蠕虫预警技术研究与进展.docVIP

蠕虫预警技术研究与进展 谢 丰1, 2 孟庆发1, 2 xiefeng@software.ict.ac.cn 1中国科学院计算技术研究所软件室，北京，100080 2中国科学院研究生院，北京，100039 摘 要 当前网络蠕虫对Internet构成重要威胁，如何防范蠕虫已经成为网络安全的重要课题。由于蠕虫传播速度快、规模大，因此必须在蠕虫传播初期就能发现并采取相应措施进行隔离。全面分析了目前蠕虫预警方面的最新研究进展，包括路由器级的蠕虫检测、基于行为的蠕虫检测、蠕虫特征的自动提取，并对蠕虫的特点进行总结，最后对未来蠕虫检测的可能方向进行展望。 关键词 网络安全，蠕虫，预警技术 1 引言 随着Internet应用的发展，蠕虫对网络安全的威胁日益增加，它已成为网络安全研究的一个热点问题。许多研究人员从蠕虫的功能结构、扫描策略、传播模型等多个方面研究蠕虫的特性。通常，蠕虫传播会经过三个阶段：慢速启动阶段、快速传播阶段和缓慢结束阶段（如图1所示，这里采用Simple Epidemic Model传播模型[1]）。也就是说，蠕虫传播初期速度通常比较慢，但随着传播的进行，其扩散速度将会急剧增大，最后随着未被感染的主机数量减少，其传播速度又会逐渐降低。 图1 蠕虫传播阶段划分 由此可见，如果是在第二甚至是第三阶段才采取措施对蠕虫进行隔离，实际上对蠕虫的大范围传播几乎不会有太大影响，而且此时蠕虫已经造成了巨大的破坏，因此只有在第一阶段发现蠕虫并且进行隔离，才能真正有效地限制其传播。本文将全面分析目前蠕虫预警的最新进展，并深入剖析各自的优缺点。 2 现有的蠕虫预警技术分析 2.1 基于扫描的蠕虫检测 通常蠕虫传播是依靠随机扫描方式（如CodeRed蠕虫）。大范围的随机扫描往往是蠕虫爆发时的征兆，因此收集这些扫描活动，就能在一定程度上发现蠕虫。Massachusetts大学的Zou等人正是利用这种思想，通过统计对未用IP地址进行的扫描来分析是否发生蠕虫 [3]。他们提出了一个蠕虫预警系统模型，该模型主要包含两个部分：蠕虫预警中心和大量的监视器。这些监视器分布在Internet的各个位置，主要是收集本地蠕虫扫描的相关数据，然后将统计数据发送到预警中心。预警中心则综合分析收到的数据。为了减少预警中心需要处理的数据量，在传送到预警中心之前，需要对这些原始数据进行预处理（如数据融合），因此系统增加了多个数据混合器（data mixer）。整个系统可看做一个树状结构（如图2）。 图2 蠕虫预警系统框架 监视器分为两种：入口监视器和出口监视器。其中，入口监视器在网络的入口处监视输入数据流，其目的就是检测是否有对内部网络未用IP的扫描活动。出口监视器设置在网络的出口处，用来监视网络输出数据流，以发现对外的扫描。 监视器在每个时间间隔内都会向预警中心发送自己收集到的信息，包括时刻已经发现的感染主机数、在时间范围内收到的扫描数据包个数以及蠕虫的扫描速率等等。预警中心收集这些数据后，采用下列步骤计算蠕虫的感染率、易感染主机数和： 根据，利用Kalman过滤器得到扫描率的估计值； 根据公式，得到易感染主机数的估计值。这里假定是随机扫描，所以； 根据公式，得到。 如果这些非法扫描不是蠕虫引起的，那么感染率估计值会在0附近波动或者没有一个中心点，反之则会稳定在一个正数附近。通过对Code Red蠕虫和SQL Slammer蠕虫的模拟试验可以发现，和稳定时，感染主机所占的比例大约为5%，因此这种方法可以在蠕虫刚开始传播不久就进行预警。 这种方法的一个主要缺点就是：系统的监控范围必须很广，比如监控的地址空间数为，否则会导致很大的误差。显然，要维护这么一个规模庞大的防范体系代价也会很高。 2.2 基于honeypot的蠕虫检测 honeypot是一种用来收集入侵行为信息并学习入侵过程的工具[6]。由于没有向外界提供真正有价值的服务，因此所有都被视为可疑。 图3 DEWP结构示意图 DEWP过程可以描述为：假定在时间间隔内的某个目的端口的数据包数量为，则发生蠕虫的条件为： （1） 其中，为过去在时间间隔内的数据包数量的平均值。反映了系统的灵敏度。越小，系统就越灵敏，但误报率也会增加。每统计一次，就对采用下述公式进行更新，即 （2） 其中， 是一个常数，表明了旧平均值的重要程度。 这种方法的缺点在于：①仅仅根据目的端口和目的地址来判断是否发生蠕虫，容易产生误报；②DEWP的布置位置会明显影响检测效果。③隔离策略过于简单，会导致具有相同目的端口的正常数据被过滤掉。 2.4 基于内容的蠕虫检测 通过仔细分析现有各种蠕虫的特点，可以发现这些蠕虫具有一个明显的共性：蠕