1、1,网络蠕虫的传播模型及其防御策略,王方伟,2,网络蠕虫的传播过程,发现新目标 扫描IP地址 Email地址、文件系统的传输,感染目标主机 主要利用系统漏洞,新感染的主机加入感染大军,3,研究网络蠕虫的动机,Code Red (Jul. 2001) : 14小时内感染近36万台主机,损失:26亿 Slammer (Jan. 2003) : 10分钟内感染75,000台主机,损失:5分钟内就导致了9.5亿-12亿美元的损失 Blaster (Aug. 2003) : 感染15万-8百万主机,DDoS attack (关闭Windows更新),损失:20-100亿 Witty (Mar. 2004
2、) : 利用ISS漏洞,30分钟感染12000台主机 Sasser (May 2004) : 2天内感染50万台主机,损失:数千万美元,网络蠕虫的传播速度远远超过人的响应速度!,4,研究蠕虫的科学意义,网络蠕虫的危害 传播速度快 影响面广 造成损失大 对计算机系统安全和网络安全的威胁日益增加 新一代网络蠕虫的主要特点和危害 造成骨干网大面积阻塞甚至瘫痪,致使网络服务中断 造成主机开放,导致严重的信息安全威胁 计算机系统性能下降,甚至瘫痪 发动拒绝服务攻击 攻击者回收和集中控制感染节点,5,如何防御网络蠕虫攻击,迫切需要自动响应机制 首先,需要理解蠕虫的行为特征 为蠕虫的检测和防御做准备 然后,
3、 未知蠕虫的早期检测 基于蠕虫模型的检测 基于阈值 基于趋势 最后, 建立自动防御系统 动态隔离 自适应防御,6,目录,网络蠕虫的定义及当前的安全状况 网络蠕虫的传播模型分类 网络蠕虫的扫描策略 我们目前的工作 网络蠕虫的防御策略 将来的计划(目前的研究热点),7,网络蠕虫的定义,什么是网络蠕虫? 1982年,John F. Shoch等最早引入计算机领域。两个最基本特征:可以从一台计算机移动到另一台计算机和可以自我复制。 1988年Morris蠕虫爆发后,Eugene H. Spafford 给出了蠕虫的技术角度的定义,“计算机蠕虫可以独立运行,并能把自身的一个包含所有功能的版本传播到另外的
4、计算机上。” 郑辉:Internet蠕虫是无须计算机使用者干预即可运行的独立程序,它通过不停的获得网络中存在漏洞的计算机上的部分或全部控制权来进行传播。 文卫平:“网络蠕虫是一种智能化、自动化,综合网络攻击、密码学和计算机病毒技术,不需要计算机使用者干预即可运行的攻击程序或代码。它会扫描和攻击网络上存在系统漏洞的节点主机,通过局域网或者国际互联网从一个节点传播到另外一个节点。 DM Kienzle :网络蠕虫是通过网络传播的恶意代码,它需要人为干预或者不需要人为干预。,基本特征:网络传播,自我复制,8,什么不是网络蠕虫? 病毒 隐藏在计算机系统信息资源中,利用系统信息资源进行繁殖并生存,影响计
5、算机系统征程运行,通过信息共享的途径传播的、可执行的程序。 不能独立运行,需要用户来激活。 木马 是一种基于远程控制的攻击工具,能够未经授权收集、篡改或破坏信息。其特点是隐蔽性和非授权性。 设计者为了防止木马被发现,采用多种手段来隐藏木马;即使被发现,也不能缺定具体位置。 一旦控制端连上服务器端,控制端将拥有服务器的大部分权限。,9,病毒、网络蠕虫和木马的区别,10,恶意代码和网络蠕虫、计算机病毒、木马的关系,11,网络蠕虫的分类(1),根据传播途径 利用Windows 操作系统漏洞传播 RPC漏洞(Blaster) 利用应用程序漏洞传播 FTP服务程序(Ramen)、IIS 服务器漏洞(Ni
6、mda)、SQL Server数据库(Slammer) 利用浏览器传播 通过修改web 服务器的内容,把一小段JavaScript 代码附加到HTML或者ASP文件上, IE自动执行代码(Nimda, Code Red) 利用Email传播 通过MAPI获得感染机器的通讯录中邮件地址列表,通过Windows 的邮件客户端把蠕虫代码作为邮件附件发送给其他主机, 而未打补丁的IE会自动执行邮件中的附件,从而使蠕虫激活.(求职信蠕虫、小邮差蠕虫) 依赖网络共享 利用共享网络资源进行传播(Nimda),12,网络蠕虫的分类(2),网络蠕虫的破坏能力 无害型 建立很多垃圾文件,减少磁盘的可用空间,对系统
7、没有其他影响 降低系统或网络性能型 消耗大量主机资源,减少内存和CPU的使用率,使主机速度变慢;在网络上形成垃圾流量,浪费网络带宽,造成拥塞,降低网络性能。 (Nachi探测网络主机的RPC DCOM缓冲区漏洞,删除Blaster ) 破坏型 删除主机程序、破坏数据、清除系统内存区和操作系统中重要数据。(Code Red, Nimda、Blaster、Sasser),13,网络蠕虫的分类(3),蠕虫编写者的意图 好奇心型 (爱虫、Code Red ) 恶作剧型 自娱自乐或开别人玩笑(Blaster, 为了帮助其母亲的小公司招揽生意) 商业利益型 为了赚钱,进入他人网站内,将其主页内商品资料内容
8、、价格作降价等大幅度修改,使消费者误以为该公司的商品便宜廉价而大量订购,从而产生Internet订货纠纷。(库尔尼科娃蠕虫、燕姿蠕虫) 政治目的型 萨达姆蠕虫 恐怖主义型 仇恨一切现存的秩序,仇恨电脑本身,制造蠕虫的目的是利用蠕虫破坏现有的网络和计算机,窃取重要情报、格式化硬盘、毁坏重要数据等(Al-Qaeda、ELF、ALF),14,网络漏洞的类型,漏洞指因设计不周而导致的硬件、软件或策略存在的缺陷。 缓冲区溢出漏洞 将超过缓冲区能处理的更多的数据加入到缓冲区时产生的 允许DoS服务的漏洞 存在于UNIX操作系统的网络服务核心,OS本身的漏洞。 允许有限权限的本地用户未经授权提高其访问权限的
9、漏洞 由应用程序中的一些缺陷引起。典型例子:Sendmail程序的漏洞。在例程模式下,可以绕过用户帐号的检查,都可以启动Sendmail。 允许在远程主机上的未经授权用户访问网络的漏洞 主要由于较差的系统管理或设置造成的。IIS允许远程用户执行命令。IIS HTTP将所有以.Bat或.cmd为后缀的文件与cmd.exe联系起来,如果能执行cmd.exe 就能运行所有的命令。,15,蠕虫的行为特征,自我繁殖: 蠕虫在本质上已经演变为黑客入侵的自动化工具, 当蠕虫被释放后,从搜索漏洞,到利用搜索结果攻击系统,到复制副本,整个流程全由蠕虫自身主动完成。 利用软件漏洞: 漏洞是各种各样的,有操作系统本
10、身的问题,有的是应用服务程序的问题,有的是网络管理人员的配置问题。漏洞产生原因的复杂性,导致各种类型的蠕虫泛滥。 造成网络拥塞: 在扫描漏洞主机的过程中,判断其它计算机是否存在;判断特定应用服务是否存在;判断漏洞是否存在等等,这不可避免的会产生附加的网络数据流量。同时蠕虫副本在不同机器之间传递,或者向随机目标的发出的攻击数据都不可避免的会产生大量的网络数据流量。 消耗系统资源: 蠕虫入侵到计算机系统之后,会在被感染的计算机上产生多个副本,每个副本启动搜索程序寻找新的攻击目标。大量的进程会耗费系统的资源,导致系统的性能下降。 留下安全隐患: 大部分蠕虫会搜集、扩散、暴露系统敏感信息,并在系统中留
11、下后门。这些都会导致未来的安全隐患。,16,网络蠕虫的攻击方法,缓冲区溢出攻击 弱密码攻击 自身携带一个弱密码字典,字典中包括常用的用户名和密码,攻击时网络蠕虫将用户名和密码进行组合,然后尝试,如果成功就与远程主机系统建立连接将自身传给远程主机系统,并以此为起点进行新的攻击。(阿泥哥蠕虫 ) 社会工程学攻击 利用说服或欺骗的方式,让网络内部的人来提供必要的信息,从而获得对信息系统的访问。攻击对象通常是一些安全意识薄弱的计算机使用者,攻击者通常采用与之交流或其它互动的方式实现。 DoS与DDoS攻击Ping of death、泪滴(Teardrop)、UDP flood、SYN flood、La
12、nd攻击、Smurf攻击、Fraggle攻击,电子邮件炸弹、畸形消息攻击,17,网络蠕虫的现状和趋势,几小时,时间,几天,几分钟,几秒钟,90年代初,90年代中,90年代末,2000,2003,第 I 类 人工响应:有可能,第 III 类 人工响应: 不可能 自动响应: 不太可能 主动阻挡: 有可能,第 II 类 人工响应: 很难 /不可能 自动响应:有可能,2005,18,漏洞越来越多 1995 到 2008,当前的安全状况,vulnerabilities in 2006 are second quarters.,19,互联网安全事件报告越来越多 1988 到 2006,20,从漏洞发现到蠕
13、虫爆发的时间越来越短,21,网络蠕虫的传播模型,目的:精确的蠕虫传播模型可以更清楚地认识蠕虫,能确定其在传播过程中的弱点,而且能更精确的预测蠕虫所造成的损失,进而采取有效防御措施。 解析模型 将蠕虫传播过程用数学解析的方法进行描述,如一组微分方程、差分方程或者一组递归公式 数据包级蠕虫仿真模型 通过引入网络仿真技术,构建蠕虫传播物理环境仿真模型,根据蠕虫模型的数据包产生、发送规则,在仿真模型中模拟蠕虫数据包在实际网络中的发送、传播、接收和处理等动作,同时记录相应的中间过程信息,用于蠕虫传播特性分析.,22,网络蠕虫传播模型,# of contacts I (t) S(t),传播模型:,I(t)
14、,: 易感主机数,: 主机总数,: 感染主机数,: 扫描数,t,简单传播模型,: 感染率,23,Kermack-McKendrick 模型,状态转移: 从感染主机中恢复的主机数 : 恢复率,t,一个大规模蠕虫爆发的充要条件:其中,24,双因素传播模型,考虑了更多的外界影响因素和蠕虫对抗措施: 各ISP节点或用户的对抗措施; 网络蠕虫的快速传播导致一些路由器发生阻塞,从而降低网络蠕虫的传播速度.在这个模型中,(t),R(t)和Q(t)都是随着时间t动态变化的参数,双因素传播模型的微分方程表达式为,25,26,状态转移:,: # of susceptible,: # of infectious,:
15、 # of exposed,其中,: infection probability,: The rate of infection,: The rate of an exposed host becomes infectious,: The rate of an infectious host recovers,SEIR Model,: # of recovered,27,Worm-Anti-Worm模型(WAW),该模型考虑网络中存在两类蠕虫, A为恶意蠕虫, B为良性蠕虫. 把蠕虫A的传播分为两个阶段.在蠕虫B出现之前,蠕虫A的传播行为遵循双因素模型.当蠕虫B出现以后,网络中蠕虫A的传播分为
16、4种情况: 蠕虫B查杀蠕虫A并为感染主机修补漏洞; 蠕虫B只查杀蠕虫A; 蠕虫B对所有的易感主机修补漏洞; 蠕虫B对所有的易感主机修补漏洞,并查杀蠕虫A. 在前两种情况下,蠕虫B只寻找已感染主机,在后两种情况下,蠕虫B寻找所有易感主机.,28,8月18日中午13:00左右 Nachi,8月12日凌晨1:00左右 MSBlaster,29,网络蠕虫的扫描策略,模型假设 易感主机数是一个常数,不随时间的变化而变化,即没有新的易感主机进入系统; 不考虑人为措施(如打补丁、隔离、断开网络等)和网络拥塞的影响,即蠕虫的扫描率为常数; 主机只有两个状态:易感和感染,某一时刻只能处于其中一个状态,不能再次感
17、染已经处于感染状态的主机,初始感染主机数为I0; 蠕虫需要一个时间单元完成感染过程。,30,模型: 均匀扫描蠕虫总能扫描整个地址空间 ,因为IPV4是32位地址,所以 。对于均匀的随机扫描方法来说,任意主机被扫描一次的概率为 。用S(t) 表示时刻时的易感主机数(包括已经被感染的主机数),用I(t)表示时刻时的已经被感染的主机数。在蠕虫开始传播之前(t=0),S(0)=N,I(0)=I0。 假设蠕虫的平均扫描率为 ,t 时刻时的感染主机发出的扫描数为 ,那么在整个地址空间内,任意IP地址被扫描一次的概率为 ,在单位时间内平均每个感染主机扫描整个地址空间内的一个特定IP地址的概率为 共有 个易感
18、主机,所以在下一时刻时,新增加的感染主机数为 。在时刻t+1时,已被感染的主机总数为,31,同时 , 所以蠕虫的传播模型为其中,32,随机均匀扫描(Random Uniform Scanning) 基于目标列表的扫描(Hit-list Scanning) 路由扫描(Routable Scanning) 分治扫描(Divide-and-Conquer Scanning) 本地子网扫描(Local Subnet Scanning) 顺序扫描(Sequential Scanning) 置换扫描(Permutation Scanning) DNS扫描 基于佳点集的扫描方法,33,随机均匀扫描,随机扫描
19、是感染蠕虫的主机在寻找新的攻击目标时不知道哪些主机系统有漏洞,随机的选择网上计算机进行扫描,如Code Red和Slammer,所以扫描的目标为IPV4所有地址空间,即 。,34,基于目标列表的扫描,这种蠕虫在传播之前先搜集一些有漏洞的主机地址列表,传播时先感染这些地址列表中的主机,然后这些感染的主机再随机扫描互联网上的其它主机。扫描过程可分两个阶段:第一阶段是蠕虫感染Hit-list中的主机的过程,该阶段由于蠕虫编写者已经事先取得了存在漏洞的主机,而且这些机器都具有良好的网络连接,所以该过程速度极快,在开始几秒内就能完成。第二个过程因为没有先验知识,所以是随机传播,扫描地址空间为 ,所以这种
20、扫描方法也能用模型(1)来模拟,只不过初始感染主机数为Hit-list表中的数量。,35,基于目标列表的扫描,如何得到目标列表 长时间偷偷随机扫描Internet上的主机 通过僵尸网络(Botnet)分布式扫描 DNS搜索 收集域名列表搜索邮件服务器的IP地址 利用网络爬虫(Web crawling spider) 利用公共信息 如 Netcraft 收集被以前蠕虫感染的主机地址,36,路由扫描,这种网络蠕虫可以利用BGP路由前缀来减小蠕虫的扫描空间,也就是对IP地址空间进行选择性扫描的一种方法。采用随机扫描的网络蠕虫会对未分配的地址空间进行探测,而这些地址大部分在互联网上是无法路由的,因此会
21、影响到蠕虫的传播速度。如果网络蠕虫能够知道哪些IP地址是可路由的,它就能够更快、更有效地进行传播。由于在BGP路由表中,只包含了28.6%的IPV4地址空间,若采用路由扫描法其探测地址空间将比随机扫描大约减小3倍,所以传播速度会增加。它的不足是蠕虫必须携带一个路由IP地址库,蠕虫代码比较大。这种方法也能用模型(1)来模拟,只不过扫描空间变为 。,37,随机均匀、路由、目标列表扫描蠕虫的性能比较,随机均匀扫描、路由扫描、目标列表扫描的性能比较,38,分治扫描,在释放蠕虫之前,作者需要收集一个10000到50000个有漏洞且网络连接良好主机的列表,在传播时,蠕虫给每个感染主机发送一个子列表,受害主
22、机就按照子列表进行扫描。例如,主机A感染主机B后,主机A就把列表分成两部分,一半给主机B,自己保留另一部分。即使在列表中只有10-20%的主机有漏洞,这个快速分解方法也能很快通过列表且一分钟之内蠕虫能在全部有漏洞的主机上复制自身。构造初始列表的常用技术有:秘密扫描、分布式扫描、DNS搜索、Spiders等,此扫描的特点是:隐蔽性强,通过逐渐分解列表,蠕虫越来越小;扫描造成的流量也进一步减小,更不容易检测。但是,如果分得列表的主机被关掉或死机,那这部分列表就会丢失,这种情况发生的越早,对蠕虫传播的影响越大。,39,分治扫描、随机均匀扫描、目标列表扫描的性能比较,随机、目标列表、分治、Flash蠕
23、虫的性能比较,40,本地子网扫描,前面四种方法都假设易感主机在整个IP地址空间内均匀分布,然而实际情况并非这样,有的网络由于安装了一些保护措施(如防火墙、地址过滤、内容过滤等)使得蠕虫无法完成扫描,易感主机密度就比较小。有的网络缺乏保护,蠕虫可利用漏洞比较多,易感主机的密度就比较大。以比较大的概率扫描某一网段,再用比较小的概率完成随机扫描,这样做有利蠕虫快速感染一些的主机,又能跳出本网,从而感染更多的主机,如Code Red II蠕虫。(4/8概率扫描A类地址,3/8扫描B类,1/8随机扫描整个IP地址) 蠕虫的传播模型为,41,本地子网扫描、随机扫描的比较,本地子网蠕虫和随机扫描蠕虫的性能比
24、较,42,顺序扫描,指感染主机上的蠕虫按照一定顺序依次扫描自己所在网段内的地址。若蠕虫扫描的目标地址IP为x,则扫描的下一个地址IP为或者x+1或x-1。 优点:对易感主机密度比较大网络有效,短时间内就可以感染大量主机; 缺点:会产生大量的重复扫描,引起网络拥塞。 假设感染主机A的IP地址为x,采用IP地址递增方法,该蠕虫就从主机A开始依次扫描x+1,x+2,不失一般性,若IP地址为x+2主机B被主机A感染,则主机B依次扫描x+3,x+4,。假设一个C类子网中所有主机都是易感主机,最坏情况下,扫描数为(1+255)*128=32768,而实际可能只需要255次扫描就能感染所有主机,Blaste
25、r是典型的顺序扫描蠕虫。,43,置换扫描,置换扫描采用伪随机置换来产生自调整的扫描,可以最大限度的减少重复扫描。 基本原理:所有易感主机共同使用一个与所有IP地址空间相对应的伪随机置换表,并通过该表来选择新的扫描列表。 置换扫描的工作机制如下:感染主机以其在置换表中的位置为扫描起点,并由该起点沿着置换表向下扫描,以查找新的易感主机。当扫描到某一IP地址并发现该地址所对应的主机已经被感染,就停止扫描,并在置换表中随机选择一个新的IP地址继续扫描。 优点:保持了随机扫描方法的很多优点,确保了对整个网络空间的彻底扫描,避免了重复扫描同一台主机,扫描效率得到了很大改善。在置换扫描过程中,蠕虫共享IP地
26、址空间的一个伪随机置换。,44,采用D.H Lehmer在1948年提出的线性同余产生器(Linear Congruential Generator, LCG)来实现置换。 其基本原理如下:假设Xi是原始空间中的一个地址,Xi+1为置换空间内相应的地址,Xi+1和Xi间的关系为其中常数a=214013,b=2531011,m= ,这样利用LCG就产生了区间0, -1内所有整数的一个置换,如图所示。,45,虽然易感主机可能不是均匀分布,但经过置换后,可以近似地认为均匀分布。置换扫描蠕虫的模型可以表示为,大约在2000秒左右就感染了99.5%的主机 Warhol蠕虫采用目标列和置换扫描,46,DN
27、S扫描,IPv6 具有2128 IP 地址 最小的子网有264 地址 相当于42亿个 IPv4 考虑一个最小的子网 一百万易感主机 每秒10万扫描 (Slammer - 4,000) 初始1,000个感染主机 采用随机扫描需要40年才能感染50%的易感主机 随机扫描效率太低,47,A. Kamra提出了一个DNS随机扫描的蠕虫,并给出了其传播模型 不扫描IP地址,而使用DNS域名。 字符串产生器,48,基于佳点集的扫描方法,研究扫描方法的动机 从网络攻击者角度出发,研究攻击者可能采用的扫描策略,以便做到有的放矢,未雨绸缪,变被动挨打为主动出击 找出影响蠕虫传播的关键因素 以便采用更为有效的防御
28、策略,降低损失 佳点集理论的主要思想 扩大扫描空间 提高搜索效率 降低所得最优方解的偏差,49,漏洞主机的分布,The collected victim addresses are formed a group distribution in /8 subnets,Uneven distribution of Web servers,Uneven distribution of hosts infected by the Witty worm,Distributions of Witty-worm victims and web servers are far from uniform,50,
29、佳点集扫描策略,denote the IP address of an arbitrarily infected host,consists of d (d=32) bits, is seen as a d-dimensional cube,In the d-dimensional cube, we set a good point set with n points,the smallest prime number which satisfies,denotes the fractional part of,51,Among the n newly generated IP address
30、es, assume the kth IP address is represented as,Using this method, we can obtain n newly generated IP addresses.,52,佳点集扫描同置换扫描的比较,Performance comparisons (3,600,000,000 IP addresses ),newly generated IP address,The performances of the good point set scanning are better than that of the permutation s
31、canning.,53,基于组分布的静态佳点集扫描方法,The total IP address space consists of l groups. N the total number of vulnerable hosts Ni denote the number of vulnerable hosts in group i i (i = 1, 2,l ) the size of address space in group i. Group distribution , the ratio between the number of vulnerable hosts in group
32、 i and the total number of vulnerable ones. Group scanning distribution , the probability that a worm scan hits group i. Hence,54,最优的静态佳点集扫描,Assume that the group distribution of vulnerable hosts is known in advance Hosts are scanned with the same probability A vulnerable host in group i is hit with
33、 same probability Assume that the events of a vulnerable host being hit are independent Number of scans required until the first scan hits an appointed vulnerable host in group i, follows a geometric distributionThe expected number of scans needed until this vulnerable host is,55,The average number
34、of scans need until the first scan hits an assign host, denoted by YOur goal is to minimize Y Theorem: Among all possible static strategies, the group scanning distribution is the strategy that minimize Y subject to , where,56,The relationship between and is,Using Cauchy Inequality, we obtain,Equati
35、on (12) holds when,If,The optimal static strategy is obtained when,57,自学习蠕虫,The knowledge of the group distribution of vulnerable hosts is unknown before a worm is released Attackers possibly adopt alternative method to obtain the group distribution Worm server : Select a host with a high bandwidth
36、capacity, used to collect and process information about infected host. Worm client: Any infected host, can communicate with the worm server and report its IP address to the worm server.,58,Self-learning stage: Worm server uses the good point set scanning to target other vulnerable hosts. Once a vuln
37、erable host is infected, the worm server records the new worm clients IP address in a list. Each worm client performs the same scanning method, and reports its IP address to the worm server. When the worm server collects a sufficient number of IP addresses Q, it begins to estimate , and sends to all
38、 worm clients. Good point set scanning stage: On receiving , a worm client begins to use the good point set scanning with group scanning distribution. To avoid the probability of being detected, the newly infected hosts do not communicate with the worm server.,59,However, how large should Q be for a
39、ccurately estimating the group distribution? Qi denotes the number of worm clients IP addresses from group i among all Q addresses. Our estimator for group i distribution is Ai denotes the event that the i th worm client is in group i,Thus,Since the worm uses the good point set scanning in the early
40、 stage of worm propagation,Therefore,60,The mean squared error (MSE) of is given by,Since,We obtain,For,thus,The deviation of the good point set scanning is,The deviation of random scanning is,If Q=20342 ,61,蠕虫传播模型,Worm propagating process: includes four stages (target selection, exploitation, infec
41、tion and propagation), require some time to infect a new host.Using a modified AAWP model,number of vulnerable hosts in group i,number of infected hosts in group i,number of scans hitting group I by the infected hosts,62,性能分析,parameters: 360,000 vulnerable machines, A hitlist of size 10 a scanning r
42、ate of 358 scans/minute.,Comparing the modified AAWP model to the existing models,Our model is more suitable for simulating the propagation of the worm.,63,To obtain the group distribution ,we assumeWhen 99% vulnerable hosts are infected, the experiments are stopped. Static GPSS with group distribut
43、ion is the fastest,Comparison of static GPSS strategies (different n),64,Using the optimal static strategy The self-learning process can significantly improve the propagation speed of worms,A self-learning Code Red,A self-learning routing Code Red,65,可能的防御策略,From the perspective of defenders, how to
44、 control pg(i) has been a key of effectively defending such worms. According to Information entropy, the best defending strategy is to distribute the applications or IP addresses uniformly, pg(i) = 1/l Network Address Space Randomization (NASR) For worm server Detect worm server a host contact graph
45、 a signature-based approach Disabling worm server address blacklisting performing Denial of Service (DoS) For worm client Detect worm client a hybrid machine learning approach Contain worm client cooperative distribution of traffic filtering,66,Witty蠕虫的传播模型,2004年3月19日大约20点45分在网络上出现了Witty蠕虫,它是利用3月18日
46、EEYE披露的一个ISS (Internet Security Systems)产品的缓冲区溢出漏洞进行传播的,到蠕虫爆发的时间不到48小时, 这是目前最快的恶意攻击。 Witty蠕虫的特点: 它是第一个带有有效负载并在Internet上广泛传播的蠕虫; 它是目前知道的从漏洞公布到蠕虫爆发的时间间隔最短的蠕虫,不到48小时; 传播速度非常快,10秒钟感染了110台主机,30秒钟感染了160台主机,75分钟就感染了12000台机器; 它通过存在漏洞但装有防火墙的网络服务器进行传播,使得防火墙形同虚设。,67,Witty感染主机的步骤如下: (1)随机产生一个IP地址; (2)发送有效负载; (3
47、)重复(1)和(2)20000次; (4)随机打开硬盘一个逻辑分区,并写入65K的垃圾数据; (5)关闭硬盘; (6)重复步骤(1)。这种直接向硬盘写入数据的方法将导致文件系统瘫痪,破坏性巨大。,68,Witty蠕虫的传播模型,所有主机分为易感类S(Susceptible)、潜伏类E(Exposed不具有感染能力)、感染类I(Infectious)、死亡类D(Dead)四种类型假设在时间t 时各类的主机数为S(t), E(t), I(t)和D(t),(t)为感染率,(t)= 01-I(t)/N初始值0=/,其中为Witty蠕虫的扫描率,为整个IP地址空间,p为潜伏类变为感染类的概率(p1),为
48、感染主机的死亡率,为Witty蠕虫的大小,为网络的平均传输率,为死亡主机由于人为措施的影响又恢复为易感主机的恢复率。,69,利用S(t)=N-E(t)-I(t)-D(t),代入模型消去S(t),则模型SEID可简化为,假设易感主机数N为常数,在时刻t时,S(t)+E(t)+I(t)+D(t)=N,(1),(2),70,仿真试验结果分析,71,非结构对等网中被动蠕虫传播的性能分析,P2P蠕虫的定义 P2P蠕虫是利用P2P应用程序、协议的漏洞在P2P网络中传播的蠕虫。 导致重大损失的原因 传播速度快 P2P软件一般不会被防火墙等安全设备阻挡,能够躲避普通的基于异常流量模式的检测方法 P2P软件本身包含可能被攻击者可利用的漏洞,72,P2P蠕虫的分类,根据发现目标与激活方式的不同P2P蠕虫可以分为三种: 被动蠕虫(passive worm):嵌入到共享的文件,当这些文件被下载并在其他节点打开时实现传播,如Benjamin, Bare, Duload蠕虫. 沉默蠕虫(reactive worm):不需要潜入到共享文件,而是利用正常网络活动进行传播,以躲避普通的基于异常流量的检测方法,如Gnuman蠕虫。 主动蠕虫(proactive worm):利用被感染节点(peer)的P2P逻辑拓扑邻居进行传播的蠕虫, 逃避诸如Virus Throttle 之类方法的检测。,
