当前位置:文档之家 › Internet蠕虫防范技术研究与进展

Internet蠕虫防范技术研究与进展

  • 格式:pdf
  • 大小:260.86 KB
  • 文档页数:4

下载文档原格式

  / 4

合集下载

网络蠕虫防范技术研究

网络蠕虫防范技术研究

网络蠕虫防范技术研究作者:王玉霞来源:《科技创新导报》 2014年第4期王玉霞(中石化淮安分公司淮安 223003)摘要:受文网络蠕虫的传播机制进行了建模分析,在此基础上进一步总结并且描述了网络蠕虫的检测技术,介绍了网络蠕虫的控制方法,着手于研究网络蠕虫的检测与防御技术。

关键词:网络蠕虫防范研究中图分类号:TP319.3 文献标识码:A 文章编号:1674-098X(2014)02(a)-0056-01网络蠕虫是常见的病毒,虽然具有一般病毒的特征,即通过网络载体进行复制传播,但与一般的病毒最主要区别是没有人为干预,能够独立运行。

网络蠕虫具有潜伏性强、传播快、生存周期长、覆盖面广、发生频率高等特点,特别是新型蠕虫与多态蠕虫的涌现,造成网络瘫痪,成为危害网络安全的重大隐患。

1 网络蠕虫的建模分析研究网络蠕虫的传播机制,通过蠕虫主体功能的四个模块对蠕虫病毒进行分析,即扫描、搜索、攻击、复制和传输四个模块。

1.1 搜索模块该模块决定采用技术的和非技术的方法搜集本地或者目标网络的信息,其搜索主要内容有系统类型、版本、用户名、邮件列表、开放的服务器软件版本、网络拓扑结构以及边界的路由信息。

1.2 扫描模块该模块利用信息搜集模块搜集的信息所完成的检测,探测搜索的主机。

通常扫描探测策略有顺序、基于目标列表、基于路由扫描、随机和选择性随机扫描等。

1.3 攻击模块该模块利用扫描探测模块探测的主机漏洞,对目标系统实施攻击和建立传输通道,以植入和运行蠕虫副本。

缓冲区溢出攻击是普遍的攻击形式,此外攻击形式还有系统误配置和字符串格式攻击等。

1.4 复制模块该模块通过交互原主机和新主机,将病毒复制到新主机并启动,生成多种形式的副本。

1.5 传输模块该模块在实施攻击后,下载安装附加的恶意代码到目标机,还会添加到windows进程中,致使系统操作异常。

通过对网络蠕虫的建模分析表明,网络蠕虫的传播虽具有突发性,但还有一定的规律性,因此,在传播初期进行有效的检测和控制能够抑制蠕虫的泛滥。

计算机网络安全防护技术的研究进展

计算机网络安全防护技术的研究进展

计算机网络安全防护技术的研究进展在当今数字化的时代,计算机网络已经成为人们生活和工作中不可或缺的一部分。

然而,随着网络的普及和应用范围的不断扩大,网络安全问题也日益凸显。

网络攻击、数据泄露、恶意软件等威胁给个人、企业和国家带来了巨大的损失和风险。

因此,计算机网络安全防护技术的研究和发展显得尤为重要。

网络安全威胁的形式多种多样,包括病毒、木马、蠕虫、间谍软件、网络钓鱼、拒绝服务攻击等。

这些威胁不仅会破坏计算机系统和网络的正常运行,还可能窃取用户的个人信息、商业机密等重要数据。

为了应对这些威胁,研究人员不断探索和创新网络安全防护技术。

防火墙技术是网络安全防护的基础之一。

防火墙可以看作是网络的“门卫”,它能够根据预设的规则对网络流量进行过滤和控制,阻止未经授权的访问和恶意流量进入内部网络。

传统的防火墙主要基于包过滤和状态检测技术,但随着网络攻击手段的不断升级,下一代防火墙引入了更先进的技术,如应用识别、用户身份认证、深度包检测等,能够提供更精细和全面的防护。

入侵检测系统(IDS)和入侵防御系统(IPS)也是重要的网络安全防护手段。

IDS 通过对网络流量的实时监测和分析,发现潜在的入侵行为,并及时发出警报。

IPS 则不仅能够检测入侵,还能够主动采取措施阻止入侵行为的发生。

近年来,基于机器学习和人工智能的入侵检测和防御技术取得了显著进展。

这些技术能够自动学习和识别正常的网络行为模式,从而更准确地检测出异常和恶意行为。

加密技术是保护数据安全的重要手段。

通过对数据进行加密,可以将其转换为密文,只有拥有正确密钥的授权用户才能解密并读取数据。

对称加密算法(如 AES)和非对称加密算法(如 RSA)在数据加密中广泛应用。

此外,随着量子计算技术的发展,抗量子加密算法的研究也成为了热点,以应对未来可能出现的量子计算对传统加密算法的威胁。

在移动互联网时代,移动设备的安全防护也成为了关注的焦点。

移动设备面临着恶意软件、漏洞利用、数据泄露等风险。

网络安全防御技术及其应用研究进展

网络安全防御技术及其应用研究进展

网络安全防御技术及其应用研究进展随着互联网的迅猛发展,网络安全问题已经成为全球范围内的重要关注点。

攻击者不断探索新的方法来窃取个人和组织信息,在这种情况下,网络安全防御技术的研究和应用变得尤为重要。

本文将探讨网络安全防御技术及其应用的研究进展。

一、传统网络安全防御技术传统的网络安全防御技术通常以防火墙、入侵检测系统(IDS)和入侵防御系统(IPS)为主要组成部分。

1.防火墙防火墙是网络安全的第一道防线,它通过控制进出网络的数据流量,过滤恶意流量,阻止攻击者访问和破坏网络。

防火墙可以根据特定规则设置网络访问权限,确保只有被授权的用户可以进入网络。

此外,防火墙还能控制互联网的访问,保护内部网络的安全。

2.入侵检测系统(IDS)入侵检测系统是一种监控网络流量,识别和报告恶意活动的安全设备。

IDS可以分为主机入侵检测系统(HIDS)和网络入侵检测系统(NIDS)。

HIDS监控单个主机的活动,而NIDS监视整个网络流量。

这些系统通过对流量进行实时分析,检测非法访问、漏洞利用、拒绝服务攻击等攻击行为。

3.入侵防御系统(IPS)入侵防御系统与入侵检测系统类似,但它更进一步,可以主动阻止攻击。

当入侵检测系统检测到攻击时,入侵防御系统可以根据预先设定的策略进行自动应对,例如阻止IP地址、中断连接等。

二、新兴网络安全防御技术传统的网络安全防御技术存在局限性,无法完全应对不断进化的网络威胁。

为了满足当今复杂的网络环境,研究人员不断探索和开发新的网络安全防御技术。

1.机器学习机器学习可以帮助网络安全系统自动学习,并不断改进对新攻击的识别能力。

通过学习和分析海量数据,机器学习模型能够识别恶意流量、异常行为和未知威胁。

它可以检测出传统规则无法识别的新型攻击,并及时采取措施进行防御。

2.行为分析行为分析是一种基于用户和实体行为的安全防御方法。

它监控用户和实体的行为模式,建立行为基准,并基于模式的偏离来检测潜在的攻击活动。

行为分析可以识别已被攻击者接管的用户帐户、内部黑客和未经授权的活动,并及时采取适当的措施进行防御。

网络攻击与防御的最新研究进展

网络攻击与防御的最新研究进展

网络攻击与防御的最新研究进展随着信息技术的快速发展和普及,网络安全问题已成为全球性风险,网络攻击也日益频繁和复杂。

然而,网络攻击者的手段也有了新的发展,包括网络蠕虫、病毒、木马、分布式拒绝服务攻击(DDoS)等。

为应对这些攻击,网络安全防御技术正在不断升级和完善。

本文将介绍网络攻击和防御的最新研究进展,以及相关技术的未来发展。

一、网络攻击的新发展网络攻击是指攻击者使用各种高科技手段,通过网络系统的弱点和漏洞,入侵他人计算机系统或网络设备,窃取、破坏或篡改他人数据信息的一种行为。

网络攻击者的目的可以是商业利益,也可以是政治、军事等动机。

网络攻击的形式和手段已经发生了很大的变化,攻击者采取了更高级的技术和手段,从而使安全防护更加困难。

以下是一些网络攻击的新形式:1. 零日攻击:零日攻击指攻击者利用目标系统的未知漏洞或弱点进行攻击,因为这些漏洞还没有被揭示或修补,所以攻击者能够获得预期的结果。

这种攻击是最危险的一种攻击方式,也是最难以防范的。

2. 知识图谋攻击:知识图谋攻击利用人工智能技术和机器学习算法,以欺骗人的方式攻击系统,为攻击者提供了更多的机会。

3. 无文件攻击:无文件攻击不需要在受攻击的计算机上留下任何痕迹,这使得攻击者更难以被检测和捉拿。

4. 钓鱼攻击:钓鱼攻击是一种利用社交工程手段,通过电子邮件、短信或即时消息等方式,欺骗用户点击恶意链接,或输入个人信息(如用户名、密码等)的攻击方式,露出用户的账号和密码,骗取个人信息。

5. DDoS攻击:DDoS攻击是通过“同步洪水攻击方法”,即在同一时间内利用大量假 IP 封包向网站或服务器发送高频请求,导致其服务器或网站全部瘫痪,影响使用者的技术攻击策略。

攻击者通常会使用一些网站或设备上的数据包放大器。

二、网络安全的防御技术为了应对这些网络攻击,网络安全防御技术应运而生。

网络安全防御技术分为以下几个方面:1. 防火墙:防火墙是安装在网络中的一种软件或硬件设备,主要用于监控、过滤和控制数据包流量。

网络蠕虫研究与进展

网络蠕虫研究与进展
2 3
(中国科学院 信息安全技术工程研究中心,北京
Research and Development of Internet Worms
WEN Wei-Ping1,2,3+, QING Si-Han1,2,3, JIANG Jian-Chun1,2,3, WANG Ye-Jun1,2,3
1 2 3
(Institute of Software, The Chinese Academy of Sciences, Beijing 100080, China) (Engineering Research Center for Information Security Technology, The Chinese Academy of Sciences, Beijing 100080, China) (Graduate School, The Chinese Academy of Sciences, Beijing 100039, China)
+ Corresponding author: Phn: +86-10-62645412 ext 8014, E-mail: qing1010@
Received 2004-04-22; Accepted 2004-07-06 Wen WP, Qing SH, Jiang JC, Wang YJ. Research and development of Internet worms. Journal of Software, 2004,15(8):1208~1219. /1000-9825/15/1208.htm Abstract: With the explosive growth of network applications and complexity, the threat of Internet worms against

Internet蠕虫防范技术研究与进展

Internet蠕虫防范技术研究与进展

Internet蠕虫防范技术研究与进展
周涛;戴冠中;慕德俊
【期刊名称】《计算机应用研究》
【年(卷),期】2006(23)6
【摘要】当前蠕虫的频频爆发使得蠕虫问题已成为网络安全领域的焦点问题.分析了蠕虫的特征行为,研究了国内外几种最新的Internet蠕虫防范系统,并在此基础上展望了蠕虫攻防的发展趋势.
【总页数】4页(P13-15,30)
【作者】周涛;戴冠中;慕德俊
【作者单位】西北工业大学,自动化学院,陕西,西安,710072;西北工业大学,自动化学院,陕西,西安,710072;西北工业大学,自动化学院,陕西,西安,710072
【正文语种】中文
【中图分类】TP309
【相关文献】
1.大规模网络中Internet蠕虫主动防治技术研究--利用DNS服务抑制蠕虫传播[J], 郑辉;孙彬;郑先伟;段海新
2.浅谈计算机蠕虫病毒的硬件防范技术 [J], 王莉
3.浅谈网络蠕虫及防范技术 [J], 吴士君;李媛媛
4.网络蠕虫防范技术研究 [J], 王玉霞
5.浅谈计算机蠕虫病毒的硬件防范技术 [J], 王莉
因版权原因,仅展示原文概要,查看原文内容请购买。

网络蠕虫的研究与防范

【 要】 摘 随着网络 系统应用及 复杂性的增加 , 网络蠕 虫成为 网络安全的主要威胁 。 首先介绍 网络蠕 虫的特点及 其与计 算机病毒的差异 ; 然 后 分析 了冲击波蠕虫进行 网络传播和攻击的基本原理和 工作流程 , 讨论 了网络蠕 虫的一般行 为特征 和功能结构 ; 最后分析 了蠕 虫病毒 当前的
防 治技 术 。
【 关键词 】 网络蠕 虫; 网络安全 ; 能结构 ; 虫防范 功 蠕
0 引 言
行。
网络蠕虫 蠕虫病毒 ) ( 是一种常见 的计算 机病毒 , 利用网络进行 3 蠕虫的行 为特征和功能结构 复制和传播 , 传染途径是通过网络和电子 邮件。蠕虫病毒既具有计算 31 蠕 虫 的行 为特 征 分 析 . 机病毒的一般特 性 . 又具有 自己的一些特征 . 如不需要将 其 自身附着 通过对冲击 波等蠕虫 的整个工作流程的分析 。 可以归纳得到它们 到宿主程序 . 利用网络和计 算机的漏 洞进行 攻击 和传播等 随着 网络 的一些共 同行 为特征 : 的飞速发展 . 蠕虫病毒正逐渐成为网络和计 算机安全的最大威胁 。因 () 1 利用系统 和网络服务的漏洞进行 主动攻击 : 从搜 索漏 洞到利 此 . 网络蠕虫的研 究和防治成为信 息安全领域 的一个重要课题日 对 。 用搜索结 果攻击 系统 , 到复制副本 , 整个流程全 由蠕 虫 自身 主动完成 。 () 2 造成 网络拥 塞 . 降低系统性 能 : 蠕虫入侵到计算 机系统之后 , 1 网络蠕虫与计算机 病毒的比较 大量的扫描和攻 击线程会耗费系统资源 . 同时也 因产生大量附加的 网 根据蠕虫和计算机病毒的定义可知 . 蠕虫利用计算机和 网络 的漏 络数据流量而导 致网络拥塞 洞主动进行攻击和传播 . 而一般计算 机病 毒必须以其它程序文件为 载 () 3 产生安全 隐患: 大部分蠕虫会搜集 、 扩散 、 暴露系统敏感信息 , 体, 而且只有当用户运行病毒所依 附的文件 时 。 病毒程序才会被激活 , 并在系统中留下后 门 然后感染其所在的系统。 蠕虫和普通计算机病 毒的主要 差别 如表 1 所 () 4 反复性 : 如果 没有修补计算机系统 漏洞 . 即使 清除了蠕虫 , 当 示。 计算机接入到网络还是会被重新感染 。 表 1 网络蠕虫与计算 机病毒 的区别 32 蠕虫的功能结构模型 . 计算机病毒 网络蠕虫 根据上述分 析 . 以总结 出蠕虫 的功能结构模 型. 可 各模块的功能 和用途如下 : 存在形式 寄生 独立程序 () 1 自启动模块 : 保证每次开机蠕虫都会 自动运行 , 一般注册成为 复制机制 插入到宿主程序 中 自身拷贝 服务或在注册表 的 R n目录下添加启动项等 u 运行方式 宿 主程序运行 主动攻击 () 2 扫描模块 : 主要是漏洞扫描 , 通过某种算法寻找下一台要传染

计算机网络安全技术研究现状与发展趋势

计算机网络安全技术研究现状与发展趋势一、绪论随着计算机网络应用场景的不断扩展,网络安全问题也日益成为国家和企事业单位关切的焦点。

网络安全技术犹如一道拦击黑客、挖掘漏洞的屏障,为网络世界的稳定运行提供保障。

因此,研究网络安全技术的现状和发展趋势具有非常重要的意义。

二、计算机网络安全技术现状1.网络攻击类型多样网络攻击渠道往往是不易察觉的,普通用户甚至可能一无所知。

攻击类型诸如病毒、木马、蠕虫、DOS/DDOS攻击、水坑攻击等,它们能够突破网络安全防线,造成经济损失和社会稳定性的威胁。

2.安全威胁呈现多样性随着网络安全防范技术的不断提升,黑客也不甘于如此状况,他们利用各种方法不断逃脱安全防护的检测。

例如隐蔽性的木马程序,可以控制用户的计算机;ARP欺骗可以让受害者误以为攻击者的计算机是受害者的路由器;而仅是诈骗性的邮件则可以欺骗受害者提交个人信息。

3.安全技术的应用日趋广泛目前的网络安全技术被广泛应用于各大领域。

其中,防火墙、虚拟专用网、加密技术等是目前防护网络安全最为常用、最全面的安全技术。

4.网络安全技术存在缺陷面对不断变化的攻击手段,传统的网络安全技术显现出一些无法避免的缺陷。

如防火墙的检测机制较为单一,容易被攻击者绕过; IDS/IPS等安全检测设备费用昂贵,不适合自主部署。

三、计算机网络安全技术发展趋势1.人工智能在网络安全领域的应用正在增加人工智能技术的引进可以大幅改进现有的防御机制,在对一批信息进行扫描和挖掘等操作时发挥重要作用,有助于解决因病毒或其他恶意文件而对计算机网络造成的扰动。

2.区块链技术助力网络安全区块链用于数字资产的交换和安全记录,基于不同于传统的加密技术,可以在传输中实现更好的防御。

区块链技术可以使操作更安全,并减少黑客和其他敌对攻击的风险,有助于实现网络安全中内部数据信息的加密。

3.新型威胁的应对需求不断加强随着各类权威的紧密合作和人工智能技术的逐步发展,网络安全的未来将有更好的解决途径,可以更方便地应对各类攻击方式,降低内部系统的风险,提供更加流畅的通信服务,并更好地保护企业重要数据。

网络蠕虫病毒检测技术研究与应用

网络蠕虫病毒检测技术研究与应用随着互联网的普及和发展,各种网络蠕虫病毒也在不断涌现。

这些病毒可以在网络中迅速传播并感染大量计算机,给个人信息和数据的安全带来极大的威胁。

因此,开发和应用网络蠕虫病毒检测技术已成为计算机安全领域中的重要研究方向之一。

一、病毒检测技术的发展目前,根据对病毒检测技术的研究和应用,病毒检测技术可以分为传统的基于特征的病毒检测技术和基于机器学习的病毒检测技术两大类。

传统的基于特征的病毒检测技术主要是通过对病毒的特征进行分析和提取,然后与已知的病毒进行匹配,识别和检测病毒。

这种技术可以简单快捷地找到已知病毒,但对于未知病毒的识别能力较弱,无法有效应对未知的病毒攻击。

基于机器学习的病毒检测技术则是通过对已知的病毒样本进行学习,建立病毒检测模型,将模型应用到未知样本的分类和识别中。

相比传统的病毒检测技术,基于机器学习的病毒检测技术可以更快速准确地识别未知的病毒,且可持续性更强。

二、病毒检测技术的应用随着互联网的高速发展,各种在线服务的使用也成为了现代社会的主流。

尤其是在金融、电子商务、医疗等行业,不少信息处理都是通过互联网实现。

这些行业的信息数据一旦泄露或遭受病毒攻击,就可能造成极大的损失。

因此,网络蠕虫病毒的检测技术可以应用到各行各业的信息安全保护中。

例如,在金融领域,病毒攻击可能导致用户的账户信息被盗取或其金融交易遭到干扰。

因此,金融机构可以使用病毒检测技术来保障客户信息的安全,防范金融欺诈等不法行为。

在企业信息安全领域,病毒检测技术可以帮助企业及时发现病毒攻击,并及时做出应对措施。

通过定期巡检,及时检测病毒,企业可以降低病毒攻击对其业务造成的损失。

三、病毒检测技术面临的挑战网络蠕虫病毒检测技术的研究与应用,不仅可以协助用户有效地检测和清除病毒威胁,也有助于提高计算机网络的安全性。

但随着网络蠕虫病毒技术的不断变化和升级,检测技术面临着不小的挑战。

首先,病毒检测技术需要不断更新。

分析计算机网络中的网络蠕虫病及其防范措施

分析计算机网络中的网络蠕虫病及其防范措施网络蠕虫病是一种常见的计算机网络安全问题,它使用计算机网络作为传输媒介,破坏了网络系统和服务。

本文将介绍网络蠕虫病是如何工作的,以及一些防范措施。

1. 病毒和蠕虫在深入了解网络蠕虫病之前,我们需要了解一些计算机病毒的基础知识。

计算机病毒是一类侵入计算机系统的恶意程序,具有自我复制和传播的能力,它可以危害计算机系统的正常运行。

另一方面,蠕虫也是一种计算机病毒,但是它不需要人工干预即可自我复制和传播。

它通过寻找网络中其他计算机来传播自己,然后在每个受感染计算机上运行,导致计算机系统崩溃。

2. 网络蠕虫病的工作原理网络蠕虫病的工作原理非常简单,它通过利用网络中的漏洞,自我复制并在计算机上运行。

通常情况下,蠕虫程序会沿着网络路由器进行扫描,探测并感染网络中的其他计算机。

然后,在感染的计算机上运行自己的代码,这些代码可以损坏计算机的文件系统、内存等部分,并在计算机上运行恶意软件。

一旦一个计算机被感染,蠕虫程序就可以在后台轻松地运行,而不会给用户留下任何痕迹。

3. 防范措施为了保护计算机免遭网络蠕虫病的入侵,我们需要采取一些防范措施,包括以下几个方面:(1) 安装更新的防病毒软件,对计算机进行全面扫描。

(2) 安装最新的操作系统和程序更新,以防止蠕虫攻击已知漏洞。

(3) 禁止使用未经授权的软件或下载文件,尤其是一些来历不明的文件和软件。

(4) 配置防火墙,限制网络访问。

可以禁用网络上一些不必要的服务和端口,减少网络攻击的机会。

(5) 使用复杂和安全的密码,以防止被破解。

4. 结论从本文中可以看出,网络蠕虫病是一种严重的计算机网络安全问题,它可以通过网络传播并感染其他计算机。

为了有效防止蠕虫攻击,我们需要采取一些防范措施,包括安装防病毒软件、更新操作系统和程序、限制网络访问等。

通过这些措施,我们可以有效保护计算机系统免受蠕虫攻击。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

, 其 原理是 在网 络的边 界路 的字符串的
由器上进行流量监测 , 并计算网络上所有长度为
R abin签 名。如果 某些数据包频繁 出现在 所监控的 网络上 , 就 会得到大量重复的签 名。当重 复次数超过某个阈值时 , 系统就 认为网络上出现了新 蠕虫 , 并根据 得到的 签名进 行数据过 滤。 注意这里不是对蠕虫样 本进行 签名 , 而是 对观测到 的数据 , 计 算其所有长度为 真效果。 假设观测到的某 段数据为 t1 t2 & tn , 对于子 字符串 t1 t2 & t ( < n )的 R ab in 签名为
[ 3]
( 1) 在一个 采样周期内对进出网络 的数据包 进行监 测 , 根 据目的端口的不 同对数据包进行分类 , 然后维持一张端口 ∋ 连 接次数关系表。如果某 个曾经 出现过的 端口长 时间没 有新的 连接就将其从表 中清除。 ( 2) 对每个 关系表中出现的端口 , 在一个采 样周期 内观测 对该端口的访问 总共涉及到 多少个 不同的 目的 地址 , 记为 N。 计算从开始统计到现在的 N 的指数加权移动平 均数 N = ( 1)N , 这里 是常数。 )N, 则 发出报 警信 ( 3 )如果当 前时刻的观 测值 N > ( 1+ 号。这里 N+
是常数 , 它反映了系统对流量变化的 敏感度。另外
此处有一个假设 , 就是相同时间内蠕虫对外的连接请求要大大 多于正常用户 , 这个假设一般是成立的。 ( 4) 包过滤 模块接到报警信号后 , 在网络流 量中过 滤掉目 的端口为可疑端 口的数据包。对端口的过滤有可能会影响 In ternet用户 的正常访问 , 因而只能是暂时的 , 等到得到蠕虫的签 名信息后可以针 对内容而不是端口进行过滤。
的所有可能值 , 以供
生成签名使用。从以上分析我 们可看出该系统具有以下特点 : ( 1) 无需获取蠕 虫样本即可生成可疑流量的签名。 ( 2) 不是对整个 蠕虫代码进行签名 , 而是计 算给定 长度的 字符串的签名 , 这样即使蠕 虫修改 了部分 内容逃避 过滤 , 只要 其主体内容不变仍可 被检测出。 ( 3) 可以采用递 推算法提高计算效率。 3 2 网络协议 信息过滤方案 同 Ear lyB ird 一样 , 基于 网络 协议 信息 的过 滤也 是利 用了 蠕虫扫描和攻击方式 的单一性 , 所不同的是这种防范技术不检 查网络数据包的数据 部分 , 只检 查数据 包的 TCP 层 和 IP 层协 议信息。它的工作原理 是蠕虫在 传播时 一般都 是针对 某种特 定的系统漏洞 , 因此其扫描和攻击行为也是针对目标主机的特 定端口。如果在一段时 间内观测 到的针 对某个 端口的 流量出 现异常 , 即可推测当前出现了新蠕虫的传播。由于网络协议信 息可以在路由器上高 效获取 , 而且同内容过滤相比无须进行签 名计算 , 可以大大减少计算开支 , 因而这种方法更具可行性。 美国 Southern Ca lifornia大学的研 究人员 提出 了一种 基于 路由器的蠕虫检 测和围 堵方案 , 称 为 DEW P ( D etec tor fo r Ear ly W orm P ropaga tion)
F 1 = ( t1 p
- 1
的子字符串 的 R ab in 签名 , 然后根 据签名内 = 39 取 得了 良好 的仿
容进行监测。在 文献 [ 3] 中 作者 设定
3 3 趋势 检测方案
( 2)
+ t2 p
- 2
+ & + t ) m od M
基于内容和 协议信息过滤方案都存在一个问题 , 就是如何 选取作为异常判 断标准的阈值。如果阈值取得过低 , 会造成较 高的虚警率 , 反之则会导致漏报率上升。为此研究人员又提出 了一种无阈值蠕 虫预警方案 , 其原理是检测异常情况的发展趋 势 , 而不是异常 情况 出现 的次 数 ( D e tecting the T rend , N o t the Burst[ 5] ) 。该方案的理论依据是 : 蠕虫传播 时遵循流行 病学模 型 , 如果网络上确实有新蠕 虫在传 播 , 那 么观测 到的异 常主机 数量的增长过程 将服从一定规律。通过估计 Internet 蠕虫的传 播参数 , 可以判定当前网络上的异常主机数量增长过程是否服 从流行病学模型 , 进而判定是否有新蠕虫的传播。 美 国 M assachusetts 大 学 的邹 长 春 等 人提 出 了 一 种基 于 Kal m an滤波的 In ternet蠕虫监测系统 [ 5] 。其 结构如图 2 所示。 图中在各个局域 网与 Internet 相连 的部分 设置扫描 监测器 , 对 网络上的异常扫 描信息进行 统计 , 然后汇 总到蠕 虫预警 中心 , 预警中心对各个 观测器上报 的统计 信息进 行分类和 关联。通 过对 In ternet蠕虫传播模型 ( 式 ( 1) ) 进行 分析 , 可 以得到 在蠕 虫传播时 , 前后两个时刻 的扫描 包数 量 Z t - 1和 Z t 满足如 下关 系 [ 5] :
Ab stract : Ow ing to the frequent explosions of In ternetw or ms , Interne tw or m has been the focus of attention in cybe rspace se curity fie ld recently . T his paper first analyzes Internet wo r m s cha racte ristics , then describes som e Internet wo r m conta inm en t system s which a re propo sed at ho m e and abroad, and pro spects the trend o f wo r m and anti w or m technology in the end. K ey words : InternetW or m; Cybe rspace Secur ity ; Propagation M ode;l F ilter
由于蠕虫是 利用某个特定的漏洞进行传播的 , 蠕虫发出的 扫描包内容一般都是相 同的 , 另外 , 蠕虫 在进行 复制时 传输的 文件也是相同的 。所以当 有蠕虫活跃时 , 网络上一般会充斥着 大量内容相同的 数据包。 N icho las W eaver曾提到蠕虫在传播时 可采用预定义 列表、 拓扑扫描、 本地子网扫描、 置换 扫描等方 法从而 大大提 高感染 速度 [ 1] , 但在现实中绝大多 数蠕虫还 是利用 随机生 成的 IP 地 址作为感染目标 。这种 感染目 标的不确 定性决 定了蠕 虫在传 播过程中会产生 大量的针对某个端口 , 但目标地址或目的端口 不可达的扫描 包。从蠕 虫爆 发 过程 来看 , Internet 蠕 虫的 传播 模型可以用以下 流行病学传播模型来描述 :
第 6期

涛等 : Internet蠕虫防范技术研究与进展
# 13#
Internet蠕虫防范技术研究与进展
周 涛, 戴冠中, 慕德俊
( 西北工业大学 自动化学院, 陕西 西安 710072)
*
摘 要: 当前蠕虫的频频爆发使得蠕虫问题已成为网络安全领域的焦点问题 。分析了蠕虫的特征行为, 研究了 国内外几种最新的 Internet蠕虫防范系统, 并在此基础上展望了蠕虫攻防的发展趋势。 关键词: 蠕虫 ; 网络安全; 传播模型; 过滤 中图法分类号 : TP309 文献标识码: A 文章编号 : 1001 3695 ( 2006) 06 0013 03
最终将自身复制 到目标主机上完成一个传播流程。
1 引言
随着信 息化的 发展 , Internet 已经渗 入到人 们日常 生活的 方方面面 , Internet 蠕虫 造成的 安全 威胁 也日 益严 重。 Internet 蠕虫是指能够独立运 行 , 并能通过寻找和攻击远方主机的漏洞 进行自主传播的恶意 代码。自 1988 年 11 月 第一 个互联 网蠕 虫莫里斯 (M orris) 出现以来 , 蠕虫就 向人们展 示了它不 同于传 统计算机病毒的特 点和巨 大破坏 力。进入 21 世纪 后 , 蠕 虫更 是频频大规模爆发 , 其爆发频率、 扩散速度、 造成的危害超过了 以往任何时期 , 引起了网络安全研究人员的广泛关注。 当前对 In ternet蠕虫的防 范同计 算机病 毒一样 , 主要 还是 依靠单机防护和局域 网防火墙。由于 Internet蠕虫的最 大特点 是可以通过网络自主 传播 , 并且在 传播过 程中无 需人的干 预 , 这使得传统的防病毒 措施在 防范蠕 虫时显得 无能为 力。目前 国内外研究人员对 Interne t蠕虫的一致观点是应面向网络进行 预警和防范 , 并提出了一系列新措施。
R esearch and D eve lopm ent on InternetW or m C ontainm ent Technology
Z HOU T ao , DA I Guan zhong , M U D e jun
(C ol lege of Au toma tic C on trol , N orthw estern P olytechn ical Universi ty, X i an Shanxi 710072, Ch ina )
2 蠕虫特征行为分析
只有明白了 In ternet蠕虫 传播时 有什么 样的特 征行为 , 才 能采取针对性措施进行有效防 范。 Internet 蠕虫的传 播采用自 动入侵技术 , 受程序大小的 限制 , 同传统 的黑客 入侵相 比其智 能化程度不高 , 传播模式也比较单一。目前蠕虫常利用的传播 模式为扫描―攻击― 复制。蠕虫 在传播 时都是 针对某 个特定 的系统漏洞 , 所以蠕虫首先 要选取 一台主 机作为感 染目标 , 然 后通过扫描判断该主 机上是否存在能被自己利用的特定漏洞。 如果漏洞存在 , 蠕虫就对目标主机发动攻击 , 获取一定权限 , 并 收稿日期 : 2005 08 24; 修返日期 : 2005 10 29