【摘要】網(wǎng)絡(luò)蠕蟲的檢測(cè)是防范網(wǎng)絡(luò)蠕蟲的第一步，對(duì)防范的成功實(shí)現(xiàn)起著非常重要的作用。通過常見的網(wǎng)絡(luò)蠕蟲檢測(cè)算法的研究，將其進(jìn)行了分類，并對(duì)每一種檢測(cè)方法的基本原理進(jìn)行了分析。

【關(guān)鍵詞】網(wǎng)絡(luò)蠕蟲；檢測(cè)；分類

目前網(wǎng)絡(luò)蠕蟲的種類越來越多，破壞力也越來越大，并且更加隱蔽。網(wǎng)絡(luò)蠕蟲不僅占用被感染主機(jī)的資源，而且在網(wǎng)絡(luò)中如果被感染主機(jī)較多，網(wǎng)絡(luò)蠕蟲使用大量進(jìn)程進(jìn)行掃描探測(cè)的情況下，會(huì)造成網(wǎng)絡(luò)的嚴(yán)重阻塞。由于互聯(lián)網(wǎng)具有開放性的特點(diǎn)，缺乏明確的全局管理機(jī)構(gòu)和中心控制能力，沒有完善的機(jī)制保證互聯(lián)網(wǎng)絡(luò)節(jié)點(diǎn)不受網(wǎng)絡(luò)蠕蟲的攻擊，傳統(tǒng)的基于單機(jī)的病毒預(yù)防技術(shù)、基于單機(jī)聯(lián)動(dòng)的局域網(wǎng)病毒防范技術(shù)、病毒防火墻技術(shù)等都不能很好地應(yīng)對(duì)開放式網(wǎng)絡(luò)對(duì)網(wǎng)絡(luò)蠕蟲的預(yù)警要求[1]，因此網(wǎng)絡(luò)蠕蟲的檢測(cè)研究變得愈發(fā)重要。下面簡(jiǎn)介幾種網(wǎng)絡(luò)蠕蟲檢測(cè)方法。

1.基于特征串匹配的檢測(cè)

在網(wǎng)絡(luò)中捕獲流經(jīng)網(wǎng)絡(luò)出入口的所有數(shù)據(jù)包，根據(jù)已掌握的網(wǎng)絡(luò)蠕蟲的特征串或規(guī)則表達(dá)式對(duì)數(shù)據(jù)包進(jìn)行掃描匹配。華盛頓大學(xué)的John W.Lockwood 等人提出了一種采用可編程邏輯設(shè)備（簡(jiǎn)稱PLDs），基于PLDs的檢測(cè)技術(shù)采用高速硬件實(shí)現(xiàn)其核心功能，能夠?qū)崿F(xiàn)大規(guī)模高速網(wǎng)絡(luò)環(huán)境對(duì)網(wǎng)絡(luò)蠕蟲的檢測(cè)。但這類方法不能檢測(cè)和防御未知蠕蟲，而且存在一定的誤警率。基于蜜罐技術(shù)（HoneyPot）[2]的檢測(cè)是另一個(gè)實(shí)用的特征串匹配檢測(cè)技術(shù)，它在邊界網(wǎng)關(guān)或易受到蠕蟲攻擊的地方置放多個(gè)的虛擬HoneyPot，相互之間共享捕獲的數(shù)據(jù)信息，當(dāng)網(wǎng)絡(luò)蠕蟲根據(jù)一定的掃描策略掃描存在漏洞主機(jī)的地址空間時(shí)，捕獲網(wǎng)絡(luò)蠕蟲掃描攻擊的數(shù)據(jù)，然后特征匹配來判斷是否有網(wǎng)絡(luò)蠕蟲攻擊。

2.基于關(guān)聯(lián)分析的檢測(cè)

在基于蠕蟲目標(biāo)選擇研究的基礎(chǔ)上，通過收集計(jì)算機(jī)和網(wǎng)絡(luò)活動(dòng)的數(shù)據(jù)以及它們之間的連接等信息來檢測(cè)。著名的基于GrIDS的網(wǎng)絡(luò)蠕蟲檢測(cè)[3]就屬于這一類，它主要是針對(duì)大規(guī)模網(wǎng)絡(luò)攻擊和自動(dòng)化入侵設(shè)計(jì)，根據(jù)收集計(jì)算機(jī)和網(wǎng)絡(luò)活動(dòng)的數(shù)據(jù)以及它們之間的連接信息構(gòu)建網(wǎng)絡(luò)活動(dòng)行為來表征網(wǎng)絡(luò)活動(dòng)結(jié)構(gòu)上的因果關(guān)系，利用網(wǎng)絡(luò)行為與其的匹配與否來檢測(cè)網(wǎng)絡(luò)蠕蟲。該技術(shù)能夠檢測(cè)已知蠕蟲和大部分未知蠕蟲。但只能作簡(jiǎn)單的基于事件的關(guān)聯(lián)分析，沒有對(duì)網(wǎng)絡(luò)中傳輸?shù)陌畔⒒谏舷挛牡南嚓P(guān)性分析，沒有對(duì)TCP連接中的目標(biāo)地址和目標(biāo)服務(wù)進(jìn)行分析。中科院卿斯?jié)h教授提出的基于網(wǎng)狀關(guān)聯(lián)分析的蠕蟲檢測(cè)方法[4]彌補(bǔ)了GrIDS方法的不足，充分利用網(wǎng)絡(luò)環(huán)境中各探測(cè)點(diǎn)提供的信息和數(shù)據(jù)，通過對(duì)網(wǎng)絡(luò)數(shù)據(jù)的傳輸行為的數(shù)據(jù)挖掘和異常檢測(cè)來進(jìn)行信息流的源節(jié)點(diǎn)與目標(biāo)節(jié)點(diǎn)的關(guān)聯(lián)分析。

3.基于掃描行為的檢測(cè)

在網(wǎng)絡(luò)中網(wǎng)絡(luò)蠕蟲通常會(huì)盲目地利用隨機(jī)掃描、分解掃描、混合掃描或完全掃描等方式掃描大量的IP地址為尋找易攻擊的目標(biāo)，從而導(dǎo)致網(wǎng)絡(luò)充斥大量的掃描數(shù)據(jù)包，在一定程度上引起網(wǎng)絡(luò)異常[5]，因此通過檢測(cè)網(wǎng)絡(luò)數(shù)據(jù)的異?？蓹z測(cè)網(wǎng)絡(luò)蠕蟲，一般通過監(jiān)測(cè)網(wǎng)絡(luò)中的ICMP-T3、TCP-SYN、TCP—RST報(bào)文來實(shí)現(xiàn)。

4.基于人工智能技術(shù)的檢測(cè)

近些年迅猛發(fā)展的人工智能技術(shù)也被用于網(wǎng)絡(luò)蠕蟲的檢測(cè)，常見的有基于神經(jīng)網(wǎng)絡(luò)[6]和基于免疫系統(tǒng)的網(wǎng)絡(luò)蠕蟲檢測(cè)[7]?；谏窠?jīng)網(wǎng)絡(luò)的網(wǎng)絡(luò)蠕蟲檢測(cè)方法利用神經(jīng)網(wǎng)絡(luò)對(duì)正常的網(wǎng)絡(luò)行為進(jìn)行學(xué)習(xí)，然后利用訓(xùn)練過的神經(jīng)網(wǎng)絡(luò)檢測(cè)出潛在的網(wǎng)絡(luò)蠕蟲的攻擊；基于免疫系統(tǒng)的網(wǎng)絡(luò)蠕蟲檢測(cè)方法是通過模仿生物有機(jī)體的免疫系統(tǒng)工作機(jī)制，使電腦系統(tǒng)能夠?qū)⒄５木W(wǎng)絡(luò)行為和網(wǎng)絡(luò)蠕蟲等非法行為區(qū)分開來。

5.結(jié)束語

隨著網(wǎng)絡(luò)時(shí)代的到來，網(wǎng)絡(luò)蠕蟲的變種越來越多，功能更強(qiáng)大，傳播速度更快，危害也更嚴(yán)重，網(wǎng)絡(luò)蠕蟲的檢測(cè)研究也變得愈發(fā)重要。

參考文獻(xiàn)

[1]文偉平，卿斯?jié)h，蔣建春.網(wǎng)絡(luò)蠕蟲研究與進(jìn)展[J].軟件學(xué)報(bào)，2004，15（8）：1208-1219.

[2]David Dagon，Qin Xinzhou，Gu Guofci，et a1.HoneyStat：local worm detection using honeypots[C].Proc of 7th International Symposium on Recent Advances in Intrusion Detection，2004：39-58.

[3]Steven cheung，Rick Grawford，Mark Dilger.The Design of GrIDS：A Graph-Based Intrusion Detection System.Davis：CA 1999.

[4]卿斯?jié)h，文偉平，蔣建春等.一種基于網(wǎng)狀關(guān)聯(lián)分析的網(wǎng)絡(luò)蠕蟲預(yù)警新方法[J].通信學(xué)報(bào)，2004，25（7）：62-70.

[5]楊新宇，史椸，朱慧君.基于本地網(wǎng)絡(luò)的蠕蟲檢測(cè)定位算法[J].中國(guó)科學(xué)E輯：信息科學(xué)，2008，38（12）：2099-2111.

[6]李鴻培，王新梅.基于神經(jīng)網(wǎng)絡(luò)的入俊檢測(cè)系統(tǒng)模型[J].西安電子科技大學(xué)學(xué)報(bào)，1999，26（5）：667-670.

[7]Hofmeyr S，F(xiàn)orrest S.Architeeture for an artifieal Inunune system[J].Evolutionary Computation，2000，8（4）：443-473.

作者簡(jiǎn)介：張宏琳（1982—），女，陜西咸陽人，碩士，工程師，現(xiàn)供職于中國(guó)人民銀行西安分行營(yíng)管部科技處，主要研究方向：信息系統(tǒng)安全。