（应用数学专业论文）基于分割的蠕虫传播抑制机制的研究.pdf

河南大学研究生硕士学位论文 第1 页 摘要 随着计算机技术的发展和互联网的扩大 整个社会发生了同新月异的 变化 并取得了长足的进步 然而网络技术飞速发展的同时也带来了层出 不穷的安全问题 其中网络蠕虫问题尤为突出 为了解决蠕虫泛滥的问题 必须研究有效的抑制蠕虫在大规模网络中 传播的手段 首先通过对蠕虫传播模型的理论分析 从中发现影响蠕虫传 播的重要参数 本文认为隔离系统的布置与遏制时间是影响最终抑制蠕虫 传播效果的最重要的因素 在大规模网络中 通过对网络划分缩小各子网 规模 并采用自动检测来缩短遏制时间 建立大规模网络蠕虫隔离系统 可以对蠕虫进行有效的遏制 本文主要研究以下内容 1 简介网络蠕虫的基础知识 包括网络蠕虫的相关定义及其传播策 略 2 研究蠕虫传播和网络规模之间的关系 为网络分割下的蠕虫传播 抑制提供可行的思路 3 通过对图的深度优先搜索 缩写为d f s 划分算法的分析 提出 利用基于d f s 的网络分割算法进行网络拓扑的方法 从而获得了一个描述 网络连接情况的无向连通图g v e 从而为快速获取网络骨干节点提供 了有力的理论支持 4 建立了基于网络骨干节点的疫苗接种模型 为疫苗的快速分发从 而建立隔离系统奠定基础 并通过仿真实验验证了其可行性 关键词 网络分割 蠕虫 传播抑制 疫苗 深度优先搜索 第1l 页河南大学研究生硕士学位论文 a bs t r a c t w i t ht h ed e v e l o p m e n to fc o m p u t e rt e c h n o l o g ya n dt h e e x p a n s i o no ft h e i n t e r n e t g r e a tc h a n g e sh a v et a k e np l a c ei nt h ew h o l es o c i e t y a n dh a v ema d e c o n s i d e r a b l ep r o g r e s s b u ta tt h es a m et i m et h er a p i dd e v e l o p m e n to f n e t w o r k t e c h n o l o g ya l s ob r o u g h ti n a l ls o r t so fs e c u r i t yi s s u e s i nw h i c ht h en e t w o r k w o r mi sp a t i c u l a r l yn o t a b l e t os o l v et h e p r o b l e m o fw o r mp o p u l a t i o n w ed os e a r c ho n t h e a p p r o a c h e st oq u a r a n t i n ew o r m si nl a r g es c a l en e t w o r k s o nt h eb a s i so ft h e a n a l y s i so fw o r mp r o p a g a t i o nm o d e l w eb e l i e v et h a t t h ed e p l o y m e n to f d e f e n s es y s t e ma n dt i m et o p e r f o r mc o n t a i n m e n ta r et w om o s ti m p o r t a n t f a c t o r si nt h e o v e r a l l q u a r a n t i n ee f f e c t t h r o u g hd e e s c a l a t i n gt h en e t w o r k s c a l eb yp a r t i t i o na n ds h o r t e n i n gt h ec o n t a i n m e n tt i m eb ya u t o m a t i cd e t e c t i o n t h ec o n s t r u c t i o no fl a r g es c a l en e t w o r kw o r m q u a r a n t i n es y s t e mc a nc o n s t r i c t t h ew o r mp r o p a g a t i o ne f f e c t i v e l y t h em a i nc o n t e n t so ft h ed i s s e r t a t i o ni n c l u d e s 1 b r i e fi n t r o d u c t i o no ff u n d a m e n t a ln o t i o n s i n c l u d i n gd e f i n i t i o n s r e l e v a n tt on e t w o r kw o r ma n di t ss c a n n i n gs t r a t e g i e s 2 r e s e a r c ho nt h er e l a t i o n s h i pb e t w e e nt h ew o r mp r o p a g a t i o na n d n e t w o r k s c a l e w h i c hp r o v i d e ss o m ef e a s i b l ei d e a sf o r p a r t i t i o n b a s e d q u a r a n t i n ea p p r o a c h 3 b ya n a l y s i so ft h eg r a p h b a s e dd e p t hf i r s ts e a r c h a b b r e v i a t i o nf o r d f s o fn e t w o r kd i v i s i o n w ep r o p o s eam e t h o dt oa c c e s st h en e t w o r k t o p o l o g yb a s e do nt h ea l g o r i t h m t h e nw eo b t a i nad e s c r i p t i o no ft h en e t w o r k c o n n e c t i o n st ou n d i r e c t e dc o n n e c t e dg r a p hg v e s ow ep r o v i d e sa s t r o n g t h e o r e t i c a le v i d e n c ef o rr a p i da c c e s st ot h en e t w o r kc r i t i c a ln o d e s 4 t h ee s t a b l i s h m e n to fi n t e r n e tw o r mv a c c i n a t i o nm o d e lb a s e do n n e t w o r kc r i t i c a ln o d e s t ol a yaf u n d a t i o nf o rt h er a p i dd i s t r i b u t i o no fv a c c i n e s 河南大学研究生硕士学位论文第1 li 页 a n dt h e q u a r a n t i n es y s t e m a n dt h r o u g has i m u l a t i o nw ev e r i f i e di t s f e a s i b i l i t y k e y w o r d s n e t w o r kd i v i s i o n w o r m s p r e a dr e s t r a i n t v a c c i n e d f s 关于学位论文独立完成和内容创新的声明 本人向河南大学提出硕士学位申请 本 k 簧f 重声明 所呈交的学位论文是 本人在导师的指导下独立完成的 对所研究的课题有新的见解 据我所知 除 文中特别加以说明 标注和致谢的地方外 论文中不包括其他人已经发表或撰 写过的研究成果 也不包括其他人为荻得任何教育 科研机构的学住或证书而 使用过的材料 与我一同工作的同事对奉研究所做酌任何贡献均已在论文中作 了明确的说明并表示了谢意 学住申请八一 学位论囊作者 釜名 洲7 年 石 曰 关于学位论文著作权使用授权书 本人经河南大学审核批准援子磁士学位 作为学位论文的作者 本人完全 了解并同意河南大学有关保管 艘用擘位论兜酌要求 即河南大学有权向国家 图书馆 科研信息机构 数据收集机构和本校图书馆等提供学位论文 纸质文 本和电子文本 以供公众检索 聋阔 本人授权河南大学出于宣扬 展览学校 学术发展和进行学术交流等昏 鼬彰磊瞄采取影印j 缩印 扫描和拷贝等复制手 段保存 汇编学位论文 纸质文本和电子文本 涉及保密内容的学住论文在解密后适用本授权书 学位获得者 学住论文作者 釜名 2 0o 学住论文指导教师签名 2 0d 7 年易月 日 河南大学研究生硕士学位论文第1 页 1 1 课题研究背景 第1 章绪论 计算机技术的发展和互联网的扩大 给整个社会带来了日新月异的变 化 促进了整个社会的进步 然而网络技术酌飞速发展也带来了层出不穷 的安全问题 b e l i o v i n 等认为计算机和网络系统存在设计上的缺陷 这将 导致安全隐患 l 在i n t e r n e t 面对的安全问题中 网络恶意代码以其扩散 速度快 受害面广 穿透力强等特点而居网络安全事件之首 恶意代码对 人为编写制造的计算机攻击程序的总称 主要包括计算机病毒 v i r u s 网 络蠕虫 w o r m 木马程序 t r o j a l l h o r s e 僵尸网络 网页恶意脚本 间谍 软件等 从c n c e r t c c 接收和监测到的各类网络安全事件的情况可以看 出 网络信息系统存在的安全漏洞和隐患是层出不穷的 网络攻击的种类 和数量成倍的增长 导致终端用户和互联网企业成为主要的受害者 基础 网络和重要信息系统承受着严峻的安全威胁 2 0 0 7 年与2 0 0 6 年相比各种 网络安全事件都有显著增加 c n c e r t c c 接收的网络仿冒事件和网页恶 意代码事件成倍的增长 分别超出0 6 年总数的近l4 倍和26 倍 数据显 示我国大陆被篡改网站数量比去年增加了15 倍 而2 0 0 8 年上半年网络安 全事件情况的统计如图1 1 所示 2 8 年 4 扫插粪事件月鹰缱 謦 图1 1 2 0 0 8 年上 年网络安全事件统训 譬霹 lm恿誓 懋隧鼹匪重蟹嚣攀 第2 页河南大学研究生硕士学位论文 网络安全事件主要有网络仿冒 垃圾邮件和网页恶意代码事件等种 类 根据报告中事件类型的统计 如图卜2 所示 结果如下 垃圾邮件事 件数量最多 共1 2 l8 件 占接收事件总数的3 70 1 同比增长1 6 9 网 页恶意代码事件同比增长9 5 网络仿冒事件的数量达8 9 0 件 占2 70 4 同比增长3 8 漏洞事件为2 4 9 件 占75 7 病毒 蠕虫或木马事件达 2 2 2 件 占67 5 拒绝服务攻击事件为9 件 比去年同期 1 3 件 略有下 降 占不到1 总体情况看来 2 0 0 8 年上半年所接收的网络安全事件总 数与去年同期相比大量增加 而垃圾邮件事件 网页恶意代码事件 网络 仿冒事件尤为突出 呈现大幅增长 e 月 g t r 日 月镕 目i 女 自 t 目 月 m 镕 十3 图1 22 0 0 8 上半年网络安全事件类型分布 恶意代码的流行日趋泛滥 蠕虫作为当前恶意代码中广为传播的一 类 构成了当前对i n t e r n e t 最大的威胁之一 几乎每次蠕虫发作都会引起 巨大的损失 这从1 9 8 8 年的m o r r i s 蠕虫 3 l 事件以及随后出现的大量的网 络蠕虫及其变种 如s l a m m e r b l a s t e r 和n a c h i 等 得到体现 蠕虫己日 益成为互联网中一个棘手的问题1 4 6 j 为此 网络安全研究工作者们把研究的重点集中在对蠕虫检测和预 警 从而对主机系统和网络进行最大限度的保护 一种有效且直接的方法 就是在网络骨干节点上布置蠕虫隔离系统 从而有效的遏制蠕虫在大规模 网络上的爆发 将蠕虫对网络造成的破坏降到最低 河南大学研究生硕士学位论文第3 页 1 2研究现状 目前蠕虫的研究主要集中在蠕虫功能结构 工作机制 扫描策略 传 播模型 蠕虫对抗技术等方面 针对蠕虫的对抗技术主要包括 网络蠕虫 早期预警 良性蠕虫 h o n e y p o t 及蠕虫隔离等等 1 2 1 网络蠕虫传播抑制的研究现状 s p a f f o r d 首先对m o r r i s 蠕虫病毒的功能结构及工作机制进行了分析 3 u cb e r k e l e y 的n i c h o l a scw e a v e r 在文献 6 墙j 中对网络蠕虫的扫描策略进行 了分析和研究 且实现了w a r h o l 试验性蠕虫 理论推测该蠕虫能在3 0 分 钟的时间内在整个互联网蔓延 在传播模型方面 i b m 的k e p h a r t w h i t e 和c h e s s 在l9 9 1 年 19 9 3 年对病毒传播模型进行了深入的研究 们 以此 为基础 c l i f fz o u 等人在c o d e r e d 基础上 讨论了双因素蠕虫传播模型 和动态隔离的方法 l2 1 在蠕虫对抗技术方面 i b m 的s t e v er w h i t e 认为 传统的单机防病毒技术已不再适用于对蠕虫的防治 1 3 在国内 南开大学的郑辉对蠕虫的行为特征 实体结构 功能结构以 及传播模型和i n t e r n e t 仿真理论等方面进行了研究 给出了完整的网络蠕 虫定义 第一次提出基于m a r k o v 过程的传播模型 l5 1 文伟平等学者对网 络蠕虫扫描策略 传播模型和网络蠕虫的检测与防御等方面进行了分析与 研究 l 引 并提出了抑制基于网状关联分析的网络蠕虫预警新方法 1 6 建立 了网络蠕虫预警模型 在蠕虫对抗技术方面 f r a n kc 等人研究通过负载代码的替换而将恶 性蠕虫转化为良性蠕虫 1 7 a l l e n 研究了用于资源发现等功能分布式计算 蠕虫c a c t u sw o r m 1 8 j s m a r tw o r m j 也是一种著名的分布式计算蠕虫 文伟 平给出了一种基于双因素模型改进的蠕虫对抗模型 w o r m a n t i w o r m 模 型 5 并指出了使用良性蠕虫遏制恶性蠕虫技术中的关键研究方向 但 并没有对良性蠕虫作进一步研究 d a v i d 也对良性蠕虫的法律问题 技术 问题以及安全问题作了进一步的探讨1 20 1 杨峰等使用常微分方程建立了一 个s i a r 模型描述恶性蠕虫和良性蠕虫的交互过程 2 1 1 描述了良性蠕虫在 网络蠕虫扩散中的动态特征 王平 22 j 提出大规模蠕虫传播抑制系统的建立 对于宏观上蠕虫的防治有着非常积极的作用 郑辉 2 3 提出的主动i n t e r n e t 第4 页河南大学研究生硕士学位论文 蠕虫防治技术为遏制蠕虫的快速传播提供了抑制新的思路 d a v i dm o o r e 等人研究了在i n t e r n e t 级别对蠕虫进行有效的隔离 讨论了隔离系统的三 个特性 响应时间 防范策略 部署策略 l4 1 并提出提高隔离有效性的三个 因素 针对蠕虫的自动的快速检测和响应 内容过滤策略和隔离系统的覆 盖程度 国内外在蠕虫防御技术的研究领域 尤其是在基于隔离的蠕虫传播抑 制领域 为遏制蠕虫的快速传播 进而彻底清除蠕虫提供了一种很好的途 径 1 2 2当前蠕虫防御面临的主要问题 为了应对蠕虫的威胁 以及潜在的大规模网络中的异常 人们目前使 用的方法和策略还存在很大的不足 这些方法 有些还处在理论研究阶段 如良性蠕虫 有些则由于过多的工程因素的影响而不实用 与实际应用还 相差甚远 如漏洞自动修复 由于各种蠕虫层出不穷 而一旦大规模爆发 则造成巨大的损失 传统的基于主机的防护 包括病毒预防技术和病毒防 火墙技术 仅能进行点的防护 而基于局域网的蠕虫隔离 同样无法应对 大规模网络上的蠕虫爆发 1 3 本文的工作 本文从蠕虫遏制的三大特性出发 研究蠕虫隔离的方法 提出了一种 基于深度优先搜索的网络分割算法 通过一种基于分层的疫苗接种的模 型 快速的将网络蠕虫依赖的特定因素清除 从而达到隔离蠕虫的目的 下面介绍研究的主要内容 意义和本文的组织结构 1 3 1 研究内容和意义 基于分割的蠕虫传播抑制 面临两大问题 网络规模庞大导致骨干节 点的确立效率极低 即使骨干节点确定了 过于庞大的结构也不利于疫苗 的快速接种 针对以上问题 本文将研究重点放在网络的骨干节点上 旨在从控制 河南大学研究生硕士学位论文第5 页 蠕虫传播的网络规模的角度进行研究 并以此为基础 快速的进行疫苗接 种 从而达到抑制其传播速度的效果 本文主要研究以下内容 1 研究蠕虫传播和网络规模之间的关系 为网络分割下的蠕虫传播抑 制提供可行的思路 2 通过对图的d f s 划分算法的分析 提出利用基于d f s 的网络分割 算法进行网络拓扑的方法 从而获得了一个描述网络连接情况的无向连通 图g v e 为快速获取网络骨干节点提供了有力的理论支持 并通过仿 真实验比较了两种网络分割算法的优缺点 3 建立了基于网络骨干节点的疫苗接种模型 为疫苗的快速分发从而 建立隔离系统奠定基础 并通过仿真实验验证其可行性 蠕虫传播的速度非常快 而且蠕虫的研究和防御到目前为止还比较少 对于蠕虫的爆发还缺乏有力的手段进行监控 蠕虫的泛滥及其传播手段的 改进 留给用于检测的反应时间原来越短 因此 构架快速的蠕虫检测和 隔离平台已经是当务之急 这对于减少蠕虫对网络的破坏 并将其最小化 有着很大的现实意义 1 3 2组织结构 本文的内容组织结构如下 第l 章 绪论 本章主要介绍课题的研究背景 对于网络蠕虫传播抑 制的研究现状 当前蠕虫防御面临的主要问题以及本文的主要研究内容和 组织结构 第2 章 网络蠕虫扫描与传播的理论基础 本章主要介绍网络蠕虫的 基本工作原理和工作机制 包括蠕虫的基本定义 与病毒的区别 蠕虫的 功能结构 以及常见的网络蠕虫的传播模型和采用的扫描策略等内容 第3 章 通过分析网络规模对蠕虫传播的影响 得出网络规模与蠕虫 覆盖率之间的对应关系 然后提出并仿真了利用分割减小网络规模能显著 抑制蠕虫的传播 通过对图的d f s 划分算法的分析 提出利用基于d f s 的网络分割算法的设计与实现并进行了算法性能的分析 本章是本文的重 点内容之一 第4 章 在对网络规模进行分割减小的基础上 建立了一种快速的基 第6 页 i 南大学研究生硕士学位论文 于分层的蠕虫传播隔离模型 并通过模型实现在骨干节点上的疫苗接种 从而达到隔离蠕虫的目的 最后是全文的总结 并展望了应进一步完善的问题 河南大学研究生硕士学位论文第7 页 第2 章网络蠕虫的传播与扫描策略 为了能够有力的遏制蠕虫 必须清楚的认清蠕虫的本质 并找到蠕虫 的弱点 人们对蠕虫的分析和认知 主要通过建模和仿真 通过以下三个 方面来研究 对蠕虫的功能结构的认识 对蠕虫传播模型的认识和分析 对蠕虫扫描策略的研究 2 1 网络蠕虫简介 早期的恶意代码的主要形式是计算机病毒 2 4 1 19 8 8 年的m o r r i s 蠕虫 爆发后 s p a f f o r d 为了区分蠕虫和病毒 对病毒进行了重新的定义 他认 为 计算机病毒是一段代码 能把其自身加入到其他程序包括操作系统上 它不能独立的运行 需要有它的宿主程序运行并激活它 3 1 2 1 1网络蠕虫的定义 网络蠕虫与一般的计算机病毒存在很大的区别 现在还没有一个完整 的理论体系 但是通常认为 网络蠕虫是一种通过网络进行传播的恶意代 码 它具有病毒的一些共性特征 同时也拥有自己的特性 如不利用文件 进行寄生 有的只存在于内存中 对网络造成严重的拒绝服务 以及与 黑客技术进行结合等等 网络蠕虫的主要破坏方式是进行自我大量的复 制 然后通过网络传播 严重的占用有限的网络带宽 从而引起整个网络 的瘫痪 用户不能通过网络完成正常的工作 郑辉在文献 2 5 中给出的定 义为 网络蠕虫是无须计算机使用者的干预即可独立运行的程序 它通过 不停的获取网络中存在漏洞的计算机上的部分或全部控制权限来进行传 播 而文伟平在文献 15 中将此定义扩展为 网络蠕虫是智能化 自动 化的 综合网络攻击 密码学和计算机病毒技术等知识 不需要计算机使 用者的干预即可运行的攻击的程序或代码 它通过扫描和攻击网络上存在 系统漏洞的节点终端 并通过局域网或者国际互联网从一台终端传播到另 外一台终端 已发生的每一次网络蠕虫的爆发都给全球经济造成了巨大的 第8 页河南大学研究生硕士学位论文 损失 可见其危害性是十分巨大的 有一些网络蠕虫还可以更改用户文件 将用户文件作为附件自动转发 这势必将严重的危害到用户的系统安全 近年来 比较流行的网络蠕虫的传播主要通过两种方式 1 基于系统漏洞的传播 这类蠕虫通过扫描互联网内的i p 地址 对 有漏洞的目标主机进行攻击 如 s l a m m e r 在2 0 0 3 年1 月在仅仅10 分钟 内感染了互联网内9 0 的漏洞主机 26 1 近年有名的蠕虫 c o d e r e d 5 1 c o d e r e di i s l a m m e r 2 6 和b l a s t e r 2 6 1 都是基于系统漏洞的传播 近年安全漏洞数量不断增加 仍是信息系统的主要安全隐患 据美国 c e r t c c 统计 49 1 该组织2 0 0 7 年全年收到信息系统安全漏洞报告7 2 3 6 个 自1 9 9 5 年以来 漏洞报告总数已达3 8 01 6 个 具体统计结果如图2 1 所示 安全漏洞数量年度统计 q 厂 5 9 9 厂 7 t j厂 2 珊 n 7 i 矿 一 一 夕形 1 b 1 l i1 z r w 1z u v zz u u j 2 u u u u uu zuuj 年份 图2 1安全漏洞数量年度统计 2 基于e m a i l 的蠕虫 这类蠕虫通过e m a i l 传播 当用户打开蠕虫 e m a i l 附件甚至仅仅浏览蠕虫邮件即可攻击个人计算机 传播速度相对较 慢 如 2 0 0 4 年爆发的m y d o o m 邮件病毒导致包括中国教育科研网在内 的全球互联网几近瘫痪1 2 7 j 2 1 2 网络蠕虫与计算机病毒的区别 为了研究行之有效的抑制方案 必须对网络蠕虫和计算机病毒之间的 不同功能特性进行比较 表2 1 显示了它们的区别 表2 1 蠕虫和病毒的比较 帅 册 姗 煳 跚 蹦 姗 叫裁霹墀 河南大学研究生硕士学位论文第9 页 蠕虫病毒 存铂 方式独讧程序寄存文件 传播途径系统漏涧 宿主程序 传播速度快慢 一标网络主机和网络资源本地文件 触发自身用户 预防措施主机隔离或漏洞免疫从宿主文件中删除 用户 系统软件供应商 嗍络管 对抗主体用户 反病毒供应商 理员 值得注意的是 近年来各种恶意代码呈现了融合的趋势 越来越多的 计算机病毒结合了网络蠕虫的部分技术 以加快自身的扩散速度 使得网 络蠕虫和计算机病毒之间的界限已不再那么明显了 2 1 3 网络蠕虫的功能结构 j o s en a z a r i o 等人提出了蠕虫的功能结构框架 把蠕虫的功能分为6 个模块 搜索模块 特殊攻击模块 命令操作界面模块 通信模块 智能 模块和非攻击使用模块 2 引 在此基础上 郑辉将蠕虫程序分解为基本功能 模块和扩展功能模块 其中基本功能包括t 搜索模块 攻击模块 传播模 块 信息收集模块和繁殖模块 扩展功能包括 通信模块 隐藏模块 破 坏模块和控制模块 2 引 本文将蠕虫程序的基本结构描述为图2 2 所示 图2 2 网络蠕虫功能结构 如图所示 网络蠕虫的基本结构包含传播功能模块 隐藏功能模块和 目的功能模块三个部分 第1o 页河南大学研究生硕士学位论文 对于传播功能模块 其主要作用是负责蠕虫的自动入侵 由3 个模块 构成 1 扫描模块 负责探测存在系统漏洞的主机 当蠕虫向某台主机发送 探测系统漏洞的信息 若成功收到反馈的信息 就表明它一个可传播的主 机对象 2 攻击模块 自动攻击通过扫描模块找到的主机对象 获取该对象的 权限 一般为管理员级权限 获得一个s h e l l 3 复制模块 通过已被感染的主机和新的漏洞主机的交互将蠕虫程序 复制到新主机并启动 隐藏功能模块负责侵入漏洞主机后 隐藏蠕虫程序自身的功能 从而 防止被用户发现 目的功能模块则主要负责实现对漏洞主机的控制 监视或破坏等功 能 2 2网络蠕虫的扫描策略 通过对上面蠕虫的功能模块的介绍 可以知道蠕虫要完成入侵过程 首先需要扫描探测并收集目标主机的信息 如操作系统类型 版本 主机 名 用户名 开放的端口 开放的服务 开放的服务器软件版本等 找 到可利用的系统漏洞或弱点 然后 针对目标主机存在的漏洞或缺陷 采 取相应的技术进行攻击 直到获得主机的管理级的权限 最后 利用获得 的权限在主机上进行目的功能模块的操作 最后清除日志 也即蠕虫传播的一般模式是扫描漏洞 攻击并获得s h e l l 利用s h e l l 这样 扫描模块快速的扫描互联网上全部的弱点主机成了蠕虫传播的 必要前提 也是影响蠕虫传播的最重要的因素之一 按照蠕虫对目标地址 空间选择的方式进行分类 扫描策略可以分为 选择性随机扫描方式 本 地优先的随机扫描方式 顺序扫描方式 路由扫描方式 基于目标列表的 扫描方式 分治扫描方式等1 3 引 1 选择性随机扫描 随机扫描会对整个i p v 4 地址空间的i p 随机抽取进行扫描 随着蠕虫 的传播 新感染的主机也开始进行这种扫描 从而易导致网络的拥塞 而 选择性随机扫描将最有可能存在漏洞的地址集作为扫描的地址空间 避免 选择互联网中未分配或保留的地址 选择性随机扫描具有算法简单 易实 河南大学研究生硕士学位论文第11 页 现的特点 若与本地优先原则结合 则能达到更好的传播效果 基于这种 策略的典型的网络蠕虫有c o d e r e d 3 1 和s l a m m e r 2 6 c o d e r e d 利用网络上使用微软i i s 系统的服务器来进行传播 它使 用服务器的t c p 端口8 0 进行传播 而这正是w e b 服务器与浏览 器进行信息交流的渠道 其攻击特征是 入侵i i s 服务器 本身无 文件形式 只存在于内存中 同时分成数百份线程 在局域网内 疯狂传播 瞬间导致被感染的网络瘫痪 s l a m m e r 攻击的主要目标是微软的s q l 服务器 它通过攻击s q l s e r v e r 的u d p l 4 3 3 端口从而导致网络拥塞 2 本地优先的随机扫描 这是随机扫描的一种改进 它随机生成一个i p 地址 应用掩码去产生 可探测的i p 地址 掩码的长度决定了被感染主机与被扫描主机的l p 地址 的相似性 c o d e r e di i 是基于这种扫描的典型代表 它是c o d e r e d 的变种 它攻 击的目标也是微软i i s 服务器的8 0 端口 但其又一个比较高的概率扫描同 一个为 16 或 8 的网段 同时 它传播速度与传播量非常惊人 当成功 感染漏洞主机 它会创建3 0 0 个病毒线程 每个病毒线程每0 1 秒会向随 机地址的8 0 端口发送长度为3 8 1 8 字节的病毒感染数据包 从而导致网络 瘫痪 3 顺序扫描 顺序扫描是指被感染主机上的蠕虫将随机的选择一个网络地址 c 类 进行传播 根据本地优先的原则 蠕虫一般会选择本地网络内的i p 地址 若蠕虫扫描的目标地址的i p 为a 则扫描的下一个i p 地址应该为a l 或 者a 1 一旦扫描到具有大量漏洞主机的网络 蠕虫的传播就会达到很好 的效果 该策略的不足之处在于对同 台主机可能存在重复扫描 引起网 络的拥塞 b l a s t e r 是典型的这种扫描方式的蠕虫 它使用远程调用协议 r e m o t e p r o c e d u r ec a l l r p c 的漏洞 通过t c p 4 4 4 4 u d p 6 9 t c p l 3 5 这三个端口 进行传播 它使用户计算机自动重启 4 路由扫描 路由扫描是指网络蠕虫根据网络中的路由数据 对i p 地址空间进行的 选择性扫描的方法 采用随机扫描方式的网络蠕虫会对未分配的l p 地址进 行探测 而这些地址中大部分在互联网上是无法路由到的 因此会影响到 第1 2 页河南大学研究生硕士学位论文 蠕虫传播的速度 若网络蠕虫能知道哪些网络地址是可路由的 它将能够 更快 更有效的进行传播 并能躲避某些对抗工具的检测 网络蠕虫的设 计者通常利用b g p 路由表已公布的数据 3 2 j 获取i n t e r n e t 路由的i p 地址的 前辍 然后用来验证b g p 数据库的可用性 基于路由的扫描方式可以极大 地提高蠕虫传播的速度 以c o d e r e d 为例 如果采用路由扫描方式 则蠕 虫的感染率将是采用随机扫描的蠕虫感染率的3 5 倍 33 1 基于路由的扫描 方式的不足是网络蠕虫传播时必须携带一个路由i p 地址库 蠕虫代码量自 然就大 s l a p p e r 是这种扫描策略的典型代表 它只感染安装有l i n u x 操作系统 的计算机 它的目标是各不同l i n u x 版本系统上的a p a c h ew e b 服务器 其攻击端口有8 0 4 4 3 和u d p 端口2 0 0 2 5 基于目标列表的扫描 这种扫描是指蠕虫在传播的过程中自携带一份易感染的目标主机列 表 此目标列表是蠕虫首先扫描的地址 它通过小规模的扫描或互联网的 共享信息或通过分布式扫描而得到 采用这种扫描策略一般能够取得很高 效率 当使用这种策略的蠕虫扫描完目标主机列表上的所有主机后 它会 再采用随机的扫描策略 扫描整个i p v 4 网络 然而这种扫描策略仅是理 论上的扫描策略 理想化蠕虫f l a s h 6 3 0 j 就是一种基于i p v 4 地址空间列表的快速扫描蠕 虫 6 分治扫描 分治扫描是网络蠕虫之间互相的协作 快速的搜索易感主机的一种策 略 网络蠕虫把i p 地址库的一部分发送给每台被感染的主机 然后每台主 机再去扫描它所获得的地址空间 主机a 感染了主机b 以后 主机a 将 其自身携带的地址库的一部分分给主机b 然后主机b 开始对这一部分地 址进行扫描 分治扫描的不足是存在 坏点 问题 在蠕虫传播的过程中 若一台主机死机或崩溃 那么所有传给它的地址库就会丢失 文献 3 4 中提出了一种对目标列表进行分治扫描的策略 除此之外 还有一些扫描策略 然而 实际中仍然主要是随机扫描和 顺序扫描两种方式 使用其它的传播策略的蠕虫还很少 通常蠕虫对目标 列表的扫描 以及局域网内的顺序扫描都仅仅是在蠕虫传播的早期 大量 的随机扫描则范围大 持续时间长 构成了蠕虫传播的主体 河南大学研究生硕士学位论文第13 页 2 3网络蠕虫的传播模型及分析 为了研究蠕虫传播的规律 人们提出了各种各样的蠕虫传播模型 一 个精确的蠕虫传播模型可以使人们对蠕虫有更清楚的认识 能确定其在传 播过程中的弱点 而且能更清楚地预测蠕虫所造成的损失 目前较为经典 的模型包括s i 模型 s i r 模型和t w o f a c t o r 模型 1 s i 模型 在s i 模型中 每台主机保持两种状态 易感状态和感染状态 且易感 主机一旦被感染将永远保持感染状态 其状态转换情况如下图 图2 3s i 状态转换图 假设 1 病毒开始传播时 整个网络的主机数量已经确定 始终等于n 且 完成一次感染需要一个单位时间 2 在时刻t 网络中易感主机的数量为s t 3 在时刻t 网络中感染主机的数量为i t 4 任意时刻都有s t i t n 5 不考虑人为措施 如打补丁 隔离 断开网络等 和网络拓扑限制 及拥塞情况 6 1 3 为主机感染率 其模型为 r s t 1 s t 一p s t i t 1 i t p s t 2 1 i s t i t n 当t o 时 感染主机数为i o 易感主机数为n i 0 当取n 3 6 0 0 0 0 0 0 感染率1 3 1 3 6 0 0 0 0 0 0 初始感染数i 0 1 0 时 仿 真结果如下图所示 横坐标为传播时间 纵坐标为感染主机数 第14 页河南大学研究生硕士学位论文 图2 4s l 模型蠕虫传播趋势 2 s i r 模型 在s i r 模型中 每台主机保持三种状态 易感状态 感染状态和免疫 状态 3 5 1 其状态转换情况如下图 图2 5s i r 状态转换图 假设 1 蠕虫感染期间 受感染的主机可以恢复为正常状态 且对此蠕虫具 有免疫功能 丫为恢复率 2 在时刻t 网络中的免疫主机数量为r t 3 任意时刻都有s t l t r t n 其模型为 r s t 1 s t p s t ji t i 2i t j 3 s t 一7 i t 2 2 ir t 1 2r t 丫i t ls t i t r t n 当取n 3 6 0 0 0 0 0 0 感染率p 1 3 6 0 0 0 0 0 0 初始感染数i 0 1 0 时 仿 河南大学研究生硕士学位论文第15 页 真结果如下图所示 横坐标为传播时间 纵坐标为感染主机数 时同l 卜时 图2 6s i s 模型蠕虫传播趋势 从上图可以看出 当恢复率丫 0 0 1 时 s i r 模型与s i 模型的感染趋 势已经非常接近 随着1 的增大 蠕虫感染的进程变得越来越慢 甚至无 法进一步蔓延 3 t w o f a c t o r 模型 双因素传播模型 双因素传播模型 考虑了更多外界影响的因素和蠕虫对抗的措施 各 国际互联网络服务提供者节点或用户的对抗措施 以及网络蠕虫的快速传 播导致一些路由器发生的阻塞 从而降低了网络蠕虫的传播速度 在此模 型中 1 3 0 r t 和q t 都是随时间t 而动态变化的参数 双因素传播模型的微 分方程表达式为 fd r t d t 7 1 t ld q t d t p s t j t p t p o 1 一l t n q 2 3 fn s t i t r t q t ld s t d t 一p t s t i t 一d q t d t 在公式 2 3 中 r t 表示时刻t 免疫主机 感染后又被免疫 的数量 i t 表示具有感染主机的数量 q t 表示时刻t 被感染前就作了免疫处理的 主机数量 s t 表示时刻t 易感染主机的数量 j t 表示时刻t 已感染主机 的数量 j t r t i t p t 表示时刻t 的感染率 丫 p 和p o 是常量 公 式详细的推导过程请参见文献 1 1 第16 页河南大学研究生硕士学位论文 根据公式 4 推导出的i t 和时间t 的关系式为 d i t d t 2j 3 t n r t 一i t q t i t d r t d t 2 4 以上就是网络蠕虫的双因素传播模型 当取n 1 0 0 0 0 0 0 1 0 1 r l 3 1 0 0 5 g 0 0 6 n 1 3 0 0 8 n 时 仿真 结果如图2 7 所示 给出了双因素传播模型中蠕虫的传播趋势 糕 幂 州 鞣 德 o2 0柏6 08 01 0 01 2 01 4 01 6 0 时间t 小时 图2 7 双因素模型蠕虫传播趋势 可以看到 随着q t 的增长 i t 的变化走势趋向于o 2 4 本章小结 在网络环境下 多样化的传播途径和复杂的应用环境使网络蠕虫的发 生频率越来越高 潜伏性变强 覆盖面更广 这使得我们必须对网络蠕虫 有更加深入地认识 本章在介绍网络蠕虫基本定义的基础上 重点介绍了网络蠕虫的功能 结构 扫描策略和经典的传播模型等内容 为网络蠕虫隔离系统的设计提 供了理论依据 l 0 9 8 7 6 5 4 3 2 l 0 0 0 o o o 0 0 0 o 河南大学研究生硕士学位论文第17 页 第3 章基于d fs 的网络分割算法的设计 大规模的网络的分割是一个图的划分的问题 首先需要得到网络的拓 扑 然后根据需要划分得到的份数 对网络进行基于图的划分 得到各个 子网的边界 3 1网络规模对蠕虫传播的影响 定义3 1节点 网络中的各种设备 包括上网的终端 计算机 交换 机 路由器等统称为节点 由于i n t e r n e t 本身是一个开放的多变量的复杂巨系统 36 1 其规模在不 断的动态变化 但考虑到蠕虫爆发时间比较短 以及一般来说目标节点数 目相对较大 因此 假设3 1假设网络中目标节点的数目n 是近似不变的 定义3 2将蠕虫传播过程划分为慢速启动阶段 快速传播阶段和慢 速结束三个阶段 如图3 1 所示 图3 1蠕虫传播阶段划分 从图3 1 可以看出 若在蠕虫传播的第二或第三阶段再进行蠕虫的抑 制隔离 蠕虫已经造成了巨大的破坏 而且由于大规模的蠕虫传播会导致 第18 页河南大学研究生硕士学位论文 网络拥塞 致使网络路由器的性能下降 因而此时的蠕虫扫描率是动态变 化的 但是在慢速启动阶段 则不会引起上述情况 本文所进行的研究是 在慢速启动阶段 这样将真正有效地抑制蠕虫的传播 3 1 1 网络规模与蠕虫覆盖率 假设3 2假设慢速启动阶段网络中每台感染节点等概率地感染其它 易感节点 蠕虫的感染率b 为常数 不受网络性能等因素的干扰 则对于随机扫描 感染率可以定义为 p k n 3 1 其中k 为常数 由扫描有效率 成功率及频率确定 2 2 1 这样 联合方程组2 1 设初始感染蠕虫的节点数i 0 i o 则 譬 k n j v j 3 2 由于在蠕虫慢速启动阶段 厶2 故可以近似得出方程3 2 的解为 1 0e 彬 3 3 由式3 1 可以看出 网络的规模直接决定了随机扫描的感染率 从而 影响蠕虫的传播速度 定义3 3如果在规模为n 个节点的网络中 有1 个节点感染了蠕虫 那么定义i n 为蠕虫覆盖率p 即p i n 代入方程3 2 则可以得到 譬 k n p r 1 一p 3 4 上面的蠕虫覆盖率方程更能反映网络中蠕虫传播的状况 这样就得到了蠕虫传播情况与网络的规模之间存在的关系 3 1 2 仿真结果 以随机扫描和s i 模型为基础 分析蠕虫的传播不受其它手段影响时 分割网络对蠕虫的传播抑制的效果 若取k 2 石4 i 0 10 不变的情况下 对不同网络规模下蠕虫的传播进行仿真 a 蠕虫在整个i p v 4 地址空间内传 播 即网络规模n 2 3 2 b 网络的规模n 2 3 2 3 c 网络的规模n 2 3 2 1 0 河南大学研究生硕士学位论文第19 页 仿真效果如图3 2 所示 时间 小时 图3 2 蠕虫覆盖率与网络规模仿真图 从图中可以看出 当网络的规模较小时 蠕虫传播时 无论是感染节 点的数目 还是感染节点在整个网络中所占的比率 都经过了更长的时间 以后才开始有显著的上升 3 2图的d f s 划分 在对蠕虫进行检测的基础上 对网络进行划分以减小网络规模 在划 分边界上对蠕虫进行检测和隔离 只有这样才能有效地遏制蠕虫在大规模 网络中的游荡和冲击 抑制蠕虫的传播 3 2 1图的d f s 算法基本思想 通过各级网络管理机构提供或采用i n t e r n e t 测量的方法 37 1 能够获取 较为准确的网络拓扑信息和数据 通过对网络拓扑的分析 可以得到一个 描述网络连接情况的无向连通图g v e 定义3 4图g 由集合v 和e 组成 记为 g v e 其中 v 是顶点的 集合 e 是v 中顶点偶对的有穷集 通常 将图g 的顶点集和边集记为v g 第2 0 页河南大学研究生硕士学位论文 和e g e g 可以是空集 若e g 为空 则图g 只有顶点而没有边 图的深度优先搜索 d e p t hf i r s ts e a r c h 简称d f s 算法的基本思想 是 假设初始状态是图中所有顶点未曾被访问 从图中某个顶点v i 出发 访问此顶点 然后依次从v i 的未被访问的邻接点出发深度优先遍历图 直至 图中所有和v i 有路径的顶点都被访问到为止 若此时图中尚有顶点未被访 问 则另选图中未曾访问的顶点为起始点 重复上述过程 直至图中所有顶点 都被访问为止 已知图g v e 对图的每一条边进行搜索时 按下面步骤进行 1 当e g 的所有边未经完全搜索时 任取一顶点v i v g 给v i 以 标志且入栈 2 对与v i 点关联的边进行搜索时 若存在另一个端点未给标志的边 时 则作 把另一端点作为v i 给以标志 并且入栈 再转 2 否则转 3 3 当与v i 关联的边全部搜索完毕时 即不存在以v i 为端点而未经搜 索的边时 则v i 点从栈项退出 若栈不空则作 让取走v i 后的栈顶元素 作为v i 转 2 1 否则转 4 4 若栈已空 但还存在未给标志的项点时 取其中任一顶点作v i 转 2 若所有顶点都已给标志时 则算法结束 3 2 2 基于无向图的d f s 算法实现 定义3 5图g v e 中进行d f s 搜索时 最先开始的顶点叫做根节 点 从v 点沿着 v w 边搜索 v 点称为w 的父亲节点 用f a t h e r w 表示 w 的父亲节点 w 称为v 的儿子节点 当w 点未给标志时 v w 边称 为树枝边 当w 点已给标志时 v w 边称为后退边 定义3 6t r e e b a c k t r e e 定义为树枝边的集合 b a c k 定义为 后退边的集合 定义3 7 m a r k v m a r k v 0 表示v 点未经过搜身 m a r k v l 表示v 点已经过搜索 定义3 8 h u m v n u m v 表示v 点的d f s 序号 即v 点在搜索过程中 被访l 口 j 的先后顺序 若边 v i v j 是树枝边 有n u m v i n u m v i 河南大学研究生硕士学位论文第2 1 页 d f s 算法实现步骤如下 1 t r e e o b a c k 卜i a f i 1 v v v g 作 f a t h e r v 0 m a r k v 0 2 任选一点r 满足条件m a r k r 0 作 v 卜r m a r k v i n u m v i 3 若所有与v 点关联的边均已给标志 则转 5 否则任选一未给标 志的边 v w