基于数据流管理平台的未知蠕虫发现 沈星星，张吉，谭建龙，郭丽 中国.docVIP

基于数据流管理平台的未知蠕虫发现 沈星星，张吉，谭建龙，郭丽 (中国科学院 计算技术研究所软件室,北京 100080) 摘要：当前对于蠕虫的监测与反应一般都是事后与人工的，人们根据蠕虫的特性制定规则来监测已知蠕虫。对未知蠕虫的发现需要根据蠕虫的共性特征，采取新的方法。本文提出了一种基于数据流管理平台的未知蠕虫发现方法框架。通过数据流管理平台对网络数据流的分析处理提供的支持，此模型框架灵活而方便的整合了各种未知蠕虫发现技术，从而能够增加未知蠕虫发现的正确率，降低误报率与漏报率。 引言 计算机蠕虫是自包含的程序(或是一套程序)，它能传播它自身功能的拷贝或它的某些部分到其他的计算机系统中(通常是经过网络连接)。计算机蠕虫是自包含的程序(或是一套程序)，它能传播它自身功能的拷贝或它的某些部分到其他的计算机系统中(通常是经过网络连接)。 传播模块是蠕虫病毒最关键的部分，如果能切断蠕虫的传播，就能将蠕虫局限于较小的 范围，从而不造成大规模破坏。传播模块由可以分为三个基本模块：扫描模块、攻击模块和复制模块。 蠕虫程序的一般传播过程首先是扫描，由蠕虫的扫描功能模块负责探测存在漏洞的主机。当程序向某个主机发送探测漏洞的信息并收到成功的反馈信息后，就得到一个可传播的对象。蠕虫的扫描会大大增加网络数据流量，常常造成网络拥塞。然后是攻击，攻击模块按漏洞攻击步骤自动攻击扫描中找到的对象，取得该主机的权限（一般为管理员权限），获得一个shell。最后是复制，复制模块通过原主机和新主机的交互将蠕虫程序复制到新主机并启动。 我们通过研究当前各种蠕虫，如Code Red (multi-packet, TCP-based, targets widely-used HTTP port)，以及MS SQL Slammer (single-packet payload, UDP-based, targets rarely-used MS SQL port)等，可以发现蠕虫所共有的一些特征。 大量相同的交通量：在蠕虫爆发后的某个中间阶段（网络中已有部分主机感染而没有完 全被感染时），由于试图感染更多的主机而产生的扫描交通量占用了相当大的网络带宽。而且这些交通量有相似性。因为蠕虫程序中包括了能够攻击有特定漏洞的模块，而网络中的所有主机可能会运行某种相同版本的服务，所以蠕虫在不同的主机中一般会重复利用相同的漏洞，例如SQL蠕虫王就利用了SQL Server中同一漏洞。即使象Nimda这样的蠕虫有不同的传染模块，也是针对有限的漏洞，因此模块的数目有限。因而蠕虫在繁殖过程中网络行为必定有相似性。所以通过对包载荷中的定长重复子串的发现与统计，可以发现包中重复出现的内容，而这可以作为可疑的蠕虫特征串进行进一步的判定。在我们的系统中采用了通过对包载荷定长子串求robin finger来找出重复出现的字节序列。 感染规模不断增大：由于蠕虫的自传播特性，一台被感染的主机会去感染多台主机。被 感染的主机数量以及蠕虫的扫描交通都呈指数级迅速增长。根据这个特征，我们可以对相关的源和目的地址进行计数。如果发现地址数目的快速增长，可以作为蠕虫爆发的可疑现象之一。在我们的系统中，维护了对可疑流的源，目的地址数目的统计，通过判断它的增长趋势，对增长速度超过阀值的网络流进行标记。 随机扫描：一个被感染的主机会通过对随机的ip地址的某个固定端口探测有漏洞的服务 来试图感染其他主机，所以常常会去试图连接一些未用的地址空间。所以我们可以对目的ip地址进行纪录，同时维护一个未用ip地址黑名单。对那些黑名单中的不存在的ip地址的连接企图，可以作为蠕虫扫描的可疑现象之一。因为黑名单的收集比较困难，我们的系统中采取了白名单的方法。我们收集了国内的所有合法网络地址，对目的地址不在这个范围内的网络包，认为它是对未用地址的连接。 网络行为具有因果联系：显然，一个蠕虫节点在开始感染其它节点前，必须首先被感染。 这种因果联系的存在虽然不能决定网络中一定有蠕虫攻击，但它是蠕虫攻击的一种迹象。例如一个连接的目的节点主机在很短时间后打开了到另一台主机的相似连接，这种因果联系就说明可能存在蠕虫攻击，因为除了DNS服务中DNS Server会向另一个DNS Server发送域名请求外，没有别的正常服务有这种行为。我们利用这个特征，采用同时对出入两个方向的流进行匹配的方法。如果在出入两个方向都出现相似交通量的大量增长，可以认为是可疑蠕虫交通。 所以，对蠕虫的检测应该充分利用蠕虫的特点，提取蠕虫的共性特征，针对每种特征采取一定的检测方法，并将各种方法结合起来，这样就能有更大的确信度，增加检测率，降低误保率。 相关工作 我们简要的总结一下探测蠕虫的各种技术以及防范蠕虫传播的各种方法 IDS被用来发现DDos攻击和蠕虫入侵。有两种不同类型的I