网络蠕虫的传播模型及其防御策略

1网络蠕虫的传播模型及其防御策略王方伟2网络蠕虫的传播过程发现新目标扫描IP地址Email地址、文件系统的传输感染目标主机主要利用系统漏洞新感染的主机加入感染大军3研究网络蠕虫的动机CodeRed(Jul.2001):14小时内感染近36万台主机，损失：26亿Slammer(Jan.2003):10分钟内感染75,000台主机，损失：5分钟内就导致了9.5亿-12亿美元的损失Blaster(Aug.2003):感染15万-8百万主机，DDoSattack(关闭Windows更新)，损失：20-100亿Witty(Mar.2004):利用ISS漏洞，30分钟感染12000台主机Sasser(May2004):2天内感染50万台主机，损失：数千万美元网络蠕虫的传播速度远远超过人的响应速度！4研究蠕虫的科学意义网络蠕虫的危害传播速度快影响面广造成损失大对计算机系统安全和网络安全的威胁日益增加新一代网络蠕虫的主要特点和危害造成骨干网大面积阻塞甚至瘫痪，致使网络服务中断造成主机开放，导致严重的信息安全威胁计算机系统性能下降，甚至瘫痪发动拒绝服务攻击攻击者回收和集中控制感染节点5如何防御网络蠕虫攻击迫切需要自动响应机制首先，需要理解蠕虫的行为特征为蠕虫的检测和防御做准备然后,未知蠕虫的早期检测基于蠕虫模型的检测基于阈值基于趋势最后,建立自动防御系统动态隔离自适应防御6目录网络蠕虫的定义及当前的安全状况网络蠕虫的传播模型分类网络蠕虫的扫描策略我们目前的工作网络蠕虫的防御策略将来的计划(目前的研究热点)7网络蠕虫的定义•什么是网络蠕虫?•1982年，JohnF.Shoch等最早引入计算机领域。两个最基本特征：可以从一台计算机移动到另一台计算机和可以自我复制。•1988年Morris蠕虫爆发后，EugeneH.Spafford给出了蠕虫的技术角度的定义，“计算机蠕虫可以独立运行，并能把自身的一个包含所有功能的版本传播到另外的计算机上。”•郑辉：Internet蠕虫是无须计算机使用者干预即可运行的独立程序，它通过不停的获得网络中存在漏洞的计算机上的部分或全部控制权来进行传播。•文卫平：“网络蠕虫是一种智能化、自动化，综合网络攻击、密码学和计算机病毒技术，不需要计算机使用者干预即可运行的攻击程序或代码。它会扫描和攻击网络上存在系统漏洞的节点主机，通过局域网或者国际互联网从一个节点传播到另外一个节点。•DMKienzle：网络蠕虫是通过网络传播的恶意代码，它需要人为干预或者不需要人为干预。基本特征：网络传播，自我复制8什么不是网络蠕虫?病毒–隐藏在计算机系统信息资源中，利用系统信息资源进行繁殖并生存，影响计算机系统征程运行，通过信息共享的途径传播的、可执行的程序。不能独立运行，需要用户来激活。木马–是一种基于远程控制的攻击工具，能够未经授权收集、篡改或破坏信息。其特点是隐蔽性和非授权性。设计者为了防止木马被发现，采用多种手段来隐藏木马；即使被发现，也不能缺定具体位置。一旦控制端连上服务器端，控制端将拥有服务器的大部分权限。9病毒、网络蠕虫和木马的区别病毒网络蠕虫木马存在形式寄生，不以文件形式存在独立个体，以文件形式存在寄生或独立，伪装成其它文件传播方式依赖宿主文件或介质，插入其它程序自主传播，利用系统存在的漏洞依靠用户主动传播，诱骗手段攻击目标本地文件网络上的计算机，网络本身感染的计算机系统计算机使用者角色病毒传播中的关键环节无关/有关无关主要危害破坏数据完整性、系统完整性侵占资源留下后门，窃取信息传播速度快极快慢10恶意代码和网络蠕虫、计算机病毒、木马的关系网络蠕虫传统计算机病毒木马恶意代码广义的计算机病毒11网络蠕虫的分类(1)根据传播途径利用Windows操作系统漏洞传播RPC漏洞(Blaster)利用应用程序漏洞传播FTP服务程序(Ramen)、IIS服务器漏洞(Nimda)、SQLServer数据库(Slammer)利用浏览器传播通过修改web服务器的内容，把一小段JavaScript代码附加到HTML或者ASP文件上，IE自动执行代码(Nimda,CodeRed)利用Email传播通过MAPI获得感染机器的通讯录中邮件地址列表，通过Windows的邮件客户端把蠕虫代码作为邮件附件发送给其他主机,而未打补丁的IE会自动执行邮件中的附件，从而使蠕虫激活.(求职信蠕虫、小邮差蠕虫)依赖网络共享利用共享网络资源进行传播(Nimda)12网络蠕虫的分类(2)网络蠕虫的破坏能力无害型建立很多垃圾文件，减少磁盘的可用空间，对系统没有其他影响降低系统或网络性能型消耗大量主机资源，减少内存和CPU的使用率，使主机速度变慢；在网络上形成垃圾流量，浪费网络带宽，造成拥塞，降低网络性能。(Nachi探测网络主机的RPCDCOM缓冲区漏洞，删除Blaster)破坏型删除主机程序、破坏数据、清除系统内存区和操作系统中重要数据。(CodeRed,Nimda、Blaster、Sasser)13网络蠕虫的分类(3)蠕虫编写者的意图好奇心型(爱虫、CodeRed)恶作剧型自娱自乐或开别人玩笑(Blaster,为了帮助其母亲的小公司招揽生意)商业利益型为了赚钱，进入他人网站内，将其主页内商品资料内容、价格作降价等大幅度修改，使消费者误以为该公司的商品便宜廉价而大量订购，从而产生Internet订货纠纷。(库尔尼科娃蠕虫、燕姿蠕虫)政治目的型萨达姆蠕虫恐怖主义型仇恨一切现存的秩序，仇恨电脑本身，制造蠕虫的目的是利用蠕虫破坏现有的网络和计算机，窃取重要情报、格式化硬盘、毁坏重要数据等(Al-Qaeda、ELF、ALF)14网络漏洞的类型漏洞指因设计不周而导致的硬件、软件或策略存在的缺陷。缓冲区溢出漏洞将超过缓冲区能处理的更多的数据加入到缓冲区时产生的允许DoS服务的漏洞存在于UNIX操作系统的网络服务核心，OS本身的漏洞。允许有限权限的本地用户未经授权提高其访问权限的漏洞由应用程序中的一些缺陷引起。典型例子：Sendmail程序的漏洞。在例程模式下，可以绕过用户帐号的检查，都可以启动Sendmail。允许在远程主机上的未经授权用户访问网络的漏洞主要由于较差的系统管理或设置造成的。IIS允许远程用户执行命令。IISHTTP将所有以.Bat或.cmd为后缀的文件与cmd.exe联系起来，如果能执行cmd.exe就能运行所有的命令。15蠕虫的行为特征自我繁殖：蠕虫在本质上已经演变为黑客入侵的自动化工具，当蠕虫被释放后，从搜索漏洞，到利用搜索结果攻击系统，到复制副本，整个流程全由蠕虫自身主动完成。利用软件漏洞：漏洞是各种各样的，有操作系统本身的问题，有的是应用服务程序的问题，有的是网络管理人员的配置问题。漏洞产生原因的复杂性，导致各种类型的蠕虫泛滥。造成网络拥塞：在扫描漏洞主机的过程中，判断其它计算机是否存在；判断特定应用服务是否存在；判断漏洞是否存在等等，这不可避免的会产生附加的网络数据流量。同时蠕虫副本在不同机器之间传递，或者向随机目标的发出的攻击数据都不可避免的会产生大量的网络数据流量。消耗系统资源：蠕虫入侵到计算机系统之后，会在被感染的计算机上产生多个副本，每个副本启动搜索程序寻找新的攻击目标。大量的进程会耗费系统的资源，导致系统的性能下降。留下安全隐患：大部分蠕虫会搜集、扩散、暴露系统敏感信息，并在系统中留下后门。这些都会导致未来的安全隐患。16网络蠕虫的攻击方法缓冲区溢出攻击弱密码攻击自身携带一个弱密码字典，字典中包括常用的用户名和密码，攻击时网络蠕虫将用户名和密码进行组合，然后尝试，如果成功就与远程主机系统建立连接将自身传给远程主机系统，并以此为起点进行新的攻击。(阿泥哥蠕虫)社会工程学攻击利用说服或欺骗的方式，让网络内部的人来提供必要的信息，从而获得对信息系统的访问。攻击对象通常是一些安全意识薄弱的计算机使用者，攻击者通常采用与之交流或其它互动的方式实现。DoS与DDoS攻击Pingofdeath、泪滴（Teardrop）、UDPflood、SYNflood、Land攻击、Smurf攻击、Fraggle攻击，电子邮件炸弹、畸形消息攻击17网络蠕虫的现状和趋势几小时时间几天几分钟几秒钟90年代初90年代中90年代末20002003第I类人工响应:有可能“Flash”ThreatsFileViruses第III类人工响应:不可能自动响应:不太可能主动阻挡:有可能第II类人工响应:很难/不可能自动响应:有可能MacroVirusese-mailWormsBlendedThreats“Warhol”Threats200518漏洞越来越多…1995到2008当前的安全状况vulnerabilitiesin2006aresecondquarters.Vulnerabilitiesreported010002000300040005000600070008000900019951996199719981999200020012002200320042005200620072008Year#ofvulnerabilities19互联网安全事件报告越来越多…1988到2006IncidentsReported01000002000003000004000005000006000007000008000001988199019921994199619982000200220042006Incidents20从漏洞发现到蠕虫爆发的时间越来越短…网络蠕虫漏洞发现时间蠕虫开始传播时间间隔Ramen2000-07-072001-01-18195Adore2001-01-292001-04-0434CodeRed2001-06-192001-07-1930Nimda2001-05-152001-09-18126Scalper2002-07-172002-07-2811Slapper2002-07-302002-09-1445Sapphire2002-07-242003-01-25184Blaster2003-07-162003-08-1126Witty2004-03-182004-03-202Sasser2004-04-132004-04-3017????????????21网络蠕虫的传播模型目的：精确的蠕虫传播模型可以更清楚地认识蠕虫，能确定其在传播过程中的弱点，而且能更精确的预测蠕虫所造成的损失，进而采取有效防御措施。解析模型将蠕虫传播过程用数学解析的方法进行描述,如一组微分方程、差分方程或者一组递归公式数据包级蠕虫仿真模型通过引入网络仿真技术,构建蠕虫传播物理环境仿真模型,根据蠕虫模型的数据包产生、发送规则,在仿真模型中模拟蠕虫数据包在实际网络中的发送、传播、接收和处理等动作,同时记录相应的中间过程信息,用于蠕虫传播特性分析.22网络蠕虫传播模型)()(tStINr#ofcontactsI(t)S(t)传播模型:010020030040050060000.511.522.533.5x105I(t)易感主机感染主机:易感主机数:主机总数:感染主机数:扫描数t简单传播模型)()()(tStIrdttdI:感染率r)()(tStIN23Kermack-McKendrick模型状态转移::从感染主机中恢复的主机数:恢复率易感感染恢复01020304012345678910x105=0=N/16=N/4=N/2t)()()()()()()()()(tStRtINtIdttdRtItStIdttdI)(tR•一个大规模蠕虫爆发的充要条件：其中)0(S/24双因素传播模型考虑了更多的外界影响因素和蠕虫对抗措施:各ISP节点或用户的对抗措施;网络蠕虫的快速传播导致一些路由器发生阻塞,从而降