一种基于门限签名的可靠蠕虫特征产生系统.doc

一种基于门限签名的可靠蠕虫特征产生系统 本文受到国家自然科学基金项目的支持 作者：向继 Email： jixiang@ 联系地址：北京玉泉路甲19号信息安全国家重点实验室 电话向继、高能、荆继武 （信息安全国家重点实验室（中国科学院研究生院），北京100049） 摘要：蠕虫特征产生系统是一种利用大量的、分布式部署在Internet的监控器共同协作，从而产生和发布有效的蠕虫特征的新型安全系统。该系统产生的蠕虫特征可以配置到防火墙或者路由器中以遏制蠕虫的传播。虽然它是一项比较有效的对抗蠕虫的安全技术，但是其自身存在一些严重的安全问题，特别是当一个或者少数几个系统节点被黑客控制后，它们可能被利用来阻碍系统产生蠕虫特征，篡改系统发布的特征甚至误导系统发布虚假的特征，这些都会严重影响系统产生特征的可靠性。针对现有系统存在的问题，我们提出了一种基于门限签名的可靠蠕虫特征产生系统，它通过数字签名技术保证系统产生的蠕虫特征是可验证的，同时，为了避免单点失效和提供高可靠性，我们利用一种改进的双层门限签名机制来产生签名。通过可靠性分析，我们的系统能够抵抗攻击者对部分系统节点的各种形式的攻击，在可靠性上优于现有的主流蠕虫特征产生系统。 关键词：蠕虫特征产生系统，单点失效，数字签名，门限签名 引言 网络蠕虫是一种恶意的计算机程序，能够不断进行自我复制，并且通过网络进行传播，对网络和计算机造成严重破坏。随着2001年红色代码和尼姆达蠕虫的相继爆发，新的、危害程度更高的网络蠕虫不断出现，日益成为因特网的头号安全威胁。 最近，研究者们提出了一种分布式的蠕虫特征产生系统方案来对抗网络蠕虫，它的基本原理是在Internet中散布很多个监控器，这些监控器能够检测到蠕虫传播行为，并能够识别蠕虫特征，例如传播蠕虫的计算机的IP地址，蠕虫传播载荷的特征串等等，然后该系统利用汇集器收集来自于这些监控器的蠕虫特征，进而产生可用于遏制蠕虫传播的特征，例如IP地址黑名单，蠕虫特征串等等。这些特征可以发布到防火墙或者路由器中，从而阻断蠕虫在Internet中的传播。目前主流的蠕虫特征产生系统主要包括EarlyBird[7]，Domino[1]，WormSheild[2]等，实验表明这些系统对于抑制蠕虫的传播具有较好的效果。 但是上述这些系统在设计时主要考虑蠕虫抑制的有效性和系统可扩展性，而较少关注系统自身的安全性。有的系统虽然引入了一些安全方案：例如WormShield中提出利用DHT技术来组织系统节点，从而使系统能够容忍部分节点失效；Domino中提出利用PKI/CA技术来实现节点之间的认证，从而避免假冒节点攻击。但是这些安全方案无法防御更加高明的攻击，例如黑客攻占并控制部分系统节点，进而阻挠系统产生蠕虫特征，甚至误导系统产生虚假的特征。如果这种攻击一旦得逞，将会对系统产生的蠕虫特征的可靠性造成严重损害。考虑到蠕虫特征的系统节点分布在Internet的各处，而且一般由不同的机构维护，所以安全性问题十分突出。 针对这一问题，本文首先对现有的蠕虫特征产生系统方案进行统一化建模，并以该模型为基础来分析系统所面临的主要安全威胁，进而提出保障系统在Internet环境下安全运转所必需的两个核心安全需求：避免系统节点单点失效和产生可验证的蠕虫特征。 为了满足上述两个安全需求，本文提出了一种基于门限签名的可靠蠕虫特征产生系统模型，它利用数字签名技术和门限签名技术来保证蠕虫特征收集、汇总和发布等各个环节的安全。与现有的系统相比，该系统能够容忍部分节点被黑客攻占甚至完全控制，从而能容忍高明的黑客攻击，在可靠性上大大增强。 传统的门限签名技术因其主要应用在CA系统等对扩展性要求较低的系统中，所以对扩展性支持不强，随着系统节点的增加，系统管理的密钥数量迅速膨胀。而本文提出的系统对扩展性要求很高，系统节点数量可以达到数千甚至上万，系统维护的密钥数量将达到几百万个，极大的降低了系统的可用性。所以本文提出了一种改进的双层门限签名技术，在不降低系统安全性的情况下，保证系统维护的密钥数量只以线性方式增加，提高了系统的可扩展性。 本文采用分析方法，通过定量分析以及与现有系统的可靠性特征比较表明，该系统在可靠性上明显优于现有系统，更加适合在Internet等复杂和恶劣网络环境下布置。 本文后续内容的安排如下：第2章提出了一般化的蠕虫特征产生系统模型，并结合该模型分析系统的安全威胁和安全需求；第3章给出了可靠蠕虫特征产生系统的设计；第4章描述了改进的两层门限签名的设计；第5章对该系统的可靠性进行分析，并与现有系统进行安全特征比较；第6章是结论部分。 蠕虫特征产生系统模型及安全需求 蠕虫特征产生系统一般模型 目前主流的蠕虫特征产生系统主要包括EarlyBird，Domi