基于近鄰關(guān)系特征的多態(tài)蠕蟲防御方法

汪潔，王建新，劉緒崇

（1. 中南大學(xué) 信息科學(xué)與工程學(xué)院，湖南 長沙410083；

2. 湖南省公安廳 網(wǎng)絡(luò)安全保衛(wèi)與技術(shù)偵察總隊，湖南 長沙 410001）

1 引言

近年來，蠕蟲給全世界成千上萬的系統(tǒng)造成了越來越大的危害。蠕蟲是一個自動運(yùn)行的程序，它攻擊連入網(wǎng)絡(luò)的計算機(jī)從而獲得對它們的控制。一旦蠕蟲已經(jīng)成功地感染一臺計算機(jī)，它們就將通過這臺計算機(jī)持續(xù)地搜索新的受害者，然后自動的傳播到整個網(wǎng)絡(luò)。因此，網(wǎng)絡(luò)蠕蟲成為研究人員的重要課題[1]。

目前針對蠕蟲的檢測和防御方法主要包括引入良性蠕蟲進(jìn)行防御、基于異常的檢測和基于特征的檢測。其中，建模良性蠕蟲的方法包括：文獻(xiàn)[2]首次嘗試研究良性蠕蟲的引入是如何影響蠕蟲的擴(kuò)散過程的，并使用常微分方程建立了一個 SIAR模型來描述蠕蟲和良性蠕蟲的交互過程；在文獻(xiàn)[3]中提出了良性蠕蟲基于網(wǎng)絡(luò)拓?fù)湫畔⒌臄U(kuò)散技術(shù)，并重點(diǎn)研究了基于平衡樹的良性蠕蟲擴(kuò)散算法、平衡樹的動態(tài)生成規(guī)則和穩(wěn)定性增強(qiáng)策略。

基于異常的檢測方法包括：在文獻(xiàn)[4]中提出的基于網(wǎng)狀關(guān)聯(lián)分析預(yù)警網(wǎng)絡(luò)蠕蟲的新方法，該方法采用分布式體系結(jié)構(gòu)，利用網(wǎng)絡(luò)環(huán)境中各探測點(diǎn)提供的信息和數(shù)據(jù)，采用數(shù)據(jù)挖掘和異常檢測的方法，通過對各探測點(diǎn)之間的數(shù)據(jù)作關(guān)聯(lián)分析，實(shí)現(xiàn)大規(guī)模網(wǎng)絡(luò)環(huán)境下的網(wǎng)絡(luò)蠕蟲預(yù)警；文獻(xiàn)[5]提出了一種自適應(yīng)的蠕蟲檢測和遏制方法，該方法利用連接的頻繁性和目標(biāo)端口的相似性作為檢測的依據(jù)；文獻(xiàn)[6]提出了使用本地網(wǎng)絡(luò)協(xié)同檢測蠕蟲的方法CWDMLN等，該方法利用蠕蟲的花瓣通信模式、無效鏈接以及在本地網(wǎng)絡(luò)中部署蜜罐等檢測手段，協(xié)同給出蠕蟲入侵的預(yù)警信息。文獻(xiàn)[7]提出了一種對蠕蟲進(jìn)行早期發(fā)現(xiàn)的新方法，并且實(shí)現(xiàn)了一個基于用戶習(xí)慣的蠕蟲早期發(fā)現(xiàn)系統(tǒng)。

本文主要考慮蠕蟲的檢測問題，以上檢測方法可以比較好地檢測網(wǎng)絡(luò)蠕蟲，然而當(dāng)面對慢掃描蠕蟲時，它們還需要進(jìn)行優(yōu)化[8]。目前大部分基于異常的蠕蟲檢測系統(tǒng)主要查找具體的攻擊特性，只能用來檢測已知蠕蟲，但是無法檢測新的蠕蟲樣本[9]。所以目前大部分的蠕蟲檢測系統(tǒng)都是基于特征的?；谔卣鞯娜湎x檢測系統(tǒng)能夠在線的實(shí)時檢測，并且較為簡單，所以優(yōu)于基于異常的蠕蟲檢測系統(tǒng)。

基于特征的蠕蟲檢測系統(tǒng)均需要首先提取蠕蟲特征，然后基于提取的特征對蠕蟲進(jìn)行檢測。因此，該類多態(tài)蠕蟲防御系統(tǒng)的有效性取決于它們的特征正確檢測蠕蟲的能力。

隨著多態(tài)和變形技術(shù)的出現(xiàn)，蠕蟲可以在傳播過程中改變其形態(tài)，同一類蠕蟲的不同實(shí)例可能具有不同的形態(tài)，被偽裝過的蠕蟲負(fù)載可以逃避基于特征和基于異常的入侵檢測系統(tǒng)的檢測。蠕蟲技術(shù)復(fù)雜性的日益增加給蠕蟲的檢測和防御提出了更高的要求。

目前，自動提取多態(tài)蠕蟲特征的方法主要包括以下2類。

1) 基于字符串匹配的特征提取方法。

該類特征自動提取方法中，較為簡單的是基于最大公共子串（LCS）的特征提取，如M. Cai 等人設(shè)計的WormShield[10]系統(tǒng)、G. Portokalidis等人設(shè)計的 SweetBait[11]系統(tǒng)和 S.Ranjan 等人設(shè)計的DoWicher[12]系統(tǒng)等。這些系統(tǒng)都是提取蠕蟲序列的最大公共子串作為蠕蟲的特征。然而，這樣的特征無法檢測多態(tài)蠕蟲，例如，當(dāng)多態(tài)蠕蟲的樣本中增加了花指令時，此類特征無法再檢測出該變形后的樣本。

在基于字符串匹配的方法中較為復(fù)雜且有影響力的主要包括J. Newsome等人設(shè)計的 Polygraph[13]系統(tǒng)、Zhichun Li等人設(shè)計的 Hamsa[14]系統(tǒng)，Lorenzo Cavallaro等人設(shè)計的特征自動產(chǎn)生器LISABETH[15]以及Burak Bayogle等人提出的元組對（稱為Token-Pair）特征[16]和唐勇[17]等人提出的基于多序列聯(lián)配的攻擊特征自動提取方法等。這些方法有一個共同的特點(diǎn)，就是把攻擊流中某些具體的字節(jié)序列作為攻擊特征。

Polygraph[13]系統(tǒng)首先從可疑流量池中提取許多元組（稱為token），這里的元組（token）是指在可疑池n個序列樣本中出現(xiàn)至少K次的獨(dú)立子序列串。在此基礎(chǔ)上，Polygraph產(chǎn)生以下3類特征：聯(lián)合特征、元組（token）子序列特征和貝葉斯特征。聯(lián)合特征是將提取的所有元組（token）的集合作為特征。元組（token）子序列特征與聯(lián)合特征的區(qū)別是特征集合中的元組（token）是有順序的，該順序是指元組（token）在可疑池序列中出現(xiàn)的次序。貝葉斯特征是為每個提取的元組（token）加上一個權(quán)值，加了權(quán)值后的元組（token）集合作為蠕蟲特征。Hamsa[14]系統(tǒng)是在 Polygraph的基礎(chǔ)上將元組（token）出現(xiàn)的次數(shù)作為了特征的一部分。通過得分函數(shù)score(COVs，F(xiàn)Ps)來確定元組（token）的集合作為特征，對多態(tài)蠕蟲進(jìn)行檢測。LISABETH[15]與 Hamsa的不同是特征集合包含了所有出現(xiàn)在可疑池中的元組（token）。Burak Bayogle等人提出的元組對（token-pair）特征[16]把可疑池中成對出現(xiàn)的元組（token）作為特征的一個部分。唐勇[17]等人提出了基于多序列聯(lián)配的攻擊特征自動提取方法。該方法包括獎勵相鄰匹配的全局聯(lián)配（CMENW,contiguous matches encouraging needleman-wunsch）算法和層次式多序列聯(lián)配（HMSA, hierarchical multi-sequence alignment）算法。CMENW 算法和HMSA算法都是建立在攻擊序列中包含固定不變的子序列基礎(chǔ)上的，它們不適合多態(tài)蠕蟲的特征提取。以上所提出的蠕蟲特征都依賴于蠕蟲公共元組（token）本身。這樣的特征對于普通的蠕蟲有效，然而當(dāng)蠕蟲的形態(tài)發(fā)生變化后，如果某些公共子序列串發(fā)生了改變，例如蠕蟲中有部分代碼被加密，則此類特征就無法再進(jìn)行有效地檢測。而加密是多態(tài)技術(shù)中最常用的技術(shù)之一[18]。

2) 基于字節(jié)出現(xiàn)頻率的特征提取方法。

Y. Tang[9]等提出的基于有位置意識分布特征（PADS, position-aware distribution signature）的蠕蟲防御方法。PADS特征的每一個位置都是一個字節(jié)分布頻率函數(shù) fp(b)，該函數(shù)是字節(jié)b在特征位置p出現(xiàn)的概率， b ∈ [ 0,255]，。如果特征的長度為W，則 ( f1,f2,… , fw)就是蠕蟲的PADS特征。PADS特征架起了傳統(tǒng)特征和基于異常入侵檢測系統(tǒng)之間的橋梁。然而，PADS特征仍然是建立在蠕蟲負(fù)載本身的基礎(chǔ)上，而蠕蟲采用多態(tài)技術(shù)后，其形態(tài)發(fā)生變化，即負(fù)載的內(nèi)容發(fā)生變化，與字節(jié)本身相關(guān)的特征將無法檢測變形后的蠕蟲。例如，當(dāng)可疑池中并沒有包含一類多態(tài)蠕蟲的所有變形樣本時，提取出來的字節(jié)分布頻率函數(shù) fp(b)是不正確的，無法檢測可疑池中未包含的蠕蟲樣本。

以上2類蠕蟲特征都是建立在蠕蟲負(fù)載本身的基礎(chǔ)之上，它們能夠有效的檢測普通的網(wǎng)絡(luò)蠕蟲。然而，它們在檢測多態(tài)蠕蟲時將會遇到困難。多態(tài)蠕蟲將是下一代網(wǎng)絡(luò)蠕蟲[19]。它采用了多態(tài)和變形技術(shù)，使得蠕蟲在傳播過程當(dāng)中改變其形態(tài)，有時某些隱秘的蠕蟲可以做到數(shù)月之內(nèi)不被人們注意到[18]。因此如何提取能成功檢測多態(tài)蠕蟲的特征成為了一個重要的研究問題。

目前的多態(tài)蠕蟲技術(shù)主要包括以下幾類。1）花指令插入，就是在蠕蟲代碼之間加入一些似乎沒有什么意義的代碼，這些代碼不會妨礙程序正常的運(yùn)行?；ㄖ噶畹牟迦氩]有改變?nèi)湎x代碼內(nèi)部字符之間的關(guān)系。2）簡單加密技術(shù)，是指對蠕蟲的某些主體代碼采用固定的密鑰進(jìn)行加密，加密時一般采用XOR、OR、SUB、ADD等一些簡單的變化。簡單的加密雖然使得蠕蟲代碼字符發(fā)生了變化，但是依然保持了代碼字節(jié)之間的關(guān)系。3）動態(tài)密鑰加密技術(shù)。蠕蟲在每次傳播時，使用不同的密鑰對解密后的蠕蟲代碼進(jìn)行加密，從而會得到不同的加密代碼。雖然加密的密鑰不一樣，但是還是采用的簡單加密算法，所以蠕蟲新的代碼樣本雖然字節(jié)發(fā)生了改變，但是依然能夠保持蠕蟲內(nèi)部代碼字節(jié)之間的關(guān)系。4）改變原始代碼的加密技術(shù)。這是多態(tài)技術(shù)的最高形態(tài)。每次病毒變種時，原始病毒代碼發(fā)生變化，然后再對改變后的代碼進(jìn)行加密。目前這類技術(shù)很少使用在蠕蟲代碼中，而且由于受到負(fù)載長度的限制，蠕蟲只能具有有限的變種。所以我們?nèi)菀撰@得采用這種技術(shù)的所有變種代碼。

由上所述，除第4種加密技術(shù)外，其他技術(shù)雖然改變了負(fù)載內(nèi)容，但是由于所有字節(jié)的變化規(guī)律是相同的，所以字節(jié)之間的相鄰關(guān)系仍然沒有發(fā)生變化；有的通過一定針對性的技巧，也可以把它還原到固定相鄰關(guān)系的狀態(tài)上來。

本文結(jié)合多態(tài)蠕蟲的特點(diǎn)，提出基于近鄰關(guān)系的特征NRS來進(jìn)行蠕蟲檢測。NRS是相鄰字節(jié)距離頻率分布函數(shù)的集合。與簡單的基于字節(jié)頻率分布的 PADS(position-aware distribution)特征相比，NRS更加靈活。根據(jù)相鄰字節(jié)間的距離，本文提出1-近鄰特征1-NRS，2-近鄰特征2-NRS和(1,2)-近鄰特征(1,2)-NRS。在此基礎(chǔ)上，進(jìn)一步提出NRSGA特征產(chǎn)生算法。最后，本文將采用 Blaster蠕蟲和SQL Slammer蠕蟲作為測試樣本來驗證NRS檢測多態(tài)蠕蟲的有效性。

本文第2節(jié)提出基于近鄰關(guān)系的特征，并對特征與蠕蟲序列的匹配方式進(jìn)行了詳細(xì)的介紹；第 3節(jié)闡述基于近鄰關(guān)系特征的產(chǎn)生算法；第4節(jié)給出了實(shí)驗結(jié)果，并進(jìn)行了分析和討論，驗證了本文提出的特征及其產(chǎn)生算法的正確性和有效性；第5節(jié)是結(jié)束語。

2 基于近鄰關(guān)系的特征NRS

目前已有的基于特征的蠕蟲檢測方法大部分都是直接針對蠕蟲負(fù)載字節(jié)或者子序列串來進(jìn)行的，由于多態(tài)蠕蟲的負(fù)載內(nèi)容是經(jīng)常發(fā)生變化的，所以這些方法無法有效地檢測多態(tài)蠕蟲。因此，本文結(jié)合多態(tài)蠕蟲的特點(diǎn)，著重考慮負(fù)載字節(jié)以及子序列串之間的關(guān)系，設(shè)計了基于近鄰關(guān)系的蠕蟲特征NRS。

定義1（近鄰）給定一個序列 Sj=c1c2…cm，ci為序列的第i個字節(jié)。稱 ci+1為 ci的1-近鄰，ci+2為ci的2-近鄰。 cm無1-近鄰， cm-1無2-近鄰。

定義2（近鄰距離）給定一個序列 Sj=c1c2…cm，ci和 ci+1的字節(jié)距離為。為了下文描述方便， di,i+1也稱為序列S中位置i的1-近鄰距離。 ci和 ci+2的字節(jié)距離為(i=1,…,m-2)，即di,i+2為序列S中位置i的2-近鄰距離。

每一類蠕蟲序列中至少會有一個重要的區(qū)域來完成蠕蟲的功能[9]，采用重要區(qū)域字節(jié)的近鄰距離出現(xiàn)的頻率作為該類蠕蟲的特征。

2.1 NRS的定義

設(shè)序列集合 S= { S1, S2,…,Sn}是一類蠕蟲序列。假設(shè)已知該類蠕蟲重要區(qū)域的長度為w，集合S中每條蠕蟲序列重要區(qū)域的起始位置分別為a1, a2,…,an。接下來我們描述如何計算NRS。

1) 1-近鄰關(guān)系特征1-NRS。

給定一個值 p (p=1,2,…,w-1)，序列Si中位置1-近鄰距離分布函數(shù)

本文定義 (f11,f21, …,fw1-1)為該 n條序列的1-NRS，特征長度為w-1。表1是從100條Blaster蠕蟲序列中提取的1-NRS的例子，其中特征長度為9。

在表1中p表示特征的第幾位，d表示字節(jié)距離。例如，當(dāng)p=1、d=3時，表中的數(shù)據(jù)0.020 197 8表示蠕蟲的重要區(qū)域位置1的1-近鄰距離為3的頻率。

表1 1-NRS特征實(shí)例

2) 近鄰關(guān)系特征2-NRS。

給定一個值 p (p = 1,2,… ,w -2)，序列Si中位置條序列中，第1條序列位置 a1+ p，第2條序列位置 a2+ p，…，第n條序列位置 an+ p的2-近鄰距離為d的個數(shù)。

定義2-近鄰距離分布函數(shù)

其中，

本文定義 (f12,f22, …,fw2-2)為該 n條序列的2-NRS，特征長度為w-2。

2.2 匹配過程

則序列 Si相對于2-NRS的最終匹配得分為

然而，由于單獨(dú)使用1-近鄰特征或者單獨(dú)使用2-近鄰特征仍然可能出現(xiàn)漏報的可能性，為了減小這種可能性，設(shè)計了 (1,2)-近鄰特征來對蠕蟲進(jìn)行檢測。該特征建立在1-近鄰關(guān)系和2-近鄰關(guān)系的基礎(chǔ)上。

定義(1,2)-NRS為 ((f11,f21,…, fw1-1) ,( f12, f22,…,f2))。子序列串 K相對于(1,2)-NRS的匹配得w - 2 (Si , ai )分為

則序列 Si相對于(1,2)- NRS特征的最終匹配得分為

當(dāng)序列的匹配得分Θ＞0時，認(rèn)為序列Si為與該特征相對應(yīng)的蠕蟲序列。該匹配得分所對應(yīng)的長度為w的子序列串被認(rèn)為是序列 Si的重要區(qū)域。

3 特征產(chǎn)生算法

如前所述，若已知n條序列的重要區(qū)域，可以計算出該蠕蟲的1-NRS，2-NRS和(1,2)-NRS。反之，若已知某蠕蟲的近鄰關(guān)系特征，也可以計算出序列的重要區(qū)域。但是，在實(shí)際中，蠕蟲的 NRS和它的重要區(qū)域都是未知的。所以，本文提出NRSGA(NRS generating algorithm)算法來計算蠕蟲的重要區(qū)域以及提取蠕蟲的近鄰關(guān)系特征。

首先，隨機(jī)選取蠕蟲樣本 S1, S2,…,Sn重要區(qū)域的開始位置 a1, a2,…,an，重要區(qū)域的長度設(shè)置為w。然后，在確定蠕蟲序列重要區(qū)域與計算NRS 2個步驟之間進(jìn)行迭代，從而產(chǎn)生最終的NRS。目前這樣的迭代過程有很多方法來完成，其中應(yīng)用的較為廣泛的有(EM, expectation-maximization)[20]算法和Gibbs采樣算法[20]2類。因此，NRSGA分別采用了以上2種算法來完成迭代過程，處理過程如下。

1）EM 算法：根據(jù)初始選擇的重要區(qū)域的位置，按照式(1)和式(2)計算出近鄰距離分布函數(shù)fp1(d)和 fp2(d)，從而得到NRS。在計算出NRS后，反過來采用NRS與每一條序列Si進(jìn)行匹配，根據(jù)式(3)～式(5)，匹配得分最高的子序列作為序列 Si的重要區(qū)域，從而更新每一條序列重要區(qū)域的起始位置 ai。最后，算法進(jìn)行迭代，根據(jù)重要區(qū)域的開始位置 a1, a2,…,an重新計算NRS。

2) Gibbs采樣算法：首先，取出序列 S1，對剩下的 n - 1條序列根據(jù)重要區(qū)域的位置和式(1)、式(2)計算出近鄰距離分布函數(shù) fp1(d)和 fp2(d)，從而得到NRS。在計算出NRS后，用NRS與序列 S1進(jìn)行匹配，匹配得分最高的子序列作為序列 S1的重要區(qū)域，并更新序列 S1重要區(qū)域的起始位置 a1。然后取出序列 S2，對剩下的 n -1條序列提取特征，并重復(fù)以上過程。當(dāng)取到 Sn之后，算法如果還沒有終止，則重新取出 S1進(jìn)行計算。

如果特征與蠕蟲序列的平均匹配得分與前t次迭代所計算的匹配得分的平均值相差小于常數(shù)ε，則 NRSGA算法終止。NRSGA算法的描述如圖 1所示。

圖1 NRSGA算法

4 實(shí)驗

實(shí)驗采用Blaster蠕蟲、SQL Slammer蠕蟲作為測試用例。Blaster蠕蟲利用Windows RPC DCOM漏洞進(jìn)行傳播。當(dāng)攻擊成功執(zhí)行之后，Blaster蠕蟲將獲得被感染系統(tǒng)中的文件msblast.exe的副本[21]。SQL Slammer蠕蟲是利用微軟公司SQL Server的一個漏洞進(jìn)行緩沖區(qū)溢出攻擊。實(shí)驗中，采用指令替代、花指令插入和加密等多態(tài)技術(shù)人工產(chǎn)生了Blaster蠕蟲樣本和SQL Slammer蠕蟲樣本。

4.1 特征產(chǎn)生算法的收斂性

分別產(chǎn)生了100條Blaster蠕蟲樣本序列和100條SQL Slammer蠕蟲樣本序列。應(yīng)用NRSGA算法來計算2類蠕蟲的1-NRS、2-NRS和(1,2)-NRS特征，其中，EM算法和Gibbs采樣算法分別運(yùn)行3次，每次隨機(jī)選取100條序列的重要區(qū)域的起始位置。重要區(qū)域的長度設(shè)置為10w=。算法運(yùn)行結(jié)果如圖2和圖3所示。

圖2和圖3中橫軸x表示算法運(yùn)行的時間，縱軸y表示100條蠕蟲序列與所求特征的平均匹配得分。圖2(a)、圖2(b)和圖2(c)分別表示EM算法和Gibbs算法提取 Blaster蠕蟲 1-NRS、2-NRS和(1,2)-NRS的過程。圖3(a)、圖3(b)和圖3(c)分別表示EM算法和Gibbs算法提取SQL Slammer蠕蟲1-NRS、2-NRS和(1,2)-NRS的過程。從圖2和圖3可以看出，EM算法的收斂時間比Gibbs采樣算法的收斂時間快。如圖2(a)所示，EM算法在2s內(nèi)所計算出的平均匹配得分就趨于穩(wěn)定了，Gibbs采樣算法需要超過 5s的時間才能使求出的平均匹配得分趨于穩(wěn)定。這是因為Gibbs算法需要花費(fèi)更多的時間才能使得所求的特征穩(wěn)定。然而，EM 所求得的平均匹配得分小于Gibbs采樣算法所求得的平均匹配得分。這主要是因為EM容易陷入局部最小化，而與EM算法相比，Gibbs采樣算法能夠獲得較優(yōu)的結(jié)果。如圖2(c)所示， Gibbs采樣算法所求得的平均匹配得分最高為 5.4，這應(yīng)該是全局最大值，而EM算法所求得的匹配得分在3.1左右。比較圖3(a)、圖3(b)和圖3(c)，算法提取 (1,2)-NRS時所獲得的最終平均匹配得分最高，這是因為提取(1,2)-NRS特征時同時考慮了 1-近鄰關(guān)系和2-近鄰關(guān)系，所以求得的匹配平均分會較高。

4.2 特征長度的影響

這個實(shí)驗主要測試特征長度的選擇與平均匹配得分的關(guān)系。實(shí)驗選取100條Blaster蠕蟲樣本序列和100條SQL Slammer蠕蟲樣本序列作為特征提取的樣本序列。應(yīng)用EM算法和Gibbs采樣算法分別來計算各類蠕蟲不同長度的 1-NRS、2-NRS和(1,2)-NRS。其中特征的長度w分別取值為10,20,,100…。實(shí)驗結(jié)果如圖4所示。然后，使用10 000條Blaster蠕蟲、10 000條SQL Slammer蠕蟲序列和10 000條噪音序列對這些特征的質(zhì)量進(jìn)行測試。測試結(jié)果如圖5所示。

圖2 Blaster蠕蟲NRS特征

圖3 SQL Slammer蠕蟲NRS特征

圖4 100條蠕蟲序列與基于這些序列產(chǎn)生的特征的平均匹配得分

圖4 (a)和圖4(b)分別顯示了100條Blaster蠕蟲序列和100條SQL Slammer蠕蟲序列與基于這些序列所提取的NRS特征的平均匹配得分。從圖4可以看出，Gibbs采樣所提取的特征的平均匹配得分高于EM算法提取的特征的平均匹配得分。例如在圖4中，當(dāng)特征長度 le ngth= 1 0時，Gibbs采樣算法所提取的1-NRS的平均匹配得分為5.541，而與EM算法所提取的1-NRS的平均分為2.831。這主要因為Gibbs采樣在計算蠕蟲重要區(qū)域時，與EM算法相比能夠獲得較優(yōu)的結(jié)果，而EM算法往往陷于局部最優(yōu)。從圖4還可以看出，隨著特征長度的逐漸增加，平均匹配得分有逐漸下降的趨勢。這里的特征長度即所認(rèn)為的蠕蟲序列中重要區(qū)域的長度。蠕蟲序列中所設(shè)定的重要區(qū)域越長，則其中可能包含花指令的概率越高，每條蠕蟲序列重要區(qū)域之間的差異就越大，那么蠕蟲序列與基于這些蠕蟲序列的重要區(qū)域所計算出的特征進(jìn)行匹配時，所得到的平均匹配得分將可能越低。

圖5(a)顯示了10 000條Blaster蠕蟲序列和10 000條噪聲序列與NRS的平均匹配得分。圖5(b)顯示了10 000條SQL Slammer蠕蟲序列和10 000條噪聲序列與 NRS的平均匹配得分。這里的 NRS分別是Gibbs采樣算法從100條Blaster蠕蟲序列和100條SQL Slammer蠕蟲序列中提取出來的。從圖5中可以看出，蠕蟲序列的平均匹配得分均高于 0，而噪聲序列的平均匹配得分均低于0。所以0可以作為閾值來辨別蠕蟲序列。

圖5 10 000條蠕蟲序列和10 000條噪聲序列分別與NRS的平均匹配得分

4.3 誤報率和漏報率

因為(1,2)-NRS同時考慮了1-近鄰關(guān)系和 2-近鄰關(guān)系，優(yōu)于1-NRS和2-NRS，所以本文僅測試了(1,2)-NRS在檢測蠕蟲序列時的漏報率和誤報率，并與 PADS[9]的漏報率和誤報率進(jìn)行了比較。由前面的測試可知，在NRSGA算法中應(yīng)用Gibbs采樣算法提取特征優(yōu)于EM算法，所以本實(shí)驗應(yīng)用Gibbs采樣算法進(jìn)行特征提取。這里的誤報率是指噪聲序列被誤判為蠕蟲序列的數(shù)目與噪聲序列總數(shù)的比。漏報率是指蠕蟲序列被誤判為正常序列的數(shù)目與蠕蟲序列的總數(shù)的比。首先對100條Blaster蠕蟲序列和100條SQL Slammer蠕蟲序列分別提取(1,2)-NRS和PADS，然后用這些特征分別對10 000條蠕蟲序列和10 000條隨機(jī)序列來進(jìn)行檢測。NRSGA算法所提取的(1,2)-NRS特征和 PADS特征在檢測蠕蟲時產(chǎn)生的漏報率和誤報率的結(jié)果比較如表2和表3所示。

表2 不同類型Blaster蠕蟲特征的漏報率和誤報率

表3 不同類型SQL Slammer蠕蟲特征的漏報率和誤報率

表 2和表 3分別顯示了 Blaster蠕蟲和 SQL Slammer蠕蟲的(1,2)-NRS和PADS特征在特征長度為10,20,…,100時的漏報率和誤報率。從表2和表3可以看出在特征長度為10時，(1,2)-NRS對于蠕蟲的檢測結(jié)果比較好。隨著特征長度的增加，(1,2)-NRS的漏報率逐漸增加。在 2個表中，(1,2)-NRS特征與PADS特征的誤報率都為0，說明它們都能較好地辨別噪聲序列。然而，(1,2)-NRS特征的漏報率明顯低于 PADS特征。例如在檢測Blaster蠕蟲序列時，當(dāng)特征長度 le ngth= 2 0時，(1,2)-NRS特征的漏報率為0.042，而PADS特征的漏報率為1。這主要是因為PADS特征只考慮蠕蟲負(fù)載字節(jié)本身出現(xiàn)的頻率，所以當(dāng)蠕蟲序列中采用了加密等多態(tài)技術(shù)時，PADS特征就無法檢測出來。而(1,2)-NRS考慮了蠕蟲負(fù)載字節(jié)之間的關(guān)系，所以其漏報率低于PADS特征。

5 結(jié)束語

為了能夠有效地檢測網(wǎng)絡(luò)中的多態(tài)蠕蟲，本文提出了基于近鄰關(guān)系的多態(tài)蠕蟲防御方法。根據(jù)蠕蟲序列的近鄰關(guān)系，設(shè)計NRSGA算法提取了基于近鄰關(guān)系的 1-NRS，2-NRS和(1,2)-NRS。該組特征考慮蠕蟲負(fù)載內(nèi)部之間的關(guān)系，而不是僅僅考慮負(fù)載本身，使得產(chǎn)生的特征更靈活，在檢測多態(tài)蠕蟲時更準(zhǔn)確。本文進(jìn)行了大量的實(shí)驗對基于相鄰關(guān)系的特征進(jìn)行測試，并得出了以下結(jié)論：1) NRSGA算法能夠正確的產(chǎn)生蠕蟲特征；2) (1,2)-NRS特征由于綜合考慮了蠕蟲序列的 1-近鄰關(guān)系和 2-近鄰關(guān)系，所以優(yōu)于1-NRS特征和2-NRS特征；3) 與PADS特征相比，(1,2)-NRS特征更靈活，所產(chǎn)生的漏報率較低，更適合于對復(fù)雜多變的多態(tài)蠕蟲進(jìn)行檢測。

[1] 文偉平, 卿斯?jié)h, 蔣建春等. 網(wǎng)絡(luò)蠕蟲研究與進(jìn)展[J]. 軟件學(xué)報,2004, 15(8): 1208-1219.WENG W P, QING S H, JIANG J C, et al. Research and development of internet worms[J]. Journal of Software, 2004, 15(8): 1208-1219.

[2] 楊峰, 段海新, 李星. 網(wǎng)絡(luò)蠕蟲擴(kuò)散中蠕蟲和良性蠕蟲交互過程建模與分析[J]. 中國科學(xué) E輯 2004, 34(8): 841-856.YANG F, DUAN H X, LI X. Modeling and analyzing interaction between network worm and antiworm during the propagation process[J].Science in China Ser E, 2004, 34(8): 841-856.

[3] 王佰玲, 方濱興, 云曉春等. 基于平衡樹的良性蠕蟲擴(kuò)散策略[J].計算機(jī)研究與發(fā)展, 2006, 43(9): 1593-1602.WANG B L, FANG B X, YUN X C, et al. A new friendly worm propagation strategy based on diffusing balance tree[J]. Journal of Computer Research and Development, 2006, 43(9): 1593-1602.

[4] 卿斯?jié)h, 文偉平, 蔣建春. 一種基于網(wǎng)狀關(guān)聯(lián)分析的網(wǎng)絡(luò)蠕蟲預(yù)警新方法[J]. 通信學(xué)報, 2004, 25(7): 62-67.QING S H, WEN W P, GIANG G C. A new approach to forecasting Internet worms based on netlike association analysis[J]. Journal on Communications, 2004, 25(7): 62-67.

[5] 陳博, 方濱興, 云曉春. 分布式蠕蟲檢測和遏制方法的研究[J]. 通信學(xué)報, 2007, 28(2): 9-16.CHEN B, FANG B X, YUN X C. Approach to early detection and defense against internet worms[J]. Journal on Communications, 2007,28(2): 9-16.

[6] 張新宇, 卿斯?jié)h, 李琦. 一種基于本地網(wǎng)絡(luò)的蠕蟲協(xié)同檢測方法[J].軟件學(xué)報, 2007, 18(2): 412-421.ZHANG X Y, QING S H, LI Q. A coordinated worm detection method based on local nets[J]. Journal of Software, 2007, 18(2): 412-421.

[7] 王平, 方濱興, 云曉春等. 基于用戶習(xí)慣的蠕蟲的早期發(fā)現(xiàn)[J]. 通信學(xué)報, 2006, 27(2): 56-65.WANG P, FANG B X, YUN X C, et al. User-habit based early warning of worm[J]. Journal on Communications, 2006, 27(2): 56-65.

[8] 肖楓濤, 胡華平, 劉波. HPBR: 用于蠕蟲檢測的主機(jī)報文行為評級模型[J]. 通信學(xué)報, 2008, 29(10): 108-116.XIAO F T, HU H P, LIU B. HPBR: host packet behavior ranking model used in worm detection[J]. Journal on Communications, 2008,29(10): 108-116.

[9] TANG Y, CHEN S. An automated signature-based approach against polymorphic internet worms[J]. IEEE Transactions on Parallel and Distributed Systems, 2007, 18(7): 879-892.

[10] CAI M, HWANG K, PAN J. WormShield: fast worm signature generation with distributed fingerprint aggregation[J]. IEEE Transactions on Dependable and Secure Computing, 2007, 5(2): 88-104.

[11] PORTOKALIDIS G, BOS H. SweetBait : zero-hour worm detection and containment using low- and high-interaction honeypots[J]. Computer Networks, 2007, 51(11): 1256-1274.

[12] RANJAN S, SHAH S, NUCCI A. DoWitcher: effective worm detection and containment in the internet core[A]. IEEE Infocom[C]. Anchorage, Alaska, 2007. 2541-2545.

[13] NEWSOME J, KARP B, SONG D. Polygraph: automatically generation signatures for polymorphic worms[A]. Proceedings of 2005 IEEE Symposium on Security and Privacy Symposium[C]. Oakland, California, 2005. 226-241.

[14] LI Z, SANGHI M, CHEN Y. Hamsa: fast signature generation for zero-day polymorphic worms with provable attack resilience[A]. Proceedings of IEEE Symposium on Security and Privacy[C]. Washington,DC, 2006. 32-47.

[15] CAVALLARO L, LANZI A, MAYER L. LISABETH: automated content-based signature generator for zero-day polymorphic worms[A].Proceedings of the fourth international workshop on Software engineering for secure systems[C]. Leipzig, Germany, 2008. 41-48.

[16] BAYOGLU B, SOGUKPINAR L. Polymorphic worm detection using token-pair signatures[A]. Proceedings of the 4th International Workshop on Security, Privacy and Trust in Pervasive and Ubiquitous Computing[C]. Sorrento, Italy, 2008. 7-12.

[17] 唐勇, 盧錫城, 胡華平. 基于多序列聯(lián)配的攻擊特征自動提取技術(shù)研究[J]. 計算機(jī)學(xué)報, 2006, 29(9): 1531-1539.TANG Y, LU X C, HU H P. Automatic generation of attack signatures based on multi-sequence alignment[J]. Chinese Journal of Computers,2006, 29(9): 1531-1539.

[18] STEPHENSON B, SIKDAR B. A Quasi-species approach for modeling the dynamics of polymorphic worm[A]. IEEE Infocom[C]. Barcelona, Catalunya, 2006. 1-12.

[19] SZOR. P. The Art of Computer Virus Research and Defense[M]. Symantec Press Publisher, 2005.

[20] BISHOP.CHRISTOPHER M. Pattern Recognition and Machine Learning[M]. Information Science and Statistics, 2006.

[21] CERT advisory CA-2003-20: W32/blaster worm computer emergency response team[EB/OL] http://www.cert.org/advisories/CA- 2003-20.html, 2003.