网络蠕虫的检测与抑制办法

网络蠕虫的检测与抑制办法
[摘要]：网络病毒的传播方式使得它们的寄生空间不再局限于孤立的计算机，而是漫布于整个的网络，因此病毒的查杀、清除及其防治措施不得不考虑整体网络的层面。

[关键词]：蠕虫检测抑制
中图分类号：s941.52 文献标识码：s 文章编号：
1009-914x（2012）26-0303-01
随着计算机技术的不断发展，计算机病毒己从早期借助软盘、利用人机交互进行传播的文件型病毒、宏病毒发展到了现在借助网络、利用操作系统或软件的漏洞进行自我复制和自动传播的蠕虫、木马阶段。

近年来，网络病毒的泛滥也说明了网络整体防御的必要性。

如蠕虫和木马的防治问题，当某一蠕虫传播时，仅仅查杀网络中一个节点（一台计算机）中的蠕虫是毫无用处的，只要一个被感染节点清除不了，那么其他节点还会被感染。

木马的防治更是如此，仅仅清除被攻击端的木马也没有太大的用处，远程的控制端才是木马的根源。

所以网络病毒的防御有其特殊性，必须考虑网络整体。

各种层出不穷的蠕虫始终威胁着internet的安全，精心编写的蠕虫能够在几分钟内传遍internet，严重影响人们的正常生活。

目前，病毒检测和防御主要针对其内容特征进行匹配，而特征码的获得又主要依靠人工进行代码分析。

这种方法可以有效识别和阻止慢速传播的早期文件型病毒，但无法高效识别和阻止在数小时甚至数
分钟内就能在全球范围内传播的蠕虫。

因此，在未知蠕虫传播的早期进行检测预警，快速生成其特征，并支持后续的自动防御，就成为亟待解决的问题。

因为蠕虫不必寄生在某一个程序之上，所以与其说蠕虫感染了一个文件，不如说蠕虫感染了一个系统或一个网络。

所以检测蠕虫，更应该从网络的层面和蠕虫的特有传播特点来进行检测。

很多蠕虫传播是依靠选择性随机扫描方式，如code red蠕虫，大范围的随机扫描往往是蠕虫爆发时的征兆，因此收集这些扫描活动就能在一定程度上发现蠕虫。

外国研究人员通过统计对未用地址进行的扫描来分析是否有蠕虫活动。

他们提出了一个蠕虫预警系统模型，该模型主要包含两个部分：蠕虫预警中心和大量的监视器。

这些监视器分布在internet 的各个位置上，主要是收集本地蠕虫扫描的相关数据，然后将统计数据发送到预警中心。

预警中心则综合分析收集到的数据。

为了减少预警中心需要处理的数据量，在传送到预警中心之前，需要对这些原始数据进行预处理，因此系统增加了多个数据混合器。

监视器分为两种，即入口监视器和出口监视器。

其中，入口监视器在网络的入口处监视输入数据流，其目的就是检测是否有对内部网络未用ip的扫描活动；出口监视器设置在网络的出口处，用来监视网络输出数据流，以发现对外的扫描。

监视器在一定时间间隔内都会向预警中心发送自己收集到的信息，包括某段时间内已经发现的感染主机数，在某时间范围内收集到的扫描数据包个数及扫
描速率等。

预替中心收集这些数据后，进行计算。

如果这些扫描不是蠕虫引起的，那么感染率估计值会在附近波动或没有一个中心点，反之则会稳定在一个正数附近。

这种方法可以在蠕虫刚开始传播不久就进行预警。

该方法的一个主要缺点就是系统的监控范围必须很广，如监控的地址空间数为220，否则会导致很大的误差。

显然，要维护这么一个规模庞大的防范体系，代价也会很高。

另外，该方法只能检测局域网内某计算机感染蠕虫，并可以定位到这台计算机，但并不能直接去清除蠕虫，阻止蠕虫对网络的破坏，保障网络性能。

通过仔细分析现有各种蠕虫的特点可以发现，这些蠕虫具有一个明显的共性：蠕虫数据包的内容是相似的。

因此一些系统，如autograph和earlybird均利用此性质来检测蠕虫并自动提取特征。

其基本方法是；如果在一段时间内出现大量的重复数据包，则认为出现蠕虫，并将重复部分作为蠕虫特征。

目前autograph只针对基于tcp方式的蠕虫，其检测步骤如下：
步骤1，将输入的网络数据分为正常数据和可疑数据，并将可疑数据放入缓冲池中进行流重组，形成基于tcp的连接会话。

步骤2，对每一个连接会话的应用层数据，划分出若干长度不同的子串。

步骤3，统计所有子串在各个连接会话中出现的频率，选出频率较高的子串组成蠕虫的特征，并将这些特征串加入ids特征库中。

eaelybird使用的方法与autograph有所不同，主要表现在以下
几个方面。

（1） eaelybird对输入数据没有预先过滤。

它对每一个数据包均进行处理，处理对象不仅包括tcp流，而义还包括udp流。

（2）eaelybird对tcp数据没有进行流重组，而只是单独处理每一个数据包；其优点是节省了大量的时间，缺点是难以发现以分片方式进行传播的蠕虫。

（3）eaelybird采用固定长度的滑动窗口来划分序列（在原型系统中，窗口大小为39b）。

（4）检测时，eaelybird不仅考虑子串出现的频率，还考虑所发现重复包的>源地址，目的地址>数量，这可以有效地减少误报。

在网络中并入专门或兼职（基于dns服务的蠕虫传播模型）的检测设备，通过监控网络中的数据特点，看是否带有蠕虫爆发的特征，从而检测出网络中是否有蠕虫的存在，甚至定位到某台计算机上。

如果考虑在网络中的各台计算机上就对自身的数据进出进行检测，分析是否带有感染蠕虫的特征，从而判断自身是否已经被感染，进而找出可疑进程作为进一步的处理。

这就是基于终端安全的蠕虫抑制模型。

整个模型分为三个模块：蠕虫检测模块、中心控制模块和蠕虫定位模块。

1、蠕虫检测模块
监控终端发出的网络数据包，使用蠕虫识别算法对数据包进行处理，如果出现蠕虫特征，则立即切断网络，并通知中心控制模块；待查杀蠕虫病毒成功后，恢复网络正常工作。

为了防止蠕虫病毒绕
过驱动程序，通过别的非授权的途径进行传播，对终端上的网络连接状况进行监测，监测终端中的所有网络连接状况，每当出现新的网络连接时，将该网络连接的信息发送给认证服务器，等待认证服务器的认证结果。

收到认证结果后，首先验证数字签名的合法性，然后按照认证结果决定该网络连接是否可以正常工作。

2.中心控制模块
接收来自蠕虫监控模块和蠕虫定位模块的信息，记录可疑蠕虫进程与行为，向蠕虫监控模块和蠕虫定位模块发布命令，完成网络的切断与自动恢复及蠕虫查杀等工作。

3、蠕虫定位模块
接收到中心控制模块的指令后，定位可疑的进程，报告给中心控制系统。

该模型与现有的蠕虫检测抑制方法相比，具有以下的优点。

（1）基于终端进行检测，由于所有的监控与操作都在每个终端上完成，所以不会对网络带宽造成影响，可以在大型的网络环境中使用，对网络的性能不会有影响。

即使网络中的一台终端感染了蠕虫病毒，也会被及时切断网络连接，不会危害整个网络。

（2）控制蠕虫病毒的传播，这种方法将蠕虫病毒消灭在单个终端上，不会对网络中的其他终端造成影响。

（3）由于这种方法是基于蠕虫传播特征进行的蠕虫病毒检测、查杀，所以不仅可以查杀已知的蠕虫，对于新出现的蠕虫也可以进行查杀。

在网络病毒的宏观防治策略中，免疫策略和网络隔离策略是两个研究的热点。

虽然真正的免疫技术有待完善，但网络中可以模拟免疫机制来实现对网络病毒的整体防御。

网络隔离技术早己出现，但最初网络隔离技术不是用来隔离网络病毒的，而是用来隔离非法访问的。

我们将网络隔离策略引入到网络病毒的防御中，提出了一整套网络病毒隔离的相关课题：感染区的确定、隔离路径的确定、隔离墙的确定等。

参考文献：
[1] 尹俊艳.蠕虫病毒传播机理研究及其实现[j]. 湖南科技学院学报. 2005（11）
[2] 田雪峰，钟求喜，苏金树.蠕虫早期检测系统研究[j]. 信息安全与通信保密. 2005（07）
[3] 李志东，云晓春，杨武，辛毅.基于公共特征集合的网络蠕虫特征码自动提取[j]. 计算机应用. 2005（07）
[4] 张立秋，常会友，刘翔.基于网络的入侵防御系统[j]. 计算机工程与设计. 2005（04）。