蠕虫病毒的检测和防御研究
蠕虫病毒
6.5 蠕虫病毒的检测与防范
对已知蠕虫的检测
以Worm.Sasser.b检测为例
•
首先通过对TCP半连接状态的检测发现病毒的扫描行为,发现 可疑的扫描源 然后在TCP的连接建立时间中检测可疑扫描源对漏洞主机特定 端口(445)的攻击行为,进一步确认感染了蠕虫的主机
•
•
第三步检测蠕虫的自我传播过程
3
6.1 蠕虫的基本概念
蠕虫病毒造成的损失
4
6.1 蠕虫的基本概念
1982年,Shock和Hupp
根据《The Shockwave Rider》一书中的概念提出了 一种“蠕虫Worm”程序的思想
蠕虫病毒是一种常见的计算机病毒 利用网络进行复制和传播
传播通常不需要所谓的激活 通过分布式网络来散播特定的信息或错误,进而造成 网络服务遭到拒绝并发生死锁
更新防病毒软件
确保它是最新的
限制邮件附件
禁止运行附件中的可执行文件(.COM、.EXE等),预防DOC、 XLS等附件文档,不要直接运行脚本文件(VBS、SHS)
18
6.5 蠕虫病毒的检测与防范
邮件程序设置
“附件的安全性”设为“高” 禁止“服务器脚本运行” 慎用邮件预览功能
关闭WSH功能
2
后来的红色代码,尼姆达病毒的疯狂
2003年1月26日,“2003蠕虫王”
Morris
90行程序代码 2小时:
6000台电脑(互联网的十分之一)瘫痪 1500万美元的损失 3年缓刑/1万罚金/400小时的社区义务劳动
网络蠕虫病毒防御方法研究
用 户 。 1 8 年 CERT( 算机 紧急 响 应 小 从 8 9 计 组 )由 r i蠕 统 的Itr t 全 威 胁 事 件每 年 以指 数增 长 , n e ne 安
1 网络蠕虫传 播流程 及行 为特征
l t r t 虫 是 无 须 计 算 机 使 用 者 干 预 n e ne蠕 即 可 运 行 的 独 立 程 序 , 通 过 不 停 的 获 得 它 网 络 中 存 在 漏 洞 的 计 算 机 上 的 部 分 或 全 部 控 制权来进行传播 。 蠕 虫 与 病 毒 的 最 大 不 同 在 于 它 不 需 要 人 为干 预 , 能 够 自主不 断 地 复 制 和 传 播 。 且
近 年 来 的 增 长 态 势 变 得 的尤 为 迅 猛 。
本 文 介 绍 了 蠕 虫 病 毒 的 行 为 特 征 及 传 播 方 式 , 出 了 蠕 虫 病 毒 的 检 测 方 法 , 设 提 并
计 了 一 种 基 于 操 作 系 统 底 层 函 数 的 防 御 蠕
虫 攻 击 的 新 方 法 , 方 法 能 及 时 地 发 现 网 此 络 蠕 虫 攻 击 并 中 断 恶 意 代 码 的 执 行 , 而 从 更 好 的 保 护 操 作 系统 和 应 用 软 件 的安 全 。
权限 , 之进行复制和传播过程成为可能。 使
文 章 编 号 : 0 —9 ( 1 —0 3 l 7 6 2 0) 9 —0 0 41 01 0 0 2
蠕 虫 程 序 的 传 播 流 程 可 以 分 为 漏 洞 扫
引 言
随 着 1 8 年 1 月 2 由Ro e t ors 98 1 号 b r M ri J
每 一 次 蠕 虫 的 爆 发 都 会 给 社 会 带 来 巨
蠕虫病毒的分析与防范
蠕虫病毒的分析与防范作者:朱慧爽来源:《科学与财富》2019年第06期摘要:蠕虫病毒给网络环境带来了巨大的灾难。
日益严重的蠕虫问题,不仅给用户造成了巨大的损失,而且严重威胁着国家的信息安全。
蠕虫的检测和防范成为当前网络安全研究的热点。
关键词:蠕虫;病毒;网络安全1.蠕虫病毒简介蠕虫病毒与一般病毒不同。
蠕虫病毒不需要将其自身附着到宿主程序,是一种独立的智能程序。
它利用网络进行传播并能够自我复制,爆发时消耗大量的系统资源,使其他程序运行减慢甚至停止,最后导致系统和网络瘫痪。
“熊猫烧香”就是一个典型的感染型蠕虫病毒,其感染行为主要包括:复制自身到系统目录;创建启动项;在各分区根目录生成病毒副本;修改“显示所有文件和文件夹”设置;尝试关闭注册表编辑器、系统配置实用程序、Windows任务管理器、杀毒软件等。
2.蠕虫的检测技术(1)基于蠕虫特征码的检测技术首先将一些蠕虫恶意代码的特征值收集起来,然后逐个创建每一个特征值的特征码规则库。
检测时,利用在特征码和特征码规则库中的具体规则与要检测的网络行为进行匹配,如果存在异常就会匹配成功,对于这样的异常应当给出警告或者拒绝访问。
这样的检测方式有一定的限制,如果有些蠕虫病毒在规则库中没有匹配成功,就无法检测出蠕虫。
(2)基于蠕虫行为特征的检测技术Bakos提出了一种蠕虫行为特征检测技术,利用了ICMP目标主机不可达报文来判断识辨蠕虫的随机扫描行为,并通过信息收集点来收集网络中由路由器产生的这种不可达报文信息,然后统计消息的个数,并和给定的阈值进行比较,以此判断蠕虫是否有传播行为。
但是这种方法中如果路由器个数较少,那么收集到的报文信息数就会较少,会影响到判断的准确性(3)基于贝叶斯的检测技术在网络传播蠕虫的时候,蠕虫会先向网络中有漏洞的目标主机发送大量连接请求数据包,用这种方法就可以判断出目标主机是否开机,还能判断出这些目标主机是否存在漏洞,由此判断是否会被感染。
3.蠕虫病毒的防范3.1单位用户防范措施(1)提高网络管理员的安全意识和管理水平。
实训7-2蠕虫病毒的查杀与防范.
实训7-2蠕虫病毒的查杀与防范引言蠕虫病毒是一种恶意软件,通过网络传播并感染计算机系统。
蠕虫病毒可以自动复制和传播自己,对网络安全造成严重威胁。
在本文中,我们将介绍蠕虫病毒的特征和传播方式,并提供一些常用的查杀和防范方法。
蠕虫病毒的特征蠕虫病毒与其他恶意软件不同之处在于其具备自我复制和传播的能力。
蠕虫病毒可以通过网络传播,并在感染新主机后再次复制并传播自己。
这种自我复制和传播的能力使得蠕虫病毒具有迅速传播和蔓延的潜力。
另一个蠕虫病毒的特征是其破坏性。
蠕虫病毒可以危害计算机系统的正常功能,并可能导致数据损失、系统崩溃等严重后果。
一些蠕虫病毒还具备隐藏性,可以在感染主机之后长时间潜伏而不被察觉。
蠕虫病毒的传播方式蠕虫病毒可以通过多种方式传播。
以下是一些常见的传播途径:1.电子邮件附件:蠕虫病毒可以通过电子邮件附件传播。
当用户打开蠕虫病毒的电子邮件附件时,病毒将被激活并感染用户的计算机系统。
2.可执行文件:蠕虫病毒可以附加在可执行文件中,当用户运行该可执行文件时,病毒将开始感染用户的计算机系统。
3.共享文件夹:蠕虫病毒可以通过共享文件夹传播。
当用户访问感染的共享文件夹时,病毒将利用网络传播自己到其他计算机系统。
4.操作系统漏洞:蠕虫病毒可以利用操作系统的漏洞来传播自己。
一旦蠕虫病毒感染了具有漏洞的计算机系统,它可以利用该漏洞来感染其他主机和系统。
蠕虫病毒的查杀方法及时发现和查杀蠕虫病毒对于保护计算机系统的安全至关重要。
以下是一些常用的蠕虫病毒查杀方法:1.使用杀毒软件:杀毒软件是查杀蠕虫病毒的最常见和有效的方法之一。
杀毒软件可以及时检测和清除计算机系统中的病毒,并提供实时保护。
2.更新操作系统:定期更新操作系统是防范蠕虫病毒传播的重要措施。
操作系统提供的更新补丁通常包含了对已知漏洞的修复,减少了蠕虫病毒感染的机会。
3.禁用自动运行:蠕虫病毒通常利用自动运行功能来感染计算机系统。
禁用自动运行功能可以阻止蠕虫病毒在用户运行可执行文件时自动启动。
网络蠕虫
静态缓冲区溢出机理
内存低端
程序段 数据段 堆栈 内存高端 stack低端 …… 局部变量 (Ebp for debug) 返回地址 Argc的值 Stack的使用
Argv的地址
stack高端
2013-3-26 49
For example
• • • • • • • • • • • • • • • • void foo(const char*input) { char buf[10]; strcpy(buf,input); printf("my name is foo\r\n");} void bar(void) { printf("You have been hacked\n");} int main(int argc, char* argv[]) { char buf[33]={"AAAABBBBCCCCDDDD EEEEFFFFGGGGHHHH"}; unsigned long bar_add; bar_add=(unsigned long)bar; memcpy(&buf[12],&bar_add,4); foo(buf); return 0; }
2013-3-26
13
目标选择算法
• • • • • • 电子邮件列表 主机列表(hosts) 被信任的系统(MAC/IP) 邻域网 域名服务查询 任意选择一个目标网络地址 (A/B/C,32bits)
14
2013-3-26
扫描引擎
检测有效的目标: • NMAP; • Xscan; …… Ref: /tools/1.html
2013-3-26
20
案例分析--Nimda
蠕虫病毒
分类
根据蠕虫病毒在计算机及络中传播方式的不同,人们大致将其分为五种。
1、电子邮件E-mail蠕虫病毒
通过电子邮件传播的蠕虫病毒,它以附件的形式或者是在信件中包含有被蠕虫所感染的站链接,当用户点击 阅读附件时蠕虫病毒被激活,或在用户点击那个被蠕虫所感染站链接时被激活感染蠕虫病毒。
2、即时通讯软件蠕虫病毒
第一步:用各种方法收集目标主机的信息,找到可利用的漏洞或弱点。方法包括用扫描器扫描主机,探测主 机的操作系统类型、版本,主机名,用户名,开放的端口,开放的服务,开放的服务器软件版本等。当然是信息 搜集的越全越好。搜集完信息后进入第二步。
第二步:针对目标主机的漏洞或缺陷,采取相应的技术攻击主机,直到获得主机的管理员权限。对搜集来的 信息进行分析,找到可以有效利用的信息。如果有现成的漏洞可以利用,上找到该漏洞的攻击方法,如果有攻击 代码就直接COPY下来,然后用该代码取得权限;如果没有现成的漏洞可以利用,就用根据搜集的信息试探猜测用 户密码,另一方面试探研究分析其使用的系统,争取分析出—个可利用的漏洞。
(三)、传播更快更广
蠕虫病毒比传统病毒具有更大的传染性,它不仅仅感染本地计算机,而且会以本地计算机为基础,感染络中 所有的服务器和客户端。蠕虫病毒可以通过络中的共享文件夹、电子邮件、恶意页以及存在着大量漏洞的服务器 等途径肆意传播,几乎所有的传播手段都被蠕虫病毒运用得淋漓尽致。因此,蠕虫病毒的传播速度可以是传统病 毒的几百倍,甚至可以在几个小时内蔓延全球。
感谢观看
结构原理
结构
原理
蠕虫病毒的程序结构通常包括三个模块:
(1)传播模块:负责蠕虫的传播,它可以分为扫描模块、攻击模块和复制模块三个子模块。其中,扫描模块 负责探测存在漏洞的主机;攻击模块按漏洞攻击步骤自动攻击找到的对象;复制模块通过原主机和新主机交互将 蠕虫程序复制到新主机并启动。
使用路由器防御蠕虫病毒
1998年11月9一个名为Morris的蠕虫爆发9该蠕虫利用UNIX系统的finger和sendmail程序的漏洞9导致当时Internet上10!的邮件服务器受到严重的影响9无法提供正常的服务0Morris可以被认为是第一个具有影响力的蠕虫病毒0从此之后9越来越多的蠕虫病毒相继出现9对整个Internet造成了巨大的冲击0在过去的两年中9对Inter" net造成巨大影响的蠕虫病毒有sadmind/IIS worm\ Codered worm\NIMDA\SOL slammer\MS Blaster0这些蠕虫病毒爆发的时候9严重影响了网络的正常运作9甚至导致部分网络彻底瘫痪0不同的蠕虫实现攻击的方法都不一样9但是防御蠕虫的策略方法却是相同的9所以这些防御策略和方法具有通用性9是具有研究和实用价值的0本文即旨在研究通过Cisco路由器的配置来防御蠕虫攻击的通用策略和方法0本文首先阐述了蠕虫的结构特点9然后针对其特点提出了防御的策略9以及将策略应用到Cisco路由器上的具体配置方法9最后阐述了如何在蠕虫病毒爆发的时候分析攻击数据和追溯感染者01蠕虫的特点蠕虫是完全独立的程序9它自己可以扫描网络上的主机系统漏洞9并可以利用系统漏洞入侵目标系统9如果入侵成功9便将自己复制到新系统中9之后又以新系统为起点9开始新一轮的扫描和入侵9如此循环0通常所说的病毒与蠕虫是不同的9病毒需要携带者9例如邮件\word文档\exe文件等9并且需要人为的干预9例如打开邮件\执行exe文件等0但因为很多蠕虫同时携带病毒9所以本文中有时也将蠕虫称为蠕虫病毒0 2蠕虫的结构通常9蠕虫病毒包括三个部分入侵代码\传播机制和负载0入侵代码用于扫描漏洞9入侵新的系统传播机制用于复制传送自己9例如tftp\ftp等负载可以没有9也可以是一些病毒代码9例如Nimda就携带病毒03蠕虫的危害包括两个方面一是对主机服务器系统造成破坏9导致它们不能够提供正常的服务二是对网络的Dos攻击9造成网络瘫痪0对于蠕虫的防御可以分为两个部分主机上的防御和网络上的防御0主机的防御包括对主机打补丁和病毒清除而网络的防御包括控制蠕虫病毒蔓延以及对攻击数据进行分析和追溯0本文仅研究网络上的防御9关于主机上的防御请参考其它资料0以下内容将以Codered红色代码和MS Blaster 微软冲击波为例9详细分析蠕虫攻击特点9并提出防御策略和Cisco路由器上的配置方法0这些防御的策略和方法同样适用于其它的蠕虫9也可以用于防御将来可能出现的蠕虫病毒04控制蠕虫病毒蔓延4.1"code Red"!红色代码"的防御最初发作时间2001年7月攻击特点及危害利用IIS indexing service的漏洞进行感染9替换被攻击IIS服务器的主页9并对www.进行Dos攻击9在网络上产生大量的非法http请求9导致网络阻塞甚至瘫痪0防御策略针对红色代码9要做的第一件事情就是给IISServer 打补丁0但在打了补丁之后9网络上仍然还有大量的苏丹广东出入境检验检疫局,广东广州510623使用路由器防御蠕虫病毒摘要#过去的几年中!蠕虫病毒曾经给网络造成了很大的危害"本文所讨论的策略和方法不仅可以减轻蠕虫对网络的冲击!也可以用来防御未来出现的蠕虫病毒"关键词#路由器#蠕虫中图分类号#TP309文献标识码#A!"HTTP攻击请求9所以第二步则是阻止这些非法的攻击请求在网络上传播0阻止攻击数据传播的思路是先将非法的请求数据分类出来9再将其删除0要将这些非法的http请求数据分类出来9我们必须了解这些非法数据的特征9再利用这些特征作为分类标准进行数据分类0在红色代码攻击中9http uri中会请求一个defauit. ida文件9我们就可以以此特征为分类标准9让路由器分析http uri请求的内容9查找该特征字符串9然后将包含该特征字符串的数据流分类出来0Cisco的IOS提供了基于类的标记特征(ciass-based marking feature)9我们可以利用它将包含de! fauit.ida请求的数据归为一类9然后建立一个策略图(poiicy map)9将分类出来的数据删除9注意defauit.ida默认安装在IIS服务器上9red code就是利用该文件进行入侵0该文件一般并不使用9这也是该防御方法是基于的前提0如果该文件被使用的话9删除对defauit.ida的请求9可能会阻止正常的访问请求0配置方法注在该范例中9使用了基于类的策略9关于这些配置命令的使用方法9请参考本文最后的参考资料栏目0配置如下步骤一\使用ciass-based marking feature分类进入的"Code Red"攻击数据Router(config)#ciass-map match-any http-hacksRouter(config-cmap)#match protocoi http uri"*de! fauit.ida*"步骤二\建立一个策略图9将分类出来的数据删除.Router(config)#poiicy-map drop-inbound-http-hacks Router(config-pmap)#ciass http-hacksRouter(config-pmap-c)#poiice100000031250 31250conform-action drop exceed-action drop vioiate-action drop步骤三\在入口处加载策略9删除攻击数据.Router(config)#interface seriai0/0Router(config-if)#service-poiicy input drop-in! bound-http-hacks步骤四\验证结果Router#show poiicy-map interface seriai0/0Seriai0/0Service-poiicy input:drop-inbound-http-hacksCiass-map:http-hacks(match-any)5packets,300bytes5minute offered rate0bps,drop rate0bpsMatch:protocoi http uri"*defauit.ida*"5packets,300bytes5minute rate0bpsMatch:protocoi http uri"*cmd.exe*"0packets,0bytes5minute rate0bpsMatch:protocoi http uri"*root.exe*"0packets,0bytes5minute rate0bpspoiice:1000000bps,31250iimit,31250extended iimitconformed5packets,300bytesg action:dropexceeded0packets,0bytesg action:dropvioiated0packets,0bytesg action:dropconformed0bps,exceed0bps,vioiate0bpsCiass-map:ciass-defauit(match-any)5packets,300bytes5minute offered rate0bps,drop rate0bpsMatch:any4.2MS Blaster!微软冲击波"的防御最初发作时间2003年8月9攻击特点及危害利用Windows操作系统的RPC 漏洞9获得在主机运行本地命令的权限9在侵入主机之后9使用tftp传送副本9同时将cmd.exe绑定到TCP端口44449然后通过teinet到该端口9运行本地命令9修改注册表9以使主机重启动之后蠕虫自动运行9蠕虫中包含有Dos攻击代码9在特定的时间对Windowsupdate. com进行攻击9Dos攻击的数据是50个40字节大小的http数据包9目标是的80端口9如果蠕虫无法解析9它将把目标地址设为255.255.255.2559即向本地广播0该蠕虫病毒会导致主机和网络不可用0涉及的端口RPC监听的端口是135\139\445\593 9cmd.exe绑定端口是44449tftp端口号是690防御策略!"防御RPC DCOM攻击的最有效方法就是对主机打补丁O可以采用安全稽核工具来扫描具有RPC DCOM 漏洞的主机之后对其进行修补O而对于网络阻止蠕虫蔓延的最有效方法就是使用ACL阻止对于135139445(TCP和UDP)端口的访问特别是阻止这些端口向Internet开放O配置方法注1在该范例中使用了模块化的Oos命令行接口配置即基于类的策略关于这些配置命令的使用方法请参考本文最后的参考资料栏目O如上图所示配置如下1步骤一生成一个ACL(访问控制列表)!access-iist101deny udp any any eg135access-iist101deny tcp any any eg135access-iist101deny udp any any eg137access-iist101deny tcp any any eg137access-iist101deny udp any any eg139access-iist101deny tcp any any eg139access-iist101deny udp any any eg445access-iist101deny tcp any any eg445access-iist101deny tcp any any eg593access-iist101deny udp any any eg69access-iist101deny tcp any any eg4444access-iist101permit ip any any!步骤二建立ciass-map!ciass-map match-aii rpc_dcommatch access-group101!步骤三在入口使用基于类的策略删除匹配的包!poiicy-map drop-rpc-dcomciass rpc_dcompoiice800010001000conform-action drop ex! ceed-action drop vioiate-action drop!也可以使用NBAR(Network-Based Appiication Recognition)使用基于网络的应用程序识别来进行数据分类再使用Oos命令来对分类后的数据做处理1步骤一使用NBAR生成ciass-map!ciass-map match-aii msbiaster-nbarmatch protocoi netbiosmatch packet iength min404max404!步骤二在入口使用基于类的策略删除匹配的包!poiicy-map drop-msbiaster-wormciass msbiaster_wormpoiice10000003125031250conform-action drop exceed-action drop vioiate-action drop!数据分析和追溯Netfiow简介NetFiow是Cisco路由器上的一个日志工具它提供一些应用程序帮助网络管理员跟踪识别IP数据流包括数据流记帐网路监控Dos(拒绝服务)监控和数据挖掘O所收集的信息可以用于追踪受感染的主机和监控蠕虫在网络中的传播过程O在识别受感染主机之后网络管理员可以实施ACL(访问控制列表)来限制这一部分主机O运行平台1只能在7200和7500系列的路由器上运行O使用Netfiow记录数据Netfiow可以记录多种网络统计数据例如用户协议端口和服务信息3所谓一个流包括这些特性1源和目标IP地址源和目标端口协议类型服务类型输入端口O在启用Netfiow之后统计数据被缓存在Cache中默认可以缓存64k个记录每个记录大约64bytes3也可以配置将缓存的记录发送到管理主机O启用Netfiow1在接口配置模式中使用ip route-cache fiow;将缓存的记录发送到管理主机:ip fiow-export;修改缓存大小1ip fiow-cache entries;使用Netfiow分析数据例如在分析MS Biaster的通信数据的时候我们可以查看端口135,139,445的数据统计命令如下1 Router#show ip cache fiow I inciude0087!"L 网络游戏安全背景近几年来 随着互联网技术的快速发展 网络游戏在国内的游戏市场占据了越来越大的比重:在网络游戏日益盛行的今天 随着网络精品游戏不断推出 更多的玩家进入到网络虚幻世界:但是既然是网络游戏 就一定离不开网络相关的一些问题:一个拥有很高级数和极品装备的帐号不仅仅是玩家时间精力的堆积 同时也是大笔资金的投入:尤其有许多人用现实社会中的货币去购买网络世界中的装备与物品 获得一个高等级的帐号:或者用自己游戏中的物品或者高等级帐号去换现实社会的货币:这更增加了人们对游戏的重视:现在互联网上存在的最普遍的一个问题就是网络信息的安全问题:而现在许多游戏玩家最关心的正是其帐号的安全性的问题:根据一项报告的显示 每年我国有将近60%的玩家经历过装备和虚拟物品被盗 被盗号的占32% 被黑客攻击的占8% 而且90%以上被盗玩家都是受到了木马等相关程序的攻击:帐号密码被盗 根源在哪里?除摘要!本文通过对网络游戏的信息安全问题的分析和目前流行认证技术的介绍!用最新的USB KEY 认证技术设计一个保护网络游戏用户信息的解决方案"关键字!网络游戏!数据加密!USB KEY 中图分类号!TP309文献标识码!AA Solution to the lnformation Security of Online GameAbstract:According to the information security of online game and introduction of the recent certificated technology,the paper puts forward a new USB KEY to design a solution to protect the game user informationKeyword:online game,data encrypt,USB KEY徐永亮同济大学"上海200082网络游戏的信息安全解决方案Router#show ip cache flow I include 0089Router#show ip cache flow I include 0lBD我们也可以将记录的数据倒出到远程主机上再作分析:例如 假设接收主机为l92.l68.l.l 接收端口为0 配置如下:configure terminal interface serial 3/0/0ip route-cache flow exitip flow-export l92.l68.l.l 0version 5peer-as exitclear ip flow stats结束语:在过去的几年中 蠕虫病毒曾经给网络造成了很大的危害:本文所讨论的策略和方法不仅可以减轻蠕虫对网络的冲击 也可以用来防御未来出现的蠕虫病毒:参考文献:[l]<Using Network -Based Application Recognition and ACLs for Blocking the "Code Red"Worm http:// ,Document ID:27842;[2]<Configuring NetFlow ;[3]<Network-Based Application Recognition ;[4]<How to Protect Your Network Against the NimdaVirus Document ID:46l5收稿日期:2004年l2月!"。
老冯头——蠕虫病毒恶意软件分析
蠕虫病毒—恶意软件分析姓名:冯鑫苑班级:计算机应用专业1021 学号:2010284112一、蠕虫病毒1.蠕虫(Worm)病毒定义:蠕虫病毒是一种常见的计算机病毒。
它的传染机理是利用网络进行复制和传播,传染途径是通过网络、电子邮件以及U盘、移动硬盘等移动存储设备。
比如2006年以来危害极大的“熊猫烧香”病毒就是蠕虫病毒的一种。
蠕虫程序主要利用系统漏洞进行传播。
它通过网络、电子邮件和其它的传播方式,象生物蠕虫一样从一台计算机传染到另一台计算机。
因为蠕虫使用多种方式进行传播,所以蠕虫程序的传播速度是非常大的。
蠕虫侵入一台计算机后,首先获取其他计算机的IP地址,然后将自身副本发送给这些计算机.蠕虫病毒也使用存储在染毒计算机上的邮件客户端地址簿里的地址来传播程序。
虽然有的蠕虫程序也在被感染的计算机中生成文件,但一般情况下,蠕虫程序只占用内存资源而不占用其它资源。
蠕虫还会蚕食并破坏系统,最终使整个系统瘫痪。
2.蠕虫病毒入侵模式:蠕虫病毒由两部分组成:一个主程序和一个引导程序。
主程序一旦在机器上建立就会去收集与当前机器联网的其它机器的信息蠕虫病毒的入侵模式。
它能通过读取公共配置文件并运行显示当前网上联机状态信息的系统实用程序而做到这一点。
随后,它尝试利用前面所描述的那些缺陷去在这些远程机器上建立其引导程序。
蠕虫病毒程序常驻于一台或多台机器中,并有自动重新定位。
(autoRelocation)的能力。
如果它检测到网络中的某台机器未被占用,它就把自身的一个拷贝(一个程序段)发送给那台机器。
每个程序段都能把自身的拷贝重新定位于另一台机器中,并且能识别它占用的哪台机器。
二、对蠕虫病毒进行恶意软件分析1.ClamAV对蠕虫病毒进行分析Clam AntiVirus是一个类UNIX系统上使用的反病毒软件包。
主要应用于邮件服务器,采用多线程后台操作,可以自动升级病毒库。
分析过程:clam av 引擎流程图:clam av没有明确的引擎代码部分,这里以scanmanager函数为开始只画出clamav 整个检测流程。
网络蠕虫的检测与抑制办法
网络蠕虫的检测与抑制办法[摘要]:网络病毒的传播方式使得它们的寄生空间不再局限于孤立的计算机,而是漫布于整个的网络,因此病毒的查杀、清除及其防治措施不得不考虑整体网络的层面。
[关键词]:蠕虫检测抑制中图分类号:s941.52 文献标识码:s 文章编号:1009-914x(2012)26-0303-01随着计算机技术的不断发展,计算机病毒己从早期借助软盘、利用人机交互进行传播的文件型病毒、宏病毒发展到了现在借助网络、利用操作系统或软件的漏洞进行自我复制和自动传播的蠕虫、木马阶段。
近年来,网络病毒的泛滥也说明了网络整体防御的必要性。
如蠕虫和木马的防治问题,当某一蠕虫传播时,仅仅查杀网络中一个节点(一台计算机)中的蠕虫是毫无用处的,只要一个被感染节点清除不了,那么其他节点还会被感染。
木马的防治更是如此,仅仅清除被攻击端的木马也没有太大的用处,远程的控制端才是木马的根源。
所以网络病毒的防御有其特殊性,必须考虑网络整体。
各种层出不穷的蠕虫始终威胁着internet的安全,精心编写的蠕虫能够在几分钟内传遍internet,严重影响人们的正常生活。
目前,病毒检测和防御主要针对其内容特征进行匹配,而特征码的获得又主要依靠人工进行代码分析。
这种方法可以有效识别和阻止慢速传播的早期文件型病毒,但无法高效识别和阻止在数小时甚至数分钟内就能在全球范围内传播的蠕虫。
因此,在未知蠕虫传播的早期进行检测预警,快速生成其特征,并支持后续的自动防御,就成为亟待解决的问题。
因为蠕虫不必寄生在某一个程序之上,所以与其说蠕虫感染了一个文件,不如说蠕虫感染了一个系统或一个网络。
所以检测蠕虫,更应该从网络的层面和蠕虫的特有传播特点来进行检测。
很多蠕虫传播是依靠选择性随机扫描方式,如code red蠕虫,大范围的随机扫描往往是蠕虫爆发时的征兆,因此收集这些扫描活动就能在一定程度上发现蠕虫。
外国研究人员通过统计对未用地址进行的扫描来分析是否有蠕虫活动。
计算机蠕虫病毒浅析
1 计算机蠕虫病毒的定义
已感染计算机蠕虫病毒 的主机通过特定 的扫描机 制( 例如 : 选择 性随 机扫描 、 顺序扫描等 ) 去寻找存在漏洞的主机 . 当扫描到有漏洞的计算 机系统后 . 进行攻击 . 击部分主要完成计算 机蠕虫病毒 主体 的迁移 攻 工作以及对计算机系统信息和文件的破坏 : 机蠕虫病毒进入系统 计算 后. 要做现场处理工作 。 例如修改系统 日志、 息收集和 自 隐藏等 ; 信 我 最后一 步是 自 我复制 . 生成多个副本 重复上述流程 。 其次 , 计算机蠕虫 病毒的扩展功能 主要是实现计算机蠕 虫病毒 的攻击破 坏能力 , 不同的 蠕虫病毒其基本功能 都基本上一致 ,但是他们 的扩展功能却不 尽相 同。 要 认识 、探测和 防御蠕虫病毒就要充分 了解蠕虫病毒 的行 为特 征. 这里我门把蠕虫病毒 的行为特征归纳为四个 方面 : 主动攻击、 利用 漏洞 、 行踪隐藏和反 复感染 。 计算机蠕虫病毒被释放 以后 , 从搜索漏洞 到利用漏洞进 行系统攻击及复制副本 . 整个流程都是 由蠕虫病毒 自身 主动完成 计算机蠕虫病毒在搜索漏洞时将发起 大量 的连接 以判断计 算机是否存在 、 的应用服务是否存在 、 特定 漏洞是否存在等等 。 进入系
响应小组协调中心1 成立 以来 . 统计 到的 [t t ne 安全威胁事件每年 以 me 指数增长 . 近年来增 长态势变得 的尤为迅猛。 日 益频繁 的网络安全 问 题给 国家 、 企业和个人造成 了重大 的经济损失。 据统计 , 世界各 国每年 由于网络安全问题而遭受的经济损失达数百亿美元 。 在各种安全事件 中. 恶意代码( l i s o e造成的经济损失 占 Mai o d) cu C
有最大 的比例 。恶意软件主要包括计算机病毒(i s, Vr ) u 蠕虫( r) Wom、 木 马程序 (  ̄ os 、 门程序 (akor 逻辑 炸弹( g o b 等。 T nH r ) d e后 B c do 、 ) L i Bm ) oc 等 其中 It t n me 蠕虫和木马程序 的比例最高 。本文仅就蠕虫病毒 相关 问 e
网络蠕虫病毒检测技术研究与应用
网络蠕虫病毒检测技术研究与应用随着互联网的普及和发展,各种网络蠕虫病毒也在不断涌现。
这些病毒可以在网络中迅速传播并感染大量计算机,给个人信息和数据的安全带来极大的威胁。
因此,开发和应用网络蠕虫病毒检测技术已成为计算机安全领域中的重要研究方向之一。
一、病毒检测技术的发展目前,根据对病毒检测技术的研究和应用,病毒检测技术可以分为传统的基于特征的病毒检测技术和基于机器学习的病毒检测技术两大类。
传统的基于特征的病毒检测技术主要是通过对病毒的特征进行分析和提取,然后与已知的病毒进行匹配,识别和检测病毒。
这种技术可以简单快捷地找到已知病毒,但对于未知病毒的识别能力较弱,无法有效应对未知的病毒攻击。
基于机器学习的病毒检测技术则是通过对已知的病毒样本进行学习,建立病毒检测模型,将模型应用到未知样本的分类和识别中。
相比传统的病毒检测技术,基于机器学习的病毒检测技术可以更快速准确地识别未知的病毒,且可持续性更强。
二、病毒检测技术的应用随着互联网的高速发展,各种在线服务的使用也成为了现代社会的主流。
尤其是在金融、电子商务、医疗等行业,不少信息处理都是通过互联网实现。
这些行业的信息数据一旦泄露或遭受病毒攻击,就可能造成极大的损失。
因此,网络蠕虫病毒的检测技术可以应用到各行各业的信息安全保护中。
例如,在金融领域,病毒攻击可能导致用户的账户信息被盗取或其金融交易遭到干扰。
因此,金融机构可以使用病毒检测技术来保障客户信息的安全,防范金融欺诈等不法行为。
在企业信息安全领域,病毒检测技术可以帮助企业及时发现病毒攻击,并及时做出应对措施。
通过定期巡检,及时检测病毒,企业可以降低病毒攻击对其业务造成的损失。
三、病毒检测技术面临的挑战网络蠕虫病毒检测技术的研究与应用,不仅可以协助用户有效地检测和清除病毒威胁,也有助于提高计算机网络的安全性。
但随着网络蠕虫病毒技术的不断变化和升级,检测技术面临着不小的挑战。
首先,病毒检测技术需要不断更新。
网络安全中蠕虫病毒技术与防范措施研究
4 4 和u DP 69端口 载并运行它的代码程 下 序Msblast ‘ exe。这个蠕虫还将对w indo一 ws pdate。 u com进行拒 绝服务攻击。
病毒行为和传播方式:(1)病毒运行时会建 立一个名为 “L LY”的互斥线程, BI 当病毒检 测到系统有该线程的话则不会重复驻入内存。
(1)利用防火墙防范:通过控制防火墙的 策略, 对感染主机的对外访问数据进行控制, 防止蠕虫对外网的主机进行感染。同时如果 发现外网的蠕虫对内网进行扫描和攻击, 也可 以和防火墙进行互动, 防止外网 的蠕虫传染内
网 的 主机 。
2网 络蠕虫的特性
作系 统安装目 的系 录中 统目 Wi d ow s 录, n
I二& TEO 俐 s ( 幻丫 IN卜 屯 旧Ie Q MATION
网络安全 中蠕 虫病毒技术与防范措施研 究
符浅浅
(海南大学倍息学院 海南 570228)
近年来的增长态势变得的尤为迅猛。所以对蠕虫病毒的检 摘 要:蟠 的 规 爆 引 的In e ne 安全威胁事件每年以指数增长 , 虫 大 模 发, 起 t r t 测防范有着重要的意义。 关键词:蠕虫 网络安全 病毒 异常检测 中图分类号: TPO3 文献标识码: A 文章编号: 1672一 3791(2007)07(a卜0099一 01
2000/ XP/ 2003 默认为C :\ Winnt \ S s e一 y t m 32。 (3)在注册表 HKEY_LOCAL_MA一
CHINE\ 50 1尹 FWARE\ Mi r以 ft\ Window s\ c 刃
网络蠕虫的传播与牛物中蠕虫病毒的传 播存在相似性, 此对千网 因 络蠕虫的传播同样 可以套用 生物病毒传播的模型来 表示: 其中1 t ( )表示中已经被感染的计算机的数量, t 表 ( S) 示网络中存在漏洞、可以被蠕虫感染计算机 的数量, 表示影响蠕虫传播的因素。公式左 边是被感染的计算机数量的增量与单位时间 的比值, 也就蠕虫传播的速度。从公式中很 直观的看出, 公式右边三个因 子中 任何一个因 子的减小都会降蠕虫的传播速度. 所以从蠕虫的传播模式和特征行为, 我们 可以得出蠕虫在传播过程中所共有的一些特
网络蠕虫防御和清除方法
测 到的漏洞建立传播 路径 , 最后实施攻击 。著名的振荡波蠕
虫病毒 利用的是计算机 的 L AS S S漏 洞 ,高波和 冲击波蠕 虫
病毒都 是利用 的 R CD o 缓冲溢 出漏洞 。 P om () 赖 E i传 播 2依 mal
算机系统存 在漏洞是 网络蠕 虫实现攻击 目标 的前提 。
3 网 络 蠕 虫 传 播 特 点 .
特点 1 蠕虫在传播过程 中, ; 其连接模 式是相似 的。 这种相似性 体现 在两个方面 : ①传播过程 是相似 的。同
一
个 蠕 虫一般 都采用 相 同步 骤去感 染 目标主 机 。②epot x li
虫企 图攻击 计算机 网络 时,防火 墙若 发现可 疑程序 访 问 内 网, 会 向用户报 警 ; 用 户认 为是 网络 蠕 虫程 序 , 禁 止 就 若 就 其访 问计 算机, 达到防御 网络 蠕虫的 目的。但 是防火墙 也存 在着 不足 之处 , 它是一种 静态 的被动 的 网络 防御 技术 , 能 不 实时地主 动地监测计算机 网络 。 ()采用 入侵 检测技术 2 入侵检测 是一种 主动 防御 网络攻 击的技 术 ,不 仅能 主 动监控 外 网的攻击还 能监控 来 自内部 的攻击 ,弥补 了防火 墙 的不足 , 防火墙 的有益补 充。入侵检测系 统 目前还不 成 是 熟, 更没有专 门的监 测和 防御 网络 蠕虫 的系统 。 目前防御 网 络蠕 虫的 比较好 的策 略就是 将多 种防御 工具 如防火 墙和入 侵检测系 统结合在一起使 用。 ()接种疫苗技 术 3 接种 疫苗技 术是 当 网络 蠕虫爆 发时 网管人 员采取 的一 种主动 防御技术 。根据 网络蠕 虫不 同 的攻 击特 性设计 出相 应的疫苗 , 然后 对 易感主机 进行 疫苗接 种 , 使接 种后 的计算 机对相应 的 网络 蠕虫 有免疫 功能 ,从而避 免 了网络蠕 虫 的
蠕虫病毒的分析与防范
中国地质大学长城学院结课论文题目蠕虫病毒的分析与防范系别信息工程学院学生姓名段嘉豪专业计算机科学与技术学号041130108指导教师赵培昆2016 年 5 月9 日蠕虫病毒的分析与防范摘要随着网络技术的发展,蠕虫病毒不断扩大对网络安全构成了严重的威胁,本文基于当前蠕虫攻击破坏的严峻形势,对蠕虫病毒的检测和防御技术进行了研究。
首先对蠕虫病毒相关知识作了介绍,包括蠕虫病毒的定义、工作流程以及行为特征,并简要分析了蠕虫病毒国内外研究现状;在此基础上接着研究了蠕虫病毒检测技术,提出了基于蠕虫特征码、蠕虫行为特征、蜜罐和蜜网技术以及贝叶斯蠕虫检测技术;最后对蠕虫病毒的防御技术进行了研究,从企业网络用户和个人用户的角度分析了面对当前蠕虫攻击所需要注意和采取的措施,以尽最大可能减少蠕虫的侵害,营造一个良好的网络环境。
关键词:蠕虫病毒;检测;防御;网络安全ABSTRACTWith the development of network technology, the worm expanding constitutes a serious threat to the network security, this paper based on the grim situation the worm attack damage, the worm detection and defense technology were studied. F irst, an introduction of worm related knowledge, including the worm virus definiti on, working process and behavior characteristics, and a brief analysis of the worm virus research status at home and abroad; on the basis of this, then the worm vi rus detection technology, and puts forward the worm character codes, worm behav ior characteristics, honey and honey net technology and Bayesian worm detection t echnology based on. Finally the worm defense technology were studied from the enterprise network users and individual users of the angle analysis in the face of the worm attack needed to pay attention and take measures, so as to the possible reduction in worm damage, to create a good network environment.Key words: worm; detection; defense; network security目录前言 (1)1、蠕虫病毒相关知识介绍 (2)1.1蠕虫病毒定义 (2)1.2蠕虫病毒工作流程和行为特征 (3)1.3蠕虫病毒国内外研究现状 (4)2、蠕虫病毒检测技术研究 (5)2.1基于蠕虫特征码的检测技术 (5)2.2基于蠕虫行为特征的检测技术 (6)2.3基于蜜罐和蜜网的检测技术 (7)2.4基于贝叶斯的网络蠕虫检测技术 (8)3、蠕虫病毒防御技术研究 (9)3.1企业防范蠕虫病毒措施 (9)3.2个人用户防范蠕虫病毒措施 (10)4、总结 (12)致谢 (13)参考文献 (14)前言随着网络技术的发展,人类社会正逐步进入到数字化时代,计算机已经应用到日常生活各个领域,人们在享受到网络便捷服务的同时,各种安全问题也随之出现。
浅析网络蠕虫及防范措施
浅析网络蠕虫及防范措施一、网络蠕虫定义及特征(一)网络蠕虫的定义网络蠕虫通过网络传播,是一种无须计算机使用者干预即可运行的独立程序。
它通过不停地获得网络中存在漏洞的计算机上的部分或者全部控制权进行传播。
网络蠕虫与普通计算机病毒不同,它不需要人为干预,不利用文件寄生,而且能够自主不断地复制和传播,对网络造成拒绝服务。
蠕虫普通病毒传播形式主动自己传播通过U盘或者受感染的文件存在形式独立存在寄生于某个宿主文件中复制机制自身拷贝插入到宿主程序中传染机制系统或者软件漏洞宿主程序的运行触发传染程序自身计算机使用者攻击目标网络上其他计算机本地文件破坏重点主机自身性能和网络性能本地文件系统搜索机制网络IP扫描本地文件系统扫描防御措施为系统或者软件打补丁从受感染的文件中清除计算机使用者的角色无关病毒传播的关键环节对抗主体计算机使用者,反病毒厂商系统软件,服务软件提供商,网络管理员表格:蠕虫和普通病毒的区别(二)网络蠕虫的特征1、主动传播蠕虫在整一个传播过程中,从搜索漏洞,到利用搜索结果攻击系统,再到复制副本到目标主机,整个过程由蠕虫程序自身主动完成。
2、传播迅速蠕虫的扫描机制决定了蠕虫传播的迅速,一般情况下,蠕虫会打开几十个甚至上百个线程用来同时对外扫描,而且扫描的间隔时间非常短。
再加上蠕虫爆发时用户尚还未对漏洞打补丁,使蠕虫可以在很短的时间内占领整个互联网。
3、利用漏洞计算机系统存在漏洞是蠕虫传播一个必不可少的条件。
早期的蠕虫是科学家用来进行分布式计算的,他们的传播对象是经过许可的计算机。
蠕虫要想不经过允许而进行传播,只有利用搜索到的漏洞进行攻击,提升权限。
4、网络拥塞从蠕虫的传播过程可以看出,在蠕虫的传播过程中,首先要进行扫描,找到存在漏洞的计算机,这是一个大面积的搜索过程,这些都无疑会带来大量的数据流。
特别是蠕虫传播开以后,成千上万台机器在不断地扫描,这是很大的网络开销。
5、反复感染蠕虫是利用计算机系统的漏洞进行传播,如果只是清除了蠕虫在文件系统中留下的痕迹,像清除病毒一样单单地清除蠕虫本身,而没有及时修补系统的漏洞,计算机在重新联网后还有可能会感染这种蠕虫。
网络蠕虫病毒防御方法研究
网络蠕虫病毒防御方法研究作者:王晓磊汪强来源:《数字技术与应用》2010年第10期摘要:网络蠕虫通过自我复制,破坏目标系统,拥塞网络,对互联网络安全构成巨大威胁。
本文通过对蠕虫病毒程序的传播流程及行为特征的分析,提出一种基于实时监测检测机制的防御网络蠕虫攻击的新方法。
这种方法在操作系统底层函数被调用的时候就能及时地发现网络蠕虫攻击并阻止网络蠕虫的进一步扩散。
关键词:蠕虫攻击行为特征实时监控中图分类号:TP29 文献标识码:A 文章编号:1007-9416(2010)10-0093-02引言随着1988年11月2号由Robert Morris Jr编写的一只基于BSD Unix的“Internet Worm”蠕虫出现,到2001年8月5号的红色代码“Code Red”蠕虫发作,直至2003年8月12号的冲击波“Blaster”蠕虫的大规模爆发。
互联网的安全威胁正逐渐逼近每一个普通用户。
从1988年CERT (计算机紧急响应小组)由于Morris蠕虫事件成立以来,统计到的Internet安全威胁事件每年以指数增长,近年来的增长态势变得的尤为迅猛。
每一次蠕虫的爆发都会给社会带来巨大的损失1988年11月2日,Morris蠕虫发作,几天之内6000台以上的Internet服务器被感染而瘫痪,损失超过一千万美元。
2001年7 月19日,CodeRed蠕虫爆发,在爆发后的9 小时内就攻击了25万台计算机,造成的损失估计超过20亿美元,随后几个月内产生了威力更强的几个变种,其中CodeRed II造成的损失估计超过12亿美元。
2001年9月18 日,Nimda蠕虫被发现,对Nimda造成的损失评估数据从5亿美元攀升到26亿美元后,继续攀升,到现在已无法估计。
目前蠕虫爆发的频率越来越快,尤其是近两年来,越来越多的蠕虫(如冲击波、振荡波等)出现。
对蠕虫进行深入研究,并提出一种行之有效的解决方案,为企业和政府提供一个安全的网络环境成为我们急待解决的问题。
浅谈计算机蠕虫病毒的硬件防范技术
—
行的方法也相 当简单, 只输入命令本身即可。 它与 Qut i命令一样。 []张仁斌 ,李 铜 ,侯 整风.计算机病毒 与反病毒技 术 1 下面三条语句表示 了用户从配置模式退到特权模式 ,再退 到普通 []北京 :清华大学出版社.2 0 .1 s 0 60 模 式下 的操作步骤。 【]( 2 美)斯泽著 ,段 新海译.计算机病 毒防范艺术 []北 P
ie l # 绍一些防火墙 的主流产品。包过滤技术是一种 简单 、有效的安全 xfr wal o 输入命令 : o f ueemia, c n g rtr n l 进入全局配置模式,对系统进 i 控制技术 ,它通过在 网络问相互连接的设备上加载 允许、禁止来 自某些特定 的源地址 、目的地址 、T P端口号等规则 ,对通过设 行初始化设置。 C 首先配置防火墙 的网卡参数 ( 以只有 1 L N和 1个 WA 个 A N 备 的数据包进行检查 ,限制数据包进 出内部网络。包过滤的最大
统在网络层检查数据 包,与应用层 无关。这样系统就具有很好的
寄生性 :计算机病毒寄 生在其他程序之中,当执行这个程序 传输性能 ,可扩展能力强。但是 ,包过滤防火墙 的安全性有一定 时 ,病毒就起破坏作 用,而在未启动这个程序之前 ,它是不 易被 的缺 陷,因为系统对应用层信息无感知 ,也就是说 ,防火墙不理 解通信 的内容 ,所 以可能被黑客所攻破。 人发觉 的。 应用网关防火墙 : 应用网关防火墙检查所有应用层的信息包 , 传 染性 :计算机病 毒不但 本身具有破坏 性 ,更有害 的是具 有传 染性 ,一旦病 毒被复制 或产 生变种 ,其 速度 之快令 人难 以 并将检查 的内容信息放入决策过程 ,从 而提高网络的安全性。然 而 ,应用 网关防火墙是通过打破客户机/ 服务器模式实现的。每个 预防 。 艮 潜伏 性 :有些病毒 像定 时炸弹一样 ,让 它什 么时间发作是 客户机 务器通信 需要两个连接 :一个是从客户端到防火墙 ,另 个是从防火墙 到服务器。 预先设计 好 的。比如黑色星 期五病毒 ,不到预定 时间一点都觉
蠕虫病毒检测与防范
目录摘要 (2)Abstract (3)第一章蠕虫病毒概述及发展历史 (4)1.1蠕虫病毒概述及发展历史 (4)1.2网络蠕虫研究分析 (5)第二章蠕虫病毒原理 (7)2.1蠕虫病毒攻击原理 (7)2.2蠕虫病毒与一般病毒的异同 (8)第三章蠕虫病毒实例 (10)3.1蠕虫病毒造成的破坏 (10)3.2蠕虫病毒实例 (10)第四章蠕虫病毒的防范 (14)4.1蠕虫的特点及发展趋势 (14)4.2如何对蠕虫病毒攻击进行防范 (14)结束语 (16)致谢 (17)参考文献 (17)摘要随着互联网应用的深入,网络蠕虫对计算机系统安全和网络安全的威胁日益加剧。
特别是在网络环境下,多样化的传播途径和复杂的应用环境使蠕虫的发生频率增加,传播速度更快,覆盖面也更广。
蠕虫病毒侵入计算机网络,可以导致计算机网络的效率急剧下降,系统资源遭到严重破坏,短时间内造成网络系统的瘫痪。
为了将蠕虫病毒对计算机及网络设备、社会经济造成的损失降低到最低限度,提高网络的安全性能,减少不必要的经济损失,保障用户的个人资料及隐私安全,我们将对蠕虫病毒进行检测与防范。
本文主要针对蠕虫病毒的原理与传播、检测与防范等进行研究。
阐述网络安全现状、蠕虫病毒背景及发展历史等,通过蠕虫病毒的原理与传统病毒的区别,功能、工作机制等,对蠕虫病毒对网络安全的威胁,检测与防范做出了相对的研究。
关键词:网络安全;病毒原理;检测;防范AbstractAs the Internet application deeply, network worms to computer system security and network security threats aggravating. Especially in the network environment, diversified transmission way and complicated application environment makes worms the frequency increases, spread faster, coverage is more widely. Worm virus invades computer network, can cause the efficiency of computer network has dropped sharply system resources damaged caused inside short time network system of paralysis. In order to worm virus of computer and network equipment, social economic damage reduced to the minimum, improve the network safety performance and reduce unnecessary economic losses, protect a user's personal data and privacy and security, we will detect worm virus prevention.This article mainly aims at of worm virus principle and propagation, detection and prevention must be studied. Expounds the network security situation, worms background and development history, etc., through the principle of worm virus with traditional viruses distinction, function, working mechanism of worm virus of network security threats, detection and prevention made relative research.Keywords: network security; virus principle; detection; prevent第一章蠕虫病毒概述及发展历史1.1蠕虫病毒概述及发展历史凡能够引起计算机故障,破坏计算机数据的程序统称为计算机病毒。
蠕虫病毒分析及其防范措施浅析
些 特点 和发 展 趋势 。 1 利 用操作 系统 和应 用程 序 的 漏 洞主 动进 行 攻 击 . 1
此 类 病 毒 主要 是 “ 色 代码 ”和 “ 姆 达 ” , 红 尼 以及 至今 依 然肆 虐 的 “ 职信 ”等 。 由于 I 浏 览器 求 E 的漏 洞 ,使 得感 染 了 “ 姆达 ”病 毒 的邮件 在 不去 尼 手工 打开 附 件 的情况 下 病 毒就 能激 活 ,而 此 前 即便
( 1)购合适的杀毒软件
网络蠕虫病毒的发展 已经使传统的杀毒软件的 “ 文
件级实时监控系统”落伍 ,杀毒软件必须 向内存实时监 控和邮件实 时监 控发展 。另外 面对 防不胜 防的 网页病
由于有的病毒邮件能够利用i ul k e 和o t o 的漏洞 自动 o
毒,也使得用户对杀毒软件 的要求越来越高,在杀毒软 件市场上 ,赛门铁克公司的N r n ot 系列杀毒软件在全球具 o 有很大的比例 , 经过多项测试 , r n Not  ̄毒系列软件脚本 o 和蠕虫阻拦技术能够阻挡大部分电子邮件病毒 ,而且对
Sl q 蠕虫王 病毒 则是 利用 了微软 的数 据库 系统 的一个
漏洞进 行大肆攻 击 。
12 .传播 方式 多样
21 用 系统 漏 洞 的 恶性蠕 虫病毒 分 析 .利
在这种病毒 中 ,以红色代码 ,尼姆达和sl q蠕虫为 代表 ,他们共同的特征是利用微软服务器和应用程序组
件的某个漏洞进行攻击 ,由于网上存在这样的漏洞比较
1 病 毒 制作 技 术 . 3
网普及率达七成的韩国所受影响较为严重。韩国两大网络
业l盯及南韩 电讯公司 ,系统都陷入了瘫痪 ,其它的网络 用户也被迫断线,更为严重的是许多银行的自动取款机都 无法正常工作 , 美国许美 国银行统计,该行的100 30 台自 动柜员机 已经无法提供正常提款。网络蠕虫病毒开始对人 们的生活产生了巨大的影响。 ( 下转1 0 ) 页 3
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
1.1
关于蠕虫病毒的定义很多,最早的定义是Eugene H.Spafford给出的:“蠕虫是可以独立运行的,并且能够自我复制且传播到其他计算机上的一段程序代码”。但是随着网络的发展和科技的进步,蠕虫病毒出现了各种不同的变种,且产生了难以抑制的效果,因此学者们给予了多种多样的定义。Elder和Kienzle认为:“网络蠕虫是通过计算机网络来进行传播,无须用户干预就能够独立运行或者依赖文件共享而去主动攻击其他计算机的一种恶意代码的形式”。
尽管蠕虫病毒的形式多种多样,不同学者给出了不同的定义,但是从以上给出的几种定义中可以看出,蠕虫病毒的定义都具有共同的特性,主要体现在以下几个方面:
(1)蠕虫病毒独立运行,不需要用户进行干预;
(2)蠕虫病毒具有自我传播和自我复制的特性,并且传染的方式途径很多,传播的速度较快,对网络和计算机安全破坏性强。
目前比较熟知的基于蠕虫特征码的检测算法包括Earlybird和Autograh,这两种方法提供实时提取特征码功能,基于Rabin fingerprint算法。当蠕虫病毒变形扩散后,单一连续的字符串不能够作为特征码使用,为此James Newsome提出了著名的Ploygraph检测系统,可以提取出具有蠕虫变形规律的特征码。
2
蠕虫技术的不断扩大对网络的安全构成了极大的威胁,甚至有可能带来网络瘫痪,造成巨大的经济损失,因此必须采取有效措施和途径,对网络蠕虫进行检测和控制,下面将对蠕虫病毒的检测技术进行研究。
2.1
基于蠕虫特征码的检测技术是目前使用最多的一种检测技术,其主要手段是通过特征进行匹配。具体的检测原理是:首先收集一些蠕虫恶意代码的特征值,然后在这些特征值的基础上创建相应的特征码规则库,当检测计算机是否受到蠕虫病毒感染或者攻击时,将检测到的网络行为的特征码和特征码规则库中具体规则进行匹配,若是匹配成功则说明该网络存在异常,可能含有蠕虫病毒等危害,应当给出警告提示或者拒绝访问。
青 岛 科 技 大 学
专 科 毕 业 设 计 (论 文)
正统文化网络执笔
题 目__________________________________
__________________________________
指导教师__________________________
学生姓名__________________________
由以上检测原理可见,这种检测技术存在一定的限制,只有当特征码规则库中存在恶意行为的特征码规则时,才能够匹配成功,判定该网站存在恶意行为,进行抑制或者反击。在这种情况下,若是有些蠕虫病毒并没有在规则库中匹配成功,不能被检测出来,那么该网络就可以通过检测,对计算机系统造成危害,带来不可预测的经济损失,因此需要对规则库实时进行维护和更新,确保最新的蠕虫病毒特征码存储在特征库中,能够被识别出来。
趋势科技公司推出了企业安全防护战略-EPS(Enterprise Protection Strategy),主要是采用蠕虫病毒入侵检测技术,不断地侦听网络内部是否接入有蠕虫病毒数据包,一旦检测到蠕虫侵入,随即隔离所有的危险设备。
以上对蠕虫病毒的防护技术主要是针对于操作系统的漏洞而检测的,目前,随着科学技术的进步和网络的发展,蠕虫病毒不断扩大的同时检测和防御技术也在不断更新中,蠕虫病毒的研究始终是一项重要的研究内容。
⑤使得计算机系统性能下降,整个网络塞堵甚至瘫痪。蠕虫病毒进行攻击之前会进行网络大面积的扫描,对同一个端口不断的发送数据包,造成计算机系统性能下降;当扫描到存在系统漏洞的计算机时会产生额外的网络流量,引起网络拥塞,甚至可能造成瘫痪,带来巨大的经济损失。
⑥很好的伪装以及隐藏方式。蠕虫病毒一般都具有较高隐藏功能,用户不容易发现,不能及时清理,同时它们会在感染计算机系统后留下逃脱后门。
关键词:蠕虫病毒;检测;防御;网络安全
前言
随着网络技术的发展,人类社会正逐步进入到数字化时代,计算机已经应用到日常生活各个领域,人们在享受到网络便捷服务的同时,各种安全问题也随之出现。从基于DOS界面的病毒发展到今天基于Windows、Unix等操作系统的各种蠕虫、病毒等,在网络的快速发展带动下,使得计算机不断遭受到了非法入侵,不法黑客人员盗取了一些重要信息,甚至造成了操作系统的瘫痪,对个人和企业都带来了相当巨大的经济损失,同时对国家网络安全也构成威胁,带来了无法估计的损失。最早开始的网络蠕虫攻击是发生在1998年的Morris蠕虫病毒事件,从此后蠕虫病毒的研究成为了一项重要的课题。
其他的行为特征检测方法是通过识别网络中不断重复出现的数据包内容进行识别蠕虫病毒,但是由于这些方法在检测时必须要有大量的统计信息,因此在时间上会有一个滞后的过程,造成不能够及时地检测到蠕虫病毒。
2.3
1988年5月,Clifford Stoll提出了蜜罐的概念,并明确指出“蜜罐是一个了解黑客的手段”的一种方法。蜜罐是通过故意设计为一个有缺陷的系统,并且专门用来引诱那些蠕虫攻击者进入到受控环境中,接着充分利用各种监控技术来捕获蠕虫攻击者的行为,获取蠕虫行为特征。其中蜜罐技术是一种虚拟环境,因此不会对真实网络造成瘫痪的影响。目前,蜜罐技术得到了大量应用,在网络安全领域具有十分重要的意义,具体体现为:(1)蜜罐技术不提供真实的检测服务,而是在一个虚拟环境中进行,但是收集信息是真实有效的,并且可以从中捕获蠕虫病毒的行为特性;(2)变被动防御为主动控制;(3)网络蠕虫不能够判断目标系统的具体用途,因此蜜罐技术虚拟环境具有良好的隐蔽性。
随着蜜罐引诱技术的出现,蜜网检测相应产生,其实质仍然是一种蜜罐技术。与传统意义上的蜜罐技术不同的是蜜网检测是一个网络系统,并不仅仅是一台具有系统漏洞的主机,存在一种简单的虚拟环境,此网络系统隐藏在防火墙内,可以监控、捕获以及控制所有进出信息,实现更加强大的蠕虫检测功能。
2Hale Waihona Puke 4贝叶斯定理是由英国学者贝叶斯18世纪提出来的,其最初主要是用于概率论和数理统计方面的应用。蠕虫在进行网络传播时,首先会对网络中那些存在漏洞的目标主机发送大量的连接请求数据包,从而判断这些目标主机是否开机、目标主机系统或者应用软件是否存在漏洞,以及是否可以被感染。但是,在实际的网络应用中,网络蠕虫指向的大多数IP地址中的主机根本就不存在,有些要么就没有开机,要么被其它的网络设施所隐藏,比如采用了防火墙或者NAT设备对其进行了保护,所以网络蠕虫在进行传播的时候,所发送的链接失败的概率也比较大。
学生学号__________________________
___________________________院(部)____________________________专业________________班
______年 ___月 ___日
蠕虫病毒的检测和防御研究
摘 要
随着网络技术的发展,蠕虫病毒不断扩大对网络安全构成了严重的威胁,本文基于当前蠕虫攻击破坏的严峻形势,对蠕虫病毒的检测和防御技术进行了研究。首先对蠕虫病毒相关知识作了介绍,包括蠕虫病毒的定义、工作流程以及行为特征,并简要分析了蠕虫病毒国内外研究现状;在此基础上接着研究了蠕虫病毒检测技术,提出了基于蠕虫特征码、蠕虫行为特征、蜜罐和蜜网技术以及贝叶斯蠕虫检测技术;最后对蠕虫病毒的防御技术进行了研究,从企业网络用户和个人用户的角度分析了面对当前蠕虫攻击所需要注意和采取的措施,以尽最大可能减少蠕虫的侵害,营造一个良好的网络环境。
2009年中国计算机病毒疫情调查技术的分析报告指出,中国网络安全态势发展进一步加大,网上制作和贩卖蠕虫、病毒以及木马等活动日益严重,并通过这些蠕虫病毒侵害网络的现象日趋上升。2010年上半年期间,CNCERT/CC一共接收了4780次网络安全的事件报告,相比上一年增长了105%,其中恶意代码占到了57.57%的比例,中国大陆地区有将近124万个IP地址对应的计算机受到了蠕虫木马程序的侵害和控制。近几年,出现了很多病毒和蠕虫危害,比如说尼姆达、熊猫烧香、QQ尾巴、飞客等等,严重影响和干扰了计算机网络安全,侵害了个人和企业以及国家的财产安全,而且蠕虫病毒的网上传播仍然十分猖獗,对网络安全的威胁依然存在。因此,网络蠕虫的研究是我们必须要关心的问题,对蠕虫病毒进行检测和防御技术研究具有重要意义。
②利用系统漏洞进行攻击。蠕虫通过计算机系统漏洞进行攻击,没有漏洞则不能攻击系统,因此蠕虫最基本的行为特征是利用系统漏洞进行攻击。
③极具破坏性。随着网络的发展,蠕虫病毒也越来越具有破坏性,造成了巨大的经济损失,使得计算机系统崩溃,深圳网络瘫痪等情况。
④反复攻击性。即使清理掉了蠕虫病毒被,在计算机重新连接到网络之前没有为之漏洞打补丁,那么这台计算机依然可能会被感染,蠕虫病毒会反复攻击。
2.2
基于蠕虫行为特征的检测技术主要包括四种方法:统计分类法、简单阈值法、信号处理法以及智能计算法。其中简单阈值法的检测指标是与连接相关的指标,包括连接失败数、连接请求数、ICMP消息数以及连接端口的流量等等。Bakos提出了一种蠕虫行为特征检测技术,利用了ICMP目标主机不可达报文来判断识辨蠕虫的随机扫描行为,并通过信息收集点来收集网络中由路由器产生的这种不可达报文信息,然后统计消息的个数,并和给定的阈值进行比较,以此判断蠕虫是否有传播行为。但是这种方法中如果路由器个数较少,那么收集到的报文信息数就会较少,会影响到判断的准确性。
因为网络蠕虫感染的目的是在最短的时间内让尽可能多的目标主机受到感染,因此在进行传播时,它发送连接请求的时间间隔会非常的短,而正常的主机在进行网络通信的时候,其数据的发送相对比较规律,时间的间隔也比较固定,不会出现大幅度的波动。据此,在进行蠕虫检测时我们把主机发起连接请求的时间间隔作为一个参数。另一方面,在传播蠕虫的过程中,有些蠕虫在扫描阶段会加入一些正常的数据包去避免被检测到,从而引起网络的漏报。之所以会产生这种情况,一个原因就是对当前失败次数的连接没有考虑到历史状态的影响,从而导致检测结果出现问题。而采用贝叶斯的方法来计算数据的概率后可以通过后验的概率去更新先验的概率,从而获得比较高的检测精度。因此我们在进行蠕虫的检测时,通过统计单位时间内针对目标机器的数据连接成功与否,即可对网络蠕虫进行检测。