基于选择性随机扫描的蠕虫传播模型.pdfVIP

收稿日期： 2005 10 13 基金项目：辽宁省科学技术基金资助项目（ 002010 ）；沈阳市科学技术基金资助项目· 作者简介：张祥德（ 1963 ），男，山东昌乐人，东北大学教授，博士· 第 27 卷第 11 期 2006 年 11 月 东 北 大 学 学 报 （ 自 然 科 学 版 ） Journal of Nort heastern Universit y （ Natural Science ） Vol. 27 ， No .11 !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! Nov . 2 0 0 6 文章编号： 1005 3026 （ 2006 ） 11 1200 04 基于选择性随机扫描的蠕虫传播模型 张祥德，丁春燕，朱和贵 （东北大学 理学院，辽宁 沈阳 110004 ） 摘 要：分析了蠕虫病毒在一个封闭的计算机群中传播的过程，提出了一个离散的蠕虫传播 模型，并且把该模型和 Code Red v2 蠕虫的真实传播数据进行了比较，通过比较发现该模型较好地 反映了随机扫描蠕虫的传播规律·进一步把该模型做了推广，考虑选择性随机扫描（Selective randomscan ）蠕虫的传播规律，通过推广后的模型可以发现，在一个封闭的计算机群中，各个小网 络中的易感主机数变化越大，蠕虫传播的速度越快· 关 键 词：蠕虫；传播模型；选择性随机扫描；封闭的计算机群；网络安全 中图分类号： TP 309. 5 文献标识码： A 蠕虫是一种自我包含，自我繁殖而不需要宿 主程序的一种恶意程序·自从1988 年第一个蠕虫 （ Morris Wor m ）出现以来［1］，它就一直严重危害 着互联网的安全·2001 年 爆 发 的 Code Red 和 Ni mda 两种蠕虫病毒更是感染了成千上万的计算 机［2］·2003 年爆发的S@L Slammer 蠕虫在短短 的 10 mi n 之内就感染了超过 90 的易感主机 （ Vulnerable Com p uters ）［3］·从1991 年到1993 年， Ke p hart J O 和 White S R 等人对计算机病毒的传 播过程进行了大量的研究［4!6］；在传染病模型的 基础上给出了第一个计算机病毒传播的数学模 型［5］·Stanif ord，Paxson 和 Weaver 根据Code Red 蠕虫爆发时的数据得到了一个随机扫描蠕虫的传 播 模 型（ RCS ）［7］·Giuseppe Serazzi 和 Stef ano Zanero 从病毒在传播过程中会对网络造成堵塞的 角度，给出了一个病毒传播模型（ Com p art ment Based Model ）［8］·Zou 等 人 提 出 的 双 因 素 模 型 （ TWo- factor Model ）考 虑 了 更 多 的 外 界 影 响 因 素［9，10］·文伟平等人考虑了网络中存在对抗蠕虫 的 情 况，给 出 了 一 个 Wor m- Anti- Wor m 模 型 （ WAW ）［11］· 在文献［ 12 ］中， Chen 等人给出了一个离散的 基于随机扫描的蠕虫传播模型，在模型中考虑了 蠕虫感染机器所需要的时间·但 是 在 模 型 中， Chen 等人假设“易感主机和已感主机的免疫率是 相同的”却与现实情况不相符·本文在修正上述缺 点的基础上给出了一个新的模型，通过比较发现 新模型和 CAI DA 得到的 Code Red v2 传播过程 的真实数据吻合得较好· 1 随机扫描蠕虫的离散传播模型 在模型中假设一台已感主机能同时扫描不同 的主机并且同一台主机不能被多次重复的感染· 假设在病毒开始传播时，整个网络上的易感主机 的数量已经确定了，并且假设完成 1 次感染需要 1 个单位的时间·在模型中主要用到以下几个参 数： N 网络中易感主机的数量； h 蠕虫开始传播时，已感主机的数量； s 在单位时间内，一台已感主机产生的扫 描数； d 一台已感主机，能被检测出已感染并且 除去该主机的病毒，又重新回到易感态的概率，简 称为“死亡率”； p 1 一台已感主机，能被检测出被感染且 已经使得该主机处于免疫态的概率，简称为已感 主机的“免疫率”； p 2 一台易感主机没有被感染就直接到免 疫态的概率，简称为易感主机的“免疫率”· IP 地址是由 4 个字节 32 位组成的，则总共有 2 32个 IP 地址·这样在随机产生IP 的过程中，一台 主机被一次扫描击中的概率是 1 2 32 ·用m i 和 n i 表 示在第 i 个单位时间的易感主机数和已感主机数， 那么蠕虫在开始传播时 m 0 n h ， n 0 h·但是 一般的 n 远远大于 h