Internet蠕蟲特征分析及抑制對策的研究和實現(xiàn).pdf

1、蠕蟲作為惡意軟件的主要類型之一，迄今已有20多年的歷史。1988年11月，美國康奈爾大學(xué)的學(xué)生Morris寫成了用于攻擊的第一個蠕蟲版本，它利用UNIX操作系統(tǒng)的一個郵件漏洞迅速傳播，最終感染了超過6000臺主機(jī)和服務(wù)器。隨著Internet的發(fā)展，特別是信息時代的來臨，蠕蟲作為一種新的惡意軟件頻繁出現(xiàn)，并且衍生出不同的版本，攻擊的領(lǐng)域也不斷擴(kuò)大，因此引起了信息安全領(lǐng)域工作者和各國政府的重視。總的來說，蠕蟲表現(xiàn)出的特點可以用16個字來概

2、括：體積較小、隱蔽性強(qiáng)、傳播迅速、危害巨大。蠕蟲對Internet造成的危害和損失是與其自身特點和客觀因素共同決定的。首先，不斷有新的主機(jī)和路由器加入到Internet中，使之規(guī)模越來越大，這為蠕蟲提供了更多的攻擊目標(biāo)。其次，蠕蟲都是利用系統(tǒng)漏洞或者軟件漏洞來傳播，隨著Windows操作系統(tǒng)占據(jù)了市場的大部分份額，蠕蟲將主要的攻擊目標(biāo)瞄準(zhǔn)了它們，而另一方面，Windows系統(tǒng)或者一些應(yīng)用軟件的漏洞時常為人們所發(fā)掘，這為蠕蟲的感染和傳播奠

3、定了基礎(chǔ)。最后，部分計算機(jī)使用者的安全意識不強(qiáng)，沒有及時的為系統(tǒng)修補(bǔ)補(bǔ)丁，同時對于一些陌生的郵件附件和共享文件不經(jīng)任何的安全措施隨意打開，這也為蠕蟲的傳播提供了客觀的有利條件。
　　到目前為止，蠕蟲已經(jīng)成為信息安全和網(wǎng)絡(luò)安全領(lǐng)域的一個重要的研究方向，主要集中在蠕蟲特征分析、蠕蟲建模、早期蠕蟲預(yù)警、蠕蟲檢測方法、蠕蟲抑制方法等方面。蠕蟲特征分析主要是一部分分析蠕蟲自身所固有的特點，特別是區(qū)別于其他惡意軟件的特點，另一方面是研究客觀因

4、素對其傳播的影響。蠕蟲建模則是用一些模型來描述蠕蟲的傳播過程。早期蠕蟲預(yù)警屬于蠕蟲的提前預(yù)防，主要側(cè)重在早期的識別和對其抑制。蠕蟲檢測主要是確定當(dāng)前的軟件是否是一個蠕蟲。蠕蟲抑制側(cè)重于在已知蠕蟲的前提下，防止大范圍的傳播。這其中最重要的的兩個方面是蠕蟲檢測和蠕蟲抑制。蠕蟲檢測和其他惡意軟件的檢測有相似之處，主要分為特征檢測和行為檢測兩個大類。蠕蟲的抑制屬于現(xiàn)今研究的一個熱點，同時也是一個難點，現(xiàn)成的方法有路由器設(shè)置、分治網(wǎng)絡(luò)和良性蠕蟲等

5、。本文在現(xiàn)有成果的基礎(chǔ)上，研究蠕蟲的特征和抑制方法，取得了以下三方面的成果：
　　1.蠕蟲特征分析。采取自身特性和客觀因素相結(jié)合的方法。自身特性包括定義、感染途徑、功能結(jié)構(gòu)、感染過程、掃描策略、關(guān)鍵技術(shù)等?？陀^因素包括網(wǎng)絡(luò)規(guī)模、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、漏洞主機(jī)數(shù)量、已感染主機(jī)采取的策略等。在分析各個因素相互關(guān)系的基礎(chǔ)上，指出客觀因素也會對蠕蟲的傳播造成很大的影響。
　　2.蠕蟲檢測。在前面分析蠕蟲特征的基礎(chǔ)上，提出自己的一種基于蠕蟲傳

6、播行為的改進(jìn)蠕蟲檢測方法，仍然是屬于行為檢測的范疇。蠕蟲在傳播的前期的一個重要行為是要進(jìn)行端口掃描，由于自身的局限性，這其中肯定包含了大量的無效地址，所以首次連接的失敗概率很大。對當(dāng)前主機(jī)的流量進(jìn)行采集分析對蠕蟲檢測具有重要的作為。但是需要重視的一點是端口掃描不是蠕蟲所特有的，一些普通的端口掃描軟件也具有此類行為，如果不加以區(qū)分將會帶來大量的誤報。因此考慮蠕蟲具有傳播性這一特點，它需要從一臺計算機(jī)傳播到多臺計算機(jī)，本文采用流量收集、失敗