網(wǎng)絡(luò)蠕蟲的傳播模型及其防御策略 課件

網(wǎng)絡(luò)蠕蟲的傳播模型及其防御策略

王方偉

1網(wǎng)絡(luò)蠕蟲的傳播模型及其防御策略網(wǎng)絡(luò)蠕蟲的傳播過程發(fā)現(xiàn)新目標(biāo)掃描IP地址Email地址、文件系統(tǒng)的傳輸感染目標(biāo)主機(jī)主要利用系統(tǒng)漏洞新感染的主機(jī)加入感染大軍2網(wǎng)絡(luò)蠕蟲的傳播過程發(fā)現(xiàn)新目標(biāo)感染目標(biāo)主機(jī)新感染的主機(jī)加入感染研究網(wǎng)絡(luò)蠕蟲的動(dòng)機(jī)CodeRed(Jul.2001):14小時(shí)內(nèi)感染近36萬臺(tái)主機(jī)，損失：26億Slammer(Jan.2003):10分鐘內(nèi)感染75,000臺(tái)主機(jī)，損失：5分鐘內(nèi)就導(dǎo)致了9.5億-12億美元的損失Blaster(Aug.2003)

:感染15萬-8百萬主機(jī)，DDoSattack(關(guān)閉Windows更新)，損失：20-100億Witty(Mar.2004):利用ISS漏洞，30分鐘感染12000臺(tái)主機(jī)Sasser(May2004)

:2天內(nèi)感染50萬臺(tái)主機(jī)，損失：數(shù)千萬美元網(wǎng)絡(luò)蠕蟲的傳播速度遠(yuǎn)遠(yuǎn)超過人的響應(yīng)速度！

3研究網(wǎng)絡(luò)蠕蟲的動(dòng)機(jī)CodeRed(Jul.2001)研究蠕蟲的科學(xué)意義網(wǎng)絡(luò)蠕蟲的危害傳播速度快影響面廣造成損失大對計(jì)算機(jī)系統(tǒng)安全和網(wǎng)絡(luò)安全的威脅日益增加新一代網(wǎng)絡(luò)蠕蟲的主要特點(diǎn)和危害造成骨干網(wǎng)大面積阻塞甚至癱瘓，致使網(wǎng)絡(luò)服務(wù)中斷造成主機(jī)開放，導(dǎo)致嚴(yán)重的信息安全威脅計(jì)算機(jī)系統(tǒng)性能下降，甚至癱瘓發(fā)動(dòng)拒絕服務(wù)攻擊攻擊者回收和集中控制感染節(jié)點(diǎn)4研究蠕蟲的科學(xué)意義網(wǎng)絡(luò)蠕蟲的危害4如何防御網(wǎng)絡(luò)蠕蟲攻擊迫切需要自動(dòng)響應(yīng)機(jī)制

首先，需要理解蠕蟲的行為特征為蠕蟲的檢測和防御做準(zhǔn)備然后,未知蠕蟲的早期檢測基于蠕蟲模型的檢測基于閾值基于趨勢最后,建立自動(dòng)防御系統(tǒng)動(dòng)態(tài)隔離自適應(yīng)防御5如何防御網(wǎng)絡(luò)蠕蟲攻擊迫切需要自動(dòng)響應(yīng)機(jī)制5目錄網(wǎng)絡(luò)蠕蟲的定義及當(dāng)前的安全狀況網(wǎng)絡(luò)蠕蟲的傳播模型分類網(wǎng)絡(luò)蠕蟲的掃描策略我們目前的工作網(wǎng)絡(luò)蠕蟲的防御策略將來的計(jì)劃(目前的研究熱點(diǎn))6目錄網(wǎng)絡(luò)蠕蟲的定義及當(dāng)前的安全狀況6網(wǎng)絡(luò)蠕蟲的定義什么是網(wǎng)絡(luò)蠕蟲?1982年，JohnF.Shoch等最早引入計(jì)算機(jī)領(lǐng)域。兩個(gè)最基本特征：可以從一臺(tái)計(jì)算機(jī)移動(dòng)到另一臺(tái)計(jì)算機(jī)和可以自我復(fù)制。1988年Morris蠕蟲爆發(fā)后，EugeneH.Spafford給出了蠕蟲的技術(shù)角度的定義，“計(jì)算機(jī)蠕蟲可以獨(dú)立運(yùn)行，并能把自身的一個(gè)包含所有功能的版本傳播到另外的計(jì)算機(jī)上?！?/p>

鄭輝：Internet蠕蟲是無須計(jì)算機(jī)使用者干預(yù)即可運(yùn)行的獨(dú)立程序，它通過不停的獲得網(wǎng)絡(luò)中存在漏洞的計(jì)算機(jī)上的部分或全部控制權(quán)來進(jìn)行傳播。文衛(wèi)平：“網(wǎng)絡(luò)蠕蟲是一種智能化、自動(dòng)化，綜合網(wǎng)絡(luò)攻擊、密碼學(xué)和計(jì)算機(jī)病毒技術(shù)，不需要計(jì)算機(jī)使用者干預(yù)即可運(yùn)行的攻擊程序或代碼。它會(huì)掃描和攻擊網(wǎng)絡(luò)上存在系統(tǒng)漏洞的節(jié)點(diǎn)主機(jī)，通過局域網(wǎng)或者國際互聯(lián)網(wǎng)從一個(gè)節(jié)點(diǎn)傳播到另外一個(gè)節(jié)點(diǎn)。

DMKienzle：網(wǎng)絡(luò)蠕蟲是通過網(wǎng)絡(luò)傳播的惡意代碼，它需要人為干預(yù)或者不需要人為干預(yù)?；咎卣鳎壕W(wǎng)絡(luò)傳播，自我復(fù)制7網(wǎng)絡(luò)蠕蟲的定義什么是網(wǎng)絡(luò)蠕蟲?基本特征：網(wǎng)絡(luò)傳播，自我復(fù)制7什么不是網(wǎng)絡(luò)蠕蟲?病毒–隱藏在計(jì)算機(jī)系統(tǒng)信息資源中，利用系統(tǒng)信息資源進(jìn)行繁殖并生存，影響計(jì)算機(jī)系統(tǒng)征程運(yùn)行，通過信息共享的途徑傳播的、可執(zhí)行的程序。

不能獨(dú)立運(yùn)行，需要用戶來激活。

木馬–是一種基于遠(yuǎn)程控制的攻擊工具，能夠未經(jīng)授權(quán)收集、篡改或破壞信息。其特點(diǎn)是隱蔽性和非授權(quán)性。設(shè)計(jì)者為了防止木馬被發(fā)現(xiàn)，采用多種手段來隱藏木馬；即使被發(fā)現(xiàn)，也不能缺定具體位置。一旦控制端連上服務(wù)器端，控制端將擁有服務(wù)器的大部分權(quán)限。8什么不是網(wǎng)絡(luò)蠕蟲?8病毒、網(wǎng)絡(luò)蠕蟲和木馬的區(qū)別

病毒網(wǎng)絡(luò)蠕蟲木馬存在形式

寄生，不以文件形式存在獨(dú)立個(gè)體，以文件形式存在寄生或獨(dú)立，偽裝成其它文件傳播方式依賴宿主文件或介質(zhì)，插入其它程序自主傳播，利用系統(tǒng)存在的漏洞依靠用戶主動(dòng)傳播，誘騙手段攻擊目標(biāo)本地文件網(wǎng)絡(luò)上的計(jì)算機(jī)，網(wǎng)絡(luò)本身感染的計(jì)算機(jī)系統(tǒng)計(jì)算機(jī)使用者角色病毒傳播中的關(guān)鍵環(huán)節(jié)無關(guān)/有關(guān)無關(guān)主要危害破壞數(shù)據(jù)完整性、系統(tǒng)完整性侵占資源留下后門，竊取信息傳播速度快極快慢9病毒、網(wǎng)絡(luò)蠕蟲和木馬的區(qū)別病毒網(wǎng)絡(luò)蠕蟲木馬存在形式

寄生惡意代碼和網(wǎng)絡(luò)蠕蟲、計(jì)算機(jī)病毒、木馬的關(guān)系10惡意代碼和網(wǎng)絡(luò)蠕蟲、計(jì)算機(jī)病毒、木馬的關(guān)系10網(wǎng)絡(luò)蠕蟲的分類(1)根據(jù)傳播途徑利用Windows操作系統(tǒng)漏洞傳播RPC漏洞(Blaster)利用應(yīng)用程序漏洞傳播

FTP服務(wù)程序(Ramen)、IIS服務(wù)器漏洞(Nimda)、SQLServer數(shù)據(jù)庫(Slammer)

利用瀏覽器傳播通過修改web服務(wù)器的內(nèi)容，把一小段JavaScript代碼附加到HTML或者ASP文件上，

IE自動(dòng)執(zhí)行代碼(Nimda,CodeRed)利用Email傳播通過MAPI獲得感染機(jī)器的通訊錄中郵件地址列表，通過Windows的郵件客戶端把蠕蟲代碼作為郵件附件發(fā)送給其他主機(jī),而未打補(bǔ)丁的IE會(huì)自動(dòng)執(zhí)行郵件中的附件，從而使蠕蟲激活.(求職信蠕蟲、小郵差蠕蟲)

依賴網(wǎng)絡(luò)共享利用共享網(wǎng)絡(luò)資源進(jìn)行傳播(Nimda)

11網(wǎng)絡(luò)蠕蟲的分類(1)根據(jù)傳播途徑11網(wǎng)絡(luò)蠕蟲的分類(2)網(wǎng)絡(luò)蠕蟲的破壞能力無害型建立很多垃圾文件，減少磁盤的可用空間，對系統(tǒng)沒有其他影響

降低系統(tǒng)或網(wǎng)絡(luò)性能型消耗大量主機(jī)資源，減少內(nèi)存和CPU的使用率，使主機(jī)速度變慢；在網(wǎng)絡(luò)上形成垃圾流量，浪費(fèi)網(wǎng)絡(luò)帶寬，造成擁塞，降低網(wǎng)絡(luò)性能。

(Nachi探測網(wǎng)絡(luò)主機(jī)的RPCDCOM緩沖區(qū)漏洞，刪除Blaster)

破壞型刪除主機(jī)程序、破壞數(shù)據(jù)、清除系統(tǒng)內(nèi)存區(qū)和操作系統(tǒng)中重要數(shù)據(jù)。(CodeRed,Nimda、Blaster、Sasser)12網(wǎng)絡(luò)蠕蟲的分類(2)網(wǎng)絡(luò)蠕蟲的破壞能力12網(wǎng)絡(luò)蠕蟲的分類(3)蠕蟲編寫者的意圖好奇心型(愛蟲、CodeRed)惡作劇型自娛自樂或開別人玩笑(Blaster,為了幫助其母親的小公司招攬生意)

商業(yè)利益型為了賺錢，進(jìn)入他人網(wǎng)站內(nèi)，將其主頁內(nèi)商品資料內(nèi)容、價(jià)格作降價(jià)等大幅度修改，使消費(fèi)者誤以為該公司的商品便宜廉價(jià)而大量訂購，從而產(chǎn)生Internet訂貨糾紛。(庫爾尼科娃蠕蟲、燕姿蠕蟲)

政治目的型薩達(dá)姆蠕蟲

恐怖主義型仇恨一切現(xiàn)存的秩序，仇恨電腦本身，制造蠕蟲的目的是利用蠕蟲破壞現(xiàn)有的網(wǎng)絡(luò)和計(jì)算機(jī)，竊取重要情報(bào)、格式化硬盤、毀壞重要數(shù)據(jù)等(Al-Qaeda、ELF、ALF)13網(wǎng)絡(luò)蠕蟲的分類(3)蠕蟲編寫者的意圖13網(wǎng)絡(luò)漏洞的類型漏洞指因設(shè)計(jì)不周而導(dǎo)致的硬件、軟件或策略存在的缺陷。緩沖區(qū)溢出漏洞將超過緩沖區(qū)能處理的更多的數(shù)據(jù)加入到緩沖區(qū)時(shí)產(chǎn)生的允許DoS服務(wù)的漏洞存在于UNIX操作系統(tǒng)的網(wǎng)絡(luò)服務(wù)核心，OS本身的漏洞。允許有限權(quán)限的本地用戶未經(jīng)授權(quán)提高其訪問權(quán)限的漏洞由應(yīng)用程序中的一些缺陷引起。典型例子：Sendmail程序的漏洞。在例程模式下，可以繞過用戶帳號(hào)的檢查，都可以啟動(dòng)Sendmail。允許在遠(yuǎn)程主機(jī)上的未經(jīng)授權(quán)用戶訪問網(wǎng)絡(luò)的漏洞主要由于較差的系統(tǒng)管理或設(shè)置造成的。IIS允許遠(yuǎn)程用戶執(zhí)行命令。IISHTTP將所有以.Bat或.cmd為后綴的文件與cmd.exe聯(lián)系起來，如果能執(zhí)行cmd.exe就能運(yùn)行所有的命令。14網(wǎng)絡(luò)漏洞的類型漏洞指因設(shè)計(jì)不周而導(dǎo)致的硬件、軟件或策略存在的蠕蟲的行為特征自我繁殖：蠕蟲在本質(zhì)上已經(jīng)演變?yōu)楹诳腿肭值淖詣?dòng)化工具，當(dāng)蠕蟲被釋放后，從搜索漏洞，到利用搜索結(jié)果攻擊系統(tǒng)，到復(fù)制副本，整個(gè)流程全由蠕蟲自身主動(dòng)完成。利用軟件漏洞：漏洞是各種各樣的，有操作系統(tǒng)本身的問題，有的是應(yīng)用服務(wù)程序的問題，有的是網(wǎng)絡(luò)管理人員的配置問題。漏洞產(chǎn)生原因的復(fù)雜性，導(dǎo)致各種類型的蠕蟲泛濫。造成網(wǎng)絡(luò)擁塞：在掃描漏洞主機(jī)的過程中，判斷其它計(jì)算機(jī)是否存在；判斷特定應(yīng)用服務(wù)是否存在；判斷漏洞是否存在等等，這不可避免的會(huì)產(chǎn)生附加的網(wǎng)絡(luò)數(shù)據(jù)流量。同時(shí)蠕蟲副本在不同機(jī)器之間傳遞，或者向隨機(jī)目標(biāo)的發(fā)出的攻擊數(shù)據(jù)都不可避免的會(huì)產(chǎn)生大量的網(wǎng)絡(luò)數(shù)據(jù)流量。消耗系統(tǒng)資源：蠕蟲入侵到計(jì)算機(jī)系統(tǒng)之后，會(huì)在被感染的計(jì)算機(jī)上產(chǎn)生多個(gè)副本，每個(gè)副本啟動(dòng)搜索程序?qū)ふ倚碌墓裟繕?biāo)。大量的進(jìn)程會(huì)耗費(fèi)系統(tǒng)的資源，導(dǎo)致系統(tǒng)的性能下降。留下安全隱患：大部分蠕蟲會(huì)搜集、擴(kuò)散、暴露系統(tǒng)敏感信息，并在系統(tǒng)中留下后門。這些都會(huì)導(dǎo)致未來的安全隱患。15蠕蟲的行為特征自我繁殖：15網(wǎng)絡(luò)蠕蟲的攻擊方法緩沖區(qū)溢出攻擊弱密碼攻擊自身攜帶一個(gè)弱密碼字典，字典中包括常用的用戶名和密碼，攻擊時(shí)網(wǎng)絡(luò)蠕蟲將用戶名和密碼進(jìn)行組合，然后嘗試，如果成功就與遠(yuǎn)程主機(jī)系統(tǒng)建立連接將自身傳給遠(yuǎn)程主機(jī)系統(tǒng)，并以此為起點(diǎn)進(jìn)行新的攻擊。(阿泥哥蠕蟲)社會(huì)工程學(xué)攻擊利用說服或欺騙的方式，讓網(wǎng)絡(luò)內(nèi)部的人來提供必要的信息，從而獲得對信息系統(tǒng)的訪問。攻擊對象通常是一些安全意識(shí)薄弱的計(jì)算機(jī)使用者，攻擊者通常采用與之交流或其它互動(dòng)的方式實(shí)現(xiàn)。

DoS與DDoS攻擊Pingofdeath、淚滴（Teardrop）、UDPflood、SYNflood、Land攻擊、Smurf攻擊、Fraggle攻擊，電子郵件炸彈、畸形消息攻擊16網(wǎng)絡(luò)蠕蟲的攻擊方法緩沖區(qū)溢出攻擊16網(wǎng)絡(luò)蠕蟲的現(xiàn)狀和趨勢幾小時(shí)時(shí)間幾天幾分鐘幾秒鐘90年代初90年代中90年代末20002003第I類人工響應(yīng):有可能“Flash”ThreatsFileViruses第III類人工響應(yīng):不可能自動(dòng)響應(yīng):不太可能主動(dòng)阻擋:有可能第II類人工響應(yīng):很難/不可能自動(dòng)響應(yīng):有可能MacroVirusese-mailWormsBlendedThreats“Warhol”Threats200517網(wǎng)絡(luò)蠕蟲的現(xiàn)狀和趨勢幾小時(shí)時(shí)間幾天幾分鐘幾秒鐘90年代初90漏洞越來越多…1995到2008當(dāng)前的安全狀況vulnerabilitiesin2006aresecondquarters.18漏洞越來越多…1995到2008當(dāng)前的安全狀況vuln互聯(lián)網(wǎng)安全事件報(bào)告越來越多…

1988到200619互聯(lián)網(wǎng)安全事件報(bào)告越來越多…1988到200619從漏洞發(fā)現(xiàn)到蠕蟲爆發(fā)的時(shí)間越來越短…網(wǎng)絡(luò)蠕蟲漏洞發(fā)現(xiàn)時(shí)間蠕蟲開始傳播時(shí)間間隔Ramen2000-07-072001-01-18195Adore2001-01-292001-04-0434CodeRed2001-06-192001-07-1930Nimda2001-05-152001-09-18126Scalper2002-07-172002-07-2811Slapper2002-07-302002-09-1445Sapphire2002-07-242003-01-25184Blaster2003-07-162003-08-1126Witty2004-03-182004-03-202Sasser2004-04-132004-04-3017????????????20從漏洞發(fā)現(xiàn)到蠕蟲爆發(fā)的時(shí)間越來越短…網(wǎng)絡(luò)蠕蟲漏洞發(fā)現(xiàn)時(shí)間蠕蟲網(wǎng)絡(luò)蠕蟲的傳播模型目的：精確的蠕蟲傳播模型可以更清楚地認(rèn)識(shí)蠕蟲，能確定其在傳播過程中的弱點(diǎn)，而且能更精確的預(yù)測蠕蟲所造成的損失，進(jìn)而采取有效防御措施。解析模型將蠕蟲傳播過程用數(shù)學(xué)解析的方法進(jìn)行描述,如一組微分方程、差分方程或者一組遞歸公式數(shù)據(jù)包級蠕蟲仿真模型通過引入網(wǎng)絡(luò)仿真技術(shù),構(gòu)建蠕蟲傳播物理環(huán)境仿真模型,根據(jù)蠕蟲模型的數(shù)據(jù)包產(chǎn)生、發(fā)送規(guī)則,在仿真模型中模擬蠕蟲數(shù)據(jù)包在實(shí)際網(wǎng)絡(luò)中的發(fā)送、傳播、接收和處理等動(dòng)作,同時(shí)記錄相應(yīng)的中間過程信息,用于蠕蟲傳播特性分析.21網(wǎng)絡(luò)蠕蟲的傳播模型目的：精確的蠕蟲傳播模型可以更清楚地認(rèn)識(shí)蠕網(wǎng)絡(luò)蠕蟲傳播模型#ofcontacts

I(t)

S(t)傳播模型:I(t)易感主機(jī)感染主機(jī):易感主機(jī)數(shù):主機(jī)總數(shù):感染主機(jī)數(shù):掃描數(shù)t簡單傳播模型:感染率22網(wǎng)絡(luò)蠕蟲傳播模型#ofcontactsI(tKermack-McKendrick

模型狀態(tài)轉(zhuǎn)移::從感染主機(jī)中恢復(fù)的主機(jī)數(shù):恢復(fù)率易感感染恢復(fù)t一個(gè)大規(guī)模蠕蟲爆發(fā)的充要條件：其中23Kermack-McKendrick模型狀態(tài)轉(zhuǎn)移:易感感染雙因素傳播模型考慮了更多的外界影響因素和蠕蟲對抗措施:各ISP節(jié)點(diǎn)或用戶的對抗措施;網(wǎng)絡(luò)蠕蟲的快速傳播導(dǎo)致一些路由器發(fā)生阻塞,從而降低網(wǎng)絡(luò)蠕蟲的傳播速度.在這個(gè)模型中,β(t),R(t)和Q(t)都是隨著時(shí)間t動(dòng)態(tài)變化的參數(shù),雙因素傳播模型的微分方程表達(dá)式為24雙因素傳播模型考慮了更多的外界影響因素和蠕蟲對抗措施:242525狀態(tài)轉(zhuǎn)移:RecoveredSusceptibleExposedInfectious:#ofsusceptible:#ofinfectious:#ofexposed其中:infectionprobability:Therateofinfection:Therateofanexposedhostbecomesinfectious

:TherateofaninfectioushostrecoversSEIRModel:#ofrecovered26狀態(tài)轉(zhuǎn)移:RecoveredSusceptibleExposWorm-Anti-Worm模型(WAW)該模型考慮網(wǎng)絡(luò)中存在兩類蠕蟲,A為惡意蠕蟲,B為良性蠕蟲.把蠕蟲A的傳播分為兩個(gè)階段.在蠕蟲B出現(xiàn)之前,蠕蟲A的傳播行為遵循雙因素模型.當(dāng)蠕蟲B出現(xiàn)以后,網(wǎng)絡(luò)中蠕蟲A的傳播分為4種情況:蠕蟲B查殺蠕蟲A并為感染主機(jī)修補(bǔ)漏洞;蠕蟲B只查殺蠕蟲A;蠕蟲B對所有的易感主機(jī)修補(bǔ)漏洞;蠕蟲B對所有的易感主機(jī)修補(bǔ)漏洞,并查殺蠕蟲A.在前兩種情況下,蠕蟲B只尋找已感染主機(jī),在后兩種情況下,蠕蟲B尋找所有易感主機(jī).27Worm-Anti-Worm模型(WAW)該模型考慮網(wǎng)絡(luò)中存8月18日中午13：00左右Nachi8月12日凌晨1：00左右MSBlaster288月18日中午13：00左右Nachi8月12日凌晨1：0網(wǎng)絡(luò)蠕蟲的掃描策略模型假設(shè)易感主機(jī)數(shù)是一個(gè)常數(shù)，不隨時(shí)間的變化而變化，即沒有新的易感主機(jī)進(jìn)入系統(tǒng)；不考慮人為措施（如打補(bǔ)丁、隔離、斷開網(wǎng)絡(luò)等）和網(wǎng)絡(luò)擁塞的影響，即蠕蟲的掃描率為常數(shù)；主機(jī)只有兩個(gè)狀態(tài)：易感和感染，某一時(shí)刻只能處于其中一個(gè)狀態(tài)，不能再次感染已經(jīng)處于感染狀態(tài)的主機(jī)，初始感染主機(jī)數(shù)為I0；蠕蟲需要一個(gè)時(shí)間單元完成感染過程。29網(wǎng)絡(luò)蠕蟲的掃描策略模型假設(shè)29模型：均勻掃描蠕蟲總能掃描整個(gè)地址空間，因?yàn)镮PV4是32位地址，所以。對于均勻的隨機(jī)掃描方法來說，任意主機(jī)被掃描一次的概率為。用S(t)表示時(shí)刻時(shí)的易感主機(jī)數(shù)（包括已經(jīng)被感染的主機(jī)數(shù)），用I(t)表示時(shí)刻時(shí)的已經(jīng)被感染的主機(jī)數(shù)。在蠕蟲開始傳播之前（t=0），S(0)=N，I(0)=I0。假設(shè)蠕蟲的平均掃描率為，t時(shí)刻時(shí)的感染主機(jī)發(fā)出的掃描數(shù)為，那么在整個(gè)地址空間內(nèi)，任意IP地址被掃描一次的概率為，在單位時(shí)間內(nèi)平均每個(gè)感染主機(jī)掃描整個(gè)地址空間內(nèi)的一個(gè)特定IP地址的概率為共有個(gè)易感主機(jī)，所以在下一時(shí)刻時(shí)，新增加的感染主機(jī)數(shù)為。在時(shí)刻t+1時(shí)，已被感染的主機(jī)總數(shù)為30模型：30同時(shí)，所以蠕蟲的傳播模型為其中31同時(shí)，所以隨機(jī)均勻掃描(RandomUniformScanning)基于目標(biāo)列表的掃描(Hit-listScanning)路由掃描(RoutableScanning)分治掃描(Divide-and-ConquerScanning)本地子網(wǎng)掃描(LocalSubnetScanning)順序掃描(SequentialScanning)置換掃描(PermutationScanning)DNS掃描基于佳點(diǎn)集的掃描方法32隨機(jī)均勻掃描(RandomUniformScanning隨機(jī)均勻掃描隨機(jī)掃描是感染蠕蟲的主機(jī)在尋找新的攻擊目標(biāo)時(shí)不知道哪些主機(jī)系統(tǒng)有漏洞，隨機(jī)的選擇網(wǎng)上計(jì)算機(jī)進(jìn)行掃描，如CodeRed和Slammer，所以掃描的目標(biāo)為IPV4所有地址空間，即。33隨機(jī)均勻掃描隨機(jī)掃描是感染蠕蟲的主機(jī)在尋找新的攻擊目標(biāo)時(shí)不知基于目標(biāo)列表的掃描這種蠕蟲在傳播之前先搜集一些有漏洞的主機(jī)地址列表，傳播時(shí)先感染這些地址列表中的主機(jī)，然后這些感染的主機(jī)再隨機(jī)掃描互聯(lián)網(wǎng)上的其它主機(jī)。掃描過程可分兩個(gè)階段：第一階段是蠕蟲感染Hit-list中的主機(jī)的過程，該階段由于蠕蟲編寫者已經(jīng)事先取得了存在漏洞的主機(jī)，而且這些機(jī)器都具有良好的網(wǎng)絡(luò)連接，所以該過程速度極快，在開始幾秒內(nèi)就能完成。第二個(gè)過程因?yàn)闆]有先驗(yàn)知識(shí)，所以是隨機(jī)傳播，掃描地址空間為，所以這種掃描方法也能用模型(1)來模擬，只不過初始感染主機(jī)數(shù)為Hit-list表中的數(shù)量。34基于目標(biāo)列表的掃描這種蠕蟲在傳播之前先搜集一些有漏洞的主機(jī)地基于目標(biāo)列表的掃描如何得到目標(biāo)列表長時(shí)間偷偷隨機(jī)掃描Internet上的主機(jī)通過僵尸網(wǎng)絡(luò)(Botnet)分布式掃描DNS搜索–收集域名列表搜索郵件服務(wù)器的IP地址利用網(wǎng)絡(luò)爬蟲(Webcrawlingspider)利用公共信息–如Netcraft收集被以前蠕蟲感染的主機(jī)地址35基于目標(biāo)列表的掃描如何得到目標(biāo)列表35路由掃描這種網(wǎng)絡(luò)蠕蟲可以利用BGP路由前綴來減小蠕蟲的掃描空間，也就是對IP地址空間進(jìn)行選擇性掃描的一種方法。采用隨機(jī)掃描的網(wǎng)絡(luò)蠕蟲會(huì)對未分配的地址空間進(jìn)行探測，而這些地址大部分在互聯(lián)網(wǎng)上是無法路由的，因此會(huì)影響到蠕蟲的傳播速度。如果網(wǎng)絡(luò)蠕蟲能夠知道哪些IP地址是可路由的，它就能夠更快、更有效地進(jìn)行傳播。由于在BGP路由表中，只包含了28.6%的IPV4地址空間，若采用路由掃描法其探測地址空間將比隨機(jī)掃描大約減小3倍，所以傳播速度會(huì)增加。它的不足是蠕蟲必須攜帶一個(gè)路由IP地址庫，蠕蟲代碼比較大。這種方法也能用模型(1)來模擬，只不過掃描空間變?yōu)椤?6路由掃描這種網(wǎng)絡(luò)蠕蟲可以利用BGP路由前綴來減小蠕蟲的掃描空隨機(jī)均勻、路由、目標(biāo)列表掃描蠕蟲的性能比較

隨機(jī)均勻掃描、路由掃描、目標(biāo)列表掃描的性能比較37隨機(jī)均勻、路由、目標(biāo)列表掃描蠕蟲的性能比較隨機(jī)均勻掃描、路分治掃描在釋放蠕蟲之前，作者需要收集一個(gè)10000到50000個(gè)有漏洞且網(wǎng)絡(luò)連接良好主機(jī)的列表，在傳播時(shí)，蠕蟲給每個(gè)感染主機(jī)發(fā)送一個(gè)子列表，受害主機(jī)就按照子列表進(jìn)行掃描。例如，主機(jī)A感染主機(jī)B后，主機(jī)A就把列表分成兩部分，一半給主機(jī)B，自己保留另一部分。即使在列表中只有10-20%的主機(jī)有漏洞，這個(gè)快速分解方法也能很快通過列表且一分鐘之內(nèi)蠕蟲能在全部有漏洞的主機(jī)上復(fù)制自身。構(gòu)造初始列表的常用技術(shù)有：秘密掃描、分布式掃描、DNS搜索、Spiders等，此掃描的特點(diǎn)是：隱蔽性強(qiáng)，通過逐漸分解列表，蠕蟲越來越??；掃描造成的流量也進(jìn)一步減小，更不容易檢測。但是，如果分得列表的主機(jī)被關(guān)掉或死機(jī)，那這部分列表就會(huì)丟失，這種情況發(fā)生的越早，對蠕蟲傳播的影響越大。38分治掃描在釋放蠕蟲之前，作者需要收集一個(gè)10000到5000分治掃描、隨機(jī)均勻掃描、目標(biāo)列表掃描的性能比較隨機(jī)、目標(biāo)列表、分治、Flash蠕蟲的性能比較

39分治掃描、隨機(jī)均勻掃描、目標(biāo)列表掃描的性能比較隨機(jī)、目標(biāo)列表本地子網(wǎng)掃描前面四種方法都假設(shè)易感主機(jī)在整個(gè)IP地址空間內(nèi)均勻分布，然而實(shí)際情況并非這樣，有的網(wǎng)絡(luò)由于安裝了一些保護(hù)措施（如防火墻、地址過濾、內(nèi)容過濾等）使得蠕蟲無法完成掃描，易感主機(jī)密度就比較小。有的網(wǎng)絡(luò)缺乏保護(hù)，蠕蟲可利用漏洞比較多，易感主機(jī)的密度就比較大。以比較大的概率掃描某一網(wǎng)段，再用比較小的概率完成隨機(jī)掃描，這樣做有利蠕蟲快速感染一些的主機(jī)，又能跳出本網(wǎng)，從而感染更多的主機(jī)，如CodeRedII蠕蟲。(4/8概率掃描A類地址，3/8掃描B類，1/8隨機(jī)掃描整個(gè)IP地址)蠕蟲的傳播模型為40本地子網(wǎng)掃描前面四種方法都假設(shè)易感主機(jī)在整個(gè)IP地址空間內(nèi)均本地子網(wǎng)掃描、隨機(jī)掃描的比較本地子網(wǎng)蠕蟲和隨機(jī)掃描蠕蟲的性能比較

41本地子網(wǎng)掃描、隨機(jī)掃描的比較本地子網(wǎng)蠕蟲和隨機(jī)掃描蠕蟲的性能順序掃描指感染主機(jī)上的蠕蟲按照一定順序依次掃描自己所在網(wǎng)段內(nèi)的地址。若蠕蟲掃描的目標(biāo)地址IP為x，則掃描的下一個(gè)地址IP為或者x+1或x-1。優(yōu)點(diǎn)：對易感主機(jī)密度比較大網(wǎng)絡(luò)有效，短時(shí)間內(nèi)就可以感染大量主機(jī)；缺點(diǎn)：會(huì)產(chǎn)生大量的重復(fù)掃描，引起網(wǎng)絡(luò)擁塞。假設(shè)感染主機(jī)A的IP地址為x，采用IP地址遞增方法，該蠕蟲就從主機(jī)A開始依次掃描x+1，x+2,…,不失一般性，若IP地址為x+2主機(jī)B被主機(jī)A感染，則主機(jī)B依次掃描x+3,x+4,…,。假設(shè)一個(gè)C類子網(wǎng)中所有主機(jī)都是易感主機(jī)，最壞情況下，掃描數(shù)為(1+255)*128=32768，而實(shí)際可能只需要255次掃描就能感染所有主機(jī)，Blaster是典型的順序掃描蠕蟲。42順序掃描指感染主機(jī)上的蠕蟲按照一定順序依次掃描自己所在網(wǎng)段置換掃描置換掃描采用偽隨機(jī)置換來產(chǎn)生自調(diào)整的掃描，可以最大限度的減少重復(fù)掃描?；驹恚核幸赘兄鳈C(jī)共同使用一個(gè)與所有IP地址空間相對應(yīng)的偽隨機(jī)置換表，并通過該表來選擇新的掃描列表。置換掃描的工作機(jī)制如下：感染主機(jī)以其在置換表中的位置為掃描起點(diǎn)，并由該起點(diǎn)沿著置換表向下掃描，以查找新的易感主機(jī)。當(dāng)掃描到某一IP地址并發(fā)現(xiàn)該地址所對應(yīng)的主機(jī)已經(jīng)被感染，就停止掃描，并在置換表中隨機(jī)選擇一個(gè)新的IP地址繼續(xù)掃描。優(yōu)點(diǎn)：保持了隨機(jī)掃描方法的很多優(yōu)點(diǎn)，確保了對整個(gè)網(wǎng)絡(luò)空間的徹底掃描，避免了重復(fù)掃描同一臺(tái)主機(jī)，掃描效率得到了很大改善。在置換掃描過程中，蠕蟲共享IP地址空間的一個(gè)偽隨機(jī)置換。43置換掃描置換掃描采用偽隨機(jī)置換來產(chǎn)生自調(diào)整的掃描，可以最大限采用D.HLehmer在1948年提出的線性同余產(chǎn)生器(LinearCongruentialGenerator,LCG)來實(shí)現(xiàn)置換。其基本原理如下：假設(shè)Xi是原始空間中的一個(gè)地址，Xi+1為置換空間內(nèi)相應(yīng)的地址，Xi+1和Xi間的關(guān)系為

其中常數(shù)a=214013，b=2531011，m=，這樣利用LCG就產(chǎn)生了區(qū)間[0,-1]內(nèi)所有整數(shù)的一個(gè)置換，如圖所示。

44采用D.HLehmer在1948年提出的線性同余產(chǎn)生器(L雖然易感主機(jī)可能不是均勻分布，但經(jīng)過置換后，可以近似地認(rèn)為均勻分布。置換掃描蠕蟲的模型可以表示為大約在2000秒左右就感染了99.5%的主機(jī)Warhol蠕蟲采用目標(biāo)列和置換掃描45雖然易感主機(jī)可能不是均勻分布，但經(jīng)過置換后，可以近似地認(rèn)為均DNS掃描IPv6具有2128IP地址最小的子網(wǎng)有264地址相當(dāng)于42億個(gè)IPv4考慮一個(gè)最小的子網(wǎng)一百萬易感主機(jī)每秒10萬掃描(Slammer-4,000)初始1,000個(gè)感染主機(jī)采用隨機(jī)掃描需要40年才能感染50%的易感主機(jī)隨機(jī)掃描效率太低46DNS掃描IPv6具有2128IP地址46A.Kamra提出了一個(gè)DNS隨機(jī)掃描的蠕蟲，并給出了其傳播模型不掃描IP地址，而使用DNS域名。字符串產(chǎn)生器47A.Kamra提出了一個(gè)DNS隨機(jī)掃描的蠕蟲，并給出了其傳基于佳點(diǎn)集的掃描方法研究掃描方法的動(dòng)機(jī)從網(wǎng)絡(luò)攻擊者角度出發(fā)，研究攻擊者可能采用的掃描策略，以便做到有的放矢，未雨綢繆，變被動(dòng)挨打?yàn)橹鲃?dòng)出擊找出影響蠕蟲傳播的關(guān)鍵因素以便采用更為有效的防御策略，降低損失佳點(diǎn)集理論的主要思想擴(kuò)大掃描空間提高搜索效率降低所得最優(yōu)方解的偏差48基于佳點(diǎn)集的掃描方法研究掃描方法的動(dòng)機(jī)48漏洞主機(jī)的分布Thecollectedvictimaddressesareformedagroupdistributionin/8subnetsUnevendistributionofWebserversUnevendistributionofhostsinfectedbytheWittywormDistributionsofWitty-wormvictimsandwebserversarefarfromuniform49漏洞主機(jī)的分布Thecollectedvictimad佳點(diǎn)集掃描策略denotetheIPaddressofanarbitrarilyinfectedhostconsistsofd(d=32)bits,isseenasad-dimensionalcubeInthed-dimensionalcube,wesetagoodpointsetwithnpointsthesmallestprimenumberwhichsatisfiesdenotesthefractionalpartof50佳點(diǎn)集掃描策略denotetheIPaddressoAmongthennewlygeneratedIPaddresses,assumethekthIPaddress

isrepresentedasUsingthismethod,wecanobtainnnewlygeneratedIPaddresses.51AmongthennewlygeneratedIP佳點(diǎn)集掃描同置換掃描的比較NumberofuniqueIPaddresses3,433,320,7453,255,120,328NumberofunusedIPaddresses247,644,652311,652,824Performancecomparisons(3,600,000,000IPaddresses)newlygeneratedIPaddressTheperformancesofthegoodpointsetscanningarebetterthanthatofthepermutationscanning.52佳點(diǎn)集掃描同置換掃描的比較Numberofunique基于組分布的靜態(tài)佳點(diǎn)集掃描方法ThetotalIPaddressspaceconsistsoflgroups.NthetotalnumberofvulnerablehostsNidenotethenumberofvulnerablehostsingroupi

Ωi(i=1,2,…,l)thesizeofaddressspaceingroupi.

Groupdistribution,theratiobetweenthenumberofvulnerablehostsingroupiandthetotalnumberofvulnerableones.Groupscanningdistribution,theprobabilitythatawormscanhitsgroupi.Hence,53基于組分布的靜態(tài)佳點(diǎn)集掃描方法ThetotalIPad最優(yōu)的靜態(tài)佳點(diǎn)集掃描AssumethatthegroupdistributionofvulnerablehostsisknowninadvanceHostsarescannedwiththesameprobabilityAvulnerablehostingroupiishitwithsameprobabilityAssumethattheeventsofavulnerablehostbeinghitareindependentNumberofscansrequireduntilthefirstscanhitsanappointedvulnerablehostingroupi,followsageometricdistributionTheexpectednumberofscansneededuntilthisvulnerablehostis54最優(yōu)的靜態(tài)佳點(diǎn)集掃描AssumethatthegrouTheaveragenumberofscansneeduntilthefirstscanhitsanassignhost,denotedbyYOurgoalistominimizeYTheorem:Amongallpossiblestaticstrategies,thegroupscanningdistributionisthestrategythatminimizeYsubjectto,where55TheaveragenumberofscansneTherelationshipbetweenandisUsingCauchyInequality,weobtainEquation(12)holdswhenIfTheoptimalstaticstrategyisobtainedwhen56Therelationshipbetween自學(xué)習(xí)蠕蟲TheknowledgeofthegroupdistributionofvulnerablehostsisunknownbeforeawormisreleasedAttackerspossiblyadoptalternativemethodtoobtainthegroupdistributionWormserver:Selectahostwithahighbandwidthcapacity,usedtocollectandprocessinformationaboutinfectedhost.Wormclient:Anyinfectedhost,cancommunicatewiththewormserverandreportitsIPaddresstothewormserver.57自學(xué)習(xí)蠕蟲TheknowledgeofthegrouSelf-learningstage:

Wormserverusesthegoodpointsetscanningtotargetothervulnerablehosts.Onceavulnerablehostisinfected,thewormserverrecordsthenewwormclient'sIPaddressinalist.Eachwormclientperformsthesamescanningmethod,andreportsitsIPaddresstothewormserver.WhenthewormservercollectsasufficientnumberofIPaddressesQ,itbeginstoestimate,andsendstoallwormclients.Goodpointsetscanningstage:

Onreceiving,awormclientbeginstousethegoodpointsetscanningwithgroupscanningdistribution.Toavoidtheprobabilityofbeingdetected,thenewlyinfectedhostsdonotcommunicatewiththewormserver.58Self-learningstage:58However,howlargeshouldQbeforaccuratelyestimatingthegroupdistribution?Qidenotesthenumberofwormclients'IPaddressesfromgroupiamongallQaddresses.OurestimatorforgroupidistributionisAidenotestheeventthattheithwormclientisingroupiThus,Sincethewormusesthegoodpointsetscanningintheearlystageofwormpropagation,Therefore,59However,howlargeshouldQbeThemeansquarederror(MSE)ofisgivenbySinceWeobtainForthus,ThedeviationofthegoodpointsetscanningisThedeviationofrandomscanningisIfQ=20342<60Themeansquarederror(MSE)o蠕蟲傳播模型Wormpropagatingprocess:includesfourstages(targetselection,exploitation,infectionandpropagation),requiresometimetoinfectanewhost.

UsingamodifiedAAWPmodelnumberofvulnerablehostsingroupinumberofinfectedhostsingroupinumberofscanshittinggroupIbytheinfectedhosts61蠕蟲傳播模型Wormpropagatingproces性能分析parameters:360,000vulnerablemachines,Ahitlistofsize10ascanningrateof358scans/minute.ComparingthemodifiedAAWPmodeltotheexistingmodelsOurmodelismoresuitableforsimulatingthepropagationoftheworm.62性能分析parameters:ComparingtheToobtainthegroupdistribution,weassume

When99%vulnerablehostsareinfected,theexperimentsarestopped.StaticGPSSwithgroupdistributionisthefastestComparisonofstaticGPSSstrategies(differentn)63ToobtainthegroupdistributiUsingtheoptimalstaticstrategyTheself-learningprocesscansignificantlyimprovethepropagationspeedofwormsAself-learningCodeRedAself-learningroutingCodeRed64Usingtheoptimalstaticstrat可能的防御策略Fromtheperspectiveofdefenders,howtocontrolpg(i)hasbeenakeyofeffectivelydefendingsuchworms.AccordingtoInformationentropy,thebestdefendingstrategyistodistributetheapplicationsorIPaddressesuniformly,pg(i)=1/lNetworkAddressSpaceRandomization(NASR)ForwormserverDetectwormserverahostcontactgraphasignature-basedapproachDisablingwormserveraddressblacklistingperformingDenialofService(DoS)ForwormclientDetectwormclientahybridmachinelearningapproachContainwormclientcooperativedistributionoftrafficfiltering65可能的防御策略FromtheperspectiveofWitty蠕蟲的傳播模型2004年3月19日大約20點(diǎn)45分在網(wǎng)絡(luò)上出現(xiàn)了Witty蠕蟲，它是利用3月18日EEYE披露的一個(gè)ISS(InternetSecuritySystems)產(chǎn)品的緩沖區(qū)溢出漏洞進(jìn)行傳播的，到蠕蟲爆發(fā)的時(shí)間不到48小時(shí),這是目前最快的惡意攻擊。

Witty蠕蟲的特點(diǎn)：它是第一個(gè)帶有有效負(fù)載并在Internet上廣泛傳播的蠕蟲；它是目前知道的從漏洞公布到蠕蟲爆發(fā)的時(shí)間間隔最短的蠕蟲，不到48小時(shí)；傳播速度非?？?，10秒鐘感染了110臺(tái)主機(jī)，30秒鐘感染了160臺(tái)主機(jī)，75分鐘就感染了12000臺(tái)機(jī)器；它通過存在漏洞但裝有防火墻的網(wǎng)絡(luò)服務(wù)器進(jìn)行傳播，使得防火墻形同虛設(shè)。66Witty蠕蟲的傳播模型2004年3月19日大約20點(diǎn)45分Witty感染主機(jī)的步驟如下：(1)隨機(jī)產(chǎn)生一個(gè)IP地址；(2)發(fā)送有效負(fù)載；(3)重復(fù)(1)和(2)20000次；(4)隨機(jī)打開硬盤一個(gè)邏輯分區(qū)，并寫入65K的垃圾數(shù)據(jù)；(5)關(guān)閉硬盤；(6)重復(fù)步驟(1)。這種直接向硬盤寫入數(shù)據(jù)的方法將導(dǎo)致文件系統(tǒng)癱瘓，破壞性巨大。

67Witty感染主機(jī)的步驟如下：67Witty蠕蟲的傳播模型所有主機(jī)分為易感類S(Susceptible)、潛伏類E(Exposed不具有感染能力)、感染類I(Infectious)、死亡類D(Dead)四種類型假設(shè)在時(shí)間t時(shí)各類的主機(jī)數(shù)為S(t),E(t),I(t)和D(t)，

β(t)為感染率，β(t)=β0[1-I(t)/N]ω

初始值β0=η/Ω，其中η為Witty蠕蟲的掃描率，

Ω為整個(gè)IP地址空間，

p為潛伏類變?yōu)楦腥绢惖母怕?p<1),γ為感染主機(jī)的死亡率，為Witty蠕蟲的大小，為網(wǎng)絡(luò)的平均傳輸率，為死亡主機(jī)由于人為措施的影響又恢復(fù)為易感主機(jī)的恢復(fù)率。

68Witty蠕蟲的傳播模型所有主機(jī)分為易感類S(Suscept利用S(t)=N-E(t)-I(t)-D(t)，代入模型消去S(t),則模型SEID可簡化為假設(shè)易感主機(jī)數(shù)N為常數(shù)，在時(shí)刻t時(shí)，S(t)+E(t)+I(t)+D(t)=N

(1)(2)69利用S(t)=N-E(t)-I(t)-D(t)，代入模型消去仿真試驗(yàn)結(jié)果分析70仿真試驗(yàn)結(jié)果分析70非結(jié)構(gòu)對等網(wǎng)中被動(dòng)蠕蟲傳播的性能分析P2P蠕蟲的定義P2P蠕蟲是利用P2P應(yīng)用程序、協(xié)議的漏洞在P2P網(wǎng)絡(luò)中傳播的蠕蟲。導(dǎo)致重大損失的原因傳播速度快P2P軟件一般不會(huì)被防火墻等安全設(shè)備阻擋,能夠躲避普通的基于異常流量模式的檢測方法P2P軟件本身包含可能被攻擊者可利用的漏洞71非結(jié)構(gòu)對等網(wǎng)中被動(dòng)蠕蟲傳播的性能分析P2P蠕蟲的定義71P2P蠕蟲的分類根據(jù)發(fā)現(xiàn)目標(biāo)與激活方式的不同P2P蠕蟲可以分為三種：被動(dòng)蠕蟲(passiveworm)：嵌入到共享的文件,當(dāng)這些文件被下載并在其他節(jié)點(diǎn)打開時(shí)實(shí)現(xiàn)傳播,如Benjamin,Bare,Duload蠕蟲.沉默蠕蟲(reactiveworm)：不需要潛入到共享文件,而是利用正常網(wǎng)絡(luò)活動(dòng)進(jìn)行傳播,以躲避普通的基于異常流量的檢測方法，如Gnuman蠕蟲。主動(dòng)蠕蟲(proactiveworm)：利用被感染節(jié)點(diǎn)(peer)的P2P邏輯拓?fù)溧従舆M(jìn)行傳播的蠕蟲,逃避諸如VirusThrottle之類方法的檢測。72P2P蠕蟲的分類根據(jù)發(fā)現(xiàn)目標(biāo)與激活方式的不同P2P蠕蟲可以分P2P網(wǎng)絡(luò)所有節(jié)點(diǎn)地位是平等的，既充當(dāng)服務(wù)器，為其它節(jié)點(diǎn)提供服務(wù)，同時(shí)也享用其它節(jié)點(diǎn)提供的服務(wù)。節(jié)點(diǎn)間直接共享和交互信息資源，不需要任何服務(wù)器或者中間介質(zhì)的轉(zhuǎn)發(fā)。特點(diǎn)：非中心化、可擴(kuò)展性、健壯性、高性/價(jià)比、隱私保護(hù)、負(fù)載均衡P2P網(wǎng)絡(luò)的分類（根據(jù)覆蓋網(wǎng)是否保持特定的拓?fù)浣Y(jié)構(gòu)）非結(jié)構(gòu)化P2P(Gnutella、Freenet、KazaA、Jxta、BitTorrent)采用洪泛和轉(zhuǎn)發(fā)TTL控制消息傳輸健壯性好，擴(kuò)展性差，資源的發(fā)現(xiàn)效率低。網(wǎng)絡(luò)拓?fù)涫侨我獾膬?nèi)容的存儲(chǔ)位置與網(wǎng)絡(luò)拓?fù)錈o關(guān)結(jié)構(gòu)化P2P(Chord、Pastry、CAN、Tapestry)分布式Hash表（DHT）較好的擴(kuò)展性、魯棒性、自組織能力、資源定位精確網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)是有規(guī)律的每個(gè)節(jié)點(diǎn)都隨機(jī)生成一個(gè)標(biāo)識(shí)(ID)內(nèi)容的存儲(chǔ)位置與網(wǎng)絡(luò)拓?fù)湎嚓P(guān)內(nèi)容的存儲(chǔ)位置與節(jié)點(diǎn)標(biāo)識(shí)之間存在著映射關(guān)系73P2P網(wǎng)絡(luò)所有節(jié)點(diǎn)地位是平等的，既充當(dāng)服務(wù)器，為其它節(jié)點(diǎn)提供誰擁有abc.mp3?查詢Key=abc.mp3應(yīng)答Value=IP下載擁有abc.mp3的節(jié)點(diǎn)擁有abc.mp3的節(jié)點(diǎn)下載74誰擁有abc.mp3?查詢應(yīng)答下載擁有abc.mp3的節(jié)點(diǎn)現(xiàn)有被動(dòng)蠕蟲傳播模型的缺陷沒有考慮共享資源大小的影響,共享資源大小服從Pareto分布抗病毒軟件只能對感染主機(jī)提供臨時(shí)免疫功能；一定比例的節(jié)點(diǎn)由于被動(dòng)蠕蟲的攻擊而死亡主要貢獻(xiàn)對P2P文件的傳播特點(diǎn)進(jìn)行了分析,得出共享文件的平均下載延時(shí)以倉室模型為基礎(chǔ),建立了一個(gè)帶有死亡率,離線率和在線率的時(shí)滯SEIRS模型,得出了影響被動(dòng)蠕蟲傳播的主要因素得出了無被動(dòng)蠕蟲時(shí)的平衡點(diǎn)75現(xiàn)有被動(dòng)蠕蟲傳播模型的缺陷75被動(dòng)蠕蟲傳播模型模型假設(shè)網(wǎng)絡(luò)節(jié)點(diǎn)總數(shù)N(t)是一個(gè)變量,隨時(shí)間t的變化而變化,即有新的易感主機(jī)進(jìn)入系統(tǒng),也有一部分節(jié)點(diǎn)離開系統(tǒng),在線率b和離線率都為常數(shù);采用流行病動(dòng)力學(xué)常用的倉室建模思想,整個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)分為易感類S(Susceptible))、潛伏類E(Exposed,不具有感染能力)、感染類I(Infectious)和恢復(fù)類R(Recovered)4類;潛伏期是變量,跟所下載的文件大小有關(guān),一旦下載完立即執(zhí)行;免疫期是變量,跟用戶的抗病毒軟件的病毒庫有關(guān),為了簡化分析,假定為常量;潛伏類、感染類、恢復(fù)類的等待時(shí)間呈指數(shù)分布;當(dāng)感染類節(jié)點(diǎn)進(jìn)入恢復(fù)類時(shí),以一定的概率p獲得臨時(shí)免疫;由于被動(dòng)蠕蟲的攻擊,以概率(1-p)死亡.76被動(dòng)蠕蟲傳播模型模型假設(shè)76被動(dòng)蠕蟲傳播模型模型建立非結(jié)構(gòu)化P2P網(wǎng)絡(luò)的搜索機(jī)制洪泛(flood)方法:當(dāng)一個(gè)節(jié)點(diǎn)想要下載一個(gè)文件時(shí),首先向它所有的鄰居發(fā)送一個(gè)查詢請求.它的鄰居收到請求時(shí),先檢查自己的共享文件夾,如果有需要的文件就響應(yīng)這個(gè)請求;并檢查TTL,如果TTL>0,就繼續(xù)向下轉(zhuǎn)發(fā)查詢請求,否則就丟棄,查詢結(jié)束.

非結(jié)構(gòu)化P2P(如Gnutella)服從冪律分布用產(chǎn)生函數(shù)來量化收到查詢請求的鄰居節(jié)點(diǎn)的個(gè)數(shù)其中表示網(wǎng)絡(luò)中一個(gè)節(jié)點(diǎn)的度為k的概率,C和為常數(shù)

77被動(dòng)蠕蟲傳播模型模型建立77在搜索過程中邊的選擇是隨機(jī)的,更傾向于連接節(jié)點(diǎn)度比較大的節(jié)點(diǎn),節(jié)點(diǎn)的概率分布與kpk成正比,規(guī)一化后的概率分布為上式除以x,搜索過程每一步所遇到的新節(jié)點(diǎn)個(gè)數(shù)為類似地,兩跳的節(jié)點(diǎn)數(shù)目的產(chǎn)生函數(shù)表示為m跳的節(jié)點(diǎn)數(shù)的分布可以用遞歸形式表示為把上式做微分計(jì)算并把x=1代入,得到一跳和兩跳的鄰居節(jié)點(diǎn)的平均數(shù),分別為和.類似,m跳的鄰居個(gè)數(shù)是78在搜索過程中邊的選擇是隨機(jī)的,更傾向于連接節(jié)點(diǎn)度比較大的節(jié)一個(gè)節(jié)點(diǎn)在TTL跳內(nèi)的鄰居數(shù)目為節(jié)點(diǎn)網(wǎng)絡(luò)帶寬受限,多個(gè)節(jié)點(diǎn)同時(shí)下載一個(gè)文件所需的時(shí)間同單一節(jié)點(diǎn)不同,下面研究所需的平均時(shí)間:假設(shè)初始網(wǎng)絡(luò)節(jié)點(diǎn)數(shù)為,只有一個(gè)節(jié)點(diǎn)共享某個(gè)特定的文件.文件大小為sbits,節(jié)點(diǎn)的平均帶寬為bwbps.定理1.對于節(jié)點(diǎn)數(shù)為N的網(wǎng)絡(luò),下載文件所需的平均延時(shí)至少為,其中=s/bw.

定理2.對于節(jié)點(diǎn)數(shù)為N的網(wǎng)絡(luò),下載大文件(m塊)所需的平均延時(shí)至少為,其中=s/bw.79一個(gè)節(jié)點(diǎn)在TTL跳內(nèi)的鄰居數(shù)目為79倉室結(jié)構(gòu)示意圖

易感類S(t)、潛伏類E(t)、感染類I(t)和恢復(fù)類R(t)的轉(zhuǎn)化機(jī)制如下:80倉室結(jié)構(gòu)示意圖易感類S(t)、潛伏類E(t)、感染類I(t根據(jù)流行病動(dòng)力學(xué)倉室建模思想可得到如下SEIRS模型N(t)=S(t)+E(t)+I(t)+R(t)

為保證初時(shí)條件的連續(xù)性,假定(1)dN(t)/dt=(b-μ)N(t)-(b-(1-p)α)εI(t)

81根據(jù)流行病動(dòng)力學(xué)倉室建模思想可得到如下SEIRS模型N(t無被動(dòng)蠕蟲時(shí)的平衡點(diǎn)Y={(s(t),e(t),i(t),r(t))|s(t),e(t),i(t),r(t)≥0,且s(t)+e(t)+i(t)+r(t)=1}是式(2)的正向不變集.當(dāng)沒有被動(dòng)蠕蟲時(shí)(即i=0),則由e=r=0,且s=1,這是區(qū)域Y內(nèi)唯一的平衡點(diǎn).根據(jù)文獻(xiàn)[12],可得內(nèi)部平衡點(diǎn)存在的條件是當(dāng)R0<1時(shí),平衡點(diǎn)是全局穩(wěn)定的,蠕蟲逐漸消失;當(dāng)R0>1,蠕蟲以指數(shù)方式傳播,但一般不會(huì)永遠(yuǎn)持續(xù).R0反映了感染節(jié)點(diǎn)在平均染病周期內(nèi)的平均連接數(shù).82無被動(dòng)蠕蟲時(shí)的平衡點(diǎn)82仿真及其結(jié)果分析仿真模型初始網(wǎng)絡(luò):N0=300000個(gè)節(jié)點(diǎn)的無尺度網(wǎng)絡(luò),其冪律δ為3.4,I(0)=1.性能評估:被動(dòng)蠕蟲攻擊性能定義如下:所需的時(shí)間t(X軸)和感染的節(jié)點(diǎn)數(shù)(Y軸).評估系統(tǒng):整個(gè)網(wǎng)絡(luò)定義為元組:<TTL,s,m,p,τ>,參數(shù)bw=132KBps,ε=0.01,b=0.04,μ=0.03,α=0.2,λ=0.001,γ1=0.005,γ2=0.001.評估方法:利用matlabsimulink軟件來獲得需要的性能數(shù)據(jù).83仿真及其結(jié)果分析仿真模型83傳播模型的性能結(jié)果跳數(shù)對模型的影響<*,4000KB,1,0.4,50>

文件大小對模型的影響<2,*,1,0.4,50>84傳播模型的性能結(jié)果跳數(shù)對模型的影響<*,4000KB,1,0文件分塊數(shù)對模型的影響<2,*,*,0.4,50>

在相同假設(shè)條件下,非結(jié)構(gòu)化P2P軟件的跳數(shù)越大,含有被動(dòng)蠕蟲的共享文件越小,文件分塊數(shù)越大,被動(dòng)蠕蟲的傳播速度越快.一般情況下,非結(jié)構(gòu)化對等網(wǎng)的設(shè)計(jì)者和用戶都希望獲得高速度、低延時(shí)的通信,而早期的設(shè)計(jì)沒有充分考慮安全性因素,所以在加快節(jié)點(diǎn)間傳送文件的同時(shí),被動(dòng)蠕蟲的傳播速度也同時(shí)增快,為保證非結(jié)構(gòu)化網(wǎng)絡(luò)持續(xù)、健康、穩(wěn)定的發(fā)展,P2P軟件設(shè)計(jì)者需要在效率和安全兩方面折衷考慮.85文件分塊數(shù)對模型的影響<2,*,*,0.4,50>在相同假臨時(shí)免疫概率對模型的影響<2,4000KB,1,*,50>臨時(shí)免疫期對模型的影響<2,4000KB,1,0.4,*>>86臨時(shí)免疫概率對模型的影響<2,4000KB,1,*,50>結(jié)論被動(dòng)蠕蟲的傳播主要由跳數(shù)(TTL)、共享文件的大小和分塊數(shù)(m)、臨時(shí)免疫期的長短決定.在設(shè)計(jì)P2P軟件時(shí)應(yīng)合理設(shè)置TTL.用戶端盡量共享較大的文件,還要及時(shí)升級抗病毒軟件和病毒庫.87結(jié)論87網(wǎng)絡(luò)蠕蟲的防御策略檢測(防止蠕蟲泛濫、造成重大損失的關(guān)鍵)主要檢測蠕蟲使用何種策略，攻擊何種服務(wù)，攻擊哪類系統(tǒng)基于主機(jī)(軟件異常來檢測)數(shù)據(jù)包疫苗機(jī)制漏洞檢測簽名檢測本機(jī)進(jìn)程的異常行為(相同的進(jìn)程產(chǎn)生相似的結(jié)果)基于特征碼(殺毒軟件)通過檢測蠕蟲負(fù)載的相似度和頻度來提取蠕蟲攻擊特征可以檢測一些未知蠕蟲，但卻面臨多態(tài)蠕蟲的挑戰(zhàn)缺點(diǎn)：主機(jī)數(shù)目巨大，不可能所有用戶都能采用，誤報(bào)率高；無法預(yù)測大規(guī)模的蠕蟲爆發(fā)基于網(wǎng)絡(luò)(通過網(wǎng)絡(luò)流量分析)基于感染主機(jī)數(shù)(蠕蟲傳播流量的快速增長特征)基于閾值的檢測識(shí)別主機(jī)產(chǎn)生的異常掃描流量基于趨勢(掃描流量呈指數(shù)快速增長)卡爾曼濾波算法檢測異常的掃描流量來檢測蠕蟲缺點(diǎn)：要求合作者共享信息。而在現(xiàn)實(shí)中，許多機(jī)構(gòu)出于種種原因不希望分享私密信息；有相當(dāng)數(shù)量的共享信息傳輸會(huì)占用網(wǎng)絡(luò)帶寬，如果要建立專用網(wǎng)絡(luò)，則需要一定的投資；盡管從全局的角度能夠?qū)崿F(xiàn)早期檢測，但這是以犧牲部分網(wǎng)絡(luò)為代價(jià)的。蜜罐缺點(diǎn)：事后諸葛，但只要發(fā)現(xiàn)及時(shí)，還是能大大減少蠕蟲造成的損失88網(wǎng)絡(luò)蠕蟲的防御策略檢測(防止蠕蟲泛濫、造成重大損失的關(guān)鍵)防御策略被動(dòng)防御內(nèi)容過濾地址黑名單(基于已有知識(shí))主動(dòng)防御打補(bǔ)丁(補(bǔ)丁的合法性、補(bǔ)丁的快速分發(fā))疫苗動(dòng)態(tài)隔離良性蠕蟲(合法性、釋放時(shí)機(jī)、釋放數(shù)量、停止策略)需要全方位的蠕蟲防治策略89防御策略89將來的計(jì)劃(目前的研究熱點(diǎn))無尺度網(wǎng)絡(luò)的蠕蟲傳播模型及防御無線網(wǎng)絡(luò)蠕蟲的傳播模型及防御AdHoc網(wǎng)絡(luò)Mesh網(wǎng)絡(luò)MANET網(wǎng)絡(luò)（車載網(wǎng)）P2P網(wǎng)絡(luò)的傳播模型及防御非結(jié)構(gòu)化P2P結(jié)構(gòu)化P2P90將來的計(jì)劃(目前的研究熱點(diǎn))無尺度網(wǎng)絡(luò)的蠕蟲傳播模型及防御9無尺度網(wǎng)絡(luò)91無尺度網(wǎng)絡(luò)91ER模型(p=0.2,n=20)ER模型的度分布(p=0.0015,n=10000)

隨機(jī)網(wǎng)絡(luò)92ER模型(p=0.2,n=20)ER隨著大量數(shù)據(jù)的產(chǎn)生和計(jì)算機(jī)的應(yīng)用，人們發(fā)現(xiàn)真實(shí)網(wǎng)絡(luò)與隨機(jī)網(wǎng)絡(luò)模型（ER）相差甚遠(yuǎn)。自然狀態(tài)下的萬維網(wǎng)表現(xiàn)出一種特別的屬性：少數(shù)節(jié)點(diǎn)的連接數(shù)遠(yuǎn)高于平均的節(jié)點(diǎn)連接數(shù)。這類網(wǎng)絡(luò)被稱為“無尺度網(wǎng)絡(luò)”，屬于高度非均一性的網(wǎng)絡(luò)。它具有真實(shí)網(wǎng)絡(luò)中最常見的兩個(gè)特性：增長（growth）和偏好連接（preferentialattachment）。第一個(gè)特點(diǎn)表明無尺度網(wǎng)絡(luò)可以不斷地?cái)U(kuò)張。第二個(gè)特點(diǎn)則意味著兩個(gè)節(jié)點(diǎn)連接能力的差異可以隨著網(wǎng)絡(luò)的擴(kuò)張而增大；最初連接較多的節(jié)點(diǎn)可以形成更多的連接，即“富者愈富”。無尺度網(wǎng)絡(luò)(BA模型)的構(gòu)造算法如下：取初始個(gè)頂點(diǎn)任意連接或完全連接。每一步在原網(wǎng)絡(luò)G(t-1)的基礎(chǔ)上加上一個(gè)新的頂點(diǎn)，同時(shí)加上從此頂點(diǎn)出發(fā)的m(m≤）條邊，形成新的網(wǎng)絡(luò)G(t)。其中新加邊的另一個(gè)端點(diǎn)按照正比于頂點(diǎn)度數(shù)的分布隨機(jī)選取。重復(fù)以上新加點(diǎn)的過程足夠多步所形成的網(wǎng)絡(luò)的各頂點(diǎn)的度滿足冪率分布93隨著大量數(shù)據(jù)的產(chǎn)生和計(jì)算機(jī)的應(yīng)用，人們發(fā)現(xiàn)真實(shí)網(wǎng)絡(luò)與隨機(jī)網(wǎng)絡(luò)無尺度網(wǎng)絡(luò)(m=m0=2,n=50)偏好依附模型生成網(wǎng)絡(luò)的度分布(m=m0=5,n=20000,γ=2.97686097)94無尺度網(wǎng)絡(luò)(m=m0=2,n=50)無尺度網(wǎng)絡(luò)的特性：節(jié)點(diǎn)的度呈冪率分布、集散節(jié)點(diǎn)出現(xiàn)、穩(wěn)健性、脆弱性。它存在擁有大量連結(jié)的集散節(jié)點(diǎn)。在這種結(jié)構(gòu)的網(wǎng)絡(luò)中，節(jié)點(diǎn)與節(jié)點(diǎn)之間的連結(jié)呈冪律分布，其中大部分的節(jié)點(diǎn)只有少數(shù)連結(jié)，而少數(shù)節(jié)點(diǎn)則擁有大量連結(jié)；無尺度網(wǎng)絡(luò)在遭受意外故障的強(qiáng)韌性能要優(yōu)于隨機(jī)網(wǎng)絡(luò)，絕大部分節(jié)點(diǎn)仍保持連通性；無尺度網(wǎng)絡(luò)在遭受蓄意攻擊（攻擊集散節(jié)點(diǎn)）的強(qiáng)韌性卻非常低，網(wǎng)絡(luò)基本癱瘓。

95無尺度網(wǎng)絡(luò)的特性：節(jié)點(diǎn)的度呈冪率分布、集散節(jié)點(diǎn)出現(xiàn)、穩(wěn)健性、初始無尺度網(wǎng)絡(luò)遭受意外攻擊后無尺度網(wǎng)絡(luò)遭受蓄意攻擊后的無尺度網(wǎng)絡(luò)

96初始無尺度網(wǎng)絡(luò)遭受意外攻擊后Email服務(wù)逐漸成為網(wǎng)絡(luò)應(yīng)用服務(wù)的一個(gè)重要組成部分,E-mail系統(tǒng)中不同的郵件地址構(gòu)成了一個(gè)應(yīng)用層邏輯網(wǎng)絡(luò),為Email蠕蟲提供了一個(gè)有效的傳播平臺(tái),如Melissa蠕蟲、LoveBug蠕蟲以及“Sircam”蠕蟲等.即時(shí)通信(Instantmessaging)系統(tǒng)應(yīng)用得到了迅猛發(fā)展,用戶數(shù)量日益龐大,通信量不斷增加,這為IM蠕蟲產(chǎn)生和發(fā)展提供了良好的外部條件.根據(jù)有關(guān)部門統(tǒng)計(jì),關(guān)于IM的安全事件不斷增加,特別是2005年后IM蠕蟲開始出現(xiàn)快速增長趨勢,極有可能成為下一代網(wǎng)絡(luò)安全威脅的一種主要形式.97Email服務(wù)逐漸成為網(wǎng)絡(luò)應(yīng)用服務(wù)的一個(gè)重要組成部分,E-m西班牙物理學(xué)家Pastor-Satorras利用一個(gè)研究病毒感染的標(biāo)準(zhǔn)數(shù)學(xué)模式來仿真病毒的傳播，結(jié)果顯示受病毒感染的個(gè)體數(shù)目要超過一個(gè)最低閾值，否則病毒會(huì)自然的消失；然而將此模式應(yīng)用于無尺度網(wǎng)絡(luò)，蠕蟲的傳播閾值明顯比在隨機(jī)網(wǎng)絡(luò)中小的多。他們不斷地減小傳染強(qiáng)度，然而蠕蟲感染的主機(jī)數(shù)總大于零。這就意味著在無尺度網(wǎng)絡(luò)上，要么沒有正的傳播閾值，要么傳播閾值非常接近零。在同樣的傳染強(qiáng)度下，蠕蟲在無尺度網(wǎng)絡(luò)中感染的主機(jī)數(shù)明顯大于其在隨機(jī)網(wǎng)絡(luò)中的數(shù)目。Pastor-Satorras等利用平均場的方法求得了SIS傳播模型

其中表示度為k的感染節(jié)點(diǎn)的相對密度，表示連接到感染節(jié)點(diǎn)的特定鏈路的概率SIS傳播模型的閾值為

98西班牙物理學(xué)家Pastor-Satorras利用一個(gè)研究病毒無線網(wǎng)絡(luò)蠕蟲的傳播模型隨著無線網(wǎng)絡(luò)的普及，電腦用戶實(shí)現(xiàn)了隨時(shí)在家上網(wǎng)沖浪的夢想；但與此同時(shí)，由于無線網(wǎng)絡(luò)的暴露性，極易給黑客留下可乘之機(jī)?！缎驴茖W(xué)家》雜志稱，“Wi-Fi網(wǎng)絡(luò)的蓬勃發(fā)展使家庭用戶所面臨的安全威脅遭遇達(dá)到了空前狀況。”2004年6月爆發(fā)的Cabir蠕蟲是針對無線網(wǎng)絡(luò)的第一個(gè)蠕蟲，它經(jīng)由藍(lán)牙傳播，需要用戶打開一個(gè)”.sys”的附件才能傳播，能迅速消耗掉無線手持設(shè)備的電量，致使無法正常工作。無線網(wǎng)絡(luò)環(huán)境下蠕蟲造成的損失應(yīng)該比有線網(wǎng)絡(luò)更嚴(yán)重：首先因?yàn)槿绻粋€(gè)移動(dòng)設(shè)備在一個(gè)地方感染了蠕蟲，然后直接帶到一個(gè)另一個(gè)地方，從而躲過了防火墻等設(shè)備的檢查，進(jìn)而就能很快感染整個(gè)網(wǎng)絡(luò)。其次無線廠商試圖為用戶提供一個(gè)更加智能、透明的環(huán)境，并不需要用戶具備專業(yè)知識(shí)；現(xiàn)在PDAs，智能手機(jī)越來越普遍，能下載和運(yùn)行Java程序，這也為蠕蟲編寫者打開了方便之門。

99無線網(wǎng)絡(luò)蠕蟲的傳播模型隨著無線網(wǎng)絡(luò)的普及，電腦用戶實(shí)現(xiàn)了隨時(shí)S.Tanachaiwiwat等對有線網(wǎng)絡(luò)和無線網(wǎng)絡(luò)的蠕蟲大戰(zhàn)進(jìn)行了研究，并建立了幾個(gè)蠕蟲相互作用的模型（間接交互作用模型、單邊交互作用模型、雙邊交互作用模型，研究表明蠕蟲間的相互作用對蠕蟲的傳播起著至關(guān)重要的作用，要想用良性蠕蟲抑制蠕蟲的傳播，良性蠕蟲的掃描率一定要高于蠕蟲的掃描率；并提出了一個(gè)新的網(wǎng)絡(luò)安全框架VACCINE。通過試驗(yàn)發(fā)現(xiàn)，在蠕蟲間的相互作用過程中，蠕蟲的掃描率比起著重要的作用，而初始感染主機(jī)率比發(fā)揮的作用不大。EverettA等用大規(guī)模無線網(wǎng)絡(luò)上的真實(shí)數(shù)據(jù)分析了蠕蟲的傳播速度，并分析了幾種防御蠕蟲的方案：US,IUS，從仿真結(jié)果看，Active的效果最好。如果易感主機(jī)的防御率低于25%，蠕蟲仍可以達(dá)到高感染率。

100S.Tanachaiwiwat等對有線網(wǎng)絡(luò)和無線網(wǎng)絡(luò)的蠕蟲Thankyou！101Thankyou！101網(wǎng)絡(luò)蠕蟲的傳播模型及其防御策略

王方偉

102網(wǎng)絡(luò)蠕蟲的傳播模型及其防御策略網(wǎng)絡(luò)蠕蟲的傳播過程發(fā)現(xiàn)新目標(biāo)掃描IP地址Email地址、文件系統(tǒng)的傳輸感染目標(biāo)主機(jī)主要利用系統(tǒng)漏洞新感染的主機(jī)加入感染大軍103網(wǎng)絡(luò)蠕蟲的傳播過程發(fā)現(xiàn)新目標(biāo)感染目標(biāo)主機(jī)新感染的主機(jī)加入感染研究網(wǎng)絡(luò)蠕蟲的動(dòng)機(jī)CodeRed(Jul.2001):14小時(shí)內(nèi)感染近36萬臺(tái)主機(jī)，損失：26億Slammer(Jan.2003):10分鐘內(nèi)感染75,000臺(tái)主機(jī)，損失：5分鐘內(nèi)就導(dǎo)致了9.5億-12億美元的損失Blaster(Aug.2003)

:感染15萬-8百萬主機(jī)，DDoSattack(關(guān)閉Windows更新)，損失：20-100億Witty(Mar.2004):利用ISS漏洞，30分鐘感染12000臺(tái)主機(jī)Sasser(May2004)

:2天內(nèi)感染50萬臺(tái)主機(jī)，損失：數(shù)千萬美元網(wǎng)絡(luò)蠕蟲的傳播速度遠(yuǎn)遠(yuǎn)超過人的響應(yīng)速度！

104研究網(wǎng)絡(luò)蠕蟲的動(dòng)機(jī)CodeRed(Jul.2001)研究蠕蟲的科學(xué)意義網(wǎng)絡(luò)蠕蟲的危害傳播速度快影響面廣造成損失大對計(jì)算機(jī)系統(tǒng)安全和網(wǎng)絡(luò)安全的威脅日益增加新一代網(wǎng)絡(luò)蠕蟲的主要特點(diǎn)和危害造成骨干網(wǎng)大面積阻塞甚至癱瘓，致使網(wǎng)絡(luò)服務(wù)中斷造成主機(jī)開放，導(dǎo)致嚴(yán)重的信息安全威脅計(jì)算機(jī)系統(tǒng)性能下降，甚至癱瘓發(fā)動(dòng)拒絕服務(wù)攻擊攻擊者回收和集中控制感染節(jié)點(diǎn)105研究蠕蟲的科學(xué)意義網(wǎng)絡(luò)蠕蟲的危害4如何防御網(wǎng)絡(luò)蠕蟲攻擊迫切需要自動(dòng)響應(yīng)機(jī)制

首先，需要理解蠕蟲的行為特征為蠕蟲的檢測和防御做準(zhǔn)備然后,未知蠕蟲的早期檢測基于蠕蟲模型的檢測基于閾值基于趨勢最后,建立自動(dòng)防御系統(tǒng)動(dòng)態(tài)隔離自適應(yīng)防御106如何防御網(wǎng)絡(luò)蠕蟲攻擊迫切需要自動(dòng)響應(yīng)機(jī)制5目錄網(wǎng)絡(luò)蠕蟲的定義及當(dāng)前的安全狀況網(wǎng)絡(luò)蠕蟲的傳播模型分類網(wǎng)絡(luò)蠕蟲的掃描策略我們目前的工作網(wǎng)絡(luò)蠕蟲的防御策略將來的計(jì)劃(目前的研究熱點(diǎn))107目錄網(wǎng)絡(luò)蠕蟲的定義及當(dāng)前的安全狀況6網(wǎng)絡(luò)蠕蟲的定義什么是網(wǎng)絡(luò)蠕蟲?1982年，JohnF.Shoch等最早引入計(jì)算機(jī)領(lǐng)域。兩個(gè)最基本特征：可以從一臺(tái)計(jì)算機(jī)移動(dòng)到另一臺(tái)計(jì)算機(jī)和可以自我復(fù)制。1988年Morris蠕蟲爆發(fā)后，EugeneH.Spafford給出了蠕蟲的技術(shù)角度的定義，“計(jì)算機(jī)蠕蟲可以獨(dú)立運(yùn)行，并能把自身的一個(gè)包含所有功能的版本傳播到另外的計(jì)算機(jī)上?！?/p>

鄭輝：Internet蠕蟲是無須計(jì)算機(jī)使用者干預(yù)即可運(yùn)行的獨(dú)立程序，它通過不停的獲得網(wǎng)絡(luò)中存在漏洞的計(jì)算機(jī)上的部分或全部控制權(quán)來進(jìn)行傳播。文衛(wèi)平：“網(wǎng)絡(luò)蠕蟲是一種智能化、自動(dòng)化，綜合網(wǎng)絡(luò)攻擊、密碼學(xué)和計(jì)算機(jī)病毒技術(shù)，不需要計(jì)算機(jī)使用者干預(yù)即可運(yùn)行的攻擊程序或代碼。它會(huì)掃描和攻擊網(wǎng)絡(luò)上存在系統(tǒng)漏洞的節(jié)點(diǎn)主機(jī)，通過局域網(wǎng)或者國際互聯(lián)網(wǎng)從一個(gè)節(jié)點(diǎn)傳播到另外一個(gè)節(jié)點(diǎn)。

DMKienzle：網(wǎng)絡(luò)蠕蟲是通過網(wǎng)絡(luò)傳播的惡意代碼，它需要人為干預(yù)或者不需要人為干預(yù)。基本特征：網(wǎng)絡(luò)傳播，自我復(fù)制108網(wǎng)絡(luò)蠕蟲的定義什么是網(wǎng)絡(luò)蠕蟲?基本特征：網(wǎng)絡(luò)傳播，自我復(fù)制7什么不是網(wǎng)絡(luò)蠕蟲?病毒–隱藏在計(jì)算機(jī)系統(tǒng)信息資源中，利用系統(tǒng)信息資源進(jìn)行繁殖并生存，影響計(jì)算機(jī)系統(tǒng)征程運(yùn)行，通過信息共享的途徑傳播的、可執(zhí)行的程序。

不能獨(dú)立運(yùn)行，需要用戶來激活。

木馬–是一種基于遠(yuǎn)程控制的攻擊工具，能夠未經(jīng)授權(quán)收集、篡改或破壞信息。其特點(diǎn)是隱蔽性和非授權(quán)性。設(shè)計(jì)者為了防止木馬被發(fā)現(xiàn)，采用多種手段來隱藏木馬；即使被發(fā)現(xiàn)，也不能缺定具體位置。一旦控制端連上服務(wù)器端，控制端將擁有服務(wù)器的大部分權(quán)限。109什么不是網(wǎng)絡(luò)蠕蟲?8病毒、網(wǎng)絡(luò)蠕蟲和木馬的區(qū)別

病毒網(wǎng)絡(luò)蠕蟲木馬存在形式

寄生，不以文件形式存在獨(dú)立個(gè)體，以文件形式存在寄生或獨(dú)立，偽裝成其它文件傳播方式依賴宿主文件或介質(zhì)，插入其它程序自主傳播，利用系統(tǒng)存在的漏洞依靠用戶主動(dòng)傳播，誘騙手段攻擊目標(biāo)本地文件網(wǎng)絡(luò)上的