拯救互联网 网络熵有望狙击Storm蠕虫(2)

　　网络熵:抑制蠕虫的新利器

　　信息熵最初由美国应用数学家Claude Shannon在1948年提出，用于研究传输消息中的信息量。如果数字信号的两个状态:0和1在信号中出现的概率完全一样，那么下一个会收到哪个比特的不确定性就能最大化。另一方面，如果1的出现概率较高，那么下一个会收到哪个比特的不确定性要低一些。也就是说，如果下一个比特是1的可能性较大，那么熵就会减小。

　　网上的流量模式同样如此。更确切地说，只要观察数据网络上的流量，就能从中得到大量信息。如果我们观察足够全面，就能得到进出数据包的历史平均数，注意到一些重要特征，比如网络从哪些地址收到数据包、网络把数据包发到哪些地址。我们还能注意到在一天的不同时间段发送了多少数据包、使用哪些互联网协议以及总流量。在任何一个时间，网络上流量的概率分布将呈现出不同的曲线。实际上，曲线形状表明了系统的熵。如果曲线形状保持一致，那么熵很高。如果出现尖峰，就表明出现了低概率事件，熵相应很低。

　　互联网流量是动态、不断变化的。不过在一段时间内(如一年)，会出现一些一致的模式。有时季节和地理因素也会影响模式。想利用这些模式发现异常活动，第一步是为每个特征生成概率分布。这些分布综合起来后，就能为流量建立独特档案，并且生成相应网络的“指纹”以及所谓的内部状态，即这些网络特征的总和。

　　如果我们长时间监控及衡量系统，就能知道哪些内部状态与合法的互联网流量有关。网络上出现的任何恶意活动都会改变流量性质，因为其指定、预谋的结果有别于网络的任何正常状态。即使攻击像是恪守网络规范的活动，如下载大量音乐文件，网络的指纹也会不同寻常，因为它多少有别于网络既定的使用模式，即使流量方面没什么不同，时间段、源地址、两者组合或者其他特征也会有所不同。

　　说来难以相信，互联网流量具有随机性和结构性的双重特点; 蠕虫会改变两者，让流量在某些方面看上去比正常流量还要一致或者有结构性; 而在另一些方面看上去更随机。

　　流入服务器的数据包似乎来自随机位置。举例说，网页请求通常来自网上各地方的网民。当然，有些人和有些网络的请求会比较多，但它们的分布图通常是相当一致的曲线。不过要是蠕虫在网上肆虐，来自被感染主机的数据包不断增加，最终占总流量的很大部分，那么这些主机的地址会不成比例地出现在任何分布图上—这表明多少流量来自某个源。

　　在蠕虫感染期间，已中招的主机会在很短时间内连接到其他许多主机。被感染主机建立的开启连接会占多数，熵随之减小。同样，数据包流中的目标IP地址会比正常流量中的IP地址随机得多。也就是说，目的地IP地址的分布会更分散，导致网络熵较高。

　　大多数恶意攻击往往会寻找及利用实现的互联网协议存在的某些漏洞。其中最重要的两种协议是下载网页的超文本传输协议(HTTP)和传输电子邮件的简单邮件传输协议(SMTP)。除了协议外，某些操作系统端口也用来发送及接收流量。

　　也有可能在端口层面生成指纹。攻击者会发送数据包，企图查看数据包是否收到、得到了什么响应，从而扫描查找特定的漏洞。这种扫描往往指向某个目标的目的地端口。如果这种扫描引起的流量成了总网络流量的重要部分，可以生成不同寻常的指纹。最后，恶意蠕虫活动的流量大小(流量中的数据包数量)会更占主导地位，会改变正常网络操作期间观察到的流量大小的概率分布。

　　“震荡波”蠕虫是网络史上传播范围最广、被研究最透彻的蠕虫之一，它就是针对特定端口的典型攻击。

　　“震荡波”每次活动生成独特的网络指纹。信息熵能够提取构成指纹分布的形状突然出现的任何变化。攻击者基本上无法控制与指纹有关的信息熵，因而也无法掩藏攻击行踪。

　　事后进行的分析发现，“震荡波”蠕虫严重影响了一家北美大型无线服务提供商网络的信息熵。统计发现白天的流量高得多，而信息熵白天高、夜间低的特征体现了这点。“震荡波”蠕虫侵入这家无线运营商的网络后，基于行为的安全系统在网络上出现的流量比正常值高出30倍后才发现了蠕虫。基于行为的系统无法发现攻击苗头，因为一台被感染机器生成的流量少得可忽略不计。不过几分钟内，这一台机器就能感染另外10台机器，而10台机器每台又能感染10台，每台生成各自的数据。等到基于行为的系统发出警报，流量已大得使网络陷于瘫痪。

　　“震荡波”迅速感染了大约2万台计算机。虽然很快出现了补丁，但蠕虫发动了多轮进攻，在短短一个月时间内衍生出了另外九个变种，感染了另外数十万台机器。

　　防御“震荡波”的传统机制最终取得了成效。不过要是能及早发现这个蠕虫，比如借助基于网络熵的系统，“震荡波”造成的破坏会极其有限，衍生的变种可能也更少。