欢迎来到天天文库
浏览记录
ID:44594436
大小:113.30 KB
页数:5页
时间:2019-10-23
《蠕虫预警技术研究与进展》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库。
1、蠕虫预警技术研究与进展谢丰L2孟庆发2xiefeng@software.ict.ac.cn1中国科学院计算技术研究所软件室,北京,1000802中国科学院研究生院,北京,100039摘要当前网络蠕虫对Internet构成重要威胁,如何防范蠕虫已经成为网络安全的重耍课题。由丁•蠕虫传播速度快、规模大,因此必须在埔虫传播初期就能发现并采取相应措施进行隔离。全血分析了目前蠕虫预警方面的最新研究进展,包括路山器级的蠕虫检测、基于彳J:为的蠕虫检测、端虫特征的自动提取,并对蠕虫的特点进行总结,最后对未來蠕虫检测的可能方向进行展望。关键词网
2、络安全,蠕虫,预警技术2.1基于扫描的蠕虫检测1引言随着Internet应用的发展,蠕虫対网络安全的威胁FI益增加,它已成为网络安全研究的一个热点问题。许多研究人员从蠕虫的功能结构、扫描策略、传播模型等多个方面研究端虫的特性。通常,孀虫传播会经过三个阶段:慢速启动阶段、快速传播阶段和缓慢结束阶段(如图1所示,这里采丿LISimpleEpidemicModel传播模型⑴)。也就是说,蠕虫传播初期速度通常比较慢,但随着传播的进行,其扩散速度将会急剧增人,最后随着未被感染的主机数量减少,英传播速度又会逐渐降低。图1蠕虫传播阶段划分由此
3、可见,如果是在第二甚至是第三阶段才采取措施对蠕虫进行隔离,实际上对蠕虫的人范围传播儿乎不会有A大影响,而且此吋蠕虫已经造成了巨大的破坏,因此只冇在第一阶段发现蠕虫并几进行隔离,才能真正冇效地限制其传播。本文将全血分析日前蠕虫预警的最新进展,并深入剖析各自的优缺点。2现有的蠕虫预警技术分析通常蠕虫传播是依靠随机扫描方式(如CodeRed蠕虫)。人范囤的随机扫描往往是蠕虫爆发时的征兆,因此收集这些扫描活动,就能在一定程度上发现蠕虫。Massachusetts大学的Zou等人正是利用这种思想,通过统计对未用IP地址进行的扫描来分析是
4、否发牛蠕虫⑶。他们捉出了一个蠕虫预警系统模型,该模型主要包含两个部分:蠕虫预警屮心和人量的监视器。这些监视器分布在Internet的各个位置,主要是收集本地蠕虫打描的相关数据,然后将统计数据发送到预警屮心。预警中心则综合分析收到的数据。为了减少预警屮心需要处理的数据量,在传送到预警屮心Z前,-需耍对这些原始数据进行预处理(如数据融合),因此系统增加了多个数据混合器(datamixer)o整个系统可看做一个树状结构(如图2)。图2蠕虫预警系统框架监视器分为两种:入口监视器和出口监视器。其中,入口监视器在网络的入口处监视输入数据流,
5、其目的就是检测是否有对内部网络未用IP的扫描活动。出口监视器设置在网络的岀口处,川來监视网络输出数据流,以发现对外的扫描。临视器在每个时间间隔4内都会向预警中心发送口己收集到的信息,包括吋刻『已经发现的感染主机数c,、在&时间范围内收到的扫描数据包个数乙以及蠕虫的扌「I描速率帀等等。预警屮心收集这些数据后,采丿IJ下列步骤计算蠕虫的感染率a、易感染主机数N和0:a)根据〃和乙,利用Kalman过滤器得到扫描率的估计值弘b)根据公式N二竺2,得到易感染主机数的估计7值舟。这里假定是随机扫描,所以Q=232;c)根据公式卩亠得到P。
6、N如果这些非法扫描不是端虫引起的,那么感染率估计值&会在0附近波动或者没有一个中心点,反之则会稳定在一个正数附近。通过对CodeRed蠕虫和SQLSlammei•蠕虫的模拟试验可以发现,力和稳定时,感染主机所山的比例大约为5%,因此这种方法可以在蠕虫刚开始传播不久就进行预警。这种方法的一个主要缺点就是:系统的监控范围必须很广,比如监控的地址空间数为2”,否则会导致很人的谋差。显然,要维护这么一个规模庞人的防范体系代价也会很高。2.2基于honeypot的蠕虫检测honeypot是一种用来收集入侵行为信息并学习入侵过程的工具⑹。由
7、于honeypot没冇向外界提供真止有价值的服务,因此所有进H'ihoneypot的数据都被视为可疑数据,这样就大大减少了所需要分析的数据量。剑桥人学的Kreibich等人捉出使用honeypot来『I动提取蠕虫的特征,然示将这些特征加入到现有的IDS特征库。他们将这个系统称为Honeycomb®。其具体做法是:首先对进入Honeycomb的数据包进行协议解析,然后提収应用层数据,利用后缀树算法(suffixtree)捉取出最长的相同子串,最后将这些子串作为蠕虫的特征加入到IDS的特征库屮。采用这种方法,可以极大地减少人工操作,
8、并且可以缩短蠕虫发生到特征提取Z间的吋间,有助丁在初期就发现蠕虫。在试验中,他们成功发现了Slammer蠕虫和CodeRedII蠕虫的特征。Georgia人学的Dagon等人采用了另一种系统HoneyStat⑻来识别蠕虫。他们利用Vmware构成HoneySta
此文档下载收益归作者所有