許冬燕 弭 妍 魏蜜蜜

（山東外事職業(yè)大學信息與控制工程學院，山東 乳山 264504）

在信息時代，計算機網(wǎng)絡安全直接決定了個人的隱私安全，同時也影響著社會經(jīng)濟的發(fā)展。蠕蟲（Worm）是一種常見的惡意代碼，可以在計算機的程序文件中自動復制，并借助于網(wǎng)絡進行傳播、蔓延。根據(jù)其傳播途徑的不同，又可分為Email 蠕蟲、IM 蠕蟲、Internet 蠕蟲和IRC蠕蟲等若干種。近年來，網(wǎng)絡蠕蟲呈現(xiàn)出種類更加多樣、隱蔽性更強、危害后果更為嚴重等一系列特點，在這一背景下關于網(wǎng)絡蠕蟲的主動防御和智能檢測技術成為熱門研究課題。

1 蠕蟲的網(wǎng)絡增長模式分析

蠕蟲會通過自我復制實現(xiàn)數(shù)量的指數(shù)式增長，決定其增長速度的主要因素有兩個：其一是網(wǎng)絡中存在有漏洞主機的數(shù)量，其二是被感染率。通常情況下，在蠕蟲感染初期會以指數(shù)形式快速增長，在達到一定的數(shù)量級后趨于平穩(wěn)。蠕蟲增長的數(shù)學模型為：

式（1）中，a 代表某個網(wǎng)絡中所有存在漏洞的主機的感染率，t 代表時間，K 代表初始化感染率。由該式可以看出蠕蟲的增長率是一個隨機常量，對式（1）解微分方程后可得：

式（2）中T 代表蠕蟲開始增長時的時間常量。該增長模型可適用于大多數(shù)蠕蟲，但是不同蠕蟲的K 值存在較大差異，K 值越大，則說明這類蠕蟲在單位時間內感染主機的數(shù)量更多。但是由于同一網(wǎng)絡內存在漏洞的主機的數(shù)量是一定的，因此當感染規(guī)模達到一定數(shù)量級后，將不會再有新的主機被感染，不同K 值對蠕蟲增長的影響如圖1 所示。

圖1 蠕蟲增長模型圖

由圖1 可知，在K=5 時，蠕蟲大概需要25s（5s-30s）才能達到最大感染規(guī)模；在K=10 時，蠕蟲大概需要(8s-31s)23s 達到最大感染規(guī)模；而K=20 時，僅用9s（32s-41s）就達到了最大感染規(guī)模。

2 一種基于網(wǎng)絡的蠕蟲防御和檢測技術

2.1 企業(yè)網(wǎng)絡安全架構

現(xiàn)階段常用的企業(yè)網(wǎng)絡安全架構包括了路由器、防火墻、入侵檢測系統(tǒng)和蜜罐系統(tǒng)等，如圖2 所示。

圖2 企業(yè)網(wǎng)絡安全架構

由圖2 可知，來自于外部Internet 上的數(shù)據(jù)流量或者訪問行為，首先經(jīng)路由器到達企業(yè)級防火墻，并激活入侵檢測系統(tǒng)（NIDS），經(jīng)過防火墻的過濾和NIDS 的檢測后，確定數(shù)據(jù)信息和訪問行為安全后，才允許進入到企業(yè)網(wǎng)絡。另外，為了切實維護企業(yè)商業(yè)機密的隱私和重要數(shù)據(jù)的安全，企業(yè)的內部訪問網(wǎng)絡和外部公共訪問網(wǎng)絡相互獨立，并且各自部署了蜜罐系統(tǒng)。除此之外，一些企業(yè)網(wǎng)絡系統(tǒng)中還會使用到黑洞技術、路由器訪問控制列表保護技術等，對防御主機遭受網(wǎng)絡的攻擊也有重要作用。

2.2 防火墻保護

防火墻保護的機理是由系統(tǒng)默認或者用戶自定義的規(guī)則，對所有外部傳輸流量及訪問行為進行過濾，從而達到保證網(wǎng)絡訪問安全的目的。常用的防火墻可分為三種，一種是基于網(wǎng)絡流狀態(tài)跟蹤的Stateful 防火墻，它能監(jiān)視應用層的協(xié)議，判斷執(zhí)行該協(xié)議的各項命令是否正常。除此之外還有Nonstateful 防火墻和代理防火墻。防火墻在抵御蠕蟲感染和攻擊時，最直接的方式是關閉網(wǎng)絡端口，從而切斷本地主機與外部網(wǎng)絡之間的數(shù)據(jù)交換。通過切斷蠕蟲傳播途徑，達到保護網(wǎng)絡安全目的。蠕蟲進行網(wǎng)絡攻擊時常用的漏洞和端口如表1 所示。

表1 網(wǎng)絡蠕蟲利用的漏洞和對應端口

當然，防火墻本身也會存在一些漏洞，而隨著蠕蟲的不斷升級迭代，他們也會利用防火墻的漏洞進行攻擊和傳播，因此企業(yè)需要對防火墻進行不斷的升級、打補丁，從而保證防火墻在防御和檢測蠕蟲方面發(fā)揮作用。從企業(yè)安全角度考慮，僅用邊界防火墻顯然不能滿足安全需要，在將防火墻作為企業(yè)網(wǎng)絡安全第一道屏障的基礎上，還要綜合運用網(wǎng)絡入侵檢測技術、蜜罐技術等進一步提高整體安全性。

2.3 入侵檢測

入侵檢測（IDS）是一種對網(wǎng)絡傳輸進行即時監(jiān)視，并且在發(fā)現(xiàn)可疑傳輸時發(fā)出警報或采取主動防御措施的網(wǎng)絡安全技術。按照數(shù)據(jù)來源進行劃分，又可分成面向主機的入侵檢測系統(tǒng)（HIDS）和面向網(wǎng)絡的入侵檢測系統(tǒng)（NIDS）。前者的檢測數(shù)據(jù)主要是主機中的日志文件、審計記錄等，而后者以網(wǎng)絡流量為主。入侵檢測流程如圖3 所示。

圖3 入侵檢測示意圖

結合圖3，當用戶或者攻擊者從外部網(wǎng)絡訪問企業(yè)信息系統(tǒng)時，首先由防火墻進行初步過濾，杜絕異常訪問。然后通過特征檢測器識別訪問對象，同時向異常檢測檢測單元發(fā)送Web 請求。異常檢測器接收到該請求后，利用數(shù)學模型進行異常檢測，并判斷有無異常行為。將檢測結果反饋給訓練控制臺，最終由安全管理終端下達指令。如果經(jīng)檢測無異常，則允許訪問者正常獲取審計日志等文件信息；如果經(jīng)檢測發(fā)現(xiàn)有異常，則判斷為入侵行為，終止其訪問行為，從而保證審計日志的安全。

2.4 蜜罐技術

蜜罐（Honeypot）的機理是人為設置網(wǎng)絡陷阱（即蜜罐），誘騙攻擊者將主要的資源和時間都放在攻擊蜜罐系統(tǒng)上，并暴露自己的攻擊模式?，F(xiàn)階段很多比較先進的蜜罐系統(tǒng)，還能在受到攻擊后作出相應的應答，讓攻擊者產(chǎn)生錯誤判斷，繼續(xù)執(zhí)行攻擊行為，在這一過程中讓網(wǎng)絡安全員或網(wǎng)絡安全系統(tǒng)了解更多的技術細節(jié)，以便于根據(jù)攻擊模式提供針對性的防御策略，甚至逆向追溯攻擊者的IP 地址，達到打擊網(wǎng)絡犯罪的效果?，F(xiàn)階段蜜罐技術已經(jīng)趨于成熟，并且衍生出了多種類型，例如按照交互程度的不同，可分為高交互蜜罐與低交互蜜罐，按照蜜罐是否真實可以分為實系統(tǒng)蜜罐、偽系統(tǒng)蜜罐等。在企業(yè)網(wǎng)絡安全系統(tǒng)中，基于蜜罐的網(wǎng)絡拓撲結構如圖4 所示。

圖4 基于蜜罐技術的網(wǎng)絡拓撲結構

根據(jù)圖4，網(wǎng)絡安全系統(tǒng)在截取外部訪問行為后，可直接進行攻擊檢測，也可基于人工智能的機器學習進行引擎檢測，進一步判斷是否存在隱蔽的攻擊行為。如果發(fā)現(xiàn)有攻擊行為，則直接進行攻擊預警。完成攻擊檢測后，對于已經(jīng)確定的攻擊行為，則引導其攻擊偽裝服務器；如果未發(fā)現(xiàn)攻擊行為，則正常訪問真實服務器。其中，偽裝服務器與真實服務器的服務功能相同，但是只保留了沒有保密價值的數(shù)據(jù)。即便是攻擊者最終破壞了偽裝服務器的防火墻系統(tǒng)，也無法得到有價值的信息，從而讓真實服務器的核心數(shù)據(jù)得到了保護。

2.5 白色蠕蟲與反擊技術

白色蠕蟲（Ethical Worm）是利用應用補丁或者加固配置等方式，在檢測到有蠕蟲入侵，但是尚未侵占系統(tǒng)之間進行網(wǎng)絡安全漏洞的修復，從而達到保護數(shù)據(jù)安全的一種技術手段。在傳統(tǒng)的網(wǎng)絡安全管理模式下，每當發(fā)布一個新的補丁時，系統(tǒng)管理員首先要判斷系統(tǒng)是否需要安裝該補丁，然后進一步驗證補丁的真實性，以免安裝了被攻擊者偽裝成補丁的惡意代碼。驗證通過后再安裝補丁，修補系統(tǒng)的安全漏洞。整個過程不僅操作繁瑣，而且浪費較多時間。相比之下，利用白色蠕蟲技術則可以省略上述步驟，自動修補安全漏洞，有效遏制了蠕蟲的大規(guī)模爆發(fā)，從而以更快的速度、更少的資源消耗，達到了保護系統(tǒng)安全的目的。另外，白色蠕蟲技術除了可以作出主動防御外，還具備反擊功能，主動清除主機內感染的蠕蟲。

3 基于計算機網(wǎng)絡的蠕蟲防御與檢測系統(tǒng)的設計與實現(xiàn)

3.1 實時監(jiān)控模塊設計

由于主機感染蠕蟲后，短時間內蠕蟲就會通過爆發(fā)式增長對其他主機造成破壞，因此必須要設計實時監(jiān)控模塊，保證在蠕蟲感染初期、尚未造成嚴重損失前進行檢測、識別，進而采取主動防御或清除措施。實時監(jiān)控模塊的進程操作可以用PsSetCreateProcessNotifyRoutine()函數(shù)來實現(xiàn)，函數(shù)原型為：

該 模 塊 的 線 程 操 作 可 以 用PsSetCreateThreadNotifyRoutine()函數(shù)來實現(xiàn)。以上函數(shù)由Windows 2016 server 系統(tǒng)的ntoskrnl.exe 提供，并支持在用戶態(tài)程序中調用?；谟脩魬B(tài)I/O 口的請求調用流程如圖5 所示。

圖5 I/O 請求流程圖

基于I/O 實時傳輸檢測信息，實現(xiàn)對計算機網(wǎng)絡進程和線程的全過程、動態(tài)化監(jiān)控，一旦發(fā)現(xiàn)有蠕蟲感染或攻擊，則立即進入主動防御姿態(tài)，利用防火墻、蜜罐、Ethical 蠕蟲反擊等技術保護網(wǎng)絡系統(tǒng)安全。

3.2 內核服務函數(shù)掛鉤模塊

掛鉤技術（Hooking）可以攔截在軟件之間傳遞的信息、時間或函數(shù)調用。當檢測到系統(tǒng)被蠕蟲入侵時，利用掛鉤技術可以強制暫停系統(tǒng)調用，從而達到終止入侵行為、保護系統(tǒng)安全的效果。在本系統(tǒng)設計中，使用了基于核心態(tài)的掛鉤模塊。針對常見的蠕蟲類型，設計不同的調用函數(shù)并存儲在系統(tǒng)中，利用掛鉤用戶模式下的API函數(shù)可以檢測出蠕蟲攻擊。例如，將Blaste 蠕蟲注入到wvchost.exe 進程的rpcss.dll 中，調用CreateProcesss ()函數(shù)，該函數(shù)的返回地址在棧中，由此可以檢測出Blaster蠕蟲的攻擊。

4 結論

蠕蟲感染和攻擊已經(jīng)成為現(xiàn)階段威脅網(wǎng)絡安全的一種主要形式，為切實保護網(wǎng)絡安全和用戶隱私，必須要提高對蠕蟲的檢測精度和效率，在及時、準確識別蠕蟲之后，立即采取主動防御或者清除措施，消除蠕蟲的安全威脅。目前來看，防火墻保護、入侵檢測、蜜罐技術以及Ethical 蠕蟲反擊技術等，在保護計算機網(wǎng)絡安全方面均發(fā)揮了積極作用。當然，隨著蠕蟲自身的不斷更新迭代，相應的防御和檢測技術也必須持續(xù)創(chuàng)新，才能始終發(fā)揮系統(tǒng)保護作用。