Internet 蠕虫是无须计算机使用者干预即可运行的独立程序，它通过不停的获得网络中存在漏洞的计算机上的部分或全部控制权来进行传播。蠕虫与病毒的最大不同在于它不需要人为干预，且能够自主不断地复制和传播。
2．蠕虫的行为特征

　　2.1 蠕虫的工作流程
　　2.1.1 蠕虫的工作流程：
　　蠕虫程序的工作流程可以分为漏洞扫描、攻击、传染、现场处理四个阶段，如图　　2所示。蠕虫程序扫描到有漏洞的计算机系统后，将蠕虫主体迁移到目标主机。然后，蠕虫程序进入被感染的系统，对目标主机进行现场处理。现场处理部分的工作包括：隐藏、信息搜集等。同时，蠕虫程序生成多个副本，重复上述流程。不同的蠕虫采取的IP生成策略可能并不相同，甚至随机生成。各个步骤的繁简程度也不同，有的十分复杂，有的则非常简单。

 
图2蠕虫的工作流程

　　2.2 蠕虫的行为特征

　　通过对蠕虫的整个工作流程进行分析，可以归纳得到它的行为特征：

　　自我繁殖：

　　蠕虫在本质上已经演变为黑客入侵的自动化工具， 当蠕虫被释放（release）后，从搜索漏洞，到利用搜索结果攻击系统，到复制副本，整个流程全由蠕虫自身主动完成。就自主性而言，这一点有别于通常的病毒。

　　利用软件漏洞：

　　任何计算机系统都存在漏洞，这些就蠕虫利用系统的漏洞获得被攻击的计算机系统的相应权限，使之进行复制和传播过程成为可能。这些漏洞是各种各样的，有操作系统本身的问题，有的是应用服务程序的问题，有的是网络管理人员的配置问题。正是由于漏洞产生原因的复杂性，导致各种类型的蠕虫泛滥。

　　造成网络拥塞：

　　在扫描漏洞主机的过程中，蠕虫需要：判断其它计算机是否存在；判断特定应用服务是否存在；判断漏洞是否存在等等，这不可避免的会产生附加的网络数据流量。同时蠕虫副本在不同机器之间传递，或者向随机目标的发出的攻击数据都不可避免的会产生大量的网络数据流量。即使是不包含破坏系统正常工作的恶意代码的蠕虫，也会因为它产生了巨量的网络流量，导致整个网络瘫痪，造成经济损失。

　　消耗系统资源：

　　蠕虫入侵到计算机系统之后，会在被感染的计算机上产生自己的多个副本，每个副本启动搜索程序寻找新的攻击目标。大量的进程会耗费系统的资源，导致系统的性能下降。这对网络服务器的影响尤其明显。

　　留下安全隐患：

　　大部分蠕虫会搜集、扩散、暴露系统敏感信息（如用户信息等），并在系统中留下后门。这些都会导致未来的安全隐患。

　　3.1. 蠕虫的工作方式

　　通过前面的分析，可以把蠕虫的工作方式归纳如下：

　　1） 随机产生一个IP 地址；

　　2） 判断对应此IP 地址的机器是否可被感染；

　　3） 如果可被感染，则感染之。

　　4） 重复1～3 共m 次，m 为蠕虫产生的繁殖副本数量。

　　3.2 SIR传播模型

　　在传统的对计算机病毒的传播机制研究中，常常借用已有的传染病数学模型，但由于计算机病毒的攻击对象是文件系统，所以传统计算机病毒研究中把计算机作为传播个体并不合适。同计算机病毒不同，Internet 蠕虫具有主动攻击特征，不需要计算机使用者的参与，并且蠕虫的攻击对象是计算机系统，这两个条件正好同传染病模型的假设条件相符。在蠕虫的SIR模型中，假设在一台主机内蠕虫传播经过了如下的三个步骤：

　　Susceptible -〉Infective –〉Recovered

　　主机存在漏洞->主机被感染->漏洞被修复，蠕虫被清除。

　　根据此模型产生的蠕虫在网络上的传播速度图如图3所示。蠕虫的传播经历了开始的缓慢传播，接下来的快速传播和最后的缓慢消失三个阶段。因此能否在蠕虫的缓慢传播阶段实现对蠕虫的检测和防治成为有效防治蠕虫的关键。

 
图 3蠕虫的传播模型

　　4．蠕虫的检测与防治

　　由以上的分析可知，尽早的发现蠕虫并对感染蠕虫的主机进行隔离和恢复，是防止蠕虫泛滥，造成重大损失的关键。

　　4.1蠕虫的检测

　　4.1.1 蠕虫监测和防护现状

　　目前国内并没有专门的蠕虫检测和防御系统，传统的主机防病毒系统并不能对未知的蠕虫进行检测，只能被动的对已发现的特征的蠕虫进行检测。而目前市场上的入侵检测产品，对蠕虫的检测也多半的基于特征，同时ids提供的异常检测功能，虽然可以发现网络中的异常，但是也没有更好的办法对蠕虫的传染进行控制，减少蠕虫造成的损失。

　　4.1.2 网威VDS（Virus Detect System）的蠕虫检测方法

　　中科网威的VDS产品针对病毒查杀软件和目前NIDS存在的不足，在检测和互动方面使用了多种技术，达到对蠕虫的检测和控制的目的。下面先说一下对中科网威对未知蠕虫的检测技术。

　　对蠕虫在网络中产生的异常，有多种的的方法可以对未知的蠕虫进行检测，比较通用的方法有对流量异常的统计分析，对tcp连接异常的分析，网威入侵检测在这两种分析的基础上，又使用了对ICMP数据异常分析的方法，可以更全面的检测网络中的未知蠕虫。这种网络蠕虫的测的方法是Bob Gray，Vincent Berk在2003年11月4日的ISTS 技术大会中提出的。

　　具体实现如下：

　　当一台主机向一个不存在的主机发起连接时，中间的路由器会产生一个ICMP-T3（目标不可达）包返回给蠕虫主机（如图4）。

图 4路由器返回ICMP-T3包

　　在蠕虫的扫描阶段，蠕虫会随机的或者伪随机的生成大量的IP地址进行扫描，探测漏洞主机。这些被扫描主机中会存在许多空的或者不可达的IP地址，从而在一段时间里，蠕虫主机会接收到大量的来自不同路由器的ICMP-T3数据包（如图5）。网威的VDS通过对这些数据包进行检测和统计，在蠕虫的扫描阶段将其发现，然后对蠕虫主机进行隔离，对蠕虫其进行分析，进而采取防御措施。

图5蠕虫的随机扫描行为

　　如图6所示，将ICMP-T3数据包进行收集、解析，并根据源和目的地址进行分类，如果一个IP在一定时间（T）内对超过一定数量（N）的其它主机的同一端口（P）进行了扫描，则产生一个发现蠕虫的报警（同时还会产生其它的一些报警）。

图6 检测扫描

　　这种方法可以检测出具有高速，大规模传染模型的网络蠕虫。（很难检测针对某个网络的传播的特定的蠕虫和慢速传播的蠕虫。这两种蠕虫，可以认为对整个网络来说，他们的危害比较小）

　　2.对于已知蠕虫的检测

　　网威网络病毒检测系统为了适应对蠕虫各个阶段的不同行为的检测，使用编译技术，创建了