資源描述:
《網(wǎng)絡(luò)蠕蟲(chóng)防范技術(shù)研究》由會(huì)員上傳分享�,免費(fèi)在線閱讀,更多相關(guān)內(nèi)容在工程資料-天天文庫(kù)�����。
1��、網(wǎng)絡(luò)蠕蟲(chóng)防范技術(shù)研究網(wǎng)絡(luò)蠕蟲(chóng)防范技術(shù)研究摘要:受文網(wǎng)絡(luò)蠕蟲(chóng)的傳播機(jī)制進(jìn)行了建模分析���,在此基礎(chǔ)上進(jìn)一步總結(jié)并且描述了網(wǎng)絡(luò)蠕蟲(chóng)的檢測(cè)技術(shù)����,介紹了網(wǎng)絡(luò)蠕蟲(chóng)的控制方法�����,著手于研究網(wǎng)絡(luò)蠕蟲(chóng)的檢測(cè)與防御技術(shù)��。關(guān)鍵詞:網(wǎng)絡(luò)蠕蟲(chóng)防范研究中圖分類(lèi)號(hào):TP319.3文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):1674-098X(2014)02(a)-0056-01網(wǎng)絡(luò)蠕蟲(chóng)是常見(jiàn)的病毒��,雖然具有一般病毒的特征����,即通過(guò)網(wǎng)絡(luò)載體進(jìn)行復(fù)制傳播��,但與一般的病毒最主耍區(qū)別是沒(méi)有人為干預(yù),能夠獨(dú)立運(yùn)行����。網(wǎng)絡(luò)蠕蟲(chóng)具有潛伏性強(qiáng)、傳播快��、生存周期長(zhǎng)��、覆蓋面廣���、發(fā)生頻率高等特點(diǎn)���,特別是新型蠕蟲(chóng)與多態(tài)蠕蟲(chóng)的涌現(xiàn),造成網(wǎng)絡(luò)癱瘓����,成為危害網(wǎng)絡(luò)安全的重大隱患。
2��、1網(wǎng)絡(luò)蠕蟲(chóng)的建模分析研究網(wǎng)絡(luò)蠕蟲(chóng)的傳播機(jī)制����,通過(guò)蠕蟲(chóng)主體功能的四個(gè)模塊對(duì)蠕蟲(chóng)病毒進(jìn)行分析,即掃描�、搜索��、攻擊��、復(fù)制和傳輸四個(gè)模塊�。1.1搜索模塊該模塊決定采用技術(shù)的和非技術(shù)的方法搜集本地或者目標(biāo)網(wǎng)絡(luò)的信息��,其搜索主要內(nèi)容有系統(tǒng)類(lèi)型�����、版本����、用戶名、郵件列表�、開(kāi)放的服務(wù)器軟件版本����、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)以及邊界的路rti信息。1.2掃描模塊該模塊利用信息搜集模塊搜集的信息所完成的檢測(cè)��,探測(cè)搜索的主機(jī)�。通常掃描探測(cè)策略有順序、基于目標(biāo)列表�、基于路由掃描����、隨機(jī)和選擇性隨機(jī)掃描等��。1.3攻擊模塊該模塊利用掃描探測(cè)模塊探測(cè)的主機(jī)漏洞����,對(duì)目標(biāo)系統(tǒng)實(shí)施攻擊和建立傳輸通道,以植入和運(yùn)行蠕蟲(chóng)副本��。緩沖區(qū)溢出攻擊是普遍的攻
3�����、擊形式�,此外攻擊形式還有系統(tǒng)誤配置和字符串格式攻擊等。1.4復(fù)制模塊該模塊通過(guò)交互原主機(jī)和新主機(jī)����,將病毒復(fù)制到新主機(jī)并啟動(dòng),生成多種形式的副本����。1.5傳輸模塊該模塊在實(shí)施攻擊后,下載安裝附加的惡意代碼到目標(biāo)機(jī),還會(huì)添加到windows進(jìn)程中�����,致使系統(tǒng)操作異常�����。通過(guò)對(duì)網(wǎng)絡(luò)蠕蟲(chóng)的建模分析表明��,網(wǎng)絡(luò)蠕蟲(chóng)的傳播雖具有突發(fā)性,但還有一定的規(guī)律性��,因此�����,在傳播初期進(jìn)行有效的檢測(cè)和控制能夠抑制蠕蟲(chóng)的泛濫���。2網(wǎng)絡(luò)蠕蟲(chóng)檢測(cè)技術(shù)網(wǎng)絡(luò)蠕蟲(chóng)控制技術(shù)的主要思想是�����,通過(guò)研究各個(gè)主機(jī)流量隨時(shí)間變化的規(guī)律,預(yù)測(cè)網(wǎng)絡(luò)蠕蟲(chóng)的變化趨勢(shì)��,進(jìn)而有效防范病毒的傳播。網(wǎng)絡(luò)蠕蟲(chóng)控制方向一般有三大方面�,即主機(jī)隔離、阻斷�����、限速���。當(dāng)前最常用的是
4�、檢測(cè)主機(jī)單位時(shí)間發(fā)起的連接失敗率����,丟弄數(shù)據(jù)包且切斷主機(jī)與網(wǎng)絡(luò)的通信,但是對(duì)流量產(chǎn)生影響���,準(zhǔn)確率也受到限制�����。2.1網(wǎng)絡(luò)蠕蟲(chóng)檢測(cè)主要技術(shù)檢測(cè)技術(shù)被稱(chēng)作是防火墻的補(bǔ)充��,即第二道安全門(mén)��,通過(guò)自身校驗(yàn)�����、安全H志�����、關(guān)鍵字等來(lái)對(duì)蠕蟲(chóng)特征進(jìn)行檢測(cè)���。檢測(cè)技術(shù)是主動(dòng)的網(wǎng)絡(luò)防御技術(shù)����,能夠彌補(bǔ)單純防火墻的不足���。網(wǎng)絡(luò)蠕蟲(chóng)檢測(cè)技術(shù)在采用入侵檢測(cè)技術(shù)的同時(shí)���,也結(jié)合了網(wǎng)絡(luò)蠕蟲(chóng)自身及其傳播中具有的特點(diǎn),綜合應(yīng)用了多種技術(shù)來(lái)進(jìn)行蠕蟲(chóng)檢測(cè)和控制�����,其中包括網(wǎng)絡(luò)蠕蟲(chóng)檢測(cè)與預(yù)警�,網(wǎng)絡(luò)蠕蟲(chóng)傳播抑制,網(wǎng)絡(luò)蠕蟲(chóng)應(yīng)對(duì)等�。通常情況下,檢測(cè)技術(shù)有兩種���,即誤用檢測(cè)和異常檢測(cè)�����。誤用檢測(cè)是基于知識(shí)�����、規(guī)則的檢測(cè)�����,?般是根據(jù)以往的各種攻擊����,提取特征����,然后建
5、立一個(gè)規(guī)則庫(kù)�,當(dāng)根據(jù)檢測(cè)到的事件模式或者系統(tǒng)狀態(tài),與預(yù)先建立的規(guī)則庫(kù)相匹配時(shí)�����,則說(shuō)明有入侵行為特征編碼存在。誤用檢測(cè)技術(shù)雖然有較高的準(zhǔn)確度���,但是誤用檢測(cè)主要檢測(cè)曾出現(xiàn)的異常行為特征�����,而變種的蠕蟲(chóng)病毒和以往沒(méi)出現(xiàn)的異常行為沒(méi)有檢測(cè)能力��,因此其規(guī)則庫(kù)必須依據(jù)不斷出現(xiàn)的新情況及吋更新�����,規(guī)則庫(kù)更新的頻率決定了系統(tǒng)的檢測(cè)能力�����。異常檢測(cè)是通過(guò)對(duì)網(wǎng)絡(luò)的正常行為的描述����,定量地描述其行為特征��,分析和發(fā)現(xiàn)系統(tǒng)異常行為和網(wǎng)絡(luò)流量的異常情況���,網(wǎng)絡(luò)流量的異常檢測(cè)基本思想是把網(wǎng)絡(luò)流量特征分為兩個(gè)層次的特征集合�,即基木和組合特征集合。2.2網(wǎng)絡(luò)蠕蟲(chóng)檢測(cè)技術(shù)比較異常檢測(cè)技術(shù)中對(duì)正常網(wǎng)絡(luò)行為的描述是通過(guò)對(duì)過(guò)去大量歷史數(shù)據(jù)的分
6�、析得到的��,任何偏離的正常行為均被認(rèn)為是異常��。相比Z下�����,誤用檢測(cè)則通過(guò)標(biāo)識(shí)的那些已知的入侵行為���,通過(guò)對(duì)其具體行為的判斷����、推理�,進(jìn)而檢測(cè)其行為。兩者相比較而言�,異常檢測(cè)技術(shù)的誤報(bào)率比較高,誤用檢測(cè)技術(shù)盡管誤報(bào)率較低����,但是漏報(bào)率卻是比較高的�����。3網(wǎng)絡(luò)蠕蟲(chóng)控制技術(shù)一般情況下控制的方法是直接關(guān)閉服務(wù)器��、切斷用戶鏈接�����,這種做法有效控制蠕蟲(chóng)傳播�,可是也將導(dǎo)致通訊中斷���,影響正常用戶的使用�����。在不關(guān)閉服務(wù)器或切斷用戶鏈接情況下��,可通過(guò)兩個(gè)步驟控制蠕蟲(chóng)���,一是截獲蠕蟲(chóng)病毒調(diào)用Win32函數(shù)功能,二是檢查函數(shù)調(diào)用者代碼��,若判斷調(diào)用者代碼為蠕蟲(chóng)病毒等惡意代碼����,終止程序的運(yùn)行���。引入簽名驗(yàn)證機(jī)制和captcha驗(yàn)證機(jī)制,可以
7����、有效防范蠕蟲(chóng)病毒���。簽名驗(yàn)證機(jī)制對(duì)發(fā)送方的文件通過(guò)簽名驗(yàn)證��,同樣在接受方進(jìn)行驗(yàn)證簽名,判斷代碼是否可疑�����;captcha驗(yàn)證機(jī)制將數(shù)字和字母隨機(jī)組成隨機(jī)圖片發(fā)送給用戶��,這些圖片很難識(shí)別���,用戶需依據(jù)服務(wù)器發(fā)送的挑戰(zhàn)信息進(jìn)行驗(yàn)證。此外����,IM信息流量監(jiān)控也可有效的抑制蠕蟲(chóng)的傳播���,它是及時(shí)捕獲正常用戶和已感染用戶的通信速率的差界,對(duì)已感染用戶進(jìn)行限制和處理���,通常情況下只需監(jiān)控URL鏈接或文件傳輸請(qǐng)求消息�����,但是相同端口的請(qǐng)
