基于節(jié)點異質(zhì)度分析的蠕蟲遏制方法研究

陳天平，崔文巖，孟相如，許 媛

?

基于節(jié)點異質(zhì)度分析的蠕蟲遏制方法研究

陳天平1，崔文巖1，孟相如1，許 媛2

(1. 空軍工程大學(xué)信息與導(dǎo)航學(xué)院 西安 710077；2. 中電集團第39研究所 西安 710065)

分析了自傳播蠕蟲的行為特性，對網(wǎng)絡(luò)節(jié)點異(同)質(zhì)度、拓撲區(qū)隔度進行定義及量化。在此基礎(chǔ)上，提出了基于拓撲區(qū)隔度優(yōu)化的蠕蟲遏制方法，通過增大拓撲區(qū)隔度以達到抑制蠕蟲傳播速度的目的。提出了基于網(wǎng)絡(luò)監(jiān)測的良性蠕蟲主動對抗方法，將良性蠕蟲的掃描范圍限定于高危易感主機群，從而更好地兼顧了蠕蟲遏制有效性和網(wǎng)絡(luò)資源消耗低兩個方面的優(yōu)勢。采用matlab7.0對上述方法進行了仿真驗證，仿真結(jié)果表明，以上方法均具有較好的蠕蟲遏制效果。

遏制方法; 網(wǎng)絡(luò)蠕蟲; 節(jié)點異質(zhì)度; 拓撲區(qū)隔度

網(wǎng)絡(luò)蠕蟲是一種無須用戶干預(yù)即可獨立運行的攻擊程序或惡意代碼[1]。如CodeRed和Slammer等蠕蟲都可在很短的時間內(nèi)主動攻擊網(wǎng)絡(luò)上具有相應(yīng)漏洞的大量主機，其大規(guī)模爆發(fā)會造成巨大的經(jīng)濟損失，因而被認為是Internet上最大的安全威脅之一[2]。

為了減輕蠕蟲的危害，人們提出了多種蠕蟲建模、檢測及遏制方法[3-10]。目前，針對蠕蟲的遏制技術(shù)主要包括加固技術(shù)、隔離圍堵技術(shù)和良性蠕蟲對抗技術(shù)等。加固技術(shù)僅針對已知漏洞或缺陷，卻無法防范未知蠕蟲。隔離圍堵技術(shù)是為了減緩蠕蟲的傳播速度，并控制其感染范圍，但算法較為復(fù)雜，如文獻[11]對Chord進行擴展，提出一種被稱為Verme的協(xié)議，即將系統(tǒng)節(jié)點按照其弱點類型進行分組，每一個組稱為一個Island，具有相同弱點的Islands彼此不會相鄰；文獻[12]提出了一個專門的di-jest系統(tǒng)幫助節(jié)點選擇鄰居，在建立連接前，di-jest服務(wù)器使用一定的評估方法計算兩個節(jié)點是否具有足夠的差異性，從而避免脆弱性相同的節(jié)點相鄰，延緩蠕蟲傳播，但并沒有對節(jié)點差異性進行量化分析。良性蠕蟲對抗技術(shù)對爆發(fā)的蠕蟲進行動態(tài)的主動防御，是目前較有效的蠕蟲遏制方法之一；文獻[13]針對主動對抗技術(shù)、被動對抗技術(shù)及簡單混合對抗技術(shù)存在的缺陷，提出了分而治之混合對抗技術(shù)；文獻[14]提出實時混合對抗技術(shù)，但這兩種方法對網(wǎng)絡(luò)資源消耗較大。

針對現(xiàn)有蠕蟲遏制技術(shù)存在的以上問題，本文提出基于節(jié)點異質(zhì)度分析的蠕蟲遏制方法。以自傳播蠕蟲為研究對象，對節(jié)點異(同)質(zhì)度和拓撲區(qū)隔度進行量化；在此基礎(chǔ)上，提出了兩種新穎、實用的蠕蟲遏制方法；采用Matlab7.0對以上方法進行有效性驗證，并對仿真結(jié)果進行理論分析。

1 節(jié)點異質(zhì)度及拓撲區(qū)隔度分析

本節(jié)分析了蠕蟲傳播的行為特性，然后給出節(jié)點異質(zhì)度、節(jié)點同質(zhì)度和拓撲區(qū)隔度的定義，并對它們進行量化分析。

1.1 蠕蟲傳播行為特性

自傳播蠕蟲利用主機的安全漏洞或策略缺陷，通過網(wǎng)絡(luò)進行自傳播的程序。這種蠕蟲往往利用主機在操作系統(tǒng)、應(yīng)用軟件、數(shù)據(jù)庫等方面存在的漏洞進行攻擊。為了感染更多的主機系統(tǒng)，蠕蟲一般會采用多種技術(shù)(如多線程、選擇性隨機掃描、DNS掃描和完全掃描等)，最大限度地發(fā)現(xiàn)可攻擊的目標，并在探測到多個弱點主機以后進行自傳播，從而入侵大量的目標。蠕蟲的傳播模式如圖1所示。

圖1 自傳播蠕蟲活動模式

1.2 節(jié)點異質(zhì)度、同質(zhì)度的探測及量化方法

由以上分析表明，節(jié)點與(或、)的同質(zhì)性較強，即它們之間具有相同弱點的可能性較大，因此易受同一蠕蟲的攻擊；而節(jié)點與(或、)的異質(zhì)性較強，即它們之間的差異性相對較大，從而不利于同一蠕蟲的傳播。為了描述節(jié)點間的這種關(guān)系，給出節(jié)點異質(zhì)度、節(jié)點同質(zhì)度和拓撲區(qū)隔度的定義如下：

節(jié)點異質(zhì)度：指節(jié)點在操作系統(tǒng)、應(yīng)用軟件(或服務(wù))、數(shù)據(jù)庫和防御措施4個方面的差異性。

節(jié)點同質(zhì)度：指節(jié)點在以上4個方面的相似性。

拓撲區(qū)隔度：指網(wǎng)絡(luò)拓撲中所有相鄰節(jié)點之間的平均異質(zhì)度。

1) 節(jié)點異質(zhì)度的探測及量化算法可分為：

① 確定異質(zhì)度的評價指標并分級量化

由節(jié)點異質(zhì)度定義可確定4個評價指標：—操作系統(tǒng)類型及其漏洞；—應(yīng)用服務(wù)類型及其配置策略；—數(shù)據(jù)庫類型及其漏洞；—安全防護措施。它們的分級量化如表1所示。

表1 評價指標的分級量化表

② 利用漏洞掃描、安全檢測和人工審計等方式，探測集群內(nèi)每個節(jié)點在以上4個指標方面的準確信息，然后依據(jù)表1對每一對節(jié)點進行分析比較，如針對節(jié)點、，則給出評價指標的等級量化值為、、和。

2) 節(jié)點同質(zhì)度的探測及量化算法

1.3 網(wǎng)絡(luò)拓撲區(qū)隔度量化計算

2 基于節(jié)點異質(zhì)度分析的蠕蟲遏制方法

考慮到節(jié)點異(同)質(zhì)度對蠕蟲傳播行為的影響，首先提出基于拓撲區(qū)隔度優(yōu)化的蠕蟲遏制方法，旨在增大拓撲區(qū)隔度以達到抑制蠕蟲傳播速度的目的；其次對傳統(tǒng)的蠕蟲主動對抗技術(shù)進行改進，提出基于網(wǎng)絡(luò)監(jiān)測的良性蠕蟲主動對抗技術(shù)。

2.1 基于拓撲區(qū)隔度優(yōu)化的蠕蟲遏制方法

增大網(wǎng)絡(luò)拓撲區(qū)隔度，降低蠕蟲感染率，能夠?qū)崿F(xiàn)對蠕蟲傳播的有效抑制。為此，在網(wǎng)絡(luò)設(shè)計與規(guī)劃階段，在滿足實際網(wǎng)絡(luò)應(yīng)用的前提下，可為重要節(jié)點設(shè)計異質(zhì)度相對較大的鄰居節(jié)點，或使同質(zhì)度較大且易受蠕蟲攻擊的節(jié)點分散開來，避免集中分布，以阻斷感染鏈路的形成；在網(wǎng)絡(luò)建成并投入運行后，拓撲結(jié)構(gòu)相對穩(wěn)定，對其進行區(qū)隔度優(yōu)化受到一定程度的條件限制，但仍可采用一些輔助手段來增大其區(qū)隔度，如節(jié)點調(diào)換、系統(tǒng)重裝或服務(wù)重配置等。由以上分析可見，該方法既實用又可行。

針對網(wǎng)絡(luò)設(shè)計與規(guī)劃階段，本文設(shè)計了一種拓撲區(qū)隔度優(yōu)化方法，通過科學(xué)部署網(wǎng)絡(luò)節(jié)點在拓撲中的位置，達到增大拓撲區(qū)隔度的目的，其主要步驟如下：

2) 依據(jù)拓撲結(jié)構(gòu)圖計算得到多組分布不同的拓撲區(qū)隔位，其算法如圖2所示。拓撲區(qū)隔位是指一組特殊的頂點集合，其中任意兩頂點不存在物理(或邏輯)連接。

3) 對節(jié)點進行蠕蟲感染風(fēng)險評估及同、異質(zhì)度

分析，然后選取那些風(fēng)險度和同質(zhì)度均較大的節(jié)點，使它們分布于步驟2)得到的某一組或幾組拓撲區(qū)隔位上，以達到風(fēng)險分散的目的。

4) 對重要節(jié)點及其鄰居節(jié)點進行漏洞加固、系統(tǒng)重裝和服務(wù)重配置等，以使相鄰節(jié)點間的異質(zhì)度最大化。

拓撲區(qū)隔位生成算法實現(xiàn)如下：

Algorithm: 拓撲區(qū)隔位生成算法

Input: 網(wǎng)絡(luò)拓撲結(jié)構(gòu)圖(,)，頂點集元烽|()|=，邊集元數(shù)|()|=

Output: 輸出該網(wǎng)絡(luò)拓撲對應(yīng)的一組區(qū)隔位置集

BEGIN

=1; //網(wǎng)絡(luò)拓撲頂點集()的元素標識，?{1, 2,…,}

=0; //所生成區(qū)隔位置集的元數(shù)||

=; //區(qū)隔位置集，初值為空集

=(); //為從()中刪除當(dāng)前集合及其鄰居頂點后的剩余頂點集do

{ 1 從集合中任取一個頂點();

2 獲取()的甩有鄰居頂點集();

3 將頂點()存入集合中;

4 更新集合，令=-()-()，即從中刪除()及();

} while (||>0); //||為剩余頂點集的元數(shù)

=||;

輸出拓撲區(qū)隔位置集;

END

以一個擁有13個頂點的網(wǎng)絡(luò)拓撲Net為例，可生成3組不同的區(qū)隔位置集1、2和3，如圖2所示。

圖2 生成Net的拓撲區(qū)隔位置集

為了反映拓撲區(qū)隔度變化對蠕蟲感染率的影響，在此給出考慮拓撲區(qū)隔度的蠕蟲傳播模型為：

2.2 基于網(wǎng)絡(luò)監(jiān)測的良性蠕蟲主動對抗方法

將網(wǎng)絡(luò)中的主機分為4類：1) 易感類，該類主機既沒有被蠕蟲感染也沒有被良性蠕蟲感染，但具有被蠕蟲感染的可能性；2) 感染類，該類主機被蠕蟲感染但沒有被良性蠕蟲感染；3) 良性感染類，該類主機被良性蠕蟲感染；4) 恢復(fù)類，該類主機既不會被蠕蟲感染也不會被良性蠕蟲感染。

借助于醫(yī)學(xué)界以毒攻毒的思想，良性蠕蟲可以像蠕蟲一樣傳播，給有漏洞的主機打補丁或清除被感染的主機上的蠕蟲病毒，或者同時具有以上2個功能。文獻[13-14]中采用良性蠕蟲主動掃描、感染所有易感主機，而沒有考慮當(dāng)易感主機與感染主機之間的異質(zhì)度較大時，其實易感主機是很難被感染主機感染成功的。為此，本文對傳統(tǒng)的良性蠕蟲對抗方式進行改進，提出一種基于網(wǎng)絡(luò)監(jiān)測的良性蠕蟲主動對抗方法，其實現(xiàn)機制如圖3所示。

圖3 基于網(wǎng)絡(luò)監(jiān)測的良性蠕蟲對抗方法

對蠕蟲傳播進行建模，該模型中用到的參數(shù)的含義及初始值見表2。

表2 模型的參數(shù)及其初始值

主機間的狀態(tài)轉(zhuǎn)換如圖4所示。

圖4 主機間的狀態(tài)轉(zhuǎn)換圖

根據(jù)主機間的狀態(tài)轉(zhuǎn)換圖，可建立蠕蟲的傳播模型為如下微分方程組：

隨著蠕蟲及良性蠕蟲的不斷傳播，網(wǎng)絡(luò)會被經(jīng)常阻塞并且破壞網(wǎng)絡(luò)中的設(shè)備，這樣就減小了蠕蟲的感染速度，因此得到蠕蟲的感染率為：

同理可得良性蠕蟲的感染率為：

3 仿真驗證及分析

為了驗證本文的蠕蟲遏制方法的有效性，采用Matlab7.0軟件對蠕蟲傳播模型進行仿真，對比分析蠕蟲傳播變化曲線。為了敘述簡便，方法1為基于拓撲區(qū)隔度優(yōu)化的蠕蟲遏制方法，方法2為基于網(wǎng)絡(luò)監(jiān)測的良性蠕蟲主動對抗方法。

3.1 方法1

對式(4)所示的蠕蟲傳播模型進行仿真，假設(shè)網(wǎng)絡(luò)主機總數(shù)為，原拓撲的蠕蟲感染率為；第一次優(yōu)化后，拓撲區(qū)隔度增大0.1，即，第二次優(yōu)化后對應(yīng)，第三次優(yōu)化后對應(yīng)，對這3次拓撲區(qū)隔度優(yōu)化后的蠕蟲傳播情況進行仿真，如圖5所示。

圖5 蠕蟲遏制有效性對比圖

由圖5可知，對拓撲區(qū)隔度進行優(yōu)化有利于遏制蠕蟲的傳播，且拓撲區(qū)隔度越增大，其對蠕蟲的遏制效果就越好。

3.2 方法2

為了有效比較方法2與文獻[13-14]中的主動對抗技術(shù)，除了增加參數(shù)以外，其余模型參數(shù)及其初值均相同。根據(jù)表2所示的模型參數(shù)及其初值，可得方法2條件下的蠕蟲傳播情況，如圖6所示。

為了進一步證明方法2相對于文獻[13-14]中傳統(tǒng)的主動對抗技術(shù)的優(yōu)勢，本文從遏制有效性、網(wǎng)絡(luò)資源消耗兩個方面進行比較分析。

1) 遏制有效性對比分析

圖6 方法2條件下的蠕蟲傳播情況圖

圖7 遏制有效性對比分析

2) 網(wǎng)絡(luò)資源消耗對比分析

蠕蟲在傳播過程中對網(wǎng)絡(luò)的資源消耗與網(wǎng)絡(luò)中的主動探測蠕蟲(包括網(wǎng)絡(luò)蠕蟲和良性蠕蟲)數(shù)量成正比。在主動對抗技術(shù)下，良性蠕蟲和網(wǎng)絡(luò)蠕蟲均主動掃描網(wǎng)絡(luò)中的漏洞主機，即主動探測蠕蟲數(shù)量為感染主機和良性感染主機的數(shù)量之和。在參數(shù)取值同圖7的情況下，其主動探測蠕蟲數(shù)量的對比變化情況如圖8所示。

圖8 網(wǎng)絡(luò)資源消耗對比分析

4 結(jié) 束 語

本文分析了自傳播蠕蟲的行為特性，定義、量化了節(jié)點異(同)質(zhì)度及網(wǎng)絡(luò)拓撲區(qū)隔度；在此基礎(chǔ)上提出了兩種蠕蟲遏制方法，即基于拓撲區(qū)隔度優(yōu)化的蠕蟲遏制方法和基于網(wǎng)絡(luò)監(jiān)測的良性蠕蟲主動對抗方法；采用Matlab7.0軟件對以上方法進行仿真驗證，方法1的仿真結(jié)果表明，網(wǎng)絡(luò)拓撲區(qū)隔度越大越有利于抑制蠕蟲的傳播速度；方法2對比仿真結(jié)果表明，方法2具有較好的蠕蟲遏制效果，且能更好地滿足遏制有效性和網(wǎng)絡(luò)資源消耗低的雙重要求。下一步工作是研究拓撲相關(guān)蠕蟲的傳播模型及其遏制方法。

[1] MOORE D, PAXSON V, SAVAGE S, et al. Inside the slammer worm[J]. IEEE Magazine of Security and Privacy, 2003, 1(4): 33-39.

[2] HATAHET S, BOUABDALLAH A, YACINE C. A new worm propagation threat in bit torrent: Modeling and analysis[J]. Telecommunication Systems, 2010, 45(2-3): 95-109.

[3] STEPHENSON B, SIKDAR B. A quasi-species model for the propagation and containment of polymorphic worms[J]. IEEE Transactions on Computers, 2009, 58(9): 1289-1296.

[4] 嚴博, 吳曉平, 廖巍, 等. 基于隨機進程代數(shù)的P2P網(wǎng)絡(luò)蠕蟲對抗傳播特性分析[J]. 電子學(xué)報, 2012, 40(2): 293- 299.

YAN Bo, WU Xiao-ping, LIAO Wei, et al. Propagation characteristics analysis of worm-anti-worm in P2P network based on stochastic process algebra[J]. Acta Electronica Sinica, 2012, 40(2): 293-299.

[5] 梁廣民, 任安. 車載蠕蟲傳播建模與仿真[J]. 電子科技大學(xué)學(xué)報, 2013, 42(2): 277-282.

LIANG Guang-min, REN An. Modeling and simulating epidemics of vehicular worms[J]. Journal of University of Electronic Science and Technology of China, 2013, 42(2): 277-282.

[6] 和亮, 馮登國, 王蕊, 等. 基于MapReduce的大規(guī)模在線社交網(wǎng)絡(luò)蠕蟲仿真[J]. 軟件學(xué)報, 2013, 24(7): 1666-1682.

HE Liang, FENG Deng-guo, WANG Rui, et al. Map reduce-based large-scale online social network worm simulation[J]. Journal of Software, 2013, 24(7): 1666-1682.

[7] 馮朝勝, 秦志光, 袁丁, 等. P2P網(wǎng)絡(luò)中被動型蠕蟲傳播與免疫建模[J]. 電子學(xué)報, 2013, 41(5): 884-889.

FENG Chao-sheng, QIN Zhi-guang, YUAN Ding, et al. Modeling propagation and immunization of passive worms in peer-to-peer networks[J]. Acta Electronica Sinica, 2013, 41(5): 884-889.

[8] 張偉, 王汝傳, 李鵬. 基于云安全環(huán)境的蠕蟲傳播模型[J]. 通信學(xué)報, 2012, 33(4): 17-24.

ZHANG Wei, WANG Ru-chuan, LI Peng. Worm propagation modeling in cloud security[J]. Journal on Communications, 2012, 33(4): 17-24.

[9] 馮朝勝, 袁丁, 卿昱, 等. P2P網(wǎng)絡(luò)中激發(fā)型蠕蟲傳播動態(tài)建模[J]. 電子學(xué)報, 2012, 40(2): 300-307.

FENG Chao-sheng, YUAN Ding, QING Yu, et al. Dynamic modeling of reactive worm propagation in P2P networks[J]. Acta Electronica Sinica, 2012, 40(2): 300-307.

[10] 汪潔, 王建新, 劉緒崇. 基于近鄰關(guān)系特征的多態(tài)蠕蟲防御方法[J]. 通信學(xué)報, 2011, 32(8): 150-158.

WANG Jie, WANG Jian-xin, LIU Xu-chong. Novel approach based on neighborhood relation signature against polymorphic internet worms[J]. Journal on Communications, 2011, 32(8): 150-158.

[11] FREITAS F, RODRIGUES R, RIBEIRO C, et al. VERME: Worm containment in peer-to-peer overlays[C]// IPTPS’07: Proceeding of the 6th International Workshop on Peer-to-Peer Systems. Sellevae: [s.n.], 2007.

[12] MCILWRAITH D, PQAUIER M. Di-jest: Autonomic neighbor management for worm resilience in P2P systems [C]//WoWMoM’08: International Symposium World of Wireless, Mobile and Multimedia Networks. [S.l.]: IEEE, 2008.

[13] 周翰遜, 趙宏, 聞英友. 分而治之的混合型良性蠕蟲的建模與分析[J]. 計算機研究與發(fā)展, 2009, 46(7): 1110- 1116.

ZHOU Han-xun, ZHAO Hong, WEN Ying-you. Modeling and analysis of divide and rule hybrid benign worms[J]. Journal of Computer Research and Development, 2009, 46(7): 1110-1116.

[14] 秦拯, 李軍群, 歐露, 等. 實時混合對抗蠕蟲的建模和分析[J]. 湖南大學(xué)學(xué)報(自然科學(xué)版), 2011, 38(5): 74-78.

QIN Zheng, LI Jun-qun, OU Lu, et al. Modeling and analysis of real-time hybrid anti-worms[J]. Journal of Hunan University(Natural Sciences), 2011, 38(5): 74-78.

編 輯 黃 莘

Research on Worm Containment Strategy Based on Node Heterogeneity Analysis

CHEN Tian-ping1, CUI Wen-yan1, MENG Xiang-ru1, and XU Yuan2

(1. Institute of Information and Navigation, Aire Force Engineering University Xi’an 710077; 2. No.39 Research Institute, CETC Xi’an 710065)

The behavior characteristics of self propagating worms is analyzed, and the nodes heterogeneity, topology segmentation degree are defined and quantified. On this basis, the worm containment strategy based on the optimization of topological segmentation degree is put forward, and the method for increasing topological segmentation degree is studied. In addition, the active counterplot of benign worms based on network monitoring is proposed, the worm's scanning range is limited to high-risk groups susceptible hosts, so as to better take into account the effectiveness of worm containment and network resource consumption advantages of low two aspects. Matlab7.0 is adopted to the simulation of worm propagation model under the condition of the above strategies. The simulation results show that the above methods have better worm containment effect.

containment strategy; network worms; nodes heterogeneity; topology segmentation degree

TP309.1

A

10.3969/j.issn.1001-0548.2016.03.019

2014 - 11 - 10；

2015 - 12 - 08