一种基于疫苗技术智能防治系统.docVIP

一种基于疫苗技术的智能防治系统 　　摘要：多种网络蠕虫的防治一直是网络安全急需解决的问题。在分析现有防治技术的基础上，针对多种网络蠕虫环境，设计了一种基于疫苗技术的智能防治系统。首先给出了系统结构以及系统的工作流程，随后介绍了智能防治中心，最后讨论了智能疫苗的分类、智能变换及其通信技术。 　　关键词：网络安全； 网络蠕虫； 智能疫苗 　　中图法分类号：TP309．5文献标识码：A 　　文章编号：1001－3695(2007)01-0194－02 　　 　　近年来，网络蠕虫又有了许多新的特点：生命周期越来越长，难以在短时间内彻底清除；变种越来越多，出现了网络蠕虫家族[1]的现象；集多种攻击技术于一身，使其功能更强大、传播速度更快、危害更严重。鉴于上述原因，网络蠕虫防治技术也随之出现了不少新的进展[2~4]，尤其是主动式、疫苗的概念。简单地说，主动式就是相对于以往被动检测而言，主动地对容易感染的主机（简称易感主机）、已感染主机（简称已感主机）进行查杀。疫苗程序则是对网络蠕虫进行抑制的主动查杀程序。丁睿等人[5]提出了主动式网络病毒防治模型AAVM。该模型可以集成不同杀毒厂商的防病毒能力，清除局域网内的网络蠕虫。但AAVM的前提是建立在各大厂商协调的基础上，可能还需要一段时间才能见到成效。此外，彭国军等人[6]的疫苗共享思想与郑辉[7]的接种疫苗技术有相同之处，而后者的接种疫苗技术更为规范，更具有实用性。但是，以上的研究基本上是基于一种网络蠕虫来考虑的，并没有考虑到现实中多种网络蠕虫同时共存的情况。一些大型企业或校园局域网内长期同时存在红色代码、尼姆达、冲击波、震荡波等多种网络蠕虫，对网络应用构成了危害。?? 　　为解决多种网络蠕虫同时共存的问题，笔者在分析现有防治技术的基础上，设计了一种基于疫苗技术的智能防治系统。?? 　　 　　1系统组成?? 　　 　　如图1所示，系统主要由智能防治中心、数据库、智能疫苗三部分组成。智能防治中心是整个系统的核心，布置在局域网内，其主要功能是扫描漏洞信息、调度智能疫苗，并与数据库交互信息；智能疫苗的主要功能是自主地向易感主机、已感主机接种智能疫苗，并与智能防治中心交互网络蠕虫信息，对已感主机进行查杀；数据库主要功能是存放易感主机、已感主机的分布信息、网络蠕虫的感染时间、感染范围等数据。?? 　　 　　图1系统结构图 　　智能防治系统整体工作分为三个阶段，分别是预防阶段、单发阶段（即单一种类网络蠕虫发作阶段）、多发阶段（即多个种类网络蠕虫发作阶段）。?? 　　（1）预防阶段。网络管理员获知已发现严重的操作系统漏洞，可能导致网络蠕虫的爆发。网络管理员根据公布的漏洞信息，使用智能防治中心向整个局域网进行漏洞扫描，掌握所有网络漏洞分布状况；随后，分析具体漏洞扫描数据，向易感主机发送预警疫苗。在接种后，预警疫苗根据漏洞开放端口、主机操作系统版本等信息，对易感主机提出预警信息，并给出正确的防治措施，同时向智能防治中心进行信息注册。?? 　　（2）单发阶段。个别主机发现感染单一种类网络蠕虫后，向网络管理员报告。网络管理员向智能防治中心输入已感主机的信息；根据可获得的网络蠕虫信息，智能防治中心向可能感染的局域网进行漏洞扫描，掌握整体网络漏洞分布状况；随后，分析具体漏洞扫描数据，根据不同的疫苗制作情况，向易感主机、已感主机发送不同的智能疫苗，如标记疫苗、补丁疫苗、追杀疫苗；在接种后，智能疫苗对易感主机进行修补，对已感主机进行查杀，并与智能防治中心交互网络蠕虫信息；最后根据智能防治中心指定的主机列表，智能疫苗依次对其进行查杀。?? 　　（3）多发阶段。多个主机发现多个种类网络蠕虫，向网络管理员报告。网络管理员的操作与单发阶段大致相同，与单发阶段的不同之处就在于智能疫苗的变换上。具体体现在智能疫苗对已感主机进行查杀后，能够根据已感主机的网络蠕虫种类，下载针对性的智能疫苗进行查杀；最后，智能疫苗对局域网的相邻主机依次进行查杀。?? 　　 　　2智能防治中心?? 　　 　　智能防治中心具有漏洞扫描、疫苗管理、信息显示等功能。漏洞扫描就是启动网络漏洞探测软件，对目标主机进行指定漏洞的探测过程，并返回相应的漏洞信息。智能防治中心可以集成比较成熟的漏洞扫描软件，如Nessus，Xscan等。疫苗管理就是对各种网络蠕虫的智能疫苗进行分类管理。在查杀时，对目标主机进行疫苗接种；在维护时，对数据库中的智能疫苗进行添加、删除，以及参数设置。此外，智能防治中心显示各种智能疫苗的信息，包括疫苗的个数、疫苗针对的蠕虫种类、疫苗针对的操作系统、查杀蠕虫的方式等。?? 　　正常网络维护时，智能防治中心显示整个网络的防治状态信息：①显示整个网络的漏洞分布，网络管理员能够分析存在的易感染区，并及时修补相关