基于僵尸蜜网蠕虫传播模型研究与仿真.docVIP

基于僵尸蜜网蠕虫传播模型研究与仿真 　　摘要：网络蠕虫攻击在各种网络安全威胁因素中位居首位，虽然现今已有一些成熟的入侵检测技术，但不足以应对复杂多变的蠕虫攻击。针对网络中蠕虫存在相互合作的复杂关系，该文提出了在僵尸蜜网的拓扑结构下，采用P2P技术的良性蠕虫对抗合作型蠕虫传播模型，良性蠕虫利用分片传输机制来实现自主、快速的查杀恶意蠕虫，为易感染主机修补漏洞。实验结果证明基于僵尸蜜网的良性蠕虫查杀合作型蠕虫的方法效果良好。 　　关键词:入侵检测；僵尸蜜网；P2P技术；蠕虫传播模型；合作型蠕虫 　　中图分类号：TP393文献标识码：A文章编号：1009-3044(2012)03-0586-04 　　Research and Simulation of Worm Propagation Model Based on Bot-Honeynet 　　LI Xue, ZHU Cheng-rong 　　(Tongji University, Shanghai 201804, China) 　　Abstract: Network security meets more problems especially the threat of Internet worms. Although there are already some mature intru? sion detection technologies, it does not always work well on new Internet worm attacks. A potential anti-cooperative worm propagation approach based on Bot-honeynet topological structure and pure P2P principle is proposed in this paper. Anti-worms can achieve quick self-propagation performance by using fragmentation. They kill malicious worms and simultaneously patches for susceptible hosts. From these experiments, it can prove that bot -honeynet based anti-cooperative worm performs better in controlling malicious worm propaga? tion. 　　Key words：intrusion detection technologies; bot-honeynet; P2P technology; worm propagation model; cooperative worm 　　随着计算机和互联网技术的不断发展，网络面临的安全问题也日益突出，恶意软件造成的经济损失占有最大的比例，主要包括计算机病毒、蠕虫、木马程序、后门程序、逻辑炸弹等。蠕虫是目前危害最大的恶意软件，几乎每次蠕虫发作都会造成巨大经济损失。虽然现今已有一些成熟的入侵检测技术，但是不足以应对复杂多变的蠕虫攻击。网络中存在着各种各样的蠕虫，并且有着复杂的交互关系，如合作关系、竞争关系，甚至还有及合作又竞争的关系，给网络安全带来了更多的不确定威胁[1]。而蜜网技术可以实现对未知蠕虫的检测和对系统主机的保护，进而更好的保护网络系统。对于主动探测蠕虫传播研究，经典的流行病模型及扩展的SIR模型、Two-Factor模型[2]等都能某种程度上描述蠕虫的传播规律，对蠕虫的传播预测与控制起到很好的作用，但其假设较为苛刻，与实际情况仍有出入，尤其与被僵尸程序感染的蜜网拓扑结构中的蠕虫传播模型差别较大。为了有效的对抗蠕虫传播，网络信息安全领域研究出多种方法，利用良性蠕虫对抗恶意蠕虫的思想被提出，该方法可以在一定程度上有效的去除恶意蠕虫在网络中的传播。 　　该文提出一种基于僵尸蜜网的拓扑结构采用P2P技术的良性蠕虫来查杀恶意合作型蠕虫的方法，并建立了传播模型，对传播模型进行仿真分析，验证了模型的正确性及高效性。 　　 1基于僵尸蜜网的蠕虫传播方式和模型 　　1.1僵尸蜜网 　　蜜罐[3]是一种具有漏洞的主机，目的在于吸引攻击者，从而对攻击的操作和行为进行监控和记录，并通过对攻击行为的分析找到有效的对付办法。蜜网是蜜罐技术的延伸和发展，是一种高交互性的蜜罐，在一台或多台蜜罐主机基础上，结合防火墙、路由器、入侵检测系统组成的网络系统。蜜网可以记录下攻击者的行动，同时尽量减小或排除对因特网上其它系统造成的风险。