蠕虫病毒的检测和防御分析研究

青岛科技大学

题目 __________________________________

蠕虫病毒的检测和防御研究

__________________________________

指导教师__________________________

学生姓名__________________________

学生学号__________________________

院<部）____________________________专业________________班___________________________

______年 ___月 ___日

蠕虫病毒的检测和防御研究

摘要

随着网络技术的发展，蠕虫病毒不断扩大对网络安全构成了严重的威胁，本文基于当前蠕虫攻击破坏的严峻形势，对蠕虫病毒的检测和防御技术进行了研究。首先对蠕虫病毒相关知识作了介绍，包括蠕虫病毒的定义、工作流程以及行为特征，并简要分析了蠕虫病毒国内外研究现状；在此基础上接着研究了蠕虫病毒检测技术，提出了基于蠕虫特征码、蠕虫行为特征、蜜罐和蜜网技术以及贝叶斯蠕虫检测技术；最后对蠕虫病毒的防御技术进行了研究，从企业网络用户和个人用户的角度分析了面对当前蠕虫攻击所需要注意和采取的措施，以尽最大可能减少蠕虫的侵害，营造一个良好的网络环境。

关键词：蠕虫病毒；检测；防御；网络安全

目录

前言1

1蠕虫病毒相关知识介绍2

1.1蠕虫病毒定义2

1.2蠕虫病毒工作流程和行为特征2

1.3蠕虫病毒国内外研究现状4

2蠕虫病毒检测技术研究5

2.1基于蠕虫特征码的检测技术5

2.2基于蠕虫行为特征的检测技术5

2.3基于蜜罐和蜜网的检测技术6

2.4基于贝叶斯的网络蠕虫检测技术6 3蠕虫病毒防御技术研究8

3.1企业防范蠕虫病毒措施8

3.2个人用户防范蠕虫病毒措施9

4总结10

致谢11

参考文献12

前言

随着网络技术的发展，人类社会正逐步进入到数字化时代，计算机已经应用到日常生活各个领域，人们在享受到网络便捷服务的同时，各种安全问题也随之出现。从基于DOS界面的病毒发展到今天基于Windows、Unix等操作系统的各种蠕虫、病毒等，在网络的快速发展带动下，使得计算机不断遭受到了非法入侵，不法黑客人员盗取了一些重要信息，甚至造成了操作系统的瘫痪，对个人和企业都带来了相当巨大的经济损失，同时对国家网络安全也构成威胁，带来了无法估计的损失。最早开始的网络蠕虫攻击是发生在1998年的Morris蠕虫病毒事件，从此后蠕虫病毒的研究成为了一项重要的课题。

2009年中国计算机病毒疫情调查技术的分析报告指出，中国网络安全态势发展进一步加大，网上制作和贩卖蠕虫、病毒以及木马等活动日益严重，并通过这些蠕虫病毒侵害网络的现象日趋上升。2018年上半年期间，CNCERT/CC 一共接收了4780次网络安全的事件报告，相比上一年增长了105%，其中恶意代码占到了57.57%的比例，中国大陆地区有将近124万个IP地址对应的计算机受到了蠕虫木马程序的侵害和控制。近几年，出现了很多病毒和蠕虫危害，比如说尼姆达、熊猫烧香、QQ尾巴、飞客等等，严重影响和干扰了计算机网络安全，侵害了个人和企业以及国家的财产安全，而且蠕虫病毒的网上传播仍然十分猖獗，对网络安全的威胁依然存在。因此，网络蠕虫的研究是我们必须要关心的问题，对蠕虫病毒进行检测和防御技术研究具有重要意义。

基于此研究背景和网络安全形势，本文将对蠕虫病毒的检测和防御技术进行研究。具体包括：

(1>蠕虫病毒相关知识介绍。介绍蠕虫病毒的定义、工作流程以及行为特征，并简要分析国内外研究现状；

(2>蠕虫病毒检测技术研究。介绍基于蠕虫特征码、行为特性等方面的检测控制技术；

(3>蠕虫病毒防御技术研究。从企业网络和个人用户角度，研究防御蠕虫攻击的主要措施。

1蠕虫病毒相关知识介绍

1.1蠕虫病毒定义

关于蠕虫病毒的定义很多，最早的定义是Eugene H.Spafford给出的：“蠕虫是可以独立运行的，并且能够自我复制且传播到其他计算机上的一段程序代码”。但是随着网络的发展和科技的进步，蠕虫病毒出现了各种不同的变种，且产生了难以抑制的效果，因此学者们给予了多种多样的定义。Elder 和Kienzle认为：“网络蠕虫是通过计算机网络来进行传播，无须用户干预就能够独立运行或者依赖文件共享而去主动攻击其他计算机的一种恶意代码的形式”。

尽管蠕虫病毒的形式多种多样，不同学者给出了不同的定义，但是从以上给出的几种定义中可以看出，蠕虫病毒的定义都具有共同的特性，主要体现在以下几个方面：

(1>蠕虫病毒独立运行，不需要用户进行干预；

(2>蠕虫病毒具有自我传播和自我复制的特性，并且传染的方式途径很多，传播的速度较快，对网络和计算机安全破坏性强。

蠕虫一般是通过计算机的漏洞进行传播，国家网络安全中心每年发现的计算机漏洞数量惊人，尤其是近几年来，蠕虫病毒利用了很多零日漏洞进行传播，对网络安全和计算机构成了严重威胁。

1.2蠕虫病毒工作流程和行为特征

(1>蠕虫病毒工作流程

网络蠕虫病毒的工作流程一般可以分为四个阶段：扫描、攻击、处理、复制。扫描主要是对目标地址空间内存在漏洞的计算机，收集相关信息以备攻击电脑，为攻击目标而准备；攻击阶段则是对扫描出的存在漏洞的计算机进行攻击，并感染目标机器；处理阶段隐藏自己在已感染的主机上，并且给自己留下后门，执行破坏命令；复制阶段主要是自动生成多个副本，主动感染其他主机，达到破坏网络的效果。蠕虫病毒的整个工作流程如图1-1所示。

图1-1蠕虫病毒工作流程

(2>蠕虫病毒行为特征

通过对网络蠕虫的定义介绍以及工作流程分析，可以归纳出蠕虫的行为主要特性，具体如下：

①自我复制和主动攻击。蠕虫具有自我复制和主动攻击功能，当蠕虫病毒被释放后，它们会自动搜索当前网络系统是否存在机器漏洞，如果存在则进行攻击，反之则寻找新的系统查找漏洞，整个流程都是蠕虫自身完成，不需要人工进行任何干预。

②利用系统漏洞进行攻击。蠕虫通过计算机系统漏洞进行攻击，没有漏洞

则不能攻击系统，因此蠕虫最基本的行为特征是利用系统漏洞进行攻击。

③极具破坏性。随着网络的发展，蠕虫病毒也越来越具有破坏性，造成了巨大的经济损失，使得计算机系统崩溃，深圳网络瘫痪等情况。

④反复攻击性。即使清理掉了蠕虫病毒被，在计算机重新连接到网络之前没有为之漏洞打补丁，那么这台计算机依然可能会被感染，蠕虫病毒会反复攻击。

⑤使得计算机系统性能下降，整个网络塞堵甚至瘫痪。蠕虫病毒进行攻击之前会进行网络大面积的扫描，对同一个端口不断的发送数据包，造成计算机系统性能下降；当扫描到存在系统漏洞的计算机时会产生额外的网络流量，引起网络拥塞，甚至可能造成瘫痪，带来巨大的经济损失。

⑥很好的伪装以及隐藏方式。蠕虫病毒一般都具有较高隐藏功能，用户不容易发现，不能及时清理，同时它们会在感染计算机系统后留下逃脱后门。

1.3蠕虫病毒国内外研究现状

随着蠕虫病毒的发展，网络安全技术厂商通过结合各种安全技术产品的方式对付蠕虫病毒，其中典型的方式是将网络杀毒软件、终端与防火墙、漏洞扫描系统、入侵检测相结合。2005年以来，产生了很多具有代表性的安全方案，具体地主要有：

2004年底，锐捷网络推出了全局安全网络解决方案，相比于简单的“杀毒软件+防火墙”这种体系来说，其安全措施加强了对于网络终端安全性的控制以及修复。对每个用户计算机加载一个客户端软件，如果发现有蠕虫病毒侵入，立即通知服务器，服务器将会隔离此用户与正常用户，并修复入侵系统漏洞。当修复完成之后，安全客户端软件还会自动重新检测用户系统，在确定系统已解除安全隐患之后才允许再次进入网络。通过这种自动检测和拦截技术，将蠕虫病毒等安全隐患拒之门外，能够防患于未然。

趋势科技公司推出了企业安全防护战略-EPS(Enterprise Protection Strategy>，主要是采用蠕虫病毒入侵检测技术，不断地侦听网络内部是否接入有蠕虫病毒数据包，一旦检测到蠕虫侵入，随即隔离所有的危险设备。

以上对蠕虫病毒的防护技术主要是针对于操作系统的漏洞而检测的，目前，随着科学技术的进步和网络的发展，蠕虫病毒不断扩大的同时检测和防御技术也在不断更新中，蠕虫病毒的研究始终是一项重要的研究内容。

2蠕虫病毒检测技术研究

蠕虫技术的不断扩大对网络的安全构成了极大的威胁，甚至有可能带来网络瘫痪，造成巨大的经济损失，因此必须采取有效措施和途径，对网络蠕虫进行检测和控制，下面将对蠕虫病毒的检测技术进行研究。

2.1基于蠕虫特征码的检测技术

基于蠕虫特征码的检测技术是目前使用最多的一种检测技术，其主要手段是通过特征进行匹配。具体的检测原理是：首先收集一些蠕虫恶意代码的特征值，然后在这些特征值的基础上创建相应的特征码规则库，当检测计算机是否受到蠕虫病毒感染或者攻击时，将检测到的网络行为的特征码和特征码规则库中具体规则进行匹配，若是匹配成功则说明该网络存在异常，可能含有蠕虫病毒等危害，应当给出警告提示或者拒绝访问。

由以上检测原理可见，这种检测技术存在一定的限制，只有当特征码规则库中存在恶意行为的特征码规则时，才能够匹配成功，判定该网站存在恶意行为，进行抑制或者反击。在这种情况下，若是有些蠕虫病毒并没有在规则库中匹配成功，不能被检测出来，那么该网络就可以通过检测，对计算机系统造成危害，带来不可预测的经济损失，因此需要对规则库实时进行维护和更新，确保最新的蠕虫病毒特征码存储在特征库中，能够被识别出来。

目前比较熟知的基于蠕虫特征码的检测算法包括Earlybird和Autograh，这两种方法提供实时提取特征码功能，基于Rabin fingerprint算法。当蠕虫病毒变形扩散后，单一连续的字符串不能够作为特征码使用，为此James Newsome提出了著名的Ploygraph检测系统，可以提取出具有蠕虫变形规律的特征码。

2.2基于蠕虫行为特征的检测技术

基于蠕虫行为特征的检测技术主要包括四种方法：统计分类法、简单阈值法、信号处理法以及智能计算法。其中简单阈值法的检测指标是与连接相关的指标，包括连接失败数、连接请求数、ICMP消息数以及连接端口的流量等等。Bakos提出了一种蠕虫行为特征检测技术，利用了ICMP目标主机不可达

报文来判断识辨蠕虫的随机扫描行为，并通过信息收集点来收集网络中由路由器产生的这种不可达报文信息，然后统计消息的个数，并和给定的阈值进行比较，以此判断蠕虫是否有传播行为。但是这种方法中如果路由器个数较少，那么收集到的报文信息数就会较少，会影响到判断的准确性。

其他的行为特征检测方法是通过识别网络中不断重复出现的数据包内容进行识别蠕虫病毒，但是由于这些方法在检测时必须要有大量的统计信息，因此在时间上会有一个滞后的过程，造成不能够及时地检测到蠕虫病毒。

2.3基于蜜罐和蜜网的检测技术

1988 年5月，Clifford Stoll提出了蜜罐的概念，并明确指出“蜜罐是一个了解黑客的手段”的一种方法。蜜罐是通过故意设计为一个有缺陷的系统，并且专门用来引诱那些蠕虫攻击者进入到受控环境中，接着充分利用各种监控技术来捕获蠕虫攻击者的行为，获取蠕虫行为特征。其中蜜罐技术是一种虚拟环境，因此不会对真实网络造成瘫痪的影响。目前，蜜罐技术得到了大量应用，在网络安全领域具有十分重要的意义，具体体现为：<1）蜜罐技术不提供真实的检测服务，而是在一个虚拟环境中进行，但是收集信息是真实有效的，并且可以从中捕获蠕虫病毒的行为特性；<2）变被动防御为主动控制；<3）网络蠕虫不能够判断目标系统的具体用途，因此蜜罐技术虚拟环境具有良好的隐蔽性。

随着蜜罐引诱技术的出现，蜜网检测相应产生，其实质仍然是一种蜜罐技术。与传统意义上的蜜罐技术不同的是蜜网检测是一个网络系统，并不仅仅是一台具有系统漏洞的主机，存在一种简单的虚拟环境，此网络系统隐藏在防火墙内，可以监控、捕获以及控制所有进出信息，实现更加强大的蠕虫检测功能。

2.4基于贝叶斯的网络蠕虫检测技术

贝叶斯定理是由英国学者贝叶斯18世纪提出来的，其最初主要是用于概率论和数理统计方面的应用。蠕虫在进行网络传播时，首先会对网络中那些存在漏洞的目标主机发送大量的连接请求数据包，从而判断这些目标主机是否开机、目标主机系统或者应用软件是否存在漏洞，以及是否可以被感染。但是，在实际的网络应用中，网络蠕虫指向的大多数IP地址中的主机根本就不存

在，有些要么就没有开机，要么被其它的网络设施所隐藏，比如采用了防火墙或者NAT设备对其进行了保护，所以网络蠕虫在进行传播的时候，所发送的链接失败的概率也比较大。

因为网络蠕虫感染的目的是在最短的时间内让尽可能多的目标主机受到感染，因此在进行传播时，它发送连接请求的时间间隔会非常的短，而正常的主机在进行网络通信的时候，其数据的发送相对比较规律，时间的间隔也比较固定，不会出现大幅度的波动。据此，在进行蠕虫检测时我们把主机发起连接请求的时间间隔作为一个参数。另一方面，在传播蠕虫的过程中，有些蠕虫在扫描阶段会加入一些正常的数据包去避免被检测到，从而引起网络的漏报。之所以会产生这种情况，一个原因就是对当前失败次数的连接没有考虑到历史状态的影响，从而导致检测结果出现问题。而采用贝叶斯的方法来计算数据的概率后可以通过后验的概率去更新先验的概率，从而获得比较高的检测精度。因此我们在进行蠕虫的检测时，通过统计单位时间内针对目标机器的数据连接成功与否，即可对网络蠕虫进行检测。

3蠕虫病毒防御技术研究

蠕虫病毒通过各种方式进行检测，往往将多种方法结合，对已知的蠕虫病毒和未知的蠕虫病毒进行检测，然后进行蠕虫控制。然而，除了做好蠕虫检测控制技术外，个人和企业用户等需要积极做好蠕虫防御技术，定时定期清理修复系统漏洞，避免蠕虫的侵害，下面将对蠕虫病毒的防御技术进行讨论。

3.1企业防范蠕虫病毒措施

企业网络的应用广泛，比如文件和打印服务共享、企业的业务系统办公、企业自动化办公系统等领域。如果企业网络受到了蠕虫病毒的侵害，那么蠕虫可以快速阻塞网络，影响网络速度，甚至造成网络瘫痪。因此，企业用户必须考虑蠕虫病毒等危害问题，以保护企业系统内部数据不被侵害。

具体地，企业在考虑如何防范蠕虫病毒时，需要考虑蠕虫病毒的查杀能力、监控能力以及对新病毒的反应能力，同时，对于日常的网络安全管理企业应该采取合理的科学制度，提高员工的网络安全意识，做到以下几点：

(1>加强企业网络安全管理员的管理水平，提高其安全管理意识。蠕虫病毒具有利用系统漏洞进行攻击的行为特性，因此，管理员需要时刻保持系统以及应用软件的安全性，及时地更新操作系统和系统应用程序，修复系统漏洞，不给蠕虫病毒的侵入留下任何可乘之机。随着蠕虫病毒不断扩大，侵害手段也越来越厉害，企业网络所受的攻击概率也越来越大，必须要求企业网络管理员具有很高的管理水平和安全意识。

(2>建立蠕虫病毒检测系统。在修复漏洞的基础上，仍需要对网络中的蠕虫数据包进行实时检测，发现受到蠕虫病毒的攻击后采取相应的隔离和控制措施进行保护，并及时清理病毒，避免扩大。

(3>建立应急响应系统，尽可能减小风险。蠕虫病毒的侵害是不可预测的，具有突然暴发性，若是发现蠕虫侵害时，整个网络已经受到感染，就需要采取应急响应方案，尽可能减小风险损失。

(4>建立数据备份系统。数据备份是很有必要的，若是系统受到攻击数据无法恢复，备份系统可以恢复数据，避免过大的经济损失。

(5>对于企业内部局域网络安全，需要注意在网络入口处安装防火墙软件和杀毒软件，将病毒隔离在局域网之外，同时对网络内部员工进行必要的安全

培训，限制一些用户操作，对邮件服务器进行网络监控，防止蠕虫病毒携带进入，对网络内部操作系统进行升级和修复补丁，最大可能地保证企业局域网内的安全性。

3.2个人用户防范蠕虫病毒措施

网络蠕虫病毒攻击个人用户的主要途径是利用社会工程学，通过网络各种形式携带病毒进入个人计算机，因此，个人用户需要从以下几个方面做好防范措施：

(1>安装合适的杀毒软件。蠕虫病毒发展不断扩大，传统的“文件级实时监控系统”杀毒软件已不能满足要求，必须要求具有内存实时监控和邮件实时监控功能的杀毒软件来保护电脑。网页蠕虫的侵害也对杀毒软件提出了更高要求。

(2>升级病毒库。杀毒软件对于蠕虫病毒的查杀是以病毒数据库中的病毒特征码为依据，进行比对查杀，而蠕虫病毒更新速度和传播速度快，变化多种多样，因此，必须实时更新病毒数据库，确保杀毒软件的最新查杀能力。

(3>提高个人网络安全意识。随着网络的发展，网页上出现了各种不良的信息，携带的蠕虫病毒等很多，存在着很多恶意代码，因此，个人用户要有较高的网络安全意识，不轻易查看陌生网站，并把浏览器网络安全级别设置为高，并将ActiveX和Java脚本禁止运行，减小计算机被恶意代码感染攻击的可能性。

(4>不随意查看陌生的邮件。蠕虫病毒往往通过自动发送功能，给用户发送邮件，病毒就携带在其中，尤其是存在不明附件的邮件。用户要经常升级浏览器和补丁程序，防止过多陌生恶意邮件的侵入。

4总结

随着网络技术的发展，蠕虫病毒不断扩大，给网络安全带来极大的安全隐患。近年来，世界各国网络都受到了蠕虫病毒的侵害，造成了巨大的经济损失，对蠕虫病毒的研究一直是一项重要的研究课题。

在此研究背景下，本文介绍了蠕虫病毒的相关定义，详细探讨了其工作流程和行为特征，为蠕虫病毒的检测和控制防御技术奠定了基础。然后本文对蠕虫病毒的国内外现状进行了简要分析，网络安全已被各国所重视，在此基础上，对蠕虫病毒的检测技术进行了研究，主要是基于蠕虫特征码、基于蠕虫行为特征、基于蜜罐和蜜网以及基于贝叶斯的网络蠕虫检测技术。最后，本文对蠕虫病毒的防御技术进行了探讨，从企业网络和个人用户角度，详细研究了防御蠕虫病毒侵害需要采取的各项措施。

总之，蠕虫病毒的侵害无时无刻都存在，只有加强对其检测和防御，提高自身安全防护意识，将蠕虫病毒拒之于安全门之外，才能保证网络用户安全，保证企业数据安全，形成一个良好健康的网络环境。

致谢

论文的研究工作是在***老师的精心指导下完成的。***老师严谨的治学态度、渊博的学识、敏锐的洞察力和高瞻远瞩的学术思想令人敬佩。本论文从开始思路，到过程中遇到各种问题，到最后的结果完成，都得到了***老师的大力支持。在此，谨对***老师辛勤指导和无私的关怀表示最诚挚的谢意。

感谢父母一直以来对我学业上的鼓励和支持，是您们的关怀让我无忧虑地顺利完成本篇论文。

最后，向所有的论文评审老师并提出宝贵意见的专家们和答辩委员会全体老师表示深深的感谢和敬意!

参考文献

[1]马林,王爱文,周燕北等.基于连接度的蠕虫病毒检测方法研究[J]. SILICION

V ALLEY，113-114

[2]彭智朝. 计算机蠕虫病毒检测和防御技术探讨[J]. 电脑知识与技术,

V ol.6,No.8,March 2018, pp.1848-1850

[3] 魏先勇. 蠕虫病毒的安全防范措施[J]. 工业经纬,2008年5月第5卷第1期

[4]余伟,陈保国,孔陶茹.蠕虫病毒的研究和检测防御[J]. 科技创新导

报,2009,No.29

[5] 黄李昌. 网络蠕虫病毒的防御研究[D][硕士学位论文]. 成都：电子科技大

学，2018

[6]崔松江. 网络蠕虫病毒检测方法的研究[D][硕士学位论文]. 北京：清华大学，

2005

[7] Cliff C Zou, Don Towsley, Weibo Gong. A Firewall Network System for Worm

Defense inEnterprise Networks, 34-67

[8] S. Chen and Y. Tang, “Slowing Down Internet Worms ,” in Proceeding of the

24th International conference on Distributed Computing (ICDC’2004>, Tokyo, Japan, Mar. 2004,47-87

[9] 杨庆涛. 网络蠕虫的检测技术研究与系统设计[D][硕士学位论文]. 重庆：重

庆大学，2018

[10]常青. 网络蠕虫的检测与控制技术研究[D][硕士学位论文]. 天津：天津理工

大学，2018