Internet 蠕蟲是無須計算機使用者干預即可運行的獨立程序，它通過不停的獲得網絡中存在漏洞的計算機上的部分或全部控制權來進行傳播。蠕蟲與病毒的最大不同在于它不需要人為干預，且能夠自主不斷地復制和傳播。
2．蠕蟲的行為特征

　　2.1 蠕蟲的工作流程
　　2.1.1 蠕蟲的工作流程：
　　蠕蟲程序的工作流程可以分為漏洞掃描、攻擊、傳染、現場處理四個階段，如圖　　2所示。蠕蟲程序掃描到有漏洞的計算機系統后，將蠕蟲主體遷移到目標主機。然后，蠕蟲程序進入被感染的系統，對目標主機進行現場處理。現場處理部分的工作包括：隱藏、信息搜集等。同時，蠕蟲程序生成多個副本，重復上述流程。不同的蠕蟲采取的IP生成策略可能并不相同，甚至隨機生成。各個步驟的繁簡程度也不同，有的十分復雜，有的則非常簡單。

 
圖2蠕蟲的工作流程

　　2.2 蠕蟲的行為特征

　　通過對蠕蟲的整個工作流程進行分析，可以歸納得到它的行為特征：

　　自我繁殖：

　　蠕蟲在本質上已經演變為黑客入侵的自動化工具， 當蠕蟲被釋放（release）后，從搜索漏洞，到利用搜索結果攻擊系統，到復制副本，整個流程全由蠕蟲自身主動完成。就自主性而言，這一點有別于通常的病毒。

　　利用軟件漏洞：

　　任何計算機系統都存在漏洞，這些就蠕蟲利用系統的漏洞獲得被攻擊的計算機系統的相應權限，使之進行復制和傳播過程成為可能。這些漏洞是各種各樣的，有操作系統本身的問題，有的是應用服務程序的問題，有的是網絡管理人員的配置問題。正是由于漏洞產生原因的復雜性，導致各種類型的蠕蟲泛濫。

　　造成網絡擁塞：

　　在掃描漏洞主機的過程中，蠕蟲需要：判斷其它計算機是否存在；判斷特定應用服務是否存在；判斷漏洞是否存在等等，這不可避免的會產生附加的網絡數據流量。同時蠕蟲副本在不同機器之間傳遞，或者向隨機目標的發出的攻擊數據都不可避免的會產生大量的網絡數據流量。即使是不包含破壞系統正常工作的惡意代碼的蠕蟲，也會因為它產生了巨量的網絡流量，導致整個網絡癱瘓，造成經濟損失。

　　消耗系統資源：

　　蠕蟲入侵到計算機系統之后，會在被感染的計算機上產生自己的多個副本，每個副本啟動搜索程序尋找新的攻擊目標。大量的進程會耗費系統的資源，導致系統的性能下降。這對網絡服務器的影響尤其明顯。

　　留下安全隱患：

　　大部分蠕蟲會搜集、擴散、暴露系統敏感信息（如用戶信息等），并在系統中留下后門。這些都會導致未來的安全隱患。

　　3.1. 蠕蟲的工作方式

　　通過前面的分析，可以把蠕蟲的工作方式歸納如下：

　　1） 隨機產生一個IP 地址；

　　2） 判斷對應此IP 地址的機器是否可被感染；

　　3） 如果可被感染，則感染之。

　　4） 重復1～3 共m 次，m 為蠕蟲產生的繁殖副本數量。

　　3.2 SIR傳播模型

　　在傳統的對計算機病毒的傳播機制研究中，常常借用已有的傳染病數學模型，但由于計算機病毒的攻擊對象是文件系統，所以傳統計算機病毒研究中把計算機作為傳播個體并不合適。同計算機病毒不同，Internet 蠕蟲具有主動攻擊特征，不需要計算機使用者的參與，并且蠕蟲的攻擊對象是計算機系統，這兩個條件正好同傳染病模型的假設條件相符。在蠕蟲的SIR模型中，假設在一臺主機內蠕蟲傳播經過了如下的三個步驟：

　　Susceptible -〉Infective –〉Recovered

　　主機存在漏洞->主機被感染->漏洞被修復，蠕蟲被清除。

　　根據此模型產生的蠕蟲在網絡上的傳播速度圖如圖3所示。蠕蟲的傳播經歷了開始的緩慢傳播，接下來的快速傳播和最后的緩慢消失三個階段。因此能否在蠕蟲的緩慢傳播階段實現對蠕蟲的檢測和防治成為有效防治蠕蟲的關鍵。

 
圖 3蠕蟲的傳播模型

　　4．蠕蟲的檢測與防治

　　由以上的分析可知，盡早的發現蠕蟲并對感染蠕蟲的主機進行隔離和恢復，是防止蠕蟲泛濫，造成重大損失的關鍵。

　　4.1蠕蟲的檢測

　　4.1.1 蠕蟲監測和防護現狀

　　目前國內并沒有專門的蠕蟲檢測和防御系統，傳統的主機防病毒系統并不能對未知的蠕蟲進行檢測，只能被動的對已發現的特征的蠕蟲進行檢測。而目前市場上的入侵檢測產品，對蠕蟲的檢測也多半的基于特征，同時ids提供的異常檢測功能，雖然可以發現網絡中的異常，但是也沒有更好的辦法對蠕蟲的傳染進行控制，減少蠕蟲造成的損失。

　　4.1.2 網威VDS（Virus Detect System）的蠕蟲檢測方法

　　中科網威的VDS產品針對病毒查殺軟件和目前NIDS存在的不足，在檢測和互動方面使用了多種技術，達到對蠕蟲的檢測和控制的目的。下面先說一下對中科網威對未知蠕蟲的檢測技術。

　　對蠕蟲在網絡中產生的異常，有多種的的方法可以對未知的蠕蟲進行檢測，比較通用的方法有對流量異常的統計分析，對tcp連接異常的分析，網威入侵檢測在這兩種分析的基礎上，又使用了對ICMP數據異常分析的方法，可以更全面的檢測網絡中的未知蠕蟲。這種網絡蠕蟲的測的方法是Bob Gray，Vincent Berk在2003年11月4日的ISTS 技術大會中提出的。

　　具體實現如下：

　　當一臺主機向一個不存在的主機發起連接時，中間的路由器會產生一個ICMP-T3（目標不可達）包返回給蠕蟲主機（如圖4）。

圖 4路由器返回ICMP-T3包

　　在蠕蟲的掃描階段，蠕蟲會隨機的或者偽隨機的生成大量的IP地址進行掃描，探測漏洞主機。這些被掃描主機中會存在許多空的或者不可達的IP地址，從而在一段時間里，蠕蟲主機會接收到大量的來自不同路由器的ICMP-T3數據包（如圖5）。網威的VDS通過對這些數據包進行檢測和統計，在蠕蟲的掃描階段將其發現，然后對蠕蟲主機進行隔離，對蠕蟲其進行分析，進而采取防御措施。

圖5蠕蟲的隨機掃描行為

　　如圖6所示，將ICMP-T3數據包進行收集、解析，并根據源和目的地址進行分類，如果一個IP在一定時間（T）內對超過一定數量（N）的其它主機的同一端口（P）進行了掃描，則產生一個發現蠕蟲的報警（同時還會產生其它的一些報警）。

圖6 檢測掃描

　　這種方法可以檢測出具有高速，大規模傳染模型的網絡蠕蟲。（很難檢測針對某個網絡的傳播的特定的蠕蟲和慢速傳播的蠕蟲。這兩種蠕蟲，可以認為對整個網絡來說，他們的危害比較小）

　　2.對于已知蠕蟲的檢測

　　網威網絡病毒檢測系統為了適應對蠕蟲各個階段的不同行為的檢測，使用編譯技術，創建了網威的腳本語言NPDCL（網威檢測控制語言），結合虛擬機技術，創建了解釋執行NPDCL語言的虛擬機。通過整個NPDCL腳本來控制整個VDS的檢測過程。打破了傳統的單一的發現符合某條規則就進行事件報警的機制，提高安全事件的關聯分析功能。從而可以對一個蠕蟲的各個階段的不同行為進行關聯分析，并且根據蠕蟲的多個行為特征進行判斷，而不是簡單的針對某個存在漏洞的服務進行特征匹配。同時具有豐富的行為特征庫，可以對目前流行的病毒，如振蕩波，沖積波等病毒以及多種變種進行檢測。

　　以“振蕩波的b變種”檢測為例，其檢測流程如圖7。

圖7 振蕩波檢測流程

　　首先通過對TCP半連接狀態的檢測發現蠕蟲的掃描行為，發現可疑的掃描源；然后在TCP的連接建立時間中檢測可疑掃描源對漏洞主機特定端口（445）的攻擊行為，進一步確認感染了蠕蟲的主機；第三步檢測蠕蟲的自我傳播過程，對震蕩波來說，是通過5545端口的ftp服務來進行傳播；最后通過傳播文件的特征（如123_up.exe）來進一步確認振蕩波的傳播。

　　在以上的檢測步驟中都會產生相關的報警，從而采取相應的措施，防止蠕蟲的進一步傳播。

　　當蠕蟲被發現時，要在盡量短的時間內對其進行響應。首先產生報警，通知管理員，并通過防火墻、路由器、或者HIDS的互動將感染了蠕蟲的主機隔離；然后對蠕蟲進行分析，進一步制定檢測策略，盡早對整個系統存在的不安全隱患進行修補。防治蠕蟲再次傳染，并對感染了蠕蟲的主機進行蠕蟲的刪除工作。
 
　　如圖8所示，VDS發現感染了蠕蟲的主機時，可以通過：

圖8 網威蠕蟲檢測系統的響應圖

　　1.與防火墻互動：通過控制防火墻的策略，對感染主機的對外訪問數據進行控制，防止蠕蟲對外網的主機進行感染。同時如果VDS發現外網的蠕蟲對內網進行掃描和攻擊，也可以和防火墻進行互動，防止外網的蠕蟲傳染內網的主機。

　　2.交換機聯動：中科網威VDS支持和CISCO系列的交換機通過SNMP協議進行聯動，當發現內網主機被蠕蟲感染時，可以切斷感染主機同內網的其他主機的通訊，防止感染主機在內網的大肆傳播，同時可以控制因為蠕蟲發作而產生的大量的網絡流量。同時為了適應用戶的網絡環境，我們還提供了Telnet配置網絡設備的接口，這樣VDS系統可以和網絡任何支持Telnet管理的網絡設備進行聯動。

　　3.通知HIDS：裝有HIDS的服務器接收到VDS系統傳來的信息，可以對可疑主機的訪問進行阻斷，這樣可以阻止受感染的主機訪問服務器，使服務器上的重要資源免受損壞。

　　4.報警：產生報警，通知網絡管理員，對蠕蟲進行分析后，可以通過配置Scaner來對網絡進行漏洞掃描，通知存在漏洞的主機到Patch服務器下載補丁進行漏洞修復，防治蠕蟲進一步傳播。

　　小結：文章中介紹了蠕蟲一些情況和特征，同時提出了中科網威公司對蠕蟲的發現，防治的一些解決方法和思路。希望中科網威的VDS系統可以為用戶的網絡提供全方位的蠕蟲的防護。