技術(shù)領(lǐng)域

本發(fā)明涉及網(wǎng)絡(luò)安全領(lǐng)域，更具體的說，涉及網(wǎng)絡(luò)蠕蟲的清除與遏制技術(shù)。

背景技術(shù)

目前開放自由的Internet所帶來的復雜的安全狀況，使得蠕蟲仍然危害著Internet，網(wǎng)絡(luò)蠕蟲之所以難于控制主要是由于Internet本質(zhì)上是一個開放的復雜巨系統(tǒng)，其結(jié)構(gòu)復雜，缺乏中心控制能力以及其開放性的特征導致存在大量網(wǎng)管層面上的不可控節(jié)點。這些不可控節(jié)點往往缺乏相應的安全防護措施或長期無人管理，一旦感染蠕蟲，蠕蟲就會長期滯留在被感染節(jié)點中，并作為攻擊源對Internet始終構(gòu)成威脅。因此如何管理、維護那些無序、不可控的網(wǎng)絡(luò)節(jié)點是控制惡性蠕蟲擴散、有效降低蠕蟲疫情的關(guān)鍵。

目前，網(wǎng)絡(luò)蠕蟲對互聯(lián)網(wǎng)絡(luò)的危害極大，網(wǎng)絡(luò)蠕蟲爆發(fā)后，會對網(wǎng)絡(luò)基礎(chǔ)設(shè)施造成巨大的沖擊。因此亟需提出一種新的蠕蟲對抗體系。新的對抗體系必須能夠克服傳統(tǒng)對抗技術(shù)的弱點，提高對新蠕蟲的響應速度，及時的遏制傳染源的擴散，清除網(wǎng)絡(luò)上那些不可控的節(jié)點的蠕蟲和漏洞，達到徹底清除蠕蟲的目標。

發(fā)明內(nèi)容

本發(fā)明的目的是為了提高對新蠕蟲的響應速度，及時的遏制傳染源的擴散，清除網(wǎng)絡(luò)上那些不可控的節(jié)點的蠕蟲和漏洞，徹底清除蠕蟲；進而提供了一種基于檢測驅(qū)動的網(wǎng)絡(luò)蠕蟲主動遏制方法及對抗工具自動生成系統(tǒng)。

本發(fā)明為解決上述技術(shù)問題采取的技術(shù)方案是：

一種基于檢測驅(qū)動的網(wǎng)絡(luò)蠕蟲主動遏制方法，所述方法的具體實現(xiàn)過程為：

步驟一、在網(wǎng)絡(luò)出入口捕獲流量進行匹配：捕獲網(wǎng)絡(luò)流量與蠕蟲特征庫進行匹配，檢測到蠕蟲的感染節(jié)點提交到控制管理中心，從而觸發(fā)投放器對感染節(jié)點進行遠程修復；

步驟二、在執(zhí)行步驟一時，同時基于規(guī)則匹配通過高速掃描網(wǎng)絡(luò)中存在的嚴重漏洞的易感主機，通過模擬攻擊，對目標主機系統(tǒng)進行攻擊性的安全漏洞掃描，如果攻擊成功，則認為漏洞存在；

步驟三、系統(tǒng)控制管理中心根據(jù)漏洞、網(wǎng)絡(luò)蠕蟲和對抗工具的關(guān)系模式來找到其對應關(guān)系，完成系統(tǒng)指定的任務(wù)列表；

步驟四、漏洞的命名方式采用CVE(Common?Vulnerabilities&Exposures)漏洞庫的方式，通過CVE找到其他與CVE兼容的數(shù)據(jù)庫中的相應漏洞的信息，通過漏洞、蠕蟲和遠程網(wǎng)絡(luò)蠕蟲清除工具的關(guān)系模式，系統(tǒng)控制管理中心即可完成對漏洞和蠕蟲的遏制工作。

一種實現(xiàn)上述方法的網(wǎng)絡(luò)蠕蟲對抗工具自動生成系統(tǒng)，所述網(wǎng)絡(luò)蠕蟲對抗工具包含遠程網(wǎng)絡(luò)蠕蟲清除工具、主動修補補丁、投放工具；遠程網(wǎng)絡(luò)蠕蟲清除工具用于查找主機上是否感染特定蠕蟲并修復對應漏洞；主動修補補丁是指非官方漏洞修補工具，用于在官方的正式補丁出現(xiàn)之前，對應的漏洞攻擊程序已經(jīng)出現(xiàn)且蠕蟲也開始在網(wǎng)絡(luò)上蔓延開時進行相應的漏洞和蠕蟲防范；投放工具是傳送遠程網(wǎng)絡(luò)蠕蟲清除工具和主動修補補丁到目標主機的載體，用于漏洞攻擊；所述自動生成系統(tǒng)包括：

遠程網(wǎng)絡(luò)蠕蟲清除工具分析與自動生成子系統(tǒng)，包括停止蠕蟲進程子模塊、停止和刪除服務(wù)子模塊、刪除蠕蟲體文件子模塊、刪除或者恢復蠕蟲修改的操作系統(tǒng)配置信息子模塊，

停止蠕蟲進程子模塊，用于找到病毒的進程句柄，針對運行后出現(xiàn)隱藏形式的蠕蟲過修改生成的代碼來實現(xiàn)停止蠕蟲進程，針對運行后出現(xiàn)不隱藏形式的病毒利用Windows的任務(wù)管理器得到進程名，通過Windows的進程操作的API枚舉所有進程查找到與該進程名相同和路徑相同的進程后就能停止蠕蟲進程，

停止和刪除服務(wù)子模塊用于停止蠕蟲開啟的服務(wù)并刪除蠕蟲的服務(wù)信息，對于保存在文件內(nèi)或者注冊表內(nèi)動態(tài)生成的病毒服務(wù)名稱通過該文件名或者注冊表項所在的路徑得到，從而調(diào)用Windows下的刪除服務(wù)或注冊表的API實現(xiàn)停止和刪除服務(wù)，

刪除蠕蟲體文件子模塊用于獲取文件路徑，根據(jù)蠕蟲的文件名稱以及相對路徑刪除相應文件，

刪除或者恢復蠕蟲修改的操作系統(tǒng)配置信息子模塊用于獲取蠕蟲隨操作系統(tǒng)自動運行方式，通過對蠕蟲的運行跟蹤獲得所述方式；

投放工具分析與自動生成子系統(tǒng)，包括投放工具分析子模塊、投放工具自動生成子模塊，

投放工具分析子模塊用于向目標主機發(fā)送報文使得能夠引起有漏洞的服務(wù)調(diào)用，之后發(fā)送構(gòu)造好的溢出報文，造成服務(wù)的溢出并執(zhí)行Shellcode，攻擊成功后在目標主機上執(zhí)行傳輸命令從WACSD的服務(wù)器下載對應的遠程網(wǎng)絡(luò)蠕蟲清除工具或者漏洞補丁工具，傳輸結(jié)束后則執(zhí)行運行遠程網(wǎng)絡(luò)蠕蟲清除工具或者漏洞補丁工具，