防治网络蠕虫病毒的技术与策略
每一个蠕虫的爆发会给社会带来巨大的损失。2001年9月18日,Nimda病毒被发现,和Nimda的损失评估数据从5亿美元增长到26亿美元。目前,蠕虫爆发的频率越来越快,尤其是近两年,越来越多的虫子(如冲击波、振荡波等)的出现。蠕虫是深入研究并提出一套切实可行的方案。为企业和政府提供一个安全的网络环境是我们迫切需要解决的问题。蠕虫是什么
网络蠕虫是一个独立的程序,可以在不受计算机用户干预的情况下运行。它可以通过控制计算机上的部分或全部漏洞传播。
蜗轮和蜗杆之间最大的区别是,它不需要人的干预,它可以自我复制和传播的蠕虫程序的工作流程可以分为四个阶段:漏洞扫描、攻击、感染和现场处理。当蠕虫程序扫描易受攻击的计算机系统,虫体迁移到目标主机。然后,蠕虫程序进入被感染的系统和现场处理目标主机,现场处理部分的工作包括:隐藏、信息收集等。通过不同的蠕虫使用IP生成策略可能是不一样的甚至是随机生成的,每个步骤的复杂性也是不同的,有些是非常复杂的,有些是非常的实现。
蠕虫的行为特征包括:
自我复制:
漏洞利用:
网络拥塞:
系统资源消耗:
留下安全隐患:
蠕虫的工作模式总结如下:随机生成一个IP地址;确定是否对应于该IP地址的机器被感染;如果它可以被感染,它将感染它;重复1到3次m,m是蠕虫生成的复制副本的数量。
如何检测蠕虫
通过以上分析,发现蠕虫的早期发现和宿主的分离和恢复是防止蠕虫泛滥和造成严重损失的关键。
目前,在中国有没有特殊的蠕虫检测和防御系统。传统的宿主防御系统不能检测未知蠕虫,只能被动检测被检测的蠕虫,而且市场上的蠕虫检测大多是基于特征的。因此,我们利用IDS提供的异常检测功能,通过发现网络中的异常来控制蠕虫的感染,虽然有些嫌疑人后来发现了诸葛,但只要及时发现,就可以大大减少蠕虫造成的损失。
对于未知蠕虫的检测,入侵检测是基于流量异常的统计分析和TCP连接异常分析。它还使用ICMP数据异常分析的方法来检测未知蠕虫在网络中更全面。这种蠕虫的检测技术是Bob Gray,以及具体的实现过程是:当一个主机发起连接到一个不存在的主机,一个icmp-t3(目标不可达)计划将在中间回到蠕虫主机。
该方法可以检测网络蠕虫的高速和大规模感染模型(难以检测特定蠕虫和慢传播蠕虫的网络,这两个蠕虫可以被认为是有害的整个网络。
全方位蠕虫防治策略
当蠕虫被发现,它应该在尽可能短的时间内做出反应,第一时间报警,通知管理员,并通过防火墙,或基于主机的入侵检测系统的相互作用会感染蠕虫的主机和蠕虫隔离;分析检测策略的进一步发展,尽快修复系统中存在的安全隐患,防止再次感染蠕虫,蠕虫和蠕虫感染的主机删除。
在宿主感染蠕虫的情况下,预防策略如下:
1、与防火墙的交互:通过控制防火墙策略,控制受感染主机的外部访问数据,防止蠕虫感染外部网络主机。
2。交换链路:通过SNMP协议连接,当主机网络被蠕虫感染时,它可以切断内部主机与其他主机之间的通信,以防止主机在内部网中受到影响。
3、通知HIDS(入侵监控主机):信息接收来自监控系统配备HIDS可以阻止访问可疑主机,使受感染的主机可以防止访问重要资源。
4。报警:产生报警,通知网络管理员,在分析蠕虫病毒,它可以通过配置Scaner扫描网络,环主机下载补丁的补丁,修补的漏洞通知,防止蠕虫病毒的进一步扩散。