蠕虫病毒特征码自动提取原理与设计

目前网络入侵检测系统（NIDS）主要利用特征码检测法来监测与阻止网络蠕虫，而蠕虫特征码提取仍是效率低的人工过程。为解决这个问题提出了基于陷阱网络的蠕虫特征码自动提取思想，介绍了原型系统的体系结构和主要算法。该系统利用数据包负载中出现频率高的字符串来提取蠕虫特征码。最后通过实验结果分析算法主要参数对系统的影响。
近几年爆发过的一系列蠕虫病毒给信息社会造成巨大经济损失，因此对蠕虫病毒的研究仍然是网络安全研究重点。蠕虫病毒是一种利用软件漏洞实现自动传播和破坏的人为恶意程序。由于同构型网络环境中运行的操作系统与服务器软件缺乏多样性，因此蠕虫在Internet 或Intranet 中能够迅速蔓延。目前主要有以下两种蠕虫检测技术：流量检测。在网络全局范围内监测可疑随机扫描流量。如果发现可疑IP 地址，则将其加入IP 黑名单，列入下一步过滤范围。对利用随机扫描传播的蠕虫该技术十分有效，但是对于邮件病毒和P2P 蠕虫检测效果差，由于以上两类病毒不使用IP 随机扫描；另一种技术是行为检测。因为蠕虫病毒是一种非典型性的Internet 应用程序，所以在单机范围内可监测其特异程序行为来发现蠕虫。
此项技术缺乏网络层次的检测能力，对蠕虫检测存在很大滞后性。总之，尽量阻断被感染主机试图与潜在受害主机的连接是蠕虫检测的主要策略[1]。
目前商业网络入侵检测系统NIDS（Network Intrusion Detection System）多数采用比较成熟的误用检测技术，检测网络范围内可疑数据包，如果发现与入侵特征库中相匹配的数据包就向网络管理员发出警报。NIDS 是一种体现主动防御思想的安全工具，其特征规则检测法结合了流量检测和行为检测。NIDS的特征规则一般表示为一个三元组<协议类型，目标端口，字符序列>, 由于蠕虫通常针对某个端口服务程序的漏洞来实现传播和破坏，因此协议类型、目标端口体现了蠕虫网络层面的特点；另一方面，因为蠕虫行为的非典型性，比如利用溢出实现攻击、自我复制等功能。所以能够提取反映该功能的机器码序列作为检测的依据，这些字符序列即蠕虫的特征码。总之，NIDS 采用基于内容过滤、阻断的策略防御蠕虫。
NIDS 检测的关键是检测规则。首先对检测规则提取时间要求高。Internet 主机对蠕虫的免疫有很高的时间要求。对传播速度慢的蠕虫要求最多60 分钟作出免疫反应，比如RedCodeII；高速传播的蠕虫要求5 分钟甚至60 秒的免疫时间。另外特征码质量对NIDS 工作效率影响很大。因此蠕虫特征码的提取工作十分重要，现在主要由安全专家人工提取蠕虫特征码，这是个费时、枯燥并且技术水平要求高的工作。
人工提取蠕虫特征码需要较长时间，导致了NIDS 对蠕虫检测存在很大滞后性甚至失败。普通计算机病毒特征码大约有%5 ~ %6 来自陷阱机Honeypot 捕获的数据，蠕虫与普通病毒不同，在网络中传播速度快，设计精巧的陷阱机能及时有效地捕获到新蠕虫或蠕虫变种[2]。本文提出一个基于陷阱网络Honeynet 的蠕虫特征码自动提取原型系统Cuckoo，描述原型系统的体系结构与自动提取原理，最后通过实验分析蠕虫特征码的质量。本文以后各节组织如下：第二节，介绍蠕虫特征码自动提取的相关研究；第三节，阐述了原型系统Cuckoo 的体系结构，特征码提取的流程与算法，以及特征码广谱优化策略；第四节，通过实验分析原型系统中重要参数的作用与影响；第五节，总结并提出进一步研究的设想。