论文部分内容阅读
摘要:P2P蠕虫是利用P2P 机制进行传播的恶意代码。通过P2P节点的共享列表,蠕虫很容易获得攻击目标的信息,所以其爆发时传播速度很快,这种大量的快速传播导致的直接后果是网络阻塞。该文分析蠕虫在P2P 网络中的传播原理,在此基础上分析了蠕虫的防御措施。
关键词:蠕虫;P2P系统
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2009)05-1066-02
Research on Propagation of Worms in P2P Networks
QUAN Feng-shu
(Chenzhou City, Hunan Province Supply and Marketing School,Chenzhou 423000,China)
Abstract: The P2P-based worm is a kind of malicious code that takes advantage of P2P system to propagate. Because hosts in P2P system maintain a lot of neighbors list, infected hosts in P2P systems can easily propagate the worms to its neighbors. It can spread with high speed, which would lead to network congestion. This paper addresses the issue by analyzing the theory of P2P worm’s propagationit studies the measure of defense based on the propagating model.
Key words:worms; Peer-to-Peer (P2P) system
近年来,随着P2P 系统的流行,其用户也越来越多。在P2P 系统环境下,方便的共享和快速的选路机制,为某些网络病毒提供了更多的入侵机会。P2P 是一种网络模型,又称对等网。在这种模型中,所有节点都是对等的( 称为对等点) ,各节点具有相同的责任和能力,并协同完成任务。对等点之间直接互连,共享信息资源、处理器资源、存储资源甚至高速缓存资源,且无须依赖集中式服务器或资源就可完成。这种模式与当今广泛使用的C/S 模式形成鲜明的对比:在C/S 模式中,服务器是网络的控制核心,而P2P 模式的节点则具有很高的自治性和随意性。随着Napster、Genutella等信息共享应用程序越来越流行,P2P 技术更受人们的广泛关注。
1 网络蠕虫
1.1 网络蠕虫的定义
网络蠕虫是一种智能化、自动化,综合网络攻击、密码学和计算机病毒技术,无须计算机使用者干预即可运行的攻击程序或代码,它会扫描和攻击网络上存在系统漏洞的节点主机,通过局域网或者国际互联网从一个节点传播到另外一个节点。
蠕虫病毒和一般的计算机病毒有着很大的区别,对于它,现在还没有一个成套的理论体系,但是一般认为:蠕虫病毒是一种通过网络传播的恶性病毒,它除具有病毒的一些共性外,同时具有自己的一些特征,如不利用文件寄生(有的只存在于内存中),对网络造成拒绝服务,以及与黑客技术相结合等等。蠕虫病毒主要的破坏方式是大量的复制自身,然后在网络中传播,严重的占用有限的网络资源,最终引起整个网络的瘫痪,使用户不能通过网络进行正常的工作。每一次蠕虫病毒的爆发都会给全球经济造成巨大损失,因此它的危害性是十分巨大的;有一些蠕虫病毒还具有更改用户文件、将用户文件自动当附件转发的功能,更是严重的危害到用户的系统安全。
1.2 传播方式
网络蠕虫通过局域网、国际互联网或者电子邮件从一个节点传播到另外一个节点。以下是通用蠕虫算法的描述:
While ()
{h=GetTarget();
checkConnect(h);
if h can’t connectthencontinue;
Exploit e= checkVULN(h);
If h have not vulnerable thencontinue;
AcquirePrivs(h,e);
If can’t acquire privilege then continue;
Infect(h);
If can’t infect then continue;
}
其主要传播方式有两种:1) 利用系统漏洞传播——蠕虫病毒利用计算机系统的设计缺陷,通过网络主动的将自己扩散出去。 2) 利用电子邮件传播——蠕虫病毒将自己隐藏在电子邮件中,随电子邮件扩散到整个网络中,这也是是个人计算机被感染的主要途径。
2 P2P 原理与蠕虫传播关系
目前流行于Internet中的蠕虫主要传播方式是随机扫描,这类蠕虫没有特定区域的易攻击目标信息,而是随机地来寻找攻击目标,并且它传播的条件必须是在整个IP 地址范围内存在一定密度的易攻击结点,同时要求用很高的速度探测不同的主机。而所谓的P2P 蠕虫就是能够优先利用P2P 通信机制传播的蠕虫,目前蠕虫呈现出随机扫描与利用P2P 机制混合传播的趋势。P2P 网络的一个主要特点是资源共享,每个节点都保存着大量的邻居节点信息。利用P2P 的共享机制,蠕虫只需要感染其中的一个节点,就可以通过结点中邻居结点的信息列表迅速探测新的易攻击结点,整个过程重复迭代,蠕虫迅速蔓延整个网络。总结起来这类蠕虫有3 个主要的特点:1) 传播速度极快;2) 传播成功率很高;3) 攻击不易被察觉。由于P2P 网络拓扑结构的特点,为P2P 蠕虫准确地寻找易攻击节点提供了捷径,因此其攻击不具有网络异常性。
由于P2P 网络中逻辑相邻的节点,地理位置可能相隔很远,且参与P2P 网络的节点数量又非常之大,所以通过P2P 系统来传播的蠕虫,波及范围更大,覆盖面更广,因此造成的损失会很大。在P2P 网络中,每个节点防御病毒的能力是不同的。只要有一个节点感染病毒,就可能通过内部共享和通信机制将病毒扩散到附近的邻居节点。在短时间内可以造成网络拥塞甚至瘫痪,共享信息丢失,机密信息失窃,甚至通过网络病毒可以完全控制整个网络。
3 P2P 蠕虫的防治策略
防御者的总的目标是包括最小化蠕虫的检测时间,蠕虫区域隔离,软件补丁和蠕虫扫除。主要考虑以下两个目标:
1) 蠕虫攻击检测:假如我们能从P2P 主机P1部分收集数据作为联合检测来估计蠕虫攻击的传播。检测列表中的所有主机能自己组织一个覆盖网络来有效的共享防御信息。当传染主机攻击P2P 系统进行扫描时,它将攻击具有P1部分的可能性的检测装置。如果蠕虫产生S 个扫描,传染主机试图去扫描它的邻居。当检测列表中的一台主机检测到蠕虫时,它将通报检测列表中的其他节点并引发蠕虫检测。
2) 提高防御效率。模拟主动蠕虫传播的目标之一是为了检测它。因此介绍一个简单而且实用的传感检测系统,并将模型应用于性能的评估。执行以下两个步骤:(i) 当系统检测到蠕虫攻击时,隔离区将被构造。这样,两种类型的区域就产生了:一个是传染区域,在这个区域里,蠕虫不断的繁殖传播;另一个是无传染区域,即这个区域里无蠕虫传播。这时这两类区域间的所有连接将被关闭,并且无传染区的主机开始安装蠕虫补丁。( ii)当无传染区的所有主机都安装好蠕虫补丁后,并采用了有效的P2P 布局,我们就能提高防御性能。这样,检测列表中所有主机组织一个有效的P2P布局并将软件补丁分布到传染区域并且修复系统。
参考文献:
[1] 卿斯汉,流文清,流海峰.操作系统安全导论[M].北京:科学出版社,2003。
[2] 郝向东,王开云,张春瑞,等.大规模P2P网络下蠕虫攻击的研究[J].微计算机信息,2006,22(8),245-247.
[3] Hethcote H W. The Mathematics of Infectious Diseases[J]. SIAM Review, 2000, 42(4):599-653.
[4] Yu W,Boyer C,Xuan D.Analyzing Impacts of Peer-to-Peer Systems on Propagation of Active Worm attacks[R]. Computer Science Dept.,Texas A
关键词:蠕虫;P2P系统
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2009)05-1066-02
Research on Propagation of Worms in P2P Networks
QUAN Feng-shu
(Chenzhou City, Hunan Province Supply and Marketing School,Chenzhou 423000,China)
Abstract: The P2P-based worm is a kind of malicious code that takes advantage of P2P system to propagate. Because hosts in P2P system maintain a lot of neighbors list, infected hosts in P2P systems can easily propagate the worms to its neighbors. It can spread with high speed, which would lead to network congestion. This paper addresses the issue by analyzing the theory of P2P worm’s propagationit studies the measure of defense based on the propagating model.
Key words:worms; Peer-to-Peer (P2P) system
近年来,随着P2P 系统的流行,其用户也越来越多。在P2P 系统环境下,方便的共享和快速的选路机制,为某些网络病毒提供了更多的入侵机会。P2P 是一种网络模型,又称对等网。在这种模型中,所有节点都是对等的( 称为对等点) ,各节点具有相同的责任和能力,并协同完成任务。对等点之间直接互连,共享信息资源、处理器资源、存储资源甚至高速缓存资源,且无须依赖集中式服务器或资源就可完成。这种模式与当今广泛使用的C/S 模式形成鲜明的对比:在C/S 模式中,服务器是网络的控制核心,而P2P 模式的节点则具有很高的自治性和随意性。随着Napster、Genutella等信息共享应用程序越来越流行,P2P 技术更受人们的广泛关注。
1 网络蠕虫
1.1 网络蠕虫的定义
网络蠕虫是一种智能化、自动化,综合网络攻击、密码学和计算机病毒技术,无须计算机使用者干预即可运行的攻击程序或代码,它会扫描和攻击网络上存在系统漏洞的节点主机,通过局域网或者国际互联网从一个节点传播到另外一个节点。
蠕虫病毒和一般的计算机病毒有着很大的区别,对于它,现在还没有一个成套的理论体系,但是一般认为:蠕虫病毒是一种通过网络传播的恶性病毒,它除具有病毒的一些共性外,同时具有自己的一些特征,如不利用文件寄生(有的只存在于内存中),对网络造成拒绝服务,以及与黑客技术相结合等等。蠕虫病毒主要的破坏方式是大量的复制自身,然后在网络中传播,严重的占用有限的网络资源,最终引起整个网络的瘫痪,使用户不能通过网络进行正常的工作。每一次蠕虫病毒的爆发都会给全球经济造成巨大损失,因此它的危害性是十分巨大的;有一些蠕虫病毒还具有更改用户文件、将用户文件自动当附件转发的功能,更是严重的危害到用户的系统安全。
1.2 传播方式
网络蠕虫通过局域网、国际互联网或者电子邮件从一个节点传播到另外一个节点。以下是通用蠕虫算法的描述:
While ()
{h=GetTarget();
checkConnect(h);
if h can’t connectthencontinue;
Exploit e= checkVULN(h);
If h have not vulnerable thencontinue;
AcquirePrivs(h,e);
If can’t acquire privilege then continue;
Infect(h);
If can’t infect then continue;
}
其主要传播方式有两种:1) 利用系统漏洞传播——蠕虫病毒利用计算机系统的设计缺陷,通过网络主动的将自己扩散出去。 2) 利用电子邮件传播——蠕虫病毒将自己隐藏在电子邮件中,随电子邮件扩散到整个网络中,这也是是个人计算机被感染的主要途径。
2 P2P 原理与蠕虫传播关系
目前流行于Internet中的蠕虫主要传播方式是随机扫描,这类蠕虫没有特定区域的易攻击目标信息,而是随机地来寻找攻击目标,并且它传播的条件必须是在整个IP 地址范围内存在一定密度的易攻击结点,同时要求用很高的速度探测不同的主机。而所谓的P2P 蠕虫就是能够优先利用P2P 通信机制传播的蠕虫,目前蠕虫呈现出随机扫描与利用P2P 机制混合传播的趋势。P2P 网络的一个主要特点是资源共享,每个节点都保存着大量的邻居节点信息。利用P2P 的共享机制,蠕虫只需要感染其中的一个节点,就可以通过结点中邻居结点的信息列表迅速探测新的易攻击结点,整个过程重复迭代,蠕虫迅速蔓延整个网络。总结起来这类蠕虫有3 个主要的特点:1) 传播速度极快;2) 传播成功率很高;3) 攻击不易被察觉。由于P2P 网络拓扑结构的特点,为P2P 蠕虫准确地寻找易攻击节点提供了捷径,因此其攻击不具有网络异常性。
由于P2P 网络中逻辑相邻的节点,地理位置可能相隔很远,且参与P2P 网络的节点数量又非常之大,所以通过P2P 系统来传播的蠕虫,波及范围更大,覆盖面更广,因此造成的损失会很大。在P2P 网络中,每个节点防御病毒的能力是不同的。只要有一个节点感染病毒,就可能通过内部共享和通信机制将病毒扩散到附近的邻居节点。在短时间内可以造成网络拥塞甚至瘫痪,共享信息丢失,机密信息失窃,甚至通过网络病毒可以完全控制整个网络。
3 P2P 蠕虫的防治策略
防御者的总的目标是包括最小化蠕虫的检测时间,蠕虫区域隔离,软件补丁和蠕虫扫除。主要考虑以下两个目标:
1) 蠕虫攻击检测:假如我们能从P2P 主机P1部分收集数据作为联合检测来估计蠕虫攻击的传播。检测列表中的所有主机能自己组织一个覆盖网络来有效的共享防御信息。当传染主机攻击P2P 系统进行扫描时,它将攻击具有P1部分的可能性的检测装置。如果蠕虫产生S 个扫描,传染主机试图去扫描它的邻居。当检测列表中的一台主机检测到蠕虫时,它将通报检测列表中的其他节点并引发蠕虫检测。
2) 提高防御效率。模拟主动蠕虫传播的目标之一是为了检测它。因此介绍一个简单而且实用的传感检测系统,并将模型应用于性能的评估。执行以下两个步骤:(i) 当系统检测到蠕虫攻击时,隔离区将被构造。这样,两种类型的区域就产生了:一个是传染区域,在这个区域里,蠕虫不断的繁殖传播;另一个是无传染区域,即这个区域里无蠕虫传播。这时这两类区域间的所有连接将被关闭,并且无传染区的主机开始安装蠕虫补丁。( ii)当无传染区的所有主机都安装好蠕虫补丁后,并采用了有效的P2P 布局,我们就能提高防御性能。这样,检测列表中所有主机组织一个有效的P2P布局并将软件补丁分布到传染区域并且修复系统。
参考文献:
[1] 卿斯汉,流文清,流海峰.操作系统安全导论[M].北京:科学出版社,2003。
[2] 郝向东,王开云,张春瑞,等.大规模P2P网络下蠕虫攻击的研究[J].微计算机信息,2006,22(8),245-247.
[3] Hethcote H W. The Mathematics of Infectious Diseases[J]. SIAM Review, 2000, 42(4):599-653.
[4] Yu W,Boyer C,Xuan D.Analyzing Impacts of Peer-to-Peer Systems on Propagation of Active Worm attacks[R]. Computer Science Dept.,Texas A