篇一:蠕虫病毒的传播原理
《计算机系统安全》
课程结课论文
《蠕虫病毒的传播原理》
学生姓名 陈军辉
学 号 5011212502
所属学院 信息工程学院
专 业 计算机科学与技术
班 级 计算机16-5
指导教师 李鹏
塔里木大学教务处制
摘要:蠕虫病毒发展迅速,现在的蠕虫病毒融入了黑客、木马等功能,还能阻止安全软件的运行,危害越来越大。本文介绍了蠕虫病毒的定义,特点,结构及其在传播过程中的功能,最后介绍了蠕虫病毒的传播机制。
关键词:计算机蠕虫;传播;
目录
引言................................................................ 1
正文................................................................ 1
1.蠕虫病毒的定义及特点.............................................. 1
2.蠕虫病毒的构成及在传播过程中的功能................................ 2
3. 攻击模式......................................................... 3
3.1 扫描-攻击-复制.................................................. 3
3.2模式的使用 ...................................................... 5
3.3蠕虫传播的其他可能模式 .......................................... 5
4.从安全防御的角度看蠕虫的传播模式.................................. 5
总结................................................................ 6
参考文献:.......................................................... 7
蠕虫病毒的传播原理
引言
蠕虫病毒是一种常见的计算机病毒。它是利用网络进行复制和传播,传染途径是通过网络和电子邮件。最初的蠕虫病毒定义是因为在DOS环境下,病毒发作时会在屏幕上出现一条类似虫子的东西,胡乱吞吃屏幕上的字母并将其改形。蠕虫病毒是自包含的程序(或是一套程序),它能传播自身功能的拷贝或自身的某些部分到其他的计算机系统中(通常是经过网络连接)。 正文
1.蠕虫病毒的定义及特点
蠕虫病毒的定义:蠕虫是一种可以自我复制的代码,并 且通过网络传播,通常无需人为干预就能传播。蠕虫病毒入 侵完全控制一台计算机之后,就会把这台机器作为宿主,进 而扫描并感染其他计算机。当这些新的被蠕虫入侵的计算机 被控制之中后,蠕虫会以这些计算机为宿主继续扫描并感染 其他计算机,这种行为会一直延续下去。蠕虫使用这种递归 的方法进行传播,按照指数增长的规律分布自己,进而及时 控制越来越多的计算机。 蠕虫病毒有如下特点:
(1)较强的独立性。计算机病毒一般都需要宿主程序, 病毒将自己的代码写到宿主程序中,当该程序运行时先执行 写入的病毒程序,从而造成感染和破坏。而蠕虫病毒不需要 宿主程序,它是一段独立的程序或代码,因此也就避免了受 宿主程序的牵制,可以不依赖于宿主程序而独立运行,从而 主动地实施攻击。
(2)利用漏洞主动攻击。由于不受宿主程序的限制,蠕 虫病毒可以利用操作系统的各种漏洞进行主动攻击。例如,“尼 姆达”病毒利用了 IE 浏览器的漏洞,使感染了病毒的邮件附 件在不被打开的情况下就能激活病毒;“红色代码”利用了微 软 IIS 服务器软件的漏洞(idq.dll 远程缓存区溢出)来传播;而 蠕虫王病毒则是利用了微软数据库系统的一个漏洞进行攻击。
(3)传播更快更广。蠕虫病毒比传统病毒具有更大的传 染性,它不仅仅感染本地计算机,而且会以本地计算机为基 础,感染网络中所有的服务器和客户
端。蠕虫病毒可以通过网络中的共享文件夹、电子邮件、恶意网页以及存在着大量 漏洞的服务器等途径肆意传播,几乎所有的传播手段都被蠕 虫病毒运用得淋漓尽致,因此,蠕虫病毒的传播速度可以是 传统病毒的几百倍,甚至可以在几个小时内蔓延全球。
(4)更好的伪装和隐藏方式。为了使蠕虫病毒在更大范 围内传播,病毒的编制者非常注重病毒的隐藏方式。在通常 情况下,我们在接收、查看电子邮件时,都采取双击打开邮 件主题的方式浏览邮件内容,如果邮件中带有病毒,用户的 计算机就会立刻被病毒感染
(5)技术更加先进。一些蠕虫病毒与网页的脚本相结合, 利用 VB Script、Java、ActiveX 等技术隐藏在 HTML 页面里。 当用户上网浏览含有病毒代码的网页时,病毒会自动驻留内 存并伺机触发。还有一些蠕虫病毒与后门程序或木马程序相 结合,比较典型的是“红色代码病毒”,它会在被感染计算 机 Web 目录下的\scripts 下将生成一个 root.exe 后门程序,病 毒的传播者可以通过这个程序远程控制该计算机。这类与黑 客技术相结合的蠕虫病毒具有更大的潜在威胁。
(6)使追踪变得更困难。当这 10000 个系统在蠕虫病毒 的控制之下时,攻击者利用一个极为迷惑的系统来隐藏自己 的源位置。可以轻易地制造一个蠕虫,它可以在这个蠕虫的 段与段之间任意连接。当这个蠕虫感染了大部分系统之后, 攻击者便能发动其他攻击方式对付一个目标站点,并通过蠕 虫网络隐藏攻击者的位置。这样,在不同的蠕虫段之间的连 接中,要抓住攻击者就会非常困难。
2.蠕虫病毒的构成及在传播过程中的功能
探测部分:探测部分是用来获得入侵目标的访问权, 他实际上是一些入侵到计算机的代码,进入目标计算机之后 探测部分会自动探测攻击点,并尽可能的利用计算机的漏洞 侵占系统。探测部分获得访问权的技术,有缓存一处探测, 文件共享攻击,电子邮件以及计算机的配置错误。
传播引擎:通过探测部分获得目标机的访问权后, 蠕虫必须传输自身的其
篇二:蠕虫病毒深度解析
蠕虫病毒深度解析
e800.com.cn 日期:2004-11-22 15:44 作者:天极网 来源:天极网
1.引言
近年来,蠕虫、病毒的引发的安全事件此起彼伏,且有愈演愈烈之势。从2001年爆发的CodeRed蠕虫、Nimda蠕虫,SQL杀手病毒(SQL SLAMMER蠕虫),到近日肆掠的 “冲击波” 蠕虫病毒,无不有蠕虫的影子,并且开始与病毒相结合了。蠕虫病毒通常会感染Windows 2000/ XP/Server 2003系统,如果不及时预防,它们就可能会在几天内快速传播、大规模感染网络,对网络安全造成严重危害。看来,蠕虫病毒不再
是黑暗中隐藏的"黑手",而是已露出凶相的"狼群"。
各类病毒各有特色,大有长江后浪推前浪之势:CodeRed蠕虫侵入系统后留下后门,Nimda一开始就结合了病毒技术,而SQL杀手病毒与“冲击波”病毒有着惊人的相似之处,此次病毒大规模爆发是从装有WINDOWS 2000以上操作系统的计算机,尤其是从网络服务器上向外扩散的,利用微软存在的系统漏洞,不同的是,SQL杀手病毒用“缓存区溢出”进行攻击,病毒传播路径都是内存到内存,不向硬盘上写任何文
件。“冲击波”病毒则会发送指令到远程计算机,使其连接被感染的主机,下载并运行Msblast.exe。
由此可见,计算机蠕虫和计算机病毒联系越来越紧密,许多地方把它们混为一谈,然而,二者还是有很大不同的,因此,要真正地认识并对抗它们之前,很有必要对它们进行区分。只有通过对它们之间的区别、不同功能特性的分析,才可以确定谁是对抗计算机蠕虫的主要因素、谁是对抗计算机病毒的主要因素;
可以找出有针对性的有效对抗方案;同时也为对它们的进一步研究奠定初步的理论基础。
2.蠕虫原始定义
蠕虫这个生物学名词在1982年由Xerox PARC 的John F. Shoch等人最早引入计算机领域,并给出了计算机蠕虫的两个最基本特征:“可以从一台计算机移动到另一台计算机”和“可以自我复制”。他们编写蠕虫的目的是做分布式计算的模型试验,在他们的文章中,蠕虫的破坏性和不易控制已初露端倪。1988年Morris蠕虫爆发后,Eugene H. Spafford 为了区分蠕虫和病毒,给出了蠕虫的技术角度的定义,“计算机蠕虫可以独立运行,并能把自身的一个包含所有功能的版本传播到另外的计算机上。”(Worm is a program that can run
by itself and can propagate a fully working version of itself to other machines. )。
3.病毒原始定义
在探讨计算机病毒的定义时,常常追溯到David Gerrold在1972年的发表的科幻小说《When Harlie Was One》,但计算机病毒从技术角度的定义是由Fred Cohen在1984年给出的,“计算机病毒是一种程序,它可以感染其它程序,感染的方式为在被感染程序中加入计算机病毒的一个副本,这个副本可能是在原病毒基础上演变过来的。” (A program that can infect other programs by modifying them to include a possibly evolved copy of itself.)。1988年Morris蠕虫爆发后,Eugene H. Spafford 为了区分蠕虫和病毒,将病毒的含义作了进一步的解释。“计算机病毒是一段代码,能把自身加到其它程序包括操作系统上。它不能独立运行,需要由它的宿主程序运行来激活它。”(virus is a piece of code that adds itself to other programs, including operating systems. It cannot run independently and it requires that its host program be run to activate it.)。
4.蠕虫/病毒
计算机蠕虫和计算机病毒都具有传染性和复制功能,这两个主要特性上的一致,导致二者之间是非常难区分的,尤其是近年来,越来越多的病毒采取了部分蠕虫的技术,另一方面具有破坏性的蠕虫也采取了部
分病毒的技术,更加剧了这种情况。下表1给出了病毒和蠕虫的一些差别:/article_03090033a
5.蠕虫完整定义
上述蠕虫原始定义和病毒原始定义中,都忽略了相当重要的一个因素,就是计算机使用者,定义中都没
有明确描述计算机使用者在其整个传染机制中所处的地位。
计算机病毒主要攻击的是文件系统,在其传染的过程中,计算机使用者是传染的触发者,是传染的关键环节,使用者的计算机知识水平的高低常常决定了病毒所能造成的破坏程度。而蠕虫主要是利用计算机系统漏洞(vulnerability)进行传染,搜索到网络中存在漏洞的计算机后主动进行攻击,在传染的过程中,与
计算机操作者是否进行操作无关,从而与使用者的计算机知识水平无关。
另外,蠕虫的定义中强调了自身副本的完整性和独立性,这也是区分蠕虫和病毒的重要因素。可以通过
简单的观察攻击程序是否存在载体来区分蠕虫与病毒。
目前很多破坏性很强的病毒利用了部分网络功能,例如以信件作为病毒的载体,或感染Windows系统的网络邻居共享中的文件。通过分析可以知道,Windows系统的网络邻居共享本质上是本地文件系统的一种扩展,对网络邻居共享文件的攻击不能等同与对计算机系统的攻击。而利用信件作为宿主的病毒同样不具备独立运行的能力。不能简单的把利用了部分网络功能的病毒统统称为蠕虫或蠕虫病毒,因为它们不具备
上面提到的蠕虫的基本特征。
通过以上的分析和比较,重新给出的Internet蠕虫完整定义为:“Internet蠕虫是无须计算机使用者干预即可运行的独立程序,它通过不停的获得网络中存在漏洞的计算机上的部分或全部控制权来进行传播。”
通过简单的分析,可以得出结论,一些常见的以蠕虫为名的病毒,如“Happy99蠕虫病毒”、“Mellisa网络蠕虫宏病毒”、“Lover Letter网络蠕虫病毒”、“SirCam蠕虫病毒”,“NAVIDAD网络蠕虫”、“Blebla.B网
络蠕虫”、“VBS_KAKWORM.A蠕虫”等等,都是病毒,而不是蠕虫。
6.蠕虫发展现状
从1988年CERT(计算机紧急响应小组)由于Morris蠕虫事件成立以来,统计到的Internet安全威胁事件每年以指数增长。这些安全威胁事件给Internet带来巨大的经济损失。美国每年因为网络安全造成的经济损失超过170亿美元,使网络信息安全问题得到了世界各国的重视。2001年美国投资20亿美元加强网络安全建设,同样其它各国也都投入了巨大的人力和物力。在全球信息化浪潮的冲击下,我国信息化建设也已进入高速发展阶段,电子商务、电子政务、网络金融和网络媒体等蓬勃发展起来,这些与国民经济、社
会稳定息息相关的领域急需信息安全的保障。因此,解决我国的信息安全问题刻不容缓。
在Internet安全问题中,恶意软件(malware)造成的经济损失占有最大的比例。恶意软件主要包括计算机病毒(Virus)、蠕虫(Worm)、木马程序(Trojan Horse)、后门程序(Backdoor)、逻辑炸弹(Logic Bomb)等等。另外,许多人提出,要把恶意软件作为网络战的一种攻击手段,这时的网络安全问题已经上升到国家安全的高度了。Internet蠕虫是目前危害最大的恶意软件,几乎每次蠕虫发作都会因其造成的巨大经济损失:1988年11月2日,Morris 蠕虫发作,几天之内6000台以上的Internet服务器被感染而瘫痪,损失超过一千万美元;2001年7月19日,CodeRed蠕虫爆发,在爆发后的9小时内就攻击了25万台计算
机,造成的损失估计超过20亿美元;随后几个月内产生了威力更强的几个变种,其中CodeRed II造成的损失估计超过12亿美元;2001年9月18日,Nimda蠕虫被发现,对Nimda造成的损失评估数据从5亿美元
攀升到26亿美元后,继续攀升,到现在已无法估计。
自从它诞生以来到现在,无论哪里、无论以什么因素作为评价指标排出的十大病毒排行榜,它都榜上有名。日前全球爆发的“冲击波” 蠕虫病毒及其变种,它们传播速度及危害之大是史无前例的,与以前的蠕虫病毒相比,“冲击波”的感染潜力大得多,由于全球微软操作系统这一漏洞影响的电脑数量庞大。从因此,其危害很难在近期内统计出。目前蠕虫爆发的频率越来越快,尤其是近两年来,越来越多的蠕虫出现,其
传播速度成几何级增长,危害也大有过之而无不及。
7.蠕虫研究概况
Internet蠕虫虽然早在1988年就显示出它巨大破坏力和危害性,但当时Internet没有普及,因而也没有引起人们更多的注意。从1990年开始,对抗恶意软件破坏的主要内容锁定在个人电脑的防病毒上,而且这种状况一直延续到现在。科研人员的主要精力放在如何预防、检测和消除攻击个人电脑文件系统的病毒。虽然邮件病毒的出现,使人们认识到了Internet已经使病毒的性质发生了一些变化,需要调整研究方法和目标,但对于蠕虫的研究和防御到目前为止还比较少;近年来,新蠕虫层出不穷,危害越来越大,其造成的
危害程度远远超过传统的病毒,由于对蠕虫研究的滞后,使人们在蠕虫面前手忙脚乱。
通过对蠕虫的研究,可以扩大反病毒技术涵盖的范围,推进反病毒技术的发展。对蠕虫的实体特征、功能结构模型的研究,可以直接的转化应用到安全产品和反病毒产品中去,为减少恶意软件造成的经济损失
提供相应的手段。
2001年CodeRed蠕虫爆发后,针对蠕虫的研究逐渐成为热点。比较突出的有Nicholas Weaver,并预言了可以在半个小时之内感染整个Internet的蠕虫将要出现。Slammer的出现证实了他的预言,但值得注意的是Slammer没有采用任何一种他提到的快速传播策略,而依然使用的是最原始的随机目标选择策略。Cliff Changchun Zou以CodeRed蠕虫为例,讨论了基于微分方程描述的蠕虫传播模型,考虑了人为因素对蠕虫传播的影响,他的工作可以看作是SIR传播模型的一种扩展。David Moore(CAIDA, the Cooperative Association for Internet Data Analysis)提出了衡量防治蠕虫的技术有效性的三个参数:响应时间、防治策略、布置策略,他认为目前的防治技术在这三个参数上都远远达不到对蠕虫防治的要求。Dug Song等人对蠕虫引起的网络流量统计特征做了研究。这些工作中,一个比较突出的问题是,缺少对蠕虫整体特征的系统性分析,基本上都是针对特定的蠕虫(如CodeRed蠕虫)进行研究讨论和建模。另外,在防治策略上,目前的方案大多停留在感性认识的基础上,或者仅提出功能性需求。CodeRed蠕虫用到了很多相当高级的编程
技术,它是通过微软公司IIS服务的.ida漏洞(Indexing Service中的漏洞)进行传播。
2001年9月18日,Nimda蠕虫被发现,与以前的蠕虫不同的是Nimda开始结合病毒技术。它的定性引起了广泛的争议,著名的网络安全公司NAI把它归类为病毒,CERT把它归类为蠕虫,国际安全组织Incidents.Org同时把它归入病毒和蠕虫两类。Nimda蠕虫只攻击微软公司的WinX系列操作系统,它通过电子邮件、网络邻近共享文件、IE浏览器的内嵌MIME类型自动执行(Automatic Execution of Embedded MIME Types)漏洞、IIS服务器文件目录遍历(directory traversal)的漏洞、CodeRed II和sadmind/IIS蠕虫留下的
后门共五种方式进行传播。其中前三种方式是病毒传播的方式。
冲击波(Worm.Blaster)”蠕虫病毒会持续利用IP扫描技术寻找网络上系统为Win2K或XP的计算机,找到后就利用DCOM RPC缓冲区漏洞攻击该系统,并向具有漏洞的系统的135端口发送数据。然后攻击有RPC漏洞的计算机,一旦攻击成功,病毒体将会被传送到对方计算机中进行感染,值得注意的是,该病毒还会
对微软的升级网站进行拒绝服务攻击,导致该网站堵塞,使用户无法通过该网站升级系统,这样就使更多的系统漏洞无法打补丁。蠕虫在网络中持续扫描,寻找容易受到攻击的系统,它就会从已经被感染的计算机上下载能够进行自我复制的代码MSBLAST.EXE,蠕虫驻留系统后在注册表中创建键值,以达到随系统
启动而自动运行的目的,使系统操作异常、不停重启、甚至导致系统崩溃。
8.结论
在当前网络生存的世界中,随着网络及信息系统复杂度增大,其更新频率与利用率的提高,安全漏洞也大大增多,利用该漏洞的病毒也会越来越多。升级杀毒软件是对付这些蠕虫病毒的解决之道,而定期上网更新系统,给系统打安全补丁则是预防之道。另外,蠕虫及病毒防治工作还存在着许多深层次的问题需要解决:蠕虫病毒安全防护能力亟待加强,尚缺乏具有自主知识产权的先进反病毒核心引擎,信息安全管理和法制还不完善,全社会的防治计算机病毒安全意识需要增强。但是,只要我们强化全民的安全防范意识,建立起反病毒技术的资源共享制度,积极支持反病毒新技术理论的研究,并与国内外病毒研究机构与厂商
广泛地交流和合作,必将会有力推动我国反蠕虫病毒研究与技术的发展。
篇三:蠕虫病毒检测与防范
目录
摘要 ........................................................................................ 2
Abstract ................................................................................. 3
第一章 蠕虫病毒概述及发展历史 ............................................ 4
1.1蠕虫病毒概述及发展历史 .............................................. 4
1.2网络蠕虫研究分析 .......................................................... 5
第二章 蠕虫病毒原理 ................................................................ 7
2.1蠕虫病毒攻击原理 .......................................................... 7
2.2蠕虫病毒与一般病毒的异同 .......................................... 8
第三章 蠕虫病毒实例 .............................................................. 10
3.1蠕虫病毒造成的破坏 .................................................... 10
3.2蠕虫病毒实例 ................................................................ 10
第四章 蠕虫病毒的防范 .......................................................... 14
4.1蠕虫的特点及发展趋势 ................................................ 14
4.2如何对蠕虫病毒攻击进行防范 .................................... 14
结束语 ........................................................................................ 16
致谢 ............................................................................................ 17
参考文献 .................................................................................... 17
摘要
随着互联网应用的深入,网络蠕虫对计算机系统安全和网络安全的威胁日益加剧。特别是在网络环境下,多样化的传播途径和复杂的应用环境使蠕虫的发生频率增加,传播速度更快,覆盖面也更广。蠕虫病毒侵入计算机网络,可以导致计算机网络的效率急剧下降,系统资源遭到严重破坏,短时间内造成网络系统的瘫痪。为了将蠕虫病毒对计算机及网络设备、社会经济造成的损失降低到最低限度,提高网络的安全性能,减少不必要的经济损失,保障用户的个人资料及隐私安全,我们将对蠕虫病毒进行检测与防范。
本文主要针对蠕虫病毒的原理与传播、检测与防范等进行研究。阐述网络安全现状、蠕虫病毒背景及发展历史等,通过蠕虫病毒的原理与传统病毒的区别,功能、工作机制等,对蠕虫病毒对网络安全的威胁,检测与防范做出了相对的研究。
关键词:网络安全;病毒原理;检测;防范
Abstract
As the Internet application deeply, network worms to computer system security and network security threats aggravating. Especially in the network environment, diversified transmission way and complicated application environment makes worms the frequency increases, spread faster, coverage is more widely. Worm virus invades computer network, can cause the efficiency of computer network has dropped sharply system resources damaged caused inside short time network system of paralysis. In order to worm virus of computer and network equipment, social economic damage reduced to the minimum, improve the network safety performance and reduce unnecessary economic losses, protect a user's personal data and privacy and security, we will detect worm virus prevention.
This article mainly aims at of worm virus principle and propagation, detection and prevention must be studied. Expounds the network security situation, worms background and development history, etc., through the principle of worm virus with traditional viruses distinction, function, working mechanism of worm virus of network security threats, detection and prevention made relative research.
Keywords: network security; virus principle; detection; prevent
第一章 蠕虫病毒概述及发展历史
1.1蠕虫病毒概述及发展历史
凡能够引起计算机故障,破坏计算机数据的程序统称为计算机病毒。所以从这个意义上说,蠕虫也是一种病毒。蠕虫(Worm)病毒是一种通过网络传播的恶意病毒,它的出现相对于木马病毒、宏病毒来说比较晚,但是蠕虫病毒无论从传播速度、传播范围还是从破坏程度上来讲,都是以往的传统病毒所无法比拟的。网络蠕虫病毒,作为对互联网危害严重的一种计算机程序,其破坏力和传染性不容忽视。
蠕虫病毒可以说是近年来发作最为猖獗、影响最为广泛的一类计算机病毒,它的传播主要体现在以下两个方面:
(1)利用微软的系统漏洞攻击计算机网络,网络中的客户端感染这一类病毒后,会不断自动拨号上网,并利用文件中的地址或者网络共享传播,从而导致网络服务遭到拒绝并发生死锁,最终破坏用户的大部分重要数据。“红色代码”、“尼姆达”、“sql蠕虫王”等病毒都是属于这一类病毒。
(2)利用Email邮件迅速传播。如“爱虫病毒”和“求职信病毒”。蠕虫病毒会盗取被感染计算机中邮件的地址信息,并且利用这些邮件地址复制自身病毒体以达到大量传播,对计算机造成严重破坏的目的。蠕虫病毒可以对整个互联网造成瘫痪性的后果。
蠕虫(Worm)病毒通常由两部分组成:一个主程序和一个引导程序。主程序的主要功能是搜索和扫描,这个程序能够读取系统的公共配置文件,获得与本机联网的客户端信息,检测到网络中的哪台机器没有被占用,从而通过系统的漏洞,将引导程序建立到远程计算机上。引导程序实际上是蠕虫病毒主程序(或一个程序段)自身的一个副本,而主程序和引导程序都有自动重新定位的能力。也就是说,这些程序或程序段都能够把自身的副本重新定位在另一台机器上,这就是蠕虫病毒之所以能够大面积爆发并且带来严重后果的主要原因。
在网络环境下,蠕虫病毒可以按几何增长模式进行传染。蠕虫病毒侵入计算机网络,可以导致计算机网络的效率急剧下降,系统资源遭到严重破坏,短时间内造成网络系统的瘫痪。因此,网络环境下对蠕虫病毒的防治必将成为计算机防毒领域的研究重点。
蠕虫病毒是一种比较古老的病毒,产生于20世纪70年代,由于蠕虫病毒一开始便是根植于网络的,因此随着网络的发展,蠕虫病毒的生命力越来越强,其破坏力也越来越大。
早期的蠕虫不属于病毒,也不具备破坏性,它只是一种网络自动工具。1972年,原来只是出于军事目的而开发的阿帕网(ARPANET)开始走向世界,成为现在的Internet,从此互联网便以极其迅猛的速度不断发展。1973年互联网上还只有25台主机,但是到了1987年,连接在互联网上的主机数则突破了10000台。 由于每台主机都向广大电脑用户提供海量的信息,因此在这个信息海洋中寻找有用的资料是一件非常痛苦的事。为了解决在这个网络上的搜索问题,一群热心的技术人员便开始实验“蠕虫”程序。这种程序的构思来自于经典科幻小说《电
波骑士》,小说里描写了一种叫做“绦虫”的程序,该程序可以成群结队地出没于网上,使网络阻塞。这种蠕虫程序可以在一个局域网中的许多计算机上并行运行,并且能快速有效地检测网络的状态,进行相关信息的收集。后来,又出现了专门检测网络的爬虫程序和专门收集信息的蜘蛛程序。目前,这两种网络搜索技术还在被大量使用。
由于这类早期的蠕虫只是一种网络自动工具,因此在当时这种程序并没有被认为是病毒。编写这种工具的技术则被称之为蠕虫技术,当第一个蠕虫程序出现后,蠕虫技术便得到了很大的发展,直到1989年的莫里斯蠕虫事件的出现。
莫里斯是美国一所大学的研究生,由于父亲是贝尔实验室的研究员,因此他从小就开始接触计算机和网络,对Linux系统非常了解。不可否认的是他对那种能够控制整个网络的程序非常着迷,于是当他发现了当时操作系统中存在的几个严重漏洞时,便开始着手编写“莫里斯蠕虫”,这种蠕虫没有任何实用价值,只是利用系统的漏洞将自己在网络上进行复制。由于莫里斯在编程中出现了一个错误,将控制复制速度的变量值设得太大,从而造成了蠕虫在短时间内迅速复制,最终使大半个互联网陷入了瘫痪。由于这件事情影响太大,社会反响非常强烈,因此作者本人也受到了法律制裁。从此以后,蠕虫也是一种病毒的概念被确立起来,而这种利用系统漏洞进行传播的方式就成了现在蠕虫病毒的主要传播方式。 每一次蠕虫的爆发都会给社会带来巨大的损失1988 年11 月2日,Morris 蠕虫发作,几天之内6000 台以上的Internet 服务器被感染而瘫痪,损失超过一千万美元。2001 年7月19日,CodeRed 蠕虫爆发,在爆发后的9 小时内就攻击了25 万台计算机,造成的损失估计超过20 亿美元,随后几个月内产生了威力更强的几个变种,其中CodeRed II造成的损失估计超过12 亿美元。2001 年9 月18 日,Nimda 蠕虫被发现,对Nimda 造成的损失评估数据从5 亿美元攀升到26 亿美元后,继续攀升,到现在已无法估计。目前蠕虫爆发的频率越来越快,尤其是近两年来,越来越多的蠕虫(如冲击波、振荡波等)出现。对蠕虫进行深入研究,并提出一种行之有效的解决方案,为企业和政府提供一个安全的网络环境成为我们急待解决的问题。
1.2网络蠕虫研究分析
Internet蠕虫虽然早在1988年就显示出它巨大破坏力和危害性,但当时Internet没有普及,因而也没有引起人们更多的注意。一直以来,人们将精力多放在如何预防、检测和消除攻击个人电脑文件系统的病毒上。随着邮件病毒的泛滥,人们逐渐意识到Internet已经使病毒的性质发生了一些变化,需要调整研究方法和目标,但对于蠕虫的研究和防御到目前为止还比较少。1998年,SteveR.White呼吁加大对蠕虫的研究力度,他指出,目前的防病毒技术都是针对文件系统的,这些技术在防治蠕虫时不再适用。他认为人们忽视蠕虫研究有两个原因,一是当时来说蠕虫很少见;二是特定蠕虫只爆发一次。对于研究者来说,每次蠕虫爆发都是一个新的待研究的蠕虫。他认为针对蠕虫的研究主要分为检测、分析和清除。2000年,IBM开展IanWhalley项目,目的是开发一个自动蠕虫检测和分析的软硬件环境,项目中定义的蠕虫包含了所有能利用网络传播的恶意代码(如邮件病毒),主要技术为用虚拟机构造蠕虫传播的网络环境。2001年,JoseNazari等人讨论了蠕虫的技术发展趋势,给出了蠕虫的一个功能模型框架,他们提出的很多思路非常具有启发意义,但他们的工作中也混淆了蠕虫和病毒的
免费论文网友情提示:本网站所有内容为共享上传提供,不涉及任何商业利益,本站对此不承担任何保证责任!
Copyright © www.csmayi.cn Corporation, All Rights Reserved 共享时代 共享你我他 版权所有