ) r o n i a c a a it s、特 殊攻 击模 块 ( eic e s ie s ci p f atc a a i t s、命令操 作 界面 模块 ( o ta k c p bl i ) ie a c mma d n
2 南 京 陆 军指 挥 学 院 作 战 实 验 中心 ,江 苏 南 京 2 0 4 ;3 7 6 0部 队 ,江 苏 南 京 2 0 0 ) . 10 5 .3 1 10 0
摘 要 :该文分析 了网络蠕 虫的工作机制和 扫描 策略 ,根据蠕 虫传播 时引起 的 网络流量异常特征 ,设 计 了一种检 测蠕 虫病毒 的 方案 ,提 出采 用无级别 分布 式检 测和 S MP N 技术抑制蠕 虫传播 的方法 ,利 用探针检测 引起 网络流量 异常的主机 ,与 中心服 务 器 配合迅速抑制异常流量扩 散。实践表明 ,此方法能够有效地防止 网络 中蠕 虫病毒 的传播 ,保障 网络资源的合理使用。
a n r l e a ir f wom n pe dn boma b h vo o r i sra ig. I s rsne t a t kn a v na e f t p s Dsr ue Moio a d NMP eh i e O rv n t pe et d ht a ig d a t g o S e l s iti t d i e b ntr n S tc n u t pe et q
Ab ta t T e sr c : h meh ns a d ta e y f ca im n srt g o wom r wee n lz d. O e aa stlme t o d tc i nt r wom Wa peet d c odn t r a ay e n b s l e te n f r e etn g ewo k r S rsne a c rig 0
网络安全中的恶意代码检测技术使用教程
网络安全中的恶意代码检测技术使用教程恶意代码是指那些用于非法获取信息、破坏系统安全或者对用户设备进行攻击的计算机程序或脚本。
由于恶意代码对个人隐私和数据安全构成严重威胁,因此,检测和防御恶意代码已经成为网络安全的重要任务之一。
本文将介绍一些常见的恶意代码检测技术和如何使用它们来保护您的设备和信息安全。
1. 定义恶意代码在了解恶意代码检测技术之前,首先需要了解什么是恶意代码。
恶意代码通常包括病毒、木马、蠕虫、间谍软件等。
它们可以通过电子邮件附件、下载的文件、恶意网站等方式传播。
2. 病毒扫描技术病毒扫描技术是一种常见且成熟的恶意代码检测技术。
它通过使用病毒特征库去匹配已知病毒的特征来检测电子邮件附件、文件和程序中的恶意代码。
这些特征库经常更新以包含最新的病毒信息。
要使用病毒扫描技术来保护您的设备,您可以安装一个可靠的杀毒软件,并将其保持更新。
定期进行全盘扫描以确保您系统中不存在未知的恶意软件。
此外,在下载文件和电子邮件附件时,应始终保持警惕,避免打开或执行来自未知来源的文件。
3. 行为分析技术行为分析技术是一种先进的恶意代码检测技术。
它不仅仅依赖于特征库匹配,更重要的是分析程序的行为以确定是否存在潜在的恶意活动。
要使用行为分析技术来保护您的设备,您可以选择一个具有强大的行为分析引擎的安全软件。
此类软件可以监视并分析软件的活动,例如文件访问、注册表修改、网络连接等。
当检测到异常或可疑行为时,它会发出警告并采取相应的防御措施。
4. 威胁情报技术威胁情报技术是一种依赖于全球安全网络来获取关于最新恶意代码和攻击活动情报的恶意代码检测技术。
它通过收集和分析来自安全团队、社区和其他组织的信息,以识别新的恶意代码和攻击趋势。
为了使用威胁情报技术来保护您的设备,您可以使用支持这种技术的安全软件。
这些软件可以实时更新最新的威胁情报,并自动采取相应的防护措施。
此外,了解当前的网络攻击趋势和常见的恶意软件类型也是非常重要的。
网络异常流量检测技术与方法
网络异常流量检测技术与方法随着互联网的迅猛发展,网络异常流量也逐渐成为了一个重要的研究领域。
网络异常流量指的是网络中与正常通信行为不符的数据流,可能是由于网络攻击、网络故障或其他非正常情况引起。
为保障网络的安全和有效性,发展网络异常流量检测技术及方法成为了一项紧迫的任务。
一、背景介绍网络异常流量是一种对网络通信效果造成负面影响的现象,可能导致网络服务的不稳定、用户体验的下降,甚至引发安全事故。
故而,及早发现并处理这些异常流量成为了互联网运营和网络服务提供商的重要职责之一。
二、常见网络异常流量类型及特征网络异常流量主要包括以下几种类型:1. DDoS 攻击分布式拒绝服务(DDoS)攻击是最常见的一种网络异常流量类型,攻击者通过利用大量机器同时向目标服务器发起请求,以压倒性的流量使服务器无法正常对外提供服务。
2. 网络蠕虫网络蠕虫是一种利用自我复制和传播机制的恶意软件,它可以在网络中迅速传播,并占用大量带宽资源。
这种异常流量通常具有特定的传播特征,如源地址持续变化、异常的连接频率等。
3. 僵尸网络僵尸网络是一种被黑客远程控制的大规模攻击工具,攻击者利用已感染的大量计算机节点发起攻击。
僵尸网络通常具有频繁且异常的连接活动、带宽利用率居高不下的特点。
4. 入侵行为网络入侵行为包括端口扫描、漏洞利用、恶意文件传输等,这类流量通常伪装成正常流量,具有特定的行为特征,如特定的访问路径、异常的请求参数等。
三、网络异常流量检测技术与方法为了准确、高效地检测网络异常流量,研究者们提出了许多技术与方法,下面介绍几种常见的检测技术:1. 基于统计的方法基于统计的异常流量检测方法通过对网络流量数据进行分析,构建统计模型来判断是否存在异常流量。
这些方法主要基于统计学的概率模型或机器学习算法,通过与正常流量进行比对来判断是否存在异常。
2. 基于行为分析的方法基于行为分析的异常流量检测方法通过对网络流量中的行为特征进行挖掘和建模,来判断是否存在异常流量。
行为检测技术在蠕虫检测中的应用和进展
2 蠕虫 检 测 技术 分 类 根 据 检 测 对 象 , 虫检 测 技 术 可 以分 为两 大类 : 程 蠕 虫 检 测 蠕 远 和 本地 蠕 虫检 测 。蠕 虫检 测 经 常 被 归 为人 侵 检 测 的 范 畴 , 照 入 侵 按 检测 方 法 来分 类 , 以分 为误 用 检 测和 异 常 检测 。 可 误 用 检测 是 通 过 检测 蠕 虫 代 码 特征 来 发 现 蠕 虫 , 通 过 对 已知 它 的 相 应 蠕 虫进 行 分 析 而 得 到 代 码 特 征 , 有 检 测 准 确 率 高 、 报 率 具 误 低 的特 点 , 是 目前 最 常 用 的 方 法 , 具 体 的检 测 效 果 取 决 于 检 测 也 但 特 征 库 的 完 备 性 , 求 特 征 库 必 须 及 时 更 新 , 且 只 能 检 测 已 知 蠕 要 而 虫 及 其攻 击 行 为 , 检 i 未知 的蠕 虫 。 无法 受 4 异 常 检测 是 通 过 检 测 目标 系 统 ( 主机 或 网 络 ) 的行 为 异 常 或 流 量 异 常 来 发 现 和识 别蠕 虫 , 不 依 赖 于 已 有 的 攻 击 特 征 , 够 发 现 它 能 未知 蠕虫 , 是未 来 蠕虫 检 测 的发 展 方 向 。 在异 常 检 测技 术 中 , 虫 检 测技 术 按 所 采 用 的 检 测技 术 思 想 可 蠕 以 细 分 为被 动 检 测 和 主 动 检 测 。 被 动 检 测 技 术 ,也 叫 基 于 蜜 罐 ( oeP t的检 测技 术 。蜜 罐 是 一 个 故 意设 计 为 有缺 陷 的 系统 , H n yo) 可 以用 来 吸 引 攻 击 者 、 收集 攻 击 信 息 以及 辅 助 进 行 深 度 分 析 , 设 计 从 上来说 , 蜜罐不会收到任何流量 , 但是蠕虫 随机 扫描使其扫描流量 会 部 分 流人 蜜 罐 , 就 是用 蜜 罐 检 测 蠕 虫 的基 本 思 想 。 基 于蜜 罐 的 这 蠕虫 检 测 主要 是 用来 检 测 远 程 蠕 虫 , 当然 也 有 学 者 尝 试 把 蜜 罐 技术 用 于本 地 蠕 虫 的检 测 , 张新 宇 等 学 者 l 蜜 罐 技 术 应 用 于 本 地 网 如 l 】 将
网络安全中的恶意软件检测技术与解决方案
网络安全中的恶意软件检测技术与解决方案恶意软件是指那些具有恶意目的并能够对计算机系统造成破坏、窃取信息或控制系统的软件。
它们可能以各种形式存在,比如病毒、蠕虫、木马、广告软件等。
恶意软件的增加和进化给用户的网络安全带来了巨大的威胁,因此实施恶意软件检测技术和采取相应的解决方案变得尤为重要。
恶意软件检测技术是指通过识别潜在的恶意软件来保护计算机系统和网络安全。
它主要分为静态检测和动态检测两种方式。
静态检测是指在不运行软件或代码的情况下对文件进行检测,通过分析文件的特征、行为和模式来判断是否存在恶意代码。
常用的静态检测技术包括特征匹配、行为分析和模式检测。
特征匹配是一种基于已知病毒特征库的检测方法,它通过比对文件的特征信息和已知的恶意软件的特征来进行检测。
特征可以是文件的哈希值、文件名、文件类型等。
但这种方法对于新出现的恶意软件无法进行有效的检测。
行为分析是通过分析软件在运行过程中的行为来判断是否存在恶意代码。
它可以监视软件访问文件、注册表、网络等行为,并根据事先设定的规则进行分析和判断。
这种方法可以有效地检测出变种和未知的恶意软件,但也容易产生误报。
模式检测是通过分析文件中的特定模式或规则来判断是否存在恶意代码。
这种方法主要基于正则表达式或模式匹配算法,通过匹配恶意软件的特定模式来进行检测。
但模式检测只能检测出已知的恶意软件,对于变种和未知的恶意软件无效。
动态检测是指在运行软件或代码的过程中进行检测,通过监控软件执行过程中产生的行为和特征来判断是否存在恶意代码。
常用的动态检测技术包括行为模式分析、异常检测和沙箱检测。
行为模式分析是通过分析软件在运行过程中的行为模式来判断是否存在恶意代码。
它可以监视软件的文件访问、网络连接、注册表操作等行为,并根据事先设定的规则进行分析。
这种方法可以检测出变种和未知的恶意软件,但也容易受到恶意软件自身的对抗。
异常检测是通过分析软件执行过程中的异常行为来判断是否存在恶意代码。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
是一般 的计 算机 病毒 所不具 备 的 ,因此 ,蠕 虫传 播速度 比
及 ,特 别是在 开放 的计算 机 网络 环境 多 途 境络的 样传径杂用使蠕对 化播昙主环网种 蓁 和的 的' 的 复应 一发 虫
生频率增 高 ,潜伏性 变强 ,覆盖 面更 广 ,造 成 的损 失也 更
Q u , a eg ,Z A eg , X i g a I L WU H i n —f H IP n U X n -to a
懈 U/rt, 语 n'sy 塔.Sad g 2 /5 妇)  ̄ / e hn n  ̄ 5 , o
Ab ta t Wih n ent sr c : t itre woms p e rd t e ewok e ui gv s g e t h ln e, f r x mp r a pae , h nt r sc r y ie a ra cal g t e 0 e a l ma y mp ra t a a r l t, a d o il e, n i ot n d t ae o s n s c a we l i a td. S i s infcn t su y at s h w se o t s i a t 0 td w0m rp g t n n d fne ta e is I ti a e . te e t su y s i g i r poa a i a d e es srt ge . n h p pr o s h k y o td i wom sa nn r cni g ad n wom d tc i o wom x ct meh ns . Th p pr nrd cs lny f c nig ta e is n d tc in e hoo is a d ie t e r e eto f n r e e ue ca i m i a e i o ue p t o sa nn sr tge a d ee t tc nlge , n gv s h i s t e o r a v na e a d h rcmig rsetv l Wi te x l ie r wt o itre w r cmpe iy, plmopi d a t g s n soto n s epc ie y. t h e po v g o h f ne nt o m o lxt h s oy rhc woms a e eo nw ee rh r h v b cme e rsac
加 巨大 ,如窃取 银行 账号 、网游账 号 等。蠕 虫病毒 一旦爆
() 3 通过不停地获得网络 中存在漏洞的计算机上的部
分或 全部 控制 权来 进行 传播 。 由于 各种 漏洞 ( 包括软 件设 计和 实现漏 洞 、策略 漏洞 等 ) 不可 避免性 ,使 得 网络蠕 的
虫具有 更广 泛的 生存空 间。
和检 测方 法 ,并 给 出 了各 自的优 点 和 不 足 。 随着 网络 蠕 虫 复杂 性 的增 加 ,多 态蠕 虫 已成 为新 的研 究 方 向 。 关 键 词 :网络 蠕 虫 ; 描 策略 ; 虫检 测 ;蜜罐 ;多态蠕 虫 扫 蠕
Re ea c o I t r et or s r h f n e n W m Sc n i g St at g e a d a n n r e i s n De e ton t c i Te h ol g e c n o is
主机 的信 息 ,包 括 系统 信息 、用 户信 息 、邮件 列 表、开放
码 学和计 算机 病毒技 术 ,无需计 算机 使用者 干预 即可运 行 的攻击程 序或 代码 ,它会 扫描 和攻击 网络上 存在 系统漏 洞
的节点主 机 ,通 过局 域网 或者 国际互联 网从 一个节 点传 播
到 另外一 个节 点。
网络蠕虫扫描策略和检测技术的研 究
亓 璐 ,吴海峰 ,翟 鹏 , 祥涛 徐
( 宁学院 ,山东 济宁 2 3 5 ) 济 7 15
摘 要 : 随着 网络蠕 虫的出现 ,网络 的安 全性 受到极大挑 战,许 多重要 数据遭到破坏和丢失 ,造成社会财 富的 巨大浪费,因此 , 研 究 网络蠕 虫的传播行 为和 防御 策略非常重要 。重点研 究了网络蠕 虫工作机制 中的蠕 虫扫描和蠕 虫检测 ,介绍 了多种扫描 策略
12网络蠕虫的工作机制 .
搜 索 扫 描 攻 击
发 ,就快 速地 复制传播 ,甚 至会造 成 网络大面 积瘫 痪 。因
此 ,研 究蠕 虫传播 行为 和防御 策略 显得尤 为重要 。 本论 文从 网络 蠕虫 的特性 和工 作机制 入手 ,重 点探究 了网络 蠕 虫的扫描 策略 和传播 原理 ,最后 介绍 了网络 蠕虫
防范 和检测 的方法 。
传 播
图 】 网络蠕 虫 的工 作 机 制
1网络蠕虫的特性及工作机制
网络蠕 虫 是一种 智能 化 、 自动化 ,综合 网络 攻击 、密
网络 蠕 虫的 工作机 制一 般 由搜集 、扫描 、攻击 、传播 四个 步骤 完成 ( 图 1 。() 集 : 网络上 收 集 目标 见 )… 1搜 在
te d . r n s
Ky e w o d r s: I e nt n re wom ; S a nn sr tge ; Wom dt cin H n y t r c nig ta e is r ee t ; oe d; P lmop i o oy rhc wom r
近年 来 ,随着 网络技 术的迅 速发 展和计 算机 的广 泛普
的端 口和 服 务等 。() 2 扫描 : 具 体 目标 主机 的 扫描 ,此 对 目标 主 机一 般 具 有不 同程度 的 漏洞 。() 3 攻击 : 对 目标 针
主机 的漏洞 或缺 陷 ,在被感 染主机 上 安装后 门 、跳 板 、监 视 器 等 ,摧 毁或 破坏 被 感染 主机 ,影 响网 络的 正 常运 行。