3.1. 蠕虫的工作方式

　　通过前面的分析，可以把蠕虫的工作方式归纳如下：

　　1） 随机产生一个IP 地址；

　　2） 判断对应此IP 地址的机器是否可被感染；

　　3） 如果可被感染，则感染之。

　　4） 重复1～3 共m 次，m 为蠕虫产生的繁殖副本数量。

　　3.2 SIR传播模型

　　在传统的对计算机病毒的传播机制研究中，常常借用已有的传染病数学模型，但由于计算机病毒的攻击对象是文件系统，所以传统计算机病毒研究中把计算机作为传播个体并不合适。同计算机病毒不同，Internet 蠕虫具有主动攻击特征，不需要计算机使用者的参与，并且蠕虫的攻击对象是计算机系统，这两个条件正好同传染病模型的假设条件相符。在蠕虫的SIR模型中，假设在一台主机内蠕虫传播经过了如下的三个步骤：

　　Susceptible -〉Infective –〉Recovered

　　主机存在漏洞->主机被感染->漏洞被修复，蠕虫被清除。

　　根据此模型产生的蠕虫在网络上的传播速度图如图3所示。蠕虫的传播经历了开始的缓慢传播，接下来的快速传播和最后的缓慢消失三个阶段。因此能否在蠕虫的缓慢传播阶段实现对蠕虫的检测和防治成为有效防治蠕虫的关键。

 
图 3蠕虫的传播模型

　　4．蠕虫的检测与防治

　　由以上的分析可知，尽早的发现蠕虫并对感染蠕虫的主机进行隔离和恢复，是防止蠕虫泛滥，造成重大损失的关键。

　　4.1蠕虫的检测

　　4.1.1 蠕虫监测和防护现状

　　目前国内并没有专门的蠕虫检测和防御系统，传统的主机防病毒系统并不能对未知的蠕虫进行检测，只能被动的对已发现的特征的蠕虫进行检测。而目前市场上的入侵检测产品，对蠕虫的检测也多半的基于特征，同时ids提供的异常检测功能，虽然可以发现网络中的异常，但是也没有更好的办法对蠕虫的传染进行控制，减少蠕虫造成的损失。

　　4.1.2 网威VDS（Virus Detect System）的蠕虫检测方法

　　中科网威的VDS产品针对病毒查杀软件和目前NIDS存在的不足，在检测和互动方面使用了多种技术，达到对蠕虫的检测和控制的目的。下面先说一下对中科网威对未知蠕虫的检测技术。

上一页  [1] [2] [3] [4]  下一页