网络蠕虫传播模型和防御策略.ppt

网络蠕虫的传播模型及其防御策略 王方伟  网络蠕虫的传播过程 研究网络蠕虫的动机 Code Red (Jul. 2001) : 14小时内感染近36万台主机，损失：26亿 Slammer (Jan. 2003) : 10分钟内感染75,000台主机，损失：5分钟内就导致了9.5亿-12亿美元的损失 Blaster (Aug. 2003) : 感染15万-8百万主机，DDoS attack (关闭Windows更新)，损失：20-100亿 Witty (Mar. 2004) : 利用ISS漏洞，30分钟感染12000台主机 Sasser (May 2004) : 2天内感染50万台主机，损失：数千万美元 研究蠕虫的科学意义 网络蠕虫的危害 传播速度快 影响面广 造成损失大 对计算机系统安全和网络安全的威胁日益增加 新一代网络蠕虫的主要特点和危害 造成骨干网大面积阻塞甚至瘫痪，致使网络服务中断 造成主机开放，导致严重的信息安全威胁 计算机系统性能下降，甚至瘫痪 发动拒绝服务攻击 攻击者回收和集中控制感染节点 如何防御网络蠕虫攻击 迫切需要自动响应机制 首先，需要理解蠕虫的行为特征 为蠕虫的检测和防御做准备 然后, 未知蠕虫的早期检测 基于蠕虫模型的检测 基于阈值 基于趋势 最后, 建立自动防御系统 动态隔离 自适应防御 目录 网络蠕虫的定义及当前的安全状况 网络蠕虫的传播模型分类 网络蠕虫的扫描策略 我们目前的工作 网络蠕虫的防御策略 将来的计划(目前的研究热点) 网络蠕虫的定义 什么不是网络蠕虫? 病毒 – 隐藏在计算机系统信息资源中，利用系统信息资源进行繁殖并生存，影响计算机系统征程运行，通过信息共享的途径传播的、可执行的程序。 不能独立运行，需要用户来激活。 木马 – 是一种基于远程控制的攻击工具，能够未经授权收集、篡改或破坏信息。其特点是隐蔽性和非授权性。 设计者为了防止木马被发现，采用多种手段来隐藏木马；即使被发现，也不能缺定具体位置。 一旦控制端连上服务器端，控制端将拥有服务器的大部分权限。 病毒、网络蠕虫和木马的区别 恶意代码和网络蠕虫、计算机病毒、木马的关系 网络蠕虫的分类(1) 根据传播途径 利用Windows 操作系统漏洞传播 RPC漏洞(Blaster) 利用应用程序漏洞传播 FTP服务程序(Ramen)、IIS 服务器漏洞(Nimda)、SQL Server数据库(Slammer) 利用浏览器传播 通过修改web 服务器的内容，把一小段JavaScript 代码附加到HTML或者ASP文件上， IE自动执行代码(Nimda, Code Red) 利用Email传播 通过MAPI获得感染机器的通讯录中邮件地址列表，通过Windows 的邮件客户端把蠕虫代码作为邮件附件发送给其他主机, 而未打补丁的IE会自动执行邮件中的附件，从而使蠕虫激活.(求职信蠕虫、小邮差蠕虫) 依赖网络共享 利用共享网络资源进行传播(Nimda) 网络蠕虫的分类(2) 网络蠕虫的破坏能力 无害型 建立很多垃圾文件，减少磁盘的可用空间，对系统没有其他影响 降低系统或网络性能型 消耗大量主机资源，减少内存和CPU的使用率，使主机速度变慢；在网络上形成垃圾流量，浪费网络带宽，造成拥塞，降低网络性能。 (Nachi探测网络主机的RPC DCOM缓冲区漏洞，删除Blaster ) 破坏型 删除主机程序、破坏数据、清除系统内存区和操作系统中重要数据。(Code Red, Nimda、Blaster、Sasser) 网络蠕虫的分类(3) 蠕虫编写者的意图 好奇心型 (爱虫、Code Red ) 恶作剧型 自娱自乐或开别人玩笑(Blaster, 为了帮助其母亲的小公司招揽生意) 商业利益型 为了赚钱，进入他人网站内，将其主页内商品资料内容、价格作降价等大幅度修改，使消费者误以为该公司的商品便宜廉价而大量订购，从而产生Internet订货纠纷。(库尔尼科娃蠕虫、燕姿蠕虫) 政治目的型 萨达姆蠕虫 恐怖主义型 仇恨一切现存的秩序，仇恨电脑本身，制造蠕虫的目的是利用蠕虫破坏现有的网络和计算机，窃取重要情报、格式化硬盘、毁坏重要数据等 (Al-Qaeda、ELF、ALF) 网络漏洞的类型 漏洞指因设计不周而导致的硬件、软件或策略存在的缺陷。 缓冲区溢出漏洞 将超过缓冲区能处理的更多的数据加入到缓冲区时产生的 允许DoS服务的漏洞 存在于UNIX操作系统的网络服务核心，OS本身的漏洞。 允许有限权限的本地用户未经授权提高其访问权限的漏洞 由应用程序中的一些缺陷引起。典型例子：Sendmail程序的漏洞。