蠕虫即时通

ISSN1000-9825,CODENRUXUEWE-mail:jos@iscas.
ac.
cnJournalofSoftware,Vol.
17,No.
10,October2006,pp.
21182130http://www.
jos.
org.
cnDOI:10.
1360/jos172118Tel/Fax:+86-10-625625632006byJournalofSoftware.
Allrightsreserved.
即时通信蠕虫研究与发展卿斯汉1,2,3+,王超1,2,3,何建波1,3,李大治21(中国科学院软件研究所信息安全技术工程研究中心,北京100080)2(北京中科安胜信息技术有限公司,北京100086)3(中国科学院研究生院,北京100049)ResearchandDevelopmentofInstantMessagingWormsQINGSi-Han1,2,3+,WANGChao1,2,3,HEJian-Bo1,3,LIDa-Zhi21(EngineeringResearchCenterforInformationSecurityTechnology,InstituteofSoftware,TheChineseAcademyofSciences,Beijing100080,China)2(BeijingZhongkeAnshengCorporationofInformationTechnology,Beijing100086,China)3(GraduateSchool,TheChineseAcademyofSciences,Beijing100049,China)+Correspondingauthor:Phn:+86-10-62635150,E-mail:qsihan@ercist.
iscas.
ac.
cnQingSH,WangC,HeJB,LiDZ.
Researchanddevelopmentofinstantmessagingworms.
JournalofSoftware,2006,17(10):21182130.
http://www.
jos.
org.
cn/1000-9825/17/2118.
htmAbstract:Withtheabroadapplicationofinstantmessagingandexplosivegrowthofusersincurrentyears,IMwormshavehigheroutbreakfrequency,widercoverageanddeeperhurt,whichhavebeenaseriousthreattonetworksecurity.
Inthispaper,theconceptandresearchsituationofIM(instantmessaging)worms,functioncomponent,executionmechanismandcomparisonwithotherwormsarepresented,thenthenetworktopologyandpropagationmodelsarediscussed,andfinallythecriticaltechniquesofIMwormpreventionaregiven.
Somemajorproblemsandresearchtrendsinthisareaarealsoaddressed.
Keywords:networksecurity;IM(instantmessaging)worm;Internetworm;networktopology;propagationmodel摘要:随着即时通信(instantmessaging)应用的日益广泛和用户数量的迅速增加,即时通信蠕虫(IM蠕虫)的发生频率也相应提高,传播范围变广以及危害程度加深,其正成为网络安全的重要威胁.
首先综合论述IM蠕虫的研究概况;然后剖析IM蠕虫的基本定义、功能结构和工作机理以及IM蠕虫与其他网络蠕虫的区别与联系;讨论IM蠕虫的网络拓扑和传播模型;归纳目前防范IM蠕虫的最新技术;最后给出IM蠕虫研究的若干热点问题与展望.
关键词:网络安全;即时通信蠕虫;网络蠕虫;网络拓扑;传播模型中图法分类号:TP393文献标识码:ASupportedbytheNationalNaturalScienceFoundationofChinaunderGrantNo.
60573042(国家自然科学基金);theNationalGrandFundamentalResearch973ProgramofChinaunderGrantNo.
G1999035802(国家重点基础研究发展规划(973));theBeijingNaturalScienceFoundationofChinaunderGrantNo.
4052016(北京市自然科学基金)Received2006-04-14;Accepted2006-06-30卿斯汉等:即时通信蠕虫研究与发展2119随着互联网应用的深入,网络蠕虫对信息系统安全的威胁日益增加.
其中以CodeRed,Blaster和Slammer等为代表的主动探测蠕虫和以Melissa,LoveLetter和MyDoom等为代表的E-mail蠕虫流行时间长,覆盖面积广,它们给信息系统造成了巨大的危害.
因此,针对主动探测蠕虫和E-mail蠕虫的研究成为恶意代码领域长时间研究的重点.
例如:Nicholas等人对主动探测蠕虫的快速扫描策略进行了研究[1],并实现了Warhol实验蠕虫,理论推测该蠕虫能在30分钟内感染整个互联网[2].
Kephart,White和Chess等人对病毒传播模型进行了研究[3],在此基础上,邹长春等人以CodeRed为例讨论了基于微分方程的双因素传播模型[4],并构建了E-mail蠕虫的传播模型[5].
DugSong等人对蠕虫引起的网络流量统计特征进行了研究,力图通过对网络流量异常检测实现对网络蠕虫的防范[6].
相对而言,作为网络蠕虫一员的IM蠕虫由于诞生时间较晚(2001年8月)、数量较少,表现出的危害不如前两类网络蠕虫,因此,IM蠕虫未得到足够的重视.
然而,进入2005年之后,IM蠕虫呈现出迅速增长势头,发生频率增强,攻击范围扩大,其正逐渐引起安全研究人员的关注.
2005年3月,几家主要即时通信提供商(包括微软,AOL,Yahoo!
)和安全公司(如Symantec)共同成立了IM威胁中心,加强对即时通信漏洞和IM蠕虫的跟踪和研究[7].
HP公司的Parry等人提出了一种通过限制通信速率来扼杀IM蠕虫的技术,并在实验中证明其有效性[8].
本文第1节阐述IM蠕虫的定义、历程和现状.
第2节将分析IM蠕虫的功能结构及其工作机理.
第3节分析IM蠕虫与其他网络蠕虫的区别.
第4节重点讨论IM蠕虫的网络拓扑和传播模型.
第5节介绍当前IM蠕虫的主要对抗技术.
最后对IM蠕虫的发展趋势进行展望.
1IM蠕虫概述1.
1IM蠕虫定义Kienzle和Elder曾对网络蠕虫进行了简单的定义:网络蠕虫是通过网络传播、可以无须用户干预、能够独立或者利用文件进行攻击和传播的恶意代码[9].
IM蠕虫是网络蠕虫的一种,它与主动探测蠕虫和E-mail蠕虫等相并列.
Mannan和Oorschot对IM蠕虫与其他网络蠕虫进行了区分,将IM蠕虫定义为:IM蠕虫是一种利用即时通信系统和即时通信协议的漏洞或者技术特征进行攻击,并在即时通信网络内传播的网络蠕虫[10].
根据定义可以看出,即时通信自身的技术特征对IM蠕虫有着直接的影响.
即时通信是一种基于Internet的网络应用,任意两个即时通信客户端在即时通信服务器的帮助下能够实现方便而快捷的信息通信.
其主要技术特征和发展趋势如下所示:ClientAServerA,C,H,.
.
.
B,D,E,H,.
.
.
ClientBClient-ServercommunicationsClient-ClientdirectcommunicationsClient-Clientserver-mediatedcommunications即时通信主要包括客户端(用户)和服务器两种实体.
客户端通过联系人列表维护与其他客户端的连接关系.
图1表明即时通信的3种主要通信模式:①客户端与服务器的通信,主要涉及用户登录和联系人信息获取等;②客户端之间在服务器中介下的通信,主要涉及文件传输、语音视频通信以及NAT内部的用户通信等;③客户端之间无须服务器干预下的P2P通信,主要涉及文本通信等.
即时通信近几年来得到了迅猛发展,用户数量日益庞大.
根据行业研究机构iResearch的研究报告,全球即时通信帐户在2004年为7.
4亿,2005年增长到8.
67亿,预计2006年将达到12亿.
中国即时通信用户在2004年为7000万,2005年增长到9300万,预计2006年将增长29%,达到1.
2亿人[11].
Fig.
1IMcommunicationmodes图1即时通信主要通信模式即时通信数据量巨大.
2004年日平均72.
2亿条个人信息和1.
12亿条企业信息被发送,而2005年日平均信息总量达到139亿条,据预测,在2006年即时通信信息总量将首次超过E-mail[11].
2120JournalofSoftware软件学报Vol.
17,No.
10,October2006即时通信软件的类型集中在:国外应用最为广泛的即时通信软件包括MSNMessenger,Yahoo!
InstantMessenger(YIM)和AOLInstantMessenger(AIM)这三者;国内则是腾讯QQ占据主导,用户份额为78.
8%,MSN次之,用户份额为13%[11].
即时通信与其他一些网络应用结合紧密.
例如,MSN的部分主要功能被集成到OutlookExpress和LiveCommunicationServer中,用户容易在不知道的情况下安装并使用了即时通信[12].
即时通信自身灵活而且多样的工作模式,庞大的用户群、海量的信息量对IM蠕虫的工作机制、传播机理和破坏能力等产生直接的影响,使得IM蠕虫成为一种新型的与众不同的网络蠕虫.
1.
2IM蠕虫历程与现状第一个IM蠕虫(W32.
Funnyfiles.
Worm)诞生于2001年8月,由于当时黑客的注意力主要集中于CodeRed,Blaster和Slammer等主动探测蠕虫上,IM蠕虫在2002年和2003年并没有突出的表现.
随后两年,尤其是在进入2005年之后,IM蠕虫开始呈现出迅速增长的趋势.
IMLogic统计数字表明:2005年,即时通信威胁事件约为2004年的17倍,其中被确认的IM蠕虫攻击为2403个.
图2表明,IM蠕虫占威胁事件总数的90%.
图3表明了IM蠕虫针对不同即时通信软件的攻击比例[13].
另外,CNCERT/CC的2005年网络安全工作报告也表明,IM蠕虫在2005年增长迅速,并将其列为2005年恶意代码五大趋势的第一位[14].
与此同时,在2005年,随着防病毒产品的应用,E-mail蠕虫开始呈现下降趋势;而主动探测蠕虫虽然继续增长,但也因为WinXPSP2中应用了DEP/NX技术导致许多常规缓冲区溢出攻击无法实现,主动探测蠕虫已无法达到Slammer和Blaster等早期蠕虫的传播规模[14].
Fig.
2RatioofIMwormsinallthreatsFig.
3RatioofIMsoftwareattacked图2IM蠕虫在威胁事件中的比例图3被攻击的即时通信软件比例在2005年,IM蠕虫还呈现出种类迅速增多的趋势,尤以表1所列出的IM蠕虫变种最为明显[11].
Table1StatofIMwormvariantsin2005表12005年IM蠕虫变种统计GroupLatestvariantLatestpostingFirstrepostedVariantsAttacktargetsKelvirKelvir-BJ12/21/20052/25/2005140MSN,AIM,YIMBropiaBropia-K12/22/20051/19/200529MSNOpankiOpanki-W12/8/20055/6/200526AIMChodeChode-Q12/27/20053/18/200516AIM,MSNRbotRbot-BDV1/6/20061/1/200416AIM2IM蠕虫工作机理2.
1IM蠕虫的功能结构JoseNazario等人将网络蠕虫按照功能划分成6个模块:搜索模块(reconnaissancecapabilities)、特殊攻击模块(specificattackcapabilities)、命令操作界面模块(commandinterface)、通信模块(communicationcapabilities)、智能模块(intelligencecapabilities)和非攻击使用模块(unusedattackcapabilities)[15].
该框架主要是对网络蠕虫的卿斯汉等:即时通信蠕虫研究与发展2121预测,难以准确表达当前IM蠕虫的功能结构.
在文献[6,15,16]的基础上,我们结合IM蠕虫实例,归纳分析出IM蠕虫分为主体功能模块和辅助功能模块.
主体功能模块负责完成攻击和传播的主体流程,而辅助功能模块则赋予IM蠕虫更强的生存力和破坏力.
IM蠕虫功能结构如图4所示.
FunctionstructureMainbodyfunctionAuxiliaryfunctionInformationcollectionmoduleAttackmoduleSelf-PropagationmoduleProtectionmoduleCrackmoduleCommunicationmoduleRemotecontrolmoduleAutoupdatemoduleFig.
4FunctionstructureofIMworms图4IM蠕虫功能结构2.
1.
1主体功能模块IM蠕虫的主体功能模块由3部分构成:①信息搜集模块,该模块决定采用何种机制搜集即时通信中的信息,包括本机系统信息和联系人信息等,这些信息可以单独使用或被其他蠕虫个体共享;②攻击渗透模块,该模块决定采用何种机制向联系人发起攻击并建立传播途径,该模块在攻击方法上是开放的、可扩充的;③传播推进模块,该模块决定生成何种形态的IM蠕虫副本,以及采用何种方式向联系人传递蠕虫副本.
相关工作机理将在第2.
2节中详细分析给出.
2.
1.
2辅助功能模块辅助功能模块是对除主体功能模块以外的其他模块的归纳和预测,主要由5部分构成:①实体保护模块,包括IM蠕虫对实体组成部分的隐藏、变形和加密等,以及关闭防病毒软件、阻塞系统访问安全站点等自我保护机制,主要目的是提高IM蠕虫的生存能力;②宿主破坏模块,该模块用于构建僵尸网络、安装后门、窃取信息以及执行DOS攻击等;③信息通信模块,该模块能使IM蠕虫之间、IM蠕虫与黑客之间实现信息交流.
利用通信模块,IM蠕虫之间可以共享信息,IM蠕虫编写者能够更好地了解IM蠕虫的工作状态;④远程控制模块,利用控制模块编写者能够下达新的指令,调整IM蠕虫的行为,控制被感染主机;⑤自动升级模块,该模块可以使编写者随时更新IM蠕虫其他模块的功能,从而实现不同的攻击目的.
2.
2IM蠕虫的工作机理IM蠕虫利用即时通信网络进行传播,首先要收集感染主机用户的联系人信息,然后利用即时通信的协议或者漏洞向联系人实施攻击,并将生成的IM蠕虫副本传播给被攻击的联系人.
IM蠕虫在信息搜集、攻击渗透和传播推进3个阶段中所主要采用的工作机制归纳如下.
2.
2.
1信息搜集机制(1)基于即时通信API的联系人搜集基于即时通信API的联系人搜集机制是指IM蠕虫通过调用即时通信软件制造商发布的API函数接口,直接获取被感染主机上用户的联系人列表.
例如:MSN和ICQ均提供了详细的编程接口和文档[17,18],以便能够更好地被集成到其他网络应用中去.
IM蠕虫可以利用这些API直接获取用户的联系人信息,Choke蠕虫[19]就是2122JournalofSoftware软件学报Vol.
17,No.
10,October2006典型的利用MSN的MessengerContacts.
Item接口搜集联系人信息的IM蠕虫.
(2)模拟用户操作行为的联系人搜集模拟用户操作行为的联系人搜集机制是指IM蠕虫通过调用操作系统的底层接口获取被感染主机上即时通信软件的窗体句柄,然后模拟用户的鼠标或者键盘操作,实现联系人列表的定位和信息读取.
这种机制主要针对没有提供即时通信API的即时通信软件,例如,YIM就因为安全保护等方面的因素没有提供API编程接口.
Goner蠕虫[20]是这种IM蠕虫的一个代表,它利用Windows的FindWindow接口获取YIM窗体的句柄,然后使用Windows窗体消息定位到YIM的联系人列表上.
(3)基于钩子的联系人搜集基于钩子的联系人搜集机制是指IM蠕虫通过篡改或者修补被感染主机上即时通信软件中的某些动态链接库,在其中嵌入钩子函数,从而在用户与服务器通信的过程中获取联系人的信息.
AimVen蠕虫[21]就是一种典型的案例,该IM蠕虫能够对AIM的Icbmft.
ocm文件打补丁来嵌入钩子函数,从而在通信过程中获取其他联系人的信息.
(4)基于注册表的通信语言搜集基于注册表的通信语言搜集机制是指IM蠕虫通过访问被感染主机的注册表获取操作系统的语言类型,并以此确定发送攻击信息时所使用的语言.
以用户习惯的语言发送攻击信息,能够降低联系人对接收信息的安全警惕意识,从而提高攻击的成功比率.
Kelvir.
H蠕虫[22]就能够利用注册表获取Windows操作系统的语言类型,并以此从预备的10种语言中选择一种语言发送攻击信息.
2.
2.
2攻击渗透机制(1)主动攻击主动攻击机制是指IM蠕虫在搜集到被感染主机上的联系人信息之后,无论当前用户是否正与其他联系人进行通信,都主动向其他联系人发送攻击信息.
这种攻击机制具有攻击速度快的特点,但是其存在易产生异常数据报文而被检测的不足,该机制正在被大多数IM蠕虫所采用.
例如,Choke蠕虫[19]、SoFunny蠕虫[23]、Kelvir蠕虫[22]等均采用主动攻击机制实施攻击渗透.
(2)被动攻击被动攻击机制下,IM蠕虫并不主动向联系人实施攻击,而是依赖用户的正常活动向正与之通信的联系人发动攻击.
该攻击机制需要用户行为的触发,因此,其速度比主动攻击机制要慢,但该机制下IM蠕虫的攻击不容易引起联系人的怀疑,攻击成功率要高;而且不会产生异常通信,IM蠕虫自身的安全性要高.
AimVen蠕虫[21]就是在用户与联系人之间传递含有.
exe后缀的可执行文件时,篡改或者替换该可执行文件实施攻击.
2.
2.
3传播推进机制(1)URL推进URL推进机制是指IM蠕虫以文本格式向联系人发送包含链接IM蠕虫副本的URL信息,利用社会信任关系诱骗联系人下载并执行该URL所链接的IM蠕虫副本伪装文件,从而达到向远程主机传播推进的目的.
发送URL文本具有传递信息体积小的优点,而且能够躲避多数防病毒软件实时监测二进制文件的防范机制.
URL可以指向某个具体的站点,也可以指向IM蠕虫在感染主机上建立的Web服务的地址.
Aplore蠕虫[24]在感染主机的8180端口开启Web服务,然后向所有的联系人发送指向该感染主机Web服务的URL信息,诱使联系人从该URL下载伪装成Web浏览器插件的蠕虫副本,联系人一旦执行将立刻被该IM蠕虫感染.
(2)用户干预下的文件推进用户干预下的文件推进机制是指IM蠕虫直接向联系人发送包含蠕虫副本的文件,同样利用社会信任关系诱骗联系人接收并执行该文件,从而达到传播推进的目的.
该推进机制需要被攻击联系人的参与,如果联系人拥有足够的安全防范意识而不执行接收到的蠕虫副本文件,此次传播就以失败结束.
IM蠕虫多数会利用加密或者捆绑等技术,对蠕虫副本文件进行伪装,提高其躲避防病毒软件实时监测的能力.
Serflog蠕虫[25]的若干变种就能够利用MSN直接向联系人传输经过加壳伪装的蠕虫副本文件.
卿斯汉等:即时通信蠕虫研究与发展2123(3)非用户干预下的文件推进非用户干预下的文件推进机制是指IM蠕虫通过攻击即时通信软件客户端的某些缓冲区溢出漏洞,在远程主机上执行Shellcode,并以此建立传输通道来直接传递蠕虫副本,从而在没有联系人干预的情况下在远端顺利执行该蠕虫副本.
2005年,ICQ的soundschemefilelocation漏洞、MSN的PNG漏洞以及GIF漏洞均被证实可以让IM蠕虫在没有用户干预的情况下传输和执行文件.
Bizex蠕虫[26]就是一种典型的不依赖用户干预而实施传播的IM蠕虫.
(4)基于操作系统漏洞的文件推进基于操作系统漏洞的文件推进机制同样不需要用户的干预,它是指IM蠕虫通过攻击目标联系人所在主机的操作系统漏洞,然后执行Shellcode并建立通道传递蠕虫副本,从而达到在没有联系人干预的情况下在远端顺利执行该蠕虫副本的目的.
Bropia.
F蠕虫[27]就可以利用Windows操作系统一些已知的漏洞(包括SQL,IIS和WebDav等著名的缓冲区溢出漏洞)实施攻击并传输蠕虫副本.
3IM蠕虫与其他网络蠕虫的对比在对IM蠕虫功能结构和工作机制分析的基础上,我们归纳总结出IM蠕虫与主动探测蠕虫和E-mail蠕虫之间的主要联系与区别.
3.
1联系IM蠕虫与主动探测蠕虫和E-mail蠕虫都属于网络蠕虫的范畴,IM蠕虫与这两种网络蠕虫之间存在一些相同和相似之处.
主要联系有以下一些:IM蠕虫通过联系人列表进行传播,与主动探测蠕虫所采用的基于hit-list的传播机制[1]相类似,两者均拥有明确的攻击目标,而且传播速度都很快;IM蠕虫在设计和实现中借鉴了主动探测蠕虫的很多成熟经验,例如,在蠕虫实体的隐匿和保护方面、宿主的破坏功能方面以及对漏洞进行缓冲区溢出攻击等方面;IM蠕虫和E-mail蠕虫两者均不必发送探测数据报来实施对攻击目标的探测,均直接采用联系人列表为明确的攻击目标;IM蠕虫和E-mail蠕虫两者均以发送文件和URL文本为实施传播的主要方式,感染成功率都会受到用户安全意识和社会信任关系等方面因素的影响.
3.
2区别即时通信与普通网络通信以及E-mail通信之间存在着巨大的技术差异,导致IM蠕虫与主动探测蠕虫和E-mail蠕虫之间存在一些显著的区别:主动探测蠕虫拥有探测扫描模块,在攻击渗透之前需要通过扫描发现含有系统漏洞的目标主机;而IM蠕虫没有探测扫描的功能模块,它拥有即时通信的联系人列表,并直接以此为攻击的目标.
主动探测蠕虫需要事先进行漏洞扫描以便收集网络中漏洞主机的信息,然后才能生成hit-list;而且当该hit-list被生成时,其中部分主机可能因为发现扫描而及时修补了漏洞,也可能因为其他原因关机,导致hit-list的部分内容失效,从而会影响主动探测蠕虫的传播[1].
而IM蠕虫以即时通信的在线联系人列表为hit-list,该hit-list具有实时和准确的特点,不会遭遇主动探测蠕虫的问题.
主动探测蠕虫使用IP地址在底层的Internet网络中传播,而IM蠕虫在即时通信应用构建的上层虚拟网络中传播.
因此,两者所面临的网络拓扑不同、背景数据噪声不同,相应的检测机制也会不同.
E-mail蠕虫同样拥有地址簿中的联系人信息,并以此作为hit-list,但是该hit-list无法保障每个联系人均处于在线状态,因此,该hit-list也被称为offlinehit-list[5].
相对而言,IM蠕虫的hit-list被称为onlinehit-list[10].
E-mail协议的开放性使得不同E-mail软件能够进行有效的通信,操作系统的差异并不影响电子邮件的2124JournalofSoftware软件学报Vol.
17,No.
10,October2006传递,因此,必然存在适于Windows的E-mail蠕虫传递到Linux系统上产生失效的情况;而即时通信协议间存在壁垒,运行同一种即时通信软件的主机的操作系统基本相同,例如,使用MSN的用户通常都安装Windows操作系统,因此,IM蠕虫攻击成功率比E-mail蠕虫要高[10].
E-mail蠕虫的传播速度受到被攻击者收取邮件时间的影响,而IM蠕虫攻击的联系人一直处于在线状态.
在被攻击者安全意识相同的情况下,IM蠕虫被接收和执行的时间间隔要小于E-mail蠕虫[10].
E-mail通信多采用传统的C/S架构,而即时通信则融入了P2P技术,其通信协议复杂度进一步提升,因此,IM蠕虫的复杂度要大于E-mail蠕虫,抑制IM蠕虫的难度要大于抑制E-mail蠕虫的难度.
4IM蠕虫的若干理论研究针对主动探测蠕虫和E-mail蠕虫的理论研究时间较长,在传播模型等方面已经取得了若干成果,例如,SEM模型[28]、KM模型[29]、SIS模型[30]以及Two-Factor模型[4]等.
然而,IM蠕虫的理论研究相对较晚,至今仍未形成系统化的研究.
本文将最近若干重要的理论研究归纳整理如下.
4.
1网络拓扑即时通信软件之间通过联系人列表,在实际的Internet网络拓扑之上构建一层虚拟的网络拓扑,对该虚拟网络拓扑结构的研究有助于对IM蠕虫传播速度和趋势的分析.
Erdos和Renyi在1959年构建了ER随机图模型,并以此对通信和生命科学中常见的复杂网络进行分析.
在该模型中,节点间通过随机生成的连接建立ER网络,并且大多数节点所拥有的连接数是基本相同的.
在20世纪90年代,更多的网络实验数据表明:复杂现实网络中的节点连接数并不是随机分布的,而是遵循power-law规则[31].
Barabasi和Bonabeau提出了无尺度(scale-free,简称SF)模型描述复杂网络的拓扑结构.
在SF模型中,随着新节点的不断加入,网络能够持续地增长;而且新加入的节点优先与拥有高连接数的节点相连接.
SF模型一方面揭示了复杂网络对随机异常情况具有较好的容错能力,另一方面也表明复杂网络中病毒和蠕虫能够得到持续而广泛的传播[32].
在现实社会中的某个人拥有一些朋友,而这些朋友之间很有可能相互也是朋友,因此,即时通信用户的联系人列表同样存在这种社会因素的影响.
例如:用户A的联系人列表中含有用户B,C和D,而B的联系列表中很有可能也含有C和/或D.
在此基础上,Smith对一个实际的Jabber即时通信网络进行研究与统计,并将统计结果与随机图模型和SF模型进行对比分析,提出即时通信所构建的虚拟网络是一个SF网络,同时还证明该虚拟网络遵循power-law规则.
实验中部分数据见表2,详细的推理过程请参见文献[33].
Table2Statisticsofjabberinstantmessagingnetwork表2Jabber即时通信网络统计数据TypesIndegreeOutdegreeDiameterUn-Strongconnection(%)Strongconnection(%)JabberIMnetwork9.
18.
24.
359989Randomgraph9.
69.
64.
79--即时通信网络被证明是SF网络表明:IM蠕虫在该网络拓扑下能够实现持续而广泛的传播,检测和对抗IM蠕虫的难度将会很大.
4.
2SF网络下的SIS传播模型相对于为主动探测蠕虫所构建的传播模型(例如,SEM模型、KM模型以及Two-Factor模型等),有效的IM蠕虫传播模型尚未完整建立.
Pastor-Satorras和Vespignani曾经利用SIS模型对SF网络下蠕虫的传播趋势进行分析[34];Mannan和Ooorschot,Williamson和Parry等人认为该研究能够近似反映IM蠕虫的传播趋势[10,35],并在此基础上各自开展IM蠕虫的相关研究.
在标准SIS模型中,主机节点保持两种状态:易感染(susceptible)和被感染(infectious).
模型假定状态转变过程为:易感染→被感染→易感染[30].
SIS模型的微分方程表达式为卿斯汉等:即时通信蠕虫研究与发展2125(1)==)()()(d/)(d)()()(d/)(dtItStIttStItStIttIγβγβ在公式(1)中:I(t)表示时刻t已被感染的主机数;S(t)表示时刻t易感染的主机数;而β表示主机感染率;γ表示主机修补率.
公式(1)的详细介绍请参见文献[30].
SIS模型设定有效传播率λ=β/γ.
在本地连接或者随机图连接下,存在着一个非零的传播阈值λc.
当λ≥λc时,被感染主机会产生扩散并能够最终保持在一个平稳的状态;而当λ即时通信网络内的传播趋势.
我们在建模的过程中,首先确认即时通信网络为SF网络,然后重点考虑以下两个方面的因素:①即时通信网络下用户的联系人数量(即节点的连接拓扑度)对IM蠕虫传播的影响;②用户干预(安全意识以及社会信任关系)对IM蠕虫感染几率的影响.
为了研究问题方便,IMWDP模型假设:①IM蠕虫在感染节点上实施对所有联系人的攻击和传播,以及联系人接收到蠕虫副本的处理工作都在一个标准时间内完成;②已感染IM蠕虫的主机不会再被同样的IM蠕虫再次感染.
在标准时刻内,新感染IM蠕虫的主机将依据联系人列表向联系人发动攻击,每个IM蠕虫攻击目标的数量是由感染主机上用户所拥有的联系人数量决定的.
IM蠕虫攻击的目标将会存在两种情况:一种是尚未感染IM蠕虫的主机;另一种为已经感染IM蠕虫的主机.
而接收到IM蠕虫副本的用户依据社会信任关系以及安全防范意识决定是否打开执行IM蠕虫副本.
IMWDP模型的离散递归方程如下所示:(5)==++=++∈=+=+∈==+∑∑0))(()0()0()1()()1()1(),())1(()1()(),())(())/11(1))((()1(AAEiEiAiAiRnnTiRiEiEnnPiENiANiRjjjjiEΓΦΦ在公式(5)中:N表示在线用户(主机节点)总数;E(i)表示在时刻i新增加的IM蠕虫感染主机数;A(i)为时刻i已感染IM蠕虫的主机总数;P(n)表示节点n的联系人数量,节点n拥有d个联系人的概率遵循power-law规则,即F(d)∝dα;Φ(*)表示*中的所有节点的联系人总和,因此,R(i+1)表示时刻i新接收到IM蠕虫的主机总数;T(n)表示节点n的用户打开IM蠕虫副本导致该节点被感染的概率,该概率遵循高斯分布P~N(p,);Γ(*)表示*中2pδ2126JournalofSoftware软件学报Vol.
17,No.
10,October2006的节点因打开蠕虫副本而被感染的主机总数.
IMWDP模型下IM蠕虫的仿真传播趋势如图5所示.
仿真实验取节点数N=100000,每个用户的平均联系人数量为8,power-law规则中指数a=1.
7,用户打开执行IM蠕虫概率的高斯分布为P~(0.
5,0.
32),初始发布IM蠕虫数量为1.
图5表明,IM蠕虫在即时通信网络中能够快速增长.
*104109876543210Infectioushosts050100150200TimeFig.
5IMwormspropagationinIMWDPmodel图5IMWDP模型IM蠕虫传播趋势IMWDP模型的缺点在于其尚未考虑用户打补丁修补漏洞以及安全软件查杀IM蠕虫的行为,因此它只能反映出IM蠕虫爆发初级阶段的传播趋势.
4.
4传播速度Symantec公司的研究人员通过仿真实验对IM蠕虫的传播速度进行了初步分析.
仿真实验对IM蠕虫感染500000台主机的时间进行采样,实验表明,IM蠕虫感染时间随着平均联系人数量的增加和发送时间间隔的缩短而不断减少[12].
具体采样数据见表3.
Tabel3TimeofIMwormtoInfect500000machines表3IM蠕虫感染500000台主机时间统计Timetosend(s)Uniquebuddies0.
50.
7511.
522.
51.
2314763941261571.
51522304560752913182736452.
57101421283536912182430实验显示,IM蠕虫通过在线联系人进行传播的速度非常快.
相对于CodeRedII通过选择性随机探测在14小时内感染350000台主机、Slammer蠕虫在15分钟内感染了80000主机的速度,IM蠕虫能够在30s内感染500000台主机的速度显然要快很多.
该仿真实验从另一个方面证明了IM蠕虫是一种Flash蠕虫[1].
5IM蠕虫对抗技术IM蠕虫自身所具有的快速性、隐蔽性和复杂性,不仅使得防火墙和防病毒软件等传统的安全防范技术难以应对IM蠕虫的挑战,而且直接利用主动探测蠕虫和E-mail蠕虫的对抗技术对抗IM蠕虫也无法保证其有效性.
对抗IM蠕虫需要多种技术的综合应用,包括IM蠕虫监测与预警、IM蠕虫传播抑制和阻断、漏洞自动修复等.
本节重点讨论主要的IM蠕虫传播抑制技术.
5.
1关闭服务器服务器过滤技术是一种能够有效抑制E-mail蠕虫传播的技术,而IM蠕虫所传递的URL文本和蠕虫副本文件通常并不经过服务器,因此,服务器过滤技术并不适合抑制IM蠕虫的传播.
虽然即时通信客户端可以直接向联系人发送URL文本,但是客户端在很多重要过程(包括登录和获取联系人信息等)都无法离开服务器,因卿斯汉等:即时通信蠕虫研究与发展2127此,IM蠕虫同样无法脱离服务器单独运行.
典型的关闭服务器抑制IM蠕虫传播的技术为:即时通信的服务提供商暂时关闭服务器,在关闭服务器的时间内对IM蠕虫进行分析,生成客户端补丁程序,然后开启服务器,并在用户再次登录的时候强制用户升级客户端程序.
2005年4月,ReutersMessaging就曾经采用该技术关闭服务器3个小时以上来对抗IM蠕虫的传播[36].
关闭服务器能够有效阻断IM蠕虫的传播,但是这样做最大的缺陷在于会导致正常即时通信的中断.
5.
2切断高连接用户基于对即时通信网络SF拓扑的分析,Smith提出一种通过切断高连接用户抑制IM蠕虫传播的技术:切断联系人数量高的用户与服务器之间的连接,使其无法进行即时通信,以此增加即时通信网络的网络直径,从而减缓IM蠕虫的传播速度,为IM蠕虫分析和发布补丁赢得时间.
Smith通过研究发现:切断联系人数量最高的前10%的用户,能够将余下用户所构成的即时通信网络直径增加两倍,从而有效减慢IM蠕虫的传播步伐[33].
切断高连接用户技术能够起到延缓IM蠕虫传播的作用,但是该技术仍会给一些用户带来严重的影响,而且它要求服务器对每个用户的联系人数量进行排序,因而增加了服务器的工作负荷.
5.
3IM蠕虫扼杀技术Williamson和Parry提出了一种针对快速传播蠕虫的通用扼杀技术[37],并将其应用到抑制IM蠕虫的传播中.
扼杀技术主要通过区分正常用户和IM蠕虫在通信速率上的差异,对异常的IM蠕虫通信进行限制,从而抑制IM蠕虫的传播,其主要组成和流程如图6所示.
首先由服务器为用户维护一张联系人的历史记录(workingset).
当用户试图向某个联系人发送信息时,当服务器判断该联系人在联系人历史记录中时,该消息可以被立即发送;相反情况下,该消息将被放置到延迟队列(delayqueue)中,留待以后发送.
服务器按照设定的速率处理延迟队列中尚未发送的信息,并更新历史记录和延迟队列.
当延迟队列超过设定的警戒阈值时,系统认为存在IM蠕虫的传播企图,所有该用户发出的通信请求都将被阻塞;而且系统还将询问该用户是否了解这些信息的传输[38].
Workingset(n=4)ProcessDelayqueueQueuelengthdetectorRatelimiterClockNotnewNewaddRequesthabdcgfeUpdateFig.
6ThrottlingmechanismforIMworms图6IM蠕虫扼杀机制Williamson和Parry在HP公司的一个拥有710个用户、日发送信息约为552条的Jabber即时通信系统中对扼杀技术进行了实验.
实验设定的历史记录长度为5,延迟队列长度为2,更新速率为每分钟一个新联系人,在实验中,IM蠕虫的传播得到有效抑制[38].
但是,IM蠕虫扼杀技术存在若干缺陷:①不同用户的通信频率和方式有所不同,进行统一的设定势必影响部分用户的正常通信;而为不同用户进行不同的设定将会增加服务器的工作负荷;②对于依赖用户通信行为发起攻击的IM蠕虫,扼杀技术将失效;③IM蠕虫扼杀技术对用户间正常的群组即时通信产生影响,因为群组通信时联系人数量将会超过常规通信时联系人数量,这对历史记录的长度设定构成新的挑战;④扼杀实验中,即时通信用户规模和信息数量相对于现实社会中主要的公用即时通信系统来讲要小很多,其有效性尚不能完全得到验证.
5.
4改进的IM蠕虫扼杀技术Mannan和Oorschot对EyeballChat即时通信系统从2001年9月~2005年4月的统计数据进行分析,发现总计有17840000个文件传播请求和3200000000个文本信息,人均每天的文件传输为1.
84个,而相应的文本传输为334.
03个,文件传输只占文本传输的0.
55%.
针对即时通信中文件和文本传输数量上的巨大差异,Mannan2128JournalofSoftware软件学报Vol.
17,No.
10,October2006和Oorschot对IM蠕虫扼杀技术进行了改进:将扼杀点专注于文件和URL文本之上,而不是对所有通信的传输请求进行抑制.
在改进后的IM蠕虫扼杀技术中,普通的文本传输将不再被延迟而直接放行,而URL文本和文件传输请求将按照相同的扼杀机理判断是否需要延迟发送、是否属于IM蠕虫的传播行为、以及是否需要向用户发出询问[10].
改进后的IM蠕虫扼杀技术进一步提高了原有IM蠕虫扼杀技术的准确性和运行效率,然而它同样面临着参数设定以及被动攻击等方面的问题.
5.
5基于CAPTCHA的IM蠕虫扼杀技术CAPTCHA(completelyautomatedpublicturingtesttotellcomputersandhumansapart)技术[35]是一项采用挑战应答机制验证请求者是自然人还是电脑的技术,它已经被广泛应用到网站(例如Yahoo!
)和电子邮箱(例如163)的注册环节.
基于CAPTCHA的IM蠕虫扼杀技术描述如下:当客户端试图发送文件或者URL文本时,服务器将产生一个如图7所示的挑战信息,并将其发给客户端;对于用户而言,正确回答挑战信息十分容易,而对于IM蠕虫则十分困难,从而达到抑制IM蠕虫通过文件和URL自动传播的目的.
Answerthefollowingchallenge:Fig.
7CAPTCHA'schallenge图7CAPTCHA的挑战信息基于CAPTCHA的IM蠕虫扼杀技术对主动攻击IM蠕虫的传播能够起到有效抑制的作用,然而它也增加了频繁发送文件用户的负担,而且对于依附用户行为攻击的IM蠕虫仍然难以起到抑制作用.
5.
6其他除此之外,Symantec公司提出一套安全强化的即时通信协议,能够防止即时通信软件被某些IM蠕虫滥用,详情请参考文献[38].
目前针对IM蠕虫的对抗技术研究仍然很少,还需要更多的投入.
6结束语通过上述分析,我们可以对IM蠕虫得出如下结论:①IM蠕虫正在步入快速发展阶段,它已经对网络安全构成新的严重威胁,正在成为网络蠕虫的一个重要分支;②IM蠕虫依托于即时通信应用进行传播,它在传播机理、攻击方法和推进机制等方面与其他类型的网络蠕虫存在较大差别;③设计良好的IM蠕虫具有传播速度快和感染范围广的基本技术特点;④现有的网络蠕虫防范技术难以有效抑制IM蠕虫的传播.
除此之外,IM蠕虫还呈现出如下发展趋势:①IM蠕虫攻击的次数迅速增加,攻击频率加快,变种也在不断增多;②IM蠕虫的攻击手法日趋完善和丰富,一方面其利用社会工程知识进行攻击的方法变得更加复杂,另一方面它正逐渐利用系统漏洞进行无用户干预的攻击.
因此有理由相信:IM蠕虫将成为未来几年内网络蠕虫的主要发展方向之一,势必对网络安全提出新的挑战.
鉴于IM蠕虫所呈现出的技术特点和发展趋势,恶意代码研究人员必须加强对IM蠕虫技术的研究,才能尽早地将IM蠕虫扼杀在发展阶段,避免其造成如主动探测蠕虫和E-mail蠕虫那样严重的破坏结果.
在未来一段时间内,IM蠕虫研究的重点将主要包括:①加强对IM蠕虫自身传播机理的研究,弥补现有IM蠕虫传播模型的不足,模拟出IM蠕虫的仿真传播趋势;②加强对IM蠕虫攻击和推进机理的跟踪,探讨新型的攻击方法和推进技术;③增强对IM蠕虫预警和对抗技术的研究,以及讨论如何对IM蠕虫进行追踪和取证.
总之,对抗IM蠕虫将是一个长期的过程,既要掌握当前IM蠕虫的工作机理,又要加强对以后IM蠕虫发展趋势的研究,做到防患于未然.
致谢中科安胜公司的蒙杨和李晓东为本项研究提供了诸多IM蠕虫样本,在此表示感谢.
References:[1]StanifordS,PaxsonV,WeaverN.
HowtoowntheInternetinyoursparetime.
In:BonehD,ed.
Proc.
ofthe11thUsenixSecuritySymp.
SanFrancisco,2002.
http://www.
icir.
org/vern/papers/cdc-usenix-sec02/cdc.
pdf[2]WeaverN.
Warholworms:ThepotentialforveryfastInternetplagues.
2002.
http://www.
cs.
berkeley.
edu/nweaver/warhol.
html卿斯汉等:即时通信蠕虫研究与发展2129[3]KephartJO,ChessDM,WhiteSR.
Computersandepidemiology.
http://www.
research.
ibm.
com/antivirus/SciPapers/Kephart/Spectrum/Spectrum.
html[4]ZouCC,GongW,TowsleyD.
Coderedwormpropagationmodelingandanalysis.
In:Proc.
ofthe9thACMSymp.
onComputerandCommunicationSecurity.
Washington,2002.
138147.
http://tennis.
ecs.
umass.
edu/~czou/research/codered.
pdf[5]ZouCC,TowsleyD,GongW.
Emailwormmodelinganddefense.
2004.
http://www-unix.
ecs.
umass.
edu/~gong/papers/emailModel-ICCCN04.
pdf[6]SongD,MalanR,StoneR.
AsnapshotofglobalInternetwormactivity.
TechnicalReport,ArborNetworks,2001.
http://www.
first.
org/events/progconf/2002/d5-02-song-slides.
pdf[7]Imlogic.
IMmanagement,securityandcompliancesolutions.
2006.
http://www.
imlogic.
com[8]WilliamsonM,ParryA.
Virusthrottlingforinstantmessaging.
In:Proc.
oftheVirusBulletinConf.
(vb2004).
2004.
http://www.
hpl.
hp.
com/techreports/2004/HPL-2004-81.
pdf[9]KienzleDM,ElderMC.
Recentworms:Asurveyandtrends.
In:StanifordS,ed.
Proc.
oftheACMCCSWorkshoponRapidMalcode(WORM2003).
Washington,2003.
110.
[10]MannanM,vanOorschotPC.
Oninstantmessagingworms,analysisandcountermeasures.
In:Proc.
oftheACMCCSWorkshoponRapidMalcode(WORM2005).
Fairfax,2005.
http://www.
scs.
carleton.
ca/~paulv/papers/imworms.
pdf[11]iResearchConsultingGroup.
ChinaInstantMessagingResearchReport.
2005.
http://wwwh.
iresearch.
com.
cn/[12]HindochaN,ChienE.
Maliciousthreatsandvulnerabilitiesininstantmessaging.
2005.
http://www.
symantec.
com/avcenter/reference/malicious.
threats.
instant.
messaging.
pdf[13]IMlogicThreatCenter.
2005real-timecommunicationsecurity:Theyearinreview.
2005.
http://www.
imlogic.
com/pdf/2005ThreatCenter_report.
pdf[14]CN/CERT.
CN/CERTChinaNetworkSecurityResearchAnnualReport.
2005.
http://www.
hais.
org.
cn/doc/2005CNCERTCCAnnualReport_Chinese.
pdf[15]NazarioJ,AndersonJ,WashR,ConnellyC.
ThefutureofInternetworms.
BlackhatBriefings,2001.
http://www.
crimelabs.
net/docs/worm.
html[16]ZhengH.
Internetwormresearch[Ph.
D.
Thesis].
Tianjin:NankaiUniversity,2003(inChinesewithEnglishabstract).
[17]MessengerAPIs.
http://msdn.
microsoft.
com/downloads/list/messengerapi.
asp[18]ICQAPIs.
http://www.
icq.
com/api/[19]W32.
Choke.
Worm.
http://securityresponse.
symantec.
com/avcenter/venc/data/w32.
choke.
worm.
html[20]W32.
Goner.
A@mm.
http://securityresponse.
symantec.
com/avcenter/venc/data/w32.
goner.
a@mm.
html[21]W32.
AimVen@mm.
http://securityresponse.
symantec.
com/avcenter/venc/data/w32.
aimven.
worm.
html[22]W32.
Kelvir.
HI@mm.
http://securityresponse.
symantec.
com/avcenter/venc/data/w32.
kelvir.
hi.
html[23]W32.
SoFunny.
Worm.
http://securityresponse.
symantec.
com/avcenter/venc/data/w32.
sofunny.
html[24]W32.
Aplore@mm.
http://securityresponse.
symantec.
com/avcenter/venc/data/w32.
aplore@mm.
html[25]W32.
Serflog.
A@mm.
http://securityresponse.
symantec.
com/avcenter/venc/data/w32.
serflog.
a@mm.
html[26]W32.
Bizex.
worm.
http://securityresponse.
symantec.
com/avcenter/venc/data/w32.
bizex.
worm.
html[27]W32.
Bropia.
F.
worm.
http://securityresponse.
symantec.
com/avcenter/venc/data/w32.
bropia.
f.
worm.
html[28]StreftarisG,GibsonGJ.
Statisticalinferenceforstochasticepidemicmodels.
In:Proc.
ofthe17thInt'lWorkshoponStatisticalModelling.
Chania,2002.
609616.
http://www.
ma.
hw.
ac.
uk/~georges/research/SG_iwsm02.
pdf[29]FrauenthalJC.
MathematicalModelinginEpidemiology.
NewYork:Springer-Verlag,1980.
[30]WangY,WangCX.
Modelingtheeffectsoftimingparametersonviruspropagation.
In:StanifordS,ed.
Proc.
oftheACMCCSWorkshoponRapidMalcode(WORM2003).
Washington,2003.
http://www.
ece.
cmu.
edu/~chenxi/pub/worm.
pdf[31]AdamicLA,LukoseRM,PuniyaniAR,Huberman1BA.
Searchinpower-lawnetworks.
TechnicalReport,1063-651X,AmericanPhysicalSociety,2001.
6471.
http://www.
hpl.
hp.
com/research/idl/papers/plsearch/pre46135.
pdf[32]GohK,OhE,JeongH,KahngB,KimD.
Classificationofscale-freenetworks.
PNAS,2002,99(20):1258312588.
[33]SmithRD.
Instantmessagingasascale-freenetwork.
2006.
http://arxiv.
org/abs/cond-mat/0206378[34]Pastor-SatorrasR,VespignaniA.
Epidemicspreadinginscale-freenetworks.
TheAmericanPhysicalSociety,2001,86(14):32003203.
[35]CarnegieMellonUniversity.
Theprojectofcompletelyautomatedpublicturingtesttotellcomputersandhumansapart.
2005.
http://www.
captcha.
net/[36]News.
comStaff.
Yahoofillsinmessengerhole.
2005.
http://news.
com.
com/2100-1023-923638.
html2130JournalofSoftware软件学报Vol.
17,No.
10,October2006[37]WilliamsonM.
Throttlingviruses:Restrictingpropagationtodefeatmaliciousmobilecode.
In:Proc.
ofthe18thAnnualComputerSecurityApplicationsConf.
(ACSAC).
LasVegas,2002.
6168.
http://www.
acsa-admin.
org/2002/papers/97.
pdf[38]SymantecGroup.
Securinginstantmessaging.
2006.
http://www.
symantec.
com/avcenter/reference/secure.
instant.
messaging.
pdf附中文参考文献:[11]iResearchConsultingGroup.
中国即时通信研究报告2005.
http://wwwh.
iresearch.
com.
cn/[14]国家计算机网络应急技术处理协调中心.
CNCERT/CC2005年网络安全工作报告.
http://www.
hais.
org.
cn/doc/2005CNCERTCCAnnualReport_Chinese.
pdf[16]郑辉.
Internet蠕虫研究[博士学位论文].
天津:南开大学,2003.
卿斯汉(1939-),男,研究员,博士生导师,CCF高级会员,主要研究领域为信息系统安全理论和技术.
何建波(1978-),男,博士生,主要研究领域为信息系统安全技术.
王超(1978-),男,江苏宿迁人,博士生,主要研究领域为网络信息安全,恶意代码.
李大治(1976-),男,工程师,主要研究领域为信息系统安全技术.
《软件学报》无线传感器网络专刊征文通知无线传感器网络作为一个新的研究领域,在基础理论和工程技术两个层面向科技工作者提出了大量的挑战性研究课题,引起了学术界和工业界的共同关注,已经成为十分重要和非常热烈的研究领域.
近年来,国内外开展了大量研究,取得了很多研究成果.
为此,软件学报将于2007年第5期出版无线传感器网络专刊(SpecialIssueonSensorNetworks),尽快报道国内外科技工作者在无线传感器网络方面的取得的研究成果,展望无线传感器网络的研究方向,推动我国无线传感器网络的研究和工程应用.
本专刊面向国内外征集论文,欢迎广大学者、专家、工程技术人员积极投稿,现将专刊论文征集的有关事项通知如下:专刊题目:无线传感器网络特约编辑:李建中(哈尔滨工业大学)一、征文范围1.
无线传感器网络节点系统的理论和技术.
包括节点操作系统技术、数据采集与处理的理论与技术等.
2.
无线传感器网络的基础设施的理论和技术.
包括无线传感器网络覆盖和拓扑控制的理论和技术、无线传感器网络时间同步的理论和技术、无线传感器网络中节点定位的理论和技术、无线传感器网络安全的理论和技术.
3.
无线传感器网络通信协议的理论和技术.
包括MAC层通信协议、路由层通信协议、网络层协议等通信协议的理论和技术.
4.
无线传感器网络数据管理和中间件的理论和技术.
包括数据模型和查询语言、感知数据的分布式存储方法、分布式数据操作算法、查询处理技术、感知数据挖掘与分析技术、数据融合技术、中间件技术、服务质量管理等.
5.
无线传感器网络实践与应用.
包括无线传感器网络中间件系统、数据管理系统以及各种应用系统等.
征文范围不仅限于上述内容,所有与无线传感器网络相关的内容均可投稿.
二、投稿要求1.
投稿方式:采用"软件学报在线投稿系统"(http://www.
jos.
org.
cn:8080/jos/jsp/index.
jsp)投稿.
注意事项:请在投稿时,在投稿类型中选择"专刊"类型,并在备注栏中注明"无线传感器网络"字样.
2.
稿件格式:参照《软件学报》论文格式(学报网站上提供了论文模版,可下载http://www.
jos.
org.
cn/download.
htm).
3.
投稿文章未在正式出版物上发表过,也不在其他刊物或会议的审稿过程中,不存在一稿多投现象;保证投稿文章的合法性(无抄袭、剽窃、侵权等不良行为).
4.
其他投稿须知请参阅《软件学报》投稿指南http://www.
jos.
org.
cn/directory.
htm5.
专刊投稿文章不收审理费;通过初审的投稿作者需提交投稿声明;录用刊发文章将收取软件学报标准版面费;发表之后,将按软件学报标准支付稿酬,并赠送样刊及单行本.
三、重要时间截稿日期:2006年12月31日录用通知发出时间:2007年2月15日录用修改稿提交日期:2007年3月15日出版日期:2007年第5期