智能蠕蟲自動遏制方案

□王 欣

(太原旅游職業(yè)學(xué)院，山西太原030006)

互聯(lián)網(wǎng)目前已經(jīng)發(fā)展成為當今世界上規(guī)模最大、擁有用戶最多、資源最廣泛的通信網(wǎng)絡(luò)。在全球經(jīng)濟和人們的生活中起著越來越重要的作用，與此同時，隨著計算機蠕蟲的出現(xiàn)，網(wǎng)絡(luò)安全也受到了極大的挑戰(zhàn)，許多重要數(shù)據(jù)遭到破壞和丟失，造成社會財富的極大浪費。例如:SQL Slammer蠕蟲病毒在十分鐘內(nèi)感染了互聯(lián)網(wǎng)上的90%的易感主機［1］;“紅色代碼Ⅱ”蠕蟲病毒，該蠕蟲2001年7月19日從開始發(fā)作的9個小時里，它就感染了35萬多部計算機系統(tǒng)［2］，造成經(jīng)濟損失12億美元。因此，我們需要自動檢測和及時響應(yīng)防御網(wǎng)絡(luò)蠕蟲病毒。

網(wǎng)絡(luò)蠕蟲的自動遏流技術(shù)為網(wǎng)絡(luò)中的每臺主機設(shè)定一個掃描率的上限［3，4］。利用該方法能自動遏制具有快掃描率的蠕蟲，然而對掃描率緩慢的蠕蟲沒有效果，原因是正常的網(wǎng)絡(luò)流量和蠕蟲掃描的網(wǎng)絡(luò)流量之間差別非常小［5］，在不影響網(wǎng)絡(luò)正常工作的情況下設(shè)置蠕蟲掃描率閾值是非常困難的。

美國學(xué)者塞爾克等人［5］提出了基于掃描次數(shù)的遏流技術(shù)，針對每臺具有獨立IP地址的主機，設(shè)置其在一個時間周期內(nèi)的掃描次數(shù)的閾值，通過累積效應(yīng)將蠕蟲的異常掃描從正常網(wǎng)絡(luò)掃描中區(qū)分出來。然而，對于具有掃描率低且易感率高的智能蠕蟲，該方法仍然無效。本文的研究目的就是要限制這類蠕蟲的傳播。

本文提出了基于局域網(wǎng)的遏流技術(shù)，該方法利用同一局域網(wǎng)內(nèi)用戶信息需求上的相似性，為每個局域網(wǎng)而不是個體主機設(shè)置其在一個時間周期內(nèi)掃描次數(shù)的閾值，如果子網(wǎng)在一個周期內(nèi)對不同IP地址的總掃描次數(shù)超過了設(shè)定的閾值，就認為這個網(wǎng)絡(luò)可能被蠕蟲病毒感染，他的掃描率就會被限制。實驗結(jié)果表明，本方法可以有效地檢測出智能蠕蟲引起的網(wǎng)絡(luò)流量，實現(xiàn)控制智能蠕蟲病毒的目的，但對正常網(wǎng)絡(luò)流量的影響很小。馬衛(wèi)東等人［6］的研究也表明同一局域網(wǎng)內(nèi)用戶訪問網(wǎng)站呈現(xiàn)冪律分布和集聚現(xiàn)象，具有相似特性。

1 相關(guān)的工作

下面我們通過Staniford提出的簡單蠕蟲感染(RCS)模型［7］來研究蠕蟲的傳播，假設(shè)在一個系統(tǒng)沒有打好補丁的且感染速度恒定的網(wǎng)絡(luò)環(huán)境下，蠕蟲傳播方程式如下:

其中，I(t)代表t時刻網(wǎng)絡(luò)中感染節(jié)點的數(shù)量，β代表蠕蟲感染率，N代表網(wǎng)絡(luò)中節(jié)點的總數(shù)量。

在(1)的基礎(chǔ)上，我們將RCS模型速率控制方案進行修改，對定時掃描率加入一個限制因素［3，4］:其中，β1為限流因子且β遠大于β1，這個方案只能有效地減緩快速蠕蟲病毒，而對慢掃描蠕蟲病毒無效。為了能有效分隔蠕蟲流量與正常流量，蠕蟲檢測系統(tǒng)的研究人員［8］提出了使用卡爾曼濾波器來檢測蠕蟲。

Kabiri等人［9］開發(fā)了一個網(wǎng)絡(luò)入侵檢測系統(tǒng)(NIDS)，但系統(tǒng)中的知識庫需要手工維護。為了自動獲取蠕蟲檢測系統(tǒng)中的知識庫，文獻［10，11］引入了機器學(xué)習(xí)的方法。

傅建明等人則提出了基于鄰居報警模式的蠕蟲遏制模型［12］，該模型的前提是要求免疫節(jié)點受感染時必須向其鄰居發(fā)送報警信號，如果鄰居不發(fā)送警報，則該模型將失去作用。

2 蠕蟲遏制方案

在本節(jié)中，我們首先介紹智能蠕蟲遏制方案，然后給出一些模擬結(jié)果。令Ms是局域網(wǎng)掃描次數(shù)的閾值，即一個局域在一個周期內(nèi)允許的最大掃描次數(shù);Sf表示對可疑局域網(wǎng)所允許的最大掃描率，即對可疑網(wǎng)絡(luò)遏流后該網(wǎng)絡(luò)的最大掃描率。下面給出遏制蠕蟲的方案:

I.對每個局域網(wǎng)，設(shè)置計數(shù)器來監(jiān)控不同IP地址流量，計數(shù)器初始值為零;

II.當子網(wǎng)有新的IP地址掃描請求時，增加該子網(wǎng)計數(shù)器的值。

III.如果子網(wǎng)計數(shù)器的值達到了閾值，這時他的掃描率將被限制為Sf。

IV.在一個時間周期結(jié)束后，釋放可疑子網(wǎng)的掃描控制率，然后復(fù)位計數(shù)器，重新回到I。

注意到Ms和Sf的取值對蠕蟲病毒的傳播有很大的影響，由此我們可以設(shè)定一個允許的感染比例來反求上述參數(shù)的值，這部分將在后面的實驗部分進一步說明。

Nlanr［13］的跟蹤了貝爾實驗室的400位工作人員一個星期內(nèi)的網(wǎng)絡(luò)訪問數(shù)據(jù)，總共訪問了46K個不同的IP地址。也就是說單位小時內(nèi)該子網(wǎng)聯(lián)系的IP地址總數(shù)為280個。然而，與這些IP地址接觸的總?cè)舜螖?shù)超過了60K，反映了該子網(wǎng)用戶對網(wǎng)絡(luò)訪問的聚集特性。

盡管本文設(shè)計的方案對所有子網(wǎng)均有效，為簡單起見，我們假設(shè)每個子網(wǎng)有400個終端主機，并且只有一個公共的IP地址分配給Web代理服務(wù)器。當這個Web代理服務(wù)器被感染了病毒后，那么內(nèi)部主機被蠕蟲病毒感染的幾率也會很高(實驗中假定為50%)。此外，由于蠕蟲在局域網(wǎng)內(nèi)的傳播速度非?？欤覀兒雎詢?nèi)部傳播時間。我們假設(shè)蠕蟲的掃描率為每小時2，低于文獻［13］中排前10的主機的掃描速率。設(shè)P=0.005代表漏洞密度，那么感染率(β)為每小時0.01。

首先仿真了系統(tǒng)中隨機掃描的智能蠕蟲的傳播過程，圖1給了掃描次數(shù)閾值(Ms)取不同值時的模擬結(jié)果。

圖1 不同掃描次數(shù)閾值(Ms)與RCS系統(tǒng)對比

圖1表明，本文給出的遏流技術(shù)能有效地遏制智能型蠕蟲的傳播，與RCS系統(tǒng)比較能遏制66%以上的蠕蟲傳播。圖1還表明，不同的局域網(wǎng)掃描次數(shù)閾值之間的遏流效果差別很小，這是因為最大的閾值也能有效地遏制智能蠕蟲的傳播。

圖2給出了當對可疑子網(wǎng)采用不同遏流率(Sf)時的影響。其中，檢測周期為30天，局域網(wǎng)掃描次數(shù)閾值(Ms)為100800。

圖2 不同遏流率(Sf)與RCS系統(tǒng)對比

正如圖2所示，當可疑子網(wǎng)的掃描率被限制為140時，感染蠕蟲的子網(wǎng)總數(shù)小于200，僅僅是RCS系統(tǒng)的1/7。此外，圖2還表明子網(wǎng)感染總數(shù)與SF值成正比。然而，即使可疑子網(wǎng)的掃描率(Sf)為560，兩倍于正常網(wǎng)絡(luò)掃描率，本系統(tǒng)對網(wǎng)絡(luò)蠕蟲的遏制效果仍然高于33%。

3 動態(tài)免疫的影響

在上一節(jié)中，并沒有考慮系統(tǒng)修復(fù)及動態(tài)免疫的影響。但實際是，防病毒程序會動態(tài)掃描蠕蟲所利用的漏洞。如果漏洞被修復(fù)，感染的進度將會受到阻礙。

為了能模擬動態(tài)修復(fù)對蠕蟲傳播的影響，在本文的遏制系統(tǒng)中引入了幾何時間修復(fù)策略(TTR)［14］。在每個時間步長上，受感染的子網(wǎng)變?yōu)槊庖郀顟B(tài)的概率為δ。在模擬系統(tǒng)中，令δ=0.003，即平均修復(fù)的時間為兩周，圖3為仿真結(jié)果。

圖3 考慮動態(tài)免疫的對比

從模擬顯示的結(jié)果來看，當動態(tài)免疫被考慮時，RCS模型有15%以上的易感子網(wǎng)將被感染，而基于局域網(wǎng)的遏流模型僅僅有7.5%的易感子網(wǎng)被感染，表明本文的遏流系統(tǒng)能產(chǎn)生50%的遏制作用。此外，基于局域網(wǎng)的遏流系統(tǒng)還能推遲感染峰值的到來，為遏制蠕蟲傳播提供準備時間。

我們還模擬了動態(tài)修復(fù)率δ取不同值時對蠕蟲傳播的影響，圖4給出了當δ分別取0.0014，0.003和0.0035時的情況。其中，Ms和Sf分別取100800和280。

圖4 δ=0.0014，0.003和0.0035時的感染比例

從圖4我們發(fā)現(xiàn)，如果平均修復(fù)時間不超過兩周時間，隨機掃描蠕蟲將不會啟動，這為我們有效地控制隨機掃描蠕蟲的傳播是非常重要的。

4 結(jié)論

最近，有關(guān)網(wǎng)絡(luò)安全和惡意軟件的研究多集中在了防病毒系統(tǒng)和病毒之間，如快速的入侵檢測［15］與自動的病毒遏制［5］，然而他們對掃描率緩慢且易感率高的蠕蟲卻是無效的。

在本文中，我們利用同一子網(wǎng)內(nèi)用戶信息需求的相似性，提出了基于局域網(wǎng)的遏流技術(shù)來限制慢掃描和脆弱性高的智能蠕蟲。研究結(jié)果表明，無論是否考慮動態(tài)免疫本文提出的方法對慢掃描和高易感性的智能蠕蟲都是有效的。也就是說，可以給出一個合理的閾值并利用該閾值將感染子網(wǎng)與正常子網(wǎng)區(qū)別開來，為防病毒系統(tǒng)提供了有價值的信息。該方法可以很容易地限制惡意軟件在筆記本電腦［16］與手機病毒［17］的傳播。

下一步，我們計劃建立模型刻畫同一子網(wǎng)內(nèi)用戶信息需求的相關(guān)性，同時利用從企業(yè)網(wǎng)絡(luò)中的真實數(shù)據(jù)來評估本文提出的遏流系統(tǒng)。我們的研究僅限于隨機掃描蠕蟲病毒的傳播，接下來我們將研究拓撲感知蠕蟲傳播模型并提供相應(yīng)的遏制系統(tǒng)。

［1］Moore，D.，Paxson，V.，Savage，S.，Shanon，C.，Staniford，S.，Weaver，N.:Inside the slammer wor.IEEE Security and Privacy journal，2003.

［2］Moore，D.，Shanon，C.:The Spread of the Code － Red Worm(CRv2)(2001)，http://www.caida.org/research/security/code－red/#crv2.

［3］Williamson，M.M.:Throttling viruses:Restricting propagation to defeat malicious mobile code.Technical Report HPL －2002 －172，HP Laboratories Bristol，2002.

［4］Wong，C.，Wang，C.，Song，D.，Bielski，S.，Ganger，G.R.:Dynamic Quarantine of Internet Worms.In:Proc.IEEE Int’l Conf.Dependable Systems and Networks，2004:73－82.

［5］Sarah，S.H.，Shroff，N.B.，Bagchi，S.:Modeling and Automated Containment of Worms.IEEE Transcations on Dependable and Secure Computing，2008(5):71 －86.

［6］馬衛(wèi)東，王 磊，李幼平，等.用戶需求行為對互聯(lián)網(wǎng)動力學(xué)整體特性的影響［J］.物理學(xué)報，2008(3).

［7］Staniford，S.，Paxson，V.，Weaver，N.:How to Own the Internet in Your Spare Time.In:Proc.Usenix Security Symp.，2002:149 －167.

［8］Zou，C.C.，Gong，W.，Towsley，D.:Monitoring and Early Warning for Internet Worms.In:Proc.ACM Conf.Computer and Comm.Security，2003:190 －199.

［9］Kabiri，P.，Ghorbani，A.A.:Research on Intrusion Detection and Response:A Survey.International Journal of Network Security，2005(1):84 －102.

［10］Kolter，J.Z.，Maloof，M.A.:Learing to detect malicious executables in the wild.In:Proceedings of the Tenth ACM SIGKDD International Conference on Knowledge Discovery and Data Mining，2004:470 －478.

［11］Moskovitch，R.，Gus，I.，Pluderman，S.，Stopel，D.，F(xiàn)eher，C.，Glezer，C.，Shahar，Y.，Elovici，Y.:Detection of Unknown Computer Worms Activity Based on Computer Behavior using Data Mining.In:Proc.IEEE Symposium on Computational Intelligence and Data Mining，2007:202－209.

［12］Fu，J.M.，Chen，B.L.，Zhang，H.G.:A Worm Containment Model Based on Neighbor－ Alarm.In:Xiao，B.，Yang，L.T.，Ma，J.，Muller － Schloer，C.，Hua，Y.(eds.)ATC 2007.LNCS，vol.4610，pp.449—457.Springer，Heidelberg(2007).

［13］Nlanr.:Bell Lab － I Data Set(2007)，http://pma.nlanr.net/Traces/long/bell.html.

［14］Debany Jr.，W.H.:Modeling the Spread of Internet Worms Via Persistently Unpatched Hosts.IEEE Netw，2008(22):26－32.

［15］Stephenson，B.，Sikdar，B.:A Quasi－ Species Model for the Propagation and Containment of Polymorphic Worms.IEEE Trans.Computers，2009(58):1289 －1296.

［16］王驥東，俞建軍，李 琦.網(wǎng)絡(luò)蠕蟲檢測技術(shù)研究與實現(xiàn)［J］.計算機時代，2009(9).

［17］亓 璐，吳海峰，翟 鵬，等.網(wǎng)絡(luò)蠕蟲掃描策略和檢測技術(shù)的研究［J］.計算機安全，2010(5).