一种新蠕虫防范方法.docVIP

一种新的蠕虫防范方法 　　（武汉大学 计算机学院， 湖北 武汉 430072） 　　摘　要：提前对特定漏洞可能出现的攻击数据包进行特征提取，并以此特征为基础描述了一种可以阻断未来针对特定漏洞恶意攻击的蠕虫防范方法，最后提出一种新的蠕虫防范模式和存在的一些问题。?? 　　 　　关键词：攻击数据包； 蠕虫防范； 特征提取； 异常检测?? 　　中图法分类号：TP393．08文献标识码：A 　　文章编号：1001-3695(2006)08-0123-03 　　?? 　　New Method to Prevent Worms 　　 　　PENG Guo jun, ZHANG Huan guo?? 　　(School of Computer, Wuhan University, Wuhan Hubei 430072, China) 　　Abstract:Basing on creating the signature of the possible attacking packets on specifically vulnerability in advance, this paper describes a new method to prevent the worms, which can be used to hold back the fast propagation of the new worms. At the end, a new model to keep away the worms is pointed out, and some problems about it are discussed 　　Key words:Attacking Packets; Worm Defence; Signature Generation; Anomaly Detection 　　 　　1引言 　　 　　在目标上采用随机搜索算法的Slammer蠕虫在30min内感染全球，它已经让反病毒公司现有的常规对抗流程（捕获样本，分析并提取特征码，测试，分发到反病毒软件特征库）收效甚微。据研究表明，未来Flash蠕虫能够在数十秒内感染全球网络中所有存在相应漏洞的计算机[1]。无疑，合理使用和优化各种传播技术之后，未来蠕虫的传播速度将越来越快，蠕虫对抗将成为全球共同面对的一大难题。?? 　　在针对蠕虫的防范上，目前各方都积极开展研究。事实表明，在蠕虫发作之后进行蠕虫防治特别被动，有些防治方案（如“蠕虫对抗蠕虫”的思路[2～4]）甚至可能会给网络带来更大的灾难，并且这类方案最多也只是一种亡羊补牢的做法。在蠕虫发作之前进行有效防范才是防治蠕虫的明智之举。但对一个还未出现的蠕虫来说，要找到一个有效的方案并非易事。目前，为了寻求蠕虫传播的共性，国内外专家学者在蠕虫的编制、传播技术和传播途径等方面开始展开研究，并取得了一些满意的研究成果，但通过蠕虫共性而形成的过滤条件对于蠕虫检测来说还是显得宽松，从而使得检测效果不尽人意。?? 　　计算机病毒具有不可预测性，所以病毒特征库需要在病毒爆发之后实时更新，而爆发之前只能依靠病毒的共性并通过启发式扫描或行为监测技术进行检测。?? 　　每一次重大漏洞的出现，必将导致一次重大蠕虫事件的爆发。事实已证明，蠕虫的爆发具有可预测性：每次蠕虫爆发都有充分的前兆――漏洞公开，目前用未公开漏洞来编写蠕虫的例子并不多见。另外，蠕虫必须用到针对性的Exploit技术来获取目标计算机的权限。例如，对于占绝大多数的缓冲区溢出类漏洞来说，蠕虫发出的数据包中的相关数据必须能够导致目标计算机中相关程序的缓冲区溢出而获得控制权，而这些数据包具备一些蠕虫作者无法改变的特征，这可以作为我们对未来蠕虫进行有效检测的依据。?? 　　预防蠕虫需检测的关键数据是网络数据包，而不是反病毒技术主要针对的文件。Symantec的Carey Nachenberg在Worm 2004会议特邀报告中提供了一种新的检测思路[2]。 　　 　　2特征从何而来?? 　　 　　特定漏洞出现之后，所有相关的网络攻击都将以网络数据包为载体。那么，哪些元素能够作为判断蠕虫攻击的特征呢？目前数据捕获和拦截技术已经比较成熟，因而问题的关键是要确定发生蠕虫攻击时数据包所具备的严格条件，这些条件可以包括服务端口号，协议、服务类型、数据长度限制、具体数据匹配模式等。?? 　　（1）服务端口号?? 　　对于大多数被发现的漏洞来说，蠕虫攻击的服务或程序都具有明确的服务端口号。如RedCode，Nimda针对Web服务器进行攻击时为80端口，Slammer的攻击数据包指向1434端口，Blaster指向135端口等。?? 　　（2）协议类型