（计算机软件与理论专业论文）网络蠕虫和病毒的共生传播模型研究.pdf

， f ，瓤 爹 o ：、净哆 f ，y 一 ， 一+ 一 f 、f - i ： 毛， 蠢荨 、- f 哥? ； 毒。 气j ；。! 。、i l 0 垮? - ，。7 ，?曩 钆。i ，j ? i 慧，量曩。： jy 。i4 、：矗j 簪：j “。曩；燕 曩、_ ：蜗t ：； f 。7 ：“? 、：驺譬 ： 4 f 置 飞 浮 ， ? 。 2蹲毒， 。卜 i 眨 卜 f fyjiiflj1fflf181111 r 4 l l o p i i j l 6 l r r l l l o l f f f l l o j rlll at h e s i sf o r t h ed e g r e eo fm a s t e ri nc o m p u t e rs o f t w a r ea n dt h e o r y r e s e a r c ho ft h ew o r ma n dv i r u s c o o p e r a t i o n p r o p a g a t i o nm o d e l b yy a n gl i a n g s u p e r v i s o r ：p r o f e s s o rg a of u x i a n g n o r t h e a s t e mu n i v e r s i t y j u l y2 0 0 7 lii卜卜弦8 脯7 u i 一7 ， 弘， 气 墨得的 i i 撰写过的研究成果，也不包括本人为获得其他学位而使用过的材料。 与我一同工作的同志对本研究所做的任何贡献均已在论文中作了明 确的说明，并一一表示了谢意。 学位论文作者签名：物纯 日期：矽叼、 、i 学位论文版权使用授权书 本学位论文作者和指导教师完全了解东北大学有关保留、使用学 位论文的规定：即学校有权保留并向国家有关部门或机构送交论文的 复印件和磁盘，允许论文被查阅和借阅。本人授权东北大学可以将学 位论文的全部或部分内容编入有关数据库进行检索、交流。 ( 如作者和导师不同意网上交流，请在下方签名；否则视为同 意。) 学位论文作者签名： 签字日期： 导师签名： 签字日期： ； 。广 ； v l 、 弋 东北大学专业硕士学位论文 摘要 网络蠕虫和病毒的共生传播模型研究 手两要 今天i n t e m e t 在全世界范围内迅速发展壮大，伴随着网络的发展，网络安全 问题也日益突出。网络蠕虫和病毒肆虐，给网络用户造成了巨大的损失。特别值 得注意的是蠕虫在发展过程中越来越多的使用其它恶意代码的攻击手段，使得蠕 虫更具有隐蔽性，传播能力更强。蠕虫在传播过程中被病毒感染，两者相互依存 共同传播，这就形成了蠕虫和病毒合作互利的现象，我们称之为共生。目前已经 有人开始注意到共生问题，但对共生的传播过程及危害程度的具体研究还很少。 本文关注病毒和蠕虫的共生问题，参考w 3 2 c t x 病毒和w 3 2 c h o l e r a 蠕虫 的共生传播过程，对其共生过程和传播方式进行研究，从中把握共生蠕虫的传播 规律。本文的研究将为未来共生型蠕虫的检测和防治提供有益的帮助。 在研究了一些经典蠕虫传播模型的基础上，本文提出了蠕虫和病毒的共生传 播模型：s w v c 传播模型和s w v c m r 传播模型。其中后一种模型考虑到在共生 状态下一旦病毒被查杀，蠕虫可能产生变异的情况。接着对蠕虫和病毒的共生， 以及共生后的传播过程进行了仿真。在分析现有各种仿真平台优劣的基础上，最 终仿真实验在并行分布式仿真平台p d n s ( p a r a l l e l d i s t r i b u t e dn e t w o r ks i m u l a t o r ) 上运 行。仿真实验中分布式平台为大规模网络事件的仿真提供了有力的支持，这也为 今后进行更大规模的仿真打下了基础。通过仿真可以看出，蠕虫与病毒结合后的 共生传播速度明显加快，并很快感染整个网络，共生的危害性可见一斑。对病毒 的免疫可以有效的抑制共生的传播，但也会导致蠕虫的变异。最后对仿真结果和 数学模型进行了比较分析，两者曲线基本吻合，验证了数学模型的正确性。在数 学模型中考虑共生过程蠕虫的免疫并进一步扩大仿真规模是我们未来所需的工 作。 关键词：蠕虫；病毒：共生：传播模型；仿真 刀、 o p 一 鼍t q 卜 毪 亭 东北大学专业硕士学位论文 a b s t r a c t r e s e a r c ho fn e t w o r kw o r ma n dv i r u s c o o p e r a t i o n p r o p a g a t i o nm o d e l a b s t r a c t n o w a d a y s ，t h e i n t e r a c t d e v e l o p sq u i c k l y a l lo v e rt h ew o r l d w i 也t h e d e v e l o p m e n to ft h en e t w o r k , t h es e c u r i t yp r o b l e mo ft h en e t w o r ki si n c r e a s i n g l y o u t s t a n d i n g 1 1 1 cf l o w a g eo f t h en e t w o r kw o r ma n dv i r u sc a u s e sg r e a td a m a g ef o rt h e n e t w o r ku s e r s i ti sw o r t h yo fs p e c i a la t t e n t i o nt h a tt o d a yd u r i n gt h ed e v e l o p m e n to f t h ew o r l 玛i tu s e sm o r ea n dm o r ea t t a c km e a l 塔o fo t h e rm a l i c i o u sc o d e s ，a n db e c o m e m o r ec o v e r ta n de a s yt os p r e a d d u r i n gi t ss p r e a dp r o c e s s ，t h ew o r mi si n f e c t e db yt h e v i r u s ；b o t ho ft h e m 锄冶i n t e r d e p e n d e n ta n ds p r e a dt o g e t h e r t h u sf o r m st h e p h e n o m e n ao ft h ew o r ma n dv i r u sc o o p e r a t i n gw i t he a c ho t h e r , w h i c hi sk n o w na s c o o p e r a t i o n a tp r e s e n t , t h er e s e a r c ho fc o o p e r a t i o nh a sb e e nb r o u g h ti n t of o c u s , h o w e v e r ，t h ee x a c tr e s e a r c ho fi t ss p r e a dp r o c e s sa n di t sh a r mi ss t i l ll i m i t e d t h i st h e s i sc o n c e r n st h ec o o p e r a t i o no fv i r u sa n dw o r m c o n s u l t i n gt h e w 3 2 c t xv i r u sa n dw 3 2 c h o l e r aw o r m , t h ec o o p e r a t i o np r o c e s sa n dt h ew a yo f s p r e a d i n gt h e mi sr e s e a r c h e d ，a n dt h e nt h er u l e so fs p r e a d i n gt h ec o o p e r a t i v ew o r m a 坞c o n c l u d e d r e s e a r c ho ft h i st h e s i sw i l lp r o v i d eb e n e f i c i a lh e l pw i t ht h e e x a m i n a t i o na n dp r e v e n t i o no ft h ec o o p e r a t i v ew o r mi nt h ef u t u r e o nt h eb a s i so ft h er e s e a r c ho fs o m ec l a s s i c a ls p r e a d i n gm o d e l so ft h ew o r m , t h i s t h e s i sp u t sf o r w a r dt h ec o o p e r a t i v es p r e a d i n gm o d e lo ft h ew o r ma n dv i r u s ：s w v c m o d e la n ds w v c m rm o d e l 1 h el a t e ro n ec o n s i d e r ss u c hc i r c u m s t a n c et h a to n c et h e v i r u si sf o u n da n dk i l l e du n d e rt h ec o o p e r a t i v es t a t e ，t h ew o r mm i g h tg e tm u t a t e m o r e o v e r , t h i st h e s i ss i m u l a t e st h ec o o p e r a t i o no ft h ev i r u sa n dw o r ma n dt h e s p r e a d i n gp r o c e s sa f t e ri t o nt h eb a s i so fa n a l y z i n gt h ea d v a n t a g e sa n dd i s a d v a n t a g e s o fa l lk i n d so fc u r r e n ts i m u l a t i v ep l a t f o r m s ，t h ef i n a ls i m u l a t i v ee x p e r i m e n ti sm a d e o nt h ep d n s ( p a r a l l e l d i s t r i b u t e dn e t w o r ks i m u l a t o r ) ，w h i c hg i v e ss t r o n gs u p p o r tt ot h e l a r g e s c a l en e t w o r ke n v i r o n m e n t sa n dm a k e st h eb a s i so fm a k i n gl a r g e rs i m u l a t i o n n 东北大学专业硕士学位论文 a c c o r d i n gt ot h es i m u l a t i o n , t h es p r e a d i n gs p e e do ft h ec o o p e r a t i o no ft h ew o r ma n d v i r u sb e c o m e sf a s t e ra f t e rt h e yc o m b i n ew i 也e a c ho t h e r , a n dt h e ni ti n f e c t st h ew h o l e n e t w o r ka to n c e t h u st h eh a r mo fi ti so b v i o u s t h ei m m u n i t yo ft h i sv i r u sc a n r e s t r a i nt h es p r e a d i n go ft h ec o o p e r a t i o ne f f e c t i v e l y h o w e v e r , t h em u t a t i o no ft h e w o r mi sp o s s i b l e f i n a l l y , ac o m p a r a t i v ea n a l y s i sb e t w e e nt h er e s u l to ft h es i m u l a t i o n a n dt h em a t h e m a t i c sm o d e li sg i v e n t h et w oc i l r v e sa r es i m i l a r , w h i c h p r o v e st h a tt h e m a t h e m a t i c sm o d e li sc o r r e c t c o n s i d e r i n gt h ei m m u n i t yo ft h ew o r mi nm a t h e m a t i c s m o d e la n de n l a r g i n gt h es c a l eo ft h es i m u l a t i o na g oo u rf u t u r ew o r kn e e d e d k e yw o r d s ：w o r m ；v i r u s ；c o o p e r a t i o n ；p r o p a g a t i o nm o d e l ；s i m u l a t i o n i i i r ， 移h 口 一 鼍 。j 。 ，。 0 善 东北大学专业硕士学位论文 目录 目录 第一章绪论：1 1 1 研究背景2 1 2 蠕虫研究现状4 1 3 问题的提出5 1 4 本文主要工作 6 1 5 本文章节安排7 第二章网络蠕虫和病毒9 2 1 蠕虫和病毒的区别9 2 1 1 蠕虫的定义9 2 1 2 病毒的定义1 0 2 1 3 蠕虫与病毒的区别与联系1 0 2 2 蠕虫的分类。l l 2 3 病毒的分类h 1 2 2 4 蠕虫的功能结构1 3 2 5 蠕虫的工作流程。1 3 2 6 蠕虫的传播模型15 第三章蠕虫与病毒共生传播模型1 7 3 1 传染病模型1 7 3 2 经典传播模型分析1 8 3 2 1s i m p l ee p i d e m i c 模型1 8 3 2 2k e n n a c k m c k e n d r i c k 模型2 0 3 2 3t w o f a c t o r 模型2 2 3 3 共生模型2 5 3 3 1s w v c 模型2 5 3 3 2s w v c m r 模型2 8 第四章共生传播模型的仿真3 1 v 东北大学专业硕士学位论文目录 4 1 蠕虫软件仿真系统分类3 1 4 1 1 高度抽象的软件仿真3 2 4 1 2 数据包级的软件仿真o 3 2 4 1 3 大规模分布式软件仿真3 3 4 2 p d n s 一并行分布式仿真平台。3 3 4 2 1n s - 2 简单介绍。3 4 4 2 2 分布式平台的实现j 3 4 4 2 3p 研叮s 的语法。3 5 4 3 共生传播模型仿真。3 6 4 3 1 网络仿真步骤3 6 4 3 2s w v c 模型的仿真，3 8 4 3 3s w v c m r 模型的仿真。4 0 第五章实验结果及分析，4 3 5 1s w v c 模型的仿真结果4 3 5 2s w v c m r 模型的仿真结果4 4 第六章结论与展望4 7 参考文献4 9 致谢 一5 3 v i 骥 一 卜 l 摹 东北大学专业硕士学位论文第一章绪论 第一章绪论弟一早瑁 了匕 互联网无疑是今天发展最快的科学技术之一，它为工作带来各种便利，在方 方面面改变着人们的生活。然而，事物都是有两面性的，互联网也不例外。从 c e r t ( 计算机紧急响应小组) 公布的i n t e m e t 安全威胁事件报告可以看出，网络 安全事件每年以指数级别增长【1 1 ，特别是最近几年来的增长态势更是惊人( 如图 1 1 所示) 。 ，r i ：，o 、。一：引j ；妒：。j l j 77 窜。j f ；：0 ，r 蕞 ? ? ：+ 摹：，毫? p ：o ；。毒靠j ：? ：；。羔，、j 4 ，：和 1 - ：一，：。- ：一：，? i 。、：j j4 ：7 7 j j ：、+ j j 一。：、：j ：7j ，7 一 fj一 一 j ， 一、：， 一 ，。 ，# 7，fr 一。一一，：+ ， v m ，_ m 。f 一十，- ，。- ，7 ，一一。+ j r 一，。， 7- ，卜：i i 。一：一一：。，毒掣j i i 。? 囊j 纛j ，鼻j i 二，量。| 8 2 0 9 4 ；一：j ：j ，i ，：；一：；，j i ，i ：j ；t ：二：；一，0 一：j j 一，i ? j ：i 、一j v j ：! ! ；，：r 。j j j j 之：；j j c ：o ：f ：q 1 t 2 t ：， 。- 一。一”_ ：， ， 。= ：j 。i j 一：一。0 + ：j 。：f ，! j ? y ：= j 、：7 1 7 ；? 一 2 一，：j 。芝j 舻。+ + 一。一 。 1 。t ，? ，j j ：。一。：。一j j 。一t 。r 一：2 1 7 5 6 1 。：。_ t ，r ：一i 一”j r ? ，。“j ，、 _ _ 【 ，7 i + _ j i c ：蝻一- l 。一1 ：一一一一：一一一一，一 东北大学专业硕士学位论文第一章绪论 播提供了便利条件。蠕虫最具威胁性的特点是传播速度很高，许多事件和研究表 明，一个工程良好的蠕虫能在几分钟内感染9 0 以上的i n t e r n e t 弱点系统，严重 扰乱了网络的正常秩序。 1 1 研究背景 蠕虫最初被提出用于分布式计算( d i s t r i b u t e dc o m p u t a t i o n ) 纠。1 9 8 0 年，x e r o x p a l oa l t o 研究中心的研究人员编写了最早的蠕虫。他们提出蠕虫具有两个特征： “能够在计算机间移动 和“自我复制”。蠕虫搜索空闲机器，将自己复制过去， 并执行相应的任务。虽然当时的蠕虫可以为研究提供一些帮助，但同时也显现出 危险性。 1 9 8 8 年m o r r i s 蠕虫【4 1 的爆发，使蠕虫正式划归到了恶意代码的范畴。该事 件的发生，不仅引起了研究人员对蠕虫的兴趣，也促使c e r t c c 成立来应对网 络紧急事件。m o r r i s 蠕虫感染4 ，2 或者4 3 b s d 版本的u n i x ，利用r e x e c r s h 、f i n g e r 和s e n d m a i l 三种系统服务中存在的漏洞进行传播。其目标发现机制是获取已感 染机器的e t c h o s t s e q u i v 、r h o s t s 和各用户目录下的f o r w a r d 和r h o s t s 等文件里 存放的地址，将其作为目标机器进行传播。 2 0 0 1 年后，利用w i n d o w s 系统漏洞以及策略配置漏洞进行传播的蠕虫占据 主要位置，由于使用w i n d o w s 系统的机器数量巨大，使得蠕虫攻击的十分范围 广泛。2 0 0 1 年7 月，c o d e r e d 蠕虫1 5 】爆发，c o d e r e d 利用微软i n d e xs e r v e r2 0 和i n d e x i n gs e r v i c e 中存在的安全漏洞通过因特网蔓延，i n d e xs e r v e r 和i n d e x i n g s e r v i c e 是分别安装在i i s 5 o ( w i n d o w s 2 0 0 0 ) 及u s 4 o f t c r 4 0 ) 上的系统服务。 c o d e r e d 能够自己生成一个随机礤地址列表作为入侵对象，然后依次扫描这些 目标地址是否在运行存在安全漏洞的系统，如果是的话，c o d e r e d 就会尝试通过 8 0 端口利用i s a p i 扩展中的一个存在安全隐患的缓冲区入侵到系统中。过多的 扫描动作会造成网络阻塞。它不同于以往的文件型病毒和引导型病毒，可存在于 内存，传染时不通过文件这一常规载体，直接从一台电脑内存到另一台电脑内存。 c o d e r e d 会检查被感染的系统是否使用美国英语，如果是的话，蠕虫就会在入侵 系统两个小时后( 这段时间被用来保证蠕虫能够有时间向其它网站传播而不被用 户立即察觉) 将用户的网页篡改。以上的修改将会保持l o 个小时，之后网站将 会自动恢复正常服务。 ， ， 2 0 0 1 年9 月1 8 日，n i m d a 蠕虫【6 】爆发。这是一个乱发邮件的蠕虫，它可以 通过网络共享进行传播，利用w e bf o l d e rt r a n s v e r s a l ( 同时被蠕虫 w 3 2 c o d e b l u e - - - 蓝色代码”利用) 和c o n t e n t - t y p es p o o f i n g 漏洞，该蠕虫还试图 创建网络共享，检查系统中是否存在蠕虫w 3 2 c o d e r e d c 安装的木马。该蠕虫 攻击m i c r o s o f t 公司的w m d o w $ 系统，不仅使用己知漏洞进行传播，而且结合病 矗 斯t v 乒 l 薯 东北大学专业硕士学位论文第一章绪论 毒技术进行传播，包括电子邮件及m i c r o s o r 邮件客户端漏洞、网络文件共享、 正浏览器的m i m e 类型自动执行漏洞( a u t o m a t i ce x e c u t i o no fe m b e d d e dm i m e t y p e s ) 等。 空口令或者弱口令是策略配置漏洞的典型代表。2 0 0 2 年中期，s q ls n a k e t 7 l 爆发。该蠕虫利用m i c r o s o f ts q l 服务器和数据引擎中，“s a 账号的空口令或弱 口令进行入侵。2 0 0 2 年晚些时候，d e l o d e r 【8 】等一系列蠕虫均利用w i n d o w s2 0 0 0 或者的s e r v e rm e s s a g eb l o c k ( s m b ) 文件共享中的空口令或者管理员账号的 弱口令进行入侵和传播。 2 0 0 3 年1 月2 5 日，s l a m m e r s a p p h i r e 蠕虫1 9 】爆发，进入了s i e b e l 内部网络 并且造成通讯堵塞，l o 分钟内即感染了9 0 * , 的易感主机。s q ls l a m m e r 蠕虫病 毒只有3 7 6 字节，比红色代码4 k b ( 4 0 9 6 字节) 和n i m d a6 0 k b ( 6 1 4 4 0 字节) 小的多。它利用一个微软六个月前就已经宣布并且可以打补丁的漏洞，通过自我 繁殖使得计算机间无法通讯。它体积小到仅需使用一个数据包就可以发送自身所 有代码，数据包中s l a m m e r 载入内存后计算机就受到了病毒感染。这使褥s l a m m e r 到目前为止是传播速度最快的蠕虫病毒，在加州圣地亚哥大学，劳伦斯伯克利国 家实验室和s i l i c o nd e f e n s e ( 提供安全顾问工作) 的一份联合报告中指出，在它 发作的前l o 分钟里就感染了百分之九十的易攻击服务器。c o d e r e d 与之相比首 先需要找寻易感染的服务器，然后再发送自身的一个拷贝。c o d e r e d 每3 7 分钟 感染的服务器加倍，而s l a m m e r 只需要8 5 秒钟。在2 0 0 1 年7 月c o d e r e d 感染 了将近4 0 0 0 0 0 台计算机，两个月后n i m d a 又席卷了全球。 2 0 0 3 年8 月1 1 日，b l a s t e r 蠕虫【m l ( 又称“冲击波) 爆发。该蠕虫利用m i c r o s o r d c o m ( d i s t r i b u t e dc o m p o n e n to b j e c t ) r p c ( r e m o t ep r o c e d u r ec a l l ) 漏洞，采用本 地地址倾向性扫描策略。随后，爆发了w e l c h i a 蠕虫【l l l ( 又称“冲击波杀手一) 。 该蠕虫采用了i c m pp i n g 扫描来寻找目标地址，利用b l a s t e r 蠕虫所利用的漏洞， 一旦感染某台机器，若发现该机器已经被b l a s t e r 感染，即清除之，并修补系统 漏洞。尽管该蠕虫出发点在于自动清除b l a s t e r 蠕虫，但是其扫描流量仍给网络 带来了巨大的负担。 2 0 0 4 年5 月1 日，s a s s e r 蠕虫【1 2 】( 又称“震荡波”) 爆发。该蠕虫利用w i n d o w s l s a s s ( ，l o c a ls e c u r i t ya u t h o r i t ys e r v i c es e r v e r ) 漏洞进行传播。不久，c y c l e 蠕虫 【1 3 】( 又称“震荡波杀手 ) 爆发，与w e l c h i a 的行为一样，该蠕虫利用s a s s e r 蠕虫 所利用的漏洞，清除m s b l a s t e x e ( b l a s t e r 蠕虫) 、a v s e r v e e x e ( s a s s e r 蠕虫) 、 a v s e r v e 2 e x e ( s a s s e r 蠕虫变种b c ) ，s k y n e t a v e e x c ( s a s s e r 蠕虫变种d ) 等进程， 并将在设定日期发起拒绝服务攻击。 另一方面，病毒对计算机的危害由来已久，目前对于病毒的研究也已经比较 成熟。从1 9 9 0 年开始，对抗病毒破坏的主要内容锁定在个人电脑的防病毒上， 一3 _ 东北大学专业硕士学位论文第一章绪论 而且这种状况一直延续到现在。科研人员的主要精力放在如何预防、检测和消除 攻击个人电脑文件系统的病毒。但是随着邮件病毒的出现，人们认识到了i n t e m e t 己经使病毒的性质发生了一些变化。 1 9 9 9 年邮件病毒“美丽莎 爆剔1 4 1 ，该病毒会通过o f f i c e 系统文档和邮 件系统进行传播，发作当天就感染了6 0 0 0 多台电脑。2 0 0 0 年，邮件病毒“爱虫 开始大面积泛滥，它的泛滥直接导致了邮件病毒查杀技术的出现。2 0 0 1 年，个 人邮箱系统已经相当成熟，邮件病毒也大量产生，其中的代表病毒就是求职信， 这时候的邮件病毒已经不是简单地利用漏洞进行传播了，而是更多地搀入了社会 工程学的因素。2 0 0 2 年以后，邮件病毒开始借鉴一些其它类型病毒，如黑客、 木马、后门的技术，于是混合邮件病毒开始大量泛滥，其中的代表病毒就是“爱 情后门 不但能发送病毒邮件还可以对指定网站发动黑客攻击。 1 9 9 9 年9 月出现的w m 3 2 c t x t l 5 】病毒，它是一个多态病毒。值得注意的是， w i n 3 2 c t x 可以感染一种蠕虫w 3 2 c h o l e r a 从而形成共生。w 3 2 c h o l e r a 变成了 w m 3 2 c t x 的携带者。共生的结果使得w m 3 2 c t x 和w 3 2 c h o l e r a 迅速在全世 界范围内传播，并最终登上了w i l d l i s t 的病毒清单。类似w 3 2 f u n l o v e 这样的病 毒也感染蠕虫，并且是反复多次的感染。病毒可能在某一段时间销声匿迹，但是 会随着共生蠕虫的传播，会突然的爆发出来。近来，这类的安全事件也有越演 越烈的趋势，特别是w 3 2 b e a g l e 蠕虫的出现。b e a g l e 发送带有附件的电子邮件， 而附件是带有密码的。附件的压缩是在本地完成的，很容易受到类似f u n l o v e 这 样病毒的感染。蠕虫在传播的同时，病毒也享受了密码保护，使得杀毒软件更难 检测到病毒的入侵。 - “ 1 2 蠕虫研究现状 蠕虫病毒之所以成为网络的灾难，主要来自于它的超强传播性。蠕虫病毒以 网络为传播媒介，网络上的电子邮件、共享文件夹、各种恶意网站以及存在各种 漏洞的服务器，都是蠕虫病毒发作的有效传播途径。它的危害是能在瞬间迅速蔓 延到整个局域网，导致网络传输缓慢，甚至瘫痪、崩溃，而且蠕虫病毒的突然发 作性和超强攻击性，常常让人手足无措。目前蠕虫研究主要集中在蠕虫功能结构、 工作机制、扫描策略、传播模型及蠕虫对抗技术方面。 近年来，国外政府、研究机构都非常重视网络蠕虫研究表美国政府近期投入 鲁 5 4 6 万美元给u cb e r k e l e y 和s o u t h e r nc a l i f o r n i a 大学建立网络攻击测试床，用于 蠕虫f 16 】f 1 7 】、病毒等方面的研究，测试床设备多达千余台主机。2 0 0 5 年l o 月，网 ， 络蠕虫专题研讨会在g e o r g em a s o n 大学召开，讨论了最新的蠕虫情况，蠕虫的 检测以及蠕虫的监视等问题。在国内，网络蠕虫研究日益得到重视，政府及安全 公司都在积极开展网络蠕虫的防治工作。在网络蠕虫的研制方面，据分析， 4 东北大学专业硕士学位论文 ： 第一章绪论 c o d e r e d ，l i o n ，a d o r e ，n i m d a 及w 3 2 n a c h i w o r m 等对互联网影响较大的蠕虫 都是国内安全专业人士编写的【l 瓤瑚。 s p a f f o r d 对m o r r i s 蠕虫的功能结构和工作机制进行了剖析 4 1 。u cb e r k e l e y 的n i c h o l a scw e a v e r 对网络蠕虫的快速扫描策略进行了分析研究，并实现了 w a r h o l 试验蠕虫，理论推测该蠕虫能在3 0 分钟内感染整个互联网f 玲圆。在传播 模型阻荔! 方面，i b m 的k e p h a r t ，w h i 钯和c h e s s 在1 9 9 1 年一1 9 9 3 年对病毒传播 模型进行了研究，在此基础上，、邹长春等人以c o d e r e d 为例，讨论了基于微分 方程的双因素蠕虫传播模型 2 5 1 。z e s h e n gc h e n 等人对蠕虫进行分析后，给出了 蠕虫的离散传播模型一a a w p 模型刚。 本文主要通过建立蠕虫的传播模型，对蠕虫和病毒的共生现象进行研究。同 时对蠕虫和病毒的传播情况进行了仿真。本文的研究揭示了蠕虫和病毒共生传播 的特性，对进一步研究这一现象的检测具有重要的意义。 1 3 问题的提出 考虑下面的问题，计算机病毒偶然的与其他恶意代码发生共生合作1 2 7 】。例 如蠕虫在传播过程中，可能经过一个已经被标准文件病毒感染的计算机，并被病 毒感染。这样蠕虫本身就变成了一个病毒的携带者，甚至有可能出现一个蠕虫携 带多个文件病毒的情况。这将对蠕虫和病毒的传播在多个方面起到推进的作用。 蠕虫可能携带的是一个未知的文件病毒，如果病毒防火墙不能发现这个病 毒，那么也就检测不到蠕虫体。特别是当病毒本身在蠕虫体内植入的比较深时， 杀毒软件检测到它的概率就更小了j 、一7 ，一；一j “；， 扎善 一。 如图1 2 所示，步骤a 一台主机被一个蠕虫感染。步骤b 蠕虫成功传播到 另一台主机，但是同时这台主机也被文件型病毒感染了，而且这种病毒感染的文 件类型恰好是蠕虫本身传播的文件类型。这样蠕虫和病毒就结合到一起，形成共 生的情况。在步骤c 中共生蠕虫感染一个新的主机，在蠕虫运行的同时，病毒 也开始执行感染其它文件。步骤d 共生体传播到一台带有杀毒软件的主机。杀 毒软件能够识别病毒，但不能检测到蠕虫的存在。一旦杀毒软件杀掉了病毒，就 会生成一个新的文件，这时的文件已经和初始的蠕虫有所区别。蠕虫的二进制文 件大小和文件头的关键区域都可能发生改变。当然在步骤e 中变异蠕虫会进一 步传播，感染一个新的系统。o j ：；、小jo，卜， ，：? 事实上现有的杀毒软件很难考虑到步骤e 的情况，这是杀毒软件今后需要 注意的地方。特别是基于特征串的蠕虫检测系统，如果使用初始蠕虫的特征串去 比对变异的蠕虫，那么就会检测不到变异的蠕虫。! p ：+ 一一：t ：| 、 ： j 一 “ i 小一 ! ：一；f ：。h j ? 。 一孓 东北大学专业硕士学位论文第一章绪论 ：j j ) ；嘲虫 t 文件病毒 一黜4 一 j ，- 。0 ：o ! 一； t ：，。图1 2 病毒和蠕虫的共生过程 。j _ ，：一：l t f i g 1 2t h ea c c i d e n t a li n t e r a c t i o no f a w o r mi n f e c t e dw i t haf i l et n f e c t m v i r u s 。：， 1 4 本文主要工作 i 当今对于蠕虫的研究，是网络安全问题的重点之一。从蠕虫的发展趋势来看， 蠕虫中越来越多的使用到其它恶意代码的机制，例如病毒和木马。而本文是关注 病毒和蠕虫在传播过程中的无意合作现象，称之为共生。本文建立了共生现象的 两个传播模型，并对共生传播的过程进行了仿真，验证模型的正确性。主要工作 如下：、i 。： j - ，d 一。j j - ：i ：1 ：。 分析了i n t e r n e t 蠕虫的基本原理和传播机制，给出了病毒和蠕虫的区别，详 细阐述了蠕虫和病毒的共生过程。分析了已有的蠕虫经典传播模型，详尽描述了 蠕虫的功能结构和工作流程。为准确地给出共生传播模型打下了基础。 提出了描述蠕虫和病毒共生传播的两个模型s w v c 模型和s w v c m r 模型。 给出结点在共生传播中可能处于易感染状态、被蠕虫感染状态、被病毒感染状态、 共生状态或者在考虑免疫时可能处于免疫状态和变异状态。“。 比较了现有的仿真软件，通过分析仿真软件的优缺点，决定使用大规模分布 式仿真软件p d n s 来进行仿真实验。给出了利用p d n s 进行仿真的具体步骤， 以及仿真过程中可能遇到的问题。 ；： ，一 ，、：4 i 实验给出了病毒和蠕虫共生传播的传播特性。仿真数据结果获得的仿真曲线 与理论分析得到的数值曲线的对比验证了数学模型的正确性。通过对实验结果的 分析可以看出，共生对网络的危害，比单独的病毒或蠕虫的危害都要大。杀毒软 件的引入可以有效的控制共生的传播，但同时也要注意可能引起蠕虫的变异。 - 6 东北大学专业硕士学位论文第一章绪论 1 5 本文章节安排 第一章为绪论，分五个小节。第一小节介绍本文的研究背景。第- - d , 节分析 蠕虫的研究现状。第三小节介绍了本文所研究问题的由来。第四小节简单列举了 本文的主要工作。第五小节给出了本文的章节安排。 第二章为网络蠕虫和病毒，分六个小节。第一小节给出了蠕虫和病毒的定义， 并描述了蠕虫与病毒的区别。第二小节简要介绍了蠕虫的分类。第三小节介绍了 病毒的分类，指出本文讨论的病毒是文件型病毒。第四小节描述了蠕虫组成模块 以及功能结构。第五小节概括了蠕虫的工作流程。第六小节简要介绍了现有的蠕 虫传播模型。 第三章为蠕虫与病毒共生传播模型，分三个小节。第一小节简单介绍了传染 病模型，并解释了模型中常用符号的意义。第- - - d , 节总结了目前已有的一些蠕虫 传播模型，给出了各自的微分方程，并绘制了理论上的数值曲线，并指出其中的 不足。第三小节提出了共生传播模型，即s w v c 和s w v c m r 模型来描述蠕虫 和病毒的共生传播过程，这是本文的一处创新点；首先给出了s w v c 模型理论 方程和结点状态转换图，绘制其数值曲线；然后又提出了s w v c m r 模型的理论 方程和结点状态转换图，绘制其数值曲线。 第四章为共生传播模型的仿真，分三个小节。第一小节分析了现有的仿真软 件，给出各自的优缺点。第二小节详细介绍了并行分布式仿真平台p d n s 的使用 过程，以及基本语法。第三小节对共生传播模型进行了仿真。得到蠕虫和病毒共 生传播的仿真过程，并采集仿真实验的数据。 第五章为实验结果及分析，分两个小节。第一小节分析了s w v c 传播模型 仿真数据，并一一做出了与理论数学方程的对比图。第二小节对s w v c m r 模型 的仿真数据进行了详细分析，并做出了与理论数学方程的对比图。所绘制的仿真 曲线与之前提出理论数值曲线相符合，有力地验证了所提出传播方法及传播模型 的有效性。最后对s w v c 和s w v c m r 模型的理论数值结果和仿真结果分别进 行了分析，分析结果有力地证明了蠕虫和病毒的共生将导致传播的加速。而引入 杀毒软件有利于控制共生的传播。 第六章为结论与展望。对全文进行了总结，提出目前研究成果及创新点，并 给出了对未来工作的展望。 东北大学专业硕士学位论文第二章网络蠕虫和病毒 第二章网络蠕虫和病毒 网络蠕虫是计算机技术、网络技术和编程技术不断发展的产物。随着技术的 进步和新的系统漏洞的发现，新的网络蠕虫也会随之出现。但是通过对众多的网 络蠕虫源代码的分析，不管蠕虫利用什么样的系统漏洞，使用什么编程技术，在 特定的发展阶段内蠕虫在结构和功能上有很大的共性。因此，有必要从特性各异 的网络蠕虫特征中归纳出这些共性和本质特征来进行研究。 新一代的网络蠕虫己彻底摆脱了传统模式下植入方法原始、通信方式单一、 隐蔽性差等不足。借助一些新技术，网络蠕虫不再依赖于对用户进行简单的欺骗， 可以不必修改系统注册表，不开新端口，不在磁盘上保留新文件甚至可以没有独 立的进程，可以轻易穿过防火墙与外界( 入侵者) 通信。同时，蠕虫与其他恶意 代码的合作情况也越来越多。类似木马、病毒等恶意代码与蠕虫的合作，使得它 们的破坏性进一步增强。因此更需要对这样的情况加以研究。 这一章将从蠕虫和病毒的定义以及区别，蠕虫功能结构和工作机制，蠕虫的 传播模