[发明专利]基于检测驱动的网络蠕虫主动遏制方法及对抗工具自动生成系统

说明书

技术领域

本发明涉及网络安全领域，更具体的说，涉及网络蠕虫的清除与遏制技术。

背景技术

目前开放自由的Internet所带来的复杂的安全状况，使得蠕虫仍然危害着Internet，网络蠕虫之所以难于控制主要是由于Internet本质上是一个开放的复杂巨系统，其结构复杂，缺乏中心控制能力以及其开放性的特征导致存在大量网管层面上的不可控节点。这些不可控节点往往缺乏相应的安全防护措施或长期无人管理，一旦感染蠕虫，蠕虫就会长期滞留在被感染节点中，并作为攻击源对Internet始终构成威胁。因此如何管理、维护那些无序、不可控的网络节点是控制恶性蠕虫扩散、有效降低蠕虫疫情的关键。

目前，网络蠕虫对互联网络的危害极大，网络蠕虫爆发后，会对网络基础设施造成巨大的冲击。因此亟需提出一种新的蠕虫对抗体系。新的对抗体系必须能够克服传统对抗技术的弱点，提高对新蠕虫的响应速度，及时的遏制传染源的扩散，清除网络上那些不可控的节点的蠕虫和漏洞，达到彻底清除蠕虫的目标。

发明内容

本发明的目的是为了提高对新蠕虫的响应速度，及时的遏制传染源的扩散，清除网络上那些不可控的节点的蠕虫和漏洞，彻底清除蠕虫；进而提供了一种基于检测驱动的网络蠕虫主动遏制方法及对抗工具自动生成系统。

本发明为解决上述技术问题采取的技术方案是：

一种基于检测驱动的网络蠕虫主动遏制方法，所述方法的具体实现过程为：

步骤一、在网络出入口捕获流量进行匹配：捕获网络流量与蠕虫特征库进行匹配，检测到蠕虫的感染节点提交到控制管理中心，从而触发投放器对感染节点进行远程修复；

步骤二、在执行步骤一时，同时基于规则匹配通过高速扫描网络中存在的严重漏洞的易感主机，通过模拟攻击，对目标主机系统进行攻击性的安全漏洞扫描，如果攻击成功，则认为漏洞存在；

步骤三、系统控制管理中心根据漏洞、网络蠕虫和对抗工具的关系模式来找到其对应关系，完成系统指定的任务列表；

步骤四、漏洞的命名方式采用CVE(Common Vulnerabilities&Exposures)漏洞库的方式，通过CVE找到其他与CVE兼容的数据库中的相应漏洞的信息，通过漏洞、蠕虫和远程网络蠕虫清除工具的关系模式，系统控制管理中心即可完成对漏洞和蠕虫的遏制工作。

一种实现上述方法的网络蠕虫对抗工具自动生成系统，所述网络蠕虫对抗工具包含远程网络蠕虫清除工具、主动修补补丁、投放工具；远程网络蠕虫清除工具用于查找主机上是否感染特定蠕虫并修复对应漏洞；主动修补补丁是指非官方漏洞修补工具，用于在官方的正式补丁出现之前，对应的漏洞攻击程序已经出现且蠕虫也开始在网络上蔓延开时进行相应的漏洞和蠕虫防范；投放工具是传送远程网络蠕虫清除工具和主动修补补丁到目标主机的载体，用于漏洞攻击；所述自动生成系统包括：

远程网络蠕虫清除工具分析与自动生成子系统，包括停止蠕虫进程子模块、停止和删除服务子模块、删除蠕虫体文件子模块、删除或者恢复蠕虫修改的操作系统配置信息子模块，

停止蠕虫进程子模块，用于找到病毒的进程句柄，针对运行后出现隐藏形式的蠕虫过修改生成的代码来实现停止蠕虫进程，针对运行后出现不隐藏形式的病毒利用Windows的任务管理器得到进程名，通过Windows的进程操作的API枚举所有进程查找到与该进程名相同和路径相同的进程后就能停止蠕虫进程，

停止和删除服务子模块用于停止蠕虫开启的服务并删除蠕虫的服务信息，对于保存在文件内或者注册表内动态生成的病毒服务名称通过该文件名或者注册表项所在的路径得到，从而调用Windows下的删除服务或注册表的API实现停止和删除服务，

删除蠕虫体文件子模块用于获取文件路径，根据蠕虫的文件名称以及相对路径删除相应文件，

删除或者恢复蠕虫修改的操作系统配置信息子模块用于获取蠕虫随操作系统自动运行方式，通过对蠕虫的运行跟踪获得所述方式；

投放工具分析与自动生成子系统，包括投放工具分析子模块、投放工具自动生成子模块，

投放工具分析子模块用于向目标主机发送报文使得能够引起有漏洞的服务调用，之后发送构造好的溢出报文，造成服务的溢出并执行Shellcode，攻击成功后在目标主机上执行传输命令从WACSD的服务器下载对应的远程网络蠕虫清除工具或者漏洞补丁工具，传输结束后则执行运行远程网络蠕虫清除工具或者漏洞补丁工具，