陳天平,崔文巖,孟相如,許 媛
?
基于節(jié)點(diǎn)異質(zhì)度分析的蠕蟲遏制方法研究
陳天平1,崔文巖1,孟相如1,許 媛2
(1. 空軍工程大學(xué)信息與導(dǎo)航學(xué)院 西安 710077;2. 中電集團(tuán)第39研究所 西安 710065)
分析了自傳播蠕蟲的行為特性,對網(wǎng)絡(luò)節(jié)點(diǎn)異(同)質(zhì)度、拓?fù)鋮^(qū)隔度進(jìn)行定義及量化。在此基礎(chǔ)上,提出了基于拓?fù)鋮^(qū)隔度優(yōu)化的蠕蟲遏制方法,通過增大拓?fù)鋮^(qū)隔度以達(dá)到抑制蠕蟲傳播速度的目的。提出了基于網(wǎng)絡(luò)監(jiān)測的良性蠕蟲主動對抗方法,將良性蠕蟲的掃描范圍限定于高危易感主機(jī)群,從而更好地兼顧了蠕蟲遏制有效性和網(wǎng)絡(luò)資源消耗低兩個(gè)方面的優(yōu)勢。采用matlab7.0對上述方法進(jìn)行了仿真驗(yàn)證,仿真結(jié)果表明,以上方法均具有較好的蠕蟲遏制效果。
遏制方法; 網(wǎng)絡(luò)蠕蟲; 節(jié)點(diǎn)異質(zhì)度; 拓?fù)鋮^(qū)隔度
網(wǎng)絡(luò)蠕蟲是一種無須用戶干預(yù)即可獨(dú)立運(yùn)行的攻擊程序或惡意代碼[1]。如CodeRed和Slammer等蠕蟲都可在很短的時(shí)間內(nèi)主動攻擊網(wǎng)絡(luò)上具有相應(yīng)漏洞的大量主機(jī),其大規(guī)模爆發(fā)會造成巨大的經(jīng)濟(jì)損失,因而被認(rèn)為是Internet上最大的安全威脅之一[2]。
為了減輕蠕蟲的危害,人們提出了多種蠕蟲建模、檢測及遏制方法[3-10]。目前,針對蠕蟲的遏制技術(shù)主要包括加固技術(shù)、隔離圍堵技術(shù)和良性蠕蟲對抗技術(shù)等。加固技術(shù)僅針對已知漏洞或缺陷,卻無法防范未知蠕蟲。隔離圍堵技術(shù)是為了減緩蠕蟲的傳播速度,并控制其感染范圍,但算法較為復(fù)雜,如文獻(xiàn)[11]對Chord進(jìn)行擴(kuò)展,提出一種被稱為Verme的協(xié)議,即將系統(tǒng)節(jié)點(diǎn)按照其弱點(diǎn)類型進(jìn)行分組,每一個(gè)組稱為一個(gè)Island,具有相同弱點(diǎn)的Islands彼此不會相鄰;文獻(xiàn)[12]提出了一個(gè)專門的di-jest系統(tǒng)幫助節(jié)點(diǎn)選擇鄰居,在建立連接前,di-jest服務(wù)器使用一定的評估方法計(jì)算兩個(gè)節(jié)點(diǎn)是否具有足夠的差異性,從而避免脆弱性相同的節(jié)點(diǎn)相鄰,延緩蠕蟲傳播,但并沒有對節(jié)點(diǎn)差異性進(jìn)行量化分析。良性蠕蟲對抗技術(shù)對爆發(fā)的蠕蟲進(jìn)行動態(tài)的主動防御,是目前較有效的蠕蟲遏制方法之一;文獻(xiàn)[13]針對主動對抗技術(shù)、被動對抗技術(shù)及簡單混合對抗技術(shù)存在的缺陷,提出了分而治之混合對抗技術(shù);文獻(xiàn)[14]提出實(shí)時(shí)混合對抗技術(shù),但這兩種方法對網(wǎng)絡(luò)資源消耗較大。
針對現(xiàn)有蠕蟲遏制技術(shù)存在的以上問題,本文提出基于節(jié)點(diǎn)異質(zhì)度分析的蠕蟲遏制方法。以自傳播蠕蟲為研究對象,對節(jié)點(diǎn)異(同)質(zhì)度和拓?fù)鋮^(qū)隔度進(jìn)行量化;在此基礎(chǔ)上,提出了兩種新穎、實(shí)用的蠕蟲遏制方法;采用Matlab7.0對以上方法進(jìn)行有效性驗(yàn)證,并對仿真結(jié)果進(jìn)行理論分析。
本節(jié)分析了蠕蟲傳播的行為特性,然后給出節(jié)點(diǎn)異質(zhì)度、節(jié)點(diǎn)同質(zhì)度和拓?fù)鋮^(qū)隔度的定義,并對它們進(jìn)行量化分析。
自傳播蠕蟲利用主機(jī)的安全漏洞或策略缺陷,通過網(wǎng)絡(luò)進(jìn)行自傳播的程序。這種蠕蟲往往利用主機(jī)在操作系統(tǒng)、應(yīng)用軟件、數(shù)據(jù)庫等方面存在的漏洞進(jìn)行攻擊。為了感染更多的主機(jī)系統(tǒng),蠕蟲一般會采用多種技術(shù)(如多線程、選擇性隨機(jī)掃描、DNS掃描和完全掃描等),最大限度地發(fā)現(xiàn)可攻擊的目標(biāo),并在探測到多個(gè)弱點(diǎn)主機(jī)以后進(jìn)行自傳播,從而入侵大量的目標(biāo)。蠕蟲的傳播模式如圖1所示。
圖1 自傳播蠕蟲活動模式
由以上分析表明,節(jié)點(diǎn)與(或、)的同質(zhì)性較強(qiáng),即它們之間具有相同弱點(diǎn)的可能性較大,因此易受同一蠕蟲的攻擊;而節(jié)點(diǎn)與(或、)的異質(zhì)性較強(qiáng),即它們之間的差異性相對較大,從而不利于同一蠕蟲的傳播。為了描述節(jié)點(diǎn)間的這種關(guān)系,給出節(jié)點(diǎn)異質(zhì)度、節(jié)點(diǎn)同質(zhì)度和拓?fù)鋮^(qū)隔度的定義如下:
節(jié)點(diǎn)異質(zhì)度:指節(jié)點(diǎn)在操作系統(tǒng)、應(yīng)用軟件(或服務(wù))、數(shù)據(jù)庫和防御措施4個(gè)方面的差異性。
節(jié)點(diǎn)同質(zhì)度:指節(jié)點(diǎn)在以上4個(gè)方面的相似性。
拓?fù)鋮^(qū)隔度:指網(wǎng)絡(luò)拓?fù)渲兴邢噜徆?jié)點(diǎn)之間的平均異質(zhì)度。
1) 節(jié)點(diǎn)異質(zhì)度的探測及量化算法可分為:
① 確定異質(zhì)度的評價(jià)指標(biāo)并分級量化
由節(jié)點(diǎn)異質(zhì)度定義可確定4個(gè)評價(jià)指標(biāo):—操作系統(tǒng)類型及其漏洞;—應(yīng)用服務(wù)類型及其配置策略;—數(shù)據(jù)庫類型及其漏洞;—安全防護(hù)措施。它們的分級量化如表1所示。
表1 評價(jià)指標(biāo)的分級量化表
② 利用漏洞掃描、安全檢測和人工審計(jì)等方式,探測集群內(nèi)每個(gè)節(jié)點(diǎn)在以上4個(gè)指標(biāo)方面的準(zhǔn)確信息,然后依據(jù)表1對每一對節(jié)點(diǎn)進(jìn)行分析比較,如針對節(jié)點(diǎn)、,則給出評價(jià)指標(biāo)的等級量化值為、、和。
2) 節(jié)點(diǎn)同質(zhì)度的探測及量化算法
考慮到節(jié)點(diǎn)異(同)質(zhì)度對蠕蟲傳播行為的影響,首先提出基于拓?fù)鋮^(qū)隔度優(yōu)化的蠕蟲遏制方法,旨在增大拓?fù)鋮^(qū)隔度以達(dá)到抑制蠕蟲傳播速度的目的;其次對傳統(tǒng)的蠕蟲主動對抗技術(shù)進(jìn)行改進(jìn),提出基于網(wǎng)絡(luò)監(jiān)測的良性蠕蟲主動對抗技術(shù)。
增大網(wǎng)絡(luò)拓?fù)鋮^(qū)隔度,降低蠕蟲感染率,能夠?qū)崿F(xiàn)對蠕蟲傳播的有效抑制。為此,在網(wǎng)絡(luò)設(shè)計(jì)與規(guī)劃階段,在滿足實(shí)際網(wǎng)絡(luò)應(yīng)用的前提下,可為重要節(jié)點(diǎn)設(shè)計(jì)異質(zhì)度相對較大的鄰居節(jié)點(diǎn),或使同質(zhì)度較大且易受蠕蟲攻擊的節(jié)點(diǎn)分散開來,避免集中分布,以阻斷感染鏈路的形成;在網(wǎng)絡(luò)建成并投入運(yùn)行后,拓?fù)浣Y(jié)構(gòu)相對穩(wěn)定,對其進(jìn)行區(qū)隔度優(yōu)化受到一定程度的條件限制,但仍可采用一些輔助手段來增大其區(qū)隔度,如節(jié)點(diǎn)調(diào)換、系統(tǒng)重裝或服務(wù)重配置等。由以上分析可見,該方法既實(shí)用又可行。
針對網(wǎng)絡(luò)設(shè)計(jì)與規(guī)劃階段,本文設(shè)計(jì)了一種拓?fù)鋮^(qū)隔度優(yōu)化方法,通過科學(xué)部署網(wǎng)絡(luò)節(jié)點(diǎn)在拓?fù)渲械奈恢?,達(dá)到增大拓?fù)鋮^(qū)隔度的目的,其主要步驟如下:
2) 依據(jù)拓?fù)浣Y(jié)構(gòu)圖計(jì)算得到多組分布不同的拓?fù)鋮^(qū)隔位,其算法如圖2所示。拓?fù)鋮^(qū)隔位是指一組特殊的頂點(diǎn)集合,其中任意兩頂點(diǎn)不存在物理(或邏輯)連接。
3) 對節(jié)點(diǎn)進(jìn)行蠕蟲感染風(fēng)險(xiǎn)評估及同、異質(zhì)度
分析,然后選取那些風(fēng)險(xiǎn)度和同質(zhì)度均較大的節(jié)點(diǎn),使它們分布于步驟2)得到的某一組或幾組拓?fù)鋮^(qū)隔位上,以達(dá)到風(fēng)險(xiǎn)分散的目的。
4) 對重要節(jié)點(diǎn)及其鄰居節(jié)點(diǎn)進(jìn)行漏洞加固、系統(tǒng)重裝和服務(wù)重配置等,以使相鄰節(jié)點(diǎn)間的異質(zhì)度最大化。
拓?fù)鋮^(qū)隔位生成算法實(shí)現(xiàn)如下:
Algorithm: 拓?fù)鋮^(qū)隔位生成算法
Input: 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖(,),頂點(diǎn)集元烽|()|=,邊集元數(shù)|()|=
Output: 輸出該網(wǎng)絡(luò)拓?fù)鋵?yīng)的一組區(qū)隔位置集
BEGIN
=1; //網(wǎng)絡(luò)拓?fù)漤旤c(diǎn)集()的元素標(biāo)識,?{1, 2,…,}
=0; //所生成區(qū)隔位置集的元數(shù)||
=; //區(qū)隔位置集,初值為空集
=(); //為從()中刪除當(dāng)前集合及其鄰居頂點(diǎn)后的剩余頂點(diǎn)集do
{ 1 從集合中任取一個(gè)頂點(diǎn)();
2 獲取()的甩有鄰居頂點(diǎn)集();
3 將頂點(diǎn)()存入集合中;
4 更新集合,令=-()-(),即從中刪除()及();
} while (||>0); //||為剩余頂點(diǎn)集的元數(shù)
=||;
輸出拓?fù)鋮^(qū)隔位置集;
END
以一個(gè)擁有13個(gè)頂點(diǎn)的網(wǎng)絡(luò)拓?fù)銷et為例,可生成3組不同的區(qū)隔位置集1、2和3,如圖2所示。
圖2 生成Net的拓?fù)鋮^(qū)隔位置集
為了反映拓?fù)鋮^(qū)隔度變化對蠕蟲感染率的影響,在此給出考慮拓?fù)鋮^(qū)隔度的蠕蟲傳播模型為:
將網(wǎng)絡(luò)中的主機(jī)分為4類:1) 易感類,該類主機(jī)既沒有被蠕蟲感染也沒有被良性蠕蟲感染,但具有被蠕蟲感染的可能性;2) 感染類,該類主機(jī)被蠕蟲感染但沒有被良性蠕蟲感染;3) 良性感染類,該類主機(jī)被良性蠕蟲感染;4) 恢復(fù)類,該類主機(jī)既不會被蠕蟲感染也不會被良性蠕蟲感染。
借助于醫(yī)學(xué)界以毒攻毒的思想,良性蠕蟲可以像蠕蟲一樣傳播,給有漏洞的主機(jī)打補(bǔ)丁或清除被感染的主機(jī)上的蠕蟲病毒,或者同時(shí)具有以上2個(gè)功能。文獻(xiàn)[13-14]中采用良性蠕蟲主動掃描、感染所有易感主機(jī),而沒有考慮當(dāng)易感主機(jī)與感染主機(jī)之間的異質(zhì)度較大時(shí),其實(shí)易感主機(jī)是很難被感染主機(jī)感染成功的。為此,本文對傳統(tǒng)的良性蠕蟲對抗方式進(jìn)行改進(jìn),提出一種基于網(wǎng)絡(luò)監(jiān)測的良性蠕蟲主動對抗方法,其實(shí)現(xiàn)機(jī)制如圖3所示。
圖3 基于網(wǎng)絡(luò)監(jiān)測的良性蠕蟲對抗方法
對蠕蟲傳播進(jìn)行建模,該模型中用到的參數(shù)的含義及初始值見表2。
表2 模型的參數(shù)及其初始值
主機(jī)間的狀態(tài)轉(zhuǎn)換如圖4所示。
圖4 主機(jī)間的狀態(tài)轉(zhuǎn)換圖
根據(jù)主機(jī)間的狀態(tài)轉(zhuǎn)換圖,可建立蠕蟲的傳播模型為如下微分方程組:
隨著蠕蟲及良性蠕蟲的不斷傳播,網(wǎng)絡(luò)會被經(jīng)常阻塞并且破壞網(wǎng)絡(luò)中的設(shè)備,這樣就減小了蠕蟲的感染速度,因此得到蠕蟲的感染率為:
同理可得良性蠕蟲的感染率為:
為了驗(yàn)證本文的蠕蟲遏制方法的有效性,采用Matlab7.0軟件對蠕蟲傳播模型進(jìn)行仿真,對比分析蠕蟲傳播變化曲線。為了敘述簡便,方法1為基于拓?fù)鋮^(qū)隔度優(yōu)化的蠕蟲遏制方法,方法2為基于網(wǎng)絡(luò)監(jiān)測的良性蠕蟲主動對抗方法。
對式(4)所示的蠕蟲傳播模型進(jìn)行仿真,假設(shè)網(wǎng)絡(luò)主機(jī)總數(shù)為,原拓?fù)涞娜湎x感染率為;第一次優(yōu)化后,拓?fù)鋮^(qū)隔度增大0.1,即,第二次優(yōu)化后對應(yīng),第三次優(yōu)化后對應(yīng),對這3次拓?fù)鋮^(qū)隔度優(yōu)化后的蠕蟲傳播情況進(jìn)行仿真,如圖5所示。
圖5 蠕蟲遏制有效性對比圖
由圖5可知,對拓?fù)鋮^(qū)隔度進(jìn)行優(yōu)化有利于遏制蠕蟲的傳播,且拓?fù)鋮^(qū)隔度越增大,其對蠕蟲的遏制效果就越好。
為了有效比較方法2與文獻(xiàn)[13-14]中的主動對抗技術(shù),除了增加參數(shù)以外,其余模型參數(shù)及其初值均相同。根據(jù)表2所示的模型參數(shù)及其初值,可得方法2條件下的蠕蟲傳播情況,如圖6所示。
為了進(jìn)一步證明方法2相對于文獻(xiàn)[13-14]中傳統(tǒng)的主動對抗技術(shù)的優(yōu)勢,本文從遏制有效性、網(wǎng)絡(luò)資源消耗兩個(gè)方面進(jìn)行比較分析。
1) 遏制有效性對比分析
圖6 方法2條件下的蠕蟲傳播情況圖
圖7 遏制有效性對比分析
2) 網(wǎng)絡(luò)資源消耗對比分析
蠕蟲在傳播過程中對網(wǎng)絡(luò)的資源消耗與網(wǎng)絡(luò)中的主動探測蠕蟲(包括網(wǎng)絡(luò)蠕蟲和良性蠕蟲)數(shù)量成正比。在主動對抗技術(shù)下,良性蠕蟲和網(wǎng)絡(luò)蠕蟲均主動掃描網(wǎng)絡(luò)中的漏洞主機(jī),即主動探測蠕蟲數(shù)量為感染主機(jī)和良性感染主機(jī)的數(shù)量之和。在參數(shù)取值同圖7的情況下,其主動探測蠕蟲數(shù)量的對比變化情況如圖8所示。
圖8 網(wǎng)絡(luò)資源消耗對比分析
本文分析了自傳播蠕蟲的行為特性,定義、量化了節(jié)點(diǎn)異(同)質(zhì)度及網(wǎng)絡(luò)拓?fù)鋮^(qū)隔度;在此基礎(chǔ)上提出了兩種蠕蟲遏制方法,即基于拓?fù)鋮^(qū)隔度優(yōu)化的蠕蟲遏制方法和基于網(wǎng)絡(luò)監(jiān)測的良性蠕蟲主動對抗方法;采用Matlab7.0軟件對以上方法進(jìn)行仿真驗(yàn)證,方法1的仿真結(jié)果表明,網(wǎng)絡(luò)拓?fù)鋮^(qū)隔度越大越有利于抑制蠕蟲的傳播速度;方法2對比仿真結(jié)果表明,方法2具有較好的蠕蟲遏制效果,且能更好地滿足遏制有效性和網(wǎng)絡(luò)資源消耗低的雙重要求。下一步工作是研究拓?fù)湎嚓P(guān)蠕蟲的傳播模型及其遏制方法。
[1] MOORE D, PAXSON V, SAVAGE S, et al. Inside the slammer worm[J]. IEEE Magazine of Security and Privacy, 2003, 1(4): 33-39.
[2] HATAHET S, BOUABDALLAH A, YACINE C. A new worm propagation threat in bit torrent: Modeling and analysis[J]. Telecommunication Systems, 2010, 45(2-3): 95-109.
[3] STEPHENSON B, SIKDAR B. A quasi-species model for the propagation and containment of polymorphic worms[J]. IEEE Transactions on Computers, 2009, 58(9): 1289-1296.
[4] 嚴(yán)博, 吳曉平, 廖巍, 等. 基于隨機(jī)進(jìn)程代數(shù)的P2P網(wǎng)絡(luò)蠕蟲對抗傳播特性分析[J]. 電子學(xué)報(bào), 2012, 40(2): 293- 299.
YAN Bo, WU Xiao-ping, LIAO Wei, et al. Propagation characteristics analysis of worm-anti-worm in P2P network based on stochastic process algebra[J]. Acta Electronica Sinica, 2012, 40(2): 293-299.
[5] 梁廣民, 任安. 車載蠕蟲傳播建模與仿真[J]. 電子科技大學(xué)學(xué)報(bào), 2013, 42(2): 277-282.
LIANG Guang-min, REN An. Modeling and simulating epidemics of vehicular worms[J]. Journal of University of Electronic Science and Technology of China, 2013, 42(2): 277-282.
[6] 和亮, 馮登國, 王蕊, 等. 基于MapReduce的大規(guī)模在線社交網(wǎng)絡(luò)蠕蟲仿真[J]. 軟件學(xué)報(bào), 2013, 24(7): 1666-1682.
HE Liang, FENG Deng-guo, WANG Rui, et al. Map reduce-based large-scale online social network worm simulation[J]. Journal of Software, 2013, 24(7): 1666-1682.
[7] 馮朝勝, 秦志光, 袁丁, 等. P2P網(wǎng)絡(luò)中被動型蠕蟲傳播與免疫建模[J]. 電子學(xué)報(bào), 2013, 41(5): 884-889.
FENG Chao-sheng, QIN Zhi-guang, YUAN Ding, et al. Modeling propagation and immunization of passive worms in peer-to-peer networks[J]. Acta Electronica Sinica, 2013, 41(5): 884-889.
[8] 張偉, 王汝傳, 李鵬. 基于云安全環(huán)境的蠕蟲傳播模型[J]. 通信學(xué)報(bào), 2012, 33(4): 17-24.
ZHANG Wei, WANG Ru-chuan, LI Peng. Worm propagation modeling in cloud security[J]. Journal on Communications, 2012, 33(4): 17-24.
[9] 馮朝勝, 袁丁, 卿昱, 等. P2P網(wǎng)絡(luò)中激發(fā)型蠕蟲傳播動態(tài)建模[J]. 電子學(xué)報(bào), 2012, 40(2): 300-307.
FENG Chao-sheng, YUAN Ding, QING Yu, et al. Dynamic modeling of reactive worm propagation in P2P networks[J]. Acta Electronica Sinica, 2012, 40(2): 300-307.
[10] 汪潔, 王建新, 劉緒崇. 基于近鄰關(guān)系特征的多態(tài)蠕蟲防御方法[J]. 通信學(xué)報(bào), 2011, 32(8): 150-158.
WANG Jie, WANG Jian-xin, LIU Xu-chong. Novel approach based on neighborhood relation signature against polymorphic internet worms[J]. Journal on Communications, 2011, 32(8): 150-158.
[11] FREITAS F, RODRIGUES R, RIBEIRO C, et al. VERME: Worm containment in peer-to-peer overlays[C]// IPTPS’07: Proceeding of the 6th International Workshop on Peer-to-Peer Systems. Sellevae: [s.n.], 2007.
[12] MCILWRAITH D, PQAUIER M. Di-jest: Autonomic neighbor management for worm resilience in P2P systems [C]//WoWMoM’08: International Symposium World of Wireless, Mobile and Multimedia Networks. [S.l.]: IEEE, 2008.
[13] 周翰遜, 趙宏, 聞英友. 分而治之的混合型良性蠕蟲的建模與分析[J]. 計(jì)算機(jī)研究與發(fā)展, 2009, 46(7): 1110- 1116.
ZHOU Han-xun, ZHAO Hong, WEN Ying-you. Modeling and analysis of divide and rule hybrid benign worms[J]. Journal of Computer Research and Development, 2009, 46(7): 1110-1116.
[14] 秦拯, 李軍群, 歐露, 等. 實(shí)時(shí)混合對抗蠕蟲的建模和分析[J]. 湖南大學(xué)學(xué)報(bào)(自然科學(xué)版), 2011, 38(5): 74-78.
QIN Zheng, LI Jun-qun, OU Lu, et al. Modeling and analysis of real-time hybrid anti-worms[J]. Journal of Hunan University(Natural Sciences), 2011, 38(5): 74-78.
編 輯 黃 莘
Research on Worm Containment Strategy Based on Node Heterogeneity Analysis
CHEN Tian-ping1, CUI Wen-yan1, MENG Xiang-ru1, and XU Yuan2
(1. Institute of Information and Navigation, Aire Force Engineering University Xi’an 710077; 2. No.39 Research Institute, CETC Xi’an 710065)
The behavior characteristics of self propagating worms is analyzed, and the nodes heterogeneity, topology segmentation degree are defined and quantified. On this basis, the worm containment strategy based on the optimization of topological segmentation degree is put forward, and the method for increasing topological segmentation degree is studied. In addition, the active counterplot of benign worms based on network monitoring is proposed, the worm's scanning range is limited to high-risk groups susceptible hosts, so as to better take into account the effectiveness of worm containment and network resource consumption advantages of low two aspects. Matlab7.0 is adopted to the simulation of worm propagation model under the condition of the above strategies. The simulation results show that the above methods have better worm containment effect.
containment strategy; network worms; nodes heterogeneity; topology segmentation degree
TP309.1
A
10.3969/j.issn.1001-0548.2016.03.019
2014 - 11 - 10;
2015 - 12 - 08