網(wǎng)絡(luò)蠕蟲(chóng)的傳播模型及其防御策略 課件

網(wǎng)絡(luò)蠕蟲(chóng)的傳播模型及其防御策略

王方偉

1網(wǎng)絡(luò)蠕蟲(chóng)的傳播模型及其防御策略網(wǎng)絡(luò)蠕蟲(chóng)的傳播過(guò)程發(fā)現(xiàn)新目標(biāo)掃描IP地址Email地址、文件系統(tǒng)的傳輸感染目標(biāo)主機(jī)主要利用系統(tǒng)漏洞新感染的主機(jī)加入感染大軍2網(wǎng)絡(luò)蠕蟲(chóng)的傳播過(guò)程發(fā)現(xiàn)新目標(biāo)感染目標(biāo)主機(jī)新感染的主機(jī)加入感染研究網(wǎng)絡(luò)蠕蟲(chóng)的動(dòng)機(jī)CodeRed(Jul.2001):14小時(shí)內(nèi)感染近36萬(wàn)臺(tái)主機(jī)，損失：26億Slammer(Jan.2003):10分鐘內(nèi)感染75,000臺(tái)主機(jī)，損失：5分鐘內(nèi)就導(dǎo)致了9.5億-12億美元的損失Blaster(Aug.2003)

:感染15萬(wàn)-8百萬(wàn)主機(jī)，DDoSattack(關(guān)閉Windows更新)，損失：20-100億Witty(Mar.2004):利用ISS漏洞，30分鐘感染12000臺(tái)主機(jī)Sasser(May2004)

:2天內(nèi)感染50萬(wàn)臺(tái)主機(jī)，損失：數(shù)千萬(wàn)美元網(wǎng)絡(luò)蠕蟲(chóng)的傳播速度遠(yuǎn)遠(yuǎn)超過(guò)人的響應(yīng)速度！

3研究網(wǎng)絡(luò)蠕蟲(chóng)的動(dòng)機(jī)CodeRed(Jul.2001)研究蠕蟲(chóng)的科學(xué)意義網(wǎng)絡(luò)蠕蟲(chóng)的危害傳播速度快影響面廣造成損失大對(duì)計(jì)算機(jī)系統(tǒng)安全和網(wǎng)絡(luò)安全的威脅日益增加新一代網(wǎng)絡(luò)蠕蟲(chóng)的主要特點(diǎn)和危害造成骨干網(wǎng)大面積阻塞甚至癱瘓，致使網(wǎng)絡(luò)服務(wù)中斷造成主機(jī)開(kāi)放，導(dǎo)致嚴(yán)重的信息安全威脅計(jì)算機(jī)系統(tǒng)性能下降，甚至癱瘓發(fā)動(dòng)拒絕服務(wù)攻擊攻擊者回收和集中控制感染節(jié)點(diǎn)4研究蠕蟲(chóng)的科學(xué)意義網(wǎng)絡(luò)蠕蟲(chóng)的危害4如何防御網(wǎng)絡(luò)蠕蟲(chóng)攻擊迫切需要自動(dòng)響應(yīng)機(jī)制

首先，需要理解蠕蟲(chóng)的行為特征為蠕蟲(chóng)的檢測(cè)和防御做準(zhǔn)備然后,未知蠕蟲(chóng)的早期檢測(cè)基于蠕蟲(chóng)模型的檢測(cè)基于閾值基于趨勢(shì)最后,建立自動(dòng)防御系統(tǒng)動(dòng)態(tài)隔離自適應(yīng)防御5如何防御網(wǎng)絡(luò)蠕蟲(chóng)攻擊迫切需要自動(dòng)響應(yīng)機(jī)制5目錄網(wǎng)絡(luò)蠕蟲(chóng)的定義及當(dāng)前的安全狀況網(wǎng)絡(luò)蠕蟲(chóng)的傳播模型分類網(wǎng)絡(luò)蠕蟲(chóng)的掃描策略我們目前的工作網(wǎng)絡(luò)蠕蟲(chóng)的防御策略將來(lái)的計(jì)劃(目前的研究熱點(diǎn))6目錄網(wǎng)絡(luò)蠕蟲(chóng)的定義及當(dāng)前的安全狀況6網(wǎng)絡(luò)蠕蟲(chóng)的定義什么是網(wǎng)絡(luò)蠕蟲(chóng)?1982年，JohnF.Shoch等最早引入計(jì)算機(jī)領(lǐng)域。兩個(gè)最基本特征：可以從一臺(tái)計(jì)算機(jī)移動(dòng)到另一臺(tái)計(jì)算機(jī)和可以自我復(fù)制。1988年Morris蠕蟲(chóng)爆發(fā)后，EugeneH.Spafford給出了蠕蟲(chóng)的技術(shù)角度的定義，“計(jì)算機(jī)蠕蟲(chóng)可以獨(dú)立運(yùn)行，并能把自身的一個(gè)包含所有功能的版本傳播到另外的計(jì)算機(jī)上?！?/p>

鄭輝：Internet蠕蟲(chóng)是無(wú)須計(jì)算機(jī)使用者干預(yù)即可運(yùn)行的獨(dú)立程序，它通過(guò)不停的獲得網(wǎng)絡(luò)中存在漏洞的計(jì)算機(jī)上的部分或全部控制權(quán)來(lái)進(jìn)行傳播。文衛(wèi)平：“網(wǎng)絡(luò)蠕蟲(chóng)是一種智能化、自動(dòng)化，綜合網(wǎng)絡(luò)攻擊、密碼學(xué)和計(jì)算機(jī)病毒技術(shù)，不需要計(jì)算機(jī)使用者干預(yù)即可運(yùn)行的攻擊程序或代碼。它會(huì)掃描和攻擊網(wǎng)絡(luò)上存在系統(tǒng)漏洞的節(jié)點(diǎn)主機(jī)，通過(guò)局域網(wǎng)或者國(guó)際互聯(lián)網(wǎng)從一個(gè)節(jié)點(diǎn)傳播到另外一個(gè)節(jié)點(diǎn)。

DMKienzle：網(wǎng)絡(luò)蠕蟲(chóng)是通過(guò)網(wǎng)絡(luò)傳播的惡意代碼，它需要人為干預(yù)或者不需要人為干預(yù)?；咎卣鳎壕W(wǎng)絡(luò)傳播，自我復(fù)制7網(wǎng)絡(luò)蠕蟲(chóng)的定義什么是網(wǎng)絡(luò)蠕蟲(chóng)?基本特征：網(wǎng)絡(luò)傳播，自我復(fù)制7什么不是網(wǎng)絡(luò)蠕蟲(chóng)?病毒–隱藏在計(jì)算機(jī)系統(tǒng)信息資源中，利用系統(tǒng)信息資源進(jìn)行繁殖并生存，影響計(jì)算機(jī)系統(tǒng)征程運(yùn)行，通過(guò)信息共享的途徑傳播的、可執(zhí)行的程序。

不能獨(dú)立運(yùn)行，需要用戶來(lái)激活。

木馬–是一種基于遠(yuǎn)程控制的攻擊工具，能夠未經(jīng)授權(quán)收集、篡改或破壞信息。其特點(diǎn)是隱蔽性和非授權(quán)性。設(shè)計(jì)者為了防止木馬被發(fā)現(xiàn)，采用多種手段來(lái)隱藏木馬；即使被發(fā)現(xiàn)，也不能缺定具體位置。一旦控制端連上服務(wù)器端，控制端將擁有服務(wù)器的大部分權(quán)限。8什么不是網(wǎng)絡(luò)蠕蟲(chóng)?8病毒、網(wǎng)絡(luò)蠕蟲(chóng)和木馬的區(qū)別

病毒網(wǎng)絡(luò)蠕蟲(chóng)木馬存在形式

寄生，不以文件形式存在獨(dú)立個(gè)體，以文件形式存在寄生或獨(dú)立，偽裝成其它文件傳播方式依賴宿主文件或介質(zhì)，插入其它程序自主傳播，利用系統(tǒng)存在的漏洞依靠用戶主動(dòng)傳播，誘騙手段攻擊目標(biāo)本地文件網(wǎng)絡(luò)上的計(jì)算機(jī)，網(wǎng)絡(luò)本身感染的計(jì)算機(jī)系統(tǒng)計(jì)算機(jī)使用者角色病毒傳播中的關(guān)鍵環(huán)節(jié)無(wú)關(guān)/有關(guān)無(wú)關(guān)主要危害破壞數(shù)據(jù)完整性、系統(tǒng)完整性侵占資源留下后門，竊取信息傳播速度快極快慢9病毒、網(wǎng)絡(luò)蠕蟲(chóng)和木馬的區(qū)別病毒網(wǎng)絡(luò)蠕蟲(chóng)木馬存在形式

寄生惡意代碼和網(wǎng)絡(luò)蠕蟲(chóng)、計(jì)算機(jī)病毒、木馬的關(guān)系10惡意代碼和網(wǎng)絡(luò)蠕蟲(chóng)、計(jì)算機(jī)病毒、木馬的關(guān)系10網(wǎng)絡(luò)蠕蟲(chóng)的分類(1)根據(jù)傳播途徑利用Windows操作系統(tǒng)漏洞傳播RPC漏洞(Blaster)利用應(yīng)用程序漏洞傳播

FTP服務(wù)程序(Ramen)、IIS服務(wù)器漏洞(Nimda)、SQLServer數(shù)據(jù)庫(kù)(Slammer)

利用瀏覽器傳播通過(guò)修改web服務(wù)器的內(nèi)容，把一小段JavaScript代碼附加到HTML或者ASP文件上，

IE自動(dòng)執(zhí)行代碼(Nimda,CodeRed)利用Email傳播通過(guò)MAPI獲得感染機(jī)器的通訊錄中郵件地址列表，通過(guò)Windows的郵件客戶端把蠕蟲(chóng)代碼作為郵件附件發(fā)送給其他主機(jī),而未打補(bǔ)丁的IE會(huì)自動(dòng)執(zhí)行郵件中的附件，從而使蠕蟲(chóng)激活.(求職信蠕蟲(chóng)、小郵差蠕蟲(chóng))

依賴網(wǎng)絡(luò)共享利用共享網(wǎng)絡(luò)資源進(jìn)行傳播(Nimda)

11網(wǎng)絡(luò)蠕蟲(chóng)的分類(1)根據(jù)傳播途徑11網(wǎng)絡(luò)蠕蟲(chóng)的分類(2)網(wǎng)絡(luò)蠕蟲(chóng)的破壞能力無(wú)害型建立很多垃圾文件，減少磁盤(pán)的可用空間，對(duì)系統(tǒng)沒(méi)有其他影響

降低系統(tǒng)或網(wǎng)絡(luò)性能型消耗大量主機(jī)資源，減少內(nèi)存和CPU的使用率，使主機(jī)速度變慢；在網(wǎng)絡(luò)上形成垃圾流量，浪費(fèi)網(wǎng)絡(luò)帶寬，造成擁塞，降低網(wǎng)絡(luò)性能。

(Nachi探測(cè)網(wǎng)絡(luò)主機(jī)的RPCDCOM緩沖區(qū)漏洞，刪除Blaster)

破壞型刪除主機(jī)程序、破壞數(shù)據(jù)、清除系統(tǒng)內(nèi)存區(qū)和操作系統(tǒng)中重要數(shù)據(jù)。(CodeRed,Nimda、Blaster、Sasser)12網(wǎng)絡(luò)蠕蟲(chóng)的分類(2)網(wǎng)絡(luò)蠕蟲(chóng)的破壞能力12網(wǎng)絡(luò)蠕蟲(chóng)的分類(3)蠕蟲(chóng)編寫(xiě)者的意圖好奇心型(愛(ài)蟲(chóng)、CodeRed)惡作劇型自?shī)首詷?lè)或開(kāi)別人玩笑(Blaster,為了幫助其母親的小公司招攬生意)

商業(yè)利益型為了賺錢，進(jìn)入他人網(wǎng)站內(nèi)，將其主頁(yè)內(nèi)商品資料內(nèi)容、價(jià)格作降價(jià)等大幅度修改，使消費(fèi)者誤以為該公司的商品便宜廉價(jià)而大量訂購(gòu)，從而產(chǎn)生Internet訂貨糾紛。(庫(kù)爾尼科娃蠕蟲(chóng)、燕姿蠕蟲(chóng))

政治目的型薩達(dá)姆蠕蟲(chóng)

恐怖主義型仇恨一切現(xiàn)存的秩序，仇恨電腦本身，制造蠕蟲(chóng)的目的是利用蠕蟲(chóng)破壞現(xiàn)有的網(wǎng)絡(luò)和計(jì)算機(jī)，竊取重要情報(bào)、格式化硬盤(pán)、毀壞重要數(shù)據(jù)等(Al-Qaeda、ELF、ALF)13網(wǎng)絡(luò)蠕蟲(chóng)的分類(3)蠕蟲(chóng)編寫(xiě)者的意圖13網(wǎng)絡(luò)漏洞的類型漏洞指因設(shè)計(jì)不周而導(dǎo)致的硬件、軟件或策略存在的缺陷。緩沖區(qū)溢出漏洞將超過(guò)緩沖區(qū)能處理的更多的數(shù)據(jù)加入到緩沖區(qū)時(shí)產(chǎn)生的允許DoS服務(wù)的漏洞存在于UNIX操作系統(tǒng)的網(wǎng)絡(luò)服務(wù)核心，OS本身的漏洞。允許有限權(quán)限的本地用戶未經(jīng)授權(quán)提高其訪問(wèn)權(quán)限的漏洞由應(yīng)用程序中的一些缺陷引起。典型例子：Sendmail程序的漏洞。在例程模式下，可以繞過(guò)用戶帳號(hào)的檢查，都可以啟動(dòng)Sendmail。允許在遠(yuǎn)程主機(jī)上的未經(jīng)授權(quán)用戶訪問(wèn)網(wǎng)絡(luò)的漏洞主要由于較差的系統(tǒng)管理或設(shè)置造成的。IIS允許遠(yuǎn)程用戶執(zhí)行命令。IISHTTP將所有以.Bat或.cmd為后綴的文件與cmd.exe聯(lián)系起來(lái)，如果能執(zhí)行cmd.exe就能運(yùn)行所有的命令。14網(wǎng)絡(luò)漏洞的類型漏洞指因設(shè)計(jì)不周而導(dǎo)致的硬件、軟件或策略存在的蠕蟲(chóng)的行為特征自我繁殖：蠕蟲(chóng)在本質(zhì)上已經(jīng)演變?yōu)楹诳腿肭值淖詣?dòng)化工具，當(dāng)蠕蟲(chóng)被釋放后，從搜索漏洞，到利用搜索結(jié)果攻擊系統(tǒng)，到復(fù)制副本，整個(gè)流程全由蠕蟲(chóng)自身主動(dòng)完成。利用軟件漏洞：漏洞是各種各樣的，有操作系統(tǒng)本身的問(wèn)題，有的是應(yīng)用服務(wù)程序的問(wèn)題，有的是網(wǎng)絡(luò)管理人員的配置問(wèn)題。漏洞產(chǎn)生原因的復(fù)雜性，導(dǎo)致各種類型的蠕蟲(chóng)泛濫。造成網(wǎng)絡(luò)擁塞：在掃描漏洞主機(jī)的過(guò)程中，判斷其它計(jì)算機(jī)是否存在；判斷特定應(yīng)用服務(wù)是否存在；判斷漏洞是否存在等等，這不可避免的會(huì)產(chǎn)生附加的網(wǎng)絡(luò)數(shù)據(jù)流量。同時(shí)蠕蟲(chóng)副本在不同機(jī)器之間傳遞，或者向隨機(jī)目標(biāo)的發(fā)出的攻擊數(shù)據(jù)都不可避免的會(huì)產(chǎn)生大量的網(wǎng)絡(luò)數(shù)據(jù)流量。消耗系統(tǒng)資源：蠕蟲(chóng)入侵到計(jì)算機(jī)系統(tǒng)之后，會(huì)在被感染的計(jì)算機(jī)上產(chǎn)生多個(gè)副本，每個(gè)副本啟動(dòng)搜索程序?qū)ふ倚碌墓裟繕?biāo)。大量的進(jìn)程會(huì)耗費(fèi)系統(tǒng)的資源，導(dǎo)致系統(tǒng)的性能下降。留下安全隱患：大部分蠕蟲(chóng)會(huì)搜集、擴(kuò)散、暴露系統(tǒng)敏感信息，并在系統(tǒng)中留下后門。這些都會(huì)導(dǎo)致未來(lái)的安全隱患。15蠕蟲(chóng)的行為特征自我繁殖：15網(wǎng)絡(luò)蠕蟲(chóng)的攻擊方法緩沖區(qū)溢出攻擊弱密碼攻擊自身攜帶一個(gè)弱密碼字典，字典中包括常用的用戶名和密碼，攻擊時(shí)網(wǎng)絡(luò)蠕蟲(chóng)將用戶名和密碼進(jìn)行組合，然后嘗試，如果成功就與遠(yuǎn)程主機(jī)系統(tǒng)建立連接將自身傳給遠(yuǎn)程主機(jī)系統(tǒng)，并以此為起點(diǎn)進(jìn)行新的攻擊。(阿泥哥蠕蟲(chóng))社會(huì)工程學(xué)攻擊利用說(shuō)服或欺騙的方式，讓網(wǎng)絡(luò)內(nèi)部的人來(lái)提供必要的信息，從而獲得對(duì)信息系統(tǒng)的訪問(wèn)。攻擊對(duì)象通常是一些安全意識(shí)薄弱的計(jì)算機(jī)使用者，攻擊者通常采用與之交流或其它互動(dòng)的方式實(shí)現(xiàn)。

DoS與DDoS攻擊Pingofdeath、淚滴（Teardrop）、UDPflood、SYNflood、Land攻擊、Smurf攻擊、Fraggle攻擊，電子郵件炸彈、畸形消息攻擊16網(wǎng)絡(luò)蠕蟲(chóng)的攻擊方法緩沖區(qū)溢出攻擊16網(wǎng)絡(luò)蠕蟲(chóng)的現(xiàn)狀和趨勢(shì)幾小時(shí)時(shí)間幾天幾分鐘幾秒鐘90年代初90年代中90年代末20002003第I類人工響應(yīng):有可能“Flash”ThreatsFileViruses第III類人工響應(yīng):不可能自動(dòng)響應(yīng):不太可能主動(dòng)阻擋:有可能第II類人工響應(yīng):很難/不可能自動(dòng)響應(yīng):有可能MacroVirusese-mailWormsBlendedThreats“Warhol”Threats200517網(wǎng)絡(luò)蠕蟲(chóng)的現(xiàn)狀和趨勢(shì)幾小時(shí)時(shí)間幾天幾分鐘幾秒鐘90年代初90漏洞越來(lái)越多…1995到2008當(dāng)前的安全狀況vulnerabilitiesin2006aresecondquarters.18漏洞越來(lái)越多…1995到2008當(dāng)前的安全狀況vuln互聯(lián)網(wǎng)安全事件報(bào)告越來(lái)越多…

1988到200619互聯(lián)網(wǎng)安全事件報(bào)告越來(lái)越多…1988到200619從漏洞發(fā)現(xiàn)到蠕蟲(chóng)爆發(fā)的時(shí)間越來(lái)越短…網(wǎng)絡(luò)蠕蟲(chóng)漏洞發(fā)現(xiàn)時(shí)間蠕蟲(chóng)開(kāi)始傳播時(shí)間間隔Ramen2000-07-072001-01-18195Adore2001-01-292001-04-0434CodeRed2001-06-192001-07-1930Nimda2001-05-152001-09-18126Scalper2002-07-172002-07-2811Slapper2002-07-302002-09-1445Sapphire2002-07-242003-01-25184Blaster2003-07-162003-08-1126Witty2004-03-182004-03-202Sasser2004-04-132004-04-3017????????????20從漏洞發(fā)現(xiàn)到蠕蟲(chóng)爆發(fā)的時(shí)間越來(lái)越短…網(wǎng)絡(luò)蠕蟲(chóng)漏洞發(fā)現(xiàn)時(shí)間蠕蟲(chóng)網(wǎng)絡(luò)蠕蟲(chóng)的傳播模型目的：精確的蠕蟲(chóng)傳播模型可以更清楚地認(rèn)識(shí)蠕蟲(chóng)，能確定其在傳播過(guò)程中的弱點(diǎn)，而且能更精確的預(yù)測(cè)蠕蟲(chóng)所造成的損失，進(jìn)而采取有效防御措施。解析模型將蠕蟲(chóng)傳播過(guò)程用數(shù)學(xué)解析的方法進(jìn)行描述,如一組微分方程、差分方程或者一組遞歸公式數(shù)據(jù)包級(jí)蠕蟲(chóng)仿真模型通過(guò)引入網(wǎng)絡(luò)仿真技術(shù),構(gòu)建蠕蟲(chóng)傳播物理環(huán)境仿真模型,根據(jù)蠕蟲(chóng)模型的數(shù)據(jù)包產(chǎn)生、發(fā)送規(guī)則,在仿真模型中模擬蠕蟲(chóng)數(shù)據(jù)包在實(shí)際網(wǎng)絡(luò)中的發(fā)送、傳播、接收和處理等動(dòng)作,同時(shí)記錄相應(yīng)的中間過(guò)程信息,用于蠕蟲(chóng)傳播特性分析.21網(wǎng)絡(luò)蠕蟲(chóng)的傳播模型目的：精確的蠕蟲(chóng)傳播模型可以更清楚地認(rèn)識(shí)蠕網(wǎng)絡(luò)蠕蟲(chóng)傳播模型#ofcontacts

I(t)

S(t)傳播模型:I(t)易感主機(jī)感染主機(jī):易感主機(jī)數(shù):主機(jī)總數(shù):感染主機(jī)數(shù):掃描數(shù)t簡(jiǎn)單傳播模型:感染率22網(wǎng)絡(luò)蠕蟲(chóng)傳播模型#ofcontactsI(tKermack-McKendrick

模型狀態(tài)轉(zhuǎn)移::從感染主機(jī)中恢復(fù)的主機(jī)數(shù):恢復(fù)率易感感染恢復(fù)t一個(gè)大規(guī)模蠕蟲(chóng)爆發(fā)的充要條件：其中23Kermack-McKendrick模型狀態(tài)轉(zhuǎn)移:易感感染雙因素傳播模型考慮了更多的外界影響因素和蠕蟲(chóng)對(duì)抗措施:各ISP節(jié)點(diǎn)或用戶的對(duì)抗措施;網(wǎng)絡(luò)蠕蟲(chóng)的快速傳播導(dǎo)致一些路由器發(fā)生阻塞,從而降低網(wǎng)絡(luò)蠕蟲(chóng)的傳播速度.在這個(gè)模型中,β(t),R(t)和Q(t)都是隨著時(shí)間t動(dòng)態(tài)變化的參數(shù),雙因素傳播模型的微分方程表達(dá)式為24雙因素傳播模型考慮了更多的外界影響因素和蠕蟲(chóng)對(duì)抗措施:242525狀態(tài)轉(zhuǎn)移:RecoveredSusceptibleExposedInfectious:#ofsusceptible:#ofinfectious:#ofexposed其中:infectionprobability:Therateofinfection:Therateofanexposedhostbecomesinfectious

:TherateofaninfectioushostrecoversSEIRModel:#ofrecovered26狀態(tài)轉(zhuǎn)移:RecoveredSusceptibleExposWorm-Anti-Worm模型(WAW)該模型考慮網(wǎng)絡(luò)中存在兩類蠕蟲(chóng),A為惡意蠕蟲(chóng),B為良性蠕蟲(chóng).把蠕蟲(chóng)A的傳播分為兩個(gè)階段.在蠕蟲(chóng)B出現(xiàn)之前,蠕蟲(chóng)A的傳播行為遵循雙因素模型.當(dāng)蠕蟲(chóng)B出現(xiàn)以后,網(wǎng)絡(luò)中蠕蟲(chóng)A的傳播分為4種情況:蠕蟲(chóng)B查殺蠕蟲(chóng)A并為感染主機(jī)修補(bǔ)漏洞;蠕蟲(chóng)B只查殺蠕蟲(chóng)A;蠕蟲(chóng)B對(duì)所有的易感主機(jī)修補(bǔ)漏洞;蠕蟲(chóng)B對(duì)所有的易感主機(jī)修補(bǔ)漏洞,并查殺蠕蟲(chóng)A.在前兩種情況下,蠕蟲(chóng)B只尋找已感染主機(jī),在后兩種情況下,蠕蟲(chóng)B尋找所有易感主機(jī).27Worm-Anti-Worm模型(WAW)該模型考慮網(wǎng)絡(luò)中存8月18日中午13：00左右Nachi8月12日凌晨1：00左右MSBlaster288月18日中午13：00左右Nachi8月12日凌晨1：0網(wǎng)絡(luò)蠕蟲(chóng)的掃描策略模型假設(shè)易感主機(jī)數(shù)是一個(gè)常數(shù)，不隨時(shí)間的變化而變化，即沒(méi)有新的易感主機(jī)進(jìn)入系統(tǒng)；不考慮人為措施（如打補(bǔ)丁、隔離、斷開(kāi)網(wǎng)絡(luò)等）和網(wǎng)絡(luò)擁塞的影響，即蠕蟲(chóng)的掃描率為常數(shù)；主機(jī)只有兩個(gè)狀態(tài)：易感和感染，某一時(shí)刻只能處于其中一個(gè)狀態(tài)，不能再次感染已經(jīng)處于感染狀態(tài)的主機(jī)，初始感染主機(jī)數(shù)為I0；蠕蟲(chóng)需要一個(gè)時(shí)間單元完成感染過(guò)程。29網(wǎng)絡(luò)蠕蟲(chóng)的掃描策略模型假設(shè)29模型：均勻掃描蠕蟲(chóng)總能掃描整個(gè)地址空間，因?yàn)镮PV4是32位地址，所以。對(duì)于均勻的隨機(jī)掃描方法來(lái)說(shuō)，任意主機(jī)被掃描一次的概率為。用S(t)表示時(shí)刻時(shí)的易感主機(jī)數(shù)（包括已經(jīng)被感染的主機(jī)數(shù)），用I(t)表示時(shí)刻時(shí)的已經(jīng)被感染的主機(jī)數(shù)。在蠕蟲(chóng)開(kāi)始傳播之前（t=0），S(0)=N，I(0)=I0。假設(shè)蠕蟲(chóng)的平均掃描率為，t時(shí)刻時(shí)的感染主機(jī)發(fā)出的掃描數(shù)為，那么在整個(gè)地址空間內(nèi)，任意IP地址被掃描一次的概率為，在單位時(shí)間內(nèi)平均每個(gè)感染主機(jī)掃描整個(gè)地址空間內(nèi)的一個(gè)特定IP地址的概率為共有個(gè)易感主機(jī)，所以在下一時(shí)刻時(shí)，新增加的感染主機(jī)數(shù)為。在時(shí)刻t+1時(shí)，已被感染的主機(jī)總數(shù)為30模型：30同時(shí)，所以蠕蟲(chóng)的傳播模型為其中31同時(shí)，所以隨機(jī)均勻掃描(RandomUniformScanning)基于目標(biāo)列表的掃描(Hit-listScanning)路由掃描(RoutableScanning)分治掃描(Divide-and-ConquerScanning)本地子網(wǎng)掃描(LocalSubnetScanning)順序掃描(SequentialScanning)置換掃描(PermutationScanning)DNS掃描基于佳點(diǎn)集的掃描方法32隨機(jī)均勻掃描(RandomUniformScanning隨機(jī)均勻掃描隨機(jī)掃描是感染蠕蟲(chóng)的主機(jī)在尋找新的攻擊目標(biāo)時(shí)不知道哪些主機(jī)系統(tǒng)有漏洞，隨機(jī)的選擇網(wǎng)上計(jì)算機(jī)進(jìn)行掃描，如CodeRed和Slammer，所以掃描的目標(biāo)為IPV4所有地址空間，即。33隨機(jī)均勻掃描隨機(jī)掃描是感染蠕蟲(chóng)的主機(jī)在尋找新的攻擊目標(biāo)時(shí)不知基于目標(biāo)列表的掃描這種蠕蟲(chóng)在傳播之前先搜集一些有漏洞的主機(jī)地址列表，傳播時(shí)先感染這些地址列表中的主機(jī)，然后這些感染的主機(jī)再隨機(jī)掃描互聯(lián)網(wǎng)上的其它主機(jī)。掃描過(guò)程可分兩個(gè)階段：第一階段是蠕蟲(chóng)感染Hit-list中的主機(jī)的過(guò)程，該階段由于蠕蟲(chóng)編寫(xiě)者已經(jīng)事先取得了存在漏洞的主機(jī)，而且這些機(jī)器都具有良好的網(wǎng)絡(luò)連接，所以該過(guò)程速度極快，在開(kāi)始幾秒內(nèi)就能完成。第二個(gè)過(guò)程因?yàn)闆](méi)有先驗(yàn)知識(shí)，所以是隨機(jī)傳播，掃描地址空間為，所以這種掃描方法也能用模型(1)來(lái)模擬，只不過(guò)初始感染主機(jī)數(shù)為Hit-list表中的數(shù)量。34基于目標(biāo)列表的掃描這種蠕蟲(chóng)在傳播之前先搜集一些有漏洞的主機(jī)地基于目標(biāo)列表的掃描如何得到目標(biāo)列表長(zhǎng)時(shí)間偷偷隨機(jī)掃描Internet上的主機(jī)通過(guò)僵尸網(wǎng)絡(luò)(Botnet)分布式掃描DNS搜索–收集域名列表搜索郵件服務(wù)器的IP地址利用網(wǎng)絡(luò)爬蟲(chóng)(Webcrawlingspider)利用公共信息–如Netcraft收集被以前蠕蟲(chóng)感染的主機(jī)地址35基于目標(biāo)列表的掃描如何得到目標(biāo)列表35路由掃描這種網(wǎng)絡(luò)蠕蟲(chóng)可以利用BGP路由前綴來(lái)減小蠕蟲(chóng)的掃描空間，也就是對(duì)IP地址空間進(jìn)行選擇性掃描的一種方法。采用隨機(jī)掃描的網(wǎng)絡(luò)蠕蟲(chóng)會(huì)對(duì)未分配的地址空間進(jìn)行探測(cè)，而這些地址大部分在互聯(lián)網(wǎng)上是無(wú)法路由的，因此會(huì)影響到蠕蟲(chóng)的傳播速度。如果網(wǎng)絡(luò)蠕蟲(chóng)能夠知道哪些IP地址是可路由的，它就能夠更快、更有效地進(jìn)行傳播。由于在BGP路由表中，只包含了28.6%的IPV4地址空間，若采用路由掃描法其探測(cè)地址空間將比隨機(jī)掃描大約減小3倍，所以傳播速度會(huì)增加。它的不足是蠕蟲(chóng)必須攜帶一個(gè)路由IP地址庫(kù)，蠕蟲(chóng)代碼比較大。這種方法也能用模型(1)來(lái)模擬，只不過(guò)掃描空間變?yōu)椤?6路由掃描這種網(wǎng)絡(luò)蠕蟲(chóng)可以利用BGP路由前綴來(lái)減小蠕蟲(chóng)的掃描空隨機(jī)均勻、路由、目標(biāo)列表掃描蠕蟲(chóng)的性能比較

隨機(jī)均勻掃描、路由掃描、目標(biāo)列表掃描的性能比較37隨機(jī)均勻、路由、目標(biāo)列表掃描蠕蟲(chóng)的性能比較隨機(jī)均勻掃描、路分治掃描在釋放蠕蟲(chóng)之前，作者需要收集一個(gè)10000到50000個(gè)有漏洞且網(wǎng)絡(luò)連接良好主機(jī)的列表，在傳播時(shí)，蠕蟲(chóng)給每個(gè)感染主機(jī)發(fā)送一個(gè)子列表，受害主機(jī)就按照子列表進(jìn)行掃描。例如，主機(jī)A感染主機(jī)B后，主機(jī)A就把列表分成兩部分，一半給主機(jī)B，自己保留另一部分。即使在列表中只有10-20%的主機(jī)有漏洞，這個(gè)快速分解方法也能很快通過(guò)列表且一分鐘之內(nèi)蠕蟲(chóng)能在全部有漏洞的主機(jī)上復(fù)制自身。構(gòu)造初始列表的常用技術(shù)有：秘密掃描、分布式掃描、DNS搜索、Spiders等，此掃描的特點(diǎn)是：隱蔽性強(qiáng)，通過(guò)逐漸分解列表，蠕蟲(chóng)越來(lái)越?。粧呙柙斐傻牧髁恳策M(jìn)一步減小，更不容易檢測(cè)。但是，如果分得列表的主機(jī)被關(guān)掉或死機(jī)，那這部分列表就會(huì)丟失，這種情況發(fā)生的越早，對(duì)蠕蟲(chóng)傳播的影響越大。38分治掃描在釋放蠕蟲(chóng)之前，作者需要收集一個(gè)10000到5000分治掃描、隨機(jī)均勻掃描、目標(biāo)列表掃描的性能比較隨機(jī)、目標(biāo)列表、分治、Flash蠕蟲(chóng)的性能比較

39分治掃描、隨機(jī)均勻掃描、目標(biāo)列表掃描的性能比較隨機(jī)、目標(biāo)列表本地子網(wǎng)掃描前面四種方法都假設(shè)易感主機(jī)在整個(gè)IP地址空間內(nèi)均勻分布，然而實(shí)際情況并非這樣，有的網(wǎng)絡(luò)由于安裝了一些保護(hù)措施（如防火墻、地址過(guò)濾、內(nèi)容過(guò)濾等）使得蠕蟲(chóng)無(wú)法完成掃描，易感主機(jī)密度就比較小。有的網(wǎng)絡(luò)缺乏保護(hù)，蠕蟲(chóng)可利用漏洞比較多，易感主機(jī)的密度就比較大。以比較大的概率掃描某一網(wǎng)段，再用比較小的概率完成隨機(jī)掃描，這樣做有利蠕蟲(chóng)快速感染一些的主機(jī)，又能跳出本網(wǎng)，從而感染更多的主機(jī)，如CodeRedII蠕蟲(chóng)。(4/8概率掃描A類地址，3/8掃描B類，1/8隨機(jī)掃描整個(gè)IP地址)蠕蟲(chóng)的傳播模型為40本地子網(wǎng)掃描前面四種方法都假設(shè)易感主機(jī)在整個(gè)IP地址空間內(nèi)均本地子網(wǎng)掃描、隨機(jī)掃描的比較本地子網(wǎng)蠕蟲(chóng)和隨機(jī)掃描蠕蟲(chóng)的性能比較

41本地子網(wǎng)掃描、隨機(jī)掃描的比較本地子網(wǎng)蠕蟲(chóng)和隨機(jī)掃描蠕蟲(chóng)的性能順序掃描指感染主機(jī)上的蠕蟲(chóng)按照一定順序依次掃描自己所在網(wǎng)段內(nèi)的地址。若蠕蟲(chóng)掃描的目標(biāo)地址IP為x，則掃描的下一個(gè)地址IP為或者x+1或x-1。優(yōu)點(diǎn)：對(duì)易感主機(jī)密度比較大網(wǎng)絡(luò)有效，短時(shí)間內(nèi)就可以感染大量主機(jī)；缺點(diǎn)：會(huì)產(chǎn)生大量的重復(fù)掃描，引起網(wǎng)絡(luò)擁塞。假設(shè)感染主機(jī)A的IP地址為x，采用IP地址遞增方法，該蠕蟲(chóng)就從主機(jī)A開(kāi)始依次掃描x+1，x+2,…,不失一般性，若IP地址為x+2主機(jī)B被主機(jī)A感染，則主機(jī)B依次掃描x+3,x+4,…,。假設(shè)一個(gè)C類子網(wǎng)中所有主機(jī)都是易感主機(jī)，最壞情況下，掃描數(shù)為(1+255)*128=32768，而實(shí)際可能只需要255次掃描就能感染所有主機(jī)，Blaster是典型的順序掃描蠕蟲(chóng)。42順序掃描指感染主機(jī)上的蠕蟲(chóng)按照一定順序依次掃描自己所在網(wǎng)段置換掃描置換掃描采用偽隨機(jī)置換來(lái)產(chǎn)生自調(diào)整的掃描，可以最大限度的減少重復(fù)掃描。基本原理：所有易感主機(jī)共同使用一個(gè)與所有IP地址空間相對(duì)應(yīng)的偽隨機(jī)置換表，并通過(guò)該表來(lái)選擇新的掃描列表。置換掃描的工作機(jī)制如下：感染主機(jī)以其在置換表中的位置為掃描起點(diǎn)，并由該起點(diǎn)沿著置換表向下掃描，以查找新的易感主機(jī)。當(dāng)掃描到某一IP地址并發(fā)現(xiàn)該地址所對(duì)應(yīng)的主機(jī)已經(jīng)被感染，就停止掃描，并在置換表中隨機(jī)選擇一個(gè)新的IP地址繼續(xù)掃描。優(yōu)點(diǎn)：保持了隨機(jī)掃描方法的很多優(yōu)點(diǎn)，確保了對(duì)整個(gè)網(wǎng)絡(luò)空間的徹底掃描，避免了重復(fù)掃描同一臺(tái)主機(jī)，掃描效率得到了很大改善。在置換掃描過(guò)程中，蠕蟲(chóng)共享IP地址空間的一個(gè)偽隨機(jī)置換。43置換掃描置換掃描采用偽隨機(jī)置換來(lái)產(chǎn)生自調(diào)整的掃描，可以最大限采用D.HLehmer在1948年提出的線性同余產(chǎn)生器(LinearCongruentialGenerator,LCG)來(lái)實(shí)現(xiàn)置換。其基本原理如下：假設(shè)Xi是原始空間中的一個(gè)地址，Xi+1為置換空間內(nèi)相應(yīng)的地址，Xi+1和Xi間的關(guān)系為

其中常數(shù)a=214013，b=2531011，m=，這樣利用LCG就產(chǎn)生了區(qū)間[0,-1]內(nèi)所有整數(shù)的一個(gè)置換，如圖所示。

44采用D.HLehmer在1948年提出的線性同余產(chǎn)生器(L雖然易感主機(jī)可能不是均勻分布，但經(jīng)過(guò)置換后，可以近似地認(rèn)為均勻分布。置換掃描蠕蟲(chóng)的模型可以表示為大約在2000秒左右就感染了99.5%的主機(jī)Warhol蠕蟲(chóng)采用目標(biāo)列和置換掃描45雖然易感主機(jī)可能不是均勻分布，但經(jīng)過(guò)置換后，可以近似地認(rèn)為均DNS掃描IPv6具有2128IP地址最小的子網(wǎng)有264地址相當(dāng)于42億個(gè)IPv4考慮一個(gè)最小的子網(wǎng)一百萬(wàn)易感主機(jī)每秒10萬(wàn)掃描(Slammer-4,000)初始1,000個(gè)感染主機(jī)采用隨機(jī)掃描需要40年才能感染50%的易感主機(jī)隨機(jī)掃描效率太低46DNS掃描IPv6具有2128IP地址46A.Kamra提出了一個(gè)DNS隨機(jī)掃描的蠕蟲(chóng)，并給出了其傳播模型不掃描IP地址，而使用DNS域名。字符串產(chǎn)生器47A.Kamra提出了一個(gè)DNS隨機(jī)掃描的蠕蟲(chóng)，并給出了其傳基于佳點(diǎn)集的掃描方法研究掃描方法的動(dòng)機(jī)從網(wǎng)絡(luò)攻擊者角度出發(fā)，研究攻擊者可能采用的掃描策略，以便做到有的放矢，未雨綢繆，變被動(dòng)挨打?yàn)橹鲃?dòng)出擊找出影響蠕蟲(chóng)傳播的關(guān)鍵因素以便采用更為有效的防御策略，降低損失佳點(diǎn)集理論的主要思想擴(kuò)大掃描空間提高搜索效率降低所得最優(yōu)方解的偏差48基于佳點(diǎn)集的掃描方法研究掃描方法的動(dòng)機(jī)48漏洞主機(jī)的分布Thecollectedvictimaddressesareformedagroupdistributionin/8subnetsUnevendistributionofWebserversUnevendistributionofhostsinfectedbytheWittywormDistributionsofWitty-wormvictimsandwebserversarefarfromuniform49漏洞主機(jī)的分布Thecollectedvictimad佳點(diǎn)集掃描策略denotetheIPaddressofanarbitrarilyinfectedhostconsistsofd(d=32)bits,isseenasad-dimensionalcubeInthed-dimensionalcube,wesetagoodpointsetwithnpointsthesmallestprimenumberwhichsatisfiesdenotesthefractionalpartof50佳點(diǎn)集掃描策略denotetheIPaddressoAmongthennewlygeneratedIPaddresses,assumethekthIPaddress

isrepresentedasUsingthismethod,wecanobtainnnewlygeneratedIPaddresses.51AmongthennewlygeneratedIP佳點(diǎn)集掃描同置換掃描的比較NumberofuniqueIPaddresses3,433,320,7453,255,120,328NumberofunusedIPaddresses247,644,652311,652,824Performancecomparisons(3,600,000,000IPaddresses)newlygeneratedIPaddressTheperformancesofthegoodpointsetscanningarebetterthanthatofthepermutationscanning.52佳點(diǎn)集掃描同置換掃描的比較Numberofunique基于組分布的靜態(tài)佳點(diǎn)集掃描方法ThetotalIPaddressspaceconsistsoflgroups.NthetotalnumberofvulnerablehostsNidenotethenumberofvulnerablehostsingroupi

Ωi(i=1,2,…,l)thesizeofaddressspaceingroupi.

Groupdistribution,theratiobetweenthenumberofvulnerablehostsingroupiandthetotalnumberofvulnerableones.Groupscanningdistribution,theprobabilitythatawormscanhitsgroupi.Hence,53基于組分布的靜態(tài)佳點(diǎn)集掃描方法ThetotalIPad最優(yōu)的靜態(tài)佳點(diǎn)集掃描AssumethatthegroupdistributionofvulnerablehostsisknowninadvanceHostsarescannedwiththesameprobabilityAvulnerablehostingroupiishitwithsameprobabilityAssumethattheeventsofavulnerablehostbeinghitareindependentNumberofscansrequireduntilthefirstscanhitsanappointedvulnerablehostingroupi,followsageometricdistributionTheexpectednumberofscansneededuntilthisvulnerablehostis54最優(yōu)的靜態(tài)佳點(diǎn)集掃描AssumethatthegrouTheaveragenumberofscansneeduntilthefirstscanhitsanassignhost,denotedbyYOurgoalistominimizeYTheorem:Amongallpossiblestaticstrategies,thegroupscanningdistributionisthestrategythatminimizeYsubjectto,where55TheaveragenumberofscansneTherelationshipbetweenandisUsingCauchyInequality,weobtainEquation(12)holdswhenIfTheoptimalstaticstrategyisobtainedwhen56Therelationshipbetween自學(xué)習(xí)蠕蟲(chóng)TheknowledgeofthegroupdistributionofvulnerablehostsisunknownbeforeawormisreleasedAttackerspossiblyadoptalternativemethodtoobtainthegroupdistributionWormserver:Selectahostwithahighbandwidthcapacity,usedtocollectandprocessinformationaboutinfectedhost.Wormclient:Anyinfectedhost,cancommunicatewiththewormserverandreportitsIPaddresstothewormserver.57自學(xué)習(xí)蠕蟲(chóng)TheknowledgeofthegrouSelf-learningstage:

Wormserverusesthegoodpointsetscanningtotargetothervulnerablehosts.Onceavulnerablehostisinfected,thewormserverrecordsthenewwormclient'sIPaddressinalist.Eachwormclientperformsthesamescanningmethod,andreportsitsIPaddresstothewormserver.WhenthewormservercollectsasufficientnumberofIPaddressesQ,itbeginstoestimate,andsendstoallwormclients.Goodpointsetscanningstage:

Onreceiving,awormclientbeginstousethegoodpointsetscanningwithgroupscanningdistribution.Toavoidtheprobabilityofbeingdetected,thenewlyinfectedhostsdonotcommunicatewiththewormserver.58Self-learningstage:58However,howlargeshouldQbeforaccuratelyestimatingthegroupdistribution?Qidenotesthenumberofwormclients'IPaddressesfromgroupiamongallQaddresses.OurestimatorforgroupidistributionisAidenotestheeventthattheithwormclientisingroupiThus,Sincethewormusesthegoodpointsetscanningintheearlystageofwormpropagation,Therefore,59However,howlargeshouldQbeThemeansquarederror(MSE)ofisgivenbySinceWeobtainForthus,ThedeviationofthegoodpointsetscanningisThedeviationofrandomscanningisIfQ=20342<60Themeansquarederror(MSE)o蠕蟲(chóng)傳播模型Wormpropagatingprocess:includesfourstages(targetselection,exploitation,infectionandpropagation),requiresometimetoinfectanewhost.

UsingamodifiedAAWPmodelnumberofvulnerablehostsingroupinumberofinfectedhostsingroupinumberofscanshittinggroupIbytheinfectedhosts61蠕蟲(chóng)傳播模型Wormpropagatingproces性能分析parameters:360,000vulnerablemachines,Ahitlistofsize10ascanningrateof358scans/minute.ComparingthemodifiedAAWPmodeltotheexistingmodelsOurmodelismoresuitableforsimulatingthepropagationoftheworm.62性能分析parameters:ComparingtheToobtainthegroupdistribution,weassume

When99%vulnerablehostsareinfected,theexperimentsarestopped.StaticGPSSwithgroupdistributionisthefastestComparisonofstaticGPSSstrategies(differentn)63ToobtainthegroupdistributiUsingtheoptimalstaticstrategyTheself-learningprocesscansignificantlyimprovethepropagationspeedofwormsAself-learningCodeRedAself-learningroutingCodeRed64Usingtheoptimalstaticstrat可能的防御策略Fromtheperspectiveofdefenders,howtocontrolpg(i)hasbeenakeyofeffectivelydefendingsuchworms.AccordingtoInformationentropy,thebestdefendingstrategyistodistributetheapplicationsorIPaddressesuniformly,pg(i)=1/lNetworkAddressSpaceRandomization(NASR)ForwormserverDetectwormserverahostcontactgraphasignature-basedapproachDisablingwormserveraddressblacklistingperformingDenialofService(DoS)ForwormclientDetectwormclientahybridmachinelearningapproachContainwormclientcooperativedistributionoftrafficfiltering65可能的防御策略FromtheperspectiveofWitty蠕蟲(chóng)的傳播模型2004年3月19日大約20點(diǎn)45分在網(wǎng)絡(luò)上出現(xiàn)了Witty蠕蟲(chóng)，它是利用3月18日EEYE披露的一個(gè)ISS(InternetSecuritySystems)產(chǎn)品的緩沖區(qū)溢出漏洞進(jìn)行傳播的，到蠕蟲(chóng)爆發(fā)的時(shí)間不到48小時(shí),這是目前最快的惡意攻擊。

Witty蠕蟲(chóng)的特點(diǎn)：它是第一個(gè)帶有有效負(fù)載并在Internet上廣泛傳播的蠕蟲(chóng)；它是目前知道的從漏洞公布到蠕蟲(chóng)爆發(fā)的時(shí)間間隔最短的蠕蟲(chóng)，不到48小時(shí)；傳播速度非?？欤?0秒鐘感染了110臺(tái)主機(jī)，30秒鐘感染了160臺(tái)主機(jī)，75分鐘就感染了12000臺(tái)機(jī)器；它通過(guò)存在漏洞但裝有防火墻的網(wǎng)絡(luò)服務(wù)器進(jìn)行傳播，使得防火墻形同虛設(shè)。66Witty蠕蟲(chóng)的傳播模型2004年3月19日大約20點(diǎn)45分Witty感染主機(jī)的步驟如下：(1)隨機(jī)產(chǎn)生一個(gè)IP地址；(2)發(fā)送有效負(fù)載；(3)重復(fù)(1)和(2)20000次；(4)隨機(jī)打開(kāi)硬盤(pán)一個(gè)邏輯分區(qū)，并寫(xiě)入65K的垃圾數(shù)據(jù)；(5)關(guān)閉硬盤(pán)；(6)重復(fù)步驟(1)。這種直接向硬盤(pán)寫(xiě)入數(shù)據(jù)的方法將導(dǎo)致文件系統(tǒng)癱瘓，破壞性巨大。

67Witty感染主機(jī)的步驟如下：67Witty蠕蟲(chóng)的傳播模型所有主機(jī)分為易感類S(Susceptible)、潛伏類E(Exposed不具有感染能力)、感染類I(Infectious)、死亡類D(Dead)四種類型假設(shè)在時(shí)間t時(shí)各類的主機(jī)數(shù)為S(t),E(t),I(t)和D(t)，

β(t)為感染率，β(t)=β0[1-I(t)/N]ω

初始值β0=η/Ω，其中η為Witty蠕蟲(chóng)的掃描率，

Ω為整個(gè)IP地址空間，

p為潛伏類變?yōu)楦腥绢惖母怕?p<1),γ為感染主機(jī)的死亡率，為Witty蠕蟲(chóng)的大小，為網(wǎng)絡(luò)的平均傳輸率，為死亡主機(jī)由于人為措施的影響又恢復(fù)為易感主機(jī)的恢復(fù)率。

68Witty蠕蟲(chóng)的傳播模型所有主機(jī)分為易感類S(Suscept利用S(t)=N-E(t)-I(t)-D(t)，代入模型消去S(t),則模型SEID可簡(jiǎn)化為假設(shè)易感主機(jī)數(shù)N為常數(shù)，在時(shí)刻t時(shí)，S(t)+E(t)+I(t)+D(t)=N

(1)(2)69利用S(t)=N-E(t)-I(t)-D(t)，代入模型消去仿真試驗(yàn)結(jié)果分析70仿真試驗(yàn)結(jié)果分析70非結(jié)構(gòu)對(duì)等網(wǎng)中被動(dòng)蠕蟲(chóng)傳播的性能分析P2P蠕蟲(chóng)的定義P2P蠕蟲(chóng)是利用P2P應(yīng)用程序、協(xié)議的漏洞在P2P網(wǎng)絡(luò)中傳播的蠕蟲(chóng)。導(dǎo)致重大損失的原因傳播速度快P2P軟件一般不會(huì)被防火墻等安全設(shè)備阻擋,能夠躲避普通的基于異常流量模式的檢測(cè)方法P2P軟件本身包含可能被攻擊者可利用的漏洞71非結(jié)構(gòu)對(duì)等網(wǎng)中被動(dòng)蠕蟲(chóng)傳播的性能分析P2P蠕蟲(chóng)的定義71P2P蠕蟲(chóng)的分類根據(jù)發(fā)現(xiàn)目標(biāo)與激活方式的不同P2P蠕蟲(chóng)可以分為三種：被動(dòng)蠕蟲(chóng)(passiveworm)：嵌入到共享的文件,當(dāng)這些文件被下載并在其他節(jié)點(diǎn)打開(kāi)時(shí)實(shí)現(xiàn)傳播,如Benjamin,Bare,Duload蠕蟲(chóng).沉默蠕蟲(chóng)(reactiveworm)：不需要潛入到共享文件,而是利用正常網(wǎng)絡(luò)活動(dòng)進(jìn)行傳播,以躲避普通的基于異常流量的檢測(cè)方法，如Gnuman蠕蟲(chóng)。主動(dòng)蠕蟲(chóng)(proactiveworm)：利用被感染節(jié)點(diǎn)(peer)的P2P邏輯拓?fù)溧従舆M(jìn)行傳播的蠕蟲(chóng),逃避諸如VirusThrottle之類方法的檢測(cè)。72P2P蠕蟲(chóng)的分類根據(jù)發(fā)現(xiàn)目標(biāo)與激活方式的不同P2P蠕蟲(chóng)可以分P2P網(wǎng)絡(luò)所有節(jié)點(diǎn)地位是平等的，既充當(dāng)服務(wù)器，為其它節(jié)點(diǎn)提供服務(wù)，同時(shí)也享用其它節(jié)點(diǎn)提供的服務(wù)。節(jié)點(diǎn)間直接共享和交互信息資源，不需要任何服務(wù)器或者中間介質(zhì)的轉(zhuǎn)發(fā)。特點(diǎn)：非中心化、可擴(kuò)展性、健壯性、高性/價(jià)比、隱私保護(hù)、負(fù)載均衡P2P網(wǎng)絡(luò)的分類（根據(jù)覆蓋網(wǎng)是否保持特定的拓?fù)浣Y(jié)構(gòu)）非結(jié)構(gòu)化P2P(Gnutella、Freenet、KazaA、Jxta、BitTorrent)采用洪泛和轉(zhuǎn)發(fā)TTL控制消息傳輸健壯性好，擴(kuò)展性差，資源的發(fā)現(xiàn)效率低。網(wǎng)絡(luò)拓?fù)涫侨我獾膬?nèi)容的存儲(chǔ)位置與網(wǎng)絡(luò)拓?fù)錈o(wú)關(guān)結(jié)構(gòu)化P2P(Chord、Pastry、CAN、Tapestry)分布式Hash表（DHT）較好的擴(kuò)展性、魯棒性、自組織能力、資源定位精確網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)是有規(guī)律的每個(gè)節(jié)點(diǎn)都隨機(jī)生成一個(gè)標(biāo)識(shí)(ID)內(nèi)容的存儲(chǔ)位置與網(wǎng)絡(luò)拓?fù)湎嚓P(guān)內(nèi)容的存儲(chǔ)位置與節(jié)點(diǎn)標(biāo)識(shí)之間存在著映射關(guān)系73P2P網(wǎng)絡(luò)所有節(jié)點(diǎn)地位是平等的，既充當(dāng)服務(wù)器，為其它節(jié)點(diǎn)提供誰(shuí)擁有abc.mp3?查詢Key=abc.mp3應(yīng)答Value=IP下載擁有abc.mp3的節(jié)點(diǎn)擁有abc.mp3的節(jié)點(diǎn)下載74誰(shuí)擁有abc.mp3?查詢應(yīng)答下載擁有abc.mp3的節(jié)點(diǎn)現(xiàn)有被動(dòng)蠕蟲(chóng)傳播模型的缺陷沒(méi)有考慮共享資源大小的影響,共享資源大小服從Pareto分布抗病毒軟件只能對(duì)感染主機(jī)提供臨時(shí)免疫功能；一定比例的節(jié)點(diǎn)由于被動(dòng)蠕蟲(chóng)的攻擊而死亡主要貢獻(xiàn)對(duì)P2P文件的傳播特點(diǎn)進(jìn)行了分析,得出共享文件的平均下載延時(shí)以倉(cāng)室模型為基礎(chǔ),建立了一個(gè)帶有死亡率,離線率和在線率的時(shí)滯SEIRS模型,得出了影響被動(dòng)蠕蟲(chóng)傳播的主要因素得出了無(wú)被動(dòng)蠕蟲(chóng)時(shí)的平衡點(diǎn)75現(xiàn)有被動(dòng)蠕蟲(chóng)傳播模型的缺陷75被動(dòng)蠕蟲(chóng)傳播模型模型假設(shè)網(wǎng)絡(luò)節(jié)點(diǎn)總數(shù)N(t)是一個(gè)變量,隨時(shí)間t的變化而變化,即有新的易感主機(jī)進(jìn)入系統(tǒng),也有一部分節(jié)點(diǎn)離開(kāi)系統(tǒng),在線率b和離線率都為常數(shù);采用流行病動(dòng)力學(xué)常用的倉(cāng)室建模思想,整個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)分為易感類S(Susceptible))、潛伏類E(Exposed,不具有感染能力)、感染類I(Infectious)和恢復(fù)類R(Recovered)4類;潛伏期是變量,跟所下載的文件大小有關(guān),一旦下載完立即執(zhí)行;免疫期是變量,跟用戶的抗病毒軟件的病毒庫(kù)有關(guān),為了簡(jiǎn)化分析,假定為常量;潛伏類、感染類、恢復(fù)類的等待時(shí)間呈指數(shù)分布;當(dāng)感染類節(jié)點(diǎn)進(jìn)入恢復(fù)類時(shí),以一定的概率p獲得臨時(shí)免疫;由于被動(dòng)蠕蟲(chóng)的攻擊,以概率(1-p)死亡.76被動(dòng)蠕蟲(chóng)傳播模型模型假設(shè)76被動(dòng)蠕蟲(chóng)傳播模型模型建立非結(jié)構(gòu)化P2P網(wǎng)絡(luò)的搜索機(jī)制洪泛(flood)方法:當(dāng)一個(gè)節(jié)點(diǎn)想要下載一個(gè)文件時(shí),首先向它所有的鄰居發(fā)送一個(gè)查詢請(qǐng)求.它的鄰居收到請(qǐng)求時(shí),先檢查自己的共享文件夾,如果有需要的文件就響應(yīng)這個(gè)請(qǐng)求;并檢查TTL,如果TTL>0,就繼續(xù)向下轉(zhuǎn)發(fā)查詢請(qǐng)求,否則就丟棄,查詢結(jié)束.

非結(jié)構(gòu)化P2P(如Gnutella)服從冪律分布用產(chǎn)生函數(shù)來(lái)量化收到查詢請(qǐng)求的鄰居節(jié)點(diǎn)的個(gè)數(shù)其中表示網(wǎng)絡(luò)中一個(gè)節(jié)點(diǎn)的度為k的概率,C和為常數(shù)

77被動(dòng)蠕蟲(chóng)傳播模型模型建立77在搜索過(guò)程中邊的選擇是隨機(jī)的,更傾向于連接節(jié)點(diǎn)度比較大的節(jié)點(diǎn),節(jié)點(diǎn)的概率分布與kpk成正比,規(guī)一化后的概率分布為上式除以x,搜索過(guò)程每一步所遇到的新節(jié)點(diǎn)個(gè)數(shù)為類似地,兩跳的節(jié)點(diǎn)數(shù)目的產(chǎn)生函數(shù)表示為m跳的節(jié)點(diǎn)數(shù)的分布可以用遞歸形式表示為把上式做微分計(jì)算并把x=1代入,得到一跳和兩跳的鄰居節(jié)點(diǎn)的平均數(shù),分別為和.類似,m跳的鄰居個(gè)數(shù)是78在搜索過(guò)程中邊的選擇是隨機(jī)的,更傾向于連接節(jié)點(diǎn)度比較大的節(jié)一個(gè)節(jié)點(diǎn)在TTL跳內(nèi)的鄰居數(shù)目為節(jié)點(diǎn)網(wǎng)絡(luò)帶寬受限,多個(gè)節(jié)點(diǎn)同時(shí)下載一個(gè)文件所需的時(shí)間同單一節(jié)點(diǎn)不同,下面研究所需的平均時(shí)間:假設(shè)初始網(wǎng)絡(luò)節(jié)點(diǎn)數(shù)為,只有一個(gè)節(jié)點(diǎn)共享某個(gè)特定的文件.文件大小為sbits,節(jié)點(diǎn)的平均帶寬為bwbps.定理1.對(duì)于節(jié)點(diǎn)數(shù)為N的網(wǎng)絡(luò),下載文件所需的平均延時(shí)至少為,其中=s/bw.

定理2.對(duì)于節(jié)點(diǎn)數(shù)為N的網(wǎng)絡(luò),下載大文件(m塊)所需的平均延時(shí)至少為,其中=s/bw.79一個(gè)節(jié)點(diǎn)在TTL跳內(nèi)的鄰居數(shù)目為79倉(cāng)室結(jié)構(gòu)示意圖

易感類S(t)、潛伏類E(t)、感染類I(t)和恢復(fù)類R(t)的轉(zhuǎn)化機(jī)制如下:80倉(cāng)室結(jié)構(gòu)示意圖易感類S(t)、潛伏類E(t)、感染類I(t根據(jù)流行病動(dòng)力學(xué)倉(cāng)室建模思想可得到如下SEIRS模型N(t)=S(t)+E(t)+I(t)+R(t)

為保證初時(shí)條件的連續(xù)性,假定(1)dN(t)/dt=(b-μ)N(t)-(b-(1-p)α)εI(t)

81根據(jù)流行病動(dòng)力學(xué)倉(cāng)室建模思想可得到如下SEIRS模型N(t無(wú)被動(dòng)蠕蟲(chóng)時(shí)的平衡點(diǎn)Y={(s(t),e(t),i(t),r(t))|s(t),e(t),i(t),r(t)≥0,且s(t)+e(t)+i(t)+r(t)=1}是式(2)的正向不變集.當(dāng)沒(méi)有被動(dòng)蠕蟲(chóng)時(shí)(即i=0),則由e=r=0,且s=1,這是區(qū)域Y內(nèi)唯一的平衡點(diǎn).根據(jù)文獻(xiàn)[12],可得內(nèi)部平衡點(diǎn)存在的條件是當(dāng)R0<1時(shí),平衡點(diǎn)是全局穩(wěn)定的,蠕蟲(chóng)逐漸消失;當(dāng)R0>1,蠕蟲(chóng)以指數(shù)方式傳播,但一般不會(huì)永遠(yuǎn)持續(xù).R0反映了感染節(jié)點(diǎn)在平均染病周期內(nèi)的平均連接數(shù).82無(wú)被動(dòng)蠕蟲(chóng)時(shí)的平衡點(diǎn)82仿真及其結(jié)果分析仿真模型初始網(wǎng)絡(luò):N0=300000個(gè)節(jié)點(diǎn)的無(wú)尺度網(wǎng)絡(luò),其冪律δ為3.4,I(0)=1.性能評(píng)估:被動(dòng)蠕蟲(chóng)攻擊性能定義如下:所需的時(shí)間t(X軸)和感染的節(jié)點(diǎn)數(shù)(Y軸).評(píng)估系統(tǒng):整個(gè)網(wǎng)絡(luò)定義為元組:<TTL,s,m,p,τ>,參數(shù)bw=132KBps,ε=0.01,b=0.04,μ=0.03,α=0.2,λ=0.001,γ1=0.005,γ2=0.001.評(píng)估方法:利用matlabsimulink軟件來(lái)獲得需要的性能數(shù)據(jù).83仿真及其結(jié)果分析仿真模型83傳播模型的性能結(jié)果跳數(shù)對(duì)模型的影響<*,4000KB,1,0.4,50>

文件大小對(duì)模型的影響<2,*,1,0.4,50>84傳播模型的性能結(jié)果跳數(shù)對(duì)模型的影響<*,4000KB,1,0文件分塊數(shù)對(duì)模型的影響<2,*,*,0.4,50>

在相同假設(shè)條件下,非結(jié)構(gòu)化P2P軟件的跳數(shù)越大,含有被動(dòng)蠕蟲(chóng)的共享文件越小,文件分塊數(shù)越大,被動(dòng)蠕蟲(chóng)的傳播速度越快.一般情況下,非結(jié)構(gòu)化對(duì)等網(wǎng)的設(shè)計(jì)者和用戶都希望獲得高速度、低延時(shí)的通信,而早期的設(shè)計(jì)沒(méi)有充分考慮安全性因素,所以在加快節(jié)點(diǎn)間傳送文件的同時(shí),被動(dòng)蠕蟲(chóng)的傳播速度也同時(shí)增快,為保證非結(jié)構(gòu)化網(wǎng)絡(luò)持續(xù)、健康、穩(wěn)定的發(fā)展,P2P軟件設(shè)計(jì)者需要在效率和安全兩方面折衷考慮.85文件分塊數(shù)對(duì)模型的影響<2,*,*,0.4,50>在相同假臨時(shí)免疫概率對(duì)模型的影響<2,4000KB,1,*,50>臨時(shí)免疫期對(duì)模型的影響<2,4000KB,1,0.4,*>>86臨時(shí)免疫概率對(duì)模型的影響<2,4000KB,1,*,50>結(jié)論被動(dòng)蠕蟲(chóng)的傳播主要由跳數(shù)(TTL)、共享文件的大小和分塊數(shù)(m)、臨時(shí)免疫期的長(zhǎng)短決定.在設(shè)計(jì)P2P軟件時(shí)應(yīng)合理設(shè)置TTL.用戶端盡量共享較大的文件,還要及時(shí)升級(jí)抗病毒軟件和病毒庫(kù).87結(jié)論87網(wǎng)絡(luò)蠕蟲(chóng)的防御策略檢測(cè)(防止蠕蟲(chóng)泛濫、造成重大損失的關(guān)鍵)主要檢測(cè)蠕蟲(chóng)使用何種策略，攻擊何種服務(wù)，攻擊哪類系統(tǒng)基于主機(jī)(軟件異常來(lái)檢測(cè))數(shù)據(jù)包疫苗機(jī)制漏洞檢測(cè)簽名檢測(cè)本機(jī)進(jìn)程的異常行為(相同的進(jìn)程產(chǎn)生相似的結(jié)果)基于特征碼(殺毒軟件)通過(guò)檢測(cè)蠕蟲(chóng)負(fù)載的相似度和頻度來(lái)提取蠕蟲(chóng)攻擊特征可以檢測(cè)一些未知蠕蟲(chóng)，但卻面臨多態(tài)蠕蟲(chóng)的挑戰(zhàn)缺點(diǎn)：主機(jī)數(shù)目巨大，不可能所有用戶都能采用，誤報(bào)率高；無(wú)法預(yù)測(cè)大規(guī)模的蠕蟲(chóng)爆發(fā)基于網(wǎng)絡(luò)(通過(guò)網(wǎng)絡(luò)流量分析)基于感染主機(jī)數(shù)(蠕蟲(chóng)傳播流量的快速增長(zhǎng)特征)基于閾值的檢測(cè)識(shí)別主機(jī)產(chǎn)生的異常掃描流量基于趨勢(shì)(掃描流量呈指數(shù)快速增長(zhǎng))卡爾曼濾波算法檢測(cè)異常的掃描流量來(lái)檢測(cè)蠕蟲(chóng)缺點(diǎn)：要求合作者共享信息。而在現(xiàn)實(shí)中，許多機(jī)構(gòu)出于種種原因不希望分享私密信息；有相當(dāng)數(shù)量的共享信息傳輸會(huì)占用網(wǎng)絡(luò)帶寬，如果要建立專用網(wǎng)絡(luò)，則需要一定的投資；盡管從全局的角度能夠?qū)崿F(xiàn)早期檢測(cè)，但這是以犧牲部分網(wǎng)絡(luò)為代價(jià)的。蜜罐缺點(diǎn)：事后諸葛，但只要發(fā)現(xiàn)及時(shí)，還是能大大減少蠕蟲(chóng)造成的損失88網(wǎng)絡(luò)蠕蟲(chóng)的防御策略檢測(cè)(防止蠕蟲(chóng)泛濫、造成重大損失的關(guān)鍵)防御策略被動(dòng)防御內(nèi)容過(guò)濾地址黑名單(基于已有知識(shí))主動(dòng)防御打補(bǔ)丁(補(bǔ)丁的合法性、補(bǔ)丁的快速分發(fā))疫苗動(dòng)態(tài)隔離良性蠕蟲(chóng)(合法性、釋放時(shí)機(jī)、釋放數(shù)量、停止策略)需要全方位的蠕蟲(chóng)防治策略89防御策略89將來(lái)的計(jì)劃(目前的研究熱點(diǎn))無(wú)尺度網(wǎng)絡(luò)的蠕蟲(chóng)傳播模型及防御無(wú)線網(wǎng)絡(luò)蠕蟲(chóng)的傳播模型及防御AdHoc網(wǎng)絡(luò)Mesh網(wǎng)絡(luò)MANET網(wǎng)絡(luò)（車載網(wǎng)）P2P網(wǎng)絡(luò)的傳播模型及防御非結(jié)構(gòu)化P2P結(jié)構(gòu)化P2P90將來(lái)的計(jì)劃(目前的研究熱點(diǎn))無(wú)尺度網(wǎng)絡(luò)的蠕蟲(chóng)傳播模型及防御9無(wú)尺度網(wǎng)絡(luò)91無(wú)尺度網(wǎng)絡(luò)91ER模型(p=0.2,n=20)ER模型的度分布(p=0.0015,n=10000)

隨機(jī)網(wǎng)絡(luò)92ER模型(p=0.2,n=20)ER隨著大量數(shù)據(jù)的產(chǎn)生和計(jì)算機(jī)的應(yīng)用，人們發(fā)現(xiàn)真實(shí)網(wǎng)絡(luò)與隨機(jī)網(wǎng)絡(luò)模型（ER）相差甚遠(yuǎn)。自然狀態(tài)下的萬(wàn)維網(wǎng)表現(xiàn)出一種特別的屬性：少數(shù)節(jié)點(diǎn)的連接數(shù)遠(yuǎn)高于平均的節(jié)點(diǎn)連接數(shù)。這類網(wǎng)絡(luò)被稱為“無(wú)尺度網(wǎng)絡(luò)”，屬于高度非均一性的網(wǎng)絡(luò)。它具有真實(shí)網(wǎng)絡(luò)中最常見(jiàn)的兩個(gè)特性：增長(zhǎng)（growth）和偏好連接（preferentialattachment）。第一個(gè)特點(diǎn)表明無(wú)尺度網(wǎng)絡(luò)可以不斷地?cái)U(kuò)張。第二個(gè)特點(diǎn)則意味著兩個(gè)節(jié)點(diǎn)連接能力的差異可以隨著網(wǎng)絡(luò)的擴(kuò)張而增大；最初連接較多的節(jié)點(diǎn)可以形成更多的連接，即“富者愈富”。無(wú)尺度網(wǎng)絡(luò)(BA模型)的構(gòu)造算法如下：取初始個(gè)頂點(diǎn)任意連接或完全連接。每一步在原網(wǎng)絡(luò)G(t-1)的基礎(chǔ)上加上一個(gè)新的頂點(diǎn)，同時(shí)加上從此頂點(diǎn)出發(fā)的m(m≤）條邊，形成新的網(wǎng)絡(luò)G(t)。其中新加邊的另一個(gè)端點(diǎn)按照正比于頂點(diǎn)度數(shù)的分布隨機(jī)選取。重復(fù)以上新加點(diǎn)的過(guò)程足夠多步所形成的網(wǎng)絡(luò)的各頂點(diǎn)的度滿足冪率分布93隨著大量數(shù)據(jù)的產(chǎn)生和計(jì)算機(jī)的應(yīng)用，人們發(fā)現(xiàn)真實(shí)網(wǎng)絡(luò)與隨機(jī)網(wǎng)絡(luò)無(wú)尺度網(wǎng)絡(luò)(m=m0=2,n=50)偏好依附模型生成網(wǎng)絡(luò)的度分布(m=m0=5,n=20000,γ=2.97686097)94無(wú)尺度網(wǎng)絡(luò)(m=m0=2,n=50)無(wú)尺度網(wǎng)絡(luò)的特性：節(jié)點(diǎn)的度呈冪率分布、集散節(jié)點(diǎn)出現(xiàn)、穩(wěn)健性、脆弱性。它存在擁有大量連結(jié)的集散節(jié)點(diǎn)。在這種結(jié)構(gòu)的網(wǎng)絡(luò)中，節(jié)點(diǎn)與節(jié)點(diǎn)之間的連結(jié)呈冪律分布，其中大部分的節(jié)點(diǎn)只有少數(shù)連結(jié)，而少數(shù)節(jié)點(diǎn)則擁有大量連結(jié)；無(wú)尺度網(wǎng)絡(luò)在遭受意外故障的強(qiáng)韌性能要優(yōu)于隨機(jī)網(wǎng)絡(luò)，絕大部分節(jié)點(diǎn)仍保持連通性；無(wú)尺度網(wǎng)絡(luò)在遭受蓄意攻擊（攻擊集散節(jié)點(diǎn)）的強(qiáng)韌性卻非常低，網(wǎng)絡(luò)基本癱瘓。

95無(wú)尺度網(wǎng)絡(luò)的特性：節(jié)點(diǎn)的度呈冪率分布、集散節(jié)點(diǎn)出現(xiàn)、穩(wěn)健性、初始無(wú)尺度網(wǎng)絡(luò)遭受意外攻擊后無(wú)尺度網(wǎng)絡(luò)遭受蓄意攻擊后的無(wú)尺度網(wǎng)絡(luò)

96初始無(wú)尺度網(wǎng)絡(luò)遭受意外攻擊后Email服務(wù)逐漸成為網(wǎng)絡(luò)應(yīng)用服務(wù)的一個(gè)重要組成部分,E-mail系統(tǒng)中不同的郵件地址構(gòu)成了一個(gè)應(yīng)用層邏輯網(wǎng)絡(luò),為Email蠕蟲(chóng)提供了一個(gè)有效的傳播平臺(tái),如Melissa蠕蟲(chóng)、LoveBug蠕蟲(chóng)以及“Sircam”蠕蟲(chóng)等.即時(shí)通信(Instantmessaging)系統(tǒng)應(yīng)用得到了迅猛發(fā)展,用戶數(shù)量日益龐大,通信量不斷增加,這為IM蠕蟲(chóng)產(chǎn)生和發(fā)展提供了良好的外部條件.根據(jù)有關(guān)部門統(tǒng)計(jì),關(guān)于IM的安全事件不斷增加,特別是2005年后IM蠕蟲(chóng)開(kāi)始出現(xiàn)快速增長(zhǎng)趨勢(shì),極有可能成為下一代網(wǎng)絡(luò)安全威脅的一種主要形式.97Email服務(wù)逐漸成為網(wǎng)絡(luò)應(yīng)用服務(wù)的一個(gè)重要組成部分,E-m西班牙物理學(xué)家Pastor-Satorras利用一個(gè)研究病毒感染的標(biāo)準(zhǔn)數(shù)學(xué)模式來(lái)仿真病毒的傳播，結(jié)果顯示受病毒感染的個(gè)體數(shù)目要超過(guò)一個(gè)最低閾值，否則病毒會(huì)自然的消失；然而將此模式應(yīng)用于無(wú)尺度網(wǎng)絡(luò)，蠕蟲(chóng)的傳播閾值明顯比在隨機(jī)網(wǎng)絡(luò)中小的多。他們不斷地減小傳染強(qiáng)度，然而蠕蟲(chóng)感染的主機(jī)數(shù)總大于零。這就意味著在無(wú)尺度網(wǎng)絡(luò)上，要么沒(méi)有正的傳播閾值，要么傳播閾值非常接近零。在同樣的傳染強(qiáng)度下，蠕蟲(chóng)在無(wú)尺度網(wǎng)絡(luò)中感染的主機(jī)數(shù)明顯大于其在隨機(jī)網(wǎng)絡(luò)中的數(shù)目。Pastor-Satorras等利用平均場(chǎng)的方法求得了SIS傳播模型

其中表示度為k的感染節(jié)點(diǎn)的相對(duì)密度，表示連接到感染節(jié)點(diǎn)的特定鏈路的概率SIS傳播模型的閾值為

98西班牙物理學(xué)家Pastor-Satorras利用一個(gè)研究病毒無(wú)線網(wǎng)絡(luò)蠕蟲(chóng)的傳播模型隨著無(wú)線網(wǎng)絡(luò)的普及，電腦用戶實(shí)現(xiàn)了隨時(shí)在家上網(wǎng)沖浪的夢(mèng)想；但與此同時(shí)，由于無(wú)線網(wǎng)絡(luò)的暴露性，極易給黑客留下可乘之機(jī)?！缎驴茖W(xué)家》雜志稱，“Wi-Fi網(wǎng)絡(luò)的蓬勃發(fā)展使家庭用戶所面臨的安全威脅遭遇達(dá)到了空前狀況。”2004年6月爆發(fā)的Cabir蠕蟲(chóng)是針對(duì)無(wú)線網(wǎng)絡(luò)的第一個(gè)蠕蟲(chóng)，它經(jīng)由藍(lán)牙傳播，需要用戶打開(kāi)一個(gè)”.sys”的附件才能傳播，能迅速消耗掉無(wú)線手持設(shè)備的電量，致使無(wú)法正常工作。無(wú)線網(wǎng)絡(luò)環(huán)境下蠕蟲(chóng)造成的損失應(yīng)該比有線網(wǎng)絡(luò)更嚴(yán)重：首先因?yàn)槿绻粋€(gè)移動(dòng)設(shè)備在一個(gè)地方感染了蠕蟲(chóng)，然后直接帶到一個(gè)另一個(gè)地方，從而躲過(guò)了防火墻等設(shè)備的檢查，進(jìn)而就能很快感染整個(gè)網(wǎng)絡(luò)。其次無(wú)線廠商試圖為用戶提供一個(gè)更加智能、透明的環(huán)境，并不需要用戶具備專業(yè)知識(shí)；現(xiàn)在PDAs，智能手機(jī)越來(lái)越普遍，能下載和運(yùn)行Java程序，這也為蠕蟲(chóng)編寫(xiě)者打開(kāi)了方便之門。

99無(wú)線網(wǎng)絡(luò)蠕蟲(chóng)的傳播模型隨著無(wú)線網(wǎng)絡(luò)的普及，電腦用戶實(shí)現(xiàn)了隨時(shí)S.Tanachaiwiwat等對(duì)有線網(wǎng)絡(luò)和無(wú)線網(wǎng)絡(luò)的蠕蟲(chóng)大戰(zhàn)進(jìn)行了研究，并建立了幾個(gè)蠕蟲(chóng)相互作用的模型（間接交互作用模型、單邊交互作用模型、雙邊交互作用模型，研究表明蠕蟲(chóng)間的相互作用對(duì)蠕蟲(chóng)的傳播起著至關(guān)重要的作用，要想用良性蠕蟲(chóng)抑制蠕蟲(chóng)的傳播，良性蠕蟲(chóng)的掃描率一定要高于蠕蟲(chóng)的掃描率；并提出了一個(gè)新的網(wǎng)絡(luò)安全框架VACCINE。通過(guò)試驗(yàn)發(fā)現(xiàn)，在蠕蟲(chóng)間的相互作用過(guò)程中，蠕蟲(chóng)的掃描率比起著重要的作用，而初始感染主機(jī)率比發(fā)揮的作用不大。EverettA等用大規(guī)模無(wú)線網(wǎng)絡(luò)上的真實(shí)數(shù)據(jù)分析了蠕蟲(chóng)的傳播速度，并分析了幾種防御蠕蟲(chóng)的方案：US,IUS，從仿真結(jié)果看，Active的效果最好。如果易感主機(jī)的防御率低于25%，蠕蟲(chóng)仍可以達(dá)到高感染率。

100S.Tanachaiwiwat等對(duì)有線網(wǎng)絡(luò)和無(wú)線網(wǎng)絡(luò)的蠕蟲(chóng)Thankyou！101Thankyou！101網(wǎng)絡(luò)蠕蟲(chóng)的傳播模型及其防御策略

王方偉

102網(wǎng)絡(luò)蠕蟲(chóng)的傳播模型及其防御策略網(wǎng)絡(luò)蠕蟲(chóng)的傳播過(guò)程發(fā)現(xiàn)新目標(biāo)掃描IP地址Email地址、文件系統(tǒng)的傳輸感染目標(biāo)主機(jī)主要利用系統(tǒng)漏洞新感染的主機(jī)加入感染大軍103網(wǎng)絡(luò)蠕蟲(chóng)的傳播過(guò)程發(fā)現(xiàn)新目標(biāo)感染目標(biāo)主機(jī)新感染的主機(jī)加入感染研究網(wǎng)絡(luò)蠕蟲(chóng)的動(dòng)機(jī)CodeRed(Jul.2001):14小時(shí)內(nèi)感染近36萬(wàn)臺(tái)主機(jī)，損失：26億Slammer(Jan.2003):10分鐘內(nèi)感染75,000臺(tái)主機(jī)，損失：5分鐘內(nèi)就導(dǎo)致了9.5億-12億美元的損失Blaster(Aug.2003)

:感染15萬(wàn)-8百萬(wàn)主機(jī)，DDoSattack(關(guān)閉Windows更新)，損失：20-100億Witty(Mar.2004):利用ISS漏洞，30分鐘感染12000臺(tái)主機(jī)Sasser(May2004)

:2天內(nèi)感染50萬(wàn)臺(tái)主機(jī)，損失：數(shù)千萬(wàn)美元網(wǎng)絡(luò)蠕蟲(chóng)的傳播速度遠(yuǎn)遠(yuǎn)超過(guò)人的響應(yīng)速度！

104研究網(wǎng)絡(luò)蠕蟲(chóng)的動(dòng)機(jī)CodeRed(Jul.2001)研究蠕蟲(chóng)的科學(xué)意義網(wǎng)絡(luò)蠕蟲(chóng)的危害傳播速度快影響面廣造成損失大對(duì)計(jì)算機(jī)系統(tǒng)安全和網(wǎng)絡(luò)安全的威脅日益增加新一代網(wǎng)絡(luò)蠕蟲(chóng)的主要特點(diǎn)和危害造成骨干網(wǎng)大面積阻塞甚至癱瘓，致使網(wǎng)絡(luò)服務(wù)中斷造成主機(jī)開(kāi)放，導(dǎo)致嚴(yán)重的信息安全威脅計(jì)算機(jī)系統(tǒng)性能下降，甚至癱瘓發(fā)動(dòng)拒絕服務(wù)攻擊攻擊者回收和集中控制感染節(jié)點(diǎn)105研究蠕蟲(chóng)的科學(xué)意義網(wǎng)絡(luò)蠕蟲(chóng)的危害4如何防御網(wǎng)絡(luò)蠕蟲(chóng)攻擊迫切需要自動(dòng)響應(yīng)機(jī)制

首先，需要理解蠕蟲(chóng)的行為特征為蠕蟲(chóng)的檢測(cè)和防御做準(zhǔn)備然后,未知蠕蟲(chóng)的早期檢測(cè)基于蠕蟲(chóng)模型的檢測(cè)基于閾值基于趨勢(shì)最后,建立自動(dòng)防御系統(tǒng)動(dòng)態(tài)隔離自適應(yīng)防御106如何防御網(wǎng)絡(luò)蠕蟲(chóng)攻擊迫切需要自動(dòng)響應(yīng)機(jī)制5目錄網(wǎng)絡(luò)蠕蟲(chóng)的定義及當(dāng)前的安全狀況網(wǎng)絡(luò)蠕蟲(chóng)的傳播模型分類網(wǎng)絡(luò)蠕蟲(chóng)的掃描策略我們目前的工作網(wǎng)絡(luò)蠕蟲(chóng)的防御策略將來(lái)的計(jì)劃(目前的研究熱點(diǎn))107目錄網(wǎng)絡(luò)蠕蟲(chóng)的定義及當(dāng)前的安全狀況6網(wǎng)絡(luò)蠕蟲(chóng)的定義什么是網(wǎng)絡(luò)蠕蟲(chóng)?1982年，JohnF.Shoch等最早引入計(jì)算機(jī)領(lǐng)域。兩個(gè)最基本特征：可以從一臺(tái)計(jì)算機(jī)移動(dòng)到另一臺(tái)計(jì)算機(jī)和可以自我復(fù)制。1988年Morris蠕蟲(chóng)爆發(fā)后，EugeneH.Spafford給出了蠕蟲(chóng)的技術(shù)角度的定義，“計(jì)算機(jī)蠕蟲(chóng)可以獨(dú)立運(yùn)行，并能把自身的一個(gè)包含所有功能的版本傳播到另外的計(jì)算機(jī)上?！?/p>

鄭輝：Internet蠕蟲(chóng)是無(wú)須計(jì)算機(jī)使用者干預(yù)即可運(yùn)行的獨(dú)立程序，它通過(guò)不停的獲得網(wǎng)絡(luò)中存在漏洞的計(jì)算機(jī)上的部分或全部控制權(quán)來(lái)進(jìn)行傳播。文衛(wèi)平：“網(wǎng)絡(luò)蠕蟲(chóng)是一種智能化、自動(dòng)化，綜合網(wǎng)絡(luò)攻擊、密碼學(xué)和計(jì)算機(jī)病毒技術(shù)，不需要計(jì)算機(jī)使用者干預(yù)即可運(yùn)行的攻擊程序或代碼。它會(huì)掃描和攻擊網(wǎng)絡(luò)上存在系統(tǒng)漏洞的節(jié)點(diǎn)主機(jī)，通過(guò)局域網(wǎng)或者國(guó)際互聯(lián)網(wǎng)從一個(gè)節(jié)點(diǎn)傳播到另外一個(gè)節(jié)點(diǎn)。

DMKienzle：網(wǎng)絡(luò)蠕蟲(chóng)是通過(guò)網(wǎng)絡(luò)傳播的惡意代碼，它需要人為干預(yù)或者不需要人為干預(yù)?；咎卣鳎壕W(wǎng)絡(luò)傳播，自我復(fù)制108網(wǎng)絡(luò)蠕蟲(chóng)的定義什么是網(wǎng)絡(luò)蠕蟲(chóng)?基本特征：網(wǎng)絡(luò)傳播，自我復(fù)制7什么不是網(wǎng)絡(luò)蠕蟲(chóng)?病毒–隱藏在計(jì)算機(jī)系統(tǒng)信息資源中，利用系統(tǒng)信息資源進(jìn)行繁殖并生存，影響計(jì)算機(jī)系統(tǒng)征程運(yùn)行，通過(guò)信息共享的途徑傳播的、可執(zhí)行的程序。

不能獨(dú)立運(yùn)行，需要用戶來(lái)激活。

木馬–是一種基于遠(yuǎn)程控制的攻擊工具，能夠未經(jīng)授權(quán)收集、篡改或破壞信息。其特點(diǎn)是隱蔽性和非授權(quán)性。設(shè)計(jì)者為了防止木馬被發(fā)現(xiàn)，采用多種手段來(lái)隱藏木馬；即使被發(fā)現(xiàn)，也不能缺定具體位置。一旦控制端連上服務(wù)器端，控制端將擁有服務(wù)器的大部分權(quán)限。109什么不是網(wǎng)絡(luò)蠕蟲(chóng)?8病毒、網(wǎng)絡(luò)蠕蟲(chóng)和木馬的區(qū)別

病毒網(wǎng)絡(luò)蠕蟲(chóng)木馬存在形式

寄生，不以文件形式存在獨(dú)立個(gè)體，以文件形式存在寄生或獨(dú)立，偽裝成其它文件傳播方式依賴宿主文件或介質(zhì)，插入其它程序自主傳播，利用系統(tǒng)存在的漏洞依靠用戶主動(dòng)傳播，誘騙手段攻擊目標(biāo)本地文件網(wǎng)絡(luò)上的