网络蠕虫的传播模型及其防御策略 课件

网络蠕虫的传播模型及其防御策略

王方伟

1网络蠕虫的传播模型及其防御策略网络蠕虫的传播过程发现新目标扫描IP地址Email地址、文件系统的传输感染目标主机主要利用系统漏洞新感染的主机加入感染大军2网络蠕虫的传播过程发现新目标感染目标主机新感染的主机加入感染研究网络蠕虫的动机CodeRed(Jul.2001):14小时内感染近36万台主机，损失：26亿Slammer(Jan.2003):10分钟内感染75,000台主机，损失：5分钟内就导致了9.5亿-12亿美元的损失Blaster(Aug.2003)

:感染15万-8百万主机，DDoSattack(关闭Windows更新)，损失：20-100亿Witty(Mar.2004):利用ISS漏洞，30分钟感染12000台主机Sasser(May2004)

:2天内感染50万台主机，损失：数千万美元网络蠕虫的传播速度远远超过人的响应速度！

3研究网络蠕虫的动机CodeRed(Jul.2001)研究蠕虫的科学意义网络蠕虫的危害传播速度快影响面广造成损失大对计算机系统安全和网络安全的威胁日益增加新一代网络蠕虫的主要特点和危害造成骨干网大面积阻塞甚至瘫痪，致使网络服务中断造成主机开放，导致严重的信息安全威胁计算机系统性能下降，甚至瘫痪发动拒绝服务攻击攻击者回收和集中控制感染节点4研究蠕虫的科学意义网络蠕虫的危害4如何防御网络蠕虫攻击迫切需要自动响应机制

首先，需要理解蠕虫的行为特征为蠕虫的检测和防御做准备然后,未知蠕虫的早期检测基于蠕虫模型的检测基于阈值基于趋势最后,建立自动防御系统动态隔离自适应防御5如何防御网络蠕虫攻击迫切需要自动响应机制5目录网络蠕虫的定义及当前的安全状况网络蠕虫的传播模型分类网络蠕虫的扫描策略我们目前的工作网络蠕虫的防御策略将来的计划(目前的研究热点)6目录网络蠕虫的定义及当前的安全状况6网络蠕虫的定义什么是网络蠕虫?1982年，JohnF.Shoch等最早引入计算机领域。两个最基本特征：可以从一台计算机移动到另一台计算机和可以自我复制。1988年Morris蠕虫爆发后，EugeneH.Spafford给出了蠕虫的技术角度的定义，“计算机蠕虫可以独立运行，并能把自身的一个包含所有功能的版本传播到另外的计算机上。”

郑辉：Internet蠕虫是无须计算机使用者干预即可运行的独立程序，它通过不停的获得网络中存在漏洞的计算机上的部分或全部控制权来进行传播。文卫平：“网络蠕虫是一种智能化、自动化，综合网络攻击、密码学和计算机病毒技术，不需要计算机使用者干预即可运行的攻击程序或代码。它会扫描和攻击网络上存在系统漏洞的节点主机，通过局域网或者国际互联网从一个节点传播到另外一个节点。

DMKienzle：网络蠕虫是通过网络传播的恶意代码，它需要人为干预或者不需要人为干预。基本特征：网络传播，自我复制7网络蠕虫的定义什么是网络蠕虫?基本特征：网络传播，自我复制7什么不是网络蠕虫?病毒–隐藏在计算机系统信息资源中，利用系统信息资源进行繁殖并生存，影响计算机系统征程运行，通过信息共享的途径传播的、可执行的程序。

不能独立运行，需要用户来激活。

木马–是一种基于远程控制的攻击工具，能够未经授权收集、篡改或破坏信息。其特点是隐蔽性和非授权性。设计者为了防止木马被发现，采用多种手段来隐藏木马；即使被发现，也不能缺定具体位置。一旦控制端连上服务器端，控制端将拥有服务器的大部分权限。8什么不是网络蠕虫?8病毒、网络蠕虫和木马的区别

病毒网络蠕虫木马存在形式

寄生，不以文件形式存在独立个体，以文件形式存在寄生或独立，伪装成其它文件传播方式依赖宿主文件或介质，插入其它程序自主传播，利用系统存在的漏洞依靠用户主动传播，诱骗手段攻击目标本地文件网络上的计算机，网络本身感染的计算机系统计算机使用者角色病毒传播中的关键环节无关/有关无关主要危害破坏数据完整性、系统完整性侵占资源留下后门，窃取信息传播速度快极快慢9病毒、网络蠕虫和木马的区别病毒网络蠕虫木马存在形式

寄生恶意代码和网络蠕虫、计算机病毒、木马的关系10恶意代码和网络蠕虫、计算机病毒、木马的关系10网络蠕虫的分类(1)根据传播途径利用Windows操作系统漏洞传播RPC漏洞(Blaster)利用应用程序漏洞传播

FTP服务程序(Ramen)、IIS服务器漏洞(Nimda)、SQLServer数据库(Slammer)

利用浏览器传播通过修改web服务器的内容，把一小段JavaScript代码附加到HTML或者ASP文件上，

IE自动执行代码(Nimda,CodeRed)利用Email传播通过MAPI获得感染机器的通讯录中邮件地址列表，通过Windows的邮件客户端把蠕虫代码作为邮件附件发送给其他主机,而未打补丁的IE会自动执行邮件中的附件，从而使蠕虫激活.(求职信蠕虫、小邮差蠕虫)

依赖网络共享利用共享网络资源进行传播(Nimda)

11网络蠕虫的分类(1)根据传播途径11网络蠕虫的分类(2)网络蠕虫的破坏能力无害型建立很多垃圾文件，减少磁盘的可用空间，对系统没有其他影响

降低系统或网络性能型消耗大量主机资源，减少内存和CPU的使用率，使主机速度变慢；在网络上形成垃圾流量，浪费网络带宽，造成拥塞，降低网络性能。

(Nachi探测网络主机的RPCDCOM缓冲区漏洞，删除Blaster)

破坏型删除主机程序、破坏数据、清除系统内存区和操作系统中重要数据。(CodeRed,Nimda、Blaster、Sasser)12网络蠕虫的分类(2)网络蠕虫的破坏能力12网络蠕虫的分类(3)蠕虫编写者的意图好奇心型(爱虫、CodeRed)恶作剧型自娱自乐或开别人玩笑(Blaster,为了帮助其母亲的小公司招揽生意)

商业利益型为了赚钱，进入他人网站内，将其主页内商品资料内容、价格作降价等大幅度修改，使消费者误以为该公司的商品便宜廉价而大量订购，从而产生Internet订货纠纷。(库尔尼科娃蠕虫、燕姿蠕虫)

政治目的型萨达姆蠕虫

恐怖主义型仇恨一切现存的秩序，仇恨电脑本身，制造蠕虫的目的是利用蠕虫破坏现有的网络和计算机，窃取重要情报、格式化硬盘、毁坏重要数据等(Al-Qaeda、ELF、ALF)13网络蠕虫的分类(3)蠕虫编写者的意图13网络漏洞的类型漏洞指因设计不周而导致的硬件、软件或策略存在的缺陷。缓冲区溢出漏洞将超过缓冲区能处理的更多的数据加入到缓冲区时产生的允许DoS服务的漏洞存在于UNIX操作系统的网络服务核心，OS本身的漏洞。允许有限权限的本地用户未经授权提高其访问权限的漏洞由应用程序中的一些缺陷引起。典型例子：Sendmail程序的漏洞。在例程模式下，可以绕过用户帐号的检查，都可以启动Sendmail。允许在远程主机上的未经授权用户访问网络的漏洞主要由于较差的系统管理或设置造成的。IIS允许远程用户执行命令。IISHTTP将所有以.Bat或.cmd为后缀的文件与cmd.exe联系起来，如果能执行cmd.exe就能运行所有的命令。14网络漏洞的类型漏洞指因设计不周而导致的硬件、软件或策略存在的蠕虫的行为特征自我繁殖：蠕虫在本质上已经演变为黑客入侵的自动化工具，当蠕虫被释放后，从搜索漏洞，到利用搜索结果攻击系统，到复制副本，整个流程全由蠕虫自身主动完成。利用软件漏洞：漏洞是各种各样的，有操作系统本身的问题，有的是应用服务程序的问题，有的是网络管理人员的配置问题。漏洞产生原因的复杂性，导致各种类型的蠕虫泛滥。造成网络拥塞：在扫描漏洞主机的过程中，判断其它计算机是否存在；判断特定应用服务是否存在；判断漏洞是否存在等等，这不可避免的会产生附加的网络数据流量。同时蠕虫副本在不同机器之间传递，或者向随机目标的发出的攻击数据都不可避免的会产生大量的网络数据流量。消耗系统资源：蠕虫入侵到计算机系统之后，会在被感染的计算机上产生多个副本，每个副本启动搜索程序寻找新的攻击目标。大量的进程会耗费系统的资源，导致系统的性能下降。留下安全隐患：大部分蠕虫会搜集、扩散、暴露系统敏感信息，并在系统中留下后门。这些都会导致未来的安全隐患。15蠕虫的行为特征自我繁殖：15网络蠕虫的攻击方法缓冲区溢出攻击弱密码攻击自身携带一个弱密码字典，字典中包括常用的用户名和密码，攻击时网络蠕虫将用户名和密码进行组合，然后尝试，如果成功就与远程主机系统建立连接将自身传给远程主机系统，并以此为起点进行新的攻击。(阿泥哥蠕虫)社会工程学攻击利用说服或欺骗的方式，让网络内部的人来提供必要的信息，从而获得对信息系统的访问。攻击对象通常是一些安全意识薄弱的计算机使用者，攻击者通常采用与之交流或其它互动的方式实现。

DoS与DDoS攻击Pingofdeath、泪滴（Teardrop）、UDPflood、SYNflood、Land攻击、Smurf攻击、Fraggle攻击，电子邮件炸弹、畸形消息攻击16网络蠕虫的攻击方法缓冲区溢出攻击16网络蠕虫的现状和趋势几小时时间几天几分钟几秒钟90年代初90年代中90年代末20002003第I类人工响应:有可能“Flash”ThreatsFileViruses第III类人工响应:不可能自动响应:不太可能主动阻挡:有可能第II类人工响应:很难/不可能自动响应:有可能MacroVirusese-mailWormsBlendedThreats“Warhol”Threats200517网络蠕虫的现状和趋势几小时时间几天几分钟几秒钟90年代初90漏洞越来越多…1995到2008当前的安全状况vulnerabilitiesin2006aresecondquarters.18漏洞越来越多…1995到2008当前的安全状况vuln互联网安全事件报告越来越多…

1988到200619互联网安全事件报告越来越多…1988到200619从漏洞发现到蠕虫爆发的时间越来越短…网络蠕虫漏洞发现时间蠕虫开始传播时间间隔Ramen2000-07-072001-01-18195Adore2001-01-292001-04-0434CodeRed2001-06-192001-07-1930Nimda2001-05-152001-09-18126Scalper2002-07-172002-07-2811Slapper2002-07-302002-09-1445Sapphire2002-07-242003-01-25184Blaster2003-07-162003-08-1126Witty2004-03-182004-03-202Sasser2004-04-132004-04-3017????????????20从漏洞发现到蠕虫爆发的时间越来越短…网络蠕虫漏洞发现时间蠕虫网络蠕虫的传播模型目的：精确的蠕虫传播模型可以更清楚地认识蠕虫，能确定其在传播过程中的弱点，而且能更精确的预测蠕虫所造成的损失，进而采取有效防御措施。解析模型将蠕虫传播过程用数学解析的方法进行描述,如一组微分方程、差分方程或者一组递归公式数据包级蠕虫仿真模型通过引入网络仿真技术,构建蠕虫传播物理环境仿真模型,根据蠕虫模型的数据包产生、发送规则,在仿真模型中模拟蠕虫数据包在实际网络中的发送、传播、接收和处理等动作,同时记录相应的中间过程信息,用于蠕虫传播特性分析.21网络蠕虫的传播模型目的：精确的蠕虫传播模型可以更清楚地认识蠕网络蠕虫传播模型#ofcontacts

I(t)

S(t)传播模型:I(t)易感主机感染主机:易感主机数:主机总数:感染主机数:扫描数t简单传播模型:感染率22网络蠕虫传播模型#ofcontactsI(tKermack-McKendrick

模型状态转移::从感染主机中恢复的主机数:恢复率易感感染恢复t一个大规模蠕虫爆发的充要条件：其中23Kermack-McKendrick模型状态转移:易感感染双因素传播模型考虑了更多的外界影响因素和蠕虫对抗措施:各ISP节点或用户的对抗措施;网络蠕虫的快速传播导致一些路由器发生阻塞,从而降低网络蠕虫的传播速度.在这个模型中,β(t),R(t)和Q(t)都是随着时间t动态变化的参数,双因素传播模型的微分方程表达式为24双因素传播模型考虑了更多的外界影响因素和蠕虫对抗措施:242525状态转移:RecoveredSusceptibleExposedInfectious:#ofsusceptible:#ofinfectious:#ofexposed其中:infectionprobability:Therateofinfection:Therateofanexposedhostbecomesinfectious

:TherateofaninfectioushostrecoversSEIRModel:#ofrecovered26状态转移:RecoveredSusceptibleExposWorm-Anti-Worm模型(WAW)该模型考虑网络中存在两类蠕虫,A为恶意蠕虫,B为良性蠕虫.把蠕虫A的传播分为两个阶段.在蠕虫B出现之前,蠕虫A的传播行为遵循双因素模型.当蠕虫B出现以后,网络中蠕虫A的传播分为4种情况:蠕虫B查杀蠕虫A并为感染主机修补漏洞;蠕虫B只查杀蠕虫A;蠕虫B对所有的易感主机修补漏洞;蠕虫B对所有的易感主机修补漏洞,并查杀蠕虫A.在前两种情况下,蠕虫B只寻找已感染主机,在后两种情况下,蠕虫B寻找所有易感主机.27Worm-Anti-Worm模型(WAW)该模型考虑网络中存8月18日中午13：00左右Nachi8月12日凌晨1：00左右MSBlaster288月18日中午13：00左右Nachi8月12日凌晨1：0网络蠕虫的扫描策略模型假设易感主机数是一个常数，不随时间的变化而变化，即没有新的易感主机进入系统；不考虑人为措施（如打补丁、隔离、断开网络等）和网络拥塞的影响，即蠕虫的扫描率为常数；主机只有两个状态：易感和感染，某一时刻只能处于其中一个状态，不能再次感染已经处于感染状态的主机，初始感染主机数为I0；蠕虫需要一个时间单元完成感染过程。29网络蠕虫的扫描策略模型假设29模型：均匀扫描蠕虫总能扫描整个地址空间，因为IPV4是32位地址，所以。对于均匀的随机扫描方法来说，任意主机被扫描一次的概率为。用S(t)表示时刻时的易感主机数（包括已经被感染的主机数），用I(t)表示时刻时的已经被感染的主机数。在蠕虫开始传播之前（t=0），S(0)=N，I(0)=I0。假设蠕虫的平均扫描率为，t时刻时的感染主机发出的扫描数为，那么在整个地址空间内，任意IP地址被扫描一次的概率为，在单位时间内平均每个感染主机扫描整个地址空间内的一个特定IP地址的概率为共有个易感主机，所以在下一时刻时，新增加的感染主机数为。在时刻t+1时，已被感染的主机总数为30模型：30同时，所以蠕虫的传播模型为其中31同时，所以随机均匀扫描(RandomUniformScanning)基于目标列表的扫描(Hit-listScanning)路由扫描(RoutableScanning)分治扫描(Divide-and-ConquerScanning)本地子网扫描(LocalSubnetScanning)顺序扫描(SequentialScanning)置换扫描(PermutationScanning)DNS扫描基于佳点集的扫描方法32随机均匀扫描(RandomUniformScanning随机均匀扫描随机扫描是感染蠕虫的主机在寻找新的攻击目标时不知道哪些主机系统有漏洞，随机的选择网上计算机进行扫描，如CodeRed和Slammer，所以扫描的目标为IPV4所有地址空间，即。33随机均匀扫描随机扫描是感染蠕虫的主机在寻找新的攻击目标时不知基于目标列表的扫描这种蠕虫在传播之前先搜集一些有漏洞的主机地址列表，传播时先感染这些地址列表中的主机，然后这些感染的主机再随机扫描互联网上的其它主机。扫描过程可分两个阶段：第一阶段是蠕虫感染Hit-list中的主机的过程，该阶段由于蠕虫编写者已经事先取得了存在漏洞的主机，而且这些机器都具有良好的网络连接，所以该过程速度极快，在开始几秒内就能完成。第二个过程因为没有先验知识，所以是随机传播，扫描地址空间为，所以这种扫描方法也能用模型(1)来模拟，只不过初始感染主机数为Hit-list表中的数量。34基于目标列表的扫描这种蠕虫在传播之前先搜集一些有漏洞的主机地基于目标列表的扫描如何得到目标列表长时间偷偷随机扫描Internet上的主机通过僵尸网络(Botnet)分布式扫描DNS搜索–收集域名列表搜索邮件服务器的IP地址利用网络爬虫(Webcrawlingspider)利用公共信息–如Netcraft收集被以前蠕虫感染的主机地址35基于目标列表的扫描如何得到目标列表35路由扫描这种网络蠕虫可以利用BGP路由前缀来减小蠕虫的扫描空间，也就是对IP地址空间进行选择性扫描的一种方法。采用随机扫描的网络蠕虫会对未分配的地址空间进行探测，而这些地址大部分在互联网上是无法路由的，因此会影响到蠕虫的传播速度。如果网络蠕虫能够知道哪些IP地址是可路由的，它就能够更快、更有效地进行传播。由于在BGP路由表中，只包含了28.6%的IPV4地址空间，若采用路由扫描法其探测地址空间将比随机扫描大约减小3倍，所以传播速度会增加。它的不足是蠕虫必须携带一个路由IP地址库，蠕虫代码比较大。这种方法也能用模型(1)来模拟，只不过扫描空间变为。36路由扫描这种网络蠕虫可以利用BGP路由前缀来减小蠕虫的扫描空随机均匀、路由、目标列表扫描蠕虫的性能比较

随机均匀扫描、路由扫描、目标列表扫描的性能比较37随机均匀、路由、目标列表扫描蠕虫的性能比较随机均匀扫描、路分治扫描在释放蠕虫之前，作者需要收集一个10000到50000个有漏洞且网络连接良好主机的列表，在传播时，蠕虫给每个感染主机发送一个子列表，受害主机就按照子列表进行扫描。例如，主机A感染主机B后，主机A就把列表分成两部分，一半给主机B，自己保留另一部分。即使在列表中只有10-20%的主机有漏洞，这个快速分解方法也能很快通过列表且一分钟之内蠕虫能在全部有漏洞的主机上复制自身。构造初始列表的常用技术有：秘密扫描、分布式扫描、DNS搜索、Spiders等，此扫描的特点是：隐蔽性强，通过逐渐分解列表，蠕虫越来越小；扫描造成的流量也进一步减小，更不容易检测。但是，如果分得列表的主机被关掉或死机，那这部分列表就会丢失，这种情况发生的越早，对蠕虫传播的影响越大。38分治扫描在释放蠕虫之前，作者需要收集一个10000到5000分治扫描、随机均匀扫描、目标列表扫描的性能比较随机、目标列表、分治、Flash蠕虫的性能比较

39分治扫描、随机均匀扫描、目标列表扫描的性能比较随机、目标列表本地子网扫描前面四种方法都假设易感主机在整个IP地址空间内均匀分布，然而实际情况并非这样，有的网络由于安装了一些保护措施（如防火墙、地址过滤、内容过滤等）使得蠕虫无法完成扫描，易感主机密度就比较小。有的网络缺乏保护，蠕虫可利用漏洞比较多，易感主机的密度就比较大。以比较大的概率扫描某一网段，再用比较小的概率完成随机扫描，这样做有利蠕虫快速感染一些的主机，又能跳出本网，从而感染更多的主机，如CodeRedII蠕虫。(4/8概率扫描A类地址，3/8扫描B类，1/8随机扫描整个IP地址)蠕虫的传播模型为40本地子网扫描前面四种方法都假设易感主机在整个IP地址空间内均本地子网扫描、随机扫描的比较本地子网蠕虫和随机扫描蠕虫的性能比较

41本地子网扫描、随机扫描的比较本地子网蠕虫和随机扫描蠕虫的性能顺序扫描指感染主机上的蠕虫按照一定顺序依次扫描自己所在网段内的地址。若蠕虫扫描的目标地址IP为x，则扫描的下一个地址IP为或者x+1或x-1。优点：对易感主机密度比较大网络有效，短时间内就可以感染大量主机；缺点：会产生大量的重复扫描，引起网络拥塞。假设感染主机A的IP地址为x，采用IP地址递增方法，该蠕虫就从主机A开始依次扫描x+1，x+2,…,不失一般性，若IP地址为x+2主机B被主机A感染，则主机B依次扫描x+3,x+4,…,。假设一个C类子网中所有主机都是易感主机，最坏情况下，扫描数为(1+255)*128=32768，而实际可能只需要255次扫描就能感染所有主机，Blaster是典型的顺序扫描蠕虫。42顺序扫描指感染主机上的蠕虫按照一定顺序依次扫描自己所在网段置换扫描置换扫描采用伪随机置换来产生自调整的扫描，可以最大限度的减少重复扫描。基本原理：所有易感主机共同使用一个与所有IP地址空间相对应的伪随机置换表，并通过该表来选择新的扫描列表。置换扫描的工作机制如下：感染主机以其在置换表中的位置为扫描起点，并由该起点沿着置换表向下扫描，以查找新的易感主机。当扫描到某一IP地址并发现该地址所对应的主机已经被感染，就停止扫描，并在置换表中随机选择一个新的IP地址继续扫描。优点：保持了随机扫描方法的很多优点，确保了对整个网络空间的彻底扫描，避免了重复扫描同一台主机，扫描效率得到了很大改善。在置换扫描过程中，蠕虫共享IP地址空间的一个伪随机置换。43置换扫描置换扫描采用伪随机置换来产生自调整的扫描，可以最大限采用D.HLehmer在1948年提出的线性同余产生器(LinearCongruentialGenerator,LCG)来实现置换。其基本原理如下：假设Xi是原始空间中的一个地址，Xi+1为置换空间内相应的地址，Xi+1和Xi间的关系为

其中常数a=214013，b=2531011，m=，这样利用LCG就产生了区间[0,-1]内所有整数的一个置换，如图所示。

44采用D.HLehmer在1948年提出的线性同余产生器(L虽然易感主机可能不是均匀分布，但经过置换后，可以近似地认为均匀分布。置换扫描蠕虫的模型可以表示为大约在2000秒左右就感染了99.5%的主机Warhol蠕虫采用目标列和置换扫描45虽然易感主机可能不是均匀分布，但经过置换后，可以近似地认为均DNS扫描IPv6具有2128IP地址最小的子网有264地址相当于42亿个IPv4考虑一个最小的子网一百万易感主机每秒10万扫描(Slammer-4,000)初始1,000个感染主机采用随机扫描需要40年才能感染50%的易感主机随机扫描效率太低46DNS扫描IPv6具有2128IP地址46A.Kamra提出了一个DNS随机扫描的蠕虫，并给出了其传播模型不扫描IP地址，而使用DNS域名。字符串产生器47A.Kamra提出了一个DNS随机扫描的蠕虫，并给出了其传基于佳点集的扫描方法研究扫描方法的动机从网络攻击者角度出发，研究攻击者可能采用的扫描策略，以便做到有的放矢，未雨绸缪，变被动挨打为主动出击找出影响蠕虫传播的关键因素以便采用更为有效的防御策略，降低损失佳点集理论的主要思想扩大扫描空间提高搜索效率降低所得最优方解的偏差48基于佳点集的扫描方法研究扫描方法的动机48漏洞主机的分布Thecollectedvictimaddressesareformedagroupdistributionin/8subnetsUnevendistributionofWebserversUnevendistributionofhostsinfectedbytheWittywormDistributionsofWitty-wormvictimsandwebserversarefarfromuniform49漏洞主机的分布Thecollectedvictimad佳点集扫描策略denotetheIPaddressofanarbitrarilyinfectedhostconsistsofd(d=32)bits,isseenasad-dimensionalcubeInthed-dimensionalcube,wesetagoodpointsetwithnpointsthesmallestprimenumberwhichsatisfiesdenotesthefractionalpartof50佳点集扫描策略denotetheIPaddressoAmongthennewlygeneratedIPaddresses,assumethekthIPaddress

isrepresentedasUsingthismethod,wecanobtainnnewlygeneratedIPaddresses.51AmongthennewlygeneratedIP佳点集扫描同置换扫描的比较NumberofuniqueIPaddresses3,433,320,7453,255,120,328NumberofunusedIPaddresses247,644,652311,652,824Performancecomparisons(3,600,000,000IPaddresses)newlygeneratedIPaddressTheperformancesofthegoodpointsetscanningarebetterthanthatofthepermutationscanning.52佳点集扫描同置换扫描的比较Numberofunique基于组分布的静态佳点集扫描方法ThetotalIPaddressspaceconsistsoflgroups.NthetotalnumberofvulnerablehostsNidenotethenumberofvulnerablehostsingroupi

Ωi(i=1,2,…,l)thesizeofaddressspaceingroupi.

Groupdistribution,theratiobetweenthenumberofvulnerablehostsingroupiandthetotalnumberofvulnerableones.Groupscanningdistribution,theprobabilitythatawormscanhitsgroupi.Hence,53基于组分布的静态佳点集扫描方法ThetotalIPad最优的静态佳点集扫描AssumethatthegroupdistributionofvulnerablehostsisknowninadvanceHostsarescannedwiththesameprobabilityAvulnerablehostingroupiishitwithsameprobabilityAssumethattheeventsofavulnerablehostbeinghitareindependentNumberofscansrequireduntilthefirstscanhitsanappointedvulnerablehostingroupi,followsageometricdistributionTheexpectednumberofscansneededuntilthisvulnerablehostis54最优的静态佳点集扫描AssumethatthegrouTheaveragenumberofscansneeduntilthefirstscanhitsanassignhost,denotedbyYOurgoalistominimizeYTheorem:Amongallpossiblestaticstrategies,thegroupscanningdistributionisthestrategythatminimizeYsubjectto,where55TheaveragenumberofscansneTherelationshipbetweenandisUsingCauchyInequality,weobtainEquation(12)holdswhenIfTheoptimalstaticstrategyisobtainedwhen56Therelationshipbetween自学习蠕虫TheknowledgeofthegroupdistributionofvulnerablehostsisunknownbeforeawormisreleasedAttackerspossiblyadoptalternativemethodtoobtainthegroupdistributionWormserver:Selectahostwithahighbandwidthcapacity,usedtocollectandprocessinformationaboutinfectedhost.Wormclient:Anyinfectedhost,cancommunicatewiththewormserverandreportitsIPaddresstothewormserver.57自学习蠕虫TheknowledgeofthegrouSelf-learningstage:

Wormserverusesthegoodpointsetscanningtotargetothervulnerablehosts.Onceavulnerablehostisinfected,thewormserverrecordsthenewwormclient'sIPaddressinalist.Eachwormclientperformsthesamescanningmethod,andreportsitsIPaddresstothewormserver.WhenthewormservercollectsasufficientnumberofIPaddressesQ,itbeginstoestimate,andsendstoallwormclients.Goodpointsetscanningstage:

Onreceiving,awormclientbeginstousethegoodpointsetscanningwithgroupscanningdistribution.Toavoidtheprobabilityofbeingdetected,thenewlyinfectedhostsdonotcommunicatewiththewormserver.58Self-learningstage:58However,howlargeshouldQbeforaccuratelyestimatingthegroupdistribution?Qidenotesthenumberofwormclients'IPaddressesfromgroupiamongallQaddresses.OurestimatorforgroupidistributionisAidenotestheeventthattheithwormclientisingroupiThus,Sincethewormusesthegoodpointsetscanningintheearlystageofwormpropagation,Therefore,59However,howlargeshouldQbeThemeansquarederror(MSE)ofisgivenbySinceWeobtainForthus,ThedeviationofthegoodpointsetscanningisThedeviationofrandomscanningisIfQ=20342<60Themeansquarederror(MSE)o蠕虫传播模型Wormpropagatingprocess:includesfourstages(targetselection,exploitation,infectionandpropagation),requiresometimetoinfectanewhost.

UsingamodifiedAAWPmodelnumberofvulnerablehostsingroupinumberofinfectedhostsingroupinumberofscanshittinggroupIbytheinfectedhosts61蠕虫传播模型Wormpropagatingproces性能分析parameters:360,000vulnerablemachines,Ahitlistofsize10ascanningrateof358scans/minute.ComparingthemodifiedAAWPmodeltotheexistingmodelsOurmodelismoresuitableforsimulatingthepropagationoftheworm.62性能分析parameters:ComparingtheToobtainthegroupdistribution,weassume

When99%vulnerablehostsareinfected,theexperimentsarestopped.StaticGPSSwithgroupdistributionisthefastestComparisonofstaticGPSSstrategies(differentn)63ToobtainthegroupdistributiUsingtheoptimalstaticstrategyTheself-learningprocesscansignificantlyimprovethepropagationspeedofwormsAself-learningCodeRedAself-learningroutingCodeRed64Usingtheoptimalstaticstrat可能的防御策略Fromtheperspectiveofdefenders,howtocontrolpg(i)hasbeenakeyofeffectivelydefendingsuchworms.AccordingtoInformationentropy,thebestdefendingstrategyistodistributetheapplicationsorIPaddressesuniformly,pg(i)=1/lNetworkAddressSpaceRandomization(NASR)ForwormserverDetectwormserverahostcontactgraphasignature-basedapproachDisablingwormserveraddressblacklistingperformingDenialofService(DoS)ForwormclientDetectwormclientahybridmachinelearningapproachContainwormclientcooperativedistributionoftrafficfiltering65可能的防御策略FromtheperspectiveofWitty蠕虫的传播模型2004年3月19日大约20点45分在网络上出现了Witty蠕虫，它是利用3月18日EEYE披露的一个ISS(InternetSecuritySystems)产品的缓冲区溢出漏洞进行传播的，到蠕虫爆发的时间不到48小时,这是目前最快的恶意攻击。

Witty蠕虫的特点：它是第一个带有有效负载并在Internet上广泛传播的蠕虫；它是目前知道的从漏洞公布到蠕虫爆发的时间间隔最短的蠕虫，不到48小时；传播速度非常快，10秒钟感染了110台主机，30秒钟感染了160台主机，75分钟就感染了12000台机器；它通过存在漏洞但装有防火墙的网络服务器进行传播，使得防火墙形同虚设。66Witty蠕虫的传播模型2004年3月19日大约20点45分Witty感染主机的步骤如下：(1)随机产生一个IP地址；(2)发送有效负载；(3)重复(1)和(2)20000次；(4)随机打开硬盘一个逻辑分区，并写入65K的垃圾数据；(5)关闭硬盘；(6)重复步骤(1)。这种直接向硬盘写入数据的方法将导致文件系统瘫痪，破坏性巨大。

67Witty感染主机的步骤如下：67Witty蠕虫的传播模型所有主机分为易感类S(Susceptible)、潜伏类E(Exposed不具有感染能力)、感染类I(Infectious)、死亡类D(Dead)四种类型假设在时间t时各类的主机数为S(t),E(t),I(t)和D(t)，

β(t)为感染率，β(t)=β0[1-I(t)/N]ω

初始值β0=η/Ω，其中η为Witty蠕虫的扫描率，

Ω为整个IP地址空间，

p为潜伏类变为感染类的概率(p<1),γ为感染主机的死亡率，为Witty蠕虫的大小，为网络的平均传输率，为死亡主机由于人为措施的影响又恢复为易感主机的恢复率。

68Witty蠕虫的传播模型所有主机分为易感类S(Suscept利用S(t)=N-E(t)-I(t)-D(t)，代入模型消去S(t),则模型SEID可简化为假设易感主机数N为常数，在时刻t时，S(t)+E(t)+I(t)+D(t)=N

(1)(2)69利用S(t)=N-E(t)-I(t)-D(t)，代入模型消去仿真试验结果分析70仿真试验结果分析70非结构对等网中被动蠕虫传播的性能分析P2P蠕虫的定义P2P蠕虫是利用P2P应用程序、协议的漏洞在P2P网络中传播的蠕虫。导致重大损失的原因传播速度快P2P软件一般不会被防火墙等安全设备阻挡,能够躲避普通的基于异常流量模式的检测方法P2P软件本身包含可能被攻击者可利用的漏洞71非结构对等网中被动蠕虫传播的性能分析P2P蠕虫的定义71P2P蠕虫的分类根据发现目标与激活方式的不同P2P蠕虫可以分为三种：被动蠕虫(passiveworm)：嵌入到共享的文件,当这些文件被下载并在其他节点打开时实现传播,如Benjamin,Bare,Duload蠕虫.沉默蠕虫(reactiveworm)：不需要潜入到共享文件,而是利用正常网络活动进行传播,以躲避普通的基于异常流量的检测方法，如Gnuman蠕虫。主动蠕虫(proactiveworm)：利用被感染节点(peer)的P2P逻辑拓扑邻居进行传播的蠕虫,逃避诸如VirusThrottle之类方法的检测。72P2P蠕虫的分类根据发现目标与激活方式的不同P2P蠕虫可以分P2P网络所有节点地位是平等的，既充当服务器，为其它节点提供服务，同时也享用其它节点提供的服务。节点间直接共享和交互信息资源，不需要任何服务器或者中间介质的转发。特点：非中心化、可扩展性、健壮性、高性/价比、隐私保护、负载均衡P2P网络的分类（根据覆盖网是否保持特定的拓扑结构）非结构化P2P(Gnutella、Freenet、KazaA、Jxta、BitTorrent)采用洪泛和转发TTL控制消息传输健壮性好，扩展性差，资源的发现效率低。网络拓扑是任意的内容的存储位置与网络拓扑无关结构化P2P(Chord、Pastry、CAN、Tapestry)分布式Hash表（DHT）较好的扩展性、鲁棒性、自组织能力、资源定位精确网络拓扑结构是有规律的每个节点都随机生成一个标识(ID)内容的存储位置与网络拓扑相关内容的存储位置与节点标识之间存在着映射关系73P2P网络所有节点地位是平等的，既充当服务器，为其它节点提供谁拥有abc.mp3?查询Key=abc.mp3应答Value=IP下载拥有abc.mp3的节点拥有abc.mp3的节点下载74谁拥有abc.mp3?查询应答下载拥有abc.mp3的节点现有被动蠕虫传播模型的缺陷没有考虑共享资源大小的影响,共享资源大小服从Pareto分布抗病毒软件只能对感染主机提供临时免疫功能；一定比例的节点由于被动蠕虫的攻击而死亡主要贡献对P2P文件的传播特点进行了分析,得出共享文件的平均下载延时以仓室模型为基础,建立了一个带有死亡率,离线率和在线率的时滞SEIRS模型,得出了影响被动蠕虫传播的主要因素得出了无被动蠕虫时的平衡点75现有被动蠕虫传播模型的缺陷75被动蠕虫传播模型模型假设网络节点总数N(t)是一个变量,随时间t的变化而变化,即有新的易感主机进入系统,也有一部分节点离开系统,在线率b和离线率都为常数;采用流行病动力学常用的仓室建模思想,整个网络节点分为易感类S(Susceptible))、潜伏类E(Exposed,不具有感染能力)、感染类I(Infectious)和恢复类R(Recovered)4类;潜伏期是变量,跟所下载的文件大小有关,一旦下载完立即执行;免疫期是变量,跟用户的抗病毒软件的病毒库有关,为了简化分析,假定为常量;潜伏类、感染类、恢复类的等待时间呈指数分布;当感染类节点进入恢复类时,以一定的概率p获得临时免疫;由于被动蠕虫的攻击,以概率(1-p)死亡.76被动蠕虫传播模型模型假设76被动蠕虫传播模型模型建立非结构化P2P网络的搜索机制洪泛(flood)方法:当一个节点想要下载一个文件时,首先向它所有的邻居发送一个查询请求.它的邻居收到请求时,先检查自己的共享文件夹,如果有需要的文件就响应这个请求;并检查TTL,如果TTL>0,就继续向下转发查询请求,否则就丢弃,查询结束.

非结构化P2P(如Gnutella)服从幂律分布用产生函数来量化收到查询请求的邻居节点的个数其中表示网络中一个节点的度为k的概率,C和为常数

77被动蠕虫传播模型模型建立77在搜索过程中边的选择是随机的,更倾向于连接节点度比较大的节点,节点的概率分布与kpk成正比,规一化后的概率分布为上式除以x,搜索过程每一步所遇到的新节点个数为类似地,两跳的节点数目的产生函数表示为m跳的节点数的分布可以用递归形式表示为把上式做微分计算并把x=1代入,得到一跳和两跳的邻居节点的平均数,分别为和.类似,m跳的邻居个数是78在搜索过程中边的选择是随机的,更倾向于连接节点度比较大的节一个节点在TTL跳内的邻居数目为节点网络带宽受限,多个节点同时下载一个文件所需的时间同单一节点不同,下面研究所需的平均时间:假设初始网络节点数为,只有一个节点共享某个特定的文件.文件大小为sbits,节点的平均带宽为bwbps.定理1.对于节点数为N的网络,下载文件所需的平均延时至少为,其中=s/bw.

定理2.对于节点数为N的网络,下载大文件(m块)所需的平均延时至少为,其中=s/bw.79一个节点在TTL跳内的邻居数目为79仓室结构示意图

易感类S(t)、潜伏类E(t)、感染类I(t)和恢复类R(t)的转化机制如下:80仓室结构示意图易感类S(t)、潜伏类E(t)、感染类I(t根据流行病动力学仓室建模思想可得到如下SEIRS模型N(t)=S(t)+E(t)+I(t)+R(t)

为保证初时条件的连续性,假定(1)dN(t)/dt=(b-μ)N(t)-(b-(1-p)α)εI(t)

81根据流行病动力学仓室建模思想可得到如下SEIRS模型N(t无被动蠕虫时的平衡点Y={(s(t),e(t),i(t),r(t))|s(t),e(t),i(t),r(t)≥0,且s(t)+e(t)+i(t)+r(t)=1}是式(2)的正向不变集.当没有被动蠕虫时(即i=0),则由e=r=0,且s=1,这是区域Y内唯一的平衡点.根据文献[12],可得内部平衡点存在的条件是当R0<1时,平衡点是全局稳定的,蠕虫逐渐消失;当R0>1,蠕虫以指数方式传播,但一般不会永远持续.R0反映了感染节点在平均染病周期内的平均连接数.82无被动蠕虫时的平衡点82仿真及其结果分析仿真模型初始网络:N0=300000个节点的无尺度网络,其幂律δ为3.4,I(0)=1.性能评估:被动蠕虫攻击性能定义如下:所需的时间t(X轴)和感染的节点数(Y轴).评估系统:整个网络定义为元组:<TTL,s,m,p,τ>,参数bw=132KBps,ε=0.01,b=0.04,μ=0.03,α=0.2,λ=0.001,γ1=0.005,γ2=0.001.评估方法:利用matlabsimulink软件来获得需要的性能数据.83仿真及其结果分析仿真模型83传播模型的性能结果跳数对模型的影响<*,4000KB,1,0.4,50>

文件大小对模型的影响<2,*,1,0.4,50>84传播模型的性能结果跳数对模型的影响<*,4000KB,1,0文件分块数对模型的影响<2,*,*,0.4,50>

在相同假设条件下,非结构化P2P软件的跳数越大,含有被动蠕虫的共享文件越小,文件分块数越大,被动蠕虫的传播速度越快.一般情况下,非结构化对等网的设计者和用户都希望获得高速度、低延时的通信,而早期的设计没有充分考虑安全性因素,所以在加快节点间传送文件的同时,被动蠕虫的传播速度也同时增快,为保证非结构化网络持续、健康、稳定的发展,P2P软件设计者需要在效率和安全两方面折衷考虑.85文件分块数对模型的影响<2,*,*,0.4,50>在相同假临时免疫概率对模型的影响<2,4000KB,1,*,50>临时免疫期对模型的影响<2,4000KB,1,0.4,*>>86临时免疫概率对模型的影响<2,4000KB,1,*,50>结论被动蠕虫的传播主要由跳数(TTL)、共享文件的大小和分块数(m)、临时免疫期的长短决定.在设计P2P软件时应合理设置TTL.用户端尽量共享较大的文件,还要及时升级抗病毒软件和病毒库.87结论87网络蠕虫的防御策略检测(防止蠕虫泛滥、造成重大损失的关键)主要检测蠕虫使用何种策略，攻击何种服务，攻击哪类系统基于主机(软件异常来检测)数据包疫苗机制漏洞检测签名检测本机进程的异常行为(相同的进程产生相似的结果)基于特征码(杀毒软件)通过检测蠕虫负载的相似度和频度来提取蠕虫攻击特征可以检测一些未知蠕虫，但却面临多态蠕虫的挑战缺点：主机数目巨大，不可能所有用户都能采用，误报率高；无法预测大规模的蠕虫爆发基于网络(通过网络流量分析)基于感染主机数(蠕虫传播流量的快速增长特征)基于阈值的检测识别主机产生的异常扫描流量基于趋势(扫描流量呈指数快速增长)卡尔曼滤波算法检测异常的扫描流量来检测蠕虫缺点：要求合作者共享信息。而在现实中，许多机构出于种种原因不希望分享私密信息；有相当数量的共享信息传输会占用网络带宽，如果要建立专用网络，则需要一定的投资；尽管从全局的角度能够实现早期检测，但这是以牺牲部分网络为代价的。蜜罐缺点：事后诸葛，但只要发现及时，还是能大大减少蠕虫造成的损失88网络蠕虫的防御策略检测(防止蠕虫泛滥、造成重大损失的关键)防御策略被动防御内容过滤地址黑名单(基于已有知识)主动防御打补丁(补丁的合法性、补丁的快速分发)疫苗动态隔离良性蠕虫(合法性、释放时机、释放数量、停止策略)需要全方位的蠕虫防治策略89防御策略89将来的计划(目前的研究热点)无尺度网络的蠕虫传播模型及防御无线网络蠕虫的传播模型及防御AdHoc网络Mesh网络MANET网络（车载网）P2P网络的传播模型及防御非结构化P2P结构化P2P90将来的计划(目前的研究热点)无尺度网络的蠕虫传播模型及防御9无尺度网络91无尺度网络91ER模型(p=0.2,n=20)ER模型的度分布(p=0.0015,n=10000)

随机网络92ER模型(p=0.2,n=20)ER随着大量数据的产生和计算机的应用，人们发现真实网络与随机网络模型（ER）相差甚远。自然状态下的万维网表现出一种特别的属性：少数节点的连接数远高于平均的节点连接数。这类网络被称为“无尺度网络”，属于高度非均一性的网络。它具有真实网络中最常见的两个特性：增长（growth）和偏好连接（preferentialattachment）。第一个特点表明无尺度网络可以不断地扩张。第二个特点则意味着两个节点连接能力的差异可以随着网络的扩张而增大；最初连接较多的节点可以形成更多的连接，即“富者愈富”。无尺度网络(BA模型)的构造算法如下：取初始个顶点任意连接或完全连接。每一步在原网络G(t-1)的基础上加上一个新的顶点，同时加上从此顶点出发的m(m≤）条边，形成新的网络G(t)。其中新加边的另一个端点按照正比于顶点度数的分布随机选取。重复以上新加点的过程足够多步所形成的网络的各顶点的度满足幂率分布93随着大量数据的产生和计算机的应用，人们发现真实网络与随机网络无尺度网络(m=m0=2,n=50)偏好依附模型生成网络的度分布(m=m0=5,n=20000,γ=2.97686097)94无尺度网络(m=m0=2,n=50)无尺度网络的特性：节点的度呈幂率分布、集散节点出现、稳健性、脆弱性。它存在拥有大量连结的集散节点。在这种结构的网络中，节点与节点之间的连结呈幂律分布，其中大部分的节点只有少数连结，而少数节点则拥有大量连结；无尺度网络在遭受意外故障的强韧性能要优于随机网络，绝大部分节点仍保持连通性；无尺度网络在遭受蓄意攻击（攻击集散节点）的强韧性却非常低，网络基本瘫痪。

95无尺度网络的特性：节点的度呈幂率分布、集散节点出现、稳健性、初始无尺度网络遭受意外攻击后无尺度网络遭受蓄意攻击后的无尺度网络

96初始无尺度网络遭受意外攻击后Email服务逐渐成为网络应用服务的一个重要组成部分,E-mail系统中不同的邮件地址构成了一个应用层逻辑网络,为Email蠕虫提供了一个有效的传播平台,如Melissa蠕虫、LoveBug蠕虫以及“Sircam”蠕虫等.即时通信(Instantmessaging)系统应用得到了迅猛发展,用户数量日益庞大,通信量不断增加,这为IM蠕虫产生和发展提供了良好的外部条件.根据有关部门统计,关于IM的安全事件不断增加,特别是2005年后IM蠕虫开始出现快速增长趋势,极有可能成为下一代网络安全威胁的一种主要形式.97Email服务逐渐成为网络应用服务的一个重要组成部分,E-m西班牙物理学家Pastor-Satorras利用一个研究病毒感染的标准数学模式来仿真病毒的传播，结果显示受病毒感染的个体数目要超过一个最低阈值，否则病毒会自然的消失；然而将此模式应用于无尺度网络，蠕虫的传播阈值明显比在随机网络中小的多。他们不断地减小传染强度，然而蠕虫感染的主机数总大于零。这就意味着在无尺度网络上，要么没有正的传播阈值，要么传播阈值非常接近零。在同样的传染强度下，蠕虫在无尺度网络中感染的主机数明显大于其在随机网络中的数目。Pastor-Satorras等利用平均场的方法求得了SIS传播模型

其中表示度为k的感染节点的相对密度，表示连接到感染节点的特定链路的概率SIS传播模型的阈值为

98西班牙物理学家Pastor-Satorras利用一个研究病毒无线网络蠕虫的传播模型随着无线网络的普及，电脑用户实现了随时在家上网冲浪的梦想；但与此同时，由于无线网络的暴露性，极易给黑客留下可乘之机。《新科学家》杂志称，“Wi-Fi网络的蓬勃发展使家庭用户所面临的安全威胁遭遇达到了空前状况。”2004年6月爆发的Cabir蠕虫是针对无线网络的第一个蠕虫，它经由蓝牙传播，需要用户打开一个”.sys”的附件才能传播，能迅速消耗掉无线手持设备的电量，致使无法正常工作。无线网络环境下蠕虫造成的损失应该比有线网络更严重：首先因为如果一个移动设备在一个地方感染了蠕虫，然后直接带到一个另一个地方，从而躲过了防火墙等设备的检查，进而就能很快感染整个网络。其次无线厂商试图为用户提供一个更加智能、透明的环境，并不需要用户具备专业知识；现在PDAs，智能手机越来越普遍，能下载和运行Java程序，这也为蠕虫编写者打开了方便之门。

99无线网络蠕虫的传播模型随着无线网络的普及，电脑用户实现了随时S.Tanachaiwiwat等对有线网络和无线网络的蠕虫大战进行了研究，并建立了几个蠕虫相互作用的模型（间接交互作用模型、单边交互作用模型、双边交互作用模型，研究表明蠕虫间的相互作用对蠕虫的传播起着至关重要的作用，要想用良性蠕虫抑制蠕虫的传播，良性蠕虫的扫描率一定要高于蠕虫的扫描率；并提出了一个新的网络安全框架VACCINE。通过试验发现，在蠕虫间的相互作用过程中，蠕虫的扫描率比起着重要的作用，而初始感染主机率比发挥的作用不大。EverettA等用大规模无线网络上的真实数据分析了蠕虫的传播速度，并分析了几种防御蠕虫的方案：US,IUS，从仿真结果看，Active的效果最好。如果易感主机的防御率低于25%，蠕虫仍可以达到高感染率。

100S.Tanachaiwiwat等对有线网络和无线网络的蠕虫Thankyou！101Thankyou！101网络蠕虫的传播模型及其防御策略

王方伟

102网络蠕虫的传播模型及其防御策略网络蠕虫的传播过程发现新目标扫描IP地址Email地址、文件系统的传输感染目标主机主要利用系统漏洞新感染的主机加入感染大军103网络蠕虫的传播过程发现新目标感染目标主机新感染的主机加入感染研究网络蠕虫的动机CodeRed(Jul.2001):14小时内感染近36万台主机，损失：26亿Slammer(Jan.2003):10分钟内感染75,000台主机，损失：5分钟内就导致了9.5亿-12亿美元的损失Blaster(Aug.2003)

:感染15万-8百万主机，DDoSattack(关闭Windows更新)，损失：20-100亿Witty(Mar.2004):利用ISS漏洞，30分钟感染12000台主机Sasser(May2004)

:2天内感染50万台主机，损失：数千万美元网络蠕虫的传播速度远远超过人的响应速度！

104研究网络蠕虫的动机CodeRed(Jul.2001)研究蠕虫的科学意义网络蠕虫的危害传播速度快影响面广造成损失大对计算机系统安全和网络安全的威胁日益增加新一代网络蠕虫的主要特点和危害造成骨干网大面积阻塞甚至瘫痪，致使网络服务中断造成主机开放，导致严重的信息安全威胁计算机系统性能下降，甚至瘫痪发动拒绝服务攻击攻击者回收和集中控制感染节点105研究蠕虫的科学意义网络蠕虫的危害4如何防御网络蠕虫攻击迫切需要自动响应机制

首先，需要理解蠕虫的行为特征为蠕虫的检测和防御做准备然后,未知蠕虫的早期检测基于蠕虫模型的检测基于阈值基于趋势最后,建立自动防御系统动态隔离自适应防御106如何防御网络蠕虫攻击迫切需要自动响应机制5目录网络蠕虫的定义及当前的安全状况网络蠕虫的传播模型分类网络蠕虫的扫描策略我们目前的工作网络蠕虫的防御策略将来的计划(目前的研究热点)107目录网络蠕虫的定义及当前的安全状况6网络蠕虫的定义什么是网络蠕虫?1982年，JohnF.Shoch等最早引入计算机领域。两个最基本特征：可以从一台计算机移动到另一台计算机和可以自我复制。1988年Morris蠕虫爆发后，EugeneH.Spafford给出了蠕虫的技术角度的定义，“计算机蠕虫可以独立运行，并能把自身的一个包含所有功能的版本传播到另外的计算机上。”

郑辉：Internet蠕虫是无须计算机使用者干预即可运行的独立程序，它通过不停的获得网络中存在漏洞的计算机上的部分或全部控制权来进行传播。文卫平：“网络蠕虫是一种智能化、自动化，综合网络攻击、密码学和计算机病毒技术，不需要计算机使用者干预即可运行的攻击程序或代码。它会扫描和攻击网络上存在系统漏洞的节点主机，通过局域网或者国际互联网从一个节点传播到另外一个节点。

DMKienzle：网络蠕虫是通过网络传播的恶意代码，它需要人为干预或者不需要人为干预。基本特征：网络传播，自我复制108网络蠕虫的定义什么是网络蠕虫?基本特征：网络传播，自我复制7什么不是网络蠕虫?病毒–隐藏在计算机系统信息资源中，利用系统信息资源进行繁殖并生存，影响计算机系统征程运行，通过信息共享的途径传播的、可执行的程序。

不能独立运行，需要用户来激活。

木马–是一种基于远程控制的攻击工具，能够未经授权收集、篡改或破坏信息。其特点是隐蔽性和非授权性。设计者为了防止木马被发现，采用多种手段来隐藏木马；即使被发现，也不能缺定具体位置。一旦控制端连上服务器端，控制端将拥有服务器的大部分权限。109什么不是网络蠕虫?8病毒、网络蠕虫和木马的区别

病毒网络蠕虫木马存在形式

寄生，不以文件形式存在独立个体，以文件形式存在寄生或独立，伪装成其它文件传播方式依赖宿主文件或介质，插入其它程序自主传播，利用系统存在的漏洞依靠用户主动传播，诱骗手段攻击目标本地文件网络上的