2019年网络蠕虫的传播模型及其防御策略课件.ppt

性能分析 parameters: 360,000 vulnerable machines, A hitlist of size 10 a scanning rate of 358 scans/minute. Comparing the modified AAWP model to the existing models Our model is more suitable for simulating the propagation of the worm. To obtain the group distribution ,we assume When 99% vulnerable hosts are infected, the experiments are stopped. Static GPSS with group distribution is the fastest Comparison of static GPSS strategies (different n) Using the optimal static strategy The self-learning process can significantly improve the propagation speed of worms A self-learning Code Red A self-learning routing Code Red 可能的防御策略 From the perspective of defenders, how to control pg(i) has been a key of effectively defending such worms. According to Information entropy, the best defending strategy is to distribute the applications or IP addresses uniformly, pg(i) = 1/l Network Address Space Randomization (NASR) For worm server Detect worm server a host contact graph a signature-based approach Disabling worm server address blacklisting performing Denial of Service (DoS) For worm client Detect worm client a hybrid machine learning approach Contain worm client cooperative distribution of traffic filtering Witty蠕虫的传播模型 2004年3月19日大约20点45分在网络上出现了Witty蠕虫，它是利用3月18日EEYE披露的一个ISS (Internet Security Systems)产品的缓冲区溢出漏洞进行传播的，到蠕虫爆发的时间不到48小时, 这是目前最快的恶意攻击。 Witty蠕虫的特点： 它是第一个带有有效负载并在Internet上广泛传播的蠕虫； 它是目前知道的从漏洞公布到蠕虫爆发的时间间隔最短的蠕虫，不到48小时； 传播速度非常快，10秒钟感染了110台主机，30秒钟感染了160台主机，75分钟就感染了12000台机器； 它通过存在漏洞但装有防火墙的网络服务器进行传播，使得防火墙形同虚设。 Witty感染主机的步骤如下： (1)随机产生一个IP地址； (2)发送有效负载； (3)重复(1)和(2)20000次； (4)随机打开硬盘一个逻辑分区，并写入65K的垃圾数据； (5)关闭硬盘； (6)重复步骤(1)。这种直接向硬盘写入数据的方法将导致文件系统瘫痪，破坏性巨大。 Witty蠕虫的传播模型 所有主机分为易感类S(Susceptible)、潜伏类E(Exposed不具有感染能力)、感染类I(Infectious)、死亡类D(Dead)四种类型 假设在时间t 时各类的主机数为S(t), E(t), I(t)和D(t)， β(t)为感染率，β(t)= β0[1-I(t)/N]ω 初始值β0=η/Ω，其中η为Witty蠕虫的扫描率， Ω为整个IP地址空间， p为潜伏类变为感染类的概率(p1), γ为感染主机的死亡率， 为Witty蠕虫的大小， 为网络的平均传输率， 为死亡主机由