蠕虫病毒的检测和防御研究
蠕虫病毒的特征与防治
资料范本本资料为word版本,可以直接编辑和打印,感谢您的下载蠕虫病毒的特征与防治地点:__________________时间:__________________说明:本资料适用于约定双方经过谈判,协商而共同承认,共同遵守的责任与义务,仅供参考,文档可直接下载或修改,不需要的部分可直接删除,使用时请详细阅读内容研究生课程论文(2008-2009学年第二学期)蠕虫病毒的特征与防治摘要随着网络的发展,以网络传播的蠕虫病毒利用网络全球互联的优势和计算机系统及网络系统安全性上的漏洞,己经成为计算机系统安全的一大的威胁。
采用网络传播的蠕虫病毒与传统的计算机病毒在很多方面都有许多不同的新特点。
本文对蠕虫病毒的特征和防御策略进行了研究,透彻分析了几个流行的蠕虫病毒的本质特征和传播手段,并提出了防治未知病毒以及变形病毒的解决方案与虚拟机相结合的基于攻击行为的着色判决PN机蠕虫检测方法。
关键词: 蠕虫,病毒特征,病毒防治1引言“蠕虫”这个生物学名词于1982年由Xerox PARC的John F. Shoeh等人最早引入计算机领域,并给出了计算机蠕虫的两个最基本的特征:“可以从一台计算机移动到另一台计算机”和“可以自我复制”。
最初,他们编写蠕虫的目的是做分布式计算的模型试验。
1988年Morris蠕虫爆发后,Eugene H. Spafford为了区分蠕虫和病毒,给出了蠕虫的技术角度的定义。
“计算机蠕虫可以独立运行,并能把自身的一个包含所有功能的版本传播到另外的计算机上。
”计算机蠕虫和计算机病毒都具有传染性和复制功能,这两个主要特性上的一致,导致二者之间是非常难区分的。
近年来,越来越多的病毒采取了蠕虫技术来达到其在网络上迅速感染的目的。
因而,“蠕虫”本身只是“计算机病毒”利用的一种技术手段[1]。
2蠕虫病毒的特征及传播1、一般特征:(1)独立个体,单独运行;(2)大部分利用操作系统和应用程序的漏洞主动进行攻击;(3)传播方式多样;(4)造成网络拥塞,消耗系统资源;(5)制作技术与传统的病毒不同,与黑客技术相结合。
蠕虫病毒
6.5 蠕虫病毒的检测与防范
对已知蠕虫的检测
以Worm.Sasser.b检测为例
•
首先通过对TCP半连接状态的检测发现病毒的扫描行为,发现 可疑的扫描源 然后在TCP的连接建立时间中检测可疑扫描源对漏洞主机特定 端口(445)的攻击行为,进一步确认感染了蠕虫的主机
•
•
第三步检测蠕虫的自我传播过程
3
6.1 蠕虫的基本概念
蠕虫病毒造成的损失
4
6.1 蠕虫的基本概念
1982年,Shock和Hupp
根据《The Shockwave Rider》一书中的概念提出了 一种“蠕虫Worm”程序的思想
蠕虫病毒是一种常见的计算机病毒 利用网络进行复制和传播
传播通常不需要所谓的激活 通过分布式网络来散播特定的信息或错误,进而造成 网络服务遭到拒绝并发生死锁
更新防病毒软件
确保它是最新的
限制邮件附件
禁止运行附件中的可执行文件(.COM、.EXE等),预防DOC、 XLS等附件文档,不要直接运行脚本文件(VBS、SHS)
18
6.5 蠕虫病毒的检测与防范
邮件程序设置
“附件的安全性”设为“高” 禁止“服务器脚本运行” 慎用邮件预览功能
关闭WSH功能
2
后来的红色代码,尼姆达病毒的疯狂
2003年1月26日,“2003蠕虫王”
Morris
90行程序代码 2小时:
6000台电脑(互联网的十分之一)瘫痪 1500万美元的损失 3年缓刑/1万罚金/400小时的社区义务劳动
网络蠕虫病毒防御方法研究
用 户 。 1 8 年 CERT( 算机 紧急 响 应 小 从 8 9 计 组 )由 r i蠕 统 的Itr t 全 威 胁 事 件每 年 以指 数增 长 , n e ne 安
1 网络蠕虫传 播流程 及行 为特征
l t r t 虫 是 无 须 计 算 机 使 用 者 干 预 n e ne蠕 即 可 运 行 的 独 立 程 序 , 通 过 不 停 的 获 得 它 网 络 中 存 在 漏 洞 的 计 算 机 上 的 部 分 或 全 部 控 制权来进行传播 。 蠕 虫 与 病 毒 的 最 大 不 同 在 于 它 不 需 要 人 为干 预 , 能 够 自主不 断 地 复 制 和 传 播 。 且
近 年 来 的 增 长 态 势 变 得 的尤 为 迅 猛 。
本 文 介 绍 了 蠕 虫 病 毒 的 行 为 特 征 及 传 播 方 式 , 出 了 蠕 虫 病 毒 的 检 测 方 法 , 设 提 并
计 了 一 种 基 于 操 作 系 统 底 层 函 数 的 防 御 蠕
虫 攻 击 的 新 方 法 , 方 法 能 及 时 地 发 现 网 此 络 蠕 虫 攻 击 并 中 断 恶 意 代 码 的 执 行 , 而 从 更 好 的 保 护 操 作 系统 和 应 用 软 件 的安 全 。
权限 , 之进行复制和传播过程成为可能。 使
文 章 编 号 : 0 —9 ( 1 —0 3 l 7 6 2 0) 9 —0 0 41 01 0 0 2
蠕 虫 程 序 的 传 播 流 程 可 以 分 为 漏 洞 扫
引 言
随 着 1 8 年 1 月 2 由Ro e t ors 98 1 号 b r M ri J
每 一 次 蠕 虫 的 爆 发 都 会 给 社 会 带 来 巨
蠕虫病毒的特点与防范技术
蠕虫病毒的特点与防范技术发表时间:2017-03-16T14:06:02.187Z 来源:《科技中国》2016年12期作者:罗昕瑜[导读] 文章针对计算机蠕虫病毒相关问题展开了详细地研究与探讨,阐述了网络安全管理具体途径。
成都树德中学(光华校区) 610091摘要:文章针对计算机蠕虫病毒相关问题展开了详细地研究与探讨,阐述了网络安全管理具体途径,希望为计算机的安全运行提供有价值的依据。
关键词:计算机;蠕虫病毒;防御在科学技术快速发展的背景下,计算机蠕虫病毒在攻击与防御方面也同样有所发展,所以,计算机蠕虫病毒也将具有明显的智能化与复杂化特点,严重影响甚至是危害网络。
为此,必须要采取相应的手段对计算机蠕虫病毒进行防御。
一、计算机蠕虫病毒概述所谓的计算机蠕虫,并不需要由计算机的使用者干预,就能够实现运行的独立性程序,对网络当中的漏洞进行获取,进而掌握计算机部分或者是全部的控制权以实现传播。
而计算机病毒主要是在计算机程序当中插入能够对其功能或者是数据造成严重破坏的指令或程序代码。
由此可见,计算机蠕虫与病毒的传染行以及复制功能十分明显,而在特性方面存在相似性,所以,使得两者区分难度较大。
目前,计算机蠕虫、木马程序以及计算机病毒界限逐渐模糊,且三者之间互相渗透。
其中,更多病毒都对蠕虫技术进行了运用,而同时,蠕虫病毒也采用了病毒与木马技术。
通过上述分析与研究表明,计算机蠕虫病毒集计算机蠕虫、病毒与木马技术为一体,在使用者不干预的情况下就能够运行,并且在扫描过程中获得网络漏洞,进而对计算机控制权予以复制及传播,针对已被感染计算机内部安装后门,亦或是使用恶意代码对计算机的系统与重要信息带来严重破坏。
二、计算机蠕虫病毒的有效防御(一)防火墙技术的运用可以合理地运用网络防火墙软件或者是单机防火墙软件,不允许使用服务器端口以外的端口,这样一来,就能够从根源上切断计算机蠕虫病毒传输与通信的途径。
与此同时,需要针对包含计算机蠕虫病毒特征的报文进行过滤,对已经感染的主机访问保护网络进行及时屏蔽。
网络蠕虫防范技术研究
I T 技术科技创新导报 Science and Technology Innovation Herald56网络蠕虫是常见的病毒,虽然具有一般病毒的特征,即通过网络载体进行复制传播,但与一般的病毒最主要区别是没有人为干预,能够独立运行。
网络蠕虫具有潜伏性强、传播快、生存周期长、覆盖面广、发生频率高等特点,特别是新型蠕虫与多态蠕虫的涌现,造成网络瘫痪,成为危害网络安全的重大隐患。
1 网络蠕虫的建模分析研究网络蠕虫的传播机制,通过蠕虫主体功能的四个模块对蠕虫病毒进行分析,即扫描、搜索、攻击、复制和传输四个模块。
1.1 搜索模块该模块决定采用技术的和非技术的方法搜集本地或者目标网络的信息,其搜索主要内容有系统类型、版本、用户名、邮件列表、开放的服务器软件版本、网络拓扑结构以及边界的路由信息。
1.2 扫描模块该模块利用信息搜集模块搜集的信息所完成的检测,探测搜索的主机。
通常扫描探测策略有顺序、基于目标列表、基于路由扫描、随机和选择性随机扫描等。
1.3 攻击模块该模块利用扫描探测模块探测的主机漏洞,对目标系统实施攻击和建立传输通道,以植入和运行蠕虫副本。
缓冲区溢出攻击是普遍的攻击形式,此外攻击形式还有系统误配置和字符串格式攻击等。
1.4 复制模块该模块通过交互原主机和新主机,将病毒复制到新主机并启动,生成多种形式的副本。
1.5 传输模块该模块在实施攻击后,下载安装附加的恶意代码到目标机,还会添加到w i n d o w s 进程中,致使系统操作异常。
通过对网络蠕虫的建模分析表明,网络蠕虫的传播虽具有突发性,但还有一定的规律性,因此,在传播初期进行有效的检测和控制能够抑制蠕虫的泛滥。
2 网络蠕虫检测技术网络蠕虫控制技术的主要思想是,通过研究各个主机流量随时间变化的规律,预测网络蠕虫的变化趋势,进而有效防范病毒的传播。
网络蠕虫控制方向一般有三大方面,即主机隔离、阻断、限速。
当前最常用的是检测主机单位时间发起的连接失败率,丢弃数据包且切断主机与网络的通信,但是对流量产生影响,准确率也受到限制。
蠕虫病毒的分析与防范
蠕虫病毒的分析与防范作者:朱慧爽来源:《科学与财富》2019年第06期摘要:蠕虫病毒给网络环境带来了巨大的灾难。
日益严重的蠕虫问题,不仅给用户造成了巨大的损失,而且严重威胁着国家的信息安全。
蠕虫的检测和防范成为当前网络安全研究的热点。
关键词:蠕虫;病毒;网络安全1.蠕虫病毒简介蠕虫病毒与一般病毒不同。
蠕虫病毒不需要将其自身附着到宿主程序,是一种独立的智能程序。
它利用网络进行传播并能够自我复制,爆发时消耗大量的系统资源,使其他程序运行减慢甚至停止,最后导致系统和网络瘫痪。
“熊猫烧香”就是一个典型的感染型蠕虫病毒,其感染行为主要包括:复制自身到系统目录;创建启动项;在各分区根目录生成病毒副本;修改“显示所有文件和文件夹”设置;尝试关闭注册表编辑器、系统配置实用程序、Windows任务管理器、杀毒软件等。
2.蠕虫的检测技术(1)基于蠕虫特征码的检测技术首先将一些蠕虫恶意代码的特征值收集起来,然后逐个创建每一个特征值的特征码规则库。
检测时,利用在特征码和特征码规则库中的具体规则与要检测的网络行为进行匹配,如果存在异常就会匹配成功,对于这样的异常应当给出警告或者拒绝访问。
这样的检测方式有一定的限制,如果有些蠕虫病毒在规则库中没有匹配成功,就无法检测出蠕虫。
(2)基于蠕虫行为特征的检测技术Bakos提出了一种蠕虫行为特征检测技术,利用了ICMP目标主机不可达报文来判断识辨蠕虫的随机扫描行为,并通过信息收集点来收集网络中由路由器产生的这种不可达报文信息,然后统计消息的个数,并和给定的阈值进行比较,以此判断蠕虫是否有传播行为。
但是这种方法中如果路由器个数较少,那么收集到的报文信息数就会较少,会影响到判断的准确性(3)基于贝叶斯的检测技术在网络传播蠕虫的时候,蠕虫会先向网络中有漏洞的目标主机发送大量连接请求数据包,用这种方法就可以判断出目标主机是否开机,还能判断出这些目标主机是否存在漏洞,由此判断是否会被感染。
3.蠕虫病毒的防范3.1单位用户防范措施(1)提高网络管理员的安全意识和管理水平。
网络蠕虫
静态缓冲区溢出机理
内存低端
程序段 数据段 堆栈 内存高端 stack低端 …… 局部变量 (Ebp for debug) 返回地址 Argc的值 Stack的使用
Argv的地址
stack高端
2013-3-26 49
For example
• • • • • • • • • • • • • • • • void foo(const char*input) { char buf[10]; strcpy(buf,input); printf("my name is foo\r\n");} void bar(void) { printf("You have been hacked\n");} int main(int argc, char* argv[]) { char buf[33]={"AAAABBBBCCCCDDDD EEEEFFFFGGGGHHHH"}; unsigned long bar_add; bar_add=(unsigned long)bar; memcpy(&buf[12],&bar_add,4); foo(buf); return 0; }
2013-3-26
13
目标选择算法
• • • • • • 电子邮件列表 主机列表(hosts) 被信任的系统(MAC/IP) 邻域网 域名服务查询 任意选择一个目标网络地址 (A/B/C,32bits)
14
2013-3-26
扫描引擎
检测有效的目标: • NMAP; • Xscan; …… Ref: /tools/1.html
2013-3-26
20
案例分析--Nimda
如何应对网络蠕虫感染的网络防护策略(十)
网络蠕虫是一种自动传播的恶意软件,它可以通过网络迅速传播并感染大量计算机。
面对日益增多的网络蠕虫威胁,有效的网络防护策略变得尤为重要。
本文将探讨如何应对网络蠕虫感染并提出相应的网络防护策略。
第一部分:了解网络蠕虫的工作原理网络蠕虫是一种利用网络传播的恶意软件,它通常通过利用系统漏洞或社交工程等手段感染计算机。
一旦感染成功,网络蠕虫会自动在感染的计算机上复制和传播,迅速蔓延至其他计算机。
网络蠕虫的传播速度快且隐蔽,给网络安全带来了巨大的威胁。
第二部分:加强系统安全性为了应对网络蠕虫的感染,首先需要加强系统的安全性。
定期更新操作系统和应用程序的补丁,以修复已知的安全漏洞。
使用强密码和双因素身份验证,加密敏感数据和通信,以防止蠕虫窃取信息。
此外,安装和更新可信赖的防病毒软件和防火墙是非常重要的,可以帮助检测和阻止网络蠕虫的感染。
第三部分:培养网络安全意识网络蠕虫的感染往往是通过利用人们的不安全行为实现的,因此培养良好的网络安全意识至关重要。
员工应接受网络安全培训,了解网络蠕虫的工作原理和常见的感染途径,学习如何辨别和避免恶意软件。
同时,组织应制定网络安全政策,明确规定安全操作流程和责任分工,提高全员的安全防护意识。
第四部分:设立网络监测和应急响应机制及早发现和应对网络蠕虫的感染是关键。
建立网络监测系统,及时检测异常活动和潜在的蠕虫感染。
利用入侵检测系统(IDS)和入侵防御系统(IPS)等技术,监控和拦截恶意软件的传播。
同时,建立完善的应急响应机制,明确责任和流程,及时应对网络蠕虫的感染,并采取相应的处置措施。
第五部分:定期备份和恢复数据网络蠕虫感染可能导致数据丢失或被加密,给组织带来严重的损失。
为了防止数据丢失,定期备份数据是非常必要的。
同时,建立可靠的备份存储和恢复系统,确保在感染发生时可以迅速恢复数据,降低损失。
第六部分:持续改进网络安全防护措施网络蠕虫的感染形式和手段在不断演化,网络防护策略也需要不断改进。
基于网络的蠕虫防御和检测技术研究
来 越 多的 病 毒 采 取 了部 分 蠕 虫 的 技 术 。 在
网络 环 境 下 , 样 化 的 传 播 途 径 和 复 杂 的 多 应 用 环 境 使 网络 蠕 虫 的 发 生 率 增 高 、 伏 潜 性 变 强 、 盖 面更 广 , 覆 网络 蠕 虫成 为 恶 意 代 码研 究 中 的首 要 课 题 。 表 明 , 多 的 网 络 蠕 虫 攻 击 在 利 用 漏 洞 进 许 行 攻 击 之 前都 会 进 行端 口扫 描 。 于蠕 虫 , 对 2蠕 虫的网络增长模式 防火 墙 能 以 各种 方 式 抵 御 蠕 虫 的感 染 和 网 蠕 虫 的 增 长 模 式 受 网络 中主 机 被 感 染 络 攻 击 。 有 效 的 抵 御 蠕 虫 的 措 施 是 用 防 最 率 和 有漏 洞 主 机 数量 的 影 响 。 似 的 , 虫 火 墙 关 闭 系 统 不 需 要 开 放 的 端 口 , 及 监 类 蠕 以 扫 描 和攻 击 所 造 成 的流 量 模 型 与 网络 中活 控 从 本 地 主 机 流 向外 网的 数 据 流 。 动蠕 虫 的 数 量也 有直 接 关 系 。 过 Na a i 通 zr o 很 多 的 蠕 虫 攻 击都 能通 过 关 闭 目标 网
一
主 机 的 数 据 包 通 过 路 由 器 进 入 网络 。 展 拓
而 只 是 简单 的对 网络 地址 空 间进 行 扫描 然 后 进 行 攻 击 。 以 正 常 的 数 据 流 是 不 会 到 所 达 “ 洞 的 , 黑 如果 对对 到达 “ 洞 ” 数 据 黑 的 进 行 分 析 就 能 检 测 出 蠕 虫 的攻 击 。 实 现 “ 洞 ” 视 有 三 种 方 式 : 一 种 黑 监 第 是 监 视 返 回报 文 。 网络 攻 击 中 常 常会 在 报 文 中伪 造 源 地 址 , 果 伪 造 地 址 在 “ 洞 ” 如 黑
网络蠕虫的检测与抑制办法
网络蠕虫的检测与抑制办法[摘要]:网络病毒的传播方式使得它们的寄生空间不再局限于孤立的计算机,而是漫布于整个的网络,因此病毒的查杀、清除及其防治措施不得不考虑整体网络的层面。
[关键词]:蠕虫检测抑制中图分类号:s941.52 文献标识码:s 文章编号:1009-914x(2012)26-0303-01随着计算机技术的不断发展,计算机病毒己从早期借助软盘、利用人机交互进行传播的文件型病毒、宏病毒发展到了现在借助网络、利用操作系统或软件的漏洞进行自我复制和自动传播的蠕虫、木马阶段。
近年来,网络病毒的泛滥也说明了网络整体防御的必要性。
如蠕虫和木马的防治问题,当某一蠕虫传播时,仅仅查杀网络中一个节点(一台计算机)中的蠕虫是毫无用处的,只要一个被感染节点清除不了,那么其他节点还会被感染。
木马的防治更是如此,仅仅清除被攻击端的木马也没有太大的用处,远程的控制端才是木马的根源。
所以网络病毒的防御有其特殊性,必须考虑网络整体。
各种层出不穷的蠕虫始终威胁着internet的安全,精心编写的蠕虫能够在几分钟内传遍internet,严重影响人们的正常生活。
目前,病毒检测和防御主要针对其内容特征进行匹配,而特征码的获得又主要依靠人工进行代码分析。
这种方法可以有效识别和阻止慢速传播的早期文件型病毒,但无法高效识别和阻止在数小时甚至数分钟内就能在全球范围内传播的蠕虫。
因此,在未知蠕虫传播的早期进行检测预警,快速生成其特征,并支持后续的自动防御,就成为亟待解决的问题。
因为蠕虫不必寄生在某一个程序之上,所以与其说蠕虫感染了一个文件,不如说蠕虫感染了一个系统或一个网络。
所以检测蠕虫,更应该从网络的层面和蠕虫的特有传播特点来进行检测。
很多蠕虫传播是依靠选择性随机扫描方式,如code red蠕虫,大范围的随机扫描往往是蠕虫爆发时的征兆,因此收集这些扫描活动就能在一定程度上发现蠕虫。
外国研究人员通过统计对未用地址进行的扫描来分析是否有蠕虫活动。
网络蠕虫病毒检测技术研究与应用
网络蠕虫病毒检测技术研究与应用随着互联网的普及和发展,各种网络蠕虫病毒也在不断涌现。
这些病毒可以在网络中迅速传播并感染大量计算机,给个人信息和数据的安全带来极大的威胁。
因此,开发和应用网络蠕虫病毒检测技术已成为计算机安全领域中的重要研究方向之一。
一、病毒检测技术的发展目前,根据对病毒检测技术的研究和应用,病毒检测技术可以分为传统的基于特征的病毒检测技术和基于机器学习的病毒检测技术两大类。
传统的基于特征的病毒检测技术主要是通过对病毒的特征进行分析和提取,然后与已知的病毒进行匹配,识别和检测病毒。
这种技术可以简单快捷地找到已知病毒,但对于未知病毒的识别能力较弱,无法有效应对未知的病毒攻击。
基于机器学习的病毒检测技术则是通过对已知的病毒样本进行学习,建立病毒检测模型,将模型应用到未知样本的分类和识别中。
相比传统的病毒检测技术,基于机器学习的病毒检测技术可以更快速准确地识别未知的病毒,且可持续性更强。
二、病毒检测技术的应用随着互联网的高速发展,各种在线服务的使用也成为了现代社会的主流。
尤其是在金融、电子商务、医疗等行业,不少信息处理都是通过互联网实现。
这些行业的信息数据一旦泄露或遭受病毒攻击,就可能造成极大的损失。
因此,网络蠕虫病毒的检测技术可以应用到各行各业的信息安全保护中。
例如,在金融领域,病毒攻击可能导致用户的账户信息被盗取或其金融交易遭到干扰。
因此,金融机构可以使用病毒检测技术来保障客户信息的安全,防范金融欺诈等不法行为。
在企业信息安全领域,病毒检测技术可以帮助企业及时发现病毒攻击,并及时做出应对措施。
通过定期巡检,及时检测病毒,企业可以降低病毒攻击对其业务造成的损失。
三、病毒检测技术面临的挑战网络蠕虫病毒检测技术的研究与应用,不仅可以协助用户有效地检测和清除病毒威胁,也有助于提高计算机网络的安全性。
但随着网络蠕虫病毒技术的不断变化和升级,检测技术面临着不小的挑战。
首先,病毒检测技术需要不断更新。
如何识别和防止网络蠕虫攻击
如何识别和防止网络蠕虫攻击网络蠕虫攻击是指利用计算机网络通过恶意软件传播的攻击行为。
蠕虫病毒能够自动复制、传播和感染其他计算机,给网络安全带来巨大威胁。
为了保护个人和机构的网络安全,我们需要了解如何识别和有效地防止网络蠕虫攻击。
一、识别网络蠕虫攻击1. 异常网络流量网络蠕虫攻击往往会导致网络流量异常增加。
注意观察网络流量,如果您发现网络流量骤增或网络带宽明显受限,可能是网络蠕虫的迹象。
2. 邮件附件网络蠕虫病毒会通过电子邮件的附件进行传播。
当您接收到来自陌生发送者或者不可信来源的邮件,尤其是带有附件的邮件时,请谨慎打开附件或点击邮件中的链接。
3. 异常磁盘活动网络蠕虫往往会利用计算机的磁盘进行传播和感染。
如果您发现计算机磁盘活动异常频繁,而您并未进行相关的操作,那就有可能是网络蠕虫正在作祟。
二、防止网络蠕虫攻击1. 更新操作系统和软件网络蠕虫病毒通常会利用计算机操作系统或软件的漏洞进行传播。
及时安装操作系统和软件的更新补丁,可以修复这些漏洞,提高系统的安全性。
2. 安装可靠的安全软件安装一款可靠的安全软件,可以帮助检测和拦截网络蠕虫病毒。
确保安全软件的病毒库和安全规则得到及时更新,并定期进行系统全盘扫描。
3. 强化网络安全意识通过加强员工和用户的网络安全意识,可以降低网络蠕虫攻击的风险。
提供必要的网络安全教育和培训,教会员工和用户如何判断和避免网络蠕虫的攻击。
4. 配置防火墙和入侵检测系统配置防火墙和入侵检测系统能够帮助拦截和监控网络蠕虫的传播。
及时更新防火墙规则和入侵检测系统的策略,可以有效防止网络蠕虫攻击。
5. 分隔网络将网络分隔为多个区域,可以限制网络蠕虫传播的影响范围。
通过网络隔离和访问控制策略,可以防止网络蠕虫从一个区域传播到其他区域。
结语网络蠕虫攻击给个人和机构的网络安全带来了巨大的威胁。
通过识别网络蠕虫攻击的迹象,并采取有效的防护措施,我们能够保护自己的网络安全。
通过定期更新系统软件、安装可靠的安全软件、加强网络安全意识、配置防火墙和入侵检测系统以及分隔网络,可以大幅降低网络蠕虫攻击的风险,确保网络安全的稳定运行。
网络安全中蠕虫病毒技术与防范措施研究
4 4 和u DP 69端口 载并运行它的代码程 下 序Msblast ‘ exe。这个蠕虫还将对w indo一 ws pdate。 u com进行拒 绝服务攻击。
病毒行为和传播方式:(1)病毒运行时会建 立一个名为 “L LY”的互斥线程, BI 当病毒检 测到系统有该线程的话则不会重复驻入内存。
(1)利用防火墙防范:通过控制防火墙的 策略, 对感染主机的对外访问数据进行控制, 防止蠕虫对外网的主机进行感染。同时如果 发现外网的蠕虫对内网进行扫描和攻击, 也可 以和防火墙进行互动, 防止外网 的蠕虫传染内
网 的 主机 。
2网 络蠕虫的特性
作系 统安装目 的系 录中 统目 Wi d ow s 录, n
I二& TEO 俐 s ( 幻丫 IN卜 屯 旧Ie Q MATION
网络安全 中蠕 虫病毒技术与防范措施研 究
符浅浅
(海南大学倍息学院 海南 570228)
近年来的增长态势变得的尤为迅猛。所以对蠕虫病毒的检 摘 要:蟠 的 规 爆 引 的In e ne 安全威胁事件每年以指数增长 , 虫 大 模 发, 起 t r t 测防范有着重要的意义。 关键词:蠕虫 网络安全 病毒 异常检测 中图分类号: TPO3 文献标识码: A 文章编号: 1672一 3791(2007)07(a卜0099一 01
2000/ XP/ 2003 默认为C :\ Winnt \ S s e一 y t m 32。 (3)在注册表 HKEY_LOCAL_MA一
CHINE\ 50 1尹 FWARE\ Mi r以 ft\ Window s\ c 刃
网络蠕虫的传播与牛物中蠕虫病毒的传 播存在相似性, 此对千网 因 络蠕虫的传播同样 可以套用 生物病毒传播的模型来 表示: 其中1 t ( )表示中已经被感染的计算机的数量, t 表 ( S) 示网络中存在漏洞、可以被蠕虫感染计算机 的数量, 表示影响蠕虫传播的因素。公式左 边是被感染的计算机数量的增量与单位时间 的比值, 也就蠕虫传播的速度。从公式中很 直观的看出, 公式右边三个因 子中 任何一个因 子的减小都会降蠕虫的传播速度. 所以从蠕虫的传播模式和特征行为, 我们 可以得出蠕虫在传播过程中所共有的一些特
网络蠕虫防御和清除方法
测 到的漏洞建立传播 路径 , 最后实施攻击 。著名的振荡波蠕
虫病毒 利用的是计算机 的 L AS S S漏 洞 ,高波和 冲击波蠕 虫
病毒都 是利用 的 R CD o 缓冲溢 出漏洞 。 P om () 赖 E i传 播 2依 mal
算机系统存 在漏洞是 网络蠕 虫实现攻击 目标 的前提 。
3 网 络 蠕 虫 传 播 特 点 .
特点 1 蠕虫在传播过程 中, ; 其连接模 式是相似 的。 这种相似性 体现 在两个方面 : ①传播过程 是相似 的。同
一
个 蠕 虫一般 都采用 相 同步 骤去感 染 目标主 机 。②epot x li
虫企 图攻击 计算机 网络 时,防火 墙若 发现可 疑程序 访 问 内 网, 会 向用户报 警 ; 用 户认 为是 网络 蠕 虫程 序 , 禁 止 就 若 就 其访 问计 算机, 达到防御 网络 蠕虫的 目的。但 是防火墙 也存 在着 不足 之处 , 它是一种 静态 的被动 的 网络 防御 技术 , 能 不 实时地主 动地监测计算机 网络 。 ()采用 入侵 检测技术 2 入侵检测 是一种 主动 防御 网络攻 击的技 术 ,不 仅能 主 动监控 外 网的攻击还 能监控 来 自内部 的攻击 ,弥补 了防火 墙 的不足 , 防火墙 的有益补 充。入侵检测系 统 目前还不 成 是 熟, 更没有专 门的监 测和 防御 网络 蠕虫 的系统 。 目前防御 网 络蠕 虫的 比较好 的策 略就是 将多 种防御 工具 如防火 墙和入 侵检测系 统结合在一起使 用。 ()接种疫苗技 术 3 接种 疫苗技 术是 当 网络 蠕虫爆 发时 网管人 员采取 的一 种主动 防御技术 。根据 网络蠕 虫不 同 的攻 击特 性设计 出相 应的疫苗 , 然后 对 易感主机 进行 疫苗接 种 , 使接 种后 的计算 机对相应 的 网络 蠕虫 有免疫 功能 ,从而避 免 了网络蠕 虫 的
蠕虫病毒的分析与防范
中国地质大学长城学院结课论文题目蠕虫病毒的分析与防范系别信息工程学院学生姓名段嘉豪专业计算机科学与技术学号041130108指导教师赵培昆2016 年 5 月9 日蠕虫病毒的分析与防范摘要随着网络技术的发展,蠕虫病毒不断扩大对网络安全构成了严重的威胁,本文基于当前蠕虫攻击破坏的严峻形势,对蠕虫病毒的检测和防御技术进行了研究。
首先对蠕虫病毒相关知识作了介绍,包括蠕虫病毒的定义、工作流程以及行为特征,并简要分析了蠕虫病毒国内外研究现状;在此基础上接着研究了蠕虫病毒检测技术,提出了基于蠕虫特征码、蠕虫行为特征、蜜罐和蜜网技术以及贝叶斯蠕虫检测技术;最后对蠕虫病毒的防御技术进行了研究,从企业网络用户和个人用户的角度分析了面对当前蠕虫攻击所需要注意和采取的措施,以尽最大可能减少蠕虫的侵害,营造一个良好的网络环境。
关键词:蠕虫病毒;检测;防御;网络安全ABSTRACTWith the development of network technology, the worm expanding constitutes a serious threat to the network security, this paper based on the grim situation the worm attack damage, the worm detection and defense technology were studied. F irst, an introduction of worm related knowledge, including the worm virus definiti on, working process and behavior characteristics, and a brief analysis of the worm virus research status at home and abroad; on the basis of this, then the worm vi rus detection technology, and puts forward the worm character codes, worm behav ior characteristics, honey and honey net technology and Bayesian worm detection t echnology based on. Finally the worm defense technology were studied from the enterprise network users and individual users of the angle analysis in the face of the worm attack needed to pay attention and take measures, so as to the possible reduction in worm damage, to create a good network environment.Key words: worm; detection; defense; network security目录前言 (1)1、蠕虫病毒相关知识介绍 (2)1.1蠕虫病毒定义 (2)1.2蠕虫病毒工作流程和行为特征 (3)1.3蠕虫病毒国内外研究现状 (4)2、蠕虫病毒检测技术研究 (5)2.1基于蠕虫特征码的检测技术 (5)2.2基于蠕虫行为特征的检测技术 (6)2.3基于蜜罐和蜜网的检测技术 (7)2.4基于贝叶斯的网络蠕虫检测技术 (8)3、蠕虫病毒防御技术研究 (9)3.1企业防范蠕虫病毒措施 (9)3.2个人用户防范蠕虫病毒措施 (10)4、总结 (12)致谢 (13)参考文献 (14)前言随着网络技术的发展,人类社会正逐步进入到数字化时代,计算机已经应用到日常生活各个领域,人们在享受到网络便捷服务的同时,各种安全问题也随之出现。
蠕虫病毒的特性及其宏观检测防治策略
机 的漏洞进行 自主传播的恶意代码。
12 网 络 蠕 虫 的功 能 结 构 _
网络蠕虫的功能模块 可 以分 为主体功 能模 块和辅助功能
模块 。实现 了主体功能模块的蠕虫能够 完成复制传播流程 , 而
包 含辅助功能模块 的蠕虫程序则具有 更强的生存能 力和破坏
能 力?
12. i体 功 能 模 块 . 1
() 1 实体隐藏模块 : 包括对蠕虫各个实体组成部分的隐藏 、 变形 、 加密 以及进程 的隐藏 , 主要提高蠕虫的生存能力。
()宿主破坏模块 : 2 该模块用于摧毁或破坏 被感染 主机 , 破 坏M络 正常运行 , 在被感染主机上 留下后 等。 ()信息通信模块 : 3 该模块能使蠕虫问 、 蠕虫 同黑客之间进
损失达 90 6 0万美元 ;0)年 7月 1 2( 1 9日, oe e C dR d蠕虫爆 发 , 在 爆发后的 9 时内就攻击了 2 小 5万台计算机 ,造成的损失估 计 超过 2 0亿美元 ; 后儿个月 内产生了威力更强的几 个变种 , 随 其 中 C dR d I造成的损失估汁超过 l oe e I 2亿美元 ;0 1年 9 l 20 月 8 日, i a蠕 虫被发 现 , Ni a 成的损失 评估数据从 5亿 N md 对 md 造 美元一直攀升到 2 6亿美元。目前蠕虫爆发的频率越来趱 决, 尤
() 2 扫描探测模块 : 完成对特定 主机 的脆弱性检测 , 定采 决
用何种攻击渗透方式 。 () 3 攻击渗透模块 : 该模块利用扫描探测模块 获得的安全漏
பைடு நூலகம்
辑炸弹(o i B mb等 等。其 中 It nt L gc o ) n re 蠕虫和木马程 序的比 e
浅析网络蠕虫及防范措施
浅析网络蠕虫及防范措施一、网络蠕虫定义及特征(一)网络蠕虫的定义网络蠕虫通过网络传播,是一种无须计算机使用者干预即可运行的独立程序。
它通过不停地获得网络中存在漏洞的计算机上的部分或者全部控制权进行传播。
网络蠕虫与普通计算机病毒不同,它不需要人为干预,不利用文件寄生,而且能够自主不断地复制和传播,对网络造成拒绝服务。
蠕虫普通病毒传播形式主动自己传播通过U盘或者受感染的文件存在形式独立存在寄生于某个宿主文件中复制机制自身拷贝插入到宿主程序中传染机制系统或者软件漏洞宿主程序的运行触发传染程序自身计算机使用者攻击目标网络上其他计算机本地文件破坏重点主机自身性能和网络性能本地文件系统搜索机制网络IP扫描本地文件系统扫描防御措施为系统或者软件打补丁从受感染的文件中清除计算机使用者的角色无关病毒传播的关键环节对抗主体计算机使用者,反病毒厂商系统软件,服务软件提供商,网络管理员表格:蠕虫和普通病毒的区别(二)网络蠕虫的特征1、主动传播蠕虫在整一个传播过程中,从搜索漏洞,到利用搜索结果攻击系统,再到复制副本到目标主机,整个过程由蠕虫程序自身主动完成。
2、传播迅速蠕虫的扫描机制决定了蠕虫传播的迅速,一般情况下,蠕虫会打开几十个甚至上百个线程用来同时对外扫描,而且扫描的间隔时间非常短。
再加上蠕虫爆发时用户尚还未对漏洞打补丁,使蠕虫可以在很短的时间内占领整个互联网。
3、利用漏洞计算机系统存在漏洞是蠕虫传播一个必不可少的条件。
早期的蠕虫是科学家用来进行分布式计算的,他们的传播对象是经过许可的计算机。
蠕虫要想不经过允许而进行传播,只有利用搜索到的漏洞进行攻击,提升权限。
4、网络拥塞从蠕虫的传播过程可以看出,在蠕虫的传播过程中,首先要进行扫描,找到存在漏洞的计算机,这是一个大面积的搜索过程,这些都无疑会带来大量的数据流。
特别是蠕虫传播开以后,成千上万台机器在不断地扫描,这是很大的网络开销。
5、反复感染蠕虫是利用计算机系统的漏洞进行传播,如果只是清除了蠕虫在文件系统中留下的痕迹,像清除病毒一样单单地清除蠕虫本身,而没有及时修补系统的漏洞,计算机在重新联网后还有可能会感染这种蠕虫。
如何识别和防范袭击和蠕虫病
如何识别和防范袭击和蠕虫病在今天的数字时代,网络安全已经成为个人和组织生活中不可或缺的一部分。
袭击和蠕虫病(Malware)是网络威胁的两种常见形式,它们可能会对您的计算机和数据构成严重威胁。
因此,了解如何识别和防范这些威胁至关重要。
本文将讨论如何辨识袭击和蠕虫病,并提供一些有效的防范方法,以确保您的在线安全。
一、袭击的识别和防范1. 了解各种袭击类型袭击是一种广泛的威胁形式,包括病毒、间谍软件、勒索软件和木马等。
为了更好地识别袭击,您需要了解不同类型的袭击及其工作原理。
这将使您能够更容易地辨认它们,并采取适当的防范措施。
2. 安装强大的防病毒软件在您的计算机上安装一个可信赖的防病毒软件是防范袭击的基本措施之一。
这些软件可以扫描和检测潜在的恶意代码,防止其感染您的系统。
确保您的防病毒软件是最新版本,并定期更新病毒定义文件,以确保它可以识别最新的威胁。
3. 谨慎打开附件和链接电子邮件是许多袭击的传播途径,因此要格外小心打开未知发件人发送的附件和链接。
不要轻信来历不明的电子邮件,尤其是那些要求您提供个人信息或敏感信息的邮件。
确保您的电子邮件客户端配置为自动过滤垃圾邮件,并手动核实可疑的邮件。
4. 定期备份数据数据备份是防范袭击的重要一环。
定期备份您的文件和数据到外部存储设备或云存储,以便在受到袭击时能够快速恢复。
如果您的系统受到勒索软件攻击,备份数据可以避免您支付勒索者的赎金。
5. 更新操作系统和应用程序操作系统和应用程序的漏洞通常会被黑客利用来进行攻击。
因此,保持您的操作系统和应用程序的更新非常重要。
开启自动更新功能,以确保您始终运行最新版本的软件,从而减少潜在的安全漏洞。
二、蠕虫病的识别和防范1. 了解蠕虫病的工作原理蠕虫病是一种自我复制的恶意软件,它能够迅速传播到其他计算机。
蠕虫病通常会利用计算机网络的漏洞进行传播,因此了解它们的工作原理对于防范至关重要。
2. 使用防火墙防火墙是一种有效的防范蠕虫病的工具,它可以监控和过滤进入您的网络的流量。
蠕虫病毒检测与防范
目录摘要 (2)Abstract (3)第一章蠕虫病毒概述及发展历史 (4)1.1蠕虫病毒概述及发展历史 (4)1.2网络蠕虫研究分析 (5)第二章蠕虫病毒原理 (7)2.1蠕虫病毒攻击原理 (7)2.2蠕虫病毒与一般病毒的异同 (8)第三章蠕虫病毒实例 (10)3.1蠕虫病毒造成的破坏 (10)3.2蠕虫病毒实例 (10)第四章蠕虫病毒的防范 (14)4.1蠕虫的特点及发展趋势 (14)4.2如何对蠕虫病毒攻击进行防范 (14)结束语 (16)致谢 (17)参考文献 (17)摘要随着互联网应用的深入,网络蠕虫对计算机系统安全和网络安全的威胁日益加剧。
特别是在网络环境下,多样化的传播途径和复杂的应用环境使蠕虫的发生频率增加,传播速度更快,覆盖面也更广。
蠕虫病毒侵入计算机网络,可以导致计算机网络的效率急剧下降,系统资源遭到严重破坏,短时间内造成网络系统的瘫痪。
为了将蠕虫病毒对计算机及网络设备、社会经济造成的损失降低到最低限度,提高网络的安全性能,减少不必要的经济损失,保障用户的个人资料及隐私安全,我们将对蠕虫病毒进行检测与防范。
本文主要针对蠕虫病毒的原理与传播、检测与防范等进行研究。
阐述网络安全现状、蠕虫病毒背景及发展历史等,通过蠕虫病毒的原理与传统病毒的区别,功能、工作机制等,对蠕虫病毒对网络安全的威胁,检测与防范做出了相对的研究。
关键词:网络安全;病毒原理;检测;防范AbstractAs the Internet application deeply, network worms to computer system security and network security threats aggravating. Especially in the network environment, diversified transmission way and complicated application environment makes worms the frequency increases, spread faster, coverage is more widely. Worm virus invades computer network, can cause the efficiency of computer network has dropped sharply system resources damaged caused inside short time network system of paralysis. In order to worm virus of computer and network equipment, social economic damage reduced to the minimum, improve the network safety performance and reduce unnecessary economic losses, protect a user's personal data and privacy and security, we will detect worm virus prevention.This article mainly aims at of worm virus principle and propagation, detection and prevention must be studied. Expounds the network security situation, worms background and development history, etc., through the principle of worm virus with traditional viruses distinction, function, working mechanism of worm virus of network security threats, detection and prevention made relative research.Keywords: network security; virus principle; detection; prevent第一章蠕虫病毒概述及发展历史1.1蠕虫病毒概述及发展历史凡能够引起计算机故障,破坏计算机数据的程序统称为计算机病毒。
Ramnit蠕虫病毒分析和查杀
Ramnit蠕⾍病毒分析和查杀Ramnit是⼀种蠕⾍病毒。
拥有多种传播⽅式,不仅可以通过⽹页进⾏传播,还可以通过感染计算机内可执⾏⽂件进⾏传播。
该病毒在2010年第⼀次被安全研究者发现,从⽹络威胁监控中可以看出⽬前仍然有⼤量的主机感染该病毒,所以Ramnit依然是⽹络空间世界的重⼤威胁之⼀。
Ramnit病毒可以监控⽹络访问活动等,可能导致⽹上银⾏交易等信息的泄露或盗取;该病毒还可以扫描和浏览服务器中的⽂件系统,获取敏感的⽂件信息;此外该病毒通过控制某台计算机可以作为攻击者的跳板对整个内部⽹络造成危害。
病毒样本分析1、对⽹站uri进⾏扫描2、扫描结果,HTML含有病毒3、样本分析影响范围据称该病毒在全球感染了超过320万台计算机,深信服安全中⼼还对对互联⽹上部分的web服务器进⾏搜集,共发现26000多个对外开放的⽹站被该病毒所感染,再加上不对外开放的服务器及PC主机,由此也可以看出该病毒⽬前感染量依然很巨⼤,部分检测到的被感染web服务器主机:应对⽅式1、检测与防御查看html或者htm⽂件是否被追加⼊了上述提及的vbs恶意脚本;安装杀毒软件,主流杀软可以对该病毒进⾏检测,也可进⾏查杀,不过可能会导致将被感染的exe等可执⾏⽂件清除,导致某些软件⽆法使⽤,可以优先使⽤专杀⼯具尝试恢复。
2、预防使⽤⾼版本的 IE 浏览器,且设置较⾼的安全等级:不轻易允许陌⽣⽹站的 ActiveX 运⾏请求或者 Script Runtime 运⾏请求:3、查杀赛门铁克针对 Ramnit 病毒制作了专杀⼯具,被感染的⼩伙伴们可以下载使⽤:传播过程1、Ramnit 病毒的⽹页传播⽅式在被植⼊了 Ramnit 病毒的主机中,病毒会感染主机中的 .html 或 .htm 后缀的⽹页,在 .html 或 .htm ⽂件中添加如下的 vbs 攻击代码:解压密码:Ramnit当使⽤低版本或安全策略配置不当的 IE 浏览器访问被 Ramnit 感染的 html ⽹页时,感染 html ⽹页的 vbs 攻击代码将被执⾏,创建并运⾏ Ramnit 病毒。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
青岛科技大学业设计(论文)专科毕蠕虫病毒的检测和防御研究__________________________________指导教师__________________________学生姓名__________________________学生学号__________________________院(部)____________________________专业________________班_________________________________年 ___月 ___日蠕虫病毒的检测和防御研究摘要随着网络技术的发展,蠕虫病毒不断扩大对网络安全构成了严重的威胁,本文基于当前蠕虫攻击破坏的严峻形势,对蠕虫病毒的检测和防御技术进行了研究。
首先对蠕虫病毒相关知识作了介绍,包括蠕虫病毒的定义、工作流程以及行为特征,并简要分析了蠕虫病毒国内外研究现状;在此基础上接着研究了蠕虫病毒检测技术,提出了基于蠕虫特征码、蠕虫行为特征、蜜罐和蜜网技术以及贝叶斯蠕虫检测技术;最后对蠕虫病毒的防御技术进行了研究,从企业网络用户和个人用户的角度分析了面对当前蠕虫攻击所需要注意和采取的措施,以尽最大可能减少蠕虫的侵害,营造一个良好的网络环境。
关键词:蠕虫病毒;检测;防御;网络安全目录前言 (1)1蠕虫病毒相关知识介绍 (2)1.1蠕虫病毒定义 (2)1.2蠕虫病毒工作流程和行为特征 (2)1.3蠕虫病毒国内外研究现状 (4)2蠕虫病毒检测技术研究 (5)2.1基于蠕虫特征码的检测技术 (5)2.2基于蠕虫行为特征的检测技术 (5)2.3基于蜜罐和蜜网的检测技术 (6)2.4基于贝叶斯的网络蠕虫检测技术 (6)3蠕虫病毒防御技术研究 (8)3.1企业防范蠕虫病毒措施 (8)3.2个人用户防范蠕虫病毒措施 (9)4总结 (10)致谢 (11)参考文献 (12)前言随着网络技术的发展,人类社会正逐步进入到数字化时代,计算机已经应用到日常生活各个领域,人们在享受到网络便捷服务的同时,各种安全问题也随之出现。
从基于DOS界面的病毒发展到今天基于Windows、Unix等操作系统的各种蠕虫、病毒等,在网络的快速发展带动下,使得计算机不断遭受到了非法入侵,不法黑客人员盗取了一些重要信息,甚至造成了操作系统的瘫痪,对个人和企业都带来了相当巨大的经济损失,同时对国家网络安全也构成威胁,带来了无法估计的损失。
最早开始的网络蠕虫攻击是发生在1998年的Morris 蠕虫病毒事件,从此后蠕虫病毒的研究成为了一项重要的课题。
2009年中国计算机病毒疫情调查技术的分析报告指出,中国网络安全态势发展进一步加大,网上制作和贩卖蠕虫、病毒以及木马等活动日益严重,并通过这些蠕虫病毒侵害网络的现象日趋上升。
2010年上半年期间,CNCERT/CC 一共接收了4780次网络安全的事件报告,相比上一年增长了105%,其中恶意代码占到了57.57%的比例,中国大陆地区有将近124万个IP地址对应的计算机受到了蠕虫木马程序的侵害和控制。
近几年,出现了很多病毒和蠕虫危害,比如说尼姆达、熊猫烧香、QQ尾巴、飞客等等,严重影响和干扰了计算机网络安全,侵害了个人和企业以及国家的财产安全,而且蠕虫病毒的网上传播仍然十分猖獗,对网络安全的威胁依然存在。
因此,网络蠕虫的研究是我们必须要关心的问题,对蠕虫病毒进行检测和防御技术研究具有重要意义。
基于此研究背景和网络安全形势,本文将对蠕虫病毒的检测和防御技术进行研究。
具体包括:(1)蠕虫病毒相关知识介绍。
介绍蠕虫病毒的定义、工作流程以及行为特征,并简要分析国内外研究现状;(2)蠕虫病毒检测技术研究。
介绍基于蠕虫特征码、行为特性等方面的检测控制技术;(3)蠕虫病毒防御技术研究。
从企业网络和个人用户角度,研究防御蠕虫攻击的主要措施。
1蠕虫病毒相关知识介绍1.1蠕虫病毒定义关于蠕虫病毒的定义很多,最早的定义是Eugene H.Spafford给出的:“蠕虫是可以独立运行的,并且能够自我复制且传播到其他计算机上的一段程序代码”。
但是随着网络的发展和科技的进步,蠕虫病毒出现了各种不同的变种,且产生了难以抑制的效果,因此学者们给予了多种多样的定义。
Elder 和Kienzle 认为:“网络蠕虫是通过计算机网络来进行传播,无须用户干预就能够独立运行或者依赖文件共享而去主动攻击其他计算机的一种恶意代码的形式”。
尽管蠕虫病毒的形式多种多样,不同学者给出了不同的定义,但是从以上给出的几种定义中可以看出,蠕虫病毒的定义都具有共同的特性,主要体现在以下几个方面:(1)蠕虫病毒独立运行,不需要用户进行干预;(2)蠕虫病毒具有自我传播和自我复制的特性,并且传染的方式途径很多,传播的速度较快,对网络和计算机安全破坏性强。
蠕虫一般是通过计算机的漏洞进行传播,国家网络安全中心每年发现的计算机漏洞数量惊人,尤其是近几年来,蠕虫病毒利用了很多零日漏洞进行传播,对网络安全和计算机构成了严重威胁。
1.2蠕虫病毒工作流程和行为特征(1)蠕虫病毒工作流程网络蠕虫病毒的工作流程一般可以分为四个阶段:扫描、攻击、处理、复制。
扫描主要是对目标地址空间内存在漏洞的计算机,收集相关信息以备攻击电脑,为攻击目标而准备;攻击阶段则是对扫描出的存在漏洞的计算机进行攻击,并感染目标机器;处理阶段隐藏自己在已感染的主机上,并且给自己留下后门,执行破坏命令;复制阶段主要是自动生成多个副本,主动感染其他主机,达到破坏网络的效果。
蠕虫病毒的整个工作流程如图1-1所示。
图1-1蠕虫病毒工作流程(2)蠕虫病毒行为特征通过对网络蠕虫的定义介绍以及工作流程分析,可以归纳出蠕虫的行为主要特性,具体如下:①自我复制和主动攻击。
蠕虫具有自我复制和主动攻击功能,当蠕虫病毒被释放后,它们会自动搜索当前网络系统是否存在机器漏洞,如果存在则进行攻击,反之则寻找新的系统查找漏洞,整个流程都是蠕虫自身完成,不需要人工进行任何干预。
②利用系统漏洞进行攻击。
蠕虫通过计算机系统漏洞进行攻击,没有漏洞则不能攻击系统,因此蠕虫最基本的行为特征是利用系统漏洞进行攻击。
③极具破坏性。
随着网络的发展,蠕虫病毒也越来越具有破坏性,造成了巨大的经济损失,使得计算机系统崩溃,深圳网络瘫痪等情况。
④反复攻击性。
即使清理掉了蠕虫病毒被,在计算机重新连接到网络之前没有为之漏洞打补丁,那么这台计算机依然可能会被感染,蠕虫病毒会反复攻击。
⑤使得计算机系统性能下降,整个网络塞堵甚至瘫痪。
蠕虫病毒进行攻击之前会进行网络大面积的扫描,对同一个端口不断的发送数据包,造成计算机系统性能下降;当扫描到存在系统漏洞的计算机时会产生额外的网络流量,引起网络拥塞,甚至可能造成瘫痪,带来巨大的经济损失。
⑥很好的伪装以及隐藏方式。
蠕虫病毒一般都具有较高隐藏功能,用户不容易发现,不能及时清理,同时它们会在感染计算机系统后留下逃脱后门。
1.3蠕虫病毒国内外研究现状随着蠕虫病毒的发展,网络安全技术厂商通过结合各种安全技术产品的方式对付蠕虫病毒,其中典型的方式是将网络杀毒软件、终端与防火墙、漏洞扫描系统、入侵检测相结合。
2005年以来,产生了很多具有代表性的安全方案,具体地主要有:2004年底,锐捷网络推出了全局安全网络解决方案,相比于简单的“杀毒软件+防火墙”这种体系来说,其安全措施加强了对于网络终端安全性的控制以及修复。
对每个用户计算机加载一个客户端软件,如果发现有蠕虫病毒侵入,立即通知服务器,服务器将会隔离此用户与正常用户,并修复入侵系统漏洞。
当修复完成之后,安全客户端软件还会自动重新检测用户系统,在确定系统已解除安全隐患之后才允许再次进入网络。
通过这种自动检测和拦截技术,将蠕虫病毒等安全隐患拒之门外,能够防患于未然。
趋势科技公司推出了企业安全防护战略-EPS(Enterprise Protection Strategy),主要是采用蠕虫病毒入侵检测技术,不断地侦听网络内部是否接入有蠕虫病毒数据包,一旦检测到蠕虫侵入,随即隔离所有的危险设备。
以上对蠕虫病毒的防护技术主要是针对于操作系统的漏洞而检测的,目前,随着科学技术的进步和网络的发展,蠕虫病毒不断扩大的同时检测和防御技术也在不断更新中,蠕虫病毒的研究始终是一项重要的研究内容。
2蠕虫病毒检测技术研究蠕虫技术的不断扩大对网络的安全构成了极大的威胁,甚至有可能带来网络瘫痪,造成巨大的经济损失,因此必须采取有效措施和途径,对网络蠕虫进行检测和控制,下面将对蠕虫病毒的检测技术进行研究。
2.1基于蠕虫特征码的检测技术基于蠕虫特征码的检测技术是目前使用最多的一种检测技术,其主要手段是通过特征进行匹配。
具体的检测原理是:首先收集一些蠕虫恶意代码的特征值,然后在这些特征值的基础上创建相应的特征码规则库,当检测计算机是否受到蠕虫病毒感染或者攻击时,将检测到的网络行为的特征码和特征码规则库中具体规则进行匹配,若是匹配成功则说明该网络存在异常,可能含有蠕虫病毒等危害,应当给出警告提示或者拒绝访问。
由以上检测原理可见,这种检测技术存在一定的限制,只有当特征码规则库中存在恶意行为的特征码规则时,才能够匹配成功,判定该网站存在恶意行为,进行抑制或者反击。
在这种情况下,若是有些蠕虫病毒并没有在规则库中匹配成功,不能被检测出来,那么该网络就可以通过检测,对计算机系统造成危害,带来不可预测的经济损失,因此需要对规则库实时进行维护和更新,确保最新的蠕虫病毒特征码存储在特征库中,能够被识别出来。
目前比较熟知的基于蠕虫特征码的检测算法包括Earlybird和Autograh,这两种方法提供实时提取特征码功能,基于Rabin fingerprint算法。
当蠕虫病毒变形扩散后,单一连续的字符串不能够作为特征码使用,为此James Newsome提出了著名的Ploygraph检测系统,可以提取出具有蠕虫变形规律的特征码。
2.2基于蠕虫行为特征的检测技术基于蠕虫行为特征的检测技术主要包括四种方法:统计分类法、简单阈值法、信号处理法以及智能计算法。
其中简单阈值法的检测指标是与连接相关的指标,包括连接失败数、连接请求数、ICMP消息数以及连接端口的流量等等。
Bakos提出了一种蠕虫行为特征检测技术,利用了ICMP目标主机不可达报文来判断识辨蠕虫的随机扫描行为,并通过信息收集点来收集网络中由路由器产生的这种不可达报文信息,然后统计消息的个数,并和给定的阈值进行比较,以此判断蠕虫是否有传播行为。
但是这种方法中如果路由器个数较少,那么收集到的报文信息数就会较少,会影响到判断的准确性。
其他的行为特征检测方法是通过识别网络中不断重复出现的数据包内容进行识别蠕虫病毒,但是由于这些方法在检测时必须要有大量的统计信息,因此在时间上会有一个滞后的过程,造成不能够及时地检测到蠕虫病毒。