蠕虫病毒攻击

2024-07-12

蠕虫病毒攻击（精选2篇）

蠕虫病毒攻击篇1

摘要：网络蠕虫攻击是一种危害巨大且难以防御的网络攻击方式。传统的基于特征匹配的蠕虫检测方法受限于对蠕虫特征值的提取,无法检测未知类型蠕虫的攻击。在此将表征网络流量自相性的Hurst参数应用到蠕虫攻击检测,通过对Hurst参数的变化来检测未知类型蠕虫的攻击。实验表明该方法能有效检测到网络中采用主动扫描方式传播的未知类型蠕虫攻击行为。

关键词：网络蠕虫,攻击检测,网络流量,自相似性

0 引言

随着网络蠕虫技术的发展与Internet应用的普及,网络蠕虫已成为当今网络面临的最大威胁。其多样化的传播途径和复杂的应用环境使其发生频率高、潜伏性强、覆盖面广、破坏巨大,预防并减小蠕虫传播所造成的破坏是当今网络安全迫切需要解决的难题。蠕虫的攻击分为扫描与目标选择、感染、传播3个阶段。如果在蠕虫感染传播前的第一阶段能对其检测到并发现其传播的特征信息,对防止中后期网络中由于蠕虫蔓延造成严重破坏尤为关键和重要。本文提出一种基于Hurst参数的蠕虫攻击检测方法,该方法采集网络数据包并提取相应的TCP、ICMP流量特征,检测被监控网络的网络流量自相似性。实验结果表明该检测方法对采用主动IP地址扫描方式传播的未知类型蠕虫攻击行为具有较好的检测效果。

1 网络流量自相似性与Hurst参数

1.1 网络流量的自相似性

自相似性是指一个随机过程在各个时间规模上具有相同的统计特性。Leland在1994年对局域网测试与分析的结果表明计算机网络通信中的网络流量具有统计自相似性[1]。其自相似性表现在较长一段时间内单位时间分组数的统计特性不随时间规模的变化而变化。Beran在1995年通过对大量的不同类别的可变比特率视频流数据的统计发现,网络流量同样表现出长相关特性[2]。

对于某时间序列X={Xi,i=1,2,…,N},如果其自相关函数可表示为:

则X称为严格自相似的序列,其中H是表征该序列自相似度的Hurst参数,0

自相似性最显著的特点是,它的m阶平滑过程X(m)在m→∞时相关函数结构上是非退化的,当m→∞且r(k)→0时,X(m)趋向于独立同分布随机变量序列。若r(k):k2H-2(k→∞),则称X是渐进自相似的序列。若∑r(k)=∞,则称X是长相关序列。序列X的自相似性程度使用Hurst参数H表示,H=1-β/2。对具有长相关特性的自相似性过程,0.5

1.2 Hurst参数的计算

计算Hurst参数有多种方法[3],主要有聚合方差法、绝对值法、R/S法、周期图法、小波系数方差法[4]。其中小波系数方差法具有算法简单、易于计算、计算结果准确的优点,本文选用小波系数方差法计算网络流量中的Hurst参数。

对于时间序X={Xi,i=1,2,…,N},Xi表示第i个单位时间内到达网络流量单元的数目。选取一个正整数N,并把这个序列化分成为N块,然后在每一块内部计算平均值,得到聚合以后的序列:

这样可得出与聚合序列XN(k)的方差相等价的式子:

两边取对数得:

由式(4)可构造线性相关函数:

对每个时间系列的X(N),都计算出其方差:

并将该计算方差过程记为PVar。

根据式(6)计算出的Var(X(N))值和N值,可以做出{log(N),log[Var(X(N))]}关系线性图。但是在实际分析过程中,不可能通过绘图进行测量。由于Var(X(N))和N的{log(N),log[Var(X(N))]}曲线呈线性关,因此可采用直线对所得曲线进行拟合。然后根据曲线的斜率t得出β值,β=-t,从而求出自相似系数H=1-β/2。

2 蠕虫攻击检测系统设计

2.1 蠕虫攻击检测方法

蠕虫利用系统漏洞进行传播之前要进行目标机扫描探测,ICMP Ping包和TCP SYN,FIN,RST及ACK包均可用于扫描探测[5]。在扫描探测时,若蠕虫攻击机需扫描的IP地址不存在或不可路由,则会返回给蠕虫攻击机一个ICMP不可达包;若目标机地址存在但没有可被感染的漏洞,蠕虫攻击机会产生一个RST重建连接的数据包。蠕虫进行扫描探测时,将产生了大量失败的TCP连接,收到的ICMP,RST数据包剧增,导致网络自相似性降低[6,7]。在蠕虫攻击导致网络中存在大量无效相似数据流时,网络流量将趋向于泊松分布,且Hurst参数值趋向于0.5。从Hurst参数值的变化可检测到当前网络中出现的蠕虫攻击。

在具体应用时,可先计算出正常网络流量的Hurst参数值。在发生网络蠕虫攻击时,计算出当前异常网络流量的Hurst参数值。最后分析前后计算的Hurst参数值变化情况。

令正常网络流量对应的Hurst参数值为Hnormal,有蠕虫扫描攻击的异常网络流量对应的Hurst参数值为Hworm,令Δh=Hnormal-Hworm。设定阀值θ,若Δh>θ,则认为蠕虫攻击发生了,否则可认为没有发生蠕虫攻击。典型的网络流量自相似参数Hurst参数值为0.75～0.85之间[8],当Hurst参数值小于0.5即可认为已不是自相似流量,阀值θ可设定为小于0.25。为能有效地检测到网络蠕虫攻击行为,本文设定的θ为0.2。当Hurst参数值变化值Δh超过0.2,就可认为在网络中检测到蠕虫攻击行为。

2.2 蠕虫攻击检测模型

当前多数攻击检测系统是基于Dorothy Denning的攻击检测模型,这种模型分为误用检测和异常检测[9]。与误用检测方法相比,异常检测的明显优点是能检测出未知类型的网络攻击。本文的网络蠕虫攻击检测系统采用的是异常检测模型。基于上述分析,设计实现的模型包括5个部分,分别是数据包捕获模块、数据包特征提取模块、Hurst参数计算模块、流量模型、蠕虫攻击检测模块,如图1所示。

在图1中,数据包捕获模块使用WinPcap对被监控网络进行数据包采集;数据包特征提取模块负责提取采集的网络数据包TCP,ICMP流量特征,并将其存储到特征库;Hurst参数计算模块将数据按照时间划分时间序列,计算求解出相应的Hurst参数值,这些数据为下一步建立正常/异常网络流量模型提供重要依据;蠕虫攻击检测模块根据前面的结果判断是否检测到蠕虫攻击。

3 实验结果

为验证该系统对蠕虫攻击检测的可行性、正确性,选取了一个典型的网络拓扑进行实验,其拓扑结构如图2所示。为了使测试更接近真实网络环境,检测机在不同时段、不同环境下从校园网路由器上捕获网络数据。

不同类型的网络蠕虫其扫描IP地址生成策略不同,实验中使用了Code Red,W32.Blaster,Flash,Warhol,Contagion产生5种不同扫描探测类型的蠕虫攻击数据包样本。实验中,为避免数据样本大小不对称造成的实验结果偏差,采用了12次交叉验证法,最后以12次实验结果的平均值作为最终的结果。在实验结果的评估指标方面,使用准确率、遗漏率、误报率3项指标作为验证实验有效性的依据。实验检测结果如表1所示。

表1中的前4种蠕虫按一定策略生成扫描探测目标IP地址并主动对目标机进行攻击,此类蠕虫在扫描探测时会导致网络流量异常。最后一种蠕虫Contagion采用被动式扫描方式,其在传播攻击时无需扫描,而是等待潜在的被攻击对象主动连接它[10],此类蠕虫的传播不会引起网络流量异常。该系统使用的是没有蠕虫类型特征库的异常检测方式。由实验结果可知,该系统根据网络流量的变化情况能及时准确地检测到采用主动扫描探测攻击的未知类型蠕虫攻击行为,但无法检测到不会引起网络流量异常的被动式扫描类型蠕虫攻击。

4 结语

网络蠕虫攻击是当前因特网的主要攻击方式。随着网络环境的日趋复杂,传统的检测方法已不能准确区别未知类型蠕虫攻击和正常网络流量拥挤之间的区别而造成误报漏报。基于网络流量自相似性的蠕虫攻击检测方法,无需获取蠕虫特征值信息就可检测到采用主动扫描探测的未知蠕虫攻击行为,实验表明该方法对蠕虫的检测防御具有一定的实用性和可用性。今后的工作重点是将误用检测和异常检测相结合进一步提高蠕虫检测成功率,并研究对采用被动式扫描的未知蠕虫攻击检测方法。

参考文献

[1]LELAND W E,TAQQU M S,WILLINGER W,et al.On theself-similar nature of Ethernet traffic(extended version)[J].IEEE/ACM Trans.on Networking,1994,2(1):1-15.

[2]BERAN J,SHERMAN R,TRAQQU M S,et al.Longrange dependence in variable bit rate video traffic[J].IEEETrans.on Communication,1995,43(2/3/4):1566-1579.

[3]第文军,薛丽军,蒋士奇.运用网络流量自相似分析的网络流量异常检测[J].兵工自动化,2003,22(6):28-31.

[4]李永利,刘贵忠,王海军.自相似数据流的Hurst参数小波求解法分析[J].电子与信息学报,2003,25(1):100-105.

[5]Fyodor.The art of port scanning[M].Phrack Magazine,1997,7(51):11-17.

[6]ELLIS Daniel R,AIKEN John G,ATTWOOD Kira S,et al.A behavioral approach to worm detection[C]//Proc.of ACM Workshop on Rapid Malcode.New York,USA:ACM,2004:43-53.

[7]WU J,VANGALA S,GAO L,et al.An efficient architec-ture and algorithm for detecting worms with various scantechniques[J].Proceedings of the Network and DistributedSystem Security Symposium.Washington:The Internet So-ciety,2004:143-156.

[8]LELAND W E,WILLINGER W,TAQQU Murad S,et al.On the self-similar nature of ethernet traffic[J].Computer Communication Review,1995,25(1):202-213.

[9]高能,冯登国.一种基于数据挖掘的拒绝服务攻击检测技术[J].计算机学报,2006,29(6):944-951.

[10]文伟平,卿斯汉,蒋建春.网络蠕虫研究与进展[J].软件学报,2004,15(8):1208-1219.