基于非均匀扫描的蠕虫传播策略研究.pdfVIP

m叫EZ显现理 29 doi: 10.3969/j.issn.1671-1122.2009.10.010 基于非均匀扫描的 蠕虫传播策略研究 Nimda 三种隔虫的传播过程，并建立了蠕虫 的传播模型…~随机常最扩散模型。此模型假 设含有蠕虫可利用漏洞的机器数最是叫个常最 N(不考虑在传播过程中打补丁，停止服务等防 怡措施，也不考虑网络上机器晚上关机等罔素)， K为一台已感染的机器在单位时间内发出扫描 的数巅，在随机常播扩散模型中K是一个常撮， 廖长贵，吴泉源，贯焰，部黎明 T是蠕虫释放到网路上的时间，。是感染率，即 (阁防科大计算学院，湖南长沙 410073 ) 摘 蔓:城虫在因特网上的传播速度对网络安全有着严重的影响。对， 蠕!k传播方式的深入研究有利于找到足有效的手段防卫蠕虫的快速传播。 本文主要倒绕蠕虫的传格方式进行研究，提出了…种蒸气「商特网应用非均 巳感染蠕虫的机器占全部脆弱主机的比例， t 是 某一时刻，可以得到j以下方耀: Nda = (Na)K(l币的dt........….........( 1) 进一步转化可得z 匀分布的蠕虫扫描策略。对于该蠕*扫描策略，在模拟f~旨 NS2 上实现了 蠕虫模型的模拟。给采表明，非均匀扫榻的蠕业传播速度比起随机均匀扫 描的蠕!k]!辛苦加快。 3mhh)ω 解微分方程，辄得方程的平衡解: 051商 关键询:因特阿;网络安全;蠕虫扫描策略 中回法分提号: TP3ω 文献标识码:A 1998 年 12 月 2 日， Morris 蠕虫被释放到国特附上并在妞时 间内感染了大量的 Unix 系统 [1[，此事件让人们意识到具有自找 复制能力且通过网锚传播的蠕虫将会是国特网最大威胁之→- 2001 年 7月 19 日，红色代码 1 在 24 小时内感染了3ω，ω0 台 安装了微软 IIS 服务的机器。 2003 年 1 月 25 日， Slammer 蠕 虫通过一个只包括 376 字节的 UDP 数据包在 10 分钟内感换了 整个剧特闷佣%以上含有相关漏洞的主机。麟虫爆发时产生的 巨大流露将严重影响正常网络流量，严重时路由器将会被迫关 闭或重扁，同时蜗血可以携带不同的负载以达到攻击的H地，如: DDoS 政击，发送垃极邮件，收集隐私敬据等。蠕虫的破坏力 很大程lr由其传播陆围来决定。扩大蠕虫的传播施围主要是针 对脯虫防御措施来进行，可J;J.在两个方回来股行。一种方式是 快速传播，另一种是隐蔽传播。前一种蠕虫如 Slammer，它 在几分钟内就搅及鹦个国特间，等网络安全设施做出反应时， 整个网络已经是一片娘藉。后一种蠕虫如即时j肖息蜗虫、 P2P 蠕虫，它们的流量隐藏在正常的通倍中，很难被传统的基于流 量生扫描的防御措施峨测到，制此传播范闹也很广泛。不过它们 的传播根据被感染主机内的信息构建迦辅传播网锚，如 Morris 蠕虫就是根据 /etc/hosts下主机信息来进行传播的，因此它们也 被称为拓扑相关蠕虫。本文主要针对前一种蠕虫，即非均匀的 脆瑞主机分布如何影响蠕虫的快速传播。 1 蠕虫传播模型研究 S. Staniford 等人 [2) 分析丁虹色代码 γ、红色代码 2、 K (I-T) α= --町、..................... (3) 1 + e κ (I-J ) 分析式(3)，可得感染率 a 在开始阶段是以指数的速度 增加，到了后期加速度碱小为 1. 随机常最扩散模型可以很 好地解释了蠕虫的传播过程。在此模型的基础上，他们提出 了加快蠕虫传播的几种技术，如 t 使用预先收集的目标列者 来加快蠕虫的早期传插过稿:为了使蠕虫避免重复扪捕某一 个已经感染过的机器，使用置换扫描策略可以使蠕虫具有协 作能力，从而提高扫描效率 1 使用究生的目标列表吁以构撞出 iFlashWorm飞诙蠕虫在理论上是传播最快的，可以在 510ms 感到击一百万台脆弱主机中的 95%阴。 由于计算机蠕虫在自我复制与传播行为上与生物病毒是 相似的，所以描述生物病毒传播的数学方法也适用于计算机 蠕虫的传播研究，邹长春等 [7) 以间构系统的简单传染病模型 来研究蠕虫的传播过程，井通过数学模型得到影响麟虫传播 .ì!度的一些关键剧素，如:对于理想蠕虫和 F凹las由hWο例rm 蜡E虫k代码的传输时间和激?活活时间是使用i这左些策略的蠕虫娃否 可以在敬秒内感染大部分脆弱主机的关键网著索号:对于随机扫 描策略，峨小扫描地址帘间对于提商扫描妓率至关重要。利 用间构系统的简单传染病模型，作者分析了当前的蜗虫扫描 策略的性能，并得到以下结论z 1)当脆弱的主机非均匀分布时，本地优先的扫描策略可 以加速蠕虫的传播; 2) 当脆蝇的主机是均匀分布时，分泊扫描、 顺序扫描和均匀扫描有相间的传播