蠕虫病毒的分析与防范.docx

《蠕虫病毒的分析与防范.docx》由会员分享，可在线阅读，更多相关《蠕虫病毒的分析与防范.docx（19页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、中国地质大学长城学院结课论文题目蠕虫病毒的分析与防范系别信息工程学院学生姓名段嘉豪专业计算机科学与技术学号041130108指导教师 赵培昆2016年5月9日由以上检测原理可见，这种检测技术存在一定的限制，只有当特征码规那么库中 存在恶意行为的特征码规那么时，才能够匹配成功，判定该网站存在恶意行为，进行 抑制或者还击。在这种情况下，假设是有些蠕虫病毒并没有在规那么库中匹配成功，不 能被检测出来，那么该网络就可以通过检测，对计算机系统造成危害，带来不可预 测的经济损失，因此需要对规那么库实时进行维护和更新，确保最新的蠕虫病毒特征 码存储在特征库中，能够被识别出来。目前比拟熟知的基于蠕虫特征码的检

2、测算法包括Earlybird和Autograh,这两 种方法提供实时提取特征码功能，基于Rabin fingerprint算法。当蠕虫病毒变形 扩散后，单一连续的字符串不能够作为特征码使用，为此James Newsome提出了著 名的Ploygraph检测系统，可以提取出具有蠕虫变形规律的特征码。2.2 基于蠕虫行为特征的检测技术基于蠕虫行为特征的检测技术主要包括四种方法：统计分类法、简单阈值法、 信号处理法以及智能计算法。其中简单阈值法的检测指标是与连接相关的指标，包 括连接失败数、连接请求数、ICMP消息数以及连接端口的流量等等。Bakos提出了 一种蠕虫行为特征检测技术，利用了 ICMP

3、目标主机不可达报文来判断识辨蠕虫的随 机扫描行为，并通过信息收集点来收集网络中由路由器产生的这种不可达报文信息，然后统计消息的个数，并和给定的阈值进行比拟，以 此判断蠕虫是否有传播行为。但是这种方法中如果路由器个数较少，那么收集到的 报文信息数就会较少，会影响到判断的准确性。第6页共14页其他的行为特征检测方法是通过识别网络中不断重复出现的数据包内容进行识 别蠕虫病毒，但是由于这些方法在检测时必须要有大量的统计信息，因此在时间上 会有一个滞后的过程，造成不能够及时地检测到蠕虫病毒。2.3 基于蜜罐和蜜网的检测技术1988年5月，Clifford Stoll提出了蜜罐的概念，并明确指出“蜜罐是一

4、个了 解黑客的手段”的一种方法。蜜罐是通过故意设计为一个有缺陷的系统，并且专门 用来引诱那些蠕虫攻击者进入到受控环境中，接着充分利用各种监控技术来捕获蠕 虫攻击者的行为，获取蠕虫行为特征。其中蜜罐技术是一种虚拟环境，因此不会对 真实网络造成瘫痪的影响。目前，蜜罐技术得到了大量应用，在网络平安领域具有 十分重要的意义，具体表达为：（1）蜜罐技术不提供真实的检测服务，而是在一个 虚拟环境中进行，但是收集信息是真实有效的，并且可以从中捕获蠕虫病毒的行为 特性；（2）变被动防御为主动控制；（3）网络蠕虫不能够判断目标系统的具体用 途，因此蜜罐技术虚拟环境具有良好的隐蔽性。随着蜜罐引诱技术的出现，蜜网检

5、测相应产生，其实质仍然是一种蜜罐技术。 与传统意义上的蜜罐技术不同的是蜜网检测是一个网络系统，并不仅仅是一台具有 系统漏洞的主机，存在一种简单的虚拟环境，此网络系统隐藏在防火墙内，可以监 控、捕获以及控制所有进出信息，实现更加强大的蠕虫检测功能。第7页共14页2.4 基于贝叶斯的网络蠕虫检测技术贝叶斯定理是由英国学者贝叶斯18世纪提出来的，其最初主要是用于概率论和 数理统计方面的应用。蠕虫在进行网络传播时，首先会对网络中那些存在漏洞的目 标主机发送大量的连接请求数据包，从而判断这些目标主机是否开机、目标主机系 统或者应用软件是否存在漏洞，以及是否可以被感染。但是，在实际的网络应用中, 网络蠕虫

6、指向的大多数IP地址中的主机根本就不存在，有些要么就没有开机，要么 被其它的网络设施所隐藏，比方采用了防火墙或者NAT设备对其进行了保护，所以 网络蠕虫在进行传播的时候，所发送的链接失败的概率也比拟大。因为网络蠕虫感染的目的是在最短的时间内让尽可能多的目标主机受到感染， 因此在进行传播时，它发送连接请求的时间间隔会非常的短，而正常的主机在进行 网络通信的时候，其数据的发送相比照拟规律，时间的间隔也比拟固定，不会出现 大幅度的波动。据此，在进行蠕虫检测时我们把主机发起连接请求的时间间隔作为 一个参数。另一方面，在传播蠕虫的过程中，有些蠕虫在扫描阶段会加入一些正常 的数据包去防止被检测到，从而引起

7、网络的漏报。之所以会产生这种情况，一个原 因就是对当前失败次数的连接没有考虑到历史状态的影响，从而导致检测结果出现 问题。而采用贝叶斯的方法来计算数据的概率后可以通过后验的概率去更新先验的 概率，从而获得比拟高的检测精度。因此我们在进行蠕虫的检测时，通过统计单位 时间内针对目标机器的数据连接成功与否，即可对网络蠕虫进行检测。第8页共14页3、蠕虫病毒防御技术研究蠕虫病毒通过各种方式进行检测，往往将多种方法结合，对的蠕虫病毒和未知 的蠕虫病毒进行检测，然后进行蠕虫控制。然而，除了做好蠕虫检测控制技术外， 个人和企业用户等需要积极做好蠕虫防御技术，定时定期清理修复系统漏洞，防止 蠕虫的侵害，下面将

8、对蠕虫病毒的防御技术进行讨论。3.1企业防范蠕虫病毒措施企业网络的应用广泛，比方文件和打印服务共享、企业的业务系统办公、企业 自动化办公系统等领域。如果企业网络受到了蠕虫病毒的侵害，那么蠕虫可以快速 阻塞网络，影响网络速度，甚至造成网络瘫痪。因此，企业用户必须考虑蠕虫病毒 等危害问题，以保护企业系统内部数据不被侵害。具体地，企业在考虑如何防范蠕虫病毒时.，需要考虑蠕虫病毒的查杀能力、监 控能力以及对新病毒的反响能力，同时，对于日常的网络平安管理企业应该采取合 理的科学制度，提高员工的网络平安意识，做到以下几点：(1)加强企业网络平安管理员的管理水平，提高其平安管理意识。蠕虫病毒具有 利用系统漏

9、洞进行攻击的行为特性，因此，管理员需要时刻保持系统以及应用软件 的平安性，及时地更新操作系统和系统应用程序，修复系统漏洞，不给蠕虫病毒的 侵入留下任何可乘之机。随着蠕虫病毒不断扩大，侵害手段也越来越厉害，企业网 络所受的攻击概率也越来越大，必须要求企业网络管理员具有很高的管理水平和安 全意识。第9页共14页(2)建立蠕虫病毒检测系统。在修复漏洞的基础上，仍需要对网络中的蠕虫数据 包进行实时检测，发现受到蠕虫病毒的攻击后采取相应的隔离和控制措施进行保护, 并及时清理病毒，防止扩大。(3)建立应急响应系统，尽可能减小风险。蠕虫病毒的侵害是不可预测的，具有 突然爆发性，假设是发现蠕虫侵害时，整个网络

10、已经受到感染，就需要采取应急响应 方案，尽可能减小风险损失。(4)建立数据备份系统。数据备份是很有必要的，假设是系统受到攻击数据无法恢 复，备份系统可以恢复数据，防止过大的经济损失。(5)对于企业内部局域网络平安，需要注意在网络入口处安装防火墙软件和杀毒 软件，将病毒隔离在局域网之外，同时对网络内部员工进行必要的平安培训，限制一些用户操作，对邮件服务器进行网络监控，防止蠕虫病毒携带进入, 对网络内部操作系统进行升级和修复补丁，最大可能地保证企业局域网内的平安性。3.2个人用户防范蠕虫病毒措施网络蠕虫病毒攻击个人用户的主要途径是利用社会工程学，通过网络各种形式 携带病毒进入个人计算机，因此，个人

11、用户需要从以下几个方面做好防范措施：(1)安装合适的杀毒软件。蠕虫病毒开展不断扩大，传统的“文件级实时监控系 统”杀毒软件已不能满足要求，必须要求具有内存实时监控和邮件实时监控功能的 杀毒软件来保护电脑。网页蠕虫的侵害也对杀毒软件提出了更高要求。第10页共14页(2)升级病毒库。杀毒软件对于蠕虫病毒的查杀是以病毒数据库中的病毒特征码 为依据，进行比对查杀，而蠕虫病毒更新速度和传播速度快，变化多种多样，因此, 必须实时更新病毒数据库，确保杀毒软件的最新查杀能力。(3)提高个人网络平安意识。随着网络的开展，网页上出现了各种不良的信息， 携带的蠕虫病毒等很多，存在着很多恶意代码，因此，个人用户要有较

12、高的网络安 全意识，不轻易查看陌生网站，并把浏览器网络平安级别设置为高，并将ActiveX 和Java脚本禁止运行，减小计算机被恶意代码感染攻击的可能性。(4)不随意查看陌生的邮件。蠕虫病毒往往通过自动发送功能，给用户发送邮件, 病毒就携带在其中，尤其是存在不明附件的邮件。用户要经常升级浏览器和补丁程 序，防止过多陌生恶意邮件的侵入。第11页共14页4、总结随着网络技术的开展，蠕虫病毒不断扩大，给网络平安带来极大的平安隐患。 近年来，世界各国网络都受到了蠕虫病毒的侵害，造成了巨大的经济损失，对蠕虫 病毒的研究一直是一项重要的研究课题。在此研究背景下，本文介绍了蠕虫病毒的相关定义，详细探讨了其工

13、作流程和 行为特征，为蠕虫病毒的检测和控制防御技术奠定了基础。然后本文对蠕虫病毒的 国内外现状进行了简要分析，网络平安已被各国所重视，在此基础上，对蠕虫病毒 的检测技术进行了研究，主要是基于蠕虫特征码、基于蠕虫行为特征、基于蜜罐和 蜜网以及基于贝叶斯的网络蠕虫检测技术。最后，本文对蠕虫病毒的防御技术进行 了探讨，从企业网络和个人用户角度，详细研究了防御蠕虫病毒侵害需要采取的各 项措施。总之，蠕虫病毒的侵害无时无刻都存在，只有加强对其检测和防御，提高自身 平安防护意识，将蠕虫病毒拒之于平安门之外，才能保证网络用户平安，保证企业 数据平安，形成一个良好健康的网络环境。第12页共14页在整个设计开发

14、过程中，我得到了很多老师和同学的热情帮助，尤其是我的指 导老师赵老师，赵老师是一个非长负责人的教师，他在我的整个设计过程中给予精 心地指导。在大家的共同努力下，我的系统设计才能够顺利地完成。在此向他表示 我最衷心的感谢！由于本人知识水平、开发经验有限，疏漏之处在所难免，欢迎广 大老师和同学批评指正，在此深表感谢！第13页共14页参考文献1马林,王爱文,周燕北等.基于连接度的蠕虫病毒检测方法研究J. SILICION VALLEY, 113-1142彭智朝.计算机蠕虫病毒检测和防御技术探讨J.电脑知识与技术，Vol. 6, No. 8, March 2010, pp. 1848-18503魏先勇

15、.蠕虫病毒的平安防范措施J.工业经纬,2008年5月第5卷第1期4余伟，陈保国,孔陶茹.蠕虫病毒的研究和检测防御J.科技创新导报 2009 No 295黄孝昌：网络蠕虫病毒的防御研究D硕士学位论文.成都：电子科技大学, 20106崔松江.网络蠕虫病毒检测方法的研究D硕士学位论文.北京：清华大学， 20057 Cliff C Zou, Don Towsley, Weibo Gong. A Firewall Network System for WormDefense inEnterprise Networks, 34-678 S. Chen and Y. Tang, uSlowing Down

16、Internet Worms , “ in Proceeding of the24th International conference on Distributed Computing (ICDC 2004), Tok yo, Japan, Mar. 2004,47-879杨庆涛.网络蠕虫的检测技术研究与系统设计D硕士学位论文.重庆：重 庆大学,201010常青.网络蠕虫的检测与控制技术研究D硕士学位论文.天津：天津理工第14页共14页蠕虫病毒的分析与防范摘要随着网络技术的开展，蠕虫病毒不断扩大对网络平安构成了严重的威胁，本文 基于当前蠕虫攻击破坏的严峻形势，对蠕虫病毒的检测和防御技术进行了

17、研究。首 先对蠕虫病毒相关知识作了介绍，包括蠕虫病毒的定义、工作流程以及行为特征， 并简要分析了蠕虫病毒国内外研究现状;在此基础上接着研究了蠕虫病毒检测技术, 提出了基于蠕虫特征码、蠕虫行为特征、蜜罐和蜜网技术以及贝叶斯蠕虫检测技术; 最后对蠕虫病毒的防御技术进行了研究，从企业网络用户和个人用户的角度分析了 面对当前蠕虫攻击所需要注意和采取的措施，以尽最大可能减少蠕虫的侵害，营造 一个良好的网络环境。关键词：蠕虫病毒；检测；防御；网络平安ABSTRACTWith the development of network technology, the worm expanding constitu

18、tes a serious threat to the network security, this paper based on the grim situation the worm attack damage, the worm detection and defense technology were studied. F irst, an introduction of worm related knowledge, including the worm virus definiti on, working process and behavior characteristics,

19、and a brief analysis of the worm virus research status at home and abroad; on the basis of this, then the worm vi rus detection technology, and puts forward the worm character codes, worm behav ior characteristics, honey and honey net technology and Bayesian worm detection t echnology based on. Fina

20、lly the worm defense technology were studied from the enterprise network users and individual users of the angle analysis in the face of the worm attack needed to pay attention and take measures, so as to the possible reduction in worm damage, to create a good network environment.Key words: worm; de

21、tection; defense; network security-1Z.M 11U 1、2、3、4、致蠕虫病毒相关知识介绍1.1 蠕虫病毒定义1.2 蠕虫病毒工作流程和行为特征1.3 蠕虫病毒国内外研究现状蠕虫病毒检测技术研究2.1 基于蠕虫特征码的检测技术.2.2 基于蠕虫行为特征的检测技术2.3 基于蜜罐和蜜网的检测技术.2.4 基于贝叶斯的网络蠕虫检测技术蠕虫病毒防御技术研究3.1 企业防范蠕虫病毒措施3.2 个人用户防范蠕虫病毒措施.总结谢参考文献 122345567899.101.13.14前百随着网络技术的开展，人类社会正逐步进入到数字化时代，计算机已经应用到日 常生活各个领域

22、，人们在享受到网络便捷服务的同时 各种平安问题也随之出现。 从基于DOS界面的病毒开展到今天基于Windows、Unix等操作系统的各种蠕虫、病 毒等，在网络的快速开展带动下，使得计算机不断遭受到了非法入侵，不法黑客人 员盗取了一些重要信息，甚至造成了操作系统的瘫痪，对个人和企业都带来了相当 巨大的经济损失，同时对国家网络平安也构成威胁，带来了无法估计的损失。最早 开始的网络蠕虫攻击是发生在1998年的Morris蠕虫病毒事件，从此后蠕虫病毒的研 究成为了一项重要的课题。2009年中国计算机病毒疫情调查技术的分析报告指出，中国网络平安态势开展进 一步加大，网上制作和贩卖蠕虫、病毒以及木马等活动

23、日益严重，并通过这些蠕虫 病毒侵害网络的现象日趋上升。2010年上半年期间，CNCERT/CC一共接收了4780次 网络平安的事件报告，相比上一年增长了 105肌其中恶意代码占到了57. 57%的比例, 中国大陆地区有将近124万个IP地址对应的计算机受到了蠕虫木马程序的侵害和控 制。近几年，出现了很多病毒和蠕虫危害，比方说尼姆达、熊猫烧香、QQ尾巴、飞 客等等，严重影响和干扰了计算机网络平安，侵害了个人和企业以及国家的财产安 全，而且蠕虫病毒的网上传播仍然十分猖獗，对网络平安的威胁依然存在。因此， 网络蠕虫的研究是我们必须要关心的问题，对蠕虫病毒进行检测和防御技术研究具 有重要意义。基于此研

24、究背景和网络平安形势，本文将对蠕虫病毒的检测和防御技术进行研 究。具体包括：(1)蠕虫病毒相关知识介绍。介绍蠕虫病毒的定义、工作流程以及行为特征，并 简要分析国内外研究现状；(2)蠕虫病毒检测技术研究。介绍基于蠕虫特征码、行为特性等方面的检测控制 技术；(3)蠕虫病毒防御技术研究。从企业网络和个人用户角度，研究防御蠕虫攻击的 主要措施第1页共14页1、蠕虫病毒相关知识介留1.1 蠕虫病毒定义关于蠕虫病毒的定义很多，最早的定义是Eugene H. Spafford给出的：“蠕虫 是可以独立运行的，并且能够自我复制且传播到其他计算机上的一段程序代码”。 但是随着网络的开展和科技的进步，蠕虫病毒出现

25、了各种不同的变种，且产生了难 以抑制的效果，因此学者们给予了多种多样的定义。Elder和Kienzle认为：“网 络蠕虫是通过计算机网络来进行传播，无须用户干预就能够独立运行或者依赖文件 共享而去主动攻击其他计算机的一种恶意代码的形式”。尽管蠕虫病毒的形式多种多样，不同学者给出了不同的定义，但是从以上给出 的几种定义中可以看出，蠕虫病毒的定义都具有共同的特性，主要表达在以下几个 方面：(1)蠕虫病毒独立运行，不需要用户进行干预；(2)蠕虫病毒具有自我传播和自我复制的特性，并且传染的方式途径很多，传播 的速度较快，对网络和计算机平安破坏性强。蠕虫一般是通过计算机的漏洞进行传播，国家网络平安中心每

26、年发现的计算机 漏洞数量惊人，尤其是近几年来，蠕虫病毒利用了很多零日漏洞进行传播，对网络 平安和计算机构成了严重威胁。第2页共14页1.2 蠕虫病毒工作流程和行为特征(1)蠕虫病毒工作流程网络蠕虫病毒的工作流程一般可以分为四个阶段：扫描、攻击、处理、复制。扫描主要是对目标地址空间内存在漏洞的计算机，收集相关信息以备攻击电脑，为 攻击目标而准备；攻击阶段那么是对扫描出的存在漏洞的计算机进行攻击，并感染目 标机器；处理阶段隐藏自己在已感染的主机上，并且给自己留下后门，执行破坏命 令；复制阶段主要是自动生成多个副本，主动感染其他主机，到达破坏网络的效果。 蠕虫病毒的整个工作流程如图1T所示。图蠕虫病

27、毒工作流程(2)蠕虫病毒行为特征通过对网络蠕虫的定义介绍以及工作流程分析，可以归 纳出蠕虫的行为主要特性，具体如下：自我复制和主动攻击。蠕虫具有自我复制和主动攻击功能，当蠕虫病毒被释 放后，它们会自动搜索当前网络系统是否存在机器漏洞，如果存在那么进行攻击，反 之那么寻找新的系统查找漏洞，整个流程都是蠕虫自身完成，不需要人工进行任何干 预。利用系统漏洞进行攻击。蠕虫通过计算机系统漏洞进行攻击，没有漏洞那么不 能攻击系统，因此蠕虫最基本的行为特征是利用系统漏洞进行攻击。极具破坏性。随着网络的开展，蠕虫病毒也越来越具有破坏性，造成了巨大 的经济损失，使得计算机系统崩溃，深圳网络瘫痪等情况。第3页共1

28、4页反复攻击性。即使清理掉了蠕虫病毒被，在计算机重新连接到网络之前没有 为之漏洞打补丁，那么这台计算机依然可能会被感染，蠕虫病毒会反复攻击。使得计算机系统性能下降，整个网络塞堵甚至瘫痪。蠕虫病毒进行攻击之前 会进行网络大面积的扫描，对同一个端口不断的发送数据包，造成计算机系统性能 下降；当扫描到存在系统漏洞的计算机时会产生额外的网络流量，引起网络拥塞， 甚至可能造成瘫痪，带来巨大的经济损失。很好的伪装以及隐藏方式。蠕虫病毒一般都具有较高隐藏功能，用户不容易 发现，不能及时清理，同时它们会在感染计算机系统后留下逃脱后门。1.3 蠕虫病毒国内外研究现状随着蠕虫病毒的开展，网络平安技术厂商通过结合各

29、种平安技术产品的方式对 付蠕虫病毒，其中典型的方式是将网络杀毒软件、终端与防火墙、漏洞扫描系统、 入侵检测相结合。2005年以来，产生了很多具有代表性的平安方案，具体地主要有:2004年底，锐捷网络推出了全局平安网络解决方案，相比于简单的“杀毒软件+ 防火墙”这种体系来说，其平安措施加强了对于网络终端平安性的控制以及修复。 对每个用户计算机加载一个客户端软件，如果发现有蠕虫病毒侵入，立即通知服务 器，服务器将会隔离此用户与正常用户，并修复入侵系统漏洞。当修复完成之后， 平安客户端软件还会自动重新检测用户系统，在确定系统已解除平安隐患之后才允 许再次进入网络。通过这种自动检测和拦截技术，将蠕虫病

30、毒等平安隐患拒之门外, 能够防患于未然。第4页共14页趋势科技公司推出了企业平安防护战略-EPS(Enterprise Protection Strateg y),主要是采用蠕虫病毒入侵检测技术，不断地侦听网络内部是否接入有蠕虫病毒 数据包，一旦检测到蠕虫侵入，随即隔离所有的危险设备。以上对蠕虫病毒的防护技术主要是针对于操作系统的漏洞而检测的，目前，随 着科学技术的进步和网络的开展，蠕虫病毒不断扩大的同时检测和防御技术也在不 断更新中，蠕虫病毒的研究始终是一项重要的研究内容。2、蠕虫病毒检测技术研究蠕虫技术的不断扩大对网络的平安构成了极大的威胁，甚至有可能带来网络瘫 痪，造成巨大的经济损失，因此必须采取有效措施和途径，对网络蠕虫进行检测和 控制，下面将对蠕虫病毒的检测技术进行研究。2.1基于蠕虫特征码的检测技术基于蠕虫特征码的检测技术是目前使用最多的一种检测技术，其主要手段是通 过特征进行匹配。具体的检测原理是：首先收集一些蠕虫恶意代码的特征值，然后 在这些特征值的基础上创立相应的特征码规那么库，当检测计算机是否受到蠕虫病毒 感染或者攻击时，将检测到的网络行为的特征码和特征码规那么库中具体规那么进行匹 配，假设是匹配成功那么说明该网络存在异常，可能含有蠕虫病毒等危害，应当给出警 告提示或者拒绝访问。第5页共14页