1、恶意移动代码分析与研究,郑 辉清华大学网络中心CERNET Computer Emergency Response T,主要内容,当前的安全状况攻防主体主要研究成果防治周期理论主动防治系统Open Problems,漏洞越来越多,攻击越来越容易,病毒数量增长越来越快,风险越来越大,全球基础设施区域性网络多个网络单个网络单台计算机,攻击目标和破坏程度,First GenBoot viruses,周,Second GenMacro virusesDenial of service,天,Third GenDistributed denial of serviceBlended threats,时,N
2、ext GenFlash threatsMassive worm-driven DDoSDamaging payload worms,分,1980s,1990s,Today,Future,病毒、蠕虫、DDoS组合攻击,Attack zombies:Use valid protocolsSpoof source IPMassively distributed,DDoS 增长趋势,DDoS attacks challenge intrusion as the primary threat facing U.S. businesses, according to security executive
3、sCSO Magazine Security Sensor III & IV Research July 2003,Internet面临的安全挑战,如何防范自动化攻击?如何防范快速突发攻击?如何防范大规模攻击?,恶意移动代码主要特性,破坏性(Malicious Code, Malware)移动性(Mobile Code)通过网络通过人,恶意移动代码主要种类,Internet 蠕虫病毒邮件文件系统病毒网页脚本木马,恶意移动代码的简单比较,各种恶意移动代码的融合趋势,病毒、蠕虫、木马之间的界限已经不再明显;综合使用多种攻击手段:传播:计算机系统的漏洞、电子邮件、文件共享、Web浏览等社会工程(so
4、cial engineering ),攻防主体,影响网络安全的三支力量HackerVXerCracker防范主体网络运营商、服务提供商、用户;系统厂商、防毒产品厂商;科研技术人员、政府主管部门;,蠕虫的历史回顾,Xerox PRAC,1980年Morris Worm,1988年11月2日 WANK Worm,1989年10月16日 ADM Worm,1998年5月 Millennium,1999年9月 Ramen Worm,2001年1月 Lion Worm,2001年3月23日Adore Worm,2001年4月3日 Cheese Worm,2001年5月 Sadmind/IIS Worm,
5、2001年5月 CodeRed Worm,2001年7月19日 Nimda Worm,2001年9月18日Slapper,2002年9月14日 Slammer,2003年1月25日Dvldr32,2003年3月7日MSBlaster, 2003年8月12日Nachi,2003年8月18日,2004年蠕虫,MyDoom.C2004年2月9日Witty Worm 2004年3月20日Sasser Worm 2004年4月30日Santy Worm2004年12月21日,蠕虫的爆发周期越来越短,漏洞发现,攻击代码,蠕虫爆发,控制,清除,越来越短 ,越来越长,越来越难 ,漏洞公布和蠕虫爆发的间隔越来越
6、短,最佳时机,及时,太晚了,恶意移动代码主要研究内容,恶意代码的工作机制其他工作的基础传播模型现有模型忽略太多因素而缺乏指导意义仿真仿真Internet难度较大检测检测结果出来为时已晚抑制现实需求,CCERT的科研优势,长期对恶意移动代码研究的积累;迅速有效的响应机制;第一手的网络数据;,CodeRed蠕虫监测数据,Blaster & Nachi监测数据,Sasser蠕虫监测数据,Witty 蠕虫监测数据,主要研究成果,针对蠕虫个体实体结构模型功能结构模型针对网络利用DNS服务抑制蠕虫传播Internet 蠕虫主动防治系统,实体结构模型,功能结构模型,利用DNS服务抑制蠕虫传播,Interne
7、t 蠕虫防治周期,预防阶段检测阶段遏制阶段清除阶段,Internet 蠕虫主动防治系统,网络技术发展带来的变化,P2POverlay网络构成的相对独立网络; IRC、MSN、QQ、BT、eMuleIPv6网络规模加密传输,蠕虫的扫描策略,典型分类:J. Wu, S. Vangala, L. Gao, and K. Kwiat:Selective Random Scan(选择性随机扫描)包括Local Preference(本地优先)Routable Scan (可路由地址扫描)Divide-Conquer Scan(地址分组扫描)Hybrid Scan (组合扫描)Extreme Scan (
8、极端扫描),存在一些限制。如: DNS ScanComplete Scan,IPv4 的Internet ,Slammer 蠕虫,10分钟后,感染了大多数有漏洞的计算机,IPv6 的Internet ,28年后,感染第一台主机,IPv6网络的抗扫描特性,恶意移动代码的技术发展趋势,结合人工智能技术;动态功能升级技术;多平台传播技术;分布式实体技术;,Santy蠕虫,描述:2004年12月21日发现,截止到12月22日,google可以统计到被santy蠕虫破坏的网站已经达到26000多;利用论坛系统phpBB的漏洞传播;智能特性:从搜索引擎google得到攻击站点列表;存在形式:脚本代码;,Santy蠕虫引出的新问题,如何检测智能蠕虫?不需扫描,流量无明显异常;查询条件的无穷组合;脚本代码的任意变化;如何防治智能蠕虫? IPv6的抗扫描特性不再适用;封锁搜索引擎?海量信息如何查找;搜索引擎屏蔽?查询合法性的不可判定;,Open Problems,蠕虫爆发预警仿真环境与蠕虫传播模拟良性蠕虫的控制策略恶意移动代码来源定位网络安全生态理论,参考文献,蠕虫的行为特征描述和工作原理分析, http:/ 蠕虫主动防治技术研究 - 利用DNS 服务抑制蠕虫传播, http:/ http:/ http:/