王玉霞

摘 要：受文網(wǎng)絡(luò)蠕蟲的傳播機(jī)制進(jìn)行了建模分析，在此基礎(chǔ)上進(jìn)一步總結(jié)并且描述了網(wǎng)絡(luò)蠕蟲的檢測技術(shù)，介紹了網(wǎng)絡(luò)蠕蟲的控制方法，著手于研究網(wǎng)絡(luò)蠕蟲的檢測與防御技術(shù)。

關(guān)鍵詞：網(wǎng)絡(luò)蠕蟲 防范 研究

中圖分類號：TP319.3 文獻(xiàn)標(biāo)識碼：A 文章編號：1674-098X（2014）02（a）-0056-01

網(wǎng)絡(luò)蠕蟲是常見的病毒，雖然具有一般病毒的特征，即通過網(wǎng)絡(luò)載體進(jìn)行復(fù)制傳播，但與一般的病毒最主要區(qū)別是沒有人為干預(yù)，能夠獨(dú)立運(yùn)行。網(wǎng)絡(luò)蠕蟲具有潛伏性強(qiáng)、傳播快、生存周期長、覆蓋面廣、發(fā)生頻率高等特點(diǎn)，特別是新型蠕蟲與多態(tài)蠕蟲的涌現(xiàn)，造成網(wǎng)絡(luò)癱瘓，成為危害網(wǎng)絡(luò)安全的重大隱患。

1 網(wǎng)絡(luò)蠕蟲的建模分析

研究網(wǎng)絡(luò)蠕蟲的傳播機(jī)制，通過蠕蟲主體功能的四個模塊對蠕蟲病毒進(jìn)行分析，即掃描、搜索、攻擊、復(fù)制和傳輸四個模塊。

1.1 搜索模塊

該模塊決定采用技術(shù)的和非技術(shù)的方法搜集本地或者目標(biāo)網(wǎng)絡(luò)的信息，其搜索主要內(nèi)容有系統(tǒng)類型、版本、用戶名、郵件列表、開放的服務(wù)器軟件版本、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)以及邊界的路由信息。

1.2 掃描模塊

該模塊利用信息搜集模塊搜集的信息所完成的檢測，探測搜索的主機(jī)。通常掃描探測策略有順序、基于目標(biāo)列表、基于路由掃描、隨機(jī)和選擇性隨機(jī)掃描等。

1.3 攻擊模塊

該模塊利用掃描探測模塊探測的主機(jī)漏洞，對目標(biāo)系統(tǒng)實(shí)施攻擊和建立傳輸通道，以植入和運(yùn)行蠕蟲副本。緩沖區(qū)溢出攻擊是普遍的攻擊形式，此外攻擊形式還有系統(tǒng)誤配置和字符串格式攻擊等。

1.4 復(fù)制模塊

該模塊通過交互原主機(jī)和新主機(jī)，將病毒復(fù)制到新主機(jī)并啟動，生成多種形式的副本。

1.5 傳輸模塊

該模塊在實(shí)施攻擊后，下載安裝附加的惡意代碼到目標(biāo)機(jī)，還會添加到windows進(jìn)程中，致使系統(tǒng)操作異常。

通過對網(wǎng)絡(luò)蠕蟲的建模分析表明，網(wǎng)絡(luò)蠕蟲的傳播雖具有突發(fā)性，但還有一定的規(guī)律性，因此，在傳播初期進(jìn)行有效的檢測和控制能夠抑制蠕蟲的泛濫。

2 網(wǎng)絡(luò)蠕蟲檢測技術(shù)

網(wǎng)絡(luò)蠕蟲控制技術(shù)的主要思想是，通過研究各個主機(jī)流量隨時間變化的規(guī)律，預(yù)測網(wǎng)絡(luò)蠕蟲的變化趨勢，進(jìn)而有效防范病毒的傳播。網(wǎng)絡(luò)蠕蟲控制方向一般有三大方面，即主機(jī)隔離、阻斷、限速。當(dāng)前最常用的是檢測主機(jī)單位時間發(fā)起的連接失敗率，丟棄數(shù)據(jù)包且切斷主機(jī)與網(wǎng)絡(luò)的通信，但是對流量產(chǎn)生影響，準(zhǔn)確率也受到限制。

2.1 網(wǎng)絡(luò)蠕蟲檢測主要技術(shù)

檢測技術(shù)被稱作是防火墻的補(bǔ)充，即第二道安全門，通過自身校驗、安全日志、關(guān)鍵字等來對蠕蟲特征進(jìn)行檢測。檢測技術(shù)是主動的網(wǎng)絡(luò)防御技術(shù)，能夠彌補(bǔ)單純防火墻的不足。網(wǎng)絡(luò)蠕蟲檢測技術(shù)在采用入侵檢測技術(shù)的同時，也結(jié)合了網(wǎng)絡(luò)蠕蟲自身及其傳播中具有的特點(diǎn)，綜合應(yīng)用了多種技術(shù)來進(jìn)行蠕蟲檢測和控制，其中包括網(wǎng)絡(luò)蠕蟲檢測與預(yù)警，網(wǎng)絡(luò)蠕蟲傳播抑制，網(wǎng)絡(luò)蠕蟲應(yīng)對等。通常情況下，檢測技術(shù)有兩種，即誤用檢測和異常檢測。

誤用檢測是基于知識、規(guī)則的檢測，一般是根據(jù)以往的各種攻擊，提取特征，然后建立一個規(guī)則庫，當(dāng)根據(jù)檢測到的事件模式或者系統(tǒng)狀態(tài)，與預(yù)先建立的規(guī)則庫相匹配時，則說明有入侵行為特征編碼存在。誤用檢測技術(shù)雖然有較高的準(zhǔn)確度，但是誤用檢測主要檢測曾出現(xiàn)的異常行為特征，而變種的蠕蟲病毒和以往沒出現(xiàn)的異常行為沒有檢測能力，因此其規(guī)則庫必須依據(jù)不斷出現(xiàn)的新情況及時更新，規(guī)則庫更新的頻率決定了系統(tǒng)的檢測能力。

異常檢測是通過對網(wǎng)絡(luò)的正常行為的描述，定量地描述其行為特征，分析和發(fā)現(xiàn)系統(tǒng)異常行為和網(wǎng)絡(luò)流量的異常情況，網(wǎng)絡(luò)流量的異常檢測基本思想是把網(wǎng)絡(luò)流量特征分為兩個層次的特征集合，即基本和組合特征集合。

2.2 網(wǎng)絡(luò)蠕蟲檢測技術(shù)比較

異常檢測技術(shù)中對正常網(wǎng)絡(luò)行為的描述是通過對過去大量歷史數(shù)據(jù)的分析得到的，任何偏離的正常行為均被認(rèn)為是異常。相比之下，誤用檢測則通過標(biāo)識的那些已知的入侵行為，通過對其具體行為的判斷、推理，進(jìn)而檢測其行為。兩者相比較而言，異常檢測技術(shù)的誤報率比較高，誤用檢測技術(shù)盡管誤報率較低，但是漏報率卻是比較高的。

3 網(wǎng)絡(luò)蠕蟲控制技術(shù)

一般情況下控制的方法是直接關(guān)閉服務(wù)器、切斷用戶鏈接，這種做法有效控制蠕蟲傳播，可是也將導(dǎo)致通訊中斷，影響正常用戶的使用。在不關(guān)閉服務(wù)器或切斷用戶鏈接情況下，可通過兩個步驟控制蠕蟲，一是截獲蠕蟲病毒調(diào)用Win32函數(shù)功能，二是檢查函數(shù)調(diào)用者代碼，若判斷調(diào)用者代碼為蠕蟲病毒等惡意代碼，終止程序的運(yùn)行。引入簽名驗證機(jī)制和captcha驗證機(jī)制，可以有效防范蠕蟲病毒。簽名驗證機(jī)制對發(fā)送方的文件通過簽名驗證，同樣在接受方進(jìn)行驗證簽名，判斷代碼是否可疑；captcha驗證機(jī)制將數(shù)字和字母隨機(jī)組成隨機(jī)圖片發(fā)送給用戶，這些圖片很難識別，用戶需依據(jù)服務(wù)器發(fā)送的挑戰(zhàn)信息進(jìn)行驗證。此外，IM信息流量監(jiān)控也可有效的抑制蠕蟲的傳播，它是及時捕獲正常用戶和已感染用戶的通信速率的差異，對已感染用戶進(jìn)行限制和處理，通常情況下只需監(jiān)控URL鏈接或文件傳輸請求消息，但是相同端口的請求消息，無法準(zhǔn)確的區(qū)分蠕蟲流量和正常流量，因此有一些誤報率。

單一的網(wǎng)絡(luò)蠕蟲控制技術(shù)可以對蠕蟲病毒進(jìn)行早期的預(yù)警和控制，但是在實(shí)際操作中還存在一定的缺陷，需要綜合應(yīng)用多項技術(shù)，在盡可能不影響網(wǎng)絡(luò)流量的情況下，有效抑制網(wǎng)絡(luò)蠕蟲的傳播。

由于網(wǎng)絡(luò)蠕蟲潛伏性大和傳播途徑的多樣化，并且顯示出比一般病毒更大的破壞性，給信息安全帶來了嚴(yán)重的威脅，由此造成的損失無法估量。如何有效的檢測和控制網(wǎng)絡(luò)蠕蟲，已成為網(wǎng)絡(luò)安全領(lǐng)域內(nèi)研究的重要課題。網(wǎng)絡(luò)蠕蟲檢測和控制技術(shù)的綜合應(yīng)用可以有效減少誤報對網(wǎng)絡(luò)流量的影響。盡管網(wǎng)絡(luò)蠕蟲檢測和控制技術(shù)取得了一定了效果，但是該研究仍是一項長遠(yuǎn)的工作，需要今后不斷深入的探究和研究。

參考文獻(xiàn)

[1] C ZouL Gao，W Gong，D Towsley.Monito ring and Early Warni ng for Internet Worms.Umass ECE Technical Report TR-C SE-03-01，2003.

[2] 史海峰，徐濤.基于安全審計的監(jiān)控系統(tǒng)模型的設(shè)計[J].計算機(jī)技術(shù)與發(fā)展，2006，16（4）.

[3] K.C.Tan，E.J.Teoh，Q.Yu，K.C.Goh：A hybrid evolutionary algorithm for attribute selection in data mining[J].Expert Systems with Applications，2009，36（4）.

[4] 汪偉.網(wǎng)絡(luò)蠕蟲檢測技術(shù)研究與實(shí)現(xiàn)[D].博士學(xué)位論文，浙江大學(xué)，2006.endprint