蠕虫病毒的检测和防御研究
- 格式:doc
- 大小:63.50 KB
- 文档页数:15
下载文档原格式
合集下载
蠕虫病毒的特征与防治
资料范本本资料为word版本,可以直接编辑和打印,感谢您的下载蠕虫病毒的特征与防治地点:__________________时间:__________________说明:本资料适用于约定双方经过谈判,协商而共同承认,共同遵守的责任与义务,仅供参考,文档可直接下载或修改,不需要的部分可直接删除,使用时请详细阅读内容研究生课程论文(2008-2009学年第二学期)蠕虫病毒的特征与防治摘要随着网络的发展,以网络传播的蠕虫病毒利用网络全球互联的优势和计算机系统及网络系统安全性上的漏洞,己经成为计算机系统安全的一大的威胁。
采用网络传播的蠕虫病毒与传统的计算机病毒在很多方面都有许多不同的新特点。
本文对蠕虫病毒的特征和防御策略进行了研究,透彻分析了几个流行的蠕虫病毒的本质特征和传播手段,并提出了防治未知病毒以及变形病毒的解决方案与虚拟机相结合的基于攻击行为的着色判决PN机蠕虫检测方法。
关键词: 蠕虫,病毒特征,病毒防治1引言“蠕虫”这个生物学名词于1982年由Xerox PARC的John F. Shoeh等人最早引入计算机领域,并给出了计算机蠕虫的两个最基本的特征:“可以从一台计算机移动到另一台计算机”和“可以自我复制”。
最初,他们编写蠕虫的目的是做分布式计算的模型试验。
1988年Morris蠕虫爆发后,Eugene H. Spafford为了区分蠕虫和病毒,给出了蠕虫的技术角度的定义。
“计算机蠕虫可以独立运行,并能把自身的一个包含所有功能的版本传播到另外的计算机上。
”计算机蠕虫和计算机病毒都具有传染性和复制功能,这两个主要特性上的一致,导致二者之间是非常难区分的。
近年来,越来越多的病毒采取了蠕虫技术来达到其在网络上迅速感染的目的。
因而,“蠕虫”本身只是“计算机病毒”利用的一种技术手段[1]。
2蠕虫病毒的特征及传播1、一般特征:(1)独立个体,单独运行;(2)大部分利用操作系统和应用程序的漏洞主动进行攻击;(3)传播方式多样;(4)造成网络拥塞,消耗系统资源;(5)制作技术与传统的病毒不同,与黑客技术相结合。
蠕虫病毒
16
6.5 蠕虫病毒的检测与防范
对已知蠕虫的检测
以Worm.Sasser.b检测为例
•
首先通过对TCP半连接状态的检测发现病毒的扫描行为,发现 可疑的扫描源 然后在TCP的连接建立时间中检测可疑扫描源对漏洞主机特定 端口(445)的攻击行为,进一步确认感染了蠕虫的主机
•
•
第三步检测蠕虫的自我传播过程
3
6.1 蠕虫的基本概念
蠕虫病毒造成的损失
4
6.1 蠕虫的基本概念
1982年,Shock和Hupp
根据《The Shockwave Rider》一书中的概念提出了 一种“蠕虫Worm”程序的思想
蠕虫病毒是一种常见的计算机病毒 利用网络进行复制和传播
传播通常不需要所谓的激活 通过分布式网络来散播特定的信息或错误,进而造成 网络服务遭到拒绝并发生死锁
更新防病毒软件
确保它是最新的
限制邮件附件
禁止运行附件中的可执行文件(.COM、.EXE等),预防DOC、 XLS等附件文档,不要直接运行脚本文件(VBS、SHS)
18
6.5 蠕虫病毒的检测与防范
邮件程序设置
“附件的安全性”设为“高” 禁止“服务器脚本运行” 慎用邮件预览功能
关闭WSH功能
2
后来的红色代码,尼姆达病毒的疯狂
2003年1月26日,“2003蠕虫王”
Morris
90行程序代码 2小时:
6000台电脑(互联网的十分之一)瘫痪 1500万美元的损失 3年缓刑/1万罚金/400小时的社区义务劳动
6.5 蠕虫病毒的检测与防范
对已知蠕虫的检测
以Worm.Sasser.b检测为例
•
首先通过对TCP半连接状态的检测发现病毒的扫描行为,发现 可疑的扫描源 然后在TCP的连接建立时间中检测可疑扫描源对漏洞主机特定 端口(445)的攻击行为,进一步确认感染了蠕虫的主机
•
•
第三步检测蠕虫的自我传播过程
3
6.1 蠕虫的基本概念
蠕虫病毒造成的损失
4
6.1 蠕虫的基本概念
1982年,Shock和Hupp
根据《The Shockwave Rider》一书中的概念提出了 一种“蠕虫Worm”程序的思想
蠕虫病毒是一种常见的计算机病毒 利用网络进行复制和传播
传播通常不需要所谓的激活 通过分布式网络来散播特定的信息或错误,进而造成 网络服务遭到拒绝并发生死锁
更新防病毒软件
确保它是最新的
限制邮件附件
禁止运行附件中的可执行文件(.COM、.EXE等),预防DOC、 XLS等附件文档,不要直接运行脚本文件(VBS、SHS)
18
6.5 蠕虫病毒的检测与防范
邮件程序设置
“附件的安全性”设为“高” 禁止“服务器脚本运行” 慎用邮件预览功能
关闭WSH功能
2
后来的红色代码,尼姆达病毒的疯狂
2003年1月26日,“2003蠕虫王”
Morris
90行程序代码 2小时:
6000台电脑(互联网的十分之一)瘫痪 1500万美元的损失 3年缓刑/1万罚金/400小时的社区义务劳动
网络蠕虫病毒防御方法研究
客 入 侵 的 自 动 化 工 具 ,当 蠕 虫 被 释 放
用 户 。 1 8 年 CERT( 算机 紧急 响 应 小 从 8 9 计 组 )由 r i蠕 统 的Itr t 全 威 胁 事 件每 年 以指 数增 长 , n e ne 安
1 网络蠕虫传 播流程 及行 为特征
l t r t 虫 是 无 须 计 算 机 使 用 者 干 预 n e ne蠕 即 可 运 行 的 独 立 程 序 , 通 过 不 停 的 获 得 它 网 络 中 存 在 漏 洞 的 计 算 机 上 的 部 分 或 全 部 控 制权来进行传播 。 蠕 虫 与 病 毒 的 最 大 不 同 在 于 它 不 需 要 人 为干 预 , 能 够 自主不 断 地 复 制 和 传 播 。 且
近 年 来 的 增 长 态 势 变 得 的尤 为 迅 猛 。
本 文 介 绍 了 蠕 虫 病 毒 的 行 为 特 征 及 传 播 方 式 , 出 了 蠕 虫 病 毒 的 检 测 方 法 , 设 提 并
计 了 一 种 基 于 操 作 系 统 底 层 函 数 的 防 御 蠕
虫 攻 击 的 新 方 法 , 方 法 能 及 时 地 发 现 网 此 络 蠕 虫 攻 击 并 中 断 恶 意 代 码 的 执 行 , 而 从 更 好 的 保 护 操 作 系统 和 应 用 软 件 的安 全 。
权限 , 之进行复制和传播过程成为可能。 使
文 章 编 号 : 0 —9 ( 1 —0 3 l 7 6 2 0) 9 —0 0 41 01 0 0 2
蠕 虫 程 序 的 传 播 流 程 可 以 分 为 漏 洞 扫
引 言
随 着 1 8 年 1 月 2 由Ro e t ors 98 1 号 b r M ri J
每 一 次 蠕 虫 的 爆 发 都 会 给 社 会 带 来 巨
用 户 。 1 8 年 CERT( 算机 紧急 响 应 小 从 8 9 计 组 )由 r i蠕 统 的Itr t 全 威 胁 事 件每 年 以指 数增 长 , n e ne 安
1 网络蠕虫传 播流程 及行 为特征
l t r t 虫 是 无 须 计 算 机 使 用 者 干 预 n e ne蠕 即 可 运 行 的 独 立 程 序 , 通 过 不 停 的 获 得 它 网 络 中 存 在 漏 洞 的 计 算 机 上 的 部 分 或 全 部 控 制权来进行传播 。 蠕 虫 与 病 毒 的 最 大 不 同 在 于 它 不 需 要 人 为干 预 , 能 够 自主不 断 地 复 制 和 传 播 。 且
近 年 来 的 增 长 态 势 变 得 的尤 为 迅 猛 。
本 文 介 绍 了 蠕 虫 病 毒 的 行 为 特 征 及 传 播 方 式 , 出 了 蠕 虫 病 毒 的 检 测 方 法 , 设 提 并
计 了 一 种 基 于 操 作 系 统 底 层 函 数 的 防 御 蠕
虫 攻 击 的 新 方 法 , 方 法 能 及 时 地 发 现 网 此 络 蠕 虫 攻 击 并 中 断 恶 意 代 码 的 执 行 , 而 从 更 好 的 保 护 操 作 系统 和 应 用 软 件 的安 全 。
权限 , 之进行复制和传播过程成为可能。 使
文 章 编 号 : 0 —9 ( 1 —0 3 l 7 6 2 0) 9 —0 0 41 01 0 0 2
蠕 虫 程 序 的 传 播 流 程 可 以 分 为 漏 洞 扫
引 言
随 着 1 8 年 1 月 2 由Ro e t ors 98 1 号 b r M ri J
每 一 次 蠕 虫 的 爆 发 都 会 给 社 会 带 来 巨
蠕虫病毒的特点与防范技术
蠕虫病毒的特点与防范技术发表时间:2017-03-16T14:06:02.187Z 来源:《科技中国》2016年12期作者:罗昕瑜[导读] 文章针对计算机蠕虫病毒相关问题展开了详细地研究与探讨,阐述了网络安全管理具体途径。
成都树德中学(光华校区) 610091摘要:文章针对计算机蠕虫病毒相关问题展开了详细地研究与探讨,阐述了网络安全管理具体途径,希望为计算机的安全运行提供有价值的依据。
关键词:计算机;蠕虫病毒;防御在科学技术快速发展的背景下,计算机蠕虫病毒在攻击与防御方面也同样有所发展,所以,计算机蠕虫病毒也将具有明显的智能化与复杂化特点,严重影响甚至是危害网络。
为此,必须要采取相应的手段对计算机蠕虫病毒进行防御。
一、计算机蠕虫病毒概述所谓的计算机蠕虫,并不需要由计算机的使用者干预,就能够实现运行的独立性程序,对网络当中的漏洞进行获取,进而掌握计算机部分或者是全部的控制权以实现传播。
而计算机病毒主要是在计算机程序当中插入能够对其功能或者是数据造成严重破坏的指令或程序代码。
由此可见,计算机蠕虫与病毒的传染行以及复制功能十分明显,而在特性方面存在相似性,所以,使得两者区分难度较大。
目前,计算机蠕虫、木马程序以及计算机病毒界限逐渐模糊,且三者之间互相渗透。
其中,更多病毒都对蠕虫技术进行了运用,而同时,蠕虫病毒也采用了病毒与木马技术。
通过上述分析与研究表明,计算机蠕虫病毒集计算机蠕虫、病毒与木马技术为一体,在使用者不干预的情况下就能够运行,并且在扫描过程中获得网络漏洞,进而对计算机控制权予以复制及传播,针对已被感染计算机内部安装后门,亦或是使用恶意代码对计算机的系统与重要信息带来严重破坏。
二、计算机蠕虫病毒的有效防御(一)防火墙技术的运用可以合理地运用网络防火墙软件或者是单机防火墙软件,不允许使用服务器端口以外的端口,这样一来,就能够从根源上切断计算机蠕虫病毒传输与通信的途径。
与此同时,需要针对包含计算机蠕虫病毒特征的报文进行过滤,对已经感染的主机访问保护网络进行及时屏蔽。
网络蠕虫防范技术研究
I T 技术科技创新导报 Science and Technology Innovation Herald56网络蠕虫是常见的病毒,虽然具有一般病毒的特征,即通过网络载体进行复制传播,但与一般的病毒最主要区别是没有人为干预,能够独立运行。
网络蠕虫具有潜伏性强、传播快、生存周期长、覆盖面广、发生频率高等特点,特别是新型蠕虫与多态蠕虫的涌现,造成网络瘫痪,成为危害网络安全的重大隐患。
1 网络蠕虫的建模分析研究网络蠕虫的传播机制,通过蠕虫主体功能的四个模块对蠕虫病毒进行分析,即扫描、搜索、攻击、复制和传输四个模块。
1.1 搜索模块该模块决定采用技术的和非技术的方法搜集本地或者目标网络的信息,其搜索主要内容有系统类型、版本、用户名、邮件列表、开放的服务器软件版本、网络拓扑结构以及边界的路由信息。
1.2 扫描模块该模块利用信息搜集模块搜集的信息所完成的检测,探测搜索的主机。
通常扫描探测策略有顺序、基于目标列表、基于路由扫描、随机和选择性随机扫描等。
1.3 攻击模块该模块利用扫描探测模块探测的主机漏洞,对目标系统实施攻击和建立传输通道,以植入和运行蠕虫副本。
缓冲区溢出攻击是普遍的攻击形式,此外攻击形式还有系统误配置和字符串格式攻击等。
1.4 复制模块该模块通过交互原主机和新主机,将病毒复制到新主机并启动,生成多种形式的副本。
1.5 传输模块该模块在实施攻击后,下载安装附加的恶意代码到目标机,还会添加到w i n d o w s 进程中,致使系统操作异常。
通过对网络蠕虫的建模分析表明,网络蠕虫的传播虽具有突发性,但还有一定的规律性,因此,在传播初期进行有效的检测和控制能够抑制蠕虫的泛滥。
2 网络蠕虫检测技术网络蠕虫控制技术的主要思想是,通过研究各个主机流量随时间变化的规律,预测网络蠕虫的变化趋势,进而有效防范病毒的传播。
网络蠕虫控制方向一般有三大方面,即主机隔离、阻断、限速。
当前最常用的是检测主机单位时间发起的连接失败率,丢弃数据包且切断主机与网络的通信,但是对流量产生影响,准确率也受到限制。
蠕虫病毒的分析与防范
蠕虫病毒的分析与防范作者:朱慧爽来源:《科学与财富》2019年第06期摘要:蠕虫病毒给网络环境带来了巨大的灾难。
日益严重的蠕虫问题,不仅给用户造成了巨大的损失,而且严重威胁着国家的信息安全。
蠕虫的检测和防范成为当前网络安全研究的热点。
关键词:蠕虫;病毒;网络安全1.蠕虫病毒简介蠕虫病毒与一般病毒不同。
蠕虫病毒不需要将其自身附着到宿主程序,是一种独立的智能程序。
它利用网络进行传播并能够自我复制,爆发时消耗大量的系统资源,使其他程序运行减慢甚至停止,最后导致系统和网络瘫痪。
“熊猫烧香”就是一个典型的感染型蠕虫病毒,其感染行为主要包括:复制自身到系统目录;创建启动项;在各分区根目录生成病毒副本;修改“显示所有文件和文件夹”设置;尝试关闭注册表编辑器、系统配置实用程序、Windows任务管理器、杀毒软件等。
2.蠕虫的检测技术(1)基于蠕虫特征码的检测技术首先将一些蠕虫恶意代码的特征值收集起来,然后逐个创建每一个特征值的特征码规则库。
检测时,利用在特征码和特征码规则库中的具体规则与要检测的网络行为进行匹配,如果存在异常就会匹配成功,对于这样的异常应当给出警告或者拒绝访问。
这样的检测方式有一定的限制,如果有些蠕虫病毒在规则库中没有匹配成功,就无法检测出蠕虫。
(2)基于蠕虫行为特征的检测技术Bakos提出了一种蠕虫行为特征检测技术,利用了ICMP目标主机不可达报文来判断识辨蠕虫的随机扫描行为,并通过信息收集点来收集网络中由路由器产生的这种不可达报文信息,然后统计消息的个数,并和给定的阈值进行比较,以此判断蠕虫是否有传播行为。
但是这种方法中如果路由器个数较少,那么收集到的报文信息数就会较少,会影响到判断的准确性(3)基于贝叶斯的检测技术在网络传播蠕虫的时候,蠕虫会先向网络中有漏洞的目标主机发送大量连接请求数据包,用这种方法就可以判断出目标主机是否开机,还能判断出这些目标主机是否存在漏洞,由此判断是否会被感染。
3.蠕虫病毒的防范3.1单位用户防范措施(1)提高网络管理员的安全意识和管理水平。
网络蠕虫
2013-3-26 48
静态缓冲区溢出机理
内存低端
程序段 数据段 堆栈 内存高端 stack低端 …… 局部变量 (Ebp for debug) 返回地址 Argc的值 Stack的使用
Argv的地址
stack高端
2013-3-26 49
For example
• • • • • • • • • • • • • • • • void foo(const char*input) { char buf[10]; strcpy(buf,input); printf("my name is foo\r\n");} void bar(void) { printf("You have been hacked\n");} int main(int argc, char* argv[]) { char buf[33]={"AAAABBBBCCCCDDDD EEEEFFFFGGGGHHHH"}; unsigned long bar_add; bar_add=(unsigned long)bar; memcpy(&buf[12],&bar_add,4); foo(buf); return 0; }
2013-3-26
13
目标选择算法
• • • • • • 电子邮件列表 主机列表(hosts) 被信任的系统(MAC/IP) 邻域网 域名服务查询 任意选择一个目标网络地址 (A/B/C,32bits)
14
2013-3-26
扫描引擎
检测有效的目标: • NMAP; • Xscan; …… Ref: /tools/1.html
2013-3-26
20
案例分析--Nimda
静态缓冲区溢出机理
内存低端
程序段 数据段 堆栈 内存高端 stack低端 …… 局部变量 (Ebp for debug) 返回地址 Argc的值 Stack的使用
Argv的地址
stack高端
2013-3-26 49
For example
• • • • • • • • • • • • • • • • void foo(const char*input) { char buf[10]; strcpy(buf,input); printf("my name is foo\r\n");} void bar(void) { printf("You have been hacked\n");} int main(int argc, char* argv[]) { char buf[33]={"AAAABBBBCCCCDDDD EEEEFFFFGGGGHHHH"}; unsigned long bar_add; bar_add=(unsigned long)bar; memcpy(&buf[12],&bar_add,4); foo(buf); return 0; }
2013-3-26
13
目标选择算法
• • • • • • 电子邮件列表 主机列表(hosts) 被信任的系统(MAC/IP) 邻域网 域名服务查询 任意选择一个目标网络地址 (A/B/C,32bits)
14
2013-3-26
扫描引擎
检测有效的目标: • NMAP; • Xscan; …… Ref: /tools/1.html
2013-3-26
20
案例分析--Nimda
如何应对网络蠕虫感染的网络防护策略(十)
网络蠕虫是一种自动传播的恶意软件,它可以通过网络迅速传播并感染大量计算机。
面对日益增多的网络蠕虫威胁,有效的网络防护策略变得尤为重要。
本文将探讨如何应对网络蠕虫感染并提出相应的网络防护策略。
第一部分:了解网络蠕虫的工作原理网络蠕虫是一种利用网络传播的恶意软件,它通常通过利用系统漏洞或社交工程等手段感染计算机。
一旦感染成功,网络蠕虫会自动在感染的计算机上复制和传播,迅速蔓延至其他计算机。
网络蠕虫的传播速度快且隐蔽,给网络安全带来了巨大的威胁。
第二部分:加强系统安全性为了应对网络蠕虫的感染,首先需要加强系统的安全性。
定期更新操作系统和应用程序的补丁,以修复已知的安全漏洞。
使用强密码和双因素身份验证,加密敏感数据和通信,以防止蠕虫窃取信息。
此外,安装和更新可信赖的防病毒软件和防火墙是非常重要的,可以帮助检测和阻止网络蠕虫的感染。
第三部分:培养网络安全意识网络蠕虫的感染往往是通过利用人们的不安全行为实现的,因此培养良好的网络安全意识至关重要。
员工应接受网络安全培训,了解网络蠕虫的工作原理和常见的感染途径,学习如何辨别和避免恶意软件。
同时,组织应制定网络安全政策,明确规定安全操作流程和责任分工,提高全员的安全防护意识。
第四部分:设立网络监测和应急响应机制及早发现和应对网络蠕虫的感染是关键。
建立网络监测系统,及时检测异常活动和潜在的蠕虫感染。
利用入侵检测系统(IDS)和入侵防御系统(IPS)等技术,监控和拦截恶意软件的传播。
同时,建立完善的应急响应机制,明确责任和流程,及时应对网络蠕虫的感染,并采取相应的处置措施。
第五部分:定期备份和恢复数据网络蠕虫感染可能导致数据丢失或被加密,给组织带来严重的损失。
为了防止数据丢失,定期备份数据是非常必要的。
同时,建立可靠的备份存储和恢复系统,确保在感染发生时可以迅速恢复数据,降低损失。
第六部分:持续改进网络安全防护措施网络蠕虫的感染形式和手段在不断演化,网络防护策略也需要不断改进。
基于网络的蠕虫防御和检测技术研究
来 越 多的 病 毒 采 取 了部 分 蠕 虫 的 技 术 。 在
网络 环 境 下 , 样 化 的 传 播 途 径 和 复 杂 的 多 应 用 环 境 使 网络 蠕 虫 的 发 生 率 增 高 、 伏 潜 性 变 强 、 盖 面更 广 , 覆 网络 蠕 虫成 为 恶 意 代 码研 究 中 的首 要 课 题 。 表 明 , 多 的 网 络 蠕 虫 攻 击 在 利 用 漏 洞 进 许 行 攻 击 之 前都 会 进 行端 口扫 描 。 于蠕 虫 , 对 2蠕 虫的网络增长模式 防火 墙 能 以 各种 方 式 抵 御 蠕 虫 的感 染 和 网 蠕 虫 的 增 长 模 式 受 网络 中主 机 被 感 染 络 攻 击 。 有 效 的 抵 御 蠕 虫 的 措 施 是 用 防 最 率 和 有漏 洞 主 机 数量 的 影 响 。 似 的 , 虫 火 墙 关 闭 系 统 不 需 要 开 放 的 端 口 , 及 监 类 蠕 以 扫 描 和攻 击 所 造 成 的流 量 模 型 与 网络 中活 控 从 本 地 主 机 流 向外 网的 数 据 流 。 动蠕 虫 的 数 量也 有直 接 关 系 。 过 Na a i 通 zr o 很 多 的 蠕 虫 攻 击都 能通 过 关 闭 目标 网
一
主 机 的 数 据 包 通 过 路 由 器 进 入 网络 。 展 拓
而 只 是 简单 的对 网络 地址 空 间进 行 扫描 然 后 进 行 攻 击 。 以 正 常 的 数 据 流 是 不 会 到 所 达 “ 洞 的 , 黑 如果 对对 到达 “ 洞 ” 数 据 黑 的 进 行 分 析 就 能 检 测 出 蠕 虫 的攻 击 。 实 现 “ 洞 ” 视 有 三 种 方 式 : 一 种 黑 监 第 是 监 视 返 回报 文 。 网络 攻 击 中 常 常会 在 报 文 中伪 造 源 地 址 , 果 伪 造 地 址 在 “ 洞 ” 如 黑
网络蠕虫的检测与抑制办法
网络蠕虫的检测与抑制办法[摘要]:网络病毒的传播方式使得它们的寄生空间不再局限于孤立的计算机,而是漫布于整个的网络,因此病毒的查杀、清除及其防治措施不得不考虑整体网络的层面。
[关键词]:蠕虫检测抑制中图分类号:s941.52 文献标识码:s 文章编号:1009-914x(2012)26-0303-01随着计算机技术的不断发展,计算机病毒己从早期借助软盘、利用人机交互进行传播的文件型病毒、宏病毒发展到了现在借助网络、利用操作系统或软件的漏洞进行自我复制和自动传播的蠕虫、木马阶段。
近年来,网络病毒的泛滥也说明了网络整体防御的必要性。
如蠕虫和木马的防治问题,当某一蠕虫传播时,仅仅查杀网络中一个节点(一台计算机)中的蠕虫是毫无用处的,只要一个被感染节点清除不了,那么其他节点还会被感染。
木马的防治更是如此,仅仅清除被攻击端的木马也没有太大的用处,远程的控制端才是木马的根源。
所以网络病毒的防御有其特殊性,必须考虑网络整体。
各种层出不穷的蠕虫始终威胁着internet的安全,精心编写的蠕虫能够在几分钟内传遍internet,严重影响人们的正常生活。
目前,病毒检测和防御主要针对其内容特征进行匹配,而特征码的获得又主要依靠人工进行代码分析。
这种方法可以有效识别和阻止慢速传播的早期文件型病毒,但无法高效识别和阻止在数小时甚至数分钟内就能在全球范围内传播的蠕虫。
因此,在未知蠕虫传播的早期进行检测预警,快速生成其特征,并支持后续的自动防御,就成为亟待解决的问题。
因为蠕虫不必寄生在某一个程序之上,所以与其说蠕虫感染了一个文件,不如说蠕虫感染了一个系统或一个网络。
所以检测蠕虫,更应该从网络的层面和蠕虫的特有传播特点来进行检测。
很多蠕虫传播是依靠选择性随机扫描方式,如code red蠕虫,大范围的随机扫描往往是蠕虫爆发时的征兆,因此收集这些扫描活动就能在一定程度上发现蠕虫。
外国研究人员通过统计对未用地址进行的扫描来分析是否有蠕虫活动。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
青岛科技大学业设计(论文)专科毕蠕虫病毒的检测和防御研究__________________________________指导教师__________________________学生姓名__________________________学生学号__________________________院(部)____________________________专业________________班_________________________________年 ___月 ___日蠕虫病毒的检测和防御研究摘要随着网络技术的发展,蠕虫病毒不断扩大对网络安全构成了严重的威胁,本文基于当前蠕虫攻击破坏的严峻形势,对蠕虫病毒的检测和防御技术进行了研究。
首先对蠕虫病毒相关知识作了介绍,包括蠕虫病毒的定义、工作流程以及行为特征,并简要分析了蠕虫病毒国内外研究现状;在此基础上接着研究了蠕虫病毒检测技术,提出了基于蠕虫特征码、蠕虫行为特征、蜜罐和蜜网技术以及贝叶斯蠕虫检测技术;最后对蠕虫病毒的防御技术进行了研究,从企业网络用户和个人用户的角度分析了面对当前蠕虫攻击所需要注意和采取的措施,以尽最大可能减少蠕虫的侵害,营造一个良好的网络环境。
关键词:蠕虫病毒;检测;防御;网络安全目录前言 (1)1蠕虫病毒相关知识介绍 (2)1.1蠕虫病毒定义 (2)1.2蠕虫病毒工作流程和行为特征 (2)1.3蠕虫病毒国内外研究现状 (4)2蠕虫病毒检测技术研究 (5)2.1基于蠕虫特征码的检测技术 (5)2.2基于蠕虫行为特征的检测技术 (5)2.3基于蜜罐和蜜网的检测技术 (6)2.4基于贝叶斯的网络蠕虫检测技术 (6)3蠕虫病毒防御技术研究 (8)3.1企业防范蠕虫病毒措施 (8)3.2个人用户防范蠕虫病毒措施 (9)4总结 (10)致谢 (11)参考文献 (12)前言随着网络技术的发展,人类社会正逐步进入到数字化时代,计算机已经应用到日常生活各个领域,人们在享受到网络便捷服务的同时,各种安全问题也随之出现。
从基于DOS界面的病毒发展到今天基于Windows、Unix等操作系统的各种蠕虫、病毒等,在网络的快速发展带动下,使得计算机不断遭受到了非法入侵,不法黑客人员盗取了一些重要信息,甚至造成了操作系统的瘫痪,对个人和企业都带来了相当巨大的经济损失,同时对国家网络安全也构成威胁,带来了无法估计的损失。
最早开始的网络蠕虫攻击是发生在1998年的Morris 蠕虫病毒事件,从此后蠕虫病毒的研究成为了一项重要的课题。
2009年中国计算机病毒疫情调查技术的分析报告指出,中国网络安全态势发展进一步加大,网上制作和贩卖蠕虫、病毒以及木马等活动日益严重,并通过这些蠕虫病毒侵害网络的现象日趋上升。
2010年上半年期间,CNCERT/CC 一共接收了4780次网络安全的事件报告,相比上一年增长了105%,其中恶意代码占到了57.57%的比例,中国大陆地区有将近124万个IP地址对应的计算机受到了蠕虫木马程序的侵害和控制。
近几年,出现了很多病毒和蠕虫危害,比如说尼姆达、熊猫烧香、QQ尾巴、飞客等等,严重影响和干扰了计算机网络安全,侵害了个人和企业以及国家的财产安全,而且蠕虫病毒的网上传播仍然十分猖獗,对网络安全的威胁依然存在。
因此,网络蠕虫的研究是我们必须要关心的问题,对蠕虫病毒进行检测和防御技术研究具有重要意义。
基于此研究背景和网络安全形势,本文将对蠕虫病毒的检测和防御技术进行研究。
具体包括:(1)蠕虫病毒相关知识介绍。
介绍蠕虫病毒的定义、工作流程以及行为特征,并简要分析国内外研究现状;(2)蠕虫病毒检测技术研究。
介绍基于蠕虫特征码、行为特性等方面的检测控制技术;(3)蠕虫病毒防御技术研究。
从企业网络和个人用户角度,研究防御蠕虫攻击的主要措施。
1蠕虫病毒相关知识介绍1.1蠕虫病毒定义关于蠕虫病毒的定义很多,最早的定义是Eugene H.Spafford给出的:“蠕虫是可以独立运行的,并且能够自我复制且传播到其他计算机上的一段程序代码”。
但是随着网络的发展和科技的进步,蠕虫病毒出现了各种不同的变种,且产生了难以抑制的效果,因此学者们给予了多种多样的定义。
Elder 和Kienzle 认为:“网络蠕虫是通过计算机网络来进行传播,无须用户干预就能够独立运行或者依赖文件共享而去主动攻击其他计算机的一种恶意代码的形式”。
尽管蠕虫病毒的形式多种多样,不同学者给出了不同的定义,但是从以上给出的几种定义中可以看出,蠕虫病毒的定义都具有共同的特性,主要体现在以下几个方面:(1)蠕虫病毒独立运行,不需要用户进行干预;(2)蠕虫病毒具有自我传播和自我复制的特性,并且传染的方式途径很多,传播的速度较快,对网络和计算机安全破坏性强。
蠕虫一般是通过计算机的漏洞进行传播,国家网络安全中心每年发现的计算机漏洞数量惊人,尤其是近几年来,蠕虫病毒利用了很多零日漏洞进行传播,对网络安全和计算机构成了严重威胁。
1.2蠕虫病毒工作流程和行为特征(1)蠕虫病毒工作流程网络蠕虫病毒的工作流程一般可以分为四个阶段:扫描、攻击、处理、复制。
扫描主要是对目标地址空间内存在漏洞的计算机,收集相关信息以备攻击电脑,为攻击目标而准备;攻击阶段则是对扫描出的存在漏洞的计算机进行攻击,并感染目标机器;处理阶段隐藏自己在已感染的主机上,并且给自己留下后门,执行破坏命令;复制阶段主要是自动生成多个副本,主动感染其他主机,达到破坏网络的效果。
蠕虫病毒的整个工作流程如图1-1所示。
图1-1蠕虫病毒工作流程(2)蠕虫病毒行为特征通过对网络蠕虫的定义介绍以及工作流程分析,可以归纳出蠕虫的行为主要特性,具体如下:①自我复制和主动攻击。
蠕虫具有自我复制和主动攻击功能,当蠕虫病毒被释放后,它们会自动搜索当前网络系统是否存在机器漏洞,如果存在则进行攻击,反之则寻找新的系统查找漏洞,整个流程都是蠕虫自身完成,不需要人工进行任何干预。
②利用系统漏洞进行攻击。
蠕虫通过计算机系统漏洞进行攻击,没有漏洞则不能攻击系统,因此蠕虫最基本的行为特征是利用系统漏洞进行攻击。
③极具破坏性。
随着网络的发展,蠕虫病毒也越来越具有破坏性,造成了巨大的经济损失,使得计算机系统崩溃,深圳网络瘫痪等情况。
④反复攻击性。
即使清理掉了蠕虫病毒被,在计算机重新连接到网络之前没有为之漏洞打补丁,那么这台计算机依然可能会被感染,蠕虫病毒会反复攻击。
⑤使得计算机系统性能下降,整个网络塞堵甚至瘫痪。
蠕虫病毒进行攻击之前会进行网络大面积的扫描,对同一个端口不断的发送数据包,造成计算机系统性能下降;当扫描到存在系统漏洞的计算机时会产生额外的网络流量,引起网络拥塞,甚至可能造成瘫痪,带来巨大的经济损失。
⑥很好的伪装以及隐藏方式。
蠕虫病毒一般都具有较高隐藏功能,用户不容易发现,不能及时清理,同时它们会在感染计算机系统后留下逃脱后门。
1.3蠕虫病毒国内外研究现状随着蠕虫病毒的发展,网络安全技术厂商通过结合各种安全技术产品的方式对付蠕虫病毒,其中典型的方式是将网络杀毒软件、终端与防火墙、漏洞扫描系统、入侵检测相结合。
2005年以来,产生了很多具有代表性的安全方案,具体地主要有:2004年底,锐捷网络推出了全局安全网络解决方案,相比于简单的“杀毒软件+防火墙”这种体系来说,其安全措施加强了对于网络终端安全性的控制以及修复。
对每个用户计算机加载一个客户端软件,如果发现有蠕虫病毒侵入,立即通知服务器,服务器将会隔离此用户与正常用户,并修复入侵系统漏洞。
当修复完成之后,安全客户端软件还会自动重新检测用户系统,在确定系统已解除安全隐患之后才允许再次进入网络。
通过这种自动检测和拦截技术,将蠕虫病毒等安全隐患拒之门外,能够防患于未然。
趋势科技公司推出了企业安全防护战略-EPS(Enterprise Protection Strategy),主要是采用蠕虫病毒入侵检测技术,不断地侦听网络内部是否接入有蠕虫病毒数据包,一旦检测到蠕虫侵入,随即隔离所有的危险设备。
以上对蠕虫病毒的防护技术主要是针对于操作系统的漏洞而检测的,目前,随着科学技术的进步和网络的发展,蠕虫病毒不断扩大的同时检测和防御技术也在不断更新中,蠕虫病毒的研究始终是一项重要的研究内容。
2蠕虫病毒检测技术研究蠕虫技术的不断扩大对网络的安全构成了极大的威胁,甚至有可能带来网络瘫痪,造成巨大的经济损失,因此必须采取有效措施和途径,对网络蠕虫进行检测和控制,下面将对蠕虫病毒的检测技术进行研究。
2.1基于蠕虫特征码的检测技术基于蠕虫特征码的检测技术是目前使用最多的一种检测技术,其主要手段是通过特征进行匹配。
具体的检测原理是:首先收集一些蠕虫恶意代码的特征值,然后在这些特征值的基础上创建相应的特征码规则库,当检测计算机是否受到蠕虫病毒感染或者攻击时,将检测到的网络行为的特征码和特征码规则库中具体规则进行匹配,若是匹配成功则说明该网络存在异常,可能含有蠕虫病毒等危害,应当给出警告提示或者拒绝访问。
由以上检测原理可见,这种检测技术存在一定的限制,只有当特征码规则库中存在恶意行为的特征码规则时,才能够匹配成功,判定该网站存在恶意行为,进行抑制或者反击。
在这种情况下,若是有些蠕虫病毒并没有在规则库中匹配成功,不能被检测出来,那么该网络就可以通过检测,对计算机系统造成危害,带来不可预测的经济损失,因此需要对规则库实时进行维护和更新,确保最新的蠕虫病毒特征码存储在特征库中,能够被识别出来。
目前比较熟知的基于蠕虫特征码的检测算法包括Earlybird和Autograh,这两种方法提供实时提取特征码功能,基于Rabin fingerprint算法。
当蠕虫病毒变形扩散后,单一连续的字符串不能够作为特征码使用,为此James Newsome提出了著名的Ploygraph检测系统,可以提取出具有蠕虫变形规律的特征码。
2.2基于蠕虫行为特征的检测技术基于蠕虫行为特征的检测技术主要包括四种方法:统计分类法、简单阈值法、信号处理法以及智能计算法。
其中简单阈值法的检测指标是与连接相关的指标,包括连接失败数、连接请求数、ICMP消息数以及连接端口的流量等等。
Bakos提出了一种蠕虫行为特征检测技术,利用了ICMP目标主机不可达报文来判断识辨蠕虫的随机扫描行为,并通过信息收集点来收集网络中由路由器产生的这种不可达报文信息,然后统计消息的个数,并和给定的阈值进行比较,以此判断蠕虫是否有传播行为。
但是这种方法中如果路由器个数较少,那么收集到的报文信息数就会较少,会影响到判断的准确性。
其他的行为特征检测方法是通过识别网络中不断重复出现的数据包内容进行识别蠕虫病毒,但是由于这些方法在检测时必须要有大量的统计信息,因此在时间上会有一个滞后的过程,造成不能够及时地检测到蠕虫病毒。