基于節點異質度分析的蠕蟲遏制方法研究

陳天平，崔文巖，孟相如，許 媛

?

基于節點異質度分析的蠕蟲遏制方法研究

陳天平1，崔文巖1，孟相如1，許 媛2

(1. 空軍工程大學信息與導航學院 西安 710077；2. 中電集團第39研究所 西安 710065)

分析了自傳播蠕蟲的行為特性，對網絡節點異(同)質度、拓撲區隔度進行定義及量化。在此基礎上，提出了基于拓撲區隔度優化的蠕蟲遏制方法，通過增大拓撲區隔度以達到抑制蠕蟲傳播速度的目的。提出了基于網絡監測的良性蠕蟲主動對抗方法，將良性蠕蟲的掃描范圍限定于高危易感主機群，從而更好地兼顧了蠕蟲遏制有效性和網絡資源消耗低兩個方面的優勢。采用matlab7.0對上述方法進行了仿真驗證，仿真結果表明，以上方法均具有較好的蠕蟲遏制效果。

遏制方法; 網絡蠕蟲; 節點異質度; 拓撲區隔度

網絡蠕蟲是一種無須用戶干預即可獨立運行的攻擊程序或惡意代碼[1]。如CodeRed和Slammer等蠕蟲都可在很短的時間內主動攻擊網絡上具有相應漏洞的大量主機，其大規模爆發會造成巨大的經濟損失，因而被認為是Internet上最大的安全威脅之一[2]。

為了減輕蠕蟲的危害，人們提出了多種蠕蟲建模、檢測及遏制方法[3-10]。目前，針對蠕蟲的遏制技術主要包括加固技術、隔離圍堵技術和良性蠕蟲對抗技術等。加固技術僅針對已知漏洞或缺陷，卻無法防范未知蠕蟲。隔離圍堵技術是為了減緩蠕蟲的傳播速度，并控制其感染范圍，但算法較為復雜，如文獻[11]對Chord進行擴展，提出一種被稱為Verme的協議，即將系統節點按照其弱點類型進行分組，每一個組稱為一個Island，具有相同弱點的Islands彼此不會相鄰；文獻[12]提出了一個專門的di-jest系統幫助節點選擇鄰居，在建立連接前，di-jest服務器使用一定的評估方法計算兩個節點是否具有足夠的差異性，從而避免脆弱性相同的節點相鄰，延緩蠕蟲傳播，但并沒有對節點差異性進行量化分析。良性蠕蟲對抗技術對爆發的蠕蟲進行動態的主動防御，是目前較有效的蠕蟲遏制方法之一；文獻[13]針對主動對抗技術、被動對抗技術及簡單混合對抗技術存在的缺陷，提出了分而治之混合對抗技術；文獻[14]提出實時混合對抗技術，但這兩種方法對網絡資源消耗較大。

針對現有蠕蟲遏制技術存在的以上問題，本文提出基于節點異質度分析的蠕蟲遏制方法。以自傳播蠕蟲為研究對象，對節點異(同)質度和拓撲區隔度進行量化；在此基礎上，提出了兩種新穎、實用的蠕蟲遏制方法；采用Matlab7.0對以上方法進行有效性驗證，并對仿真結果進行理論分析。

1 節點異質度及拓撲區隔度分析

本節分析了蠕蟲傳播的行為特性，然后給出節點異質度、節點同質度和拓撲區隔度的定義，并對它們進行量化分析。

1.1 蠕蟲傳播行為特性

自傳播蠕蟲利用主機的安全漏洞或策略缺陷，通過網絡進行自傳播的程序。這種蠕蟲往往利用主機在操作系統、應用軟件、數據庫等方面存在的漏洞進行攻擊。為了感染更多的主機系統，蠕蟲一般會采用多種技術(如多線程、選擇性隨機掃描、DNS掃描和完全掃描等)，最大限度地發現可攻擊的目標，并在探測到多個弱點主機以后進行自傳播，從而入侵大量的目標。蠕蟲的傳播模式如圖1所示。

圖1 自傳播蠕蟲活動模式

1.2 節點異質度、同質度的探測及量化方法

由以上分析表明，節點與(或、)的同質性較強，即它們之間具有相同弱點的可能性較大，因此易受同一蠕蟲的攻擊；而節點與(或、)的異質性較強，即它們之間的差異性相對較大，從而不利于同一蠕蟲的傳播。為了描述節點間的這種關系，給出節點異質度、節點同質度和拓撲區隔度的定義如下：

節點異質度：指節點在操作系統、應用軟件(或服務)、數據庫和防御措施4個方面的差異性。

節點同質度：指節點在以上4個方面的相似性。

拓撲區隔度：指網絡拓撲中所有相鄰節點之間的平均異質度。

1) 節點異質度的探測及量化算法可分為：

① 確定異質度的評價指標并分級量化

由節點異質度定義可確定4個評價指標：—操作系統類型及其漏洞；—應用服務類型及其配置策略；—數據庫類型及其漏洞；—安全防護措施。它們的分級量化如表1所示。

表1 評價指標的分級量化表

② 利用漏洞掃描、安全檢測和人工審計等方式，探測集群內每個節點在以上4個指標方面的準確信息，然后依據表1對每一對節點進行分析比較，如針對節點、，則給出評價指標的等級量化值為、、和。

2) 節點同質度的探測及量化算法

1.3 網絡拓撲區隔度量化計算

2 基于節點異質度分析的蠕蟲遏制方法

考慮到節點異(同)質度對蠕蟲傳播行為的影響，首先提出基于拓撲區隔度優化的蠕蟲遏制方法，旨在增大拓撲區隔度以達到抑制蠕蟲傳播速度的目的；其次對傳統的蠕蟲主動對抗技術進行改進，提出基于網絡監測的良性蠕蟲主動對抗技術。

2.1 基于拓撲區隔度優化的蠕蟲遏制方法

增大網絡拓撲區隔度，降低蠕蟲感染率，能夠實現對蠕蟲傳播的有效抑制。為此，在網絡設計與規劃階段，在滿足實際網絡應用的前提下，可為重要節點設計異質度相對較大的鄰居節點，或使同質度較大且易受蠕蟲攻擊的節點分散開來，避免集中分布，以阻斷感染鏈路的形成；在網絡建成并投入運行后，拓撲結構相對穩定，對其進行區隔度優化受到一定程度的條件限制，但仍可采用一些輔助手段來增大其區隔度，如節點調換、系統重裝或服務重配置等。由以上分析可見，該方法既實用又可行。

針對網絡設計與規劃階段，本文設計了一種拓撲區隔度優化方法，通過科學部署網絡節點在拓撲中的位置，達到增大拓撲區隔度的目的，其主要步驟如下：

2) 依據拓撲結構圖計算得到多組分布不同的拓撲區隔位，其算法如圖2所示。拓撲區隔位是指一組特殊的頂點集合，其中任意兩頂點不存在物理(或邏輯)連接。

3) 對節點進行蠕蟲感染風險評估及同、異質度

分析，然后選取那些風險度和同質度均較大的節點，使它們分布于步驟2)得到的某一組或幾組拓撲區隔位上，以達到風險分散的目的。

4) 對重要節點及其鄰居節點進行漏洞加固、系統重裝和服務重配置等，以使相鄰節點間的異質度最大化。

拓撲區隔位生成算法實現如下：

Algorithm: 拓撲區隔位生成算法

Input: 網絡拓撲結構圖(,)，頂點集元烽|()|=，邊集元數|()|=

Output: 輸出該網絡拓撲對應的一組區隔位置集

BEGIN

=1; //網絡拓撲頂點集()的元素標識，?{1, 2,…,}

=0; //所生成區隔位置集的元數||

=; //區隔位置集，初值為空集

=(); //為從()中刪除當前集合及其鄰居頂點后的剩余頂點集do

{ 1 從集合中任取一個頂點();

2 獲取()的甩有鄰居頂點集();

3 將頂點()存入集合中;

4 更新集合，令=-()-()，即從中刪除()及();

} while (||>0); //||為剩余頂點集的元數

=||;

輸出拓撲區隔位置集;

END

以一個擁有13個頂點的網絡拓撲Net為例，可生成3組不同的區隔位置集1、2和3，如圖2所示。

圖2 生成Net的拓撲區隔位置集

為了反映拓撲區隔度變化對蠕蟲感染率的影響，在此給出考慮拓撲區隔度的蠕蟲傳播模型為：

2.2 基于網絡監測的良性蠕蟲主動對抗方法

將網絡中的主機分為4類：1) 易感類，該類主機既沒有被蠕蟲感染也沒有被良性蠕蟲感染，但具有被蠕蟲感染的可能性；2) 感染類，該類主機被蠕蟲感染但沒有被良性蠕蟲感染；3) 良性感染類，該類主機被良性蠕蟲感染；4) 恢復類，該類主機既不會被蠕蟲感染也不會被良性蠕蟲感染。

借助于醫學界以毒攻毒的思想，良性蠕蟲可以像蠕蟲一樣傳播，給有漏洞的主機打補丁或清除被感染的主機上的蠕蟲病毒，或者同時具有以上2個功能。文獻[13-14]中采用良性蠕蟲主動掃描、感染所有易感主機，而沒有考慮當易感主機與感染主機之間的異質度較大時，其實易感主機是很難被感染主機感染成功的。為此，本文對傳統的良性蠕蟲對抗方式進行改進，提出一種基于網絡監測的良性蠕蟲主動對抗方法，其實現機制如圖3所示。

圖3 基于網絡監測的良性蠕蟲對抗方法

對蠕蟲傳播進行建模，該模型中用到的參數的含義及初始值見表2。

表2 模型的參數及其初始值

主機間的狀態轉換如圖4所示。

圖4 主機間的狀態轉換圖

根據主機間的狀態轉換圖，可建立蠕蟲的傳播模型為如下微分方程組：

隨著蠕蟲及良性蠕蟲的不斷傳播，網絡會被經常阻塞并且破壞網絡中的設備，這樣就減小了蠕蟲的感染速度，因此得到蠕蟲的感染率為：

同理可得良性蠕蟲的感染率為：

3 仿真驗證及分析

為了驗證本文的蠕蟲遏制方法的有效性，采用Matlab7.0軟件對蠕蟲傳播模型進行仿真，對比分析蠕蟲傳播變化曲線。為了敘述簡便，方法1為基于拓撲區隔度優化的蠕蟲遏制方法，方法2為基于網絡監測的良性蠕蟲主動對抗方法。

3.1 方法1

對式(4)所示的蠕蟲傳播模型進行仿真，假設網絡主機總數為，原拓撲的蠕蟲感染率為；第一次優化后，拓撲區隔度增大0.1，即，第二次優化后對應，第三次優化后對應，對這3次拓撲區隔度優化后的蠕蟲傳播情況進行仿真，如圖5所示。

圖5 蠕蟲遏制有效性對比圖

由圖5可知，對拓撲區隔度進行優化有利于遏制蠕蟲的傳播，且拓撲區隔度越增大，其對蠕蟲的遏制效果就越好。

3.2 方法2

為了有效比較方法2與文獻[13-14]中的主動對抗技術，除了增加參數以外，其余模型參數及其初值均相同。根據表2所示的模型參數及其初值，可得方法2條件下的蠕蟲傳播情況，如圖6所示。

為了進一步證明方法2相對于文獻[13-14]中傳統的主動對抗技術的優勢，本文從遏制有效性、網絡資源消耗兩個方面進行比較分析。

1) 遏制有效性對比分析

圖6 方法2條件下的蠕蟲傳播情況圖

圖7 遏制有效性對比分析

2) 網絡資源消耗對比分析

蠕蟲在傳播過程中對網絡的資源消耗與網絡中的主動探測蠕蟲(包括網絡蠕蟲和良性蠕蟲)數量成正比。在主動對抗技術下，良性蠕蟲和網絡蠕蟲均主動掃描網絡中的漏洞主機，即主動探測蠕蟲數量為感染主機和良性感染主機的數量之和。在參數取值同圖7的情況下，其主動探測蠕蟲數量的對比變化情況如圖8所示。

圖8 網絡資源消耗對比分析

4 結 束 語

本文分析了自傳播蠕蟲的行為特性，定義、量化了節點異(同)質度及網絡拓撲區隔度；在此基礎上提出了兩種蠕蟲遏制方法，即基于拓撲區隔度優化的蠕蟲遏制方法和基于網絡監測的良性蠕蟲主動對抗方法；采用Matlab7.0軟件對以上方法進行仿真驗證，方法1的仿真結果表明，網絡拓撲區隔度越大越有利于抑制蠕蟲的傳播速度；方法2對比仿真結果表明，方法2具有較好的蠕蟲遏制效果，且能更好地滿足遏制有效性和網絡資源消耗低的雙重要求。下一步工作是研究拓撲相關蠕蟲的傳播模型及其遏制方法。

[1] MOORE D, PAXSON V, SAVAGE S, et al. Inside the slammer worm[J]. IEEE Magazine of Security and Privacy, 2003, 1(4): 33-39.

[2] HATAHET S, BOUABDALLAH A, YACINE C. A new worm propagation threat in bit torrent: Modeling and analysis[J]. Telecommunication Systems, 2010, 45(2-3): 95-109.

[3] STEPHENSON B, SIKDAR B. A quasi-species model for the propagation and containment of polymorphic worms[J]. IEEE Transactions on Computers, 2009, 58(9): 1289-1296.

[4] 嚴博, 吳曉平, 廖巍, 等. 基于隨機進程代數的P2P網絡蠕蟲對抗傳播特性分析[J]. 電子學報, 2012, 40(2): 293- 299.

YAN Bo, WU Xiao-ping, LIAO Wei, et al. Propagation characteristics analysis of worm-anti-worm in P2P network based on stochastic process algebra[J]. Acta Electronica Sinica, 2012, 40(2): 293-299.

[5] 梁廣民, 任安. 車載蠕蟲傳播建模與仿真[J]. 電子科技大學學報, 2013, 42(2): 277-282.

LIANG Guang-min, REN An. Modeling and simulating epidemics of vehicular worms[J]. Journal of University of Electronic Science and Technology of China, 2013, 42(2): 277-282.

[6] 和亮, 馮登國, 王蕊, 等. 基于MapReduce的大規模在線社交網絡蠕蟲仿真[J]. 軟件學報, 2013, 24(7): 1666-1682.

HE Liang, FENG Deng-guo, WANG Rui, et al. Map reduce-based large-scale online social network worm simulation[J]. Journal of Software, 2013, 24(7): 1666-1682.

[7] 馮朝勝, 秦志光, 袁丁, 等. P2P網絡中被動型蠕蟲傳播與免疫建模[J]. 電子學報, 2013, 41(5): 884-889.

FENG Chao-sheng, QIN Zhi-guang, YUAN Ding, et al. Modeling propagation and immunization of passive worms in peer-to-peer networks[J]. Acta Electronica Sinica, 2013, 41(5): 884-889.

[8] 張偉, 王汝傳, 李鵬. 基于云安全環境的蠕蟲傳播模型[J]. 通信學報, 2012, 33(4): 17-24.

ZHANG Wei, WANG Ru-chuan, LI Peng. Worm propagation modeling in cloud security[J]. Journal on Communications, 2012, 33(4): 17-24.

[9] 馮朝勝, 袁丁, 卿昱, 等. P2P網絡中激發型蠕蟲傳播動態建模[J]. 電子學報, 2012, 40(2): 300-307.

FENG Chao-sheng, YUAN Ding, QING Yu, et al. Dynamic modeling of reactive worm propagation in P2P networks[J]. Acta Electronica Sinica, 2012, 40(2): 300-307.

[10] 汪潔, 王建新, 劉緒崇. 基于近鄰關系特征的多態蠕蟲防御方法[J]. 通信學報, 2011, 32(8): 150-158.

WANG Jie, WANG Jian-xin, LIU Xu-chong. Novel approach based on neighborhood relation signature against polymorphic internet worms[J]. Journal on Communications, 2011, 32(8): 150-158.

[11] FREITAS F, RODRIGUES R, RIBEIRO C, et al. VERME: Worm containment in peer-to-peer overlays[C]// IPTPS’07: Proceeding of the 6th International Workshop on Peer-to-Peer Systems. Sellevae: [s.n.], 2007.

[12] MCILWRAITH D, PQAUIER M. Di-jest: Autonomic neighbor management for worm resilience in P2P systems [C]//WoWMoM’08: International Symposium World of Wireless, Mobile and Multimedia Networks. [S.l.]: IEEE, 2008.

[13] 周翰遜, 趙宏, 聞英友. 分而治之的混合型良性蠕蟲的建模與分析[J]. 計算機研究與發展, 2009, 46(7): 1110- 1116.

ZHOU Han-xun, ZHAO Hong, WEN Ying-you. Modeling and analysis of divide and rule hybrid benign worms[J]. Journal of Computer Research and Development, 2009, 46(7): 1110-1116.

[14] 秦拯, 李軍群, 歐露, 等. 實時混合對抗蠕蟲的建模和分析[J]. 湖南大學學報(自然科學版), 2011, 38(5): 74-78.

QIN Zheng, LI Jun-qun, OU Lu, et al. Modeling and analysis of real-time hybrid anti-worms[J]. Journal of Hunan University(Natural Sciences), 2011, 38(5): 74-78.

編 輯 黃 莘

Research on Worm Containment Strategy Based on Node Heterogeneity Analysis

CHEN Tian-ping1, CUI Wen-yan1, MENG Xiang-ru1, and XU Yuan2

(1. Institute of Information and Navigation, Aire Force Engineering University Xi’an 710077; 2. No.39 Research Institute, CETC Xi’an 710065)

The behavior characteristics of self propagating worms is analyzed, and the nodes heterogeneity, topology segmentation degree are defined and quantified. On this basis, the worm containment strategy based on the optimization of topological segmentation degree is put forward, and the method for increasing topological segmentation degree is studied. In addition, the active counterplot of benign worms based on network monitoring is proposed, the worm's scanning range is limited to high-risk groups susceptible hosts, so as to better take into account the effectiveness of worm containment and network resource consumption advantages of low two aspects. Matlab7.0 is adopted to the simulation of worm propagation model under the condition of the above strategies. The simulation results show that the above methods have better worm containment effect.

containment strategy; network worms; nodes heterogeneity; topology segmentation degree

TP309.1

A

10.3969/j.issn.1001-0548.2016.03.019

2014 - 11 - 10；

2015 - 12 - 08