当前位置:文档之家› IPv6环境下的网络蠕虫研究

IPv6环境下的网络蠕虫研究

IPv6环境下的网络蠕虫研究
IPv6环境下的网络蠕虫研究

蠕虫病毒的特征与防治.doc

研究生课程论文 蠕虫病毒的特征与防治 摘要 随着网络的发展,以网络传播的蠕虫病毒利用网络全球互联的优势和计算机系统及网络系统安全性上的漏洞,己经成为计算机系统安全的一大的威胁。采用网络传播的蠕虫病毒与传统的计算机病毒在很多方面都有许多不同的新特点。本文对蠕虫病毒的特征和防御策略进行了研究,透彻分析了几个流行的蠕虫病毒的本质特征和传播手段,并提出了防治未知病毒以及变形病毒的解决方案与虚拟机相结合的基于攻击行为的着色判决PN机蠕虫检测方法。 关键词: 蠕虫,病毒特征,病毒防治

1引言 “蠕虫”这个生物学名词于1982年由Xerox PARC的John F. Shoeh等人最早引入计算机领域,并给出了计算机蠕虫的两个最基本的特征:“可以从一台计算机移动到另一台计算机”和“可以自我复制”。最初,他们编写蠕虫的目的是做分布式计算的模型试验。1988年Morris蠕虫爆发后,Eugene H. Spafford为了区分蠕虫和病毒,给出了蠕虫的技术角度的定义。“计算机蠕虫可以独立运行,并能把自身的一个包含所有功能的版本传播到另外的计算机上。”计算机蠕虫和计算机病毒都具有传染性和复制功能,这两个主要特性上的一致,导致二者之间是非常难区分的。近年来,越来越多的病毒采取了蠕虫技术来达到其在网络上迅速感染的目的。因而,“蠕虫”本身只是“计算机病毒”利用的一种技术手段[1]。 2蠕虫病毒的特征及传播 1、一般特征: (1)独立个体,单独运行; (2)大部分利用操作系统和应用程序的漏洞主动进行攻击; (3)传播方式多样; (4)造成网络拥塞,消耗系统资源; (5)制作技术与传统的病毒不同,与黑客技术相结合。 2、病毒与蠕虫的区别 (l)存在形式上病毒寄生在某个文件上,而蠕虫是作为独立的个体而存在;

5僵尸网络翻译

外文译文 僵尸网络(节选) 一种网络威胁 摘要 僵尸网络常源于网络攻击,他能对我们的网络资源和组织的财富造成严重威胁。僵尸网络是一系列没有抵抗能力的计算机的集合(肉鸡),他们能够被始发人(控制机)在一个普通的指挥-控制架构下远程控制。在许多种恶意软件中,僵尸网络是现在兴起的最严重的网络安全威胁,因为他提供一种分布式平台让许多非法活动如发射许多分散的拒绝服务攻击特定的目标、病毒扩散、钓鱼和点击欺诈。僵尸网络最重要的特点就是可以使用指挥控制通道,通过这个通道他们可以更新和指挥肉鸡。僵尸网络对用户完整性和资源的攻击目的是多样的,包括青少年证实其组织犯罪的黑客技术,让基础设施瘫痪和给政府和组织造成经济上的损失。本文中,了解系统如何被盯上是很重要的。分类的重要优势在于发现问题和找到具体的防范和回复的方法。这篇文章旨在基于攻击的技术而提供针对主流存在的僵尸网络类型的简明的概述。 一般综述 僵尸网络是一种正在兴起的面向在线生态环境和计算机资源的最重要的危险,恶意的僵尸网络是分散的计算平台,主要用作非法活动,如发动分布式拒绝服务攻击、发送垃圾邮件、含特洛伊木马和钓鱼软件的电子邮件,非法散布盗版媒介和软件,强制分布、盗取信息和计算资源,电子商务勒索、进行点击诈骗和身份盗窃。僵尸网络最重要的价值在于能通过使用多层次的指挥控制架构提供匿名的功能。另外,个别的肉鸡并不比被控制机物理拥有,因而可以散布在世界各地。时间、地点、语言以及法律让跨疆域追踪恶意僵尸网络变得困难。这种特性让僵尸网络成为网络犯罪很有吸引力的一种工具,事实上给网络安全造成了巨大威胁。

关键词僵尸网络肉鸡僵尸网络的检测 介绍 僵尸网络是一个由无反抗力的计算机(称为肉鸡)被远程的一个人为操控端(称为主控机)控制下构成的网络。术语“Bot”来源于单词“机器人”。类似于机器人,僵尸程序被设计来自动地完成一些预定义的动能。换句话说,单个的僵尸程序是运行在宿主机上并允许控制机远程控制主机的行为的软件程序。 僵尸网络是当下基于网络的最危险的网络攻击形式之一,是因为其包含采用大型的、许多组协调运行的主机为强制攻击和狡猾的攻击服务。一组肉鸡,当被一个指挥控制架构控制的时候,就形成所谓的“僵尸网络”。僵尸网络通过提供一定的间接性来掩盖发动攻击的机器,发动进攻的机器被一层肉鸡与被攻击的机器分离出来,而攻击本身又在任意的总时间内和一个僵尸网络群分离开。技术进步同时推动人们的生活走向安逸和麻烦。不断产生的信息技术让人们可以前所未有地轻松接触信息。但另一方面,它恶化了信息安全水平。僵尸网络被证明是信息技术领域最新的和最灾难性的威胁。一个门外汉关于僵尸网络的理解是一个促进恶意攻击用户机器的网络,但理论上讲“僵尸网络是一个计算机集合,软件“bot”,是自动安装无需用户干预并且被指挥与控制服务器远程控制着”。尽管这一事实暗示该网络可既为邪恶的和有益的目的利用,其在犯罪中的广泛使用和毁灭性的目的使标题“僵尸网络”等于恶意软件。一个活跃的僵尸网络首先利用用户电脑的漏洞初始化它的攻击。然后它下载恶意二进制代码并在本地执行。这个程序登录到指挥与控制服务器,并通知它的主人,俗称主控机,这样该计算机就转换为一个肉鸡。现在它可以被用来通过使用相同的步骤感染其他机器。僵尸网络和其他的安全威胁的主要区别是一个主控机定期与肉鸡通过集中或分散的网络通信信道。这些机器人按照从主控机收到的命令执行任何类型的破坏。这些主控机发送命令,控制所有的肉鸡,然后可以作为一个单位攻击受害者。僵尸网络的发展速度非常快使它难以被检测,并恢复他们的损害。然而,它们广泛使用的一些类型可以被划分。本报告主要涉及三大类型的僵尸网络:IRC僵尸网络,点对点和HTTP僵尸网络,提出了一些技术来识别和检测他们。第一部分给出了一个僵尸网络的介绍。第二部分回顾了他们的历史和拓扑结构。第三章是关于他们的生命周期,僵尸网络的指挥与控制、僵尸网络拓扑结构,根据是指挥控制的信道和僵尸网络生命周期。三种主要类型的僵尸网络及其检测方案在3.1.1节,3.1.2节和3.1.3节分别谈到了。第3.2部分所提出的“僵尸网络”检测框架和组件;第四部分提出了该领域未来工作的一些预期的进展。第五部分是致力于对我们的研究的总体结论。

蠕虫病毒

【摘要】:凡能够引起计算机故障,破坏计算机数据的程序统称为计算机病毒。所以从这个意义上说,蠕虫也是一种病毒。蠕虫病毒,作为对互联网危害严重的一种计算机程序,其破坏力和传染性不容忽视。与传统的病毒不同,蠕虫病毒以计算机为载体,以网络为攻击对象。本文主要介绍蠕虫病毒的分类、概念、特点传播途径、典型蠕虫、防范措施和发展趋势等。 【关键词】:蠕虫病毒影响防范发展

目录 第一章蠕虫病毒概述 (1) 1.1 蠕虫病毒的概念 (1) 1.2 蠕虫病毒的成因 (1) 1.3 蠕虫病毒的特性 (1) 第二章蠕虫病毒分析 (2) 2.1 蠕虫病毒分类分析 (2) 2.1.1主机蠕虫 (2) 2.1.2 网络蠕虫 (2) 2.2 蠕虫病毒传播途径 (2) 2.3 典型蠕虫病毒 (3) 2.3.1 熊猫烧香病毒的概念 (3) 2.3.2 熊猫烧香病毒的危害 (3) 2.3.3熊猫烧香病毒的现象 (3) 第三章蠕虫病毒的防范 (5) 3.1 怎样防范蠕虫病毒 (5) 3.2 蠕虫病毒的解决方案(例:熊猫烧香病毒) (6) 第四章蠕虫病毒发展趋势 (11) 参考文献 (12)

第一章蠕虫病毒概述 1.1 蠕虫病毒的概念 1.2 蠕虫病毒的成因 利用操作系统和应用程序的漏洞主动进行攻击此类病毒主要是“红色代码”和“尼姆亚”,以及依然肆虐的“求职信”等。由于IE浏览器的漏洞(IFRAMEEXECCOMMAND),使得感染了“尼姆亚”病毒的邮件在不去手工打开附件的情况下病毒就能激活,而此前即便是很多防病毒专家也一直认为,带有病毒附件的邮件,只要不去打开附件,病毒不会有危害。“红色代码”是利用了微软IIS服务器软件的漏洞(idq.dll远程缓存区溢出)来传播,SQL蠕虫王病毒则是利用了微软的数据库系统的一个漏洞进行大肆攻击。 1.3 蠕虫病毒的特性 蠕虫和传统病毒都具有传染性和复制功能,这两个主要特性上的一致,导致人们在二者之间非常难区分。尤其是近年来,越来越多的传统病毒采取了部分蠕虫的技术,而具有破坏性的蠕虫也采取了部分传统病毒的技术,从而更加剧了这种情况。表1-2给出了传统病毒和蠕虫病毒的一些差别。

关于网络蠕虫及防范

关于网络蠕虫及防范 近年来,随着互联网产业的飞速发展,人们生活以及经济的发展与互联网越来越密切。计算机和网络已经成为社会不可或缺的重要部分,而互联网的安全问题也随之而来。网络安全问题受到众多复杂的因素影响,如目前网络安全政策不健全,计算机软件漏洞多和计算机用户安全常识缺乏等,这些因素都导致互联网上的安全事故不断爆发。其中,网络蠕虫是最重大的安全隐患之一。网络蠕虫不同于普通的电脑病毒,它能够以极快的速度在网络上传播,感染大量的个人用户和企业计算机系统,造成用户的资料受损,网络瘫痪以及其他不可估量的经济损失。 对于其中进行恶意侵犯的,我们首当其冲想到了黑客。黑客一词起源于20世纪50年代,最初的黑客一般都是一些高级的技术人员,他们热衷于挑战、崇尚自由并主张信息的共享。但随着网络技术的越来越发达,人们的生活越来越和网络接轨,其中就产生了第三方的经济等效益。于是,黑客便兴起了,逐渐形成了黑帽子,白帽子,灰帽子。 同时,随着黑客们对个人用户及企业的计算机的入侵,网络蠕虫便诞生了。它与病毒是存在区别的,两者是不同的。一般认为,蠕虫是一种通过网络传播的恶性型病毒,它不但具有病毒的一些共性而且还具有自己的一些特性。如不利用文件寄生,对网络造成拒绝服务,以及和黑客技术相结合等。目前危害比较大的蠕虫病毒主要通过三种途径传播:系统漏洞,聊天软件和电子邮件。 对于网络蠕虫,我们需要做好防范措施。对于一些不知名的邮件和充满诱惑力的邮件,我们要学会选择性的筛选一下,在进行观看。同时,要对一些网站以及别人发过来的东西进行谨慎的下载观看。同时,随着网络蠕虫的发展,我们更需要对电脑进行杀毒处理。虽然国外有一款杀毒软件效果非常不错,但是,随着发展,现在中国市场上的杀毒软件也做的非常不错。有金山毒霸等等。现在,大多数人或许都用的是360杀毒软件吧。不过,不管使用的是哪一款杀毒软件,最重要的是要常常更新病毒库,随着一些新病毒的发现,漏洞的发现,病毒库的更新就显得尤为重要了。 谢谢。

浅议僵尸网络攻击

电脑编程技巧与维护 浅议僵尸网络攻击 邹本娜 (中共葫芦岛市委党校,鞍山125000) 摘要:僵尸网络是指采用一种或多种传播手段,将大量主机感染僵尸程序,从而在控制者和被感染主机之间所形成的一对多控制的网络。僵尸网络,有别于以往简单的安全事件,它是一个具有极大危害的攻击平台。本文主要讲解了僵尸网络的原理、危害以及相应的应对方法。 关键词:僵尸网络;因特网中继聊天;控制服务器 1引言 2007年4月下旬,爱沙尼亚当局开始移除塔林这个繁忙海港城市一个公园的二战苏军士兵铜像,同情俄罗斯的僵尸网络第一次让世人真正地感受到了僵尸网络的可怕,攻击者使用了分布式拒绝服务攻击(DDOS)。利用数据轰炸网站的手段,攻击者不仅能够瘫痪一个国家的服务器,而且也能够让路由器、网关等专门传送网络数据的设备失去作用。为了让这种攻击效果加倍,黑客们利用僵尸软件(bot)侵入了全球的计算机中,这种被侵入的电脑组成了僵尸攻击网络,它们充当了攻击网站的主要进攻武器。爱沙尼亚一方获得的数据是正常流量的几千倍,5月10日,数据负担依然沉重,爱沙尼亚最大的银行被迫关闭自己的网络服务一小时多。这让银行至少损失了1百万美元,这一次攻击极大地引起了各国网监部门的重视。 为了降低僵尸网络的威胁,欧美地区已经开始尝试采用黑名单方式屏蔽僵尸网络控制服务器,我国大陆的大量IP地址面临着被列入黑名单的危险,然而更危险的是,我国大量主机已经在用户毫不知情的情况下被黑客暗中控制,僵尸网络已经成为威胁我国网络与信息安全的最大隐患。目前,中国互联网用户已达1.62亿户,仅次于美国,互联网连接主机数占全世界的13%;根据赛门铁克最近的统计,中国是受僵尸病毒感染的电脑最多的国家,占感染总数的78%,成为拒绝服务攻击最频繁的攻击对象[1]。 2僵尸网络 僵尸网络己经逐渐成为互联网的主要威胁之一,但目前仍然没有统一给出僵尸网络的定义,反病毒领域对僵尸程序也没有明确的定义。2005年网络与信息安全技术研讨会上,国家计算机网络应急技术处理协调中心和北京大学计算机科学技术研究所信息安全工程研究中心的狩猎女神项目组对僵尸网络的定义如下僵尸网络指的是攻击者利用互联网秘密建立的可以集中控制的计算机群。其组成通常包括被植入“僵尸”程序的计算机群、一个或多个控制服务器、控制者的控制终端等。 3Botnet结构和原理以及危害 Bot的种类很多,主要有IRC Botnet、AOL Botnet、PZP Botnet等。其中最广泛的是IRC Bot,它利用IRC协议相互通信[2],同时攻击者利用该协议进行远程控制,在IRC Bot植入被攻击者主机后,它会主动连接IRC服务器,接受攻击者的命令。下面就IRC Rot方式进行分析。 3.1IRC Botnet结构 Botnet的典型结构如图1。被安装在主机中的bot能够自己拷贝到一个安装目录,并能够改变系统配置,以便开机就能够运行。攻击者首先通过介入一个扫描和攻击漏洞程序精心编写一个bot或者修改能够得到的bot来获得将要投放的bot,这些bot能够模拟IRC客户端IRC服务器进行通信,然后利用bot某段网络,一旦发现目标,便对目标进行试探性攻击[3]。 A Discussion of the Botnet Network Attack ZOU Benna (Party School of CPC Huludao Municipal Committee,Anshan125000) Abstract:The Botnet is a kind of net controlled by hacker who spread bot program and control fall victim computers by any way.The Botnet is different from other kind of net,just because it is much more dangerous.This paper includes the princip-ium,harm and anti-step of the Botnet. Key word:Botnet;IRC;Control Server 本文收稿日期:2008年10月21 日图1IRC Botnet结构图 78 --

局域网蠕虫病毒的传播方式和保护方法

局域网蠕虫病毒的传播方式和保护方法 近来,威金(w32.looked系列)、熊猫烧香(w32.fujacks系列)等局域网蠕虫病毒大肆流行,这种病毒具有传播速度快,覆盖面广,破坏性大,自我恢复功能强等特点,并且还会自动连接到Internet升级变种并下载其它木马和恶意软件,给广大计算机用户带来了很大的麻烦。良好的基本安全习惯配合具有最新病毒定义和扫描引擎的杀毒软件,能够最大限度地保护您的电脑不受此类蠕虫病毒的影响,以及重复感染。了解蠕虫病毒的在局域网内传播机制,能让我们采用更有针对性的防护,下面就介绍这种局域网蠕虫的传播机制和保护方法:局域网蠕虫的传播安先后顺序分为扫描、攻击、复制三个过程。假设您局域网中有一台电脑感染了蠕虫,而这台脑又没有安装杀毒软件或者杀毒软件的病毒定义比较旧,没有办法检测出这个蠕虫病毒,那么它就会成为一个局域网内的攻击源。 第一步:扫描的过程就是用扫描器扫描主机,探测主机的操作系统类型、版本,主机名,用户名,开放的端口,开放的服务,开放的服务器软件版本等。这一过程中,扫描的范围一般是随机选取某一段IP地址,然后对这一地址段上的主机扫描。但是有些蠕虫会不断的重复扫描过程,就会造成发送大量的数据包,造成网络拥塞,影响网络通信速度等危害。但是这样,管理员也会很快找出感染源所在的地址,因此有些蠕虫会有意的减少数据发送量,包括不重复扫描几次以上,随机选择扫描时间段,随机选择小段IP地址段等等。根据扫描返回的结果确定可以攻击的电脑。

第二步:攻击的过程一般分为两种类型。一种是利用漏洞的攻击,如果扫描返回的操作系统信息或者某些软件的信息是具有漏洞的版本,那么就可以直接用对该漏洞的攻击代码获得相应的权限。例如利用windows的MS04-011漏洞的震荡波(w32.sasser系列)病毒,利用MS06-040漏洞的魔鬼波 (w32.ircbot系列)等。另外一种就是基于文件共享和弱密钥的功击,这种攻击需要根据搜集的信息试探猜测用户密码,一般的蠕虫都有试探空密码,简单密码,与已知密码相同密码等机制。猜出正确的密码后也就有了对远端主机的控制权。威金、熊猫烧香等病毒都基于这种攻击方式。 第三步:复制的实际上就是一个文件传输的过程,就是用相应的文件传输的协议和端口进行网络传输。 为了防止您的电脑受到局域网蠕虫病毒的攻击而感染此类病毒,赛门铁克现建议用户采取以下基本安全措施:1)开启个人防火墙:无论是SCS的防火墙,还是其它安全厂商的个人防火墙,还是windows系统自带的防火 墙,都可以对扫描、攻击、复制三个过程起到保护的 作用。例如,在一般的默认规则下,供击者扫描后不 会得到返回结果;攻击代码不会到达被防火墙保护的 电脑;无法向被防火墙保护的电脑复制病毒文件等。 如果管理员根据公司的应用情况和针对某类病毒,设 定诸如一些协议、端口、程序、入侵检测等的防护规 则,其防护效果就会更佳。 2)尽量关闭不需要的文件共享。除了用户自行设定的共享文件windows操作系统一般都有C$, D$,ADMIN$, IPC$等默认的共享,而一般情况下普通用户不一定需

信息网络安全威胁及技术发展趋势

Expert's Forum 专家观点https://www.doczj.com/doc/5e10490392.html, Expert's Forum 专家观点

互联网及IT技术的应用在改变人类生活的同时,也滋生了各种各样的新问题,其中信息网络安全问题将成为其面对的最重要问题之一。网络带宽的扩充、IT应用的丰盛化、互联网用户的膨胀式发展,使得网络和信息平台早已成为攻击爱好者和安全防护者最激烈斗争的舞台。Web时代的安全问题已远远超于早期的单机安全问题,正所谓“道高一尺,魔高一丈”,针对各种网络应用的攻击和破坏方式变得异常频繁,安全防护也在不断发展。 本文对当今信息网络安全应用中的攻防热点问题作了较为深入的分析,首先分析了当前网络环境下的主要威胁趋势,重点阐述了新网络时代下主要的网络安全攻击方式,进而从安全博弈的角度探讨了漏洞挖掘的新发展方向,最后阐述了近期主要的安全技术发展趋势和技术热点问题。 1. 信息网络安全威胁的主要 方式 1.1 信息网络威胁的趋势分析 当今的信息化发展及演变已极大改变了人类的社会生活,伴之信息 化快速发展的信息网络安全形势愈加严峻。信息安全攻击手段向简单化综合化演变,而攻击形式却向多样化复杂化发展,病毒、蠕虫、垃圾邮件、僵尸网络等攻击持续增长,各种软硬件安全漏洞被利用并进行攻击的综合成本越来越低,而内部人员的蓄意攻击也防不胜防,以经济利益为目标的黑色产业链已向全球一体化演进。表1总结了国内外主要公司及媒体对2009年信息网络安全威胁的趋势分析。 本文主要基于近期安全威胁的主要发展趋势,探讨当前信息网络时代下主要的安全攻击种类及演进模式,分析了目前影响最为常见木马、僵尸网络、蠕虫等恶意软件,无线智能终端、P2P及数据泄露等内部攻击。 1.2 新时期下的安全攻击方式 1.2.1 恶意软件的演变 随着黑色地下产业链的诞生,木马、蠕虫、僵尸网络等恶意软件对用户的影响早已超过传统病毒的影响,针对Web的攻击 成为这些恶意软件新的热点,新时期下这 些恶意软件攻击方式也有了很多的演进: 木马攻击技术的演进。网页挂马成 为攻击者快速植入木马到用户机器中的最 常用手段,也成为目前对网络安全影响最 大的攻击方式。同时,木马制造者也在不 断发展新的技术,例如增加多线程保护功 能,并通过木马分片及多级切换摆脱杀毒

利用Netflow在大规模网络进行蠕虫和网络异常检测

利用Netflow在大规模网络 进行蠕虫和网络异常行为监测
https://www.doczj.com/doc/5e10490392.html, yiming@https://www.doczj.com/doc/5e10490392.html,
宫一鸣
中盈优创资讯系统有限责任公司
July 2004

提纲
电信网安全特性 netflow? Netflow和电信带宽安全
如何预警和监控
中盈 netflow在电信的应用

电信网的安全特性
电信网核心竞争力
带宽资源
带宽资源面临
蠕虫 网络滥用 DoS/DDoS

电信网的安全特性
如何保护和监控
防火墙 ? 部署问题,侧重于点而非面 IDS ? IDS工作在7层,海量数据 需要详细的信息?

电信网的安全特性
如何保护和监控
Netflow Passive monitoring No device Traffic profile! Arbor/NTG/flow-scan…. CERT SiLK while traffic summaries do not provide packet-by-packet (in particular, payload) information, they are also considerably more compact and consequently can be used to acquire a wider view of network traffic problems.

基于异常行为监控的僵尸网络发现技术研究

专家新论 本栏目由网御神州科技有限公司协办 44 赵佐,蔡皖东,田广利 (西北工业大学计算机学院,陕西 西安 710072) 【摘 要】僵尸网络作为近年来危害互联网的重大安全威胁之一,引起了研究者的广泛关注。论文通过分析僵尸网络工作过程中各阶段表现出的异常行为特征,提出了基于异常行为监控的僵尸网络发现技术,详细阐述了僵尸网络发现系统的原理及系统框架结构,并对其关键技术进行了设计实现。【关键词】僵尸网络;异常行为特征;发现机制;监控规则 【中图分类号】TP391 【文献标识码】A 【文章编号】1009-8054(2007) 09-0044-03 Research on technology for Botnet Detection Based on Abnormal Behavior M onitoring Z H A O Z u o , C A I W a n -d o n g , T I A N G u a n g -l i (S c h o o l o f C o m p u t e r S c i e n c e , N o r t h w e s t e r n P o l y t e c h n i c a l U n i v e r s i t y , X i ?a n S h a n x i 710072, C h i n a ) 【Abstract 】I n r e c e n t y e a r s , B o t n e t h a s b e e n o n e o f t h e e m e rg i n g s e r i o u s th r e a t s t o t h e I n t e r n e t a n d a t t r a c t e d w i d e a t t e n -t i o n f r o m r e s e a r c h e r s . B y a n a l y z i n g t h e c h a r a c t e r i s t i c s o f a b n o r m a l b e h a v i o r s h o w n b y B o t n e t a t i t s d i f f e r e n t s t a g e s , t h e p a p e r p r o p o s e s a B o t n e t -d e t e c t i n g m e t h o d b a s e d o n a b n o r m a l -b e h a v i o r -m o n i t o r i n g , d e s c r i b e s t h e p r i n c i p l e a n d t h e s t r u c -t u r a l f r a m e w o r k o f t h e s y s t e m , i n c l u d i n g t h e d e s i g n a n d i m p l e m e n t a t i o n o f i t s k e y t e c h n o l o g y .【Keywords 】b o t n e t ; a b n o r m a l b e h a v i o r ; d e t e c t i n g m e t h o d ; m o n i t o r i n g r u l e s 基于异常行为监控的 僵尸网络发现技术研究 * 0 引言 僵尸网络(Botnet)是指控制者和大量感染僵尸程序(Bot)主机之间形成一对多控制的网络,是近年来危害互联网的重大安全威胁之一。攻击者利用Botnet远程控制大量僵尸计算机(Zombie)作为攻击平台,实施各种恶意行为。由于Botnet能够实施众多攻击行为并从中获取经济利益,Internet上Botnet的数量和规模急剧膨胀,技术日趋成熟和复杂,逐渐发展成规模庞大、功能多样、不易检测的恶意网络,对互联 网的安全构成了不容忽视的威胁。 本文根据Botnet在工作过程各阶段表现出的异常行为特征,提出基于异常行为检测的Botnet发现思路,详细阐述了系统设计及关键技术的实现。 1 僵尸网络结构及其工作过程分析 1.1 僵尸网络结构 Botnet并不是物理意义上具有拓扑结构的网络,可以认为是一个受控逻辑网络[2]。网络架构依据控制和通信方式分为IRC Botnet、AOL botnet和P2P Botnet三大类,现有大多数Botnet都采用IRC协议。典型IRC Botnet结构采用 了命令与控制体系结构,如图1所示。 1.2 Botnet工作过程分析 Botnet工作过程分为传播、加入、等待和控制四个阶段。(1) 传播阶段:Botnet控制者通过几种手段传播Bot控制一定规模的僵尸主机。研究发现,有些Bot具有自动扫描大规模网段,利用系统漏洞和弱口令等手法查找脆弱主机进行传播,传播方式与蠕虫相类似。

Internet网络中的蠕虫病毒扩散传播模型

Internet网络中的蠕虫病毒扩散传播模型 1 简单传播模型 在简单传播模型(Simple Epidemic Model)中,每台主机保持两种状态:易感染和被感染。易感个体(Susceptible)是未染病但与已感染的个体接触会被感染的一类;另一类为感染个体(Infective),这类个体已染病且其具有传染性。假定一台主机一旦被感染就始终保持被感染的状态。其状态转换关系可表示为: 由此可见这种模型的蠕虫传播速度是由初始感染数量I(0)和主机感染率这两 个参数决定的。其微分方程表达式为 dI(t)/dt=βI(t)[N-I(t)] 其中I(t)为时刻t 已被感染的主机数;N为网络中主机总数;β 为时刻t 的感染率。当t=0 时,I(0)为已感染的主机数,N-I(0)为易感染主机数。 取节点数N=10000000,感染概率因子为β=1/10000000,即K=βN=1,当蠕虫繁殖副本数量I(0)=3 时,仿真结果如图3-2 所示,横坐标为传播时间,纵坐标为整个网络被感染的百分比。 此模型能反映网络蠕虫传播初期的传播行为,但不适应网络蠕虫后期的传播状态。此外,其模型过于简单,没有体现蠕虫扫描策略和网络特性对蠕虫传播所产生的影响。 2 KM 模型 在Kermack-Mckendrick 传播模型(简称KM 模型)中,主机保持 3 种状态:易感染、被感染和免疫。用状态转换关系表示为: 对感染节点进行免疫处理,是指把此节点从整个网络中去除。因为,每当对一台主机进行免疫处理,网络节点总数在原有基础上减1,最终将使得所有被感染的主机数量减少到0,也就是所有的主机最终都将处于免疫状态。KM 模型的微分方程表达式为: dJ(t)/dt=βJ(t)[N-J(t)] dR(t)/dt=γI(t)

蠕虫病毒深度解析

蠕虫病毒深度解析 https://www.doczj.com/doc/5e10490392.html,日期:2004-11-22 15:44 作者:天极网来源:天极网 1.引言 近年来,蠕虫、病毒的引发的安全事件此起彼伏,且有愈演愈烈之势。从2001年爆发的CodeRed蠕虫、Nimda蠕虫,SQL杀手病毒(SQL SLAMMER蠕虫),到近日肆掠的“冲击波” 蠕虫病毒,无不有蠕虫的影子,并且开始与病毒相结合了。蠕虫病毒通常会感染Windows 2000/ XP/Server 2003系统,如果不及时预防,它们就可能会在几天内快速传播、大规模感染网络,对网络安全造成严重危害。看来,蠕虫病毒不再 是黑暗中隐藏的"黑手",而是已露出凶相的"狼群"。 各类病毒各有特色,大有长江后浪推前浪之势:CodeRed蠕虫侵入系统后留下后门,Nimda一开始就结合了病毒技术,而SQL杀手病毒与“冲击波”病毒有着惊人的相似之处,此次病毒大规模爆发是从装有WINDOWS 2000以上操作系统的计算机,尤其是从网络服务器上向外扩散的,利用微软存在的系统漏洞,不同的是,SQL杀手病毒用“缓存区溢出”进行攻击,病毒传播路径都是内存到内存,不向硬盘上写任何文件。“冲击波”病毒则会发送指令到远程计算机,使其连接被感染的主机,下载并运行Msblast.exe。 由此可见,计算机蠕虫和计算机病毒联系越来越紧密,许多地方把它们混为一谈,然而,二者还是有很大不同的,因此,要真正地认识并对抗它们之前,很有必要对它们进行区分。只有通过对它们之间的区别、不同功能特性的分析,才可以确定谁是对抗计算机蠕虫的主要因素、谁是对抗计算机病毒的主要因素; 可以找出有针对性的有效对抗方案;同时也为对它们的进一步研究奠定初步的理论基础。 2.蠕虫原始定义 蠕虫这个生物学名词在1982年由Xerox PARC 的John F. Shoch等人最早引入计算机领域,并给出了计算机蠕虫的两个最基本特征:“可以从一台计算机移动到另一台计算机”和“可以自我复制”。他们编写蠕虫的目的是做分布式计算的模型试验,在他们的文章中,蠕虫的破坏性和不易控制已初露端倪。1988年Morris 蠕虫爆发后,Eugene H. Spafford 为了区分蠕虫和病毒,给出了蠕虫的技术角度的定义,“计算机蠕虫可以独立运行,并能把自身的一个包含所有功能的版本传播到另外的计算机上。”(Worm is a program that can run by itself and can propagate a fully working version of itself to other machines. )。 3.病毒原始定义 在探讨计算机病毒的定义时,常常追溯到David Gerrold在1972年的发表的科幻小说《When Harlie Was One》,但计算机病毒从技术角度的定义是由Fred Cohen在1984年给出的,“计算机病毒是一种程序,它可以感染其它程序,感染的方式为在被感染程序中加入计算机病毒的一个副本,这个副本可能是在原病毒基础上演变过来的。” (A program that can infect other programs by modifying them to include a possibly evolved copy of itself.)。1988年Morris蠕虫爆发后,Eugene H. Spafford 为了区分蠕虫和病毒,将病毒的含义作了进一步的解释。“计算机病毒是一段代码,能把自身加到其它程序包括操作系统上。它不能独立运行,需要由它的宿主程序运行来激活它。”(virus is a piece of code that adds itself to other programs, including operating systems. It cannot run independently and it requires that its host program be run to activate it.)。 4.蠕虫/病毒

蠕虫病毒的传播原理资料

《计算机系统安全》 课程结课论文《蠕虫病毒的传播原理》 学生姓名陈军辉 学号5011212502 所属学院信息工程学院 专业计算机科学与技术 班级计算机16-5 指导教师李鹏 塔里木大学教务处制

摘要:蠕虫病毒发展迅速,现在的蠕虫病毒融入了黑客、木马等功能,还能阻止安全软件的运行,危害越来越大。本文介绍了蠕虫病毒的定义,特点,结构及其在传播过程中的功能,最后介绍了蠕虫病毒的传播机制。 关键词:计算机蠕虫;传播;

目录 引言 (1) 正文 (1) 1.蠕虫病毒的定义及特点 (1) 2.蠕虫病毒的构成及在传播过程中的功能 (2) 3. 攻击模式 (3) 3.1 扫描-攻击-复制 (3) 3.2模式的使用 (5) 3.3蠕虫传播的其他可能模式 (5) 4.从安全防御的角度看蠕虫的传播模式 (5) 总结 (6) 参考文献: (7)

蠕虫病毒的传播原理 引言 蠕虫病毒是一种常见的计算机病毒。它是利用网络进行复制和传播,传染途径是通过网络和电子邮件。最初的蠕虫病毒定义是因为在DOS环境下,病毒发作时会在屏幕上出现一条类似虫子的东西,胡乱吞吃屏幕上的字母并将其改形。蠕虫病毒是自包含的程序(或是一套程序),它能传播自身功能的拷贝或自身的某些部分到其他的计算机系统中(通常是经过网络连接)。 正文 1.蠕虫病毒的定义及特点 蠕虫病毒的定义:蠕虫是一种可以自我复制的代码,并且通过网络传播,通常无需人为干预就能传播。蠕虫病毒入侵完全控制一台计算机之后,就会把这台机器作为宿主,进而扫描并感染其他计算机。当这些新的被蠕虫入侵的计算机被控制之中后,蠕虫会以这些计算机为宿主继续扫描并感染其他计算机,这种行为会一直延续下去。蠕虫使用这种递归的方法进行传播,按照指数增长的规律分布自己,进而及时控制越来越多的计算机。蠕虫病毒有如下特点:(1)较强的独立性。计算机病毒一般都需要宿主程序,病毒将自己的代码写到宿主程序中,当该程序运行时先执行写入的病毒程序,从而造成感染和破坏。而蠕虫病毒不需要宿主程序,它是一段独立的程序或代码,因此也就避免了受宿主程序的牵制,可以不依赖于宿主程序而独立运行,从而主动地实施攻击。 (2)利用漏洞主动攻击。由于不受宿主程序的限制,蠕虫病毒可以利用操作系统的各种漏洞进行主动攻击。例如,“尼姆达”病毒利用了 IE 浏览器的漏洞,使感染了病毒的邮件附件在不被打开的情况下就能激活病毒;“红色代码”利用了微软 IIS 服务器软件的漏洞(idq.dll 远程缓存区溢出)来传播;而蠕虫王病毒则是利用了微软数据库系统的一个漏洞进行攻击。 (3)传播更快更广。蠕虫病毒比传统病毒具有更大的传染性,它不仅仅感染本地计算机,而且会以本地计算机为基础,感染网络中所有的服务器和客户

蠕虫病毒的特征与防治

研究生课程论文 (2008-2009学年第二学期) 蠕虫病毒的特征与防治 摘要 随着网络的发展,以网络传播的蠕虫病毒利用网络全球互联的优势和计算机系统及网络系统安全性上的漏洞,己经成为计算机系统安全的一大的威胁。采用网络传播的蠕虫病毒与传统的计算机病毒在很多方面都有许多不同的新特点。本文对蠕虫病毒的特征和防御策略进行了研究,透彻分析了几个流行的蠕虫病毒的本质特征和传播手段,并提出了防治未知病毒以及变形病毒的解决方案与虚拟机相结合的基于攻击行为的着色判决PN机蠕虫检测方法。 关键词: 蠕虫,病毒特征,病毒防治

1引言 “蠕虫”这个生物学名词于1982年由Xerox PARC的John F. Shoeh等人最早引入计算机领域,并给出了计算机蠕虫的两个最基本的特征:“可以从一台计算机移动到另一台计算机”和“可以自我复制”。最初,他们编写蠕虫的目的是做分布式计算的模型试验。1988年Morris蠕虫爆发后,Eugene H. Spafford为了区分蠕虫和病毒,给出了蠕虫的技术角度的定义。“计算机蠕虫可以独立运行,并能把自身的一个包含所有功能的版本传播到另外的计算机上。”计算机蠕虫和计算机病毒都具有传染性和复制功能,这两个主要特性上的一致,导致二者之间是非常难区分的。近年来,越来越多的病毒采取了蠕虫技术来达到其在网络上迅速感染的目的。因而,“蠕虫”本身只是“计算机病毒”利用的一种技术手段[1]。 2蠕虫病毒的特征及传播 1、一般特征: (1)独立个体,单独运行; (2)大部分利用操作系统和应用程序的漏洞主动进行攻击; (3)传播方式多样; (4)造成网络拥塞,消耗系统资源; (5)制作技术与传统的病毒不同,与黑客技术相结合。 2、病毒与蠕虫的区别 (l)存在形式上病毒寄生在某个文件上,而蠕虫是作为独立的个体而存在;

路由器蠕虫病毒

如何清除路由器上的蠕虫病毒 ???? 前些日子,安全研究人员发现了一种称之为psyb0t的僵尸网络蠕虫,它可以攻击DSL调制解调器和路由器。这种蠕虫可以搜索并利用开放端口的特定设备。被攻击的设备还有一个特征,即弱口令。一旦某个蠕虫进入了路由器,它便可以为所欲为,阻止端口,并可以泄露敏感信息,攻击其它网络等。 在本文中,笔者将分析容易受这种特定蠕虫攻击的路由器类型,然后讨论如何防止这类和其它类型的路由器蠕虫的感染。最后,我们将探讨如何清除感染路由器的蠕虫。 蠕虫是怎样进入路由器的 路由器蠕虫是通过用于远程管理路由器的端口进入路由器的。不过,路由器在默认情况下并没有打开这些端口。必须在路由器Web界面的配置程序上手动启用之。如下图1所示: 此外,更大的漏洞在于弱口令。换句话说,如果采取了防御措施,远程管理就是安全的。根据有关媒体的研究,这种最新的蠕虫攻击的基本上需要满足下面的标准: 1.这些设备一般都是使用MIPS处理器的设备,这种处理器运行简版Endian模式(mipsel)运行。这包括大约30种Linksys设备,十种Netgear 型号的设备,还有其它许多种设备。此外,加载其它固件代替品的路由器,如DD-WRT和OpenWRT也易于受到攻击。 2.启用了某种类型远程管理的设备,如启用了telnet、SSH,或是基于Web的访问,要知道,仅提供本地的访问并不容易受到攻击。 3.远程管理访问的用户名和口令的组合不够强健,易被破解。或者是其固件容易被漏洞利用程序所利用。 既然路由器蠕虫是通过远程管理端口侵入的,保障这些端口的安全就成为了防止感染的关键所在。此外,不启用远程管理并关闭这些端口就是最佳方案,因为蠕虫无路可进。不过,如果需要远程访问,遵循下面的指南可以防止蠕虫的入侵: 1.使用强健而安全的口令 要知道,路由器蠕虫依赖于强力字典攻击(不断地努力猜测口令),所以我们应当使用不易被猜测的口令。不要使用什么“admin”、“router”、“12345”等作为路由器的口令,而要使用一种混合性的组合,如rDF4m9Es0yQ3ha等。其中至少要包括大小写字母,并利用数字和字母。虽然这种口令不易记忆,但我们可以将其存放于可以某个文件(如文本文件)中,再用TrueCrypt、Cryptainer LE等软件为各种保存密码的文件加密。 2.保障远程连接的加密 例如,尽量不要使用HTTP方式传送,因为它使用的是明文传送,而可考虑使用HTTPS来传送基于Web的访问。可以打开路由器配置程序的远程访问设置,选择“https”选项。如果需要命令行才能访问路由器,可使用SSH。因为SSH是一个加密的协议。使用加密的连接并不是防止路由器蠕虫的必须措施,但它可以加强路由器的总体安全性。如下图2所示: 3.改变默认端口 蠕虫僵尸可通过这些远程连接的默认端口侵入,如通过HTTP Web 访问的80或8080端口、加密Web访问的443端口、SSH的22号端口等。因此,一台在非默认端口上接收连接的路由器更为安全。很多路由器在紧挨着远程连接设置功能的位置有一个端口(Port)字段,在此输入想要使用的端口号码。例如,键入路由器所在位置的面向互联网的IP地址,加上一个冒号,然后是端口号。如果是通过SSH进行连接,你需要在SSH客户端程序的连接设置中指定端口号。如下图3所示: 4.使用入站过滤器

蠕虫病毒通信端口

病毒名称病毒特征使用端口 W32.Nachi.Wor m(MyDoom.A,My Doom.B) 系统重启udp69 tcp135 W32.Blaster.W orm蠕虫病毒 系统自动重启tcp4444 udp69 tcp135 Dvldr32 蠕虫 病毒利用几种Windows系统弱口令漏洞 在网络上大面积传播的一种破坏力 很强的蠕虫病毒 tcp5800 tcp5900 tcp445 tcp6667 W32.SQLExp.Wo rm蠕虫病毒针对SQL_SERVER_2000的漏洞,该蠕 虫发送了大量针对1434端口的udp 协议包,导致网络堵塞,甚至瘫痪 udp1434 震荡波(Worm.Sasser) 病毒也是通过系统漏洞进行传播 的,感染了病毒的电脑会出现系统 反复重启、机器运行缓慢,出现系 统异常的出错框等现象。 5554 冲击波(Worm.Blaste r)病毒利用的是系统的RPC 漏洞,病 毒攻击系统时会使RPC服务崩溃, 该服务是Windows操作系统使用的 一种远程过程调用协议 69 135 4444 “Sasser”的蠕虫病毒“Sasser”蠕虫病毒使用多个进程 扫描不同范围的互联网地址,试图 在445端口上发现“易感的”LSASS 组件。 9996 5554 139 Worm.DvLdr 蠕虫 该蠕虫主要攻击系统为NT/2000平 台,通过探测445端口方式穷举管理 员密码,并殖入一个后门程序使得 该机器的安全性降低到0。 445 Win32.Rbot蠕 虫 一种利用IRC控制后门的病毒(或 称bot),未经授权可以进入受感染 的机器。它也具有类似蠕虫的功 能,可以通过弱口令进入共享,并 利用系统漏洞进行传播,同时可以 利用其它的恶意程序生成的后门进 行传播。 tcp139 tcp445 Win32.Lioten. KX蠕虫是一种通过网络共享并利用系统漏 洞进行传播的蠕虫。 tcp135 tcp139 tcp445 https://www.doczj.com/doc/5e10490392.html,Kille r2003蠕虫 如果感染该蠕虫病毒后网络带宽大 量被占用,最终导致网络瘫痪。该 蠕虫病毒是利用SQL SERVER 2000的 解析端口1434的缓冲区溢出漏洞, 对其网络进行攻击的。 udp1434

实验4 简单网络蠕虫设计

实验四简单网络蠕虫设计 09.4 向军0908040128 一、实验目的 1、进一步了解网络通信机制 2、学习网络蠕虫的工作原理 二、实验内容和要求 编写一个简单的网络蠕虫,它包含客户端、服务器、工作体三部分。 1、服务器 服务器位于远程主机,功能包括: (1)开启服务端口:开启本机的某个TCP服务端口 (2)传送感染标志:通过服务端口将感染标志Mark传送给请求服务器的远程客户机,如果本机已经被感染过了(Mark!=1),则服务器自行终止运行,否则 (Mark=1)等待客户机上传蠕虫文件 (3)接收蠕虫文件:接收通过服务端口传输的蠕虫文件 (4)保存可运行的蠕虫文件到适当位置 (5)根据蠕虫文件保存的位置情况设置蠕虫客户端和服务器的自动启动条件 (6)日志:记录服务器启动、与客户机通信时发送的Mark以及Mark修改等信息,并写入sLog.txt 2、客户机 客户机位于本地主机。功能包括: (1)远程端口扫描:针对某个IP地址远程主机在一定范围内的协议端口扫描,并将IP地址及其已经开启的远程主机端口Port保存至一个文件,如openPorts.txt (2)检查感染标志:从openPorts.txt上选取一个IP和端口Port,通过该IP远程主机上蠕虫服务器开启的服务端口Port,获取服务器提供的远程主机感染标志Mark。 如果远程主机未被感染(Mark=1),则进行蠕虫文件传输,否则(Mark!=1) 从openPorts.txt中选取另一个IP和端口Port转入(1)的过程。 (3)蠕虫文件传输:通过远程主机上蠕虫服务器开启的服务端口,将本地的蠕虫文件传输到远程主机,传输完毕后转入(1)的过程或者自动终止客户机运行。 (4)日志:记录客户机启动以及与服务机通信获得的Mark等信息,并写入cLog.txt 3、工作体 工作体实现蠕虫的“破坏”功能: (1)自动启动客户机 (2)向蠕虫所在主机中D:\写入文件Hi.txt,内容含有作者的姓名、学号、班级、日期等信息 4、关于远程主机感染标志的说明 远程主机感染标志有三种情况: (1)Mark=1,远程主机未被感染,且当前运行的服务器由人工部署,蠕虫服务程序首次运行时设置该标志,并保存到mark.txt文件中,以后根据情况修改该文件 中的Mark值 (2)Mark=2,远程主机已被感染,且当前运行的服务器由人工部署 (3)Mark=3,远程主机已被感染,且当前运行的服务器由蠕虫自动部署

相关主题
相关文档 最新文档