电子文档交易市场
安卓APP | ios版本
电子文档交易市场
安卓APP | ios版本

蠕虫的行为特征描述和工作原理分析

11页
  • 卖家[上传人]:n****
  • 文档编号:88917853
  • 上传时间:2019-05-13
  • 文档格式:PDF
  • 文档大小:82.79KB
  • / 11 举报 版权申诉 马上下载
  • 文本预览
  • 下载提示
  • 常见问题
    • 1、蠕虫的行为特征描述和工作原理分析* 郑辉 * * 李冠一 涂菶生 (南开大学 20- 333# ,天津,300071) E- mail: zhenghuiieee.org http:/ 摘 要:本文详细讨论了计算机蠕虫和计算机病毒的异同,指出它们除了在复制和传染方 面具有相似性之外,还有很多不同点,如蠕虫主要以计算机为攻击目标,病毒主 要以文件系统为攻击目标;蠕虫具有主动攻击特性,而病毒在传播时需要计算机 使用者的触发。通过详细区分它们的不同行为特征,确定了在计算机网络安全防 范体系中不同角色的责任。然后描述了蠕虫发展的历史,从中可以看到,蠕虫产 生了越来越大的危害。通过分析计算机蠕虫的工作原理、功能结构、实体组成, 提出了蠕虫的统一功能结构模型,并给出了有针对性的对计算机蠕虫攻击进行防 范的措施。最后本文分析了一些新的蠕虫技术发展趋势,指出计算机蠕虫本质上 是黑客入侵行为的自动化,更多的黑客技术将被用到蠕虫编写当中来,由此可以 看出对蠕虫攻击的防治和对抗将是长期而困难的工作。 关键词: 蠕虫,计算机病毒,计算机网络安全,蠕虫定义,蠕虫历史,行为特征,功能模 型 一、 引言 计算机病毒

      2、给世界范围内的计算机系统带来了不可估量的危害,给人们留下了深刻的印 象。同时给人们一种误解,认为危害计算机的程序就是病毒。从而不加区分把计算机病毒 (Virus) 、计算机蠕虫(Worm) 、木马程序(Trojan Horse) 、后门程序(Backdoor) 、逻辑炸 弹(Logic Bomb)等等这些概念都称为计算机病毒。这种误解不仅体现在媒体的宣传中,而 且体现在病毒技术研究人员的文章12中,反病毒厂商对产品的介绍说明中,甚至政府部 门制定的法律法规3当中。这种相近概念上的误解导致不能有效的给出针对不同类型危害 计算机安全的程序的有效防治措施,也为整体的计算机安全防护带来了一定困难。另外,同 一程序的不同分类也不利于对其性质的进一步研究和分析。 计算机病毒和计算机蠕虫在传播、复制等特性上非常相似,尤其容易造成人们的误解。 导致误解的原因有很多,一方面由于反病毒技术人员自身知识的限制,无法对这两种程序进 行清楚细致的区分;另一方面虽然病毒的命名有一定的规范45,但病毒编写者在为自己 的程序起名字的时候并不一定遵循这个规范, 利用网络功能如电子邮件进行传播的病毒常常 被病毒编写者冠以

      3、蠕虫的名字,这也给人们带来一些误导。为了照顾这种病毒的命名,曾有 文献试图将蠕虫细分为活动蠕虫和邮件蠕虫6。由于用计算机病毒这个称谓不能涵盖所有 危害计算机的程序的特征,而且容易产生误导,所以有的文献采用了含义更广泛的称谓“恶 意软件” (malware)7来统一称呼它们。从蠕虫产生开始,十几年来,很多研究人员对蠕 * 高等学校博士点学科点专项科研基金资助课题(编号:2000005516) 。 *作者简介:郑辉(1972) ,男,吉林伊通人,博士研究生,主要研究领域为网络与信息安全。李冠一 (1978) ,女,辽宁鞍山人,硕士研究生,主要研究领域为模式识别,计算机视觉与图像处理等。涂奉生 (1937) ,江西南昌人,博士生导师,主要研究领域为 CIMS, DEDS理论,制造系统及通讯理论。 虫和病毒这两个概念进行了区分714,但描述基本都很粗略,而且不同研究人员给出的分 类也不一致。本文试图明确区分这两个概念。 通过对几种典型的蠕虫程序进行分析,本文讨论了蠕虫的主要行为特征。文献614提 出了蠕虫的功能结构描述,但由于对蠕虫和病毒两种程序的行为特征区分的不明确,这些功 能模型结构不清晰

      4、,体系不完整。本文在参考前人工作的基础上,提出了比较清晰全面的蠕 虫程序的统一功能模型来完成对蠕虫程序的功能结构描述。 并进一步对蠕虫的实体结构进行 了分析,依据功能结构描述和实体结构分析,给出了针对蠕虫防治的几点建议。另外,本文 也对蠕虫技术的未来发展趋势进行了描述。 二、 蠕虫的定义 1、 蠕虫的原始定义: 蠕虫这个生物学名词在 1982 年由 Xerox PARC 的 John F. Shoch 等人最早引入计算机领 域15,并给出了计算机蠕虫的两个最基本特征: “可以从一台计算机移动到另一台计算机” 和“可以自我复制” 。他们编写蠕虫的目的是做分布式计算的模型试验,在他们的文章中, 蠕虫的破坏性和不易控制已经初露端倪。 1988 年 Morris 蠕虫爆发后, Eugene H. Spafford 为 了区分蠕虫和病毒,给出了蠕虫的技术角度的定义, “计算机蠕虫可以独立运行,并能把自 身的一个包含所有功能的版本传播到另外的计算机上。 ” (worm is a program that can run by itself and can propagate a fully wor

      5、king version of itself to other machines. )8。 2、 病毒的原始定义: 人们在探讨计算机病毒的定义时,常常追溯到 David Gerrold 在 1972 年的发表的科幻小 说When Harlie Was One ,但计算机病毒的技术角度的定义是由 Fred Cohen 在 1984 年给 出的, “计算机病毒是一种程序,它可以感染其它程序,感染的方式为在被感染程序中加入 计算机病毒的一个副本,这个副本可能是在原病毒基础上演变过来的。 ” (a program that can infect other programs by modifying them to include a possibly evolved copy of itself.) 9。 1988 年 Morris 蠕虫爆发后,Eugene H. Spafford 为了区分蠕虫和病毒,将病毒的含义作了进一步 的解释。 “计算机病毒是一段代码,能把自身加到其它程序包括操作系统上。它不能独立运 行,需要由它的宿主程序运行来激活它。 ” (virus is a piece of

      6、code that adds itself to other programs, including operating systems. it cannot run independently and it requires that its host program be run to activate it. )8。 3、 蠕虫、病毒之间的区别与联系: 计算机蠕虫和计算机病毒都具有传染性和复制功能,这两个主要特性上的一致,导致二 者之间是非常难区分的,尤其是近年来,越来越多的病毒采取了部分蠕虫的技术,另一方面 具有破坏性的蠕虫也采取了部分病毒的技术,更加剧了这种情况。但对计算机蠕虫和计算机 病毒进行区分还是非常必要的,因为通过对它们之间的区别、不同功能特性的分析,可以确 定谁是对抗计算机蠕虫的主要因素、谁是对抗计算机病毒的主要因素;可以找出有针对性的 有效对抗方案;同时也为对它们的进一步研究奠定初步的理论基础。 本文给出了病毒和蠕虫的一些差别,如下表(表 1) : 病毒 蠕虫 存在形式 寄生 独立个体 复制机制 插入到宿主程序(文件)中 自身的拷贝 传染机制 宿主程序运行 系统存

      7、在漏洞(vulnerability) 搜索机制(传染目标) 针对本地文件 针对网络上的其它计算机 触发传染 计算机使用者 程序自身 影响重点 文件系统 网络性能、系统性能 计算机使用者角色 病毒传播中的关键环节 无关 防治措施 从宿主文件中摘除 为系统打补丁(Patch) 对抗主体 计算机使用者、反病毒厂商 系统提供商、网络管理人员 表 1. 病毒和蠕虫的一些差别 4、 蠕虫定义的进一步说明: 在上面提到的蠕虫原始定义和病毒原始定义中,都忽略了相当重要的一个因素,就是计 算机使用者,定义中都没有明确描述计算机使用者在其整个传染机制中所处的地位。 计算机病毒主要攻击的是文件系统, 在其传染的过程中, 计算机使用者是传染的触发者, 是传染的关键环节,使用者的计算机知识水平的高低常常决定了病毒所能造成的破坏程度。 而蠕虫主要利用计算机系统漏洞(vulnerability)进行传染,搜索到网络中存在漏洞的计算 机后主动进行攻击,在传染的过程中,与计算机操作者是否进行操作无关,从而与使用者的 计算机知识水平无关。 另外,蠕虫的定义中强调了自身副本的完整性和独立性,这也是区分蠕虫和病毒的重要 因素

      8、。可以通过简单的观察攻击程序是否存在载体来区分蠕虫与病毒; 目前很多破坏性很强的病毒利用了部分网络功能,例如以信件作为病毒的载体,或感染 Windows 系统的网络邻居共享中的文件。通过分析可以知道,Windows 系统的网络邻居共 享本质上是本地文件系统的一种扩展, 对网络邻居共享文件的攻击不能等同与对计算机系统 的攻击。而利用信件作为宿主的病毒同样不具备独立运行的能力。不能简单的把利用了部分 网络功能的病毒统统称为蠕虫或蠕虫病毒,因为它们不具备上面提到的蠕虫的基本特征。 通过简单的分析,可以得出结论,文献12 13中提到的“Morris 蠕虫病毒”是蠕虫 而非病毒; “Happy99 蠕虫病毒” 、 “Mellisa 网络蠕虫宏病毒” 、 “Lover Letter 网络蠕虫病毒” 、 “SirCam 蠕虫病毒”是病毒而非蠕虫; “NAVIDAD 网络蠕虫” 、 “Blebla.B网络蠕虫” 、 “VBS_KAKWORM.A蠕虫”是病毒而非蠕虫。 三、 蠕虫发展的历史 1980 年,Xerox PARC 的研究人员编写了最早的蠕虫15,用来尝试进行分布式计算 (Distribute

      9、d Computation) 。整个程序由几个段(Segment)组成,这些段分布在网络中的不 同计算机上,它们能够判断出计算机是否空闲,并向处于空闲状态的计算机迁移。当某个段 被破坏掉时,其它段能重新复制出这个段。研究人员编写蠕虫的目的是为了辅助科学实验。 1988 年 11 月 2 日,Morris 蠕虫8101618发作,几天之内 6000 台以上的 Internet 服 务器被感染,损失超过一千万美元。它造成的影响是如此之大,使它在后来的 10 几年里, 被反病毒厂商作为经典病毒案例,虽然它是蠕虫而非病毒;1990 年,Morris 蠕虫的编写者 Robert T. Morris 被判有罪并处以 3 年缓刑、 1 万美元罚金和 400 小时的社区义务劳动。 Morris 蠕虫通过 fingerd、sendmail、rexec/rsh 三种系统服务中存在漏洞进行传播。 1989 年 10 月 16 日,WANK蠕虫34被报告,它表现出来强烈的政治意味,自称是抗议 核刽子手的蠕虫(worms against the nuclear killers) ,将被攻击的 DEC VMS 计算机的提示信 息改为“表面上高喊和平,背地里却准备战争” (You talk of times of peace for all, and then prepare for war.) 。WANK蠕虫是通过系统弱口令漏洞进行传播的。 1998 年 5 月,ADM 蠕虫1920被发现,它只感染 Linux 系统,由于程序自身的限制, 它的传染效率较低。 ADM 蠕虫是通过域名解析服务程序 BIND 中的反向查询 (inverse query) 溢出漏洞进行传播的。 1999 年 9 月,Millennium 蠕虫21被报告,它可能是最没有名气的蠕虫,因为只有一个 人声称自己的计算机系统被它感染,并且人们能够得到的蠕虫代码不能正常工作。 Millennium 蠕虫只感染 Linux 系统,它入侵系统后,会修补所有它利用的系统漏洞。它通过 imapd、qpo

      《蠕虫的行为特征描述和工作原理分析》由会员n****分享,可在线阅读,更多相关《蠕虫的行为特征描述和工作原理分析》请在金锄头文库上搜索。

      点击阅读更多内容
    最新标签
    发车时刻表 长途客运 入党志愿书填写模板精品 庆祝建党101周年多体裁诗歌朗诵素材汇编10篇唯一微庆祝 智能家居系统本科论文 心得感悟 雁楠中学 20230513224122 2022 公安主题党日 部编版四年级第三单元综合性学习课件 机关事务中心2022年全面依法治区工作总结及来年工作安排 入党积极分子自我推荐 世界水日ppt 关于构建更高水平的全民健身公共服务体系的意见 空气单元分析 哈里德课件 2022年乡村振兴驻村工作计划 空气教材分析 五年级下册科学教材分析 退役军人事务局季度工作总结 集装箱房合同 2021年财务报表 2022年继续教育公需课 2022年公需课 2022年日历每月一张 名词性从句在写作中的应用 局域网技术与局域网组建 施工网格 薪资体系 运维实施方案 硫酸安全技术 柔韧训练 既有居住建筑节能改造技术规程 建筑工地疫情防控 大型工程技术风险 磷酸二氢钾 2022年小学三年级语文下册教学总结例文 少儿美术-小花 2022年环保倡议书模板六篇 2022年监理辞职报告精选 2022年畅想未来记叙文精品 企业信息化建设与管理课程实验指导书范本 草房子读后感-第1篇 小数乘整数教学PPT课件人教版五年级数学上册 2022年教师个人工作计划范本-工作计划 国学小名士经典诵读电视大赛观后感诵读经典传承美德 医疗质量管理制度 2 2022年小学体育教师学期工作总结 2022年家长会心得体会集合15篇
    关于金锄头网 - 版权申诉 - 免责声明 - 诚邀英才 - 联系我们
    手机版 | 川公网安备 51140202000112号 | 经营许可证(蜀ICP备13022795号)
    ©2008-2016 by Sichuan Goldhoe Inc. All Rights Reserved.