（计算机软件与理论专业论文）高性能网络安全事件模拟技术研究.pdf

摘要 摘要 !|fji lll lrlf i i i iii rli j l l r f r r l lfrjfll,1|11,|,|ll v ，nu ej ii i i i y 18 8 9 4 6 3 随着互联网应用的不断创新与发展，网络蠕虫等高性能网络安全事件的性能也日益 复杂，造成网络异常事件频频发生。网络安全问题已经不仅仅只涉及到用户个人的利益， 有时甚至会对国家的信息安全造成巨大的威胁。因此，网络安全也就成为了科研领域的 一大热点。在网络安全研究过程中，受成本、环境、人工等种种因素影响，常常需要在 模拟的网络环境下进行。然而，随着互联网规模的扩大以及网络情况的复杂化，传统网 络模拟技术无法满足大规模网络模拟的需要。针对该问题，本文依托开源版本的优秀网 络模拟软件n s 2 ，研究高性能网络安全事件模拟技术。 在n s 2 中，网络模拟的开销是制约网络模拟规模的主要因素，故针对网络安全事件 模拟需要提高性能的两大主要环节为：一是拓扑结构中的路由计算，二是数据包转发模 拟中的大量离散事件，针对这两个主要环节提出了相应的改进策略；最后本文基于两个 改进策略，建立了网络安全事件模拟平台。本文主要研究内容包括： 1 、针对拓扑结构中的路由计算，提出了改进的路由模拟策略，改进的路由模拟策 略的主要思想是将网络模拟中的所有节点分为三种节点类型：核心节点、边缘节点和边 缘核心节点。针对核心节点，采用全局计算与静态存储的路由模拟策略，针对边缘节点， 则采用选择静态存储的策略。同样在地址分类器设置时边缘节点有选择的进行参与，从 而缩小了参与的离散事件数目，降低了模拟运行的规模与时间； 2 、针对数据包转发模拟中的大量离散事件，提出了r e d 动态连续计算机制，r e d 动态连续计算机制的主要思想是对传统的r e d 队列管理算法中的数据包转发方式进行 改进，将传统算法中的通过每一跳进行转发的数据包以连续计算的方式，实现多跳转发， 并以是否出现了瓶颈路径来判断是否需要进行连续计算，由此形成关于r e d 算法的多 跳连续计算，减少了离散事件数目并提高了模拟器的运行效率，有效地缩短了模拟运行 的时间。 3 、基于上述两个改进策略，建立了网络安全事件模拟平台，该平台相较于传统的 模拟应用平台，具有模拟性能高、适用性强等特点。最后，通过以网络蠕虫为实例的大 规模网络模拟，说明该平台的模拟运行效果优于传统的模拟平台。 关键词：网络模拟，网络安全事件，静态存储，路由模拟，动态连续 a b s t r a e t a b s t r a c t w i t ht h ec o n t i n u o u si n n o v a t i o na n dd e v e l o p m e n to fi n t e m e ta p p l i c a t i o n s ，n e t w o r k w o r ma n do t h e rh i g h p e r f o r m a n c en e t w o r ks e c u r i t ye v e n t si sb e c o m i n gm o r ea n dm o r e c o m p l i c a t e d ，s ot h a ti ti sv u l n e r a b l et oa t t a c ka n dr e s u l t si na b n o r m a ln e t w o r ks e c u r i t ye v e n t s n e t w o r ks e c u r i t yi s s u e sc a u s ei n c o n v e n i e n c et ot h em a j o r i t yo fi n t e m e tu s e r s ，e v e nc a u s ea h u g et h r e a tt oi n f o r m a t i o ns e c u r i t y t h e r e f o r e ，n e t w o r ks e c u r i t yh a sb e c o m eah o tt o p i co f r e s e a r c h , w i t l lt h ei n f l u e n c eo fc o s t , e n v i r o n m e n t ，l a b o ra n do t h e rf a c t o r s ，t h i sr e s e a r c hi s o f t e nn e c e s s a r yi nn e t w o r ks i m u l a t i o n h o w e v e r , 谢mt h ed e v e l o p m e n to ft h es c a l eo fi n t e m e t ， t h ec o n d i t i o no fn e t w o r ki sb e c o m i n gm o r ea n dm o r ec o m p l i c a t e d , t r a d i t i o n a ln e t w o r k s i m u l a t i o nt e c h n o l o g yc a n tm e e tt h en e e do fl a r g e - s c a l en e t w o r ks i m u l a t i o n t os o l v et h e p r o b l e m t h i sp a p e rn s e sn s 2n e t w o r ks i m u l a t i o ns o f t w a r ew h i c hi sb r o a d e ra n de x c e l l e n t o p e n s o u r c ev e r s i o n ，a n dr e s e a r c hh i g h - p e r f o r m a n c en e t w o r ks e c u r i t ye v e n ts i m u l a t i o n t e c h n o l o g y i nn s 2 ，t h ec o s to fn e t w o r ks i m u l a t i o ni st h em a i nf a c t o ro fr e s t r i c t i n gt h es i z eo f n e t w o r ks i m u l a t i o n t h e r e f o r e ，n e t w o r ks i m u l a t i o ns e c u r i t ye v e n tn e e d st w om a i nf a c t o r st o i m p r o v et h ep e r f o r m a n c e ：o n ei st h e r o u t ec a l c u l a t i o no ft o p o l o g y t h eo t h e ri sl a r g en u m b e r o fd i s c r e t ee v e n to fp a c k e tt r a n s m i s s i o n s ot h i s p a p e rp r o p o s e d t h e c o r r e s p o n d i n g i m p r o v e m e n ts t r a t e g y ： f i r s t l y , t h i sp a p e rp r o p o s e sai m p r o v e dr o u t es i m u l a t i o ns t r a t e g yf o rt h er o u t ec a l c u l a t i o n t o p o l o g y i nt h i sm a i ni d e ao fi m p r o v e dr o u t es i m u l a t i o ns t r a t e g y , a l lt h en o d e s i nt h en e t w o r k s i m u l a t i o na r cd i v i d e di n t ot h r e et y p e so fn o d e s ：c o r en o d e s ，e d g en o d e sa n de d g ec o r en o d e s f o rc o r en o d e s ，t h i sp a p e ra d o p tar o u t es i m u l a t i o no fg l o b a lc a l c u l a t i o na n ds t a t i cs t o r a g e ； f o re d g en o d e s ，t h i sp a p e ra d o p ts t a t i cs t o r a g es t r a t e g y , e d g en o d e sp a r t i c i p a t ei nt h ea d d r e s s c l a s s i f i e rs e t t i n g ss e l e c t i v e l y t h u sa n ds o ，i tw i l lb er e d u c i n gt h en u m b e ro fd i s c r e t ee v e n t s ，a t t h es a m et i m ed o w n s i z i n gt h es c a l ea n dt i m eo ft h es i m u l a t i o n s e c o n d l y , t h i sp a p e rp r o p o s e sad y n a m i cc o n t i n u o u sc a l c u l a t i o nm e c h a n i s mo fr e d a l g o r i t h mf o rl a r g en u m b e ro fd i s c r e t ee v e n to fp a c k e tt r a n s m i s s i o n t h i sp a p e ri m p r o v et h e p a c k e tt r a n s m i s s i o n st y p eo ft r a d i t i o n a lr e dq u e u em a n a g e m e n ta l g o r i t h m ，t h es i m u l a t i o no f p a c k e tt r a n s m i s s i o ni sd e p i c t e db yc o n t i n u o u sc o m p u t i n gt oa c h i e v em u l t i - h o p t h r o u g h j u d g i n gw h e t h e rt h e r ei s ab o a l e n e c kp a t ht od e t e r m i n ew h e t h e rs h o u l db ec o n t i n u o u s c o m p u t i n g m u l t i c h i pc o n t i n u o u sc o m p u t i n go fr e da l g o r i t h mr e d u c e s t h en u m b e ro f d i s c r e t ee v e n t s ，i m p r o v i n gt h es i m u l a t i o ne f f i c i e n c y , a n dl o w e r st h ee f f i c i e n c yo fs i m u l a t i o n t i m e t h i r d l y , b a s e do nt h ea b o v et w oi m p r o v e ds t r a t e g i e s ；an e t w o r ks e c u r i t ye v e n ts i m u l a t i o n p l a t f o r mi se s t a b l i s h e d c o m p a r e dt ot r a d i t i o n a ls i m u l a t i o na p p l i c a t i o np l a t f o r m ，i th a sh i g h e r p e r f o r m a n c e ，a p p l i c a b i l i t y , a n do t h e rc h a r a c t e r i s t i c s t h r o u g ht h el a r g e s c a l en e t w o r kw o r m s s i m u l a t i o n , t h es i m u l a t i o nr e s u l t sa r eb e r e r t h a nt r a d i t i o n a l k e y w o r d s ：n e t w o r ks i m u l a t i o n , n e t w o r ks e c u r i t ye v e n t , s t a t i cs t o r a g e ，r o u t i n gs i m u l a t i o n , d y n a m i cc o n t i n u o u s 目录 目录 摘要i a b s t r a c t ：i i 第一章绪论1 1 1 课题背景及意义1 1 2 国内外研究现状2 1 2 1 网络安全事件研究现状2 1 2 2 网络模拟原理3 1 2 3 网络模拟工具研究进展4 1 2 4 提高网络安全事件模拟性能5 1 3 本文的研究工作6 1 4 论文的组织结构6 第二章基于n s 2 的网络安全事件性能分析9 2 1 网络模拟工具n s 2 的特点9 2 2n s 2 的层次体系结构1 0 2 2 1n s 2 的总体结构+ 1 0 2 2 2 分裂对象模型j 1 l 2 3n s 2 的模拟机制1 3 2 3 1 模拟对象1 3 2 3 2 模拟机制1 4 2 4n s 2 的模拟过程1 5 2 5 基于n s 2 的网络安全事件模拟性能分析1 7 2 6 本章小结1 9 第三章改进的路由模拟策略2 0 3 1 引言2 0 3 2 全局计算与静态存储路由策略2 0 3 3 改进的路由模拟策略2 l 3 3 1 改进策略的实现2 1 3 3 2 算法复杂度分析2 3 3 4 实验结果与分析2 6 3 4 1 真实性验证2 6 3 4 2 性能对比2 6 3 5 本章小结2 8 第四章r e d 动态连续计算机制2 9 4 1 引言2 9 4 2 基本队列管理算法2 9 目录 4 2 1 队尾丢弃( d r o p t a i l ) 算法2 9 4 2 2 随机早期检测( r e d ) 算法2 9 4 3 传统的数据包转发机制3 0 4 4 连续计算基本描述3 3 4 4 1 计算代替缓冲队列3 3 4 4 2 多跳连续计算3 4 4 5 动态连续计算及其实现3 4 4 5 1 动态连续计算实现3 4 4 5 2 动态连续计算方法分析3 6 4 6 实验结果与分析3 7 4 6 1 真实性验证j 3 7 4 6 2 性能对比3 8 4 7 本章小结3 9 第五章高性能网络安全事件模拟实验4 0 5 1 网络安全事件模拟平台：钧 5 2 网络蠕虫4 1 5 2 1 网络蠕虫的定义4 1 5 2 2 网络蠕虫的功能结构4 2 5 2 3 网络蠕虫的传播过程4 3 5 3 实例验证4 4 5 4 本章小结4 6 第六章总结与展望4 7 6 1 全文总结4 7 6 2 展望4 7 致谢4 8 参考文献4 9 附录：作者在攻读硕士学位期间发表的论文5 3 第一章绪论 第一章绪论弟一早珀下匕 1 1 课题背景及意义 随着计算机网络的持续快速发展，计算机网络的规模在不断地扩大，系统结构也日 益完善，在人们日常生活中的比例也在逐日提高，已经深入到日常的工作、学习、生活 等的方方面面。正是伴随着计算机网络知识的普及，网络安全问题也变得越来越突出。 互联网中攻击事件的时常发生，使得网络安全问题不仅给网民造成了较大的影响，比较 严重的攻击事件可能对国家的信息化建设、经济利益、文化氛围甚至军事政治都会有较 为深远的影响。电子商务、网上银行等以网络为基础的行业的兴起，使得网络安全成为 了不可回避的问题。 近年来，网络蠕虫( w o r m ) 、分布式拒绝服务攻击( d d o s ) 、垃圾邮件( s p a r e ) 、 网络仿冒( p h i s h i n g ) 以及间谍软件( s p y w a r e ) 等网络安全事件与僵尸网络( b o t n e t ) 结合在一起，利用网络及信息系统的诸多漏洞，给互联网的安全造成了严重的威胁。 分布式拒绝服务攻击是基于服务可用性或拒绝授权用户访问服务提供商的一种攻 击。在这种攻击中，攻击者在若干台主机上安装d o s 软件，这些主机轮流攻击同一个目 标机器。， 垃圾邮件是未得到用户许可便强行给用户的邮箱发送毫无价值的垃圾电子邮件，一 般具有批量发送的特征。常通过多台机器同时发送来攻击邮件服务器，造成邮件服务器 带宽的大量浪费，并严重干扰邮件服务器进行正常的邮件接收与发送。 僵尸网络是攻击者通过多种传播手段在大量计算机中植入恶意程序，并能够通过相 对集中的若干计算机直接向其他计算机发送指令的攻击网络。该事件最典型的特征就是 流量溢出，它可以消耗大量的带宽，却不消耗应用程序资源。 接下来以网络蠕虫为例，详细分析给计算机网络以及全球经济所带来的危害。 1 9 8 8 年1 1 月2 日，m o r r i s 蠕虫【l 】爆发，几天之内6 0 0 0 台以上的i n t e m e t 服务器被 感染而瘫痪，损失超过一千万美元。由于m o r r i s 蠕虫影响的广泛，在其后的1 0 年内仍 被作为经典的病毒案例。 2 0 0 1 年7 月1 9 日，c o d e r e d 蠕虫【2 j 发作，在爆发后的9 个小时内攻击了2 5 万台计 算机，损失超过2 0 亿美元，而且在随后的几个月内产生了更厉害的几个变种，其中 c o d e r e x ii i 蠕虫造成的损失估计1 2 亿美元。而且比m o r r i s 蠕虫更强的是，使用到了相 当多的高级编程技术。 与c o d e r e d 蠕虫同年在9 月1 8 日爆发的n i m d a 蠕虫【3 j 较之以往的网络蠕虫有很大 不同，n i m d a 蠕虫结合了病毒技术。它造成的损失估计由最初了5 亿美元上升到2 6 亿 美元，并一直在攀升中。 2 0 0 3 年1 月2 5 日爆发的2 0 0 3 蠕虫王【4 】又名s q l 蠕虫王，它的传播速度极快，爆发 数小时后变导致全球大多数网络发生拥塞，自动提款机运作中断，达到经济损失2 6 亿 美元。 江南大学硕士学位论文 2 0 0 8 年1 1 月2 0 日爆发的c o n f i c k e r 蠕虫p j ，也被称作d o w n u p ，d o w n a d u p 或飚d o ， 一共出现了四个版本，全球超过1 5 0 0 万台电脑受到感染。经济损失直接达到9 1 亿美元。 2 0 1 0 年6 月被首次检测出来的s t u x n e t 病毒【6 】又称震网病毒，席卷了全球的工业 界，世界上首个网络“超级武器，感染了全球4 5 0 0 0 个网络，其中伊朗受到的攻 击最为严重。 截止到目前为止，另一个比较活跃的蠕虫病毒就是“飞客蠕虫【7 1 ，它平均每 月可感染用户1 8 0 0 万。 通过以上例子可以看出，网络安全事件的危害在逐步增大。因此对网络安全事件的 防范与研究再次成为了科研领域热点问题之一。 1 2 国内外研究现状 1 2 1 网络安全事件研究现状 由于国外互联网的应用早于国内，故在网络安全方面的研究起步较早、研究力度大、 应用广。在7 0 年代美国的网络安全技术基础理论研究成果“计算机保密模型”( b e u & l a p a d u l a 模型) 的基础上，指定了“可信计算机系统安全评估准则 ( t c s e c ) ，其后又指 定了关于网络系统数据库方面和系列安全解释，形成了安全信息系统体系结构的准则。 近年来，网络蠕虫、僵尸网络等高性能网络安全事件攻击事件的频繁出现，再次成为安 全领域中学术研究与讨论的热点问题。网络与信息安全从1 9 9 5 年开始成为中国信息化 发展战略的重要组成部分，并通过每年一度的中国计算机网络安全应急年会( 简称 c n c e r t 年会) ，探讨安全事件的防御、检测和相应方面的先进技术、在计算机与网络 安全工具方面的最新进展、交流计算机安全事件响应领域的观点、经验和解决方案。国 内外很多学者都做过很多此方面的研究。 但是由于在研究过程中，受到了成本、环境等等方面的问题，常常会需要在实验环 境中进行研究，当前对网络安全事件进行研究的方法主要有两种：一种是数学模型分析； 另一种是网络模拟。 数学模型分析【_ 7 】是指首先根据预先设定的限定条件，建立一种数学模型，来描述研 究对象和所依存的网络关系，并对其进行分析。分析方法主要包括模拟结果对比、数学 推理及证明、现实网络安全事件对照，并在此基础上验证数学模型的有效性及其精确性， 验证完毕之后，需要对模型进行校验并对其修正。最后在解答问题时，则使用多次校验 修正后的模型。由于此模型具有不受软件和硬件资源的限制的特点，因此，具有很高的 灵活性，但是也存在一定的缺陷，模型的精准性容易受到预定条件的影响。以美国马萨 诸塞州大学的z o u 8 1 、佐治亚理工学院的c h e n 【9 】和d a g o n 1 0 】、卡耐基梅隆大学的w a n g 1 l 】 等人为代表，他们通过建立蠕虫传播模型、僵尸网络时区传播模型，实现对特定网络安 全事件的预测。但数学模型对问题过于简化会导致得到的数据缺乏可信度。 网络模拟技术是在网络研究领域中的具体应用之一，主要基于计算机仿真理论与方 法，将网络的行为特征进行抽象化，能够根据用户的需求，模拟相应的网络模型并获得 网络的各种特性，包括时间及空间开销等。该技术已经在国内外被广泛应用，如网络协 2 第一章绪论 议研究，网络性能研究和网络结构设计等。以橡树岭国家实验室的p e r u m a l l a 【1 2 j 、加 利福尼亚大学的k o n g 1 3 】等人为代表。基于包级别的离散事件网络模拟技术实现了模拟 结果的高真实性，但是基于包级别的离散事件网络模拟开销太大，根本无法满足网络安 全事件研究的时效性要求。 国内也有很多学者对高性能网络安全事件做了大量研究，例如：马铭等人在文献 1 4 】 中提出的w s s ：一个基于n s 2 的网络蠕虫模拟系统，正是基于n s 2 的一个典型的网 络安全事件进行的模拟，但是国内的网络安全技术的研究与产品开发仍处于起步阶段， 还有大量的工作需要去研究、开发和探索。 在实际应用中，无论采用何种研究方法，都需要考虑网络模拟的真实性、规模以及 资源消耗等方面。由于网络模拟具有低成本、灵活方便的特点且具有一定的真实性，因 此，该技术能够渗透到网络研究的任意角落。即使是在尚未实施的网络环境中，也能根 据所需的规模大小及相关要求，建立有效的网络安全模拟平台并对其进行研究分析，这 为网络安全事件在线控制与灾害评估提供了非常重要的模拟基础。 接下来就网络模拟原理，网络模拟工具的研究进展以及提高网络安全事件模拟性能 展开详细介绍。 1 2 2 网络模拟原理 典型的网络模拟的研究主要由两个部分组成【1 5 】：对真实计算机网络行为特征进行建 模，并能反映出网络的内在关系，且能被计算机处理；使用模拟模型研究网络的动态行 为。 图1 - 1 网络模拟的过程 f i g 1 - 1p r o c e d u r eo f n e t w o r ks i m u l a t i o n 江南大学硕士学位论文 网络模拟的研究主要包括问题定义、模型建立和配置、模拟实现以及结果分析，基 本流程如图1 1 所示。首先研究者需要对研究的问题进行定义，能够对问题有明确的认 识并详细描述出来；然后根据该问题所涉及的相关信息进行查询，建立所需的模型并不 断完善，直到满足一定的合理性为止。由于模型的建立直接影响到实验结果的有效性以 及精确性，因此，此阶段是网络模拟中最重要的一个环节，也是网络模拟研究的基础。 在网络模拟过程中，建立的模型主要包括拓扑模型、协议模型和流量模型等；在模拟实 现阶段，主要是对建立的模型进行模拟，并根据需求设置软硬件环境；最后根据模拟产 生的结果进行分析，并在此基础上从新进行配置，进一步完善模拟结果，使模拟结果的 真实性等满足要求。 1 2 3 网络模拟工具研究进展 在实现方式上，网络模拟工具【1 6 】通常可以分为两类：单机式模拟工具，即网络模拟 过程中的步骤只需在同一台机器上实现；多机式模拟工具，该模拟工具是并行分布式结 构，可以分为对等模式和客户服务器模式。目前，在国内外从事网络模拟的研究机构中， 主要使用如下网络模拟工具： ( 1 ) n s 2 n s 2 1 7 , i s 】起源于一个名为r e a l 的网络模拟器，该模拟器是基于c + + 开发的，且于 1 9 9 5 年获得美国d a r p a 的支持加入v i n t 项目 1 9 , 2 0 。并在此基础之上，l a w r e n c eb e r k l e v n a t i o n a ll a b o r a t o r y 的网络模拟研究小组开发研制出了n s 的第一个版本n s i ，紧接着 u cb e r k l e y 发布了n s 第二版n s 2 。当前n s 2 的最新软件版本为n s 2 3 4 。 ( 2 ) o p n e t o p n e t 2 l 】是m i l 3 公司的产品，该模拟工具能够准确分析网络的性能和特性，快速 建立相应的网络模型，在网络模型中，可以在模型的任意位置进行数据采集和统计，方 便用户对模型进行修改和仿真。是国内外公认的比较优秀的网络模拟工具，但该模拟工 具受到网络规模及成本的限制，使其在研究领域无法被广泛应用。 一 ( 3 ) r e a l r e a l 2 2 】是由美国加利福尼亚大学计算机科学系开发实现的网络模拟研究工具，主 要研究基于数据包交换的网络流动态行为和拥塞控制模式等方面。 ( 4 ) s s f s s f l 2 1 是一组主要用于描述离散事件的网络模拟工具，目前，主要包括的版本有 s s f n e t t z 3 ，i s s f 2 4 1 ( 即d a s s f ) 等。其中s s f n e t 主要针对j a v a 语言，而i s s f 主要针 对c - 卜 语言。其中，s s f n e t 采用d m l ( d o m a i nm o d e l i n gl a n g u a g e ) ，能够运行在共享 内存对称型多处理机上，来实现大规模网络的模拟。i s s f 主要被应用在基于分布式m p i 运行方式的内存并行计算机上。 ( 5 ) 基于n s 2 的离散事件并行模拟器 目前，基于n s 2 的离散事件并行模拟器【2 5 ，2 6 ，2 7 】中比较知名的有佐治亚理工学院的 m a n i a c s 组开发的p d n s 幽1 ( p a r a l l e l d i s t r i b u t e dn s ) ，仁斯里尔理工学院开发的可扩展 高性能并行网络模拟器g e n e s i s 【2 9 】和西安交通大学实现的n s 2 【3 川的并行化运行工具。 4 第一章绪论 1 2 4 提高网络安全事件模拟性能 随着计算机网络的快速发展，所需研究的网络规模与所需模拟的流量都越来越大， 使得网络模拟过程中所需要的计算开销急剧增加p 1 ，3 2 3 3 1 ，例如网络蠕虫在1 3 万主机节 点规模的网络模拟中，其扩散过程在需要消耗几十个小时。因此提高网络安全事件的模 拟性能、降低网络模拟所需消耗的时间具有很大的意义。 当前提高对网络安全事件的模拟性能主要采用两条思路：第一条网络模拟中的路由 模拟的开销是制约模拟规模的主要因素，如何在有限的硬件资源条件下尽可能的减少路 由模拟开销，可以有效提高网络模拟的效率；第二条是通过建立简单抽象的模型来增加 网络模拟的抽象度，并减少网络模拟的计算开销。具体如下： ( 1 ) 提高路由模拟效率 当前的路由模拟策略主要分为两类，一类是f l a t 策略，即全局计算与静态存储策略 3 4 , 3 5 1 ，另一类是n i x v e c t o r 策略【3 6 】。下面分别介绍两种策略的研究现状。 1 、f 1 a t 策略 f l a t 策略的主要思想为：路由表的计算与存储涉及所有模拟节点，这使得路由模拟 需要大量的计算开销与存储开销。在f l a t 策略和t r e e 策略( 最小生成树策略) f 3 7 】的基 础上，又有f f t r e ef l a t 策略( 最小生成树加部分静态路由表路由策略) 3 5 】和m t r e ef l a t 策略( 多棵最小生成树加部分静态路由表路由策略) 3 4 1 ，它们同样也需要大量的存储开 销。 2 、n i x v e c t o r 策略 n i x v e c t o r 策略的主要思想为：路由信息在需要的时候计算而不必存储，这大大减少 了存储开销，但是由于同一条路由信息需要不断地计算，这增加了计算开销。 d i m i t r o p o u l o sx 和gr i l e y 等人在文献 3 8 】中基于n s 2 模拟器对b g p 协议进行模拟时， 完成了对n i x v e c t o r 策略的改进，形成了按需计算的n i x v e e t o r 策略。改进的n i x v e c t o r 策略在一定程度上对存储开销的问题得到了解决，但是计算开销的问题随之加大了。 ( 2 ) 提高网络模拟的抽象度 通过简化网络模拟的模型【3 9 】来增加模拟的抽象度，减少网络模拟的计算开销和模拟 运行时间，提高网络模拟性能。提高网络模拟抽象度的方法主要有拓扑模型的简化与抽 象、流模拟技术和离散事件模拟与数学模型的混合模拟三种方法。下面分别介绍三种方 法的研究现状。 l 、拓扑模型的简化与抽象 网络建模的核心问题是抓住i n t e m e t 的核心内容，忽略没有影响性的。通过简化及 抽象化拓扑模型，达到减少模拟消耗的存储空间及计算开销，并以此提高模拟的规模与 性能。h u a n g 【删建立了拓扑模型，提出了针对多种模拟模型的简化与抽象方法，实验结 果表明，该方法能够提高网络模拟的规模与性能。但此方法在提高网络模拟的性能的同 时，也影响到了网络模拟结果的真实性。 2 、流模拟技术 d o nt o w s l e y 4 1 】等人针对t c p 数据流建立了数学模型，并提出了流模型的概念，采 5 江南大学硕士学位论文 用的数值计算方法是通过时间间隔进行驱动，为了得到网络行为的特征，需要通过对数 学模型进行求解。将流模拟技术与离散事件模拟相结合之后，可用来模拟网络流量。对 于端到端分组的精准问题，没有得到有效解决，因此，进行背景流量时，时间的消耗仍 然很大。 3 、离散事件模拟与数学模型的混合模拟 m i c h a e ll i l j e n s t a m l 4 2 j 等人对网络蠕虫的传播过程进行模拟，采用了离散事件模拟与 蠕虫传播数学模型相结合的方法，该方法主要是针对大部分网络拓扑结构，采用数学模 型的方法进行模拟；而针对特定的小部分拓扑结构，则采用包级别的离散事件进行模拟。 模拟的实验结果可以表明，该方法可以有效得减少离散事件的数量，也使得模拟运行的 时间得到了很大的降低。但由于数学模型真实性较差，因此，会影响到网络模拟的真实 性；同时该传播模型不具备通用性，使得该方法在一定程度上存在较大的局限性。 1 3 本文的研究工作 本文以网络安全事件作为研究对象，并通过网络安全事件在n s 2 网络模拟器上实际 的模拟运行过程进行分析，通过实验模拟得出影响其性能提高的主要因素。在此基础上 提出了改进的路由模拟策略、r e d 算法动态连续计算机制两种改进手段，并以两种改进 方法为基础建立了网络安全事件模拟平台，以达到提高网络模拟性能，降低模拟所需时 间开销的目的。具体如下： ( 1 ) 研究并改进了全局计算与静态存储路由模拟策略，该策略作为n s 2 模拟器的 默认路由策略，在路由计算时维护的是全局路由表，即所有路由节点都参与计算，极大 的消耗了模拟运行时间。本文提出的改进的路由模拟策略，首先将所有节点进行分类： 分为核心节点、边缘节点以及边缘核心节点，通过边缘节点与边缘核心节点的路由信息 的相通性，首先简化在路由计算时需要维护的全局路由表的大小，即只选择核心节点参 与计算即可。再次在地址分类器设置时，边缘节点也是有选择的进行参与计算，从而降 低了模拟运行时间和存储空间。 ( 2 ) 研究并改进了传统的数据包模拟转发中的大量离散事件的产生。该模拟机制 中每个数据包都是一跳一跳的模拟转发的，需要经过两个队列，极大的增加了时间开销。 本文提出的r e d 动态连续计算机制，首先简化了传统r e d 队列管理中数据包每一跳转 发的方法，改成连续计算的方法，即实现多跳一起转发。多跳连续计算可以使得缓冲队 列被连续计算代替，减少了参与的队列，在最优的情况下，参与的队列数目可以变为零。 再次通过判断经过的链路是否为瓶颈链路，动态选择是否进行连续计算，从而形成r e d 动态连续计算机制，并有效降低模拟运行时间与存储空间。 ( 3 ) 提出并建立了网络安全事件模拟平台。该平台主要结合上述两种改进方法， 并与传统的模拟应用通过网络蠕虫实验做出对比，验证此平台对网络安全事件的模拟性 能高，而且可以保证模拟的真实性，也为下一步对网络安全事件的模拟研究打下基础。 1 4 论文的组织结构 论文共分为六章，各章的主要内容安排如下： 6 第一章绪论 第1 章是绪论，共分为3 节。第1 节介绍了网络模拟的课题背景；第2 节详细介绍了高 性能网络安全事件国内外研究现状；第3 节介绍了本文的主要研究内容以及结构组织。 第2 章是基于n s 2 的网络安全事件性能分析，共分为6 节。第l 节介绍了网络模拟工具 n s 2 的特点；第2 节介绍了n s 2 网络模拟器的层次系统结构；第3 节分析了n s 2 的模拟机 制，主要从模拟对象与模拟机制入手；第4 节给出了n s 2 基本的模拟过程；第5 节基于n s 2 的网络安全事件模拟性能进行了分析；第6 节对整个第二章的内容进行了总结。这一章 为本文的网络安全事件的性能研究奠定了理论基础。 第3 章改进的路由模拟策略，共分为5 节，第1 节为引言部分：第2 节介绍了传统的全 局计算与静态存储路由策略；第3 节提出了改进的路由模拟策略，分别从改进策略的实 现和算法复杂度的分析两方面来诠释；第4 节为实验结果分析，首先验证了实验的真实 性，其次对两种路由策略做了性能对比；第5 节对整个第三章内容进行了总结。这一章 从简化路由计算方面对传统的全局计算与静态存储路由策略进行了改进，使得模拟运行 时间有了大幅度减小，从而提高了模拟性能。 第4 章为r e d 动态连续计算机制，共分为7 节，第l 节为引言部分；第2 节介绍了基本 的队列管理算法，主要是队尾丢弃算法( d r o p t a i l ) 和随机早期检测算法( r e d ) ；第3 节为传统的数据包转发机制，对传统的数据包的模拟转发过程做了详细介绍；第4 节提 出了连续计算基本描述，包括计算代替缓冲队列和多跳连续计算两部分；第5 节分析了 r e d 动态连续计算及其实现思路，包括连续计算的不真实性分析，动态连续计算的实现 以及动态连续计算方法分析：第6 节为实验结果分析，对传统的转发机制与基于r e d 的 动态连续计算做了对比分析：第7 节对整个第四章内容进行了总结。这一章以动态连续 计算取代缓冲队列来进行改进，从而使得模拟运行时间降低，进而提高模拟性能。 第5 章为高性能网络安全事件模拟平台及实验，共分为4 节，第l 节为网络安全事件 模拟平台，首先对网络安全事件模拟应用平台进行了整体介绍，再次对其各个组成部分 进行了详细介绍；第2 节为网络蠕虫，分别从网络蠕虫的定义，网络蠕虫的功能结构以 及网络蠕虫的传播过程三个方面进行了介绍；第3 节为大规模网络蠕虫模拟实验，应用 于网络安全事件模拟平台与传统的软件环境平台进行对比分析；第4 节对整个第五章内 容进行了总结。这一章主要是介绍了网络安全事件模拟平台，并通过实验验证了平台的 适用性以及对高性能网络事件的模拟性能的提高。 、 第6 章是全文总结，叙述了本文取得的成果并分析了下一步研究的思路。 文章的整体结构如下图1 2 所示： 7 江南大学硕士学位论文 第一章网络安全事件简介以及提高网络模拟i 生能研究方法综述 上 第二章基子ns 2 的网络安全事件陛能分析 上 第三章改进的路由模拟第四章r e d 动态连续计算 策略 机制 上 第五章裔| 生能网络安全事件模拟实验 图1 - 2 本文结构图 f i g 1 - 2a r c h i t e c t u r eo f t h ed i s s e r t a t i o n 8 第二章基于n s 2 的网络安全事件性能分析 第二章基于n s 2 的网络安全事件性能分析 2 1 网络模拟工具n s 2 的特点 n s 2 1 7 , 1 8 , 1 9 1 是基于多协议离散事件的网络模拟器，源于r e a l 的网络模拟器，由加 利福尼亚大学国家实验室的网络模拟研究小组开发的一个事件驱动模拟引擎，其第一个 版本是n s l ，具有容易实现配置、编程和扩展方面的特点，内部包括多种路由器协议和 队列管理算法等。n s 2 且是一个免费软件，体系结构和用户接口具有开放性的特征，后 台并有相当数量的协议库进行支持，因此，扩展性很灵活。n s 2 模拟工具，由于对数据 包的转发模拟具有很低的抽象度，在整个模拟运行的过程中，一些信息的真实性可以保 证，例如：队列长度等，因此，其对网络流量方面的模拟运行效果远优于其它的网络模 拟工具。 n s 2 网络模拟器具体的一些特点如下： ( 1 ) 模拟采用两种语言 n s 2 网络模拟器进行模拟时较为突出的特点是：为了满足模拟时可以达到高效性， 使用了c + + 语言和o t c l 语言。c + + 语言的特点是运行速度快，修改相对比较繁琐，n s 2 后台的协议支持部分较为c + + 语言的特点。o t c l 语言的特点是运行速度较慢，修改相对 比较简便，属于脚本运行语言的一种，基于o t c l 语言的特点，用其对模拟脚本的参数进 行配置，可以达到与c + + 语言互补的效果。t c l c l 模块是n s 2 模拟器中c + + 语言和o t c l 语言 的互通桥梁，可将c + + 对象与o t c