《网络蠕虫的传播模型及其防御策略ppt课件》由会员分享,可在线阅读,更多相关《网络蠕虫的传播模型及其防御策略ppt课件(101页珍藏版)》请在金锄头文库上搜索。
1、1,网络蠕虫的传播模型及其防御策略,王方伟,2,网络蠕虫的传播过程,发现新目标 扫描IP地址 Email地址、文件系统的传输,感染目标主机 主要利用系统漏洞,新感染的主机加入感染大军,3,研究网络蠕虫的动机,Code Red (Jul. 2001) : 14小时内感染近36万台主机,损失:26亿 Slammer (Jan. 2003) : 10分钟内感染75,000台主机,损失:5分钟内就导致了9.5亿-12亿美元的损失 Blaster (Aug. 2003) : 感染15万-8百万主机,DDoS attack (关闭Windows更新),损失:20-100亿 Witty (Mar. 2004
2、) : 利用ISS漏洞,30分钟感染12000台主机 Sasser (May 2004) : 2天内感染50万台主机,损失:数千万美元,网络蠕虫的传播速度远远超过人的响应速度!,4,研究蠕虫的科学意义,网络蠕虫的危害 传播速度快 影响面广 造成损失大 对计算机系统安全和网络安全的威胁日益增加 新一代网络蠕虫的主要特点和危害 造成骨干网大面积阻塞甚至瘫痪,致使网络服务中断 造成主机开放,导致严重的信息安全威胁 计算机系统性能下降,甚至瘫痪 发动拒绝服务攻击 攻击者回收和集中控制感染节点,5,如何防御网络蠕虫攻击,迫切需要自动响应机制 首先,需要理解蠕虫的行为特征 为蠕虫的检测和防御做准备 然后,
3、 未知蠕虫的早期检测 基于蠕虫模型的检测 基于阈值 基于趋势 最后, 建立自动防御系统 动态隔离 自适应防御,6,目录,网络蠕虫的定义及当前的安全状况 网络蠕虫的传播模型分类 网络蠕虫的扫描策略 我们目前的工作 网络蠕虫的防御策略 将来的计划(目前的研究热点),7,网络蠕虫的定义,什么是网络蠕虫? 1982年,John F. Shoch等最早引入计算机领域。两个最基本特征:可以从一台计算机移动到另一台计算机和可以自我复制。 1988年Morris蠕虫爆发后,Eugene H. Spafford 给出了蠕虫的技术角度的定义,“计算机蠕虫可以独立运行,并能把自身的一个包含所有功能的版本传播到另外的
4、计算机上。” 郑辉:Internet蠕虫是无须计算机使用者干预即可运行的独立程序,它通过不停的获得网络中存在漏洞的计算机上的部分或全部控制权来进行传播。 文卫平:“网络蠕虫是一种智能化、自动化,综合网络攻击、密码学和计算机病毒技术,不需要计算机使用者干预即可运行的攻击程序或代码。它会扫描和攻击网络上存在系统漏洞的节点主机,通过局域网或者国际互联网从一个节点传播到另外一个节点。 DM Kienzle :网络蠕虫是通过网络传播的恶意代码,它需要人为干预或者不需要人为干预。,基本特征:网络传播,自我复制,8,什么不是网络蠕虫? 病毒 隐藏在计算机系统信息资源中,利用系统信息资源进行繁殖并生存,影响计
5、算机系统征程运行,通过信息共享的途径传播的、可执行的程序。 不能独立运行,需要用户来激活。 木马 是一种基于远程控制的攻击工具,能够未经授权收集、篡改或破坏信息。其特点是隐蔽性和非授权性。 设计者为了防止木马被发现,采用多种手段来隐藏木马;即使被发现,也不能缺定具体位置。 一旦控制端连上服务器端,控制端将拥有服务器的大部分权限。,9,病毒、网络蠕虫和木马的区别,10,恶意代码和网络蠕虫、计算机病毒、木马的关系,11,网络蠕虫的分类(1),根据传播途径 利用Windows 操作系统漏洞传播 RPC漏洞(Blaster) 利用应用程序漏洞传播 FTP服务程序(Ramen)、IIS 服务器漏洞(Ni
6、mda)、SQL Server数据库(Slammer) 利用浏览器传播 通过修改web 服务器的内容,把一小段JavaScript 代码附加到HTML或者ASP文件上, IE自动执行代码(Nimda, Code Red) 利用Email传播 通过MAPI获得感染机器的通讯录中邮件地址列表,通过Windows 的邮件客户端把蠕虫代码作为邮件附件发送给其他主机, 而未打补丁的IE会自动执行邮件中的附件,从而使蠕虫激活.(求职信蠕虫、小邮差蠕虫) 依赖网络共享 利用共享网络资源进行传播(Nimda),12,网络蠕虫的分类(2),网络蠕虫的破坏能力 无害型 建立很多垃圾文件,减少磁盘的可用空间,对系统
7、没有其他影响 降低系统或网络性能型 消耗大量主机资源,减少内存和CPU的使用率,使主机速度变慢;在网络上形成垃圾流量,浪费网络带宽,造成拥塞,降低网络性能。 (Nachi探测网络主机的RPC DCOM缓冲区漏洞,删除Blaster ) 破坏型 删除主机程序、破坏数据、清除系统内存区和操作系统中重要数据。(Code Red, Nimda、Blaster、Sasser),13,网络蠕虫的分类(3),蠕虫编写者的意图 好奇心型 (爱虫、Code Red ) 恶作剧型 自娱自乐或开别人玩笑(Blaster, 为了帮助其母亲的小公司招揽生意) 商业利益型 为了赚钱,进入他人网站内,将其主页内商品资料内容
8、、价格作降价等大幅度修改,使消费者误以为该公司的商品便宜廉价而大量订购,从而产生Internet订货纠纷。(库尔尼科娃蠕虫、燕姿蠕虫) 政治目的型 萨达姆蠕虫 恐怖主义型 仇恨一切现存的秩序,仇恨电脑本身,制造蠕虫的目的是利用蠕虫破坏现有的网络和计算机,窃取重要情报、格式化硬盘、毁坏重要数据等(Al-Qaeda、ELF、ALF),14,网络漏洞的类型,漏洞指因设计不周而导致的硬件、软件或策略存在的缺陷。 缓冲区溢出漏洞 将超过缓冲区能处理的更多的数据加入到缓冲区时产生的 允许DoS服务的漏洞 存在于UNIX操作系统的网络服务核心,OS本身的漏洞。 允许有限权限的本地用户未经授权提高其访问权限的
9、漏洞 由应用程序中的一些缺陷引起。典型例子:Sendmail程序的漏洞。在例程模式下,可以绕过用户帐号的检查,都可以启动Sendmail。 允许在远程主机上的未经授权用户访问网络的漏洞 主要由于较差的系统管理或设置造成的。IIS允许远程用户执行命令。IIS HTTP将所有以.Bat或.cmd为后缀的文件与cmd.exe联系起来,如果能执行cmd.exe 就能运行所有的命令。,15,蠕虫的行为特征,自我繁殖: 蠕虫在本质上已经演变为黑客入侵的自动化工具, 当蠕虫被释放后,从搜索漏洞,到利用搜索结果攻击系统,到复制副本,整个流程全由蠕虫自身主动完成。 利用软件漏洞: 漏洞是各种各样的,有操作系统本
10、身的问题,有的是应用服务程序的问题,有的是网络管理人员的配置问题。漏洞产生原因的复杂性,导致各种类型的蠕虫泛滥。 造成网络拥塞: 在扫描漏洞主机的过程中,判断其它计算机是否存在;判断特定应用服务是否存在;判断漏洞是否存在等等,这不可避免的会产生附加的网络数据流量。同时蠕虫副本在不同机器之间传递,或者向随机目标的发出的攻击数据都不可避免的会产生大量的网络数据流量。 消耗系统资源: 蠕虫入侵到计算机系统之后,会在被感染的计算机上产生多个副本,每个副本启动搜索程序寻找新的攻击目标。大量的进程会耗费系统的资源,导致系统的性能下降。 留下安全隐患: 大部分蠕虫会搜集、扩散、暴露系统敏感信息,并在系统中留
11、下后门。这些都会导致未来的安全隐患。,16,网络蠕虫的攻击方法,缓冲区溢出攻击 弱密码攻击 自身携带一个弱密码字典,字典中包括常用的用户名和密码,攻击时网络蠕虫将用户名和密码进行组合,然后尝试,如果成功就与远程主机系统建立连接将自身传给远程主机系统,并以此为起点进行新的攻击。(阿泥哥蠕虫 ) 社会工程学攻击 利用说服或欺骗的方式,让网络内部的人来提供必要的信息,从而获得对信息系统的访问。攻击对象通常是一些安全意识薄弱的计算机使用者,攻击者通常采用与之交流或其它互动的方式实现。 DoS与DDoS攻击Ping of death、泪滴(Teardrop)、UDP flood、SYN flood、La
12、nd攻击、Smurf攻击、Fraggle攻击,电子邮件炸弹、畸形消息攻击,17,网络蠕虫的现状和趋势,几小时,时间,几天,几分钟,几秒钟,90年代初,90年代中,90年代末,2000,2003,第 I 类 人工响应:有可能,第 III 类 人工响应: 不可能 自动响应: 不太可能 主动阻挡: 有可能,第 II 类 人工响应: 很难 /不可能 自动响应:有可能,2005,18,漏洞越来越多 1995 到 2008,当前的安全状况,vulnerabilities in 2006 are second quarters.,19,互联网安全事件报告越来越多 1988 到 2006,20,从漏洞发现到蠕
13、虫爆发的时间越来越短,21,网络蠕虫的传播模型,目的:精确的蠕虫传播模型可以更清楚地认识蠕虫,能确定其在传播过程中的弱点,而且能更精确的预测蠕虫所造成的损失,进而采取有效防御措施。 解析模型 将蠕虫传播过程用数学解析的方法进行描述,如一组微分方程、差分方程或者一组递归公式 数据包级蠕虫仿真模型 通过引入网络仿真技术,构建蠕虫传播物理环境仿真模型,根据蠕虫模型的数据包产生、发送规则,在仿真模型中模拟蠕虫数据包在实际网络中的发送、传播、接收和处理等动作,同时记录相应的中间过程信息,用于蠕虫传播特性分析.,22,网络蠕虫传播模型,# of contacts I (t) S(t),传播模型:,I(t)
14、,: 易感主机数,: 主机总数,: 感染主机数,: 扫描数,t,简单传播模型,: 感染率,23,Kermack-McKendrick 模型,状态转移: 从感染主机中恢复的主机数 : 恢复率,t,一个大规模蠕虫爆发的充要条件:其中,24,双因素传播模型,考虑了更多的外界影响因素和蠕虫对抗措施: 各ISP节点或用户的对抗措施; 网络蠕虫的快速传播导致一些路由器发生阻塞,从而降低网络蠕虫的传播速度.在这个模型中,(t),R(t)和Q(t)都是随着时间t动态变化的参数,双因素传播模型的微分方程表达式为,25,26,状态转移:,: # of susceptible,: # of infectious,:
15、 # of exposed,其中,: infection probability,: The rate of infection,: The rate of an exposed host becomes infectious,: The rate of an infectious host recovers,SEIR Model,: # of recovered,27,Worm-Anti-Worm模型(WAW),该模型考虑网络中存在两类蠕虫, A为恶意蠕虫, B为良性蠕虫. 把蠕虫A的传播分为两个阶段.在蠕虫B出现之前,蠕虫A的传播行为遵循双因素模型.当蠕虫B出现以后,网络中蠕虫A的传播分为
16、4种情况: 蠕虫B查杀蠕虫A并为感染主机修补漏洞; 蠕虫B只查杀蠕虫A; 蠕虫B对所有的易感主机修补漏洞; 蠕虫B对所有的易感主机修补漏洞,并查杀蠕虫A. 在前两种情况下,蠕虫B只寻找已感染主机,在后两种情况下,蠕虫B寻找所有易感主机.,28,8月18日中午13:00左右 Nachi,8月12日凌晨1:00左右 MSBlaster,29,网络蠕虫的扫描策略,模型假设 易感主机数是一个常数,不随时间的变化而变化,即没有新的易感主机进入系统; 不考虑人为措施(如打补丁、隔离、断开网络等)和网络拥塞的影响,即蠕虫的扫描率为常数; 主机只有两个状态:易感和感染,某一时刻只能处于其中一个状态,不能再次感
17、染已经处于感染状态的主机,初始感染主机数为I0; 蠕虫需要一个时间单元完成感染过程。,30,模型: 均匀扫描蠕虫总能扫描整个地址空间 ,因为IPV4是32位地址,所以 。对于均匀的随机扫描方法来说,任意主机被扫描一次的概率为 。用S(t) 表示时刻时的易感主机数(包括已经被感染的主机数),用I(t)表示时刻时的已经被感染的主机数。在蠕虫开始传播之前(t=0),S(0)=N,I(0)=I0。 假设蠕虫的平均扫描率为 ,t 时刻时的感染主机发出的扫描数为 ,那么在整个地址空间内,任意IP地址被扫描一次的概率为 ,在单位时间内平均每个感染主机扫描整个地址空间内的一个特定IP地址的概率为 共有 个易感主机,所以在下一时刻时,新增加的感染主机数为 。在时刻t+1时,已被感染的主机总数为,
