（通信与信息系统专业论文）基于蜜罐技术的蠕虫检测和防御系统的研究与设计.pdf

四j f f 大学t 学颂十学位论之摹于蜜罐技术的蠕虫斡铡和防系磋的酽究i 设计 基于蜜罐技术的蠕虫检测和防御系统的研究与设计 通信与信息系统专业 研究生古开元指导教师周安民 摘要 近几年来，随着互联网技术的飞速发展，网络提供了越来越多的应用和服 务，带给人们便利的同时，也给网络的安全问题带来巨大的挑战。特别是随着 网络蠕虫编写资料及蠕虫攻击工具包的大量出现，网络蠕虫编写变得越来越容 易，导致互联网上的蠕虫近乎泛滥，蠕虫技术还在不断的发展，网络中所暴露 出来的漏洞更是越来越多，如果没有有效的方法来对蠕虫进行检测并加以防范， 那么蠕虫将必然在给经济社会带来巨大损失的同时，还会严重的动摇着人们对 互联网健康发展的信心。， 虽然人们在如何有效检测和防范网络蠕虫方面进行了大量的研究，也开发 出了比如防火墙、入侵检测系统和病毒防护系统等安全防护系统，然而，这些 系统主要还是基于已知蠕虫攻击的特征签名来进行安全保护，但在新型蠕虫的 检测和防御方面却显得力不从心。蜜罐技术的出现，打破了传统网络安全被动 防御的局面，使得安全防御转为主动，给陷入困境的网络安全问题带来了新的 生机 蜜罐是一种安全资源，其价值在于被扫描、攻击和攻陷。本文正是以目前 对蜜罐技术的研究为基础，针对网络蠕虫特有的传播机制和工作方式，将蜜罐 技术与入侵检测和防御技术融为一体，引入了基于蜜罐技术的蠕虫检测和防御 系统，该系统的设计目的就是自动地检测和阻止新型蠕虫的爆发，特别适用于 在蠕虫发作的早期抑制其传播，试图捕获蠕虫样本，通过控制中心发布蠕虫签 名，从而达到互联网共同免疫蠕虫的目的。 本文首先分析了网络安全及蠕虫发展的现状，从网络蠕虫技术的基本原理 和发展趋势出发，针对目前已有的蠕虫检测和防范技术具有的优点和存在的不 订。0 ( “ 四川大学工学磺士学位论文基于蜜罐技术的蜉虫栓测和防御系统的研究与设计 足，通过对蜜罐技术的基本原理和相关技术的研究、分析，提出了利用蜜罐技 术结合网络入侵检测及防御技术共同构建一种新型的蠕虫检测和防御系统的设 计思想，并根据此设计思想给出了具体系统的设计与实现，主要包括蜜罐传感 器、入侵检测和防御传感器和控制中心传感器等模块，并解决了其中的主要关 键技术，给出了系统测试与结果分析。 最后，论文给出了作者下一阶段研究的方向和对未来蠕虫检测和防御技术 前景的展望。 关键词：网络安全，蠕虫，蜜罐，入侵检测，入侵防御 n 四j l | 大学t 学痂i 十学位论文摹于蜜罐技术的蠕虫挣铡和防御系统的铲究设计 r e s e a r c ha n dd e s i g no faw o r md e t e c t i o na n dp r e v e n t i o n s y s t e mb a s e do nh o n e y p o tt e c h n i q u e m a j o r ：c o m m u n i c a t i o na n di n f o r m a t i o ns y s t e m p o s t g r a d u a t e ：c - uk a j - y u a n a b s t r a c t i nr l ，7 e l l ty e a r s , w i t ht h er a p i dd e v e l o p m e n to fi n t 日n c t , m o r ea n dn l o a p p l i c a t i o n s a n ds e r v i c e sa r ep r o v i d e df l n o u g ht h en e t w o r k , 砒t h es a m t i m et h es e c u r i t yo ft h e n e t w o r ka l s of a c e st h ec n o r m o 珊c h a l l e n g e e s p e c i a l l yf o l l o w i n gt h ea p p e a r a n c eo ft h e a t m e kt o o l k i t so f w o r m sa n dn 暑s o u 日c 器o nh o wt oc o d eaw o r m , i ti se a s i e ra n de a s i e rt o c o d ean e ww o i t n ，w h i c hl e a d st ot h er e s u l tv a s tw o i n 幅o v e m m n i n gt h ei n t c r n c t t h e t e c l m i q u e su s e db yw o r m sa i ed e v e l o p i n ge n d l e s s l yw h i l et h ev u i n e r a b i l i t i e sb e c o m e s n l o 托a n di t i o i f e i fm o r ee f f e c t i v em e t h o d sa 旺芑n o t 曲v d o p e dt od e t e c ta n dd d 晒1 dt h e w o r m s , i t si n e v i t a b l et h a tn o to n l yg r e a td 锄a g ew i l lb ec a u s e dt ot h ei n t e m e t , b u ta l s o t h ep e o p l e sc o n v i n c et ot h eh e a l t h yd e v e l o p m e n to fi n t e m e tw i l lb ev i b r a t e ds e r i o u s l y a i m - g en u m b e ro f r e s e a r c hh a db e e nd o n et of i n dh o w t od e t e c ta n dp r e v e n tn e t w o r k w o r n le f f e c t i v e l ya n ds e c u r i t ys ) 吲黜s u c ha sf t r e w a a , i n l l 恼o nd e t e e t i o l ls y s t e ma n d v i r u sd e f e n d i n gs y s t e mh a db e e nd 删d o p c d ，h o w e v e r , a l lt h e s es y s t e a mm a i n l yp r o t e c t n e t w o r ku s i n gc h a r a c t e r i s t i cs i g n a t u r eo fk n o w nw o r l l 临a t t a c k s ot h a tt h e yc a nd o n o t h i n gw h e na l e w - s l y i cw o r h la r i s e s t h ep r e s e n c eo fh o n e y p o ti r i s t oc h a n g et h e p a s s i v es i t u a t i o no f l r a d i d o n a ln e t w o r ks e c u r i t yb ym a k i n gt h es e 口胎p r e v e n t i n gt oa c t i v e w h i c hh a sb r i n gu pan e wv i t a lf o r c et ot h es e c a n i t yp r o b l e mb e i n gi nh o tw a t e r ah o n e y p o ti sas e c u r i t yr e s 0 1 1 l x zw h o s ev a l u el i e si nb e i n gp r o b e d , a t t a c k e d , o r c 0 啊p i 切n i s 缸t h i sp a p e rh a sr e s e a r c h e do i lt h eh o n e y p o tt e c h n i q u ea n d ，b a s e do nt h e s p e c i a l t i e sw o i i i i sw a l i t t i n gm e t h o da n dw o r k i n g k c h 锄1 i 艇ma n di n 枷u c e sa d e t e c t i n ga n dp r e v e n t m gs y s t e ma g a i n s tn e t w o r kw o h nb a s e do i lh o n e y p o tb yc o m b i m g t h eh o n e y p o tt e c h n o l o g yw i t hi n w t l s i o nd e t e c t i n ga n dp r e v e n t i n gt e c h n o l o g y t h ep m p o o ft h es y s t e mi st oa u t o m a t i c a l l yd e t e c ta n di m p e d et h eo u t b r e a ko fan e w - s t y l ew o h i l e s p e c i a l l yt h es y s t e ma p p l i e st oc o n t a i nt h ew o r m ss p r e a da tt h ee a r l yd a ya n dt r i e st o c a p t t w et h es a m p l eo f w o r m s b yd i s m b u t i n gt h o s ew o r m s s i g n a t u r e su s i n gt h ec o n t r o l m 朋j f f 大学工学硕十学位论文基于蜜罐技术的蠕虫培测和防抛系统蛉酽究与设计 c 豇i 魄w ec a na c h i e v eo u ra i m st oi n l l t i u n et h ew h o l ei n t e r n e tf r o mw o f m 8 t h r t m t e r k f i r s t l y , a c t u a lc o n d i t i o n so f c t n t e n tn e t w o r ks e c u r i t yt e c h n o l o g ya n dn e t w o r kw o r m s d e v e l o p m e n t 眦a n a l y s e di nb e g i no f t h i sp a p e r , f r o mt h ee s s e n t i a lk n o w l e d g e sa n d t r e n do fn e t w o r kw o r mt e c h n i c a ld e v e l o p m e n t , a e c , o r d i n gt ot h ea d v a n t a g ea n dt h e d i s a d v a n t a g eo f c m t e n f l ye x i s t e n td e t e c t i n ga n dp r e v e n t i n gt e c h n o l o g ya g a i n s tw o r f 巩t h e p r i n c i p l ea n dc o r r e l a t i v et e c h n o l o g yo fh o n e y p o tf i l er e s e a r c h e da n d 觚a l 姗t h e n a n i d e ai sb r o u g h tf o r w a r dt od e s i g na n di m p l e m e n tan e ws y s t e mw h i c hi su s e dt od e t e c ta n d p r e v e n tn e t w o r kw o r mt h r o u g hc o m b i n i n gt h et e c h n i q u eo f n e t w o r ki n s l y u s i o nd e t e c t i o n a n dp r e v e n t i o nw i t ht h et e c h n i q u eo fh n u e y p o t a i i e r w a l d s , a c t u a l d e s i g na n d i m p l e m e n t i o na l eg i v e nb a s e dt h en o wi d e a ，w h o mc o m p o n e n t i n c l u d et h em o d u l e so f h o n e y p o t 默m 溉n e t w o r ki n t r u s i o n 蛳s o fa n dt h ec o n t r o lc e r l h - es a l s o fa n ds oo n t h e k e yt e c h n i q u eh a sb e e nr e s o v e da n dt h er e s u l t sw i t hh e 锄l 徊e so fs y s t e m st e s ta l s oa l e s h o w e d a tt h ee n d , t h i sp a p e rp o i n t so u tt h ed e r e c t i o nt of l g t h e rt h er e s e a r c ha n df o r e c a s t s t h ep r o s p e c to f f u t u r ew o r md e t e c t i o na n dp r e v e n t i o nd e v e l o p m e n t k e y w o r d ：n e t w o r ks e c u r i t y , w o r l n ，h o n e y p o t , i n m a s i o nd e t e c t i o n , i n t r u s i o np r e v e n t i o n i v 朋i 大学t 学硕十学位论文 摹于蜜罐技术的蜉虫蛤咧旬防御系统的研究与设计 第1 章绪论 本章作为论文的第一章，首先从c e r t c c 公布的近2 0 年的安全事件和漏 洞事件出发，引出了当今最为关注的互联网安全问题，特别强调了i n t e m e t 蠕 虫的巨大危害；然后简述了国内外目前对i n t e m e t 蠕虫发展的研究概括，指出 了针对i n t e r n e t 蠕虫的检测和防御工作的重要性和急迫性；接着针对当前传统 的安全技术无法应对快速发展的恶性蠕虫的弱点，提出了利用新型的蜜罐技术 结合传统安全技术共同检测和防御蠕虫的思想；本章的末尾给出了在研究本课 题过程中作者所做的努力和工作，以及本篇论文的安排情况。 1 1 选题背景和研究意义 随着现代互联网络的飞速发展，网络规模不断扩大，网络信息系统的复杂 度也在不断的增加，随之暴露出来的系统漏洞和应用程序漏洞逐渐增加，由此 给互联网络带来的安全威胁与损失也越来越大。根据c e r t c c ( 计算机紧急响 应小组) 公布的统计报告结果【l 】，从1 9 8 8 年至2 0 0 3 年统计的i n t c r n e t 安全事件 ( 图1 一i ) 可以看到，i n t e r a c t 互联网的安全威胁事件正在急剧的增长并呈现出 继续大幅度爬升的趋势。 图卜1c e r t c c 统计报告的安全事件 近几年是中国网络安全事件发生次数最多，波及面最广，影响力最大的一 年，而其中造成危害最大的当数网络蠕虫病毒了随着这几年网络的大力普及 四川大学t 学硕十学位论文摹于蜜罐技术的蠕虫挣洲和防铆系统的研究与设计 与蠕虫编写要求的不断降低，蠕虫爆发的频率是越来越高，越来越多危害性很 高的蠕虫在互联网上不断出现，其传播速度也呈几何级数加快，所造成的危害 与以前的蠕虫相比可谓之有过之而无不及。 现有的应对网络蠕虫攻击的防护措施主要包括防火墙、入侵检测系统，病 毒防护系统等，它们在一定程度上抑制了蠕虫的攻击，提供了保护措施，但是 这些防护系统并不是万能的，它们在很多方面还存在着不足。防火墙防范蠕虫 的前提是对各种已识别类型的蠕虫攻击进行正确的配置，这要求防火墙知识库 不断更新以识别各种新类型的蠕虫攻击。入侵检测系统一方面像防火墙一样需 要知识库不断更新，另一方面对有违反安全策略的恶意使用行为进行识别和响 应。病毒防护系统则主要针对个人主机的安全性进行保护，对网络范围内的保 护不够，而且面对新类型的蠕虫攻击，它也常常束手无策。从根本上说，防火 墙、入侵检测系统和病毒防护系统都滞后于各种各样的黑客攻击，这就决定了 以防火墙、入侵检测和病毒防护系统为核心的网络安全体系不可能完全、有效 地解决网络安全问题。 蜜罐技术是近几年来发展极为迅速的一个信息安全网络研究方向，它将主 动防御的思想引入到网络安全的防御中，成为了网络安全防御体系研究的新热 点。蜜罐作为一种新型的安全工具在针对已知和未知攻击的检测、分析、研究、 尤其是对网络蠕虫攻击的捕获、分析、研究方面日益显示出其无比的优越性。 蜜罐技术的研究已经成为目前信息安全领域的新热点，特别是针对网络蠕虫的 检测和防御方面，如何使蜜罐技术与传统的入侵检测和防御系统相结合，对我 们来说具有重要的理论意义和研究价值。 1 2 国内外蠕虫的研究概况 早在1 9 8 8 年第一个真正意义上的蠕虫( m o r r i s 蠕虫) 出现以来，蠕虫就显 示出它巨大的破坏力和危害性，但由于当时互联网络普及度不高，所以并没引 起人们更多的注意。从1 9 9 0 年开始，对抗恶意软件破坏的内容主要锁定在个人 电脑的防病毒上，科研人员的主要精力放在如何预防、检测和消除攻击个人电 脑文件系统的病毒。虽然邮件病毒的出现，使人们认识到了互联网的普及已经 使病毒的性质发生了一些变化，需要调整研究方法和目标，但对于蠕虫的研究 和防御仍比较少。1 9 9 8 年，s t e v er w h i t e 就曾强调应该加强蠕虫对抗工作的研 究力度吲，并指出；针对文件系统的防范措施并不适用于蠕虫的防范需求。2 0 0 0 年，i b m 启动对抗网络蠕虫的项目，力求开发一个自动检测和防御蠕虫的软硬 件环境【3 】，关键技术是构造虚拟机来仿真蠕虫传播的网络环境。2 0 0 1 年，j o s e 2 皿j 大学t 学硕士学位论文幕于蜜罐技术蛉嚓虫柃洲和阱御系绩的铲究与设计 n a z a r i o 等人讨论了蠕虫的技术发展趋势，给出了蠕虫的一个功能模型框架 4 1 ， 2 0 0 1 年7 月，“红色代码”( c o d e r e d ) 蠕虫爆发，针对蠕虫的研究逐渐成为热 点。b e r k e l y 大学的n i c h o l a s w e a v e r 给出了几种蠕虫快速传播策略垆】，并预言 在3 0 分钟内感染整个互联网的蠕虫即将出现，在蠕虫对抗技术方面则强调蠕虫 的检测、分析和响应需要自动化；d a v i d m o o r e 提出了衡量防范蠕虫技术的有 效性的三个参数：响应时间、防范策略、部署策略【6 1 ，但令人失望的是，目前 的防御技术在这三个参数上都远达不到对蠕虫防御的要求。 目前国内几乎没有专门的蠕虫检测和防御系统，而且专门针对蠕虫检测和 防御方面的研究和相关文献也屈指可数。传统的主机防病毒系统并不能对未知 的蠕虫进行检测，只能被动的对已发现的特征的蠕虫进行检测：而目前市场上 的入侵检测产品，对蠕虫的检测也多半的基于特征，同时i d s 提供的异常检测 功能，虽然可以发现网络中的异常，但是也没有更好的办法对蠕虫的传染进行 控制，减少蠕虫造成的损失。 i n t e r n e t 网络的大力普及，大量的蠕虫工具包和蠕虫编写技术文章在网络上 的共享，使得蠕虫编写工作越来越容易。旧的蠕虫威胁依然存在，新的蠕虫又 不断涌现，给互联网带来的危害己远远超过了传统病毒，加强对蠕虫的检测和 防御工作是迫在眉睫，势在必行。目前的研究工作主要停留在对已知蠕虫的检 测和防御，而且用到的技术相对滞后，使得针对蠕虫的防御非常被动，为了改 变这种被动的局面，必须调整现有的研究方法和目标。 1 3 作者所做的主要工作 在整个课题的研究期间，本人深入地研究了目前网络蠕虫的行为特征，传 播模型和发展趋势，详细了分析目前传统网络安全技术的优点与不足，结合实 际的具体需求，针对性的提出了利用蜜罐技术来对i n t e m e t 蠕虫进行检测和防 御，并在参考了大量已有的蜜罐系统、入侵检测和防御系统的基础上，设计并 构建了w o r m h t m t e r 蠕虫检测和防御系统，而且实现了部分相关的关键技术， 初步达到了设计要求，最后对未来的发展方向提出了自己的看法。作者所做的 工作主要包括以下几个部分： l n t e r n e t 蠕虫技术的发展和趋势的分析 现有的安全技术和蠕虫检测技术的优缺点进行总结 对蜜罐技术的基本原理和发展的研究与分析 w o r m h u n t e r 蠕虫检测和防御系统的总体设计和关键技术的实现 对w o r m h u n t e r 系统功能的初步测试 对蠕虫检测和防御技术发展方向的总结与展望 3 网l i i 大学t 学面士学位论文摹于蜜罐技术的蛴虫柃删和酷御系圣兖的醪宅与设计 1 4 论文的组织结构 论文共有七章，可以划分为三大部分： 第一部分：由第一、二、三章组成，主要研究了网络安全技术的现状和国 内外针对蠕虫的研究概况，详细分析了目前网络蠕虫技术的发展及其相关的检 测防御技术，并引出蜜罐技术并分析了其相关的理论基础和关键技术。 第二部分：由第四、五、六章组成，具体详细地阐述了w o r m h u n t e r 蠕虫 检测和防御系统的总体设计思路、详细设计过程和部分关键技术的具体实现， 并给出了系统测试与结果分析。 第三部分：由第七章组成，对本论文进行了总结，概述系统优势与不足， 并提出下一步对w o r m h u n t e r 系统的研究和完善的工作，及对蠕虫检测和防御 技术在未来的展望。 4 四i l 大学t 学面七学也论文摹于窨罐技术的蜉虫蜉洲和防御系统的酽究与设计 第2 章网络蠕虫研究 本章首先从网络蠕虫的定义入手，接着由网络蠕虫的结构组成、目标发现 策略、传播方式、激活方式和负载功能等方面详细地研究了蠕虫的基本特点， 然后利用网络蠕虫的基本传播模型公式化地分析了蠕虫的传播模型和策略，最 后总结了近几年网络蠕虫给互联网带来的巨大危害，并讨论了目前存在的几种 蠕虫检测技术，特别地论证了基于蜜罐的蠕虫检测技术相对于其他技术所具有 的优势，为第三章蜜罐技术研究铺平道路。 2 1 蠕虫的定义 计算机病毒自出现之日起，就成为计算机的一个巨大威胁，而当网络迅速 发展的时候，网络蠕虫病毒引起的危害开始显现。从广义上定义，凡能够引起 计算机故障，破坏计算机数据的程序统称为计算机病毒【7 】。从这个意义上说， 蠕虫也是一种病毒。但是蠕虫和一般的病毒有着很大的区别。一般认为，蠕虫 是一种通过网络传播的恶性病毒，它具有病毒的一些共性，如传播性，隐蔽性， 破坏性等等，同时具有自己的一些特征，如不利用文件寄生( 有的只存在于内 存中) ，对网络造成拒绝服务，以及和黑客技术相结合等等! 在产生的破坏性上， 蠕虫病毒也不是普通病毒所能比拟的，网络的发展使得蠕虫可以在短短的时间 内蔓延整个网络，造成网络大面积的瘫痪。 简单概括来说，网络蠕虫是一种智能化、自动化，综合网络攻击、密码学 和计算机病毒技术，不需要计算机使用者干预即可运行的攻击程序或代码。它会 扫描和攻击网络上存在系统漏洞的节点主机，通过局域网或者互联网从一个节 点传播到另外一个节点1 8 】。该定义体现了新一代网络蠕虫智能化、自动化和高 技术化的特征。 2 2 蠕虫技术概述 2 2 1 蠕虫的行为特征 基本程序结构 蠕虫的基本程序结构一般包括传播、隐藏和目的功能三个模块，各模块之 间的作用如表2 1 所示： 5 四川大学t 学硕十学位论丈摹于富罐技术的蠕虫栓椰翱防柳系统贮研究与设计 表2 - 1 蠕虫基本模块及作用 模块名称备模块豹作彤 传播模块 负责蠕虫病毒的传播 隐藏模块侵入主机后。隐藏蠕虫病毒程序，防止破用户发现 目的功能模块实现对计算机的控制、监视或破坏等功能 从检测和防御蠕虫角度来看，传播模块应该说的上是我们研究的重点，传播模 块又可以分为三个基本部分：扫描、攻击和复制。图2 - 1 阐述了一个常见的网 络蠕虫工作流程示意图： 图2 - 1 网络蠕虫的工作流程 由此可以总结出普通蠕虫程序的一般传播过程为： ( 1 ) 选择目标：根据蠕虫自定义的目标m 生成策略产生攻击树列表查找 算法，为后面的扫描线程铺路。 ( 2 ) 扫描：由蠕虫的扫描功能模块负责探测存在漏洞的主机。当蠕虫程序 向目标发送探测漏洞的信息并收到探测成功的反馈信息后，就得到一个可传播 的对象。 ( 3 ) 攻击：攻击模块根据步骤2 中发现得到的目标对象发送攻击代码，取 得该目标的某种权限( 一般为系统管理员权限) ，并获得一个s h e l l 。 ( 4 ) 复制：复制模块通过已感染主机和目标主机之间的交互将蠕虫程序复 制到目标主机并启动，完成感染过程。 目标发现 蠕虫传播的第一步是如何发现攻击目标，即定位网络可达的正运行着可利 6 阴大学t 学硕十学位论文 摹于蜜罐技术的蠕虫检耙知防御系绩的酽究与设计 用服务的主机。其中用到的技术有很多： ( 1 ) 随机扫描：蠕虫利用随机数或伪随机数发生器创建攻击的口地址。 由于该技术十分简单，所以它在目前蠕虫的传播策略中是最为普遍。蠕虫的随 机扫描策略是否有效，主要依据这些创建的i p 地址空间里的漏洞主机的“浓度” 和扫描程序的设计而定。有几种优化方法可以加快扫描型蠕虫的扩散速度。第 一，本地口地址优先于远程i p 地址，因为在被感染主机和被攻击目标之间的 实际距离将影响着延迟时间的长短；第二，利用队列算法来扫描口地址空间可 以避免对同一地址的多次扫描，即所有蠕虫自身携带相同的伪随机数地址队列， 每当一台主机被感染后这台主机就从它所在的队列中的位置往后扫，当它扫到 的一台已经被感染的主机时，它就会随机地从队列再从自身所携带的口地址队 列中选取一个地址继续扫描：第三，像s l a m m e r 和s a p p h i r e 蠕虫用单一的u d p 包，或构造和发送原始t c p 数据包，可以产生比主机带宽更大的吞吐量，加快 扫描速度。 ( 2 ) 列表名单：利用可能存在的目标列表可以形成传播极快的蠕虫。此类 蠕虫可以利用一个类似。黑名单”的东西来加速其初始化阶段，在几分钟内可 以迅速感染整个列表上的脆弱目标。该技术的难点在于预先产生攻击目标的名 单或列表，可选的方案是，通过其他手段来获得攻击列表名单，像基于已感染 目标的邮件列表，或即时通信软件的好友列表等等。 ( 3 ) 被动发现：一个被动或秘密的蠕虫通常不主动地做任何事去定位目标， 相反，它等待潜在的受害者来与已感染的主机进行交互，然后利用对方系统的 漏洞来传播。虽然这种蠕虫传播速度很慢，但因为它们不产生任何异常的通信 所以隐蔽性很高，极难检测。 传播方式 传播过程是蠕虫活动最重要的环节，蠕虫传播的方式主要包括下面三类： ( i ) 自我复制：这类蠕虫会把它们自身作为感染进程的一部分发送到目标， 这是比较普遍的手段，即当感染一台主机后，发送e x p l o i t 或蠕虫代码到其它脆 弱目标上并执行。 ( 2 ) 第二通道：许多蠕虫在感染一台主机后常常打开第二个通道，然后通 过这第二个通道来拷贝或下载蠕虫病毒体，比如冲击波蠕虫打开攻击目标的由 w i n d o w s 系统自带的珊客户端来下载m s b l a s t e x e 蠕虫文件。 ( 3 ) 嵌入式：这通常由被动式蠕虫采取的方式。已感染主机把蠕虫作为通 信数据的一部分发送给主动连接自身的受害者。 激活方式 7 四大学工学硕十学位论文摹于蜜罐技术的蠕虫埝删和防御系统的研究与设计 蠕虫在将自己复制到受害目标主机后，还必须通过某种方式激活来以便继 续传播、复制和执行其他任务。 ( 1 ) 自激活：一旦主机被感染就立刻激活，这样才能达到最快的蠕虫传播 速度。它们的代码通常在脆弱的服务下执行，也有可能是脆弱服务已经中止， 但蠕虫代码仍可继续执行。 ( 2 ) 人为激活：在早期蠕虫和病毒的区别就是是否有人为的交互。然而， 现在，这些区分已经不再明显，一些蠕虫在用户执行了某个操作后才开始激活。 比如“尼姆达”( n i m d a ) 蠕虫就是利用w m d o w s 未安装补丁的系统，当用户 试图去访问远程共享时，“尼姆达”蠕虫就被激活。很显然，通过这种方式激活 的蠕虫传播相对来说比自激活要慢的多。 ( 3 ) 定时激活：这些蠕虫利用预定的时间执行服务来激活。他们比人为激 活方式要更快些，比如软件或系统的自动更新服务。 负载功能 蠕虫的负载就是蠕虫体运载的一段代码，除了负责传播和感染外，还具备 其他的一些功能。 ( 1 ) 什么都不做：这类蠕虫除了感染其他主机传播自己外，不执行其他任 何事，通常都是作为一个概念性实证( p r o o f o f c o n c e p t ) 的例子。 ( 2 ) 分布式拒绝服务攻击( d d o s ) ：这类蠕虫很普遍，他们的攻击目标要 么是政府性网站( 比如美国白宫) ，要么是著名的厂家和企业的服务器( 比如 m i c r o s o f t 公司) ，通过d d o s 攻击来达到这些关键性的网站或企业遭受损失。 ( 3 ) 远程控制：一些蠕虫打开第二通道，但不是为了完成感染，而是运行 任意代码的传输来保证它们在受害者主机上执行，而使得攻击者可以控制已感 染的机器。 ( 4 ) 数据窃取或破坏：大多数恶意蠕虫的负载都是用来盗取或破坏个人的 敏感数据和信息。这些蠕虫可以用于网络犯罪来盗取信用卡号，密码等。 2 2 2 蠕虫的传播模型 目前建立的蠕虫传播模型基本上都是从医学研究中的传染病传播模型借鉴 得来，主要分为三大类：s i 模型，s i s 模型和s i r 模型1 9 1 0 , 1 1 1 。 s i 模型 s i 模型考虑网络中两种状态的计算机节点；易感染主机( s u s c e p t i b l e m a c h i n e ) 和被感染主机( i n f e c t e dm a c h i n e ) ，在这种模型中，如果易感染主机 8 四川大学t 学硕士学位论文基于堂罐技术的蠕虫挣测匍荫御系统的研究与设汁 被感染，则将一直处在被感染状态，这种模型的最终结果是网络中所有的主机 都被感染。s i 模型的微分方程表达式为： d i ；_ ( t ) ：f l l ( t ) n 一，o ) 】 ( 1 ) m 在公式( 1 ) 中，( 力为时刻t 已被感染的主机数；n 为网络中主机总数；p 为主机感染率。当t = o 时，i ( o ) 为最初已感染的主机数，肛一f 纠为易感染主机 数。取节点数n = 1 0 0 0 0 0 0 0 ，感染概率因子为口= 1 1 0 0 0 0 0 0 0 0 ，当蠕虫繁殖副 本数量s ( o ) = 3 时，仿真结果如图2 - 2 ，横坐标为传播时间，纵坐标为整个网络 被感染的百分比。 筮 众 1 m 攥 镄 谵( 图2 吨s i 模型中网络蠕虫的传播趋势 s i s 模型 s i s 模型仍然考虑网络中两种状态的计算机节点：易感染主机( s u s c e p t i b l e m a c h i n e ) 和被感染主机( i n f e c t e dm a c h i n e ) ，但在这种模型中，如果易感染主 机被感染，在某种状况下，又会从被感染状态恢复到易感状态，这种模型的最 终结果是达到一种平衡状态，反复有主机被感染和恢复，被感染的主机数量和 恢复的主机数量相当，其微分方程表达式为： 氅2 ：f l i ( t ) n m ) 卜曰( f ) ( 2 ) m 其中，( 力表示至时刻t 被感染的主机数，p 表示主机感染率，表示网络 种主机总数，艿表示已感染主机的修复率。 s i r 模型 s i r 模型考虑网络中三种状态的计算机节点：易感染主机( s u s c e p t i b l e m a c h i n e ) 、被感染主机( i n f e c t e d m a c h i n e ) 和免疫主机( r e c o v e r e d m a c h i n e ) ， 在这种模型中，如果易感染主机被感染，则变成被感染主机，在某种状况下， 9 o 9 8 7 6 5 4 3 2 l l o o o o o o o o o o 叨川大学t 学硕十学位论文摹于蜜罐技术的蠕虫垮测和防御系 e 的研究与设计 被感染主机被修复，进入免疫状态，处于免疫状态的主机不会被再次感染，这 种模型的最终结果是网络中所有的主机都免疫。s i r 模型的微分方程表达式为： d j - ( t ) 一j 【，( f ) 一，( f ) 】 讲 掣咧r ) ( 3 ) j ( f ) = ，( f ) + r ( f ) = n - s ( t ) 其中，( 幻表示时刻r 仍具有感染性的主机数；月( 幻表示时刻f 已经从被 感染的机器种免疫的主机数；贝疗表示时刻t 所有被感染过的主机数，包括仍 具有感染性的和已经从被感染的机器中免疫的，所以“力= ，( 幻+ 斤( 力；是 感染率；，是主机从被感染的机器中移除的恢复率；s ( 力表示时刻f 仍具有脆 弱性的主机数；表示网络中全部节点主机。 图2 - 3 给出了s i r 模型中蠕虫的传播趋势，其中节点数忙：1 0 0 0 0 ，感染率 = 1 1 0 0 0 0 0 0 ，蠕虫繁殖副本数量j ( o ) = 3 时，恢复率y = o 0 1 。 强 霸 嚣 十h 图2 - 3s i r 模型中网络蠕虫的传播趋势 通过引入各种影响蠕虫传播的因素，如目标选择算法、多线程数量、感染 时间、感染成功概率等等，模型数学表达的具体形式有所不同，但基本上仍然 可以归类到这三类模型中来。这三种模型都隐含一个假设，就是所有易感染主 机的地位都是平等的。基于这个假设建立的模型对于采用随机方法生成攻击目 标i p 地址集合的蠕虫是适用的，这也符合已经爆发的大多数蠕虫的实际情况。 l o l o 9 8 7 6 5 4 3 2 l l l o o o o o o o o o o 明i i f 大学t 学硬士学位论文基于蜜罐技术的蠕虫蛉测翔防街系圣宽的研究与设计 2 2 3 蠕虫的破坏和发展趋势 蠕虫带来的危害 从1 9 8 8 年m o r r i s 从实验室释放出第一个蠕虫病毒以来，计算机蠕虫病毒 以其快速、多样化的传播方式不断给网络世界带来灾害。特别是1 9 9 9 年以来， 高危蠕虫病毒的不断出现，使世界经济蒙受了轻则几千万，重则上百亿美元的 巨大损失。下表列举了近几年来较为著名的蠕虫及其带来的损失1 2 j ： 表2 - 2 著名蠕虫的档案表 缩虫名称爆发日期造戒豹损失 m o r r i s 1 9 8 8 年1 1 月2 日6 0 0 0 多台计算机停机，直接经济损失达9 6 0 0 万 美元! a d m 1 9 9 9 年9 月政府部门和一些大公司紧急关闭了网络服务器， m i l l e n n i u m 经济损失超过1 2 亿美元! c o d e r e d2 0 0 1 年7 月1 9 日网络瘫痪，直接经济损失超过2 6 亿美元 n i m d a 2 0 0 1 年9 月1 8 日损失评估数据从5 亿美元攀升到2 6 亿美元后， 继续攀升，到现在已无法估计 m s b l a s t 2 0 0 3 年8 月1 3 日1 1 日夜晚至1 2 日凌晨在国内网络发现，仅3 天 的时间就已经感染了数l o 万台机器 s l a m m e r 2 0 0 3 年1 月2 5 日网络大面积瘫痪，银行自动提款机运做中断，直 接经济损失超过2 6 亿美元 s a a s e r2 0 0 4 年4 月3 0 日 在短短一个星期之内就感染了全球1 8 0 0 万台机 器，成为2 0 0 4 年当之无愧的。毒王” s a n t y 2 0 0 4 年1 2 月2 1 日 截止到2 2 日。g o o g l e 可以统计到的破s a n t y 蠕虫 破坏的网站已达到2 6 0 0 0 多个 蠕虫发作的一些特点和发展趋势 蠕虫发作需要具备一定条件的，而且他们本身都有一些明显的特点： ( 1 ) 利用操作系统和应用程序的漏洞主动进行攻击。蠕虫与病毒很大的区 别就是，他们可以利用系统或应用程序的漏洞主动地发起自动化攻击而不需人 为的运行，几乎每一次漏洞安全公告的公布都可以引发利用该漏洞的一个或多 个蠕虫的爆发。 ( 2 ) 传播方式多样。如“尼姆达”( n i m d a ) 蠕虫和“求职信”蠕虫，可利 用的传播途径包括文件、电子邮件、w e b 服务器、网络共享等等。 网ir l 大学t 学硕士学位论文基于蜜罐技术的蠕虫检洲和防御系圣宽的研究与设计 ( 3 ) 蠕虫制作技术与传统的病毒不同的是，许多新蠕虫是利用当前最新的 编程语言与编程技术实现的，易于修改以产生新的变种，从而逃避反病毒软件 的搜索。另外，新蠕虫利用j a v a 、a e t i v e x 、v bs c r i p t 等技术，可以潜伏在h t m l 页面里，在上网浏览时触发。 ( 4 ) 与黑客技术相结合，潜在的威胁和损失更大。以红色代码为例，感染 后的机器的w e b 目录的s e r i p t s 下将生成一个r o o t e x g ，可以远程执行任何命令， 从而使黑客能够再次进入。 从上面的分析很明显的可以看到，近几年来漏洞公布和蠕虫爆发的时间问 隔是越来越短，而危害却越来越大，并且随着时间的推移，控制蠕虫和清除蠕 虫将会更加困难，图2 - 4 清晰地阐述了时间与漏洞、蠕虫和防范三者之间的相 互关系。所以，如何在蠕虫爆发形成规模前自动检测出蠕虫的特征后生成签名， 并发布给各个网络进行封堵或疫苗，将显得尤为重要，这也给我们的研究提出 了一个重大的挑战。 i 越来越短 j越来越长，越来越难i 图2 - 4 漏洞、蠕虫与防范之间的关系 2 3 常见的蠕虫检测技术 网络蠕虫的检测技术与网络蠕虫编写技术永远是相辅相成，互相促进的。 随着蠕虫技术的不断发展，安全研究人员也在对蠕虫编写及特征的研究基础上 不断完善和丰富着现有的网络蠕虫检测技术，准确而高效的网络蠕虫检测技术 是人们对抗网络蠕虫的首要条件。 基于签名的检测技术 基于签名的蠕虫检测技术的核心是模式匹配。每当新的蠕虫出现时，研究 人员通过对蠕虫的研究提取出能充分识别该蠕虫的特征字符串，形成对该蠕虫 的签名，加到相应的签名库中，这些签名可能是恶意的网络负载，也可能是蠕 1 2 四大学丁学硕士学位论文 摹于蜜罐技术的蠕虫挣测和防御系统的铲究 i 设汁 虫可执行代码中的部分样本代码等。有了该蠕虫的签名之后，当再有此类爆发 或者此类蠕虫在其他地方爆发时就可以通过该签名进行识剐，以采取进一步的 防范措施加以阻止。对于基于签名的蠕虫检测系统来说，签名库是这类系统中 非常重要的部件，因为签名库的质量高低直接影响系统的准确性和有效性。 目前基于签名的蠕虫检测技术主要有三种类型：基于网络负载的签名匹 配；基于日志分析的签名匹配；基于文件内容的签名匹配。基于签名的蠕 虫检测技术具有高效准确的特点，但它也致命的缺点：只要蠕虫的人体稍有变 异，这种方法就往往失去效力。这也是为什么一个新的蠕虫出现后会有许多的 变种紧随出现的原因。另外，由于在检测过程中要用到蠕虫的特征签名，所以 这种技术是一种后发制人的对抗方式。 网络黑洞检测技术 网络黑洞指的是网络中没有分配的i p 地址空间。由于蠕虫作者在编写蠕虫 时出于减少蠕虫个体的大小( 相对携带有效i p 空间块的蠕虫而言) 或者扩大蠕 虫影响范围的考虑，往往会采用对全部地址进行扫描探测的方法，而正常的 网络通信一般不会涉及这些并不使用的m 地址。根据这一点，就可以通过对与 网络黑洞相关的数据包的监控来实现恶意行为的检测，通过对所监测到的数据 进行分析，就可以及时发现网络中出现的蠕虫攻击行为。 ，这种技术的优点是对所有扫描全网的蠕虫都适用，无论是已知蠕虫还是未 知蠕虫，但对于基于目标列表扫描的蠕虫和被动型扫描蠕虫来说就不太适用。 基于流量的检测技术 基于流量的检测方法是一种非常有效的蠕虫检测办法，它充分利用没有蠕 虫与存在蠕虫时流量的差异性来实现蠕虫的检测。通常情况下，一台主机或者一 个局域网在正常运转的情况下其每天的平均流量几乎是相等的，即使稍有变化 也是在很小的范围内波动，但总体上是稳定的。遭受蠕虫入侵后其网络流量则会 出现较大幅度的变化，所有的蠕虫在展开攻击前都要先通过扫描探测模块来发 现其要攻击的目标，而且在攻击成功后往往还要完成其负载的传播，由于整个 过程是蠕虫自主发起的，探测频率一般非常高，所以通常会在短期内产生大量 的扫描探测包，使网络的流量迅速增加，甚至会造成网络的拥塞。 基于流量的检测方法的难点在于各种参数的阈值的确定，这影响着检测结 果的准确性，阈值制定得太低容易造成太多的误报，而如果制定得太多，则又 容易造成漏报而起不到应有的检测作用。