（计算机应用技术专业论文）无结构p2p网络下蠕虫传播模型及其仿真分析研究.pdf

西北大学硕士学位论文 摘要 p 2 p ( p e e r - t o - p e e r ) 网络日益流行的同时也为蠕虫提供了温床。最近，一种 新型蠕虫p 2 p 蠕虫的出现，使网络面临新的威胁。这种蠕虫利用p 2 p 系统进 行传播，使其传播更加隐蔽、精确。因此，对基于p 2 p 网络的蠕虫及其传播规 律、防护技术的研究十分迫切，因而成为近期在网络安全领域研究的一个热点。 其中，对p 2 p 网络蠕虫传播模型的研究是很重要的方面。通过对p 2 p 蠕虫传播 模型的研究，可以得到其在网络上广泛传播的规律，进而研究抑制蠕虫传播的方 法。本文在分析p 2 p 蠕虫传播模型的基础上，利用仿真的方法来研究p 2 p 蠕虫 传播行为，并根据实验数据分析影响其传播的主要因素。主要包括以下内容： 1 分析了网络蠕虫行为特征，提出一个简单的蠕虫模拟框架，对网络拓扑 结构进行了有选择性的抽象，采用了分层的方式( 具体分为宏观层和微观层) 模 拟蠕虫的传播。将宏观层的数学分析模型和微观层基于包级别的仿真技术结合， 优势互补，从而避免仿真粒度过粗或过细带来的问题。 2 深入研究了无结构p 2 p 网络蠕虫( u p 2 p _ _ 1 玎s 咖c t u r e dp 2 p ) 的模拟方 法，设计和实现了一个u p 2 p 蠕虫传播仿真系统_ u 1 7 2 p w s 。系统的设计思想 是，通过u p 2 p 蠕虫传播的数学模型来刻画和研究u p 2 p 蠕虫在宏观层的传播规 律，通过模拟蠕虫在网络中的真实活动来实现u p 2 p 蠕虫在微观层的仿真，并选 取了一种广泛应用的无结构p 2 p 网络g n m e l l a 作为蠕虫传播的媒介，对其进 行基于包层次的仿真。论文对系统架构、工作流程、u p 2 p 蠕虫宏观层模拟、微 观层模拟等实现问题进行了深入讨论。 3 通过改变蠕虫传播条件，在u p 2 p w s 系统上完成了一系列实验，并依据 实验结果分析了影响u p 2 p 蠕虫传播的主要因素。结果表明：所提出的蠕虫传播 模型和仿真实验环境是有效的，能够真实反映u p 2 p 蠕虫的传播过程，能够为蠕 虫传播研究提供有价值的实验数据及参考方案。 关键词：蠕虫，p 2 p 网络，传播模型，模拟 西北大学硕士学位论文 a b s t r a c t t h ep o p u l a r i t yo f p e e r - t o - p e e r ( p 2 p ) n e t w o r k sm a k e st h e ma l la t t r a c t i v et a r g e tt o t h ec r e a t o r so fw o r m s r e c e n t l y ，t h en e t w o r km u s tf a c ean e wt r e n di nw o r m d e s i g n ： p e e r - t o - p e e rw o r m s p 2 pw o r mi saw o r mt h a tm a k e su s eo fap 2 ps y s t e mt os p r e a d f r o mo n em a c h i n et oa n o t h e r ，a n dp r o p a g a t e sm o r ef u r t i v e l ya n da c c u r a t e l y t h u st h e r e s e a r c h e so nt h ed i s c i p l i n eo fp r o p a g a t i o na n dt h ed e f e n s et e c h n o l o g ya b o u tp 2 p w o r ma r en e e d e d ，a n dt h e s er e s e a r c h e sb e c o m et h eh o tp o i n ti nt h es e c u r i t yf i e l d a m o n gt h e s er e s e a r c h e s p 2 pw o r mp r o p a g a t i o ni sv e r yi m p o r t a n ta s p e c t b a s e do n t h er e s e a r c ho fp 2 pw o r mm o d e l i n g ，t h ed i s c i p l i n eo fw o r mp r o p a g a t i o nc a nb e p r o p o s e d ，a n dt h es t u d yo fp o s s i b l em i t i g a t i o nm e c h a n i s m sc a nb ei m p r o v e d i nt h i s t h e s i s ，t h ep 2 pw o r m sb e h a v i o r sa r ea n a l y z e db ys i m u l a t i n gt h ep 2 pw o r m s p r o p a g a t i o n t h em a j o rw o r k si n v o l v e da r ea sf o l l o w s ： f i r s t l y ，t h ec h a r a c t e r i s t i c so fp 2 pw o n na r ea n a l y z e d ，a n das i m p l ef r a m e w o r k f o rs i m u l a t i n gw o r m sp r o p a g a t i o ni sp r o p o s e d i nt h i sf r a m e w o r k , t h et o p o l o g yo f n e t w o r ki sa b s t r a c t e ds e l e c t i v e l ya n ds e p a r a t e di n t ot w op a r t s ：m a c m s c o p i e a la n d m i c r o c o s m i cp a r t i tc o m b i n e sp a c k e t - l e v e ls i m u l a t i o n sw i t ha n a l y t i c a lm e t h o d o l o g y , i no r d e rt oa v o i dt h ep r o b l e m sc a u s e db yt h a tt h eg r a n u l a r i t yo fs i m u l a t i o ni sc o a r s eo r t o os m a l l s e c o n d l y , t h em e t h o d so fs i m u l a t i n gt h eu p 2 p ( u n s t r u c t u r e dp 2 p ) w o r mt h a t p r o p a g a t e si nt h eu n s t r u c t u r e dp 2 pn e t w o r k sa r ea n a l y z e d ，a n dt h eu p 2 p w ss y s t e m w h i c hs i m u l a t e st h ep r o p a g a t i o no ft h eu p 2 pw o r mi sd e s i g n e da n di m p l e m e n t e d t h ed e s i g ni d e a sa r e ：t h es i m u l a t i o no fp r o p a g a t i o ni nt h e m a c r o s c o p i c a lp a r ti s r e a l i z e db yb u i l d i n gt h em a t h e m a t i c a lm o d e l ，t h es i m u l a t i o no fw o r m p r o p a g a t i o ni n ， t h em i c r o c o s m i cp a r ti sr e a l i z e db ys i m u l a t i n gt h en e t w o r ka c t i v i t i e sp r o d u c e db y w o r m s ，a n dap o p u l a ru n s t r u c t u r e dp 2 ps y s t e m ，g n u t e l l a , w h i c ht h eu p 2 pw o r m s p r e a d si n ，i ss i m u l a t e di np a c k e tl e v e l t h ef r a m e w o r ka n dt h ew o r k f l o wo ft h e s y s t e ma r ep r o p o s e d t h et e c h n i q u e sa b o u ts i m u l a t i n gt h ep r o p a g a t i o no f u p 2 pw o r m b o t hi nm a c r o s c o p i c a la n dm i c r o c o s m i cp a r ta r ed i s c u s s e di nd e t a i l i i 西北大学硕士学位论文 a tl a s t ，b a s e do nt h eu p 2 p w s i m ，t h es i m u l a t i o ne x p e r i m e n ta b o u tu p 2 pw o r m s i sd o n e ，a n dt h ee f f e c t so ft h ee x p e r i m e n ti nd i f f e r e n tc o n d i t i o n sa l ee x a m i n e di n d e t a i l t h em a i nf a c t o r sw h i c hi n f l u e n c et h ew o r ma r ea n a l y z e db a s e do nt h ed a t a t h er e s u l t si l l u s t r a t et h a tt h e w o i t l l p r o p a g a t i o nm o d e l s a n dt h ee x p e r i m e n t e n v i r o n m e n ta l ev a l i da n de f f e c t i v e ，a n dt h ee x p e r i m e n td a t aa n ds c e n a r i oa l ea l s o v a l u a b l ef o rt h es t u d yo f w o r mp r o p a g a t i o n k e yw o r d s ：p 2 pw 0 1 t n ，p r o p a g a t i o nm o d e l ，s i m u l a t i o n i i i 西北大学学位论文知识产权声明书 本人完全了解学校有关保护知识产权的规定，即：研究生在校攻 读学位期间论文工作的知识产权单位属于西北大学。学校有权保留并 向国家有关部门或机构送交论文的复印件和电子版。本人允许论文被 查阅和借阅。学校可以将本学位论文的全部或部分内容编入有关数据 库进行检索，可以采用影印、缩印或扫描等复制手段保存和汇编本学 位论文。同时，本人保证，毕业后结合学位论文研究课题再撰写的文 章一律注明作者单位为西北大学。 学位论文作者签名： 凌i i 丝 指导教师签名： 研7 年5 月日卫司年 西北大学学位论文独创性声明 本人声明：所呈交的学位论文是本人在导师指导下进行的研 究工作及取得的研究成果。据我所知，除了文中特别加以标注和 致谢的地方外，本论文不包含其他人已经发表或撰写过的研究成 果，也不包含为获得西北大学或其它教育机构的学位或证书而使 用过的材料。与我一同工作的同志对本研究所做的任何贡献均已 在论文中作了明确的说明并表示谢意。 学位论文作者签名：乔乏，午 洄年j 月尹日 7 西北大学硕士学位论文 第一章前言 本章首先介绍了本文的研究背景和意义，以及相关领域的研究现状；随后 阐明了课题研究的主要内容和目的，最后给出了论文的章节安排。 1 1 研究的背景和意义 目前，数以万计的i n t e r n e t 用户使用p 2 p 网络来共享文件。在k a z a a 的网站 上列出共有近3 8 亿下载数据，而一周内就会新增8 0 万下载数据( 2 0 0 7 月4 月 1 4 日) 。s t u t z b a c h 等人使用了一种快速精确的爬行器，发现仅在几分钟内就有 一百多亿在线的g - n u t e l l a 节点【1 1 。由于分散且可自组织的p 2 p 网络具有很高的可 测量性和可靠性，其它相关的应用也开始使用p 2 p 协议。例如，一种流行的基 于i n t e r n e t 的语音系统s k y p e 就使用了类似g n u t e l l a 的协议。 但大范围配置的p 2 p 系统有很大的安全隐患：第一，用户下载的文件里可 能会嵌入恶意代码。第二，p 2 p 客户端软件可能含有能够被黑客攻击的漏洞尤 其，大部分p 2 p 系统的客户端会运行同类软件。例如，最近研究发现，近7 5 的c m u t e l l a 客户端运行同样的软件( l i m e w i r e ) t 1 1 而这种软件如果存在漏洞，将 会导致大范围的主机成为攻击的对象而且目前的p 2 p 软件多样性强且管理不 够完善，安全漏洞难以避免，一旦某个漏洞被发掘出来，将严重危害数以千万计 的p 2 p 用户。这些安全隐患为网络蠕虫的传播提供了便利，从而可能使p 2 p 节 点被用来获取终端用户的敏感信息，或留下后门用于将来的攻击。 在2 0 0 5 年召开的i p t p s 会议上，p 2 p 蠕虫的概念被正式提出1 2 1 ，其严重 的危害性也引起了重视。p 2 p 蠕虫主要通过两种方式在网络中传播：利用覆盖网 拓扑进行传播和通过伪装成共享文件引诱用户下载进行传播。近年来，该类蠕虫 在k a z a a 这类大型p 2 p 网络中大量涌现，2 0 0 5 年1 1 月1 4 日在s y m a n t e c 病毒和 蠕虫报告中有4 5 8 案例与 k a z a a 有关。 z h o u 等 2 1 指出利用覆盖网络拓扑进行传播使p 2 p 蠕虫省去扫描过程，令传 播更隐蔽，攻击更精确高效，使目前绝大多数针对扫描型蠕虫的防御机制失效。 西北大学硕士学位论文 所以对p 2 p 蠕虫的研究迫在眉睫。通过对p 2 p 蠕虫传播及其仿真的研究，可以 有效地研究蠕虫的扩散特性，掌握蠕虫在p 2 p 网络上的行为过程，从而为蠕虫 检测和控制提供有价值的参考数据。 1 2 国内外研究现状 目前，网络蠕虫己成为网络安全领域的一个研究热点。在蠕虫传播方面， 大量的研究工作已经展开。近年来代表性的研究包括：n w e a v e r t 3 j 对一种能够快 速传播的理想蠕虫( w a r h o l 蠕虫) 的传播过程进行的简单模拟，w a r h o l 蠕虫装配 了有漏洞的主机列表，在他实验中模拟的结果显示这种理论上的蠕虫可以在1 5 分钟之内感染9 0 0 万台主机；s t a n i f o r d 将生物医学中的传染病s i 模型引入到了 对计算机蠕虫的分析中，提出了一种基于微分方程的数学模型；f r a u e n t h a l 在s i 模型的基础上考虑感染主机的状态，提出了s i r 模型；z o u f 4 通过加入人为控制 和网络流量对蠕虫传播的影响因素将传染病模型改进为一种双因素模型；汤占勇 等人垆】引入良性蠕虫的对抗提出了s s i r a 模型：区别于基于微分方程的扩散模 型c h e r t 6 提出了一种离散的数学模型a a w p 模型。以上数学模型都假定整个 i n t e m e t 为一个完全连通图，任何两个结点都可达。前四个模型是基于微分方程 的，忽略了蠕虫行为中各种离散的因素，比如几个主机被一个蠕虫的一个线程攻 击，攻击过程的时间段是不能交叉的。 相对于其它蠕虫，p 2 p 蠕虫的相关研究比较少。这种蠕虫不主动地随机选 择地址，它通过合法的网络活动或网络拓扑信息来传播嘲。近来的研究主要通过 收集到的经验数据来理解p 2 p 网络：g u m m a d i 发现p 2 p 文件的流行度服从口分 布而且大多数用户对一个文件只下载一次【8 1 ；还有研究表明p 2 p 网络拓扑服从 p o w e r - l a w 分布1 9 。这些研究结果为p 2 p 蠕虫研究提供了拓扑依据。s t a n i f o r d 6 1 曾指出p 2 p 系统具有非常适合蠕虫传播的特性。j a y a n t h k u m a x 1 0 】提出了通过发掘 p 2 p 系统应用漏洞、收集被感染机器的p 2 p 邻居构造攻击列表进行传播的蠕虫。 这种蠕虫比基于文件共享策略传播的蠕虫攻击性更强，其传播规则是s t a n i f o r d 的攻击列表设想在对等网中的推广。z h o u 2 1 等通过一个模拟框架研究蠕虫传播策 略，这个模拟框架模拟了许多p 2 p 协议如c m u t e l l a ，g i a ，p a 啦严1 。w y u 等人 2 西北大学硕士学位论文 通过分析，给出不同参数如何影响结构化p 2 p 和无结构化p 2 p 蠕虫的传播【1 1 l 。 许多研究和以上的研究比较类似，主要注重基于p 2 p 用户列表进行传播的蠕虫， 并假设蠕虫通过一个静态的p 2 p 拓扑环境来向邻居节点扩散的，而没有考虑节 点间交互的细节。 数学建模工作基本勾勒出了蠕虫的客观传播过程，可以用做定性的分析， 但在定量分析方面存在一定的局限性，它们都是在一个理想化的模拟网络环境中 进行研究的，忽视了真实世界网络的拓扑层次；而单纯基于网络拓扑对大规模蠕 虫进行模拟又不现实。基于以上原因，本文试图将数学模型和基于底层网络活动 的蠕虫模拟结合在一起，提出一个蠕虫模拟框架，对网络拓扑进行抽象，并划分 为宏观层和微观层可以从整体上把握p 2 p 蠕虫传播宏观趋势的同时将局部网 络活动的细节展现出来。 1 3 研究的目的和内容 本文的研究目的主要是：通过仿真的方法，理解无结构p 2 p 网络环境中蠕 虫的传播特征，并分析影响蠕虫传播的主要因素。具体内容主要有以下几个方面： l 、分析了p 2 p 蠕虫的定义、分类及行为特征，讨论p 2 p 网络容易受到蠕虫 攻击的原因。 2 、鉴于大规模网络蠕虫模拟的难点，将网络拓扑进行抽象和划分，提出一 个蠕虫模拟框架，具体将网络划分为宏观层和微观层，将蠕虫的数学分析模型和 基于包级别的仿真结合在一起，从而避免仿真粒度过租或过细带来的问题。 3 、在现有p 2 p 蠕虫传播模型的基础上，针对无结构p 2 p 网络中的蠕虫 - i 】p 2 p 蠕虫( u n s t r u c t u r e dp 2 p 蠕虫) 提出传播模型，为u p 2 p 蠕虫在宏观层 的模拟提供理论依据。 4 、讨论了p 2 p 蠕虫传播环境p 2 p 网络的模拟框架并具体针对一种典 型的无结构p 2 p 网络g n i l t e h a 网络，讨论对其实现基于包层次的模拟。为 u p 2 p 蠕虫在微观层的模拟提供技术支持。 5 、在以上理论和技术的基础上，实现了一个模拟u p 2 p 蠕虫传播的仿真系 统( i j p 2 p w s i m ) 。并基于该系统，通过不同实验条件下得到的结果，分析影响u p 2 p 西北大学硕士学位论文 蠕虫传播的主要因素，及其对网络带来的影响。 1 4 论文结构和章节安排 本文接下来的章节安排如下： 第二章分析了p 2 p 蠕虫行为特征，主要包括p 2 p 蠕虫的定义、分类及工作 机制，在此基础上分析总结出p 2 p 蠕虫的特点，并提出蠕虫模拟的框架，为p 2 p 蠕虫的模拟提供了理论基础。 第三章研究了无结构p 2 p 网络下蠕虫i j p 2 p 蠕虫( u n s t r u c t u r e dp 2 p 蠕 虫) 的传播模型，通过分析和改进一些现有的u p 2 p 蠕虫传播模型，分别对第二 章提出的两类p 2 p 蠕虫建立数学模型。 第四章讨论了蠕虫传播的媒介p 2 p 网络拓扑的模拟。并具体讨论了一 种典型的无结构p 2 p 网络g 肌t e 】l a 网络的模拟实现框架，该框架不仅考虑了 底层包的延迟、丢失、网络的拥塞，还模拟了g n u t e l l a 协议及其应用软件。 第五章详细介绍了u p 2 p 蠕虫传播仿真系统叫】p 2 p 、髑i m 的设计与实现。 该系统建立在n s 平台基础之上，利于其已实现的底层网络拓扑构建u p 2 p w s i m 系统，并在第三、四章相关理论的基础上讨论了系统的实现。 第六章在u p 2 p w s i m 系统中进行一系列仿真实验，对不同实验条件下的结 果进行比较，分析了不同因素对蠕虫传播规律的影响。并分析了模拟结果的真实 性及蠕虫对网络带来的影响。 第七章对全文进行了总结，并对未来工作做了进一步的展望。 4 西北大学硕士学位论文 第二章p 2 p 蠕虫行为特征及模拟框架 p 2 p 蠕虫作为一种新出现的蠕虫，与以往流行的随机扫描蠕虫有着不同的 特征。而p 2 p 蠕虫的行为与p 2 p 网络活动有着很大的关系，本章首先从讨论p 2 p 网络的结构特征开始，之后对p 2 p 蠕虫相关的基本概念作了分析，包括蠕虫的 定义、分类、及其工作机制，并总结了p ”蠕虫的行为特征，在此基础上鉴于 大规模蠕虫模拟的难点提出一个p 2 p 蠕虫模拟框架。 2 1p 2 p 网络结构特征 2 1 1 p 2 p 网络定义及特点 p 2 p 是一种分布式网络，网络的参与者共享它们所拥有的一部分硬件资源 ( 处理能力、存储能力、网络连接能力、打印机等) ，这些共享资源需要由网络 提供服务和内容，能被其它对等节点( p e e r ) 直接访问而无需经过中间实体。在此 网络中的参与者既是资源( 服务和内容) 的提供者( s e r v e r ) ，又是资源( 服务 和内容) 的获取者( c l i e n t ) p 2 p 打破了传统的c l i e n t s e r v e r ( c s ) 模式，在网 络中的每个节点的地位都是对等的【1 2 】。p 2 p 网络的核一f i , 是加入网络中的每个实体 的对等性，每个节点不仅可以请求服务，更可以提供服务，任意两个节点之间也 可以不通过第三方直接进行数据的传输，而且p 2 p 网络每个实体的物理属性也 可不同，既可以是一个工作站也可以是普通的p c 机。p 2 p 与c s 模式的对比如 图2 1 所示。 p 2 p 技术的特点体现在以下几个方面： 1 、分散化( d e c e n t r a l i z a t i o n ) ：网络中的资源和服务分散在所有节点上， 信息的传输和服务的实现都直接在节点之间进行，可以无需中间环节和服务器的 介入，避免了可能的瓶颈。p 2 p 分散化的基本特点，带来了其在可扩展性、健壮 性等方面的优势 2 、可扩展性( v a l u a b l ee x t e r n a l i t i e s ) ：在传统的c s 架构中，系统能够 西北大学硕士学位论文 图2 1p 2 p 与c s 模式对比1 1 容纳的用户数量和提供服务的能力主要受服务器的资源限制。而在p 2 p 网络中， 随着用户的加入，不仅服务的需求增加了，系统整体的资源和服务能力也在同步 地扩充，始终能较容易地满足用户的需要。整个体系是全分布的，不存在瓶颈。 理论上其可扩展性几乎可以认为是无限的。 3 、健壮性：p 2 p 架构天生具有耐攻击、高容错的优点由于服务是分散在 各个节点之间进行的，部分节点或网络遭到破坏对其它部分的影响很小。p 2 p 网 络一般在部分节点失效时能够自动调整整体拓扑，保持其它节点的连通性p 2 p 网络通常都是以自组织的方式建立。 2 1 2 p 2 p 网络结构类型 根据拓扑结构的关系可以将p 2 p 网络结构分为两种形式：无结构化拓扑 ( d e c e n t r a l i z e du n s t r u c t u r e dt o p o l o g y ) 和结构化拓扑( d e c e n t r a l i z e ds t r u c t u r e d t o p o l o g y ，也称作d h t 网络) 1 、p 2 p 无结构化拓扑模式也被称作广播式的p 2 p 模型u 3 。它取消了集中的 中央服务器，每个用户随机接入网络，并与自己相邻的一组邻居节点通过端到端 连接构成一个逻辑覆盖的网络。对等节点之间的内容查询和内容共享都是直接通 过相邻节点广播接力传递，同时每个节点还会记录搜索轨迹，以防止搜索环路的 产生。 6 西北大学硕士学位论文 g n u t e l l a 模型是现在应用最广泛的纯p 2 p 无结构化拓扑结构，它解决了网络 结构中心化的问题，扩展性和容错性较好，但是c r a u t e l l a 网络中的搜索算法以泛 洪的方式进行，控制信息的泛滥消耗了大量带宽并很快造成网络拥塞甚至网络的 不稳定。同时，局部性能较差的节点可能会导致g n u t e l l a 网络被分片，从而导致 整个网络的可用性较差，另外这类系统更容易受到垃圾信息，甚至是病毒的恶意 攻击。 2 、所谓结构化与无结构化模型的根本区别，在于每个节点所维护的邻居是 否能够按照某种全局方式组织起来以利于快速查找【”1 。结构化p 2 p 模式，是一 种采用纯分布式的消息传递机制和根据关键字进行查找的定位服务，目前的主流 方法是采用分布式哈希表( d h t ) 技术，这也是目前扩展性最好的p 2 p 路由方式之 一 在d h t 技术中，网络节点按照一定的方式分配一个唯一节点标识符( n o d e d ) ，资源对象通过散列运算产生一个唯一的资源标识符( o b j e c ti d ) ，且该资源 将存储在节点d 与之相等或者相近的节点上。需要查找该资源时，采用同样的 方法可定位到存储该资源的节点。在m i t ( 马塞州技术研究院) ，开展了多个与 p 2 p 相关的研究项目：c h o r d ，g r i d 和r o n 。 这些系统一般都假定节点具有相同的能力，这对于规模较小的系统较为有 效。但这种假设并不适合大规模的i n t e r n e t 部署。同时基于d h t 的拓扑维护和 修复算法也比g - n u t e l l a 模型等无结构系统复杂得多，甚至在c h o r d 项目中产生了 镜路”的问题。事实上，目前大量实际应用还大都是基于无结构的拓扑和泛洪广 播机制，现在大多采用d h t 方式的p 2 p 系统缺乏在i n t e r n e t 中大规模真实部署 的实例，成功应用比较少见。 2 1 3 p 2 p 网络受到蠕虫攻击的原因 有许多因素使p 2 p 网络很容易受到恶意代码的攻击。早期的p 2 p 网络如 n a s p t e r 只能用来共享m p 3 文件，而这些文件不能被嵌入恶意代码i t 4 1 。但当前的 一些p 2 p 网络，如k a z a a f a s t r a c k 和e d o n k e y 2 0 0 0 可以散播可执行文件，而这些 文件可以被嵌入恶意代码。p 2 p 网络中的每个节点既是客户端又是服务端，对于 西北大学硕士学位论文 攻击者来说，发现一对可以攻击的对象( 服务器和客户端) 比发现单个可以攻击 的对象( 只有客户端或服务端) 要省事得多。p 2 p 系统有许多可以被攻击者利用 的特征： 1 、节点之间相互连接，每个节点连接其它许多不同节点； 2 、p 2 p 系统通常用来传输比较大的文件； 3 、p 2 p 协议通常不被视作主流，因此基于入侵检测系统和异常攻击分析的 监控对这种攻击会疏忽： 4 、代码通常在用户的主机上执行而不是服务器，因此像密码、信用卡、通 讯录这些敏感文件信息会更容易获得； 5 、p 2 p 网络通常会允许传播“灰色”内容的文件( 如色情文学，偏激音乐和 视频等) ，这使得p 2 p 用户不太注意任何察觉到的系统异常行为。 6 、由于p 2 p 网络中逻辑相邻的节点，地理位置可能相隔很远，而参与p 2 p 网络的节点数量又非常大，因此通过p 2 p 系统传播的蠕虫，波及范围大，覆盖 面广，从而造成的损失会很大。 7 、在p 2 p 网络中，每个节点防御病毒的能力是不同的。只要有一个节点感 染病毒，就可以通过内部共享和通信机制将病毒扩散到附近的邻居节点在短时 间内可以造成网络拥塞甚至瘫痪，共享信息丢失，机密信息失窃，甚至通过网络 病毒可以完全控制整个网络。 2 2p 2 p 蠕虫定义及分类 p 2 p 蠕虫是一种利用p 2 p 网络从一台机器传播到另一台机器上的蠕虫【嘲 文献 1 6 】将基于p 2 p 蠕虫分为三种：被动性( p a s s i v e ) 蠕虫，它们将自己隐藏 在感染文件里诱导用户下载并执行它；反应性( r e a c t i v e ) 蠕虫，只是通过合法 的网络活动进行传播；前摄性( p r o a c t i v e ) 蠕虫，可以利用拓扑信息自动连接并 感染已知的节点。 文献【1 7 】将p 2 p 蠕虫根据传播策略可分为两种：第一种基于社会工程学， 将蠕虫代码伪装后提供下载传播，目前这种蠕虫已有不下数十种，即文献 1 6 】中 的前两种；第二种发掘漏洞，利用对等网拓扑及其交互性质自主扩散。 西北大学硕士学位论文 文献【1 5 】将p 2 p 蠕虫分为两种：基于拓扑扫描的p 2 p 蠕虫，指利用被感染 p 2 p 节点上的邻居节点的信息来传播；被动蠕虫，现有大多数蠕虫都属于这种类 型，这种蠕虫不寻找目标，而是随着网络正常的活动而传播。 而从p 2 p 的网络拓扑结构的角度来看又可以分为无结构的p 2 p 蠕虫和结构 化的p 2 p 蠕虫，不同的网络拓扑结构，p 2 p 蠕虫呈现出不同的传播特征。 通过总结以上各种分类方式，本文根据蠕虫的传播方式将p 2 p 蠕虫分为两 种：主动p 2 p 蠕虫，利用被感染p 2 p 节点上的拓扑信息进行主动传播；被动p 2 p 蠕虫，将蠕虫代码伪装后隐藏在被感染p 2 p 节点的共享文件夹下，通过其它用 户下载而被动地进行传播。 2 3p 2 p 蠕虫工作机制 2 3 1 蠕虫的工作机制 网络蠕虫的工作机制1 8 】如图2 2 所示。网络蠕虫攻击行为可以分为四个阶 段：信息收集、扫描探测、攻击渗透和自我推进。 网络蠕虫的工作机制如图2 2 所示。网络蠕虫攻击行为可以分为四个阶段： 信息收集、扫描探测、攻击渗透和自我推进 信息收集：完成对本地和目标节点主 机的信息汇集。 扫描探测：完成对具体目标主机服务 漏洞的检测。 攻击渗透：利用已发现的服务漏洞实 图2 2 网络蠕虫工作机制。1 q 施攻击。 自我推进：完成对目标节点的感染。 针对每一个具体的蠕虫，四个部分会有不同的实现方式，但从总体上实现 的功能是类似的。作为网络蠕虫的一种，p 2 p 蠕虫也遵循以上的工作机制。下面 具体从2 2 节总结的两类p 2 p 蠕虫来进行分析。 9 西北大学硬士学位论文 2 3 2 主动p 2 p 蠕虫的工作机制 主动p 2 p 蠕虫的工作机制类似于h i t - l i s t 扫描蠕虫，这种蠕虫在传播之前先 搜集一些有漏洞的计算机地址列表，传播时先感染这些地址列表中的计算机，然 后这些感染的计算机再随机扫描互联网上的其它计算机。目前产生h i t - l i s t 的技 术主要有：秘密扫描( s t e a t h ys c a n s ) 、分布式扫描( d i s t r i b u t e ds c a n n i n g ) 、d n s 搜 索( d n ss e a r c h e s ) 、仅监听( j u s tl i s t e n ) 、公开调查( p u b l i cs u r v e y s ) 等。而主动p 2 p 蠕虫对应的h i t - l i s t 则是已被攻击的p 2 p 节点上现有的用户列表信息，而且感染 后的节点不需要再进行随机扫描，现有的很多基于p 2 p 思想的i m 蠕虫就是这种 工作机制。 典型的主动p 2 p 蠕虫是q q 蠕虫，它的工作机制如下：它每感染台机器 之后，都会在本机创建一个最简单的h t t p 服务器，然后启动新线程，在新线程中 寻找q q 的“发送消息”窗口，一旦找到，通过设置消息文本框的内容并控制“发 送消息( & s ) ”按钮来达到发送欺骗性消息的目的。当对方收到消息，点击连接后， 就会启动皿，和第一台机器的h t i p 服务器通信，下载h t m l 页面并执行其中的 v b s 代码，v b s 将自身拷贝到机器上并运行，蠕虫完成一次传播。然后在新感染 的机器上创建h t t p 服务器，再向它的好友发送消息。 2 3 3 被动p 2 p 蠕虫的工作机制 被动p 2 p 蠕虫伪装成极有吸引力的文件驻留在被感染主机上的共享文件夹 中，引诱人们下载。当其它节点下载其中的某个文件时，蠕虫就会传播到这个主 机上，当用户执行这些文件时，蠕虫将自己复制为多个副本，并以引人注意的文 件名命名，放在这个主机的共享文件夹中等待其它节点访问在2 0 0 2 年3 月1 8 日爆发的b 咧a m i n 蠕虫就是一个案例，它散布在k a z a a 网络中。它的工作机制 如下： 创建对k a z a a 网中其它用户开放的目录，然后在这个目录里使用病毒自身 携带的名称列表大量地进行复制。当网络用户搜索的名称刚好和病毒携带的假名 相同时，用户就在不知不觉中从被感染的电脑上下载了病毒。下载以后，b e n j a m i n 病毒发出一个假的错误报告，警告用户文件可能已被破坏，然后它却在系统目录 1 0 西北大学硕士学位论文 里面自行复制，并在系统注册表里创建两个键值。除了吞噬硬盘空间之外， b e n j m n i n 病毒还打开名为b c n j a m i n x w w d e 的网页，并展示广告。5 月2 0 日上 午，b o n j a m i n x w w d e 网站表示，它的域名被盗用，现已关闭。 另一例是2 0 0 1 年2 月的g n u m a n ，它有一点与b c n j a m i n 蠕虫不同。它模拟 了一个c m u t e l l a 节点，通过将蠕虫文件名改成请求信息中的文件名来应答所有从 其它客户端发来的请求。请求的主机则会认为蠕虫文件是它们所要的文件，从而 进行下载。 2 4p 2 p 蠕虫行为特征 通过前面对p 2 p 网络蠕虫的定义、工作机制等的分析，可以看到p 2 p 网络 蠕虫与当前流行的网络蠕虫( 通过随机地址扫描的方式来发现新的感染源) 相比， 有着新的行为特征： 1 、无扫描性 它不主动随机选择地址，它通过合法的网络活动或网络拓扑信息来传播。 这是p 2 p 蠕虫最显著的特征。 2 、传播速度更快 一般的网络蠕虫主要通过随机产生m 地址来进行扫描探测，而产生的地址 有很大一部分是不可用的。而p 2 p 蠕虫利用p 2 p 系统已经收集的其它节点的路 由信息来进行传播，因此不需要浪费时间来探测不可用的p 地址。因此它们会 比一般蠕虫传播速度更快。 3 、传播精确 由于一般p 2 p 系统中的节点大部分都会在线，因此p 2 p 蠕虫传播时不会产 生很高的失败连接率。 4 、行踪更隐蔽 由于p 2 p 蠕虫可以与正常的p 2 p 网络活动混杂在一起，它的这种没有异常 网络活动的特点使它行踪更隐蔽，从而也使现有的一些针对扫描性蠕虫的防御系 统无能为力。 5 、利用的漏洞范围更大 西北大学硕士学位论文 p 2 p 蠕虫不仅可以利用传统蠕虫利用的漏洞如操作系统本身的问题、应用 服务程序的问题、网络管理人员的配置问题。还可以利用软件漏洞，因为大多数 p 2 p 网络用户都会使用相同的软件【悯，其中任何一种软件的漏洞都可以成为p 2 p 蠕虫利用的对象。 2 5p 2 p 蠕虫模拟框架 2 5 1 大规模蠕虫模拟的难点 大规模的蠕虫传播行为难以模拟，主要基于以下一些理由。首先面临的问题 是，p 2 p 系统是运行于整个i n t e r n e t 上的，而i n t e r n e t 本身是难以模拟的，这在资 料 1 9 】里已经有了比较详尽的讨论。并且，蠕虫具有下面两点特征： l 、空间范围大：在蠕虫设计者的眼中，蠕虫就是为了更广泛的传播而存在 的。为了尽可能正确地模拟蠕虫传播的机理，必须使用一个合适的尺度来模拟它。 想要在较小的规模中模拟局部蠕虫传播，总是会碰到各种各样的问题。 2 、时间跨度长：根据蠕虫传播强度的不同，可以观察到蠕虫传播时间的跨 度在几个小时到几天之间。又由于可能存在的反复感染，蠕虫传播的时间会更长 这就意味着，跟其它网络现象相比( 比如f 1 _ p 或者w w w 会话) ，需要用很长的 时间来模拟蠕虫传播。 为了做到蠕虫模拟的真实性和高效性之间的平衡，不仅要对蠕虫趋势有宏观 上的模拟，还要研究蠕虫在整个网络传播时对局域网的影响，所以必须在包一级 进行模拟。然而由于前面所述蠕虫传播的特点，基于包级别模拟大规模蠕虫传播 的同时会存在如下的困难： 1 、模拟需要大量内存和很长的时间。包级别的模拟是很耗费内存和c p u 运 算能力的，对整个p 2 p 网络上的所有主机进行模拟，基本上不可想象； 2 、过小的模拟粒度，导致了模拟结果与采集到的数据很难进行对比，并且 也不容易得出蠕虫的传播机理。本文不可能采集整个p 2 p 网络上的数据来跟模 拟结果比较，只是采集一个或者几个子网上的数据来验证模拟结果 基于以上两点，必须对网络拓扑结构进行合理的划分和抽象来符合模拟的要 求。这样做的好处在于： 西北大学硕士学位论文 l 、能够在合理的时间和空间复杂度内，完成本文的模拟； 2 、能够灵活的改变模拟的粒度，既达到包级别的模拟层次，又能简化拓扑 结构。 2 5 2 对拓扑结构的划分和抽象 一般对蠕虫传播的模拟，都是以整个p 2 p 网络为对象，研究蠕虫在大范围 的网络环境里的传播趋势。虽然由于蠕虫的传播特点，必须在整个p 2 p 网络的 环境中来研究，但在某些情况下，需要特别关注某个局部网络的时候，一般基于 蠕虫数学模型分析的方法就不够有力了。 对研究对象刻画的粒度过细，导致模拟实现的困难；粒度过粗，导致不能很 好的反映局部细节问题：所以，为了做到蠕虫模拟的真实性和高效性之间的平衡， 本文提出一个简单的蠕虫模拟框架，对网络拓扑结构做了有选择性的抽象，采用 了分层的方式模拟蠕虫的传播。将蠕虫的数学分析模型和基于包级别的仿真结合 在一起，发挥各自的优势，从而避免仿真粒度过粗或过细带来的问题。 该框架将网络分为宏观层次和微观层次。如图2 3 所示，在宏观层( 也称为 抽象层) 中将蠕虫在整个p 2 p 网络中的传播用数学模型进行抽象，具体蠕虫传 播的数学模型将在第三章中具体介绍。在宏观层中主要观察蠕虫传播大体趋势， 只关注一些宏观状态变量。 对p 2 p 蠕虫传播进行细粒度的刻画则在微观层( 也称为具体层) 中实现， 而这也是本文研究的重点。本框架试图通过采用基于包层次的蠕虫模拟，根据蠕 虫的传播机制来模拟蠕虫在网络中的真实活动。具体模拟网络的连通性和数据包 的传播，考虑包的延迟、丢包、路由器的拥塞等网络因素。而从p 2 p 蠕虫工作 机制可以看出该蠕虫的活动主要通过改变网络正常活动来达到感染目的，因此要 想真实的刻画出蠕虫的传播活动关键在于对蠕虫传播媒介p 2 p 网络进行基 于包级别的模拟，这将在第四章中详细介绍。为了简化拓扑，宏观层只与微观层 中的一个节点相连。而这两层之间的交互是通过真实的包传输来实现的，因此探 测数据包是由这两部分的相互影响产生的。 西北大学硕士学位论文 2 6 本章小结 图2 3 p 2 p 蠕虫模拟框架 本章首先介绍了p 2 p 网络相关的一些基本概念和技术，并分析了p 2 p 网络 容易受到蠕虫攻击的原因。在此基础上引出了p 2 p 蠕虫的定义、分类及工作机 制，通过对以上内容的分析总结出p 2 p 蠕虫的特点。并鉴于大规模蠕虫模拟的 难点提出p 2 p 蠕虫传播的模拟框架。本章的讨论分析，为本文p 2 p 蠕虫的模拟 提供了理论基础。 1 4 西北大学硕士学位论文 第三章无结构p 2 p 网络下蠕虫传播模型 由于合适的蠕虫传播模型能够充分反映蠕虫的传播过程，暴露其传播弱点， 预测可能的威胁。所以通过传播模型的研究，可以提出一些检测和免疫蠕虫的方 法，从而可以从中找出最理想的解决办法。理解影响蠕虫传播的关键因素还有助 于设计网络结构来对抗这些攻击唧1 一些典型的传染病模型已经被用来描述随 机扫描蠕虫和子网扫描蠕虫，但鉴于p 2 p 蠕虫的特殊性，它们不能直接用来描 述p 2 p 蠕虫。因此，新的研究p 2 p 蠕虫传播模型出现了。下面在分析一些己提 出的p 2 p 蠕虫传播模型的基础上，并鉴于现大多数p 2 p 蠕虫攻击的对象为无结 构p 2 p 网络的现象，分别针对第2 2 节提出的两类p 2 p 蠕虫给出描述其在无结构 p 2 p 网络中传播的数学模型。 3 1p 2 p 蠕虫传播模型研究现状 w e iy u 1 基于s e m 7 1 思想，建立了对等网中的p 2 p 蠕虫传播模型。该模