|
網(wǎng)絡技術(shù)是從1990年代中期發(fā)展起來的新技術(shù)����,它把互聯(lián)網(wǎng)上分散的資源融為有機整體,實現(xiàn)資源的全面共享和有機協(xié)作�����,使人們能夠透明地使用資源的整體能力并按需獲取信息����。資源包括高性能計算機�����、存儲資源�、數(shù)據(jù)資源�、信息資源���、知識資源、專家資源�、大型數(shù)據(jù)庫、網(wǎng)絡����、傳感器等���。 當前的互聯(lián)網(wǎng)只限于信息共享����,網(wǎng)絡則被認為是互聯(lián)網(wǎng)發(fā)展的第三階段�����。 1.蠕蟲的定義 Internet 蠕蟲是無須計算機使用者干預即可運行的獨立程序�,它通過不停的獲得網(wǎng)絡中存在漏洞的計算機上的部分或全部控制權(quán)來進行傳播�����。蠕蟲與病毒的最大不同在于它不需要人為干預�,且能夠自主不斷地復制和傳播����。
2.蠕蟲的行為特征
2.1 蠕蟲的工作流程
2.1.1 蠕蟲的工作流程:
蠕蟲程序的工作流程可以分為漏洞掃描�����、攻擊�、傳染、現(xiàn)場處理四個階段����,如圖 2所示。蠕蟲程序掃描到有漏洞的計算機系統(tǒng)后��,將蠕蟲主體遷移到目標主機��。然后����,蠕蟲程序進入被感染的系統(tǒng)����,對目標主機進行現(xiàn)場處理。現(xiàn)場處理部分的工作包括:隱藏、信息搜集等�����。同時����,蠕蟲程序生成多個副本,重復上述流程��。不同的蠕蟲采取的IP生成策略可能并不相同���,甚至隨機生成。各個步驟的繁簡程度也不同����,有的十分復雜�,有的則非常簡單。 
圖2蠕蟲的工作流程
2.2 蠕蟲的行為特征 通過對蠕蟲的整個工作流程進行分析�����,可以歸納得到它的行為特征: 自我繁殖: 蠕蟲在本質(zhì)上已經(jīng)演變?yōu)楹诳腿肭值淖詣踊ぞ撸?當蠕蟲被釋放(release)后����,從搜索漏洞�����,到利用搜索結(jié)果攻擊系統(tǒng)�����,到復制副本�,整個流程全由蠕蟲自身主動完成���。就自主性而言,這一點有別于通常的病毒���。 利用軟件漏洞: 任何計算機系統(tǒng)都存在漏洞����,這些就蠕蟲利用系統(tǒng)的漏洞獲得被攻擊的計算機系統(tǒng)的相應權(quán)限�����,使之進行復制和傳播過程成為可能���。這些漏洞是各種各樣的�����,有操作系統(tǒng)本身的問題���,有的是應用服務程序的問題,有的是網(wǎng)絡管理人員的配置問題����。正是由于漏洞產(chǎn)生原因的復雜性,導致各種類型的蠕蟲泛濫�。 造成網(wǎng)絡擁塞: 在掃描漏洞主機的過程中,蠕蟲需要:判斷其它計算機是否存在��;判斷特定應用服務是否存在����;判斷漏洞是否存在等等�����,這不可避免的會產(chǎn)生附加的網(wǎng)絡數(shù)據(jù)流量�。同時蠕蟲副本在不同機器之間傳遞,或者向隨機目標的發(fā)出的攻擊數(shù)據(jù)都不可避免的會產(chǎn)生大量的網(wǎng)絡數(shù)據(jù)流量�。即使是不包含破壞系統(tǒng)正常工作的惡意代碼的蠕蟲,也會因為它產(chǎn)生了巨量的網(wǎng)絡流量���,導致整個網(wǎng)絡癱瘓����,造成經(jīng)濟損失���。 消耗系統(tǒng)資源: 蠕蟲入侵到計算機系統(tǒng)之后�����,會在被感染的計算機上產(chǎn)生自己的多個副本�����,每個副本啟動搜索程序?qū)ふ倚碌墓裟繕��。大量的進程會耗費系統(tǒng)的資源����,導致系統(tǒng)的性能下降����。這對網(wǎng)絡服務器的影響尤其明顯�。 留下安全隱患: 大部分蠕蟲會搜集����、擴散���、暴露系統(tǒng)敏感信息(如用戶信息等)���,并在系統(tǒng)中留下后門。這些都會導致未來的安全隱患�。
[page_break]3.SIR傳播模型 3.1. 蠕蟲的工作方式 通過前面的分析,可以把蠕蟲的工作方式歸納如下: 1) 隨機產(chǎn)生一個IP 地址����; 2) 判斷對應此IP 地址的機器是否可被感染; 3) 如果可被感染����,則感染之。 4) 重復1~3 共m 次,m 為蠕蟲產(chǎn)生的繁殖副本數(shù)量�����。 3.2 SIR傳播模型 在傳統(tǒng)的對計算機病毒的傳播機制研究中,常常借用已有的傳染病數(shù)學模型���,但由于計算機病毒的攻擊對象是文件系統(tǒng)��,所以傳統(tǒng)計算機病毒研究中把計算機作為傳播個體并不合適���。同計算機病毒不同����,Internet 蠕蟲具有主動攻擊特征,不需要計算機使用者的參與��,并且蠕蟲的攻擊對象是計算機系統(tǒng)�����,這兩個條件正好同傳染病模型的假設條件相符�����。在蠕蟲的SIR模型中��,假設在一臺主機內(nèi)蠕蟲傳播經(jīng)過了如下的三個步驟: Susceptible -〉Infective –〉Recovered 主機存在漏洞->主機被感染->漏洞被修復,蠕蟲被清除�。 根據(jù)此模型產(chǎn)生的蠕蟲在網(wǎng)絡上的傳播速度圖如圖3所示。蠕蟲的傳播經(jīng)歷了開始的緩慢傳播���,接下來的快速傳播和最后的緩慢消失三個階段����。因此能否在蠕蟲的緩慢傳播階段實現(xiàn)對蠕蟲的檢測和防治成為有效防治蠕蟲的關鍵���。 
圖 3蠕蟲的傳播模型
4.蠕蟲的檢測與防治 由以上的分析可知,盡早的發(fā)現(xiàn)蠕蟲并對感染蠕蟲的主機進行隔離和恢復��,是防止蠕蟲泛濫����,造成重大損失的關鍵。 4.1蠕蟲的檢測 4.1.1 蠕蟲監(jiān)測和防護現(xiàn)狀 目前國內(nèi)并沒有專門的蠕蟲檢測和防御系統(tǒng)��,傳統(tǒng)的主機防病毒系統(tǒng)并不能對未知的蠕蟲進行檢測���,只能被動的對已發(fā)現(xiàn)的特征的蠕蟲進行檢測����。而目前市場上的入侵檢測產(chǎn)品��,對蠕蟲的檢測也多半的基于特征�,同時ids提供的異常檢測功能���,雖然可以發(fā)現(xiàn)網(wǎng)絡中的異常���,但是也沒有更好的辦法對蠕蟲的傳染進行控制,減少蠕蟲造成的損失����。 4.1.2 網(wǎng)威VDS(Virus Detect System)的蠕蟲檢測方法 中科網(wǎng)威的VDS產(chǎn)品針對病毒查殺軟件和目前NIDS存在的不足,在檢測和互動方面使用了多種技術(shù)����,達到對蠕蟲的檢測和控制的目的。下面先說一下對中科網(wǎng)威對未知蠕蟲的檢測技術(shù)��。
[page_break]1.對未知蠕蟲的檢測 對蠕蟲在網(wǎng)絡中產(chǎn)生的異常���,有多種的的方法可以對未知的蠕蟲進行檢測�����,比較通用的方法有對流量異常的統(tǒng)計分析���,對tcp連接異常的分析,網(wǎng)威入侵檢測在這兩種分析的基礎上���,又使用了對ICMP數(shù)據(jù)異常分析的方法�,可以更全面的檢測網(wǎng)絡中的未知蠕蟲�����。這種網(wǎng)絡蠕蟲的測的方法是Bob Gray��,Vincent Berk在2003年11月4日的ISTS 技術(shù)大會中提出的�����。 具體實現(xiàn)如下: 當一臺主機向一個不存在的主機發(fā)起連接時�,中間的路由器會產(chǎn)生一個ICMP-T3(目標不可達)包返回給蠕蟲主機(如圖4)。 
圖 4路由器返回ICMP-T3包
在蠕蟲的掃描階段���,蠕蟲會隨機的或者偽隨機的生成大量的IP地址進行掃描,探測漏洞主機。這些被掃描主機中會存在許多空的或者不可達的IP地址�,從而在一段時間里,蠕蟲主機會接收到大量的來自不同路由器的ICMP-T3數(shù)據(jù)包(如圖5)�����。網(wǎng)威的VDS通過對這些數(shù)據(jù)包進行檢測和統(tǒng)計�,在蠕蟲的掃描階段將其發(fā)現(xiàn)��,然后對蠕蟲主機進行隔離���,對蠕蟲其進行分析,進而采取防御措施�����。 
圖5蠕蟲的隨機掃描行為
如圖6所示����,將ICMP-T3數(shù)據(jù)包進行收集、解析�����,并根據(jù)源和目的地址進行分類,如果一個IP在一定時間(T)內(nèi)對超過一定數(shù)量(N)的其它主機的同一端口(P)進行了掃描�����,則產(chǎn)生一個發(fā)現(xiàn)蠕蟲的報警(同時還會產(chǎn)生其它的一些報警)�����。 
圖6 檢測掃描
這種方法可以檢測出具有高速�,大規(guī)模傳染模型的網(wǎng)絡蠕蟲�����。(很難檢測針對某個網(wǎng)絡的傳播的特定的蠕蟲和慢速傳播的蠕蟲���。這兩種蠕蟲�,可以認為對整個網(wǎng)絡來說��,他們的危害比較�。 2.對于已知蠕蟲的檢測 網(wǎng)威網(wǎng)絡病毒檢測系統(tǒng)為了適應對蠕蟲各個階段的不同行為的檢測,使用編譯技術(shù)�����,創(chuàng)建了網(wǎng)威的腳本語言NPDCL(網(wǎng)威檢測控制語言),結(jié)合虛擬機技術(shù)�����,創(chuàng)建了解釋執(zhí)行NPDCL語言的虛擬機��。通過整個NPDCL腳本來控制整個VDS的檢測過程���。打破了傳統(tǒng)的單一的發(fā)現(xiàn)符合某條規(guī)則就進行事件報警的機制����,提高安全事件的關聯(lián)分析功能。從而可以對一個蠕蟲的各個階段的不同行為進行關聯(lián)分析�����,并且根據(jù)蠕蟲的多個行為特征進行判斷����,而不是簡單的針對某個存在漏洞的服務進行特征匹配。同時具有豐富的行為特征庫��,可以對目前流行的病毒���,如振蕩波���,沖積波等病毒以及多種變種進行檢測����。 以“振蕩波的b變種”檢測為例��,其檢測流程如圖7��。 
圖7 振蕩波檢測流程
首先通過對TCP半連接狀態(tài)的檢測發(fā)現(xiàn)蠕蟲的掃描行為�����,發(fā)現(xiàn)可疑的掃描源��;然后在TCP的連接建立時間中檢測可疑掃描源對漏洞主機特定端口(445)的攻擊行為����,進一步確認感染了蠕蟲的主機�����;第三步檢測蠕蟲的自我傳播過程�,對震蕩波來說�,是通過5545端口的ftp服務來進行傳播��;最后通過傳播文件的特征(如123_up.exe)來進一步確認振蕩波的傳播��。 在以上的檢測步驟中都會產(chǎn)生相關的報警���,從而采取相應的措施,防止蠕蟲的進一步傳播�。
[page_break]4.2網(wǎng)威VDS的蠕蟲防治策略 當蠕蟲被發(fā)現(xiàn)時,要在盡量短的時間內(nèi)對其進行響應�����。首先產(chǎn)生報警����,通知管理員�,并通過防火墻�、路由器、或者HIDS的互動將感染了蠕蟲的主機隔離�����;然后對蠕蟲進行分析,進一步制定檢測策略����,盡早對整個系統(tǒng)存在的不安全隱患進行修補����。防治蠕蟲再次傳染,并對感染了蠕蟲的主機進行蠕蟲的刪除工作��。
如圖8所示��,VDS發(fā)現(xiàn)感染了蠕蟲的主機時�,可以通過: 
圖8 網(wǎng)威蠕蟲檢測系統(tǒng)的響應圖
1.與防火墻互動:通過控制防火墻的策略,對感染主機的對外訪問數(shù)據(jù)進行控制���,防止蠕蟲對外網(wǎng)的主機進行感染。同時如果VDS發(fā)現(xiàn)外網(wǎng)的蠕蟲對內(nèi)網(wǎng)進行掃描和攻擊�,也可以和防火墻進行互動,防止外網(wǎng)的蠕蟲傳染內(nèi)網(wǎng)的主機�。 2.交換機聯(lián)動:中科網(wǎng)威VDS支持和CISCO系列的交換機通過SNMP協(xié)議進行聯(lián)動,當發(fā)現(xiàn)內(nèi)網(wǎng)主機被蠕蟲感染時����,可以切斷感染主機同內(nèi)網(wǎng)的其他主機的通訊����,防止感染主機在內(nèi)網(wǎng)的大肆傳播�,同時可以控制因為蠕蟲發(fā)作而產(chǎn)生的大量的網(wǎng)絡流量。同時為了適應用戶的網(wǎng)絡環(huán)境����,我們還提供了Telnet配置網(wǎng)絡設備的接口,這樣VDS系統(tǒng)可以和網(wǎng)絡任何支持Telnet管理的網(wǎng)絡設備進行聯(lián)動�����。 3.通知HIDS:裝有HIDS的服務器接收到VDS系統(tǒng)傳來的信息���,可以對可疑主機的訪問進行阻斷�����,這樣可以阻止受感染的主機訪問服務器,使服務器上的重要資源免受損壞��。 4.報警:產(chǎn)生報警���,通知網(wǎng)絡管理員��,對蠕蟲進行分析后�����,可以通過配置Scaner來對網(wǎng)絡進行漏洞掃描�����,通知存在漏洞的主機到Patch服務器下載補丁進行漏洞修復�,防治蠕蟲進一步傳播����。 小結(jié):文章中介紹了蠕蟲一些情況和特征,同時提出了中科網(wǎng)威公司對蠕蟲的發(fā)現(xiàn)��,防治的一些解決方法和思路�。希望中科網(wǎng)威的VDS系統(tǒng)可以為用戶的網(wǎng)絡提供全方位的蠕蟲的防護。
網(wǎng)絡的神奇作用吸引著越來越多的用戶加入其中�,正因如此,網(wǎng)絡的承受能力也面臨著越來越嚴峻的考驗―從硬件上����、軟件上、所用標準上......,各項技術(shù)都需要適時應勢���,對應發(fā)展��,這正是網(wǎng)絡迅速走向進步的催化劑��。
| 
