網絡蠕蟲檢測技術研究與實現

摘要：近幾年來網絡蠕蟲對因特網造成了嚴重威脅。由于蠕蟲能在短時間內感染成千上萬臺主機，因此必須使用快速自動化的檢測防御技術。文章首先分析了典型的蠕蟲特征，接著提出了一種有效的蠕蟲檢測方案，最后對該方案進行了分析和評價。

關鍵詞：蠕蟲檢測；行為特征；蜜罐；EWAS

0 引言

“計算機蠕蟲”一詞最早見于1975年John Brunner的科幻小說“The Shockwave Rider”。而真正意義上的蠕蟲程序是Bob Thomas于1971編寫的空中管制權變更通知程序。二十世紀八十年代，John Shock和Jon Hepps編寫蠕蟲程序以期望利用空閑資源進行工作。經過實踐，他們發現利用網絡傳播的這些自制的蠕蟲可以嚴重地耗費主機資源和網絡資源。至此蠕蟲的研究工作不再公開，直至1988年莫里斯蠕蟲(MorrisWorm)的出現。

Moms Worm是因特網上最早出現的蠕蟲，使網絡癱瘓了五天。2001年6月Code Red的爆發使人們真正認識到了蠕蟲快速傳播的危害。截止到2001年7月19日，有超過359，000臺連到因特網的計算機在14小時內被“紅色代碼”(CRv2)蠕蟲感染。這個蠕蟲造成的損失，包括后續的“紅色代碼”造成的危害，估計為26億美元。2001年9月18日的尼姆達(Nimda)蠕蟲是第一個利用多種漏洞進行傳播的蠕蟲。2003年1月，W32.SQLExp蠕蟲采用了更加先進的傳播策略，在全球范圍內快速傳播，使人工干預和防衛無濟于事。2004年3月20日的Witty蠕蟲被人們看作是智慧蠕蟲，與其它蠕蟲不同的是該蠕蟲功能良好，沒有明顯缺陷。它在網絡漏洞發布后的48小時內就被釋放到網上。

蠕蟲嚴重占用主機資源和網絡資源，造成了嚴重的經濟損失，引起了人們的普遍關注。計算機蠕蟲是利用常見服務的安全漏洞或策略缺陷通過網絡進行自傳播的程序。這個概念有下面幾層含義：①蠕蟲是一個程序；②使用網絡傳播，而不注重在本機傳播，具有傳染性；③關注常見服務，因為這可以加快傳播；④利用安全漏洞或策略缺陷進行傳播。

1 蠕蟲的傳播過程

這一部分，我們將以Code RedⅡ蠕蟲為例來討論蠕蟲的傳播過程及關鍵技術。Code RedⅡ蠕蟲利用的是Microsoft'sIIs Web Servers的緩沖區溢出漏洞。這一漏洞可以使入侵者利用IIS Server的特權在本地執行任意命令。蠕蟲感染一臺主機后，該系統就成為新的感染源。Code Red II蠕蟲在感染該系統時執行下列主要功能：

(1)檢測本地系統的語言選項是否為中文。后續的一些功能根據語言選項的不同而不同。

(2)檢測是否第一次執行蠕蟲代碼，如果是則啟動傳播機制。

(3)檢測系統是否第一次被感染，如果是則創建防止被重新感染的標志。

(4)為傳播蠕蟲開啟數百個并行進程。

(5)復制進程重新啟動感染過程。

(6)重新引導系統。如果語言選項為中文，則在此之前休眠1至2天。

蠕蟲獲取本地系統地址、網絡掩碼等信息，開啟數百個并行線程進行目標探測和蠕蟲傳播：

(1)如果系統時間在2002年10月1日前，則進行傳播。否則重新引導系統，清除內存中的蠕蟲；

(2)按照下列地址選擇策略快速探測目標系統：

(a)使用1／7的時間探測為非本地網絡地址；

(b)使用3／7的時間探測掩碼為，8的IP地址(如果被感染系統的IP地址為10.9.8.7，則從10.開始進行探測)；

(c)使用3／7的時間探測掩碼為／16的IP地址(即，從10.9.開始進行探測)。

這種地址選擇策略基于這樣一種假設：同在一個網絡中的主機使用相同應用的概率大于不在同一個網絡中的主機，因此對掩碼／8，／16的地址空間的探測時間更多一些。

Code Red II蠕蟲找到后門主機以后，就在本地系統安裝木馬：

(1)復制cmd.exe到msadc、scripts目錄并更名為root.exe；

(2)木馬化C：和D：上的explore.exe。這樣一旦系統執行了該木馬程序，黑客就可以遠程訪問該系統和執行程序。

由此我們看到一個蠕蟲的攻擊過程通常包含感染階段、傳播階段和執行負載三個階段。

1.1感染階段

這個階段，蠕蟲已入侵到本地系統，它為了利用網絡資源進行自治傳播必須修改一些系統配置、運行程序，為后續階段做準備，如生成多個線程以備快速探測新的目標之需，設置互斥標志防止系統被再次感染而影響傳播速度等。通過這個階段的工作，蠕蟲將所入侵的系統變為一個新的感染源。以后這個感染源就可以去感染其它系統以擴大感染范圍。

1.2傳播階段

在這個階段蠕蟲會采用多種技術感染更多的系統。該階段通常包含下列過程：

(1)目標探測

在蠕蟲感染系統前，它必須首先發現目標。有許多技術可以幫助蠕蟲發現和利用新目標：掃描(外部目標列表、預生成的目標列表、內部目標列表)和被動監視。蠕蟲也可以混合使用這些技術。如果防御系統能夠抵御一種策略，則它可以阻止采用這種目標發現策略的這一類蠕蟲的傳播。掃描需要探測一個地址空間，識別出有漏洞的系統，它是一種主動的目標發現技術。由于這一方法的簡單性，因此它是常見的傳播策略。目標地址選擇策略對蠕蟲在網上傳播的整體速率有著重要的影響。常用的地址選擇策略有：完全隨機、優先選擇本地地址、順序掃描。被動監視網絡活動，并從中獲取地址信息的蠕蟲并不主動搜尋受害系統。它們要么等待潛在的受害系統與之發生聯系，要么依賴用戶的行為發現新的目標。盡管這會導致蠕蟲傳播很慢，但它們能夠依靠正常通信發現新的目標，在目標發現期間不產生異常數據流模式，因此它們的行蹤是隱秘的。

掃描特別異常的行為。如產生大量的無效的IP數據報文，利用這一特點可以進行有效檢測。

(2)利用漏洞感染目標系統

利用常見服務的漏洞獲取特權，這樣可以在目標系統做更多的事情。比如Code Red Ⅱ在感染系統時利用IIS服務的緩沖區溢出漏洞獲取特權，然后在系統安裝后門。由于蠕蟲漏洞利用的模式相同，因此可針對這—特點進行檢測。

(3)運輸蠕蟲代碼

蠕蟲必須將自身從一個系統傳播到另一個系統，從而控制大量的系統。一些蠕蟲，如沖擊波蠕蟲(Blaster)，需要第二個通信通道完成感染，被感染的系統使用TFTP回連到感染源以下載蠕蟲實體，完成蠕蟲代碼的運輸。而有些蠕蟲在利用漏洞入侵系統時將蠕蟲代碼放在同一個報文中進行運輸。還有一些蠕蟲將蠕蟲代碼作為正常通信的一部分進行發送，或者附在正常信息后或者替換正常信息，其傳播行為并不顯現異常。蠕蟲在運輸代碼時可以是一對多，一個站點在被感染后向多個站點提供一個蠕蟲或模塊；或是多對多的，多個副本傳播惡意代碼；或者使用混合的方法。通常，如果限制因素是執行分發所用的時間，則多對多的分發速度會快些。蠕蟲在復制自身代碼運輸時具有相同的通信模式，因此可利用這一特點進行檢測。

1.3執行負載階段

負載，就是蠕蟲傳輸的與傳播例程或傳播功能無關的代碼，通常是完成攻擊者意圖的代碼。常見的負載有采集敏感數據，如Siream蠕蟲；毀壞數據，如Klez蠕蟲；遠程控制系統，如Code Red II；拒絕服務攻擊，如Code Red I。在這個階段蠕蟲表現出一定的攻擊性，我們可以采用多種入侵檢測手段予以檢測，如網絡防火墻、入侵檢測系統、個人防火墻等等。

2 網絡蠕蟲檢測系統

因特網的開放環境為蠕蟲的快速傳播提供了便利條件。蠕蟲最具威脅性的特點是傳播速度很高。許多事件和研究表明一個具有良好工程的蠕蟲能在幾分鐘內感染90％以上的因特網弱點系統，嚴重擾亂網絡正常秩序。這樣快速的傳播能力需要自動化的檢測響應機制來進行有效防御。

我們研制的網絡蠕蟲檢測系統EWAS，可以針對本地網絡傳播蠕蟲，快速有效地檢測蠕蟲入侵，了解本地蠕蟲感染情況，為蠕蟲防范提供有利保障。

2.1系統結構

EWAS由檢測控制臺和網絡蠕蟲檢測器兩部分組成。檢測控制臺負責管理檢測器的運行和實時給出可疑蠕蟲活動狀況。檢測器負責采集本地網絡數據流，重組連接報文，如果發現類似蠕蟲的通信模式則向檢測控制臺發送報警信息。檢測器分為蜜罐檢測器和非蜜罐檢測器兩類。蜜罐檢測器模擬本地網絡中未分配的IP地址，并在此基礎上檢測和分析蠕蟲活動、抽取未知蠕蟲的特征。圖1所示為本系統的網絡拓撲圖。

2.2檢測算法

本地網絡中的蠕蟲活動存在下列特點：

(1)連接模式的相似性。連接模式的相似性說明了一個事實：目標系統存在漏洞，目標系統被感染，然后又利用同樣的方法感染新的目標系統，即，蠕蟲從一個節點傳播到另一個節點時具有相似的行為。這是因為蠕蟲包含用于攻擊弱點服務的特定模塊。當蠕蟲試圖利用同樣的漏洞攻擊不同的系統時就會出現這一特征，特別是當網絡中所有的主機運行相同版本的服務時。即使蠕蟲包含不同的漏洞利用模塊，它們的數量也是有限的。

(2)連接模式的因果關系。連接模式的因果關系意味著某個連接模式或事件依賴于另一個或前面的事件。很明顯，如果一個節點開始以感染方式動作，則它必須首先被感染。一個重要的情形是某個連接的目的節點在一段時間后與另一個節點進行了類似的連接。

(3)無效的連接。分兩種情況：①目標系統在線，如果蠕蟲漏洞利用的數據包為TCP／UDP，而目標系統沒有開放這些服務，在網絡上可以看到目的端口不可達的ICMP報文。②目標系統不在線，蠕蟲探測不成功。當蠕蟲成功地攻破了主機，試圖探測新的弱點系統時就會出現無效連接。這是因為蠕蟲在發現弱點服務時，通常會隨機選擇IP地址。如果隨機選擇的地址或服務端口不存在，就會出現無效的連接。

(4)蠕蟲在探測和攻擊新的目標系統時，會出現一對多的通信模式。

根據蠕蟲在本地網絡的行為特點，EWAS采用特征分析與異常分析相結合的蠕蟲判定方法以降低漏警率和誤警率。

(1)特征匹配方法。這種檢測方法可以對付已知的蠕蟲。特征匹配方法既快速高效，又能保證一定的成功率，但是該方法無法對付新的蠕蟲。

(2)如果一個節點在△t時間內與多于n個節點進行了通信，并且它們的通信模式相同，則認為該節點具有“花束”狀通信模式。采集和分析目的不可達報文，如果某個本地節點具有“花束”狀通信模式則認為該節點已被蠕蟲感染。這種檢測方法可以快速檢測到進行隨機IP地址掃描的蠕蟲。

(3)因果連接模式判定方法。連接是一個通信元組(時戳，協議+源IP，源端口，目的IP，目的端口，數據)，表示在某個時間，從某個源IP到某個目的IP的特定目的端口已成功建立了一個通信連接，數據僅包含報文的頭，個字節(，是可配置的)，不包含所有交換的數據。一個通信鏈表示從一個主機到另一個主機先后連續建立的幾個通信連接。從一個主機外出的連接僅在之前有另一個主機打開了到此主機的連接時才會成為通信鏈的一個元素。當一個通信鏈具有一定數量的相同通信連接模式，則認為這是一個蠕蟲模式。

(4)蜜罐檢測方法。利用蜜罐，模擬本地網絡中未分配的IP地址，欺騙蠕蟲，使其誤以為找到了弱點系統。通過蜜罐系統可以分析蠕蟲行為，采集未知蠕蟲的攻擊特征。

3 結束語

通過實踐檢測，EWAS具有以下幾個優點：

(1)實時采集網絡數據流；

(2)實時分析網絡報文，檢測蠕蟲活動；

(3)實時給出蠕蟲報警信息；

(4)采用旁路工作方式，不影響原有的網絡應用

(5)使用蜜罐模擬本地網絡未分配的IP地址，欺騙蠕蟲，捕獲到蜜罐的可疑訪問；

(6)控制中心可對蠕蟲檢測分析引擎進行遠程管理；

(7)在蠕蟲掃描階段就發現蠕蟲活動。

EWAS綜合利用多種方法進行檢測，可在蠕蟲傳播的早期檢測出蠕蟲。該系統采用特征分析和異常分析相結合的方法以降低漏警率和誤警率；在給出報警信息的同時給出該信息的可信度；利用可信度告知用戶該事件分析的準確度。