网络蠕虫防范技术研究

2014-06-16 04:55王玉霞
科技创新导报 2014年4期
关键词:防范研究

王玉霞

摘 要:受文网络蠕虫的传播机制进行了建模分析,在此基础上进一步总结并且描述了网络蠕虫的检测技术,介绍了网络蠕虫的控制方法,着手于研究网络蠕虫的检测与防御技术。

关键词:网络蠕虫 防范 研究

中图分类号:TP319.3 文献标识码:A 文章编号:1674-098X(2014)02(a)-0056-01

网络蠕虫是常见的病毒,虽然具有一般病毒的特征,即通过网络载体进行复制传播,但与一般的病毒最主要区别是没有人为干预,能够独立运行。网络蠕虫具有潜伏性强、传播快、生存周期长、覆盖面广、发生频率高等特点,特别是新型蠕虫与多态蠕虫的涌现,造成网络瘫痪,成为危害网络安全的重大隐患。

1 网络蠕虫的建模分析

研究网络蠕虫的传播机制,通过蠕虫主体功能的四个模块对蠕虫病毒进行分析,即扫描、搜索、攻击、复制和传输四个模块。

1.1 搜索模块

该模块决定采用技术的和非技术的方法搜集本地或者目标网络的信息,其搜索主要内容有系统类型、版本、用户名、邮件列表、开放的服务器软件版本、网络拓扑结构以及边界的路由信息。

1.2 扫描模块

该模块利用信息搜集模块搜集的信息所完成的检测,探测搜索的主机。通常扫描探测策略有顺序、基于目标列表、基于路由扫描、随机和选择性随机扫描等。

1.3 攻击模块

该模块利用扫描探测模块探测的主机漏洞,对目标系统实施攻击和建立传输通道,以植入和运行蠕虫副本。缓冲区溢出攻击是普遍的攻击形式,此外攻击形式还有系统误配置和字符串格式攻击等。

1.4 复制模块

该模块通过交互原主机和新主机,将病毒复制到新主机并启动,生成多种形式的副本。

1.5 传输模块

该模块在实施攻击后,下载安装附加的恶意代码到目标机,还会添加到windows进程中,致使系统操作异常。

通过对网络蠕虫的建模分析表明,网络蠕虫的传播虽具有突发性,但还有一定的规律性,因此,在传播初期进行有效的检测和控制能够抑制蠕虫的泛滥。

2 网络蠕虫检测技术

网络蠕虫控制技术的主要思想是,通过研究各个主机流量随时间变化的规律,预测网络蠕虫的变化趋势,进而有效防范病毒的传播。网络蠕虫控制方向一般有三大方面,即主机隔离、阻断、限速。当前最常用的是检测主机单位时间发起的连接失败率,丢弃数据包且切断主机与网络的通信,但是对流量产生影响,准确率也受到限制。

2.1 网络蠕虫检测主要技术

检测技术被称作是防火墙的补充,即第二道安全门,通过自身校验、安全日志、关键字等来对蠕虫特征进行检测。检测技术是主动的网络防御技术,能够弥补单纯防火墙的不足。网络蠕虫检测技术在采用入侵检测技术的同时,也结合了网络蠕虫自身及其传播中具有的特点,综合应用了多种技术来进行蠕虫检测和控制,其中包括网络蠕虫检测与预警,网络蠕虫传播抑制,网络蠕虫应对等。通常情况下,检测技术有两种,即误用检测和异常检测。

误用检测是基于知识、规则的检测,一般是根据以往的各种攻击,提取特征,然后建立一个规则库,当根据检测到的事件模式或者系统状态,与预先建立的规则库相匹配时,则说明有入侵行为特征编码存在。误用检测技术虽然有较高的准确度,但是误用检测主要检测曾出现的异常行为特征,而变种的蠕虫病毒和以往没出现的异常行为没有检测能力,因此其规则库必须依据不断出现的新情况及时更新,规则库更新的频率决定了系统的检测能力。

异常检测是通过对网络的正常行为的描述,定量地描述其行为特征,分析和发现系统异常行为和网络流量的异常情况,网络流量的异常检测基本思想是把网络流量特征分为两个层次的特征集合,即基本和组合特征集合。

2.2 网络蠕虫检测技术比较

异常检测技术中对正常网络行为的描述是通过对过去大量历史数据的分析得到的,任何偏离的正常行为均被认为是异常。相比之下,误用检测则通过标识的那些已知的入侵行为,通过对其具体行为的判断、推理,进而检测其行为。两者相比较而言,异常检测技术的误报率比较高,误用检测技术尽管误报率较低,但是漏报率却是比较高的。

3 网络蠕虫控制技术

一般情况下控制的方法是直接关闭服务器、切断用户链接,这种做法有效控制蠕虫传播,可是也将导致通讯中断,影响正常用户的使用。在不关闭服务器或切断用户链接情况下,可通过两个步骤控制蠕虫,一是截获蠕虫病毒调用Win32函数功能,二是检查函数调用者代码,若判断调用者代码为蠕虫病毒等恶意代码,终止程序的运行。引入签名验证机制和captcha验证机制,可以有效防范蠕虫病毒。签名验证机制对发送方的文件通过签名验证,同样在接受方进行验证签名,判断代码是否可疑;captcha验证机制将数字和字母随机组成随机图片发送给用户,这些图片很难识别,用户需依据服务器发送的挑战信息进行验证。此外,IM信息流量监控也可有效的抑制蠕虫的传播,它是及时捕获正常用户和已感染用户的通信速率的差异,对已感染用户进行限制和处理,通常情况下只需监控URL链接或文件传输请求消息,但是相同端口的请求消息,无法准确的区分蠕虫流量和正常流量,因此有一些误报率。

单一的网络蠕虫控制技术可以对蠕虫病毒进行早期的预警和控制,但是在实际操作中还存在一定的缺陷,需要综合应用多项技术,在尽可能不影响网络流量的情况下,有效抑制网络蠕虫的传播。

由于网络蠕虫潜伏性大和传播途径的多样化,并且显示出比一般病毒更大的破坏性,给信息安全带来了严重的威胁,由此造成的损失无法估量。如何有效的检测和控制网络蠕虫,已成为网络安全领域内研究的重要课题。网络蠕虫检测和控制技术的综合应用可以有效减少误报对网络流量的影响。尽管网络蠕虫检测和控制技术取得了一定了效果,但是该研究仍是一项长远的工作,需要今后不断深入的探究和研究。

参考文献

[1] C ZouL Gao,W Gong,D Towsley.Monito ring and Early Warni ng for Internet Worms.Umass ECE Technical Report TR-C SE-03-01,2003.

[2] 史海峰,徐涛.基于安全审计的监控系统模型的设计[J].计算机技术与发展,2006,16(4).

[3] K.C.Tan,E.J.Teoh,Q.Yu,K.C.Goh:A hybrid evolutionary algorithm for attribute selection in data mining[J].Expert Systems with Applications,2009,36(4).

[4] 汪伟.网络蠕虫检测技术研究与实现[D].博士学位论文,浙江大学,2006.endprint

猜你喜欢
防范研究
FMS与YBT相关性的实证研究
2020年国内翻译研究述评
辽代千人邑研究述论
视错觉在平面设计中的应用与研究
EMA伺服控制系统研究
新版C-NCAP侧面碰撞假人损伤研究
浅析防范电能表串户的重要性及方法
也谈国际贸易合同欺诈