網(wǎng)絡蠕蟲檢測系統(tǒng)設計

1、網(wǎng)絡蠕蟲檢測系統(tǒng)設計摘要：以網(wǎng)絡蠕蟲為主要研究對象，分析了網(wǎng)絡蠕蟲的功能結構和傳播流程，同時通過對IPv6環(huán)境下網(wǎng)絡蠕蟲傳播的特殊性研究，建立了一個新型的網(wǎng)絡蠕蟲傳播模型。在此基礎上，給出了一種基于指數(shù)熵的網(wǎng)絡蠕蟲檢測方法和實驗性研究方法，并對該方法進行了分析、推導以及檢測。關鍵詞：網(wǎng)絡蠕蟲；IPv6;指數(shù)熵0引言IPv4協(xié)議存在很多問題，不能滿足物聯(lián)網(wǎng)對海量網(wǎng)絡地址的需求，于是IETF制定了IPv6協(xié)議。雖然IPv6協(xié)議在擁有更寬的地址空間及路由和安全等問題上有了很大改進，但是IPv6協(xié)議同樣沒有解決洪泛攻擊、地址假冒、中間人(maninthemiddle)攻擊、應用層攻擊、報文偷看(Sni

2、ffing)等問題，所以網(wǎng)絡安全問題依然不可輕視。網(wǎng)絡蠕蟲是繼IPv6協(xié)議后一個很嚴重的網(wǎng)絡安全問題，網(wǎng)絡蠕蟲并沒有隨著IPv6的出現(xiàn)而消失，大面積的網(wǎng)絡蠕蟲依然寄生在IPv6協(xié)議的網(wǎng)絡中。由此，研究IPv6協(xié)議下的網(wǎng)絡蠕蟲檢測方法有著非常重要的意義。相關工作蠕蟲是一種在網(wǎng)絡中傳播的惡意病毒，它的出現(xiàn)對于木馬病毒、宏病毒來說比較晚，但是無論從傳播速度、傳播范圍還是從破壞程度上來講，蠕蟲病毒都是以往傳統(tǒng)病毒所無法比擬的1。蠕蟲功能結構國內(nèi)外很多學者對蠕蟲的功能結構進行了研究，其中一種比較典型的功能結構框架由6個功能模塊組成2v/sup,分別是：搜索模塊、攻擊模塊、命令行模塊、通信模塊、智能模塊和

3、非攻擊使用模塊。本文結合當前蠕蟲的具體運作情況，提出了一種新的蠕蟲功能模型。把它分成了核心模塊和擴展模塊兩部分，結構如圖1。蠕蟲工作機制蠕蟲的工作機制是將自己從一臺計算機復制到另一臺計算機，并執(zhí)行預定操作功能的程序代碼，蠕蟲可以自動執(zhí)行，同時可以自我復制，系統(tǒng)一旦感染蠕蟲，蠕蟲即可自行傳播。蠕蟲是一種惡性病毒，通過網(wǎng)絡進行傳播，它具有傳播性、隱蔽性、破壞性等病毒的共同特點，同時也具有一些自身的特性，如不寄生于文件（有的只存在于內(nèi)存中）、與黑客技術結合以及對網(wǎng)絡拒絕服務等。例如，蠕蟲可向電子郵件地址簿中的聯(lián)系人發(fā)送自己的副本，那些聯(lián)系人的計算機也將執(zhí)行同樣的操作，結果造成多米諾效應（網(wǎng)絡通信負擔

4、沉重），使計算機和整個Internet的速度減慢3v/sup。普通病毒主要針對計算機文件系統(tǒng)進行感染，而蠕蟲病毒的傳染目標更為廣泛，它包括局域網(wǎng)和互聯(lián)網(wǎng)內(nèi)的所有主機。系統(tǒng)一旦感染蠕蟲，蠕蟲便將自己從一臺主機復制到互聯(lián)網(wǎng)內(nèi)的另一臺主機，實現(xiàn)自行復制和傳播。因而從破壞程度上講，蠕蟲病毒比普通病毒嚴重得多。依托于網(wǎng)絡的拓展，蠕蟲病毒僅需很短的時間即可蔓延至整個網(wǎng)絡，導致嚴重的網(wǎng)絡癱瘓。在局域網(wǎng)環(huán)境中，蠕蟲的傳播也有多種途徑，如共享文件夾、惡意網(wǎng)頁、電子郵件和有漏洞的服務器等。蠕蟲可在數(shù)小時內(nèi)蔓延全世界，它們的主動攻擊和突然爆發(fā)使網(wǎng)絡管理員束手無策。同時，蠕蟲病毒會占用帶寬和內(nèi)存，很可能致使網(wǎng)絡和計算

5、機崩潰。蠕蟲不必通過“宿主”程序或者文件傳播，它的危害遠比普通病毒大。網(wǎng)絡蠕蟲檢測系統(tǒng)在傳統(tǒng)的網(wǎng)絡環(huán)境下，蠕蟲經(jīng)常使用隨機地址掃描方法查找易感染主機。IPv4協(xié)議使用了32位地址空間，因此利用快速掃描策略，一個蠕蟲完成對所有地址空間的掃描僅需幾小時。而對于IPv6,因其具有龐大的128位地址空間，基于隨機掃描的網(wǎng)絡蠕蟲較難獲取其它主機地址，因此普遍認為IPv6天生具有對蠕蟲的抵抗能力。然而，隨著網(wǎng)絡蠕蟲攻擊手段越來越多，蠕蟲病毒在IPv6環(huán)境下的傳播逐漸成為人們關注的焦點4。2.1IPV6蠕蟲設計為了分析蠕蟲在IPv6網(wǎng)絡中的傳播，本文采用了名為Worm6的三層網(wǎng)絡蠕蟲模型。這種蠕蟲模型通過使

6、用不同的策略有效地識別和攻擊目標。不同的模型層次具有不同的作用。第一層應用于蠕蟲掃描子網(wǎng)之時。蠕蟲探索隨機分布在不同子網(wǎng)當中的不同主機。對于蠕蟲傳播來說，依靠對主機自己的域名進行隨機掃描是遠遠不夠的。因此，在第二層，每當一個域名主機被感染了，它會通過對應的本地掃描策略掃描在當前的子網(wǎng)內(nèi)更多的易感染主機。在因特網(wǎng)蠕蟲的傳播過程中，蠕蟲感染主機的次數(shù)不止一次，這種情況幾乎不可避免，因此亟需建立一個機制，避免主機在第三層中被反復感染。Worm6傳播模型如圖2所示。數(shù)據(jù)捕獲模塊網(wǎng)絡系統(tǒng)存在大量的數(shù)據(jù)包，本模塊主要承擔部分前期數(shù)據(jù)包捕獲工作，并負責將這些預處理后的數(shù)據(jù)進行存儲。數(shù)據(jù)捕獲的結構如圖4所示。

7、本模塊首先對數(shù)據(jù)包進行判斷，提取有用數(shù)據(jù)包，剔除垃圾數(shù)據(jù)包。在相應時間窗口中，取出數(shù)據(jù)包中的源地址、目的地址以及相關的其他包頭信息，放入IP頭數(shù)據(jù)結構中，然后調(diào)用檢測算法對數(shù)據(jù)進行處理。數(shù)據(jù)捕獲模塊的工作流程如圖5所示。分析判定模塊在數(shù)據(jù)捕獲模塊完成對數(shù)據(jù)的捕獲和預處理之后，分析判定模塊負責分配一個容量為4k的列表以儲存主機的地址分類，分析數(shù)據(jù)包的源IP地址和目的IP地址。在查看以該主機為源地址的連接時，通過調(diào)用地址轉換模塊（Hash函數(shù)）計算連接中目標地址的Hash值，記為i，然后將對應于該Hash值的列表項的值加1，然后繼續(xù)考察下一個以該主機為源地址的連接。若時間間隔達到預設的窗口大小，則

8、通過指數(shù)熵函數(shù)計算該主機的目標地址的熵，與預先設定的熵值進行比較，若計算得到的熵值大于網(wǎng)絡蠕蟲判斷閾值，則判定該主機異常5。IP地址映射函數(shù)的實現(xiàn)方法如下：IpConvert（Ip）IpHigh=（Ip&FFFF0000）16；/取高16位，移位IpLow=Ip&0000FFFF；/取低16位IpTemp=IpHigh+IpLow；IpHash=IpTemp%4096；/取余從圖6可以看出，通常流經(jīng)異常目的IP地址的數(shù)據(jù)會比較分散，而流經(jīng)正常目的IP地址的數(shù)據(jù)則相對集中。通過以上檢測算法可以得出，一般情況下，正常主機的指數(shù)熵介于02之間，異常主機則通常大于2。結果輸出模塊分析判定之后，輸出的結

9、果主要有兩種：一種是同一個源地址（IP、Mac或Port）下的目的地址（IP、Mac或Port）分布情況，另一種是系統(tǒng)識別出的蠕蟲分布變化情況。系統(tǒng)測試環(huán)境與結果3.1測試環(huán)境3.2測試結果圖7顯示了利用本系統(tǒng)在IPv6環(huán)境下IPv6蠕蟲病毒的檢測結果。本文所實現(xiàn)的系統(tǒng)能捕捉到所有的IP數(shù)據(jù)包。測試證明，寬帶連接從禁用向啟用切換時，守護線程能保證捕捉線程恢復工作。4結語本文首先分析了一般網(wǎng)絡蠕蟲的傳播特性，在現(xiàn)有網(wǎng)絡蠕蟲技術的基礎上，提出一種基于指數(shù)熵的網(wǎng)絡蠕蟲檢測方法，并設計了可應用于IPv6環(huán)境下的網(wǎng)絡蠕蟲檢測系統(tǒng)，給出了分析推導和檢測程序設計的思路和方法。本文所提出的系統(tǒng)及其方法僅作為實

10、驗性研究，系統(tǒng)完整性設計還有待進一步完善。參考文獻：AnalysisoftheimpactofheterogeneousnetworkenvironmentonwormpropagationC.ProceedingsoftheThirdInternationalConferenceonMultimediaInformationNetworkingandSecurity，2011.YANGXINFENG，GUOYONGLI，LIUKECHENG.ResearchoncontrolstrategyofwormsspreadincomplexnetworksC.InternationalConferenceonComputerScienceandNetworkTechnology(I