刘朝霞 王小花

1 南京信息工程大学网络信息中心 江苏 210044

2 南京信息工程大学计算机与软件学院 江苏 210044

0 引言

近几年兴起的新一代网络蠕虫更是融合了病毒、木马、DDoS等各种攻击手段，一旦爆发将迅速导致大规模的网络阻塞甚至瘫痪，从而给社会带来巨大的经济损失。截止到2001年7月，有超过359,000台连到因特网上的计算机在14小时内被CRv2蠕虫感染，所造成的经济损失将近26亿美元。近年来的增长态势更是呈指数上升，其传播速度之快，影响范围之广已大大超出了人工检测能力的极限。拥有准确高效的检测技术就成了人们对抗网络蠕虫的首要条件。

1 网络蠕虫的定义

这个定义包含三层含义：一网络蠕虫是一个程序，能独立运行。二是为了维护自身的生存，它会从内部消耗主机的资源，并且它会自我复制到其它的机器上；三在网络上进行传播，具有广泛性；四是关注常见服务，加快传播；五是利用安全漏洞或策略缺陷进行传播。

2 蠕虫的早期检测策略

2.1 基于签名的检测技术

这种检测技术就是针对已知蠕虫的一种检测方法，也可以称之为是基于特征值匹配的检测技术。它通过对蠕虫的研究提取出能充分识别该蠕虫的特征字符串，形成对该蠕虫的特征码，然后加到相应的特征库中去进行检测。这个加入的特征库可以是恶意代码的部分内容，也可以是蠕虫的传播的网络负载。这种系统在捕获到网络中的数据报后，对其进行分析。去除掉协议字段等这些明显不是蠕虫代码的部分，然后将其与特征库里面的码进行比较，以此来确定是否有蠕虫的进攻。

这种检测方法只能对于已经检测出的蠕虫作出应付，采取补救措施。具有以下缺点：(1)对于特征库中没有特征码的蠕虫，它是起不到任何检测作用；(2)由于必须对网络中进出的海量数据报进行过滤，这给系统带来很大的压力，造成网络速度减慢，甚至造成网络拥塞。

2.2 基于蜜罐的蠕虫检测

顾名思义，所谓蜜罐就是指网络内部构造出的许多陷阱。通过这些陷阱来吸引攻击者发起攻击。它会详细地记录下任何的操作日记，还会对一些攻击来做出一些反映，以此来吸引攻击者进一步的行动，从而获得更多的行为记录。这种记录是为了让研究者知道整个攻击的详细过程和数据文件，起到一个知此知彼的作用。它是研究黑客的重要手段。

这种技术又叫HoneyPot检测技术，HoneyPot为网络管理者研究蠕虫的行为特征、追踪蠕虫攻击源、预测蠕虫的攻击目标等提供了大量有效的数据，同时由于设置了陷阱，就可以转移蠕虫的攻击目标，保护敏感主机不受攻击。

2.3 利用ICMP来检测网络蠕虫

ICMP(Internet Control Message Protocol)，又叫Internet消息控制协议。该协议是在网络中比较常用的一种协议。它工作在网络层，协议字段是通过放在IP报文的数据字段来进行传输的。我们在网络故障中最常用的Ping命令就是其的应用。

ICMP协议中有一个报警讯息。指向目标主机发出连接请求后，由于路由等种种问题而导致无法连接，此时路由器生成的返回源主机的消息，利用这些消息来判断是否有蠕虫的存在。蠕虫的传播离不开大量的向外发送扫描信息，通过分析这些信息就能判定某台主机是否正在被蠕虫扫描，以及是否已经感染上蠕虫。

2.4 基于SYN的网络蠕虫检测

在实际网络中，大多数的蠕虫是通过TCP协议来进行传播的，要想建立TCP连接，就必须要由源主机发出连接请求SYN字段，然后再进行一系列的确认信息的发送。

网络中感染蠕虫的主机为了向外扩散，就会大量地向外发送 SYN信息，企图与目的主机进行连接。网络中存在的这种 SYN信息就是我们要检测的对象，当我们发现某主机的 SYN信息超出正常的连接量时，我们就可以将其列为可疑主机了。

2.5 基于硬件的检测

这种检测方法是用硬件来实现特征码的匹配操作，属于应对已知蠕虫的检测方法。

基于硬件的检测系统一般由三个部分组成，分别是数据捕获模块、匹配数据库和处理机。

数据捕获模块负责捕获流经网络出入口的所有数据包，数据包根据匹配数据库提供的特征串或规则表达式进行扫描匹配，再把结果传递给处理机。

匹配数据库负责从后台的数据库中读取已经存在的蠕虫特征，编译综合成数据捕获模块设备可以利用的特征串或规则表达式。

处理机根据匹配结果决定数据捕获模块采取何种操作。

网络蠕虫大规模入侵时，系统管理员首先把该蠕虫的特征添加到匹配数据库的特征数据库中，数据捕获模块扫描到相应特征才会请求处理机做出允许或是阻断等响应。

该系统与普通的软件匹配特征值相比，在速度上占很大的优势。但是在系统的基本策略和基于特征值方面，还是存在一定的误警率，不能及时检测和防御未知蠕虫，只能作些事后补救工作。

以上是五种常见的网络蠕虫检测方法，各自都有其优缺点。积极的做法是能做到提前防治，下面就对网络蠕虫的防治策略进行具体分析。

3 网络蠕虫的防治策略

3.1 特定蠕虫消失的必然性

蠕虫传播的主要原因是系统中存在漏洞。由于漏洞存在的必然性，蠕虫也会长期存在。某个特定漏洞一般只存在于特定版本的系统或特定版本的服务程序，利用单一或少量漏洞进行传播的蠕虫必然会随着系统的升级、服务程序的升级而彻底消失。

3.2 及时修补漏洞

根据蠕虫影响范围、破坏程度和传播速度，对漏洞进行等级评估，特别对能获得远程系统管理权限的高危漏洞进行修补。目前存在漏洞软件的相应补丁程序主要由漏洞软件厂商负责提供。当购买软件时，应该保证所购买软件有效及时的漏洞通知方式，以及有效及时的补丁程序获得方式。通过修补漏洞，从而阻断蠕虫传播链。

3.3 对特定蠕虫的预防措施

通过分析特定蠕虫的行为，可以有针对性地采用一定的预防措施来改变蠕虫程序的运行(工作)流程，从而达到保护自身的效果。Morris蠕虫会判断某个特定文件是否存在来决定是否继续感染动作以及连接本机预设端口来判断当前主机是否已被感染。CodeRedⅡ蠕虫会在内存中查找“CodeRedⅡ”字符串来判断当前主机是否已被感染等等。

3.4 破坏蠕虫运行环境

通过重命名或删除命令解释器，达到破坏其运行环境。在蠕虫的实体组成中，脚本占有很大的比重。脚本的运行，需要命令解释器的支持，如 Unix系统下的 shell，Windows系统下的$systemroot $System32 Wscript.exe，command.exe等等。当某个系统中不存在通用名称的命令解释器时，蠕虫的脚本将不能正常执行。这个思路可以拓展到系统中的其它常用应用程序的处理，例如删除 tftp.exe程序，则可以防止Nimda蠕虫的感染；删除cmd.exe程序，则被CodeRedⅡ蠕虫感染后不会留下后门等等。

3.5 设立防火墙及路由控制

防火墙的主要作用是根据预先定义的规则保证访问网络的安全。配置网络或单机防火墙软件，禁止除服务器外的其它端口，这将切断蠕虫的传输通道和通信通道，过滤含有某个蠕虫特征的报文，屏蔽已被感染主机对保护网络的访问等等。

目前还有种流行抑制蠕虫传播的方法就是通过路由来控制。在路由节点屏蔽和过滤含有某个蠕虫特征的报文，当采用的路由策略是基于蠕虫行为特征的封堵时，蠕虫行为得到封堵。不过因其行为同一般应用的相似，不可避免地导致正常应用也被封堵。

3.6 黑洞技术

黑洞技术是一种非常有效的蠕虫检测技术，利用一些不常用的IP地址来跟踪蠕虫的探测活动。

网络黑洞是指网络中未分配的IP地址空间。根据这一情况，可以通过对与网络黑洞相关的数据包的监控来实现对恶意行为的检测，通过对所监测到的数据进行分析，就可以及时发现网络中出现的蠕虫攻击行为。

网络黑洞检测技术的优点是对所有扫描全网的蠕虫都适用，包括已知蠕虫和未知蠕虫。

4 结束语

通过上述分析，结合蠕虫自身的特点，我对检测防治工作提出了以下建议：

(1) 加强监控点设立，实施全面布线。一扫描出蠕虫爆发，尽早提出预警，抑制蠕虫的快速传播。

(2) 利用局部网络来检测蠕虫。通过网络数据转换成网络连接并构成网络活动图，然后分析该动态，判断是出现了蠕虫，立即对感染的主机进行隔离，保护自身网络的安全。

(3) 利用蠕虫内容的相似性来自动提取蠕虫特征。目前许多蠕虫表现出内容相似的特点，当蠕虫爆发时，根据计算蠕虫活动的变化率来决定一个串是否流行，从而检测出蠕虫的活动情况。

(4) 对现有骨干路由器进行修改，过滤大量可疑的蠕虫数据，从而阻止蠕虫对网络资源的消耗。

总之，网络蠕虫的检测与防御工作研究是一个长期的过程，是全球性研究的重点课题。我们既要掌握当前网络蠕虫的实现机制，又要加强对未来网络蠕虫发展趋势的研究，真正做到防患于未然。

[1]郑辉.Internet蠕虫研究.天津:南开大学信息技术科学学院.2003.

[2]张殿旭,彭军,何虹.Internet蠕虫传播模型研究.电脑知识与技术.2007.

[3]彭军,张殿旭.网络蠕虫的检测机制研究.网络通讯与安全.2007.

[4]文伟平,卿斯汉,蒋建春,王业君.网络蠕虫的研究与进展. 软件学报.2004.

[5]左晓栋,戴英侠.“狮子”蠕虫分析及相关讨论.计算机工程.2002.

[6]CohenF.电脑病毒.理论与技术.电脑与安全.1987.

[7]郑辉.Internet蠕虫研究论文[博士学位论文].天津:南开大学信息技术科学学院.2003.

[8]郑辉,李冠一,涂奉生.蠕虫的行为特征描述和工作原理分析.第三届中国信息与安全通信学术会议 CCICS.2003.