基于免疫和隔离策略的网络蠕虫传播建模与分析.pptVIP

北京邮电大学信息网络中心 北京邮电大学信息网络中心 基于免疫和隔离策略的 网络蠕虫传播建模与分析 林昭文 博士 linzw@buptnet.edu.cn * 研究背景 免疫和隔离策略分析 基于免疫和隔离策略的蠕虫传播模型 仿真实验 结论 问题与建议 汇报大纲 * 1.研究背景 1988年，出现了第一个计算机蠕虫病毒。 2001年的CodeRed蠕虫病毒显示出其超强的传播和破坏能力；2003年的Slammer蠕虫具有更快的传播速度； 2008年底，Conficker病毒爆发，提醒人们需要提前对蠕虫的防范工作做好准备。 * 1.研究背景 目前利用传染病领域[1]的传染病模型SEM(Simple epidemic model)模型[2?3]和KM(Kermack-Mckendrick)模型[3]可以很好地预测蠕虫传播的变化趋势。 Zou等提出了经典的Two-Facotr传播模型[4]，此模型考虑了人为因素和网络拥塞对蠕虫传播造成的影响。 Chen等提出了AAWP模型[5]，此模型利用概率和离散方法进行建模。 WAW模型[8?11]，也就是蠕虫对抗蠕虫模型。其思想是利用一个良性蠕虫来对抗恶性蠕虫。不同的蠕虫传播模型从不同的角度仿真了蠕虫的传播行为[11]。 利用这些传播模型，研究相关的蠕虫防御对抗策略，对现实网络环境中病毒的防御有很好的指导意义。 * 1.研究背景 本文借鉴传染病领域[9]经典的防御手段免疫和隔离，对蠕虫的传播进行建模。通过稳定性理论对模型进行稳定性分析[6, 10]，从而得到免疫和隔离对蠕虫传播的影响。最后通过仿真，验证理论的正确性。 免疫和隔离策略分析 基于免疫和隔离策略的蠕虫传播模型 模型分析与比较 仿真实验 结论 * 研究背景 免疫和隔离策略分析 基于免疫和隔离策略的蠕虫传播模型 仿真实验 结论 问题与建议 汇报大纲 状态常量： S为主机的易感染状态； I为主机的已感染状态； V为主机的免疫状态； Q为主机的隔离状态； R为主机的移出状态。 免疫策略 传染病领域的免疫策略是指人体对侵入体内的各种病原微生物和它们所产生的毒素，具有一定的抵抗作用。蠕虫的免疫策略是指在蠕虫爆发之前，一部分主机可以提前打好补丁，进入免疫状态。具有免疫的主机，永远不会再被此类蠕虫病毒感染。已感染主机通过处理也可进入免疫状态。状态转换如下： (1) 在蠕虫传播开始后，一部分主机在被感染之前打上补丁。也就是由S状态直接进入V状态。 (2) 一些主机被感染之后，进行杀毒，然后打上补丁。由S状态进入I状态，然后进入V状态。 (3) 具有免疫的主机，永远不会再被此类蠕虫病毒感染，永远停留在V状态。 * 2. 免疫和隔离策略分析 隔离策略 传染病领域的隔离策略是指隔离患病的人群。蠕虫的隔离策略是指断开已感染蠕虫病毒的主机在网络中的连接，进行隔离。 (1) 主机在被感染后，随即进入隔离状态Q。 (2) 对进入隔离状态Q的主机进行杀毒，或进入状态S，或进入状态R； (3) 杀毒之后，一部分打上补丁，进入移出状态R。一部分由于用户的心理和操作系统等原因，没有打补丁，而再次进入易感染状态S。 * 2. 免疫和隔离策略分析 * 研究背景 免疫和隔离策略分析 基于免疫和隔离策略的蠕虫传播模型 仿真实验 结论 问题与建议 汇报大纲 传播变量的定义： N为系统内的主机总数； S(t)为易感染主机个数； I(t)为已感染主机个数； R(t)为移出主机个数； V(t)为免疫主机个数； Q(t)为隔离主机个数； β为蠕虫传播率； γ为状态Q到状态R的移出率； p为状态S到状态V的免疫率； δ为隔离率； ε为状态Q到状态S的速率； τ为状态I到状态V的免疫率。 * 3. 蠕虫传播模型 SIV模型 SIV模型状态变迁图下图所示。状态S和I的主机均以一定的速率进行免疫，到达状态V。蠕虫的传播感染表现为由状态S到状态I。 通过对状态图进行分析，可以得到在免疫策略下蠕虫传播的模型： 结论：SIV的蠕虫传播模型不存在传播阀值，蠕虫一旦开始传播，就会感染大量主机，直至所有易感染主机全部被感染，最后进入免疫状态。 * 3. 蠕虫传播模型 SIRQ模型 SIRQ模型状态变迁图如下图所示。状态I的主机随即进入Q状态，也就是隔离状态。Q状态的主机一部分由于杀毒打补丁进入了R状态，而另一部分又重新进入了S状态。 通过对状态图进行分析，可以得到在免疫策略下蠕虫传播的模型。 结论2：SIRQ模型的传播会在一定的条件下达到一个平衡点。超出这个条件的传播认为是不合实际的。 结论3：SIRQ模型的非归零性说明在隔离措施快速有效地实施下，能够使相当部分的易感染主机不受蠕虫传播的任何影响。 结论4：免疫策略在蠕虫发生之前对主机进行部署，难点在于很难保证免疫的完整性。而且免