网络蠕虫传播方法及仿真研究.pdfVIP

全国网络与信息安奎技术研讨企’嬲 网络蠕虫传播方法及仿真研究 蒋建春，文伟平，王业君，卿斯汉 (1．巾困科学院软件研究所．北京100080，2。中周科学院信息安全技术工程研究q-心，北京10008{)) 摘要：网络蠕虫成为网络系统安全的重要威胁。本文首先分析了网络蠕虫的组成结构和T作机制，然后重点研究了网络蠕 虫的不同类型传播方法，并提供不同条件下仿真的实验结果。最后给出了网络蠕虫的传播发展趋势与未来的研究力 向。 关键词：网络蠕虫：传播；仿真 1 引言 网络蠕虫是一种综合黑客技术和计算机病毒技术，无需计算机使用者干预即可自动运行的攻击程序代码， 它通过利用网络系统中所存在漏洞的节点主机，从一个节点传播到另外一个节点…。1988年著名的“小莫里 斯”蠕虫事件成为网络蠕虫攻击的先例”。，随着网络技术应用的深入，网络蠕虫对网络系统安全的威胁日益 增加。在网络环境下，多模式化的传播途径和复杂的应用环境使网络蠕虫的发生频率增高、传播变强、影响 面更广，造成的损失也更大。网络蠕虫运行机制可以粗分为三个阶段：易感目标发现、感染易感目标和攻击 代码执行。其中，网络蠕虫发现易感目标取决于所选择的传播方法，好的传播方法使网络蠕虫以最少的资源 找到网上易传染的主机，进而能在短时间内扩大传播区域。本文主要研究网络蠕虫的传播方法，其余部分组织 如下，第二部分研究了网络蠕虫的传播方法，这一部分主要分析现有网络蠕虫的传播方法，包括选择性随机 扫描、顺序扫描、基于目标列表的扫描、基于路由的扫描、基于DNS扫描等；第三部分用仿真实验方法，重 点讨论不同条件下的网络蠕虫传播效果；最后是结论，对网络蠕虫传播的发展趋势与未来的研究方向进行了 分析。 2 网络蠕虫传播方法 网络蠕虫利用系统漏洞进行传播，良好的传播方法能够加速蠕虫传播，使网络蠕虫以晟少的时间找到互 联网上易感的主机。根据网络蠕虫发现易感主机方式进行分类，传播方法分成以下三类，即随机扫描、顺序 扫描、选择性扫描。选择性扫描是网络蠕虫发展方向，进一步可以细分为选择性随机扫描、基于目标列表的 扫描、基于路由的扫描、基于DNS扫描、分而治之扫描。 21随机扫描 随机扫描是指网络蠕虫会对整个IP地址空间的随机抽取一个地址进行扫描，这样网络蠕虫感染下一个目 标是非确定性。“S]ammer”蠕虫的传播方法就是采用随机扫描感染”1。 22顺序扫描 顺序扫描是指网络蠕虫根据感染主机的地址信息，按照本地优先原则，选择它所在网络内的IP地址进行 传播。顺序扫描又可称为“子网扫描”。若蠕虫扫描的目标地址IP为A，则扫描的下一个地址IP为A+1或 者A一1。一旦扫描到具有很多漏洞主机的网络时就会达到很好的传播效果。该策略使得网络蠕虫避免扫描到 蠕虫…。 2 3选择性扫描 网络蠕虫改善传播效果方法是提高扫描准确性，快速发现易感的主机。目前，有三种措施町以采取，一 是减少扫描未用的地址空间：二是在主机漏洞密度高的地址空间发现易感主机；三是增加感染源。网络蠕虫 选择性扫描就是在事先获知一定信息条件下，有选择搜索下一个感染目标主机。 2．3．1选择性随机扫描 形· 全国网络与信息安全技术研讨会’goo口 选择性随机扫描是指网络蠕虫按照一定信息搜索下一个感染目标主机，将最有可能存在漏洞主机的地址 集作为扫描的地址空间，以提高扫描效率。网络蠕虫的选择性随机扫描包含两个方面的技术点，一是网络蠕 虫扫描对象是经过挑选的，互联网地址空间中未分配的或者保留的地址块不在扫描之列。二是网络蠕虫所选 性随机扫描策略”’。 2．3．2基于目标列表的扫描 基于目标列表扫描是指网络蠕虫在寻找受感染的目标前，预先生成一份可能易传染的目标列表，然后对 该列表进行攻击尝试和传播”1。网络蠕虫采用目标列表扫描实际上将初始的蠕虫传染源分布在不同地址空间， 以提高传播速度。uc C Berkeley的Nicholas 推测该蠕虫能在30分钟内感染整个互联网。 2．3．3基于路由的扫描 基丁二路由的扫描是指网络蠕虫根据网络中路由信息，如BGP路由表信息，有选择地扫描IP地址空间，以 避免扫描无用的地址空间”。。采用随机扫描的网络蠕虫会对未分配的地址空间进行探测，而这些地址大部分 在互联网上是无法路由的，因此会影响到蠕虫的传播速度。如果网络蠕虫能够知道哪些IP