劉波，王懷民，肖楓濤，陳新

（國防科技大學(xué) 計(jì)算機(jī)學(xué)院，長沙 湖南 410073）

1 引言

隨著以 Internet為代表的網(wǎng)絡(luò)及其承載的網(wǎng)絡(luò)應(yīng)用日益表現(xiàn)出成長性、自治性和多樣性的特點(diǎn)[1]，在系統(tǒng)、網(wǎng)絡(luò)、應(yīng)用以及管理等各個(gè)層面上暴露出來的大量漏洞或者脆弱性，導(dǎo)致以蠕蟲為代表的惡意代碼對(duì)網(wǎng)絡(luò)基礎(chǔ)設(shè)施以及網(wǎng)絡(luò)應(yīng)用的破壞程度明顯增加。尤其是當(dāng)蠕蟲在繼續(xù)保持了自我復(fù)制和主動(dòng)傳播特性的同時(shí)，更多地將 Rootkit技術(shù)應(yīng)用于自身的隱蔽，或者被攻擊者賦予了相應(yīng)的通信能力，形成各種類型的僵尸網(wǎng)絡(luò)之后，惡意代碼已經(jīng)愈發(fā)成為影響網(wǎng)絡(luò)安全的最嚴(yán)重威脅之一。

從攻擊者的角度而言，在使用蠕蟲類惡意代碼實(shí)施網(wǎng)絡(luò)攻擊時(shí)，如何能夠在盡可能短的時(shí)間內(nèi)發(fā)現(xiàn)并且感染網(wǎng)絡(luò)中盡可能多的潛在攻擊目標(biāo)通常是其追求的首要目標(biāo)。即使攻擊者的最終意圖是形成具有某種控制結(jié)構(gòu)的惡意網(wǎng)絡(luò)，利用蠕蟲類惡意代碼的滲透傳播也是攻擊者感染網(wǎng)絡(luò)中大量脆弱性主機(jī)的主要途徑。因此，作為蠕蟲類惡意代碼研究的重要內(nèi)容之一，能否合理地建立蠕蟲傳播模型，使用數(shù)學(xué)建模的方法相對(duì)準(zhǔn)確地反映蠕蟲在網(wǎng)絡(luò)中進(jìn)行滲透傳播時(shí)其數(shù)量規(guī)模隨傳播時(shí)間而發(fā)生的動(dòng)態(tài)變化，深入分析包括掃描策略在內(nèi)的多種因素可能對(duì)蠕蟲的滲透傳播過程產(chǎn)生的潛在影響，為更有針對(duì)性地開展蠕蟲防護(hù)、檢測以及抑制技術(shù)的研究提供必要的理論依據(jù)，對(duì)于有效地遏制蠕蟲類惡意代碼所形成的嚴(yán)重威脅具有極為重要的意義。

2 蠕蟲傳播模型的研究進(jìn)展與分析

雖然在 Internet中爆發(fā)過的大量蠕蟲曾經(jīng)使用過隨機(jī)掃描、順序掃描、本地優(yōu)先掃描、內(nèi)部目標(biāo)列表掃描、外部目標(biāo)列表掃描等多種不同的掃描策略[2～4]，但是從本質(zhì)上而言，這些采用了不同掃描策略的蠕蟲在自我復(fù)制、主動(dòng)傳播等特性上都與生物界中的病毒極為相似。同時(shí)，病理學(xué)領(lǐng)域中對(duì)傳染性疾病在人群中的感染過程進(jìn)行建模的大量研究也已經(jīng)表明，確定性的分析方法可以很好地用于對(duì)大規(guī)模系統(tǒng)的動(dòng)態(tài)特性變化進(jìn)行建模[5]。因此，在研究生物病毒的傳染過程時(shí)所形成的部分?jǐn)?shù)學(xué)模型及其分析方法就被很自然地應(yīng)用于蠕蟲的滲透傳播機(jī)制研究，形成了若干具有代表性的蠕蟲傳播模型。

2.1 基于簡單傳染病模型的蠕蟲傳播模型研究

簡單傳染病模型（SEM, simple epidemic model）[6]首先假設(shè)網(wǎng)絡(luò)中每臺(tái)可能被感染的脆弱性主機(jī)在蠕蟲的傳播過程中可能分別處于易被感染（susceptible）和已被感染（infected）2種不同的狀態(tài)：在蠕蟲開始傳播之前，所有的脆弱性主機(jī)均處于Susceptible狀態(tài)；隨著蠕蟲在網(wǎng)絡(luò)中的傳播，被感染的脆弱性主機(jī)將從 Susceptible狀態(tài)轉(zhuǎn)變?yōu)镮nfected狀態(tài)，并且在隨后的蠕蟲傳播過程中始終保持Infected狀態(tài)。亦即，網(wǎng)絡(luò)中的脆弱性主機(jī)將只可能出現(xiàn)由Susceptible狀態(tài)到Infected狀態(tài)的轉(zhuǎn)換，因此，SEM模型也被稱為SI模型。其次，SEM模型還假設(shè)網(wǎng)絡(luò)中每臺(tái)處于Infected狀態(tài)的脆弱性主機(jī)，將以相同的概率嘗試感染網(wǎng)絡(luò)中其他仍然處于Susceptible狀態(tài)的脆弱性主機(jī)。這實(shí)際上意味著蠕蟲將在同構(gòu)的網(wǎng)絡(luò)環(huán)境中進(jìn)行傳播。

如果以N表示在蠕蟲開始傳播之前網(wǎng)絡(luò)中所有處于Susceptible狀態(tài)的脆弱性主機(jī)數(shù)量，I(t)表示在某個(gè)時(shí)刻t，網(wǎng)絡(luò)中已經(jīng)被蠕蟲感染的處于Infected狀態(tài)的脆弱性主機(jī)數(shù)量，那么SEM模型可以表示為如式(1)所示的微分方程[6]，其中β被稱為雙向的感染率，代表了在某個(gè)時(shí)刻t，網(wǎng)絡(luò)中已經(jīng)被感染的脆弱性主機(jī)對(duì)易被感染的脆弱性主機(jī)的感染強(qiáng)度或者感染能力。

基于 SEM 模型類似的假設(shè)條件以及時(shí)間連續(xù)的分析方法，通過研究處于Infected狀態(tài)的脆弱性主機(jī)可能由于所感染的蠕蟲實(shí)例被清除而發(fā)生的狀態(tài)轉(zhuǎn)換，分別形成了 SIS模型[7]和 Kermack-Mckendrik模型[8]（即KM模型，也稱SIR模型）；而雙因素模型[9]（two-factor worm model）又在KM模型的基礎(chǔ)上進(jìn)一步分析了處于Susceptible狀態(tài)的脆弱性主機(jī)可能由于修補(bǔ)了相應(yīng)的漏洞而發(fā)生狀態(tài)轉(zhuǎn)換，以及蠕蟲自身的大量繁殖可能引起網(wǎng)絡(luò)擁塞等因素對(duì)于蠕蟲傳播過程的影響。

2.2 AAWP模型（analytical active worm propagation model）

Z. Chen等在開展蠕蟲傳播模型的研究時(shí)提出，如果以經(jīng)典的傳染病模型為基礎(chǔ)，使用時(shí)間連續(xù)的分析方法來研究蠕蟲的滲透傳播過程，那么將很難合理地反映部分重要的時(shí)間因素可能對(duì)蠕蟲的傳播過程所產(chǎn)生的影響：首先，每個(gè)蠕蟲的實(shí)例感染下一個(gè)處于Susceptible狀態(tài)的脆弱性主機(jī)是需要時(shí)間來完成的。在某個(gè)處于Susceptible狀態(tài)的脆弱性主機(jī)被完全感染之前，這個(gè)脆弱性主機(jī)不會(huì)轉(zhuǎn)變到Infected狀態(tài)，亦即沒有傳染性；而使用時(shí)間連續(xù)的微分方程來估算網(wǎng)絡(luò)中被感染的脆弱性主機(jī)數(shù)量的動(dòng)態(tài)增長，就意味著在每個(gè)具體時(shí)刻t，都可能有若干“被部分感染”的脆弱性主機(jī)將參與對(duì)其他仍然處于Susceptible狀態(tài)的脆弱性主機(jī)的感染，這就與實(shí)際的蠕蟲傳播過程存在著一定的差異。其次，不同種類的蠕蟲具有不同的感染能力，這個(gè)感染能力不僅取決于蠕蟲實(shí)例的平均掃描速率，或者雙向的感染強(qiáng)度，還取決于蠕蟲的各個(gè)實(shí)例在感染具體目標(biāo)時(shí)需要花費(fèi)的時(shí)間。因此，在分析蠕蟲的滲透傳播過程時(shí)還必須綜合考慮感染時(shí)間這個(gè)因素的可能影響[10]。

基于這種認(rèn)識(shí)，Z. Chen等使用時(shí)間離散的確定性分析方法提出了蠕蟲傳播模型AAWP，用于分析采用隨機(jī)掃描策略的蠕蟲在 IPv4網(wǎng)絡(luò)地址空間中的滲透傳播。在AAWP模型中，蠕蟲的實(shí)例完成對(duì)下一個(gè)潛在目標(biāo)的掃描和感染所需要的時(shí)間被稱為一個(gè)時(shí)間單元。同時(shí)，為了降低分析過程的復(fù)雜性，AAWP模型假設(shè)當(dāng)蠕蟲的某個(gè)實(shí)例發(fā)出的某次掃描選擇了網(wǎng)絡(luò)中的某個(gè) IP地址之后，無論該IP地址是否被使用、（如果IP地址被使用，對(duì)應(yīng)的）目標(biāo)主機(jī)是否存在脆弱性、（存在脆弱性的）目標(biāo)主機(jī)是否已經(jīng)被蠕蟲的其他實(shí)例所感染，這個(gè)蠕蟲實(shí)例都將花費(fèi)一個(gè)完整的時(shí)間單元來實(shí)施相應(yīng)的攻擊行為。

如果以mi和ni分別表示在第i個(gè)時(shí)間單元（0i≥）結(jié)束時(shí)，網(wǎng)絡(luò)中（包含已經(jīng)處于Infected狀態(tài)和仍然處于Susceptible狀態(tài)的）脆弱性主機(jī)的數(shù)量和已經(jīng)處于Infected狀態(tài)的脆弱性主機(jī)數(shù)量，η表示蠕蟲實(shí)例的平均掃描速率。那么在第 1i+個(gè)時(shí)間單元結(jié)束時(shí)，網(wǎng)絡(luò)中處于Infected狀態(tài)的被感染主機(jī)數(shù)量1in+可由式(2)計(jì)算獲得[10]：

2.3 網(wǎng)絡(luò)環(huán)境的異構(gòu)性

無論是使用時(shí)間連續(xù)的分析方法還是時(shí)間離散的分析方法來研究蠕蟲的滲透傳播過程，概括而言，都是以盡量合理地抽取可能影響到蠕蟲傳播速度的多種潛在因素為出發(fā)點(diǎn)，力爭更加準(zhǔn)確地估算出在蠕蟲開始傳播后的某個(gè)時(shí)刻t，網(wǎng)絡(luò)中被蠕蟲所感染的脆弱性主機(jī)數(shù)量。

但是在上述代表性的蠕蟲傳播模型研究中普遍忽略了一個(gè)關(guān)鍵環(huán)節(jié)，這就是在病理學(xué)研究領(lǐng)域，傳染病模型的基本假設(shè)是將大量可能被感染的潛在目標(biāo)視為同構(gòu)群體。這個(gè)假設(shè)很好地與傳染性疾病在易感人群中的傳播過程相吻合。而當(dāng)把傳染病模型應(yīng)用于研究蠕蟲類惡意代碼在網(wǎng)絡(luò)中的滲透傳播時(shí)，如果仍然基于類似的假設(shè)，將典型如Internet的目標(biāo)網(wǎng)絡(luò)視為同構(gòu)網(wǎng)絡(luò)，即網(wǎng)絡(luò)中的脆弱性主機(jī)是均勻地分布在網(wǎng)絡(luò)地址空間中，而且處于Susceptible狀態(tài)的脆弱性主機(jī)將有相同的概率被網(wǎng)絡(luò)中所有其他處于Infected狀態(tài)的脆弱性主機(jī)所感染，那么這種假設(shè)就與目標(biāo)網(wǎng)絡(luò)的實(shí)際情況可能存在著一定程度的出入。類似的，雖然Z. Chen等在對(duì) AAWP模型做出相應(yīng)的擴(kuò)展后又進(jìn)一步地提出了LAAWP模型[10]，用以分析采用了本地優(yōu)先掃描策略的非均勻掃描蠕蟲在網(wǎng)絡(luò)中的滲透傳播過程，但是無論AAWP模型還是LAAWP模型，都還是以同構(gòu)網(wǎng)絡(luò)作為其研究的基本假設(shè)[11]，并沒有考慮到網(wǎng)絡(luò)環(huán)境的異構(gòu)性可能對(duì)蠕蟲的滲透傳播過程產(chǎn)生潛在影響。

實(shí)際上，以 Internet為例，各種蠕蟲在滲透傳播時(shí)所處的是一個(gè)高度異構(gòu)的網(wǎng)絡(luò)環(huán)境，這與上述代表性的蠕蟲傳播模型所假設(shè)的扁平化同構(gòu)網(wǎng)絡(luò)環(huán)境具有相當(dāng)大的差異。

1) 首先，Internet是由若干以不同方式連接的自治系統(tǒng)或者管理域所組成。蠕蟲在各個(gè)管理域的內(nèi)部以及管理域之間的滲透傳播可能分別表現(xiàn)出不同的動(dòng)態(tài)特性變化。例如，Serazzi等結(jié)合對(duì)Slammer蠕蟲的傳播數(shù)據(jù)進(jìn)行分析后指出，Internet中自治系統(tǒng)之間的網(wǎng)絡(luò)互聯(lián)是影響Slammer蠕蟲傳播過程的瓶頸之所在[12]。

2) 其次，網(wǎng)絡(luò)中存在相應(yīng)的漏洞，可能被蠕蟲所感染的脆弱性主機(jī)在整個(gè)網(wǎng)絡(luò)地址空間中的分布是不均勻的。從本質(zhì)上而言，這種脆弱性主機(jī)的不均勻分布也是由于 Internet被劃分為不同管理域的必然結(jié)果。以Z. Chen等對(duì)可能存在漏洞的網(wǎng)絡(luò)服務(wù)在各個(gè)網(wǎng)絡(luò)區(qū)域中的采樣數(shù)據(jù)為例，無論是以DNS頂級(jí)管理域，還是以國家、自治系統(tǒng)、A類/8網(wǎng)絡(luò)或者B類/16網(wǎng)絡(luò)作為不同網(wǎng)絡(luò)區(qū)域的劃分標(biāo)準(zhǔn)，所采樣的網(wǎng)絡(luò)服務(wù)在各個(gè)網(wǎng)絡(luò)區(qū)域之間均表現(xiàn)出明顯的不均勻分布[13]。Rajab等則通過分析分布式入侵檢測系統(tǒng) Dshield[14]的日志數(shù)據(jù)，進(jìn)一步地證實(shí)了可能已經(jīng)被Code Red、Nimda、MS Blaster等蠕蟲所感染的脆弱性主機(jī)在 Internet中的分布是不均勻的[11]。

3) 再次，越來越多的網(wǎng)絡(luò)用戶使用私有IP地址，通過NAT技術(shù)接入Internet。Casado等在對(duì)監(jiān)測到的Code Red II蠕蟲的流量數(shù)據(jù)進(jìn)行分析后認(rèn)為，網(wǎng)絡(luò)中有60%左右被Code Red II蠕蟲所感染的計(jì)算機(jī)使用了私有IP地址或者動(dòng)態(tài)IP地址，經(jīng)由NAT之后接入Internet[15]。類似的，Rajab等也通過網(wǎng)絡(luò)監(jiān)測的方法對(duì) NAT技術(shù)的使用情況進(jìn)行了估算，結(jié)果顯示大約有19%的具有感染性的計(jì)算機(jī)通過使用NAT技術(shù)接入Internet[16]。雖然這2種研究方法在具體數(shù)字上存在著一定程度的差異，但是其研究結(jié)論共同反映了NAT技術(shù)在Internet中已經(jīng)被廣泛運(yùn)用的事實(shí)。

因此，針對(duì)上述蠕蟲傳播模型研究在“同構(gòu)網(wǎng)絡(luò)”這個(gè)前提假設(shè)上可能存在的缺陷，下文將首先抽象出分層的異構(gòu)網(wǎng)絡(luò)模型用于反映 Internet的異構(gòu)特性，并以之作為開展蠕蟲傳播模型研究的基本前提。同時(shí)，鑒于AAWP/LAAWP模型所使用的時(shí)間離散的確定性分析方法可以相對(duì)合理地反映出感染時(shí)間在蠕蟲的滲透傳播過程中產(chǎn)生的潛在影響，下文將繼續(xù)基于時(shí)間離散的確定性分析方法，全面、深入地分析蠕蟲在異構(gòu)網(wǎng)絡(luò)環(huán)境中的滲透傳播過程。這個(gè)面向異構(gòu)網(wǎng)絡(luò)環(huán)境的、以AAWP/LAAWP模型為基礎(chǔ)進(jìn)行優(yōu)化的蠕蟲傳播模型將被稱為Enhanced-AAWP模型。

3 面向異構(gòu)網(wǎng)絡(luò)環(huán)境的蠕蟲傳播模型研究

3.1 分層的異構(gòu)網(wǎng)絡(luò)模型抽象

Enhanced-AAWP模型使用分層的異構(gòu)網(wǎng)絡(luò)模型來抽象蠕蟲在滲透傳播過程中所處的以 Internet為代表的異構(gòu)網(wǎng)絡(luò)環(huán)境，具體如圖1所示。

1) 上層的宏觀網(wǎng)絡(luò)中，蠕蟲傳播的異構(gòu)網(wǎng)絡(luò)環(huán)境可以被視為由多個(gè)相互連接的自治系統(tǒng)或者不同的管理域所組成。

2) 下層的實(shí)體網(wǎng)絡(luò)中，并非所有的IPv4地址均全局路由可達(dá)。每個(gè)自治系統(tǒng)或者管理域內(nèi)部的聯(lián)網(wǎng)計(jì)算機(jī)既有可能被分配了全局路由可達(dá)的 IP地址，也有可能被分配了私有或者動(dòng)態(tài)的IP地址，通過使用 NAT技術(shù)接入上層由自治系統(tǒng)或者管理域相互連接而成的全局網(wǎng)絡(luò)。

3) 處于 Susceptible狀態(tài)、可能被蠕蟲在傳播過程中所感染的脆弱性主機(jī)在這些自治系統(tǒng)或者管理域之間的分布可能是不均勻的。同時(shí)，為了模型的簡化，可以假設(shè)在各個(gè)自治系統(tǒng)中，Susceptible狀態(tài)的脆弱性主機(jī)在全局路由可達(dá)的網(wǎng)絡(luò)區(qū)域內(nèi)是均勻分布的；類似的，在每個(gè) NAT子網(wǎng)中，也可以假設(shè)Susceptible狀態(tài)的脆弱性主機(jī)是均勻分布的。

3.2 Enhanced-AAWP模型的分析方法

由于脆弱性主機(jī)在各個(gè)自治系統(tǒng)之間的分布是不均勻的，因此在基于分層的異構(gòu)網(wǎng)絡(luò)模型、使用時(shí)間離散的確定性分析方法具體分析蠕蟲的滲透傳播過程時(shí)，其作用域不再是單獨(dú)每臺(tái)可能處于Susceptible狀態(tài)的脆弱性主機(jī)，而是會(huì)被應(yīng)用到網(wǎng)絡(luò)中可能包含有若干臺(tái)脆弱性主機(jī)的各個(gè)不同的網(wǎng)絡(luò)區(qū)域，通過相應(yīng)地計(jì)算蠕蟲的實(shí)例所發(fā)出的掃描動(dòng)作可能進(jìn)入到各個(gè)網(wǎng)絡(luò)區(qū)域的數(shù)量，對(duì)蠕蟲在不同網(wǎng)絡(luò)區(qū)域中的傳播過程分別進(jìn)行建模，再以之為基礎(chǔ)綜合形成面向異構(gòu)網(wǎng)絡(luò)環(huán)境的蠕蟲傳播模型。

為了將 Enhanced-AAWP模型的研究重點(diǎn)集中在對(duì)蠕蟲滲透傳播機(jī)制的內(nèi)在本質(zhì)特性進(jìn)行深入分析，因此下文暫時(shí)忽略了蠕蟲在滲透傳播的過程中可能會(huì)受到網(wǎng)絡(luò)安全防護(hù)措施或者人工干預(yù)等外在因素的潛在影響。在這個(gè)前提下，以 AAWP模型為基礎(chǔ)，Enhanced-AAWP模型也可以使用下面的引理作為基本的分析依據(jù)。

引理 對(duì)于某個(gè)地址空間規(guī)模為ω的網(wǎng)絡(luò)區(qū)域而言，如果 1）初始狀態(tài)下該網(wǎng)絡(luò)區(qū)域中處于Susceptible狀態(tài)的脆弱性主機(jī)數(shù)量為N，2）在第i個(gè)時(shí)間單元，該網(wǎng)絡(luò)區(qū)域中處于Infected狀態(tài)的脆弱性主機(jī)數(shù)量為iI，3）在第 1i+ 個(gè)時(shí)間單元內(nèi)命中該網(wǎng)絡(luò)區(qū)域的蠕蟲掃描次數(shù)為S，那么可由式（3）計(jì)算出在第 1i+個(gè)時(shí)間單元內(nèi)該網(wǎng)絡(luò)區(qū)域中新被蠕蟲感染的脆弱性主機(jī)數(shù)量：

圖1 分層的異構(gòu)網(wǎng)絡(luò)模型

與AAWP模型的分析方法[10]相類似，引理的證明可以通過歸納法來完成：

1) 當(dāng)S=1時(shí)，由于此時(shí)網(wǎng)絡(luò)中存在N-Ii臺(tái)處于Susceptible狀態(tài)的脆弱性主機(jī)，因此命中該網(wǎng)絡(luò)區(qū)域的此次掃描有的可能使得某臺(tái)處于Susceptible狀態(tài)的脆弱性主機(jī)轉(zhuǎn)換到Infected狀態(tài)，即

2) 假設(shè)Sn=當(dāng)時(shí)定理成立，即

那么當(dāng)1Sn=+時(shí)，在前n次掃描完成之后，第1n+次掃描命中該網(wǎng)絡(luò)區(qū)域中某臺(tái)Susceptible狀態(tài)的脆弱性主機(jī)的概率為，而第n+1次掃描未命中該網(wǎng)絡(luò)區(qū)域中任何Susceptible狀態(tài)的脆弱性主機(jī)的概率為1-。因此，當(dāng)有1n+次掃描命中該網(wǎng)絡(luò)區(qū)域之后，新增的Infected狀態(tài)的脆弱性主機(jī)數(shù)量1nI+Δ可以由式（6）計(jì)算獲得：

綜上，引理成立，證畢。

這就意味著，AAWP模型對(duì)蠕蟲在IPv4地址空間中的傳播過程進(jìn)行分析的方法，在不同規(guī)模的網(wǎng)絡(luò)區(qū)域中仍然具有可適性，可以之作為出發(fā)點(diǎn)開展面向異構(gòu)網(wǎng)絡(luò)環(huán)境的蠕蟲傳播模型研究。

3.3 Enhanced-AAWP模型與本地優(yōu)先掃描策略分析

為了簡化Enhanced-AAWP模型的分析過程而又不失一般性，可以進(jìn)一步地對(duì)異構(gòu)網(wǎng)絡(luò)環(huán)境以及蠕蟲在這個(gè)異構(gòu)網(wǎng)絡(luò)環(huán)境中的滲透傳播過程做出以下假設(shè)。

1) 網(wǎng)絡(luò)中由于存在漏洞而可能被感染的脆弱性主機(jī)在蠕蟲的整個(gè)傳播過程中將分別處于2種狀態(tài)：易被感染的Susceptible狀態(tài)和已被感染的Infected狀態(tài)；當(dāng)某個(gè)Susceptible狀態(tài)的脆弱性主機(jī)被蠕蟲的某個(gè)實(shí)例所感染后，將在后續(xù)的蠕蟲傳播過程中始終處于Infected狀態(tài)。

2) 蠕蟲將在由K個(gè)相互連接的不同自治系統(tǒng)所組成的網(wǎng)絡(luò)環(huán)境中進(jìn)行滲透傳播。

3) 在每個(gè)自治系統(tǒng)i中，全局路由可達(dá)的網(wǎng)絡(luò)分別是子網(wǎng)前綴可能不同的/ni網(wǎng)絡(luò)，對(duì)應(yīng)的IP地址集合為Vi，網(wǎng)絡(luò)地址空間大小為初始處于Susceptible狀態(tài)的脆弱性主機(jī)數(shù)量為Ni。

4) 在每個(gè)自治系統(tǒng)i中，分別有iM個(gè)NAT子網(wǎng)接入到網(wǎng)絡(luò)中，并且：

①這Mi個(gè)NAT子網(wǎng)分別是可能具有不同子網(wǎng)前綴的/n'i,l網(wǎng)絡(luò)，1≤l≤Mi；

②在每個(gè)/n'i,l的NAT子網(wǎng)內(nèi)，IP地址集合為Vi,′l，網(wǎng)絡(luò)地址空間大小為，初始處于Susceptible狀態(tài)的脆弱性主機(jī)數(shù)量為Ni′,l；那么，每個(gè)自治系統(tǒng)i中所有NAT子網(wǎng)對(duì)應(yīng)的IP地址集 合Vi′=UVi′,l，網(wǎng) 絡(luò) 地 址 空 間 大 小1≤l≤Mi；

③在每個(gè)/,'iln的NAT子網(wǎng)內(nèi)，所有的IP地址均為全局路由不可達(dá)狀態(tài)，即所有處于NAT子網(wǎng)內(nèi)的Susceptible狀態(tài)的脆弱性主機(jī)只可能被處于相同NAT子網(wǎng)內(nèi)的Infected狀態(tài)的脆弱性主機(jī)上的蠕蟲實(shí)例所感染。

5) 如圖2所示，蠕蟲實(shí)例具有初步的智能性，將使用經(jīng)過優(yōu)化的單級(jí)本地優(yōu)先掃描策略在上述異構(gòu)的網(wǎng)絡(luò)環(huán)境中選擇下一輪攻擊的潛在目標(biāo)：

① 以Pl的可能性完成本地網(wǎng)絡(luò)掃描，在與被這個(gè)蠕蟲實(shí)例所感染的Infected狀態(tài)脆弱性主機(jī)相同的/n′i,l網(wǎng)絡(luò)或者/in網(wǎng)絡(luò)中隨機(jī)地選擇下一個(gè)潛在的攻擊目標(biāo)；

② 以Pr=1-Pl的可能性在包含上述/n′i,l網(wǎng)絡(luò)或者/ni網(wǎng)絡(luò)的整個(gè)掃描空間（例如IPv4地址空間）中隨機(jī)地選擇下一個(gè)潛在的攻擊目標(biāo)；

③ 蠕蟲實(shí)例所發(fā)出的上述掃描動(dòng)作，分別被稱為Pl掃描和Pr掃描。

圖2 蠕蟲在異構(gòu)網(wǎng)絡(luò)環(huán)境中的本地優(yōu)先掃描

6) 無論Infected狀態(tài)的脆弱性主機(jī)是位于全局路由可達(dá)的網(wǎng)絡(luò)內(nèi)還是某個(gè)NAT子網(wǎng)內(nèi)，感染這個(gè)脆弱性主機(jī)的蠕蟲實(shí)例都需要花費(fèi)一個(gè)完整的時(shí)間單元以完成對(duì)下一個(gè)潛在攻擊目標(biāo)的掃描和感染；當(dāng)某個(gè)時(shí)間單元結(jié)束時(shí)，在這個(gè)時(shí)間單元內(nèi)被感染的所有原處于Susceptible狀態(tài)的脆弱性主機(jī)都將轉(zhuǎn)換為Infected狀態(tài)。

根據(jù)Enhanced-AAWP模型的研究假設(shè)，目標(biāo)網(wǎng)絡(luò)的地址空間大小為，那么當(dāng)蠕蟲在滲透傳播過程中需要覆蓋整個(gè)目標(biāo)網(wǎng)絡(luò)時(shí)，需要掃描的地址空間大小Ω應(yīng)該大于232-niK+′。同時(shí)，上述假設(shè)也給出了一個(gè)經(jīng)過優(yōu)化的、具有某種程度適應(yīng)性的本地優(yōu)先掃描策略，即每個(gè)蠕蟲實(shí)例可以根據(jù)傳播時(shí)所處的具體網(wǎng)絡(luò)環(huán)境來確定接下來實(shí)施lP掃描和rP掃描時(shí)分別需要考慮的掃描范圍。

Enhanced-AAWP模型在分析蠕蟲的滲透傳播過程時(shí)所使用的符號(hào)及其含義如表1所示。

根據(jù)Enhanced-AAWP模型的假設(shè)，對(duì)于某個(gè)自治系統(tǒng)i中第l個(gè)NAT子網(wǎng)而言，由于NAT子網(wǎng)內(nèi)的地址均為全局路由不可達(dá)，因此在第t+1個(gè)時(shí)間單內(nèi)，只有這個(gè)NAT子網(wǎng)內(nèi)個(gè)處于Infected狀態(tài)的脆弱性主機(jī)發(fā)出的ηPl次Pl掃描，以及次Pr掃描才有可能繼續(xù)命中這個(gè)子網(wǎng)。那么根據(jù)引理，在第t+1個(gè)時(shí)間單元結(jié)束時(shí)，自治系統(tǒng)i中第l個(gè)NAT子網(wǎng)內(nèi)處于Infected狀態(tài)的脆弱性主機(jī)數(shù)量如式(7)所示：

表1 Enhanced-AAWP模型使用的符號(hào)及其含義

因此，在第1t+個(gè)時(shí)間單元結(jié)束時(shí)，可由式(8)計(jì)算出自治系統(tǒng)i中所有Mi個(gè)NAT子網(wǎng)內(nèi)處于Infected狀態(tài)的脆弱性主機(jī)總數(shù)：

另一方面，對(duì)于自治系統(tǒng)i中全局路由可達(dá)的網(wǎng)絡(luò)區(qū)域，根據(jù)Enhanced-AAWP模型的假設(shè)，在第t+1個(gè)時(shí)間單元內(nèi)可能命中這個(gè)網(wǎng)絡(luò)區(qū)域的掃描有兩類：

1) 自治系統(tǒng)i中全局路由可達(dá)網(wǎng)絡(luò)區(qū)域內(nèi)的It,i個(gè)Infected狀態(tài)的脆弱性主機(jī)所發(fā)出的Pl掃描，將繼續(xù)命中這個(gè)自治系統(tǒng)中全局路由可達(dá)的網(wǎng)絡(luò)區(qū)域；

2) 除了自治系統(tǒng)i中全局路由可達(dá)的網(wǎng)絡(luò)區(qū)域內(nèi)It,i個(gè)Infected狀態(tài)的脆弱性主機(jī)發(fā)出的Pl掃描外，整個(gè)異構(gòu)的網(wǎng)絡(luò)環(huán)境中所有It個(gè)Infected狀態(tài)的脆弱性主機(jī)發(fā)出的Pr掃描，也將以的概率命中自治系統(tǒng)i中全局路由可達(dá)的網(wǎng)絡(luò)區(qū)域。

因此，在第t+1個(gè)時(shí)間單元內(nèi)命中自治系統(tǒng)i中全局路由可達(dá)網(wǎng)絡(luò)區(qū)域的掃描次數(shù) S可由式(9)計(jì)算獲得：

于是，在第t+1個(gè)時(shí)間單元結(jié)束時(shí)，可由式(10)計(jì)算出自治系統(tǒng)i中全局路由可達(dá)的網(wǎng)絡(luò)區(qū)域內(nèi)處于Infected狀態(tài)的脆弱性主機(jī)數(shù)量：

綜上，在第t+1個(gè)時(shí)間單元結(jié)束時(shí)，式(11)給出了整個(gè)異構(gòu)的網(wǎng)絡(luò)環(huán)境中已經(jīng)被蠕蟲所感染的處于Infected狀態(tài)的脆弱性主機(jī)數(shù)量：

以 Enhanced-AAWP模型對(duì)上述這個(gè)經(jīng)過優(yōu)化的單級(jí)本地優(yōu)先掃描策略進(jìn)行分析的方法為基礎(chǔ)，可以方便地在擴(kuò)展后對(duì)更復(fù)雜的多級(jí)本地優(yōu)先掃描策略，例如Code Red II蠕蟲所使用的兩級(jí)本地優(yōu)先掃描策略進(jìn)行相應(yīng)的分析。

3.4 均勻的隨機(jī)掃描策略分析

如果在基于Enhanced-AAWP模型分析上述優(yōu)化的單級(jí)本地優(yōu)先掃描策略時(shí)取 Pr= 1 （相應(yīng)地有 Pl= 0 ，即每個(gè)蠕蟲實(shí)例不會(huì)基于本地網(wǎng)絡(luò)優(yōu)先的原則發(fā)出 Pl掃描），那么這個(gè)單級(jí)本地優(yōu)先掃描策略將完全等價(jià)于均勻的隨機(jī)掃描策略。亦即，如果基于Enhanced-AAWP模型來分析蠕蟲在異構(gòu)網(wǎng)絡(luò)環(huán)境下的滲透傳播過程，那么可以相應(yīng)地將隨機(jī)掃描策略視為本地優(yōu)先掃描策略的一個(gè)特例。

首先，對(duì)于某個(gè)自治系統(tǒng)i中第l個(gè)NAT子網(wǎng)而言，在第 t +1個(gè)時(shí)間單內(nèi)，這個(gè)NAT子網(wǎng)內(nèi)個(gè)處于Infected狀態(tài)的脆弱性主機(jī)發(fā)出的所有η次Pr掃描，將以的概率繼續(xù)命中這個(gè)子網(wǎng)。那么在第 t +1個(gè)時(shí)間單元，自治系統(tǒng)i中第l個(gè) NAT子網(wǎng)內(nèi)處于Infected狀態(tài)的脆弱性主機(jī)數(shù)量可由式(12)計(jì)算獲得：

其次，對(duì)于自治系統(tǒng)i中全局路由可達(dá)的網(wǎng)絡(luò)區(qū)域，由于在第t+1個(gè)時(shí)間單元內(nèi)可能命中這個(gè)網(wǎng)絡(luò)區(qū)域的掃描次數(shù)為，因此在第t+1個(gè)時(shí)間單元結(jié)束時(shí)，自治系統(tǒng)i中全局路由可達(dá)的網(wǎng)絡(luò)區(qū)域內(nèi)處于Infected狀態(tài)的脆弱性主機(jī)數(shù)量將由式(13)計(jì)算獲得：

綜上，可由式（14）計(jì)算出在第t+1個(gè)時(shí)間單元結(jié)束時(shí)，整個(gè)異構(gòu)的網(wǎng)絡(luò)環(huán)境中已經(jīng)被該隨機(jī)掃描蠕蟲所感染的處于 Infected狀態(tài)的脆弱性主機(jī)數(shù)量：

4 Enhanced-AAWP模型的模擬與分析

S. R. White在研究計(jì)算機(jī)病毒的傳染過程時(shí)曾經(jīng)指出，計(jì)算機(jī)病毒的實(shí)際傳播速度要滯后于傳染病模型的預(yù)期[17]。那么當(dāng)蠕蟲在Internet等異構(gòu)的網(wǎng)絡(luò)環(huán)境中進(jìn)行滲透傳播時(shí)，是否也存在著類似的現(xiàn)象呢？以Code Red蠕蟲為例，圖3(a)給出了D.Moore等根據(jù)CAIDA的監(jiān)測數(shù)據(jù)所繪制的Internet中被蠕蟲所感染的脆弱性主機(jī)數(shù)量動(dòng)態(tài)增長的傳播曲線[18]；而以 IPv4地址空間中初始處于Susceptible狀態(tài)的脆弱性主機(jī)數(shù)量 N = 3 59000、初始處于Infected狀態(tài)的脆弱性主機(jī)數(shù)量 I0= 1、蠕蟲實(shí)例的平均掃描速率η=6作為模擬參數(shù)，使用Matlab分別對(duì)SEM模型和AAWP模型進(jìn)行模擬后得到的傳播曲線如圖3(b)所示（模擬參數(shù)N、η的選擇參考了C. C. Zou等對(duì)Code Red蠕蟲的分析數(shù)據(jù)[19]；而在模擬 AAWP模型時(shí)，相應(yīng)地考慮了一個(gè)時(shí)間單元的長度分別等于1s和60s的情形）。

圖3 Code Red蠕蟲的傳播曲線

從圖3可以看出，對(duì)于Code Red蠕蟲而言，無論是時(shí)間連續(xù)的 SEM模型，還是時(shí)間離散的AAWP模型，雖然能夠大致地描述蠕蟲傳播曲線的總體變化趨勢，但是都在不同程度上高估了蠕蟲在Internet中的傳播速度。例如，即使在模擬過程中取時(shí)間單元的長度等于 60s（即假設(shè)蠕蟲的實(shí)例需要花費(fèi)60s才能完成對(duì)某個(gè)潛在目標(biāo)的感染，這在蠕蟲的傳播過程中已屬相對(duì)罕見），AAWP模型的估算結(jié)果仍然明顯超前于實(shí)際的蠕蟲傳播曲線。那么，又是哪些原因可能導(dǎo)致蠕蟲在 Internet中的傳播速度滯后于 SEM 或者AAWP等以同構(gòu)網(wǎng)絡(luò)假設(shè)為前提的傳播模型的預(yù)期呢？下文將通過使用 Matlab來模擬Enhanced-AAWP模型，對(duì)異構(gòu)的網(wǎng)絡(luò)環(huán)境中可能影響蠕蟲傳播進(jìn)程的部分因素進(jìn)行相應(yīng)的分析。

4.1 模擬參數(shù)的設(shè)置及其依據(jù)

在對(duì)分層的異構(gòu)網(wǎng)絡(luò)模型進(jìn)行抽象時(shí)，Enhanced-AAWP模型假設(shè)蠕蟲將在由K個(gè)相互連接的不同自治系統(tǒng)所組成的網(wǎng)絡(luò)環(huán)境中進(jìn)行傳播。實(shí)際上，在組成IPv4地址空間的256個(gè)A類/8網(wǎng)絡(luò)中，只有116個(gè)A類/8網(wǎng)絡(luò)在Internet中全局路由可達(dá)[20]。因此，在模擬Enhanced-AAWP模型時(shí)，可以假設(shè)所有處于Susceptible狀態(tài)的脆弱性主機(jī)均勻分布在這116個(gè)A類網(wǎng)絡(luò)中，而在其余的140個(gè)A類網(wǎng)絡(luò)中沒有脆弱性主機(jī)的存在，從而在一定程度上反映出網(wǎng)絡(luò)地址空間中脆弱性主機(jī)的不均勻分布。同時(shí)，在這116個(gè)分布有脆弱性主機(jī)的A類網(wǎng)絡(luò)中，還將進(jìn)一步地對(duì)每個(gè)A類網(wǎng)絡(luò)中分別接入了1個(gè)或者2個(gè)A類的NAT子網(wǎng)、并且相應(yīng)地分別有 7%[16]、19%或者 60%的脆弱性主機(jī)位于這些NAT子網(wǎng)內(nèi)的情形進(jìn)行模擬，從而更全面地反映出異構(gòu)的網(wǎng)絡(luò)環(huán)境中，NAT子網(wǎng)的數(shù)量以及脆弱性主機(jī)在 NAT子網(wǎng)內(nèi)的密集程度等因素對(duì)蠕蟲傳播進(jìn)程的可能影響。

雖然在模擬時(shí)只有在116個(gè)A類/8網(wǎng)絡(luò)中分布有脆弱性主機(jī)，但是根據(jù)Code Red等絕大多數(shù)蠕蟲的實(shí)際傳播情況，每個(gè)蠕蟲實(shí)例仍然將掃描整個(gè)IPv4地址空間，即蠕蟲的掃描地址空間大小 Ω =232（如果每個(gè)蠕蟲實(shí)例也將掃描地址空間優(yōu)化至這116個(gè)全局路由可達(dá)的A類網(wǎng)絡(luò)，那么這個(gè)蠕蟲就將成為理論上的路由蠕蟲[20]）。

在掃描策略的選取上，將分別對(duì)完全的隨機(jī)掃描策略、Pl= 0 .75/Pr= 0 .25的本地優(yōu)先掃描策略和Pl= 0 .875/ Pr= 0 .125的本地優(yōu)先掃描策略進(jìn)行模擬。由于后兩種本地優(yōu)先掃描策略在 Pl和 Pr的取值上分別參考了Nimda蠕蟲和Code Red II蠕蟲的實(shí)現(xiàn)，因此可以將下文模擬的這兩種蠕蟲分別稱為類Nimda蠕蟲（Nimda-like worm）和類Code Red II蠕蟲（CodeRed II-like worm）。

在完成的全部模擬實(shí)驗(yàn)中，都將取網(wǎng)絡(luò)中初始處于 Susceptible狀態(tài)的脆弱性主機(jī)數(shù)量N=359 000，蠕蟲實(shí)例的平均掃描速率η=6，每個(gè)時(shí)間單元的長度為1s。

4.2 部分與NAT子網(wǎng)相關(guān)的因素對(duì)蠕蟲傳播過程的影響

圖4模擬了Code Red蠕蟲在脆弱性主機(jī)分布于116個(gè)A類網(wǎng)絡(luò)、每個(gè)A類網(wǎng)絡(luò)中各有1個(gè)A類的NAT子網(wǎng)，并且有19%的脆弱性主機(jī)位于NAT子網(wǎng)內(nèi)的異構(gòu)網(wǎng)絡(luò)環(huán)境中（即 Ni′,1=(359000/116)×19%= 5 88, Ni= ( 359000/116)×81% = 2 507, 1 ≤ i≤116）進(jìn)行傳播的過程。為了簡化后續(xù)分析的復(fù)雜性且不失一般性，模擬時(shí)將假設(shè)在每個(gè)A類網(wǎng)絡(luò)中全局路由可達(dá)的網(wǎng)路區(qū)域內(nèi)以及NAT子網(wǎng)內(nèi)，都將分別有一個(gè)初始處于Infected狀態(tài)的脆弱性主機(jī)（即==1, 1≤i≤116，亦即模擬環(huán)境中初始具有傳染性的脆弱性主機(jī)數(shù)量I0=232）。作為對(duì)比，圖4還分別繪制了當(dāng)I0=232時(shí)，Code Red蠕蟲和具有路由蠕蟲特性的Code Red蠕蟲變種在116個(gè)全局路由可達(dá)的A類網(wǎng)絡(luò)（即在模擬環(huán)境中不考慮NAT網(wǎng)絡(luò)的影響）中進(jìn)行掃描時(shí)的傳播曲線。

圖4 異構(gòu)網(wǎng)絡(luò)環(huán)境對(duì)蠕蟲傳播過程的可能影響

根據(jù)圖4所模擬的傳播曲線可以清楚地看出，較之于同構(gòu)的網(wǎng)絡(luò)環(huán)境，當(dāng)考慮了NAT子網(wǎng)在Internet中的使用之后，隨機(jī)掃描蠕蟲的傳播進(jìn)程出現(xiàn)了明顯的延緩。更進(jìn)一步地，圖5(a)和圖5(b)則相應(yīng)地給出了當(dāng)每個(gè)A類網(wǎng)絡(luò)中各有1個(gè)A類的NAT子網(wǎng)，并且分別有7%（Ni′,1=217,Ni=2878, 1≤i ≤116）、19%以及60%（Ni′,1=1857,Ni=1238, 1≤i≤116）的脆弱性主機(jī)位于NAT子網(wǎng)中時(shí)，使用隨機(jī)掃描策略的Code Red蠕蟲和使用本地優(yōu)先掃描策略的類Nimda蠕蟲在掃描過程中的傳播曲線（同樣基于==1, 1≤i ≤116的假設(shè)）。

如圖5所示，在異構(gòu)的網(wǎng)絡(luò)環(huán)境中進(jìn)行傳播時(shí)，無論是隨機(jī)掃描蠕蟲還是本地優(yōu)先掃描蠕蟲，隨著NAT子網(wǎng)內(nèi)脆弱性主機(jī)密度的逐步提高，蠕蟲感染全部脆弱性主機(jī)所需花費(fèi)的時(shí)間將逐步縮短。這是由于根據(jù)Enhanced-AAWP模型的假設(shè)，NAT子網(wǎng)內(nèi)的脆弱性主機(jī)無法被位于全局路由可達(dá)網(wǎng)絡(luò)區(qū)域內(nèi)的蠕蟲實(shí)例所感染，因此蠕蟲在異構(gòu)的網(wǎng)絡(luò)環(huán)境中感染全部脆弱性主機(jī)所需花費(fèi)的時(shí)間，主要取決于NAT子網(wǎng)內(nèi)的脆弱性主機(jī)被全部感染的速度。而NAT子網(wǎng)內(nèi)脆弱性主機(jī)的密度越高，蠕蟲在NAT子網(wǎng)內(nèi)就具有越快的傳播速度。

圖5 脆弱性主機(jī)在NAT子網(wǎng)中的密集程度對(duì)蠕蟲傳播過程的可能影響

同時(shí)，從圖5(b)中也可以看到，對(duì)于使用了本地優(yōu)先掃描策略的類Nimda蠕蟲，當(dāng)NAT子網(wǎng)內(nèi)脆弱性主機(jī)的密度為7%時(shí)，蠕蟲在初始階段的傳播速度有可能比在NAT子網(wǎng)內(nèi)具有更高的脆弱性主機(jī)密度（例如19%或者60%）時(shí)更快，這主要是由于此時(shí)在全局路由可達(dá)的網(wǎng)絡(luò)區(qū)域內(nèi)具有更多的脆弱性主機(jī)以及更高的脆弱性主機(jī)密度，從而使得蠕蟲在全局路由可達(dá)網(wǎng)絡(luò)區(qū)域內(nèi)相對(duì)更快的傳播速度對(duì)蠕蟲的傳播曲線造成了更大的影響。不過即便如此，當(dāng)NAT子網(wǎng)中具有更大的脆弱性主機(jī)密度時(shí)，蠕蟲將只需花費(fèi)相對(duì)更少的時(shí)間即可感染網(wǎng)絡(luò)中全部的脆弱性主機(jī)。

圖6 NAT子網(wǎng)的數(shù)量對(duì)蠕蟲傳播過程的可能影響

圖6對(duì)比了使用本地優(yōu)先掃描策略的類Nimda蠕蟲在19%的脆弱性主機(jī)位于NAT子網(wǎng)內(nèi)，并且每個(gè)A類網(wǎng)絡(luò)中分別接入了1個(gè)A類的NAT子網(wǎng)或者2個(gè)A類 的NAT子 網(wǎng) （Ni′,1=Ni′,2=0.5× 588=294,Ni=2507, 1≤i≤116）的模擬環(huán)境中進(jìn)行掃描時(shí)的傳播曲線。其中，當(dāng)在每個(gè)A類網(wǎng)絡(luò)內(nèi)接入了2個(gè)NAT子網(wǎng)時(shí)，可以假設(shè)在初始狀態(tài)下，這2個(gè)NAT子網(wǎng)內(nèi)各有一臺(tái)脆弱性主機(jī)已經(jīng)被蠕蟲所感染，而在全局路由可達(dá)的網(wǎng)絡(luò)區(qū)域內(nèi)沒有初始處于Infected狀態(tài)的脆弱性主機(jī)，從而使得模擬環(huán)境中初始處于Infected狀態(tài)的脆弱性主機(jī)數(shù)量可以保持相對(duì)一致（即=0,==1, 1≤i≤116）。

由于在模擬時(shí)假設(shè)每個(gè)A類網(wǎng)絡(luò)中位于NAT子網(wǎng)內(nèi)的脆弱性主機(jī)總量保持不變，因此NAT子網(wǎng)數(shù)量的增加，就意味著每個(gè)NAT子網(wǎng)內(nèi)脆弱性主機(jī)密度的降低，從而導(dǎo)致蠕蟲在NAT子網(wǎng)內(nèi)的傳播速度隨之減緩，使得蠕蟲將花費(fèi)更多的時(shí)間才能完成對(duì)模擬環(huán)境中全部脆弱性主機(jī)的感染。

4.3 本地優(yōu)先掃描策略的設(shè)計(jì)對(duì)蠕蟲傳播過程的可能影響

根據(jù)Enhanced-AAWP模型，結(jié)合相應(yīng)的模擬實(shí)驗(yàn)，不僅可以直觀地體現(xiàn)出與NAT子網(wǎng)相關(guān)的若干環(huán)境因素如何影響到蠕蟲在異構(gòu)網(wǎng)絡(luò)環(huán)境中的傳播過程，還可以之為基礎(chǔ)，相應(yīng)地對(duì)類似于掃描策略等在很大程度上決定了蠕蟲掃描行為的內(nèi)在本質(zhì)特性進(jìn)行深入分析。

圖7(a)與圖7(b)相應(yīng)地對(duì)比了當(dāng)模擬環(huán)境中有19%的脆弱性主機(jī)位于NAT子網(wǎng)內(nèi)，并且在每個(gè)A類網(wǎng)絡(luò)中分別接入了1個(gè)A類NAT子網(wǎng)或者2個(gè)A類NAT子網(wǎng)時(shí)，類Nimda蠕蟲（Pl=0.75/Pr=0.25）和類Code Red II蠕蟲（Pl=0.875/Pr=0.125）的傳播曲線。

通過圖7可以看出，具有相對(duì)更大的本地掃描概率lP的類Code Red II蠕蟲在模擬環(huán)境中將表現(xiàn)出比類Nimda蠕蟲相對(duì)更快的傳播速度。這是因?yàn)闊o論某個(gè)蠕蟲實(shí)例是位于全局路由可達(dá)的網(wǎng)絡(luò)區(qū)域內(nèi)還是某個(gè)NAT子網(wǎng)中，其所發(fā)出的lP掃描都還將指向自身所處的網(wǎng)絡(luò)區(qū)域；而在其發(fā)出rP掃描中，將有部分掃描可能指向了（其他）NAT子網(wǎng)，或者IPv4網(wǎng)絡(luò)中未被使用的部分地址空間（例如其余140個(gè)A類/8網(wǎng)絡(luò)），因而未能形成實(shí)際的感染能力。同理，由于可以將隨機(jī)掃描策略視為本地優(yōu)先掃描策略中Pl=0的特例，因此在異構(gòu)的網(wǎng)絡(luò)環(huán)境中，本地優(yōu)先掃描蠕蟲應(yīng)該比隨機(jī)掃描蠕蟲具有相對(duì)更快的傳播速度，這也可以通過將圖5與圖7的傳播曲線進(jìn)行對(duì)比后得以驗(yàn)證。

圖7 本地優(yōu)先掃描策略對(duì)蠕蟲傳播過程的可能影響

5 結(jié)束語

合理的蠕蟲傳播模型將有助于分析可能影響到蠕蟲傳播速度的多種潛在因素。本文在AAWP模型的基礎(chǔ)上，將異構(gòu)的網(wǎng)絡(luò)環(huán)境這個(gè)外在因素納入到傳播模型的研究中，使用時(shí)間離散的確定性分析方法推導(dǎo)出Enhanced-AAWP模型，結(jié)合相應(yīng)的模擬實(shí)驗(yàn)深入分析了隨機(jī)掃描蠕蟲和本地優(yōu)先掃描蠕蟲在異構(gòu)網(wǎng)絡(luò)環(huán)境中的掃描行為。在后續(xù)的工作中，將進(jìn)一步地結(jié)合對(duì)異構(gòu)網(wǎng)絡(luò)環(huán)境的理解與分析，相應(yīng)地完善和修訂Enhanced-AAWP模型，從而更加全面、準(zhǔn)確地反映蠕蟲在Internet中的滲透傳播過程，并針對(duì)性地開展蠕蟲防護(hù)檢測技術(shù)的研究。

[1] 盧錫城,王懷民,王戟.虛擬計(jì)算環(huán)境iVCE:概念與體系結(jié)構(gòu)[J].中國科學(xué)(E輯), 2006, 36(10):1081-1099.LU X C, WANG H M, WANG J. Internet-based virtual computing environment iVCE: concept and architecture[J]. Science in China Ser E Information Sciences, 2006, 36(10):1081-1099.

[2] STANIFORD S, PAXSON V, WEAVOR N. How to own the internet in your spare time[A]. Proceedings of the 11th USENIX Security Symposium[C]. San Francisco, CA, USA, 2002.149-167.

[3] WU J, VANGALA S, GAO L X, et al. An effective architecture and algorithm for detecting worms with various scan techniques[A].Proceedings of the 11th Annual Network and Distributed System Security Symposium (NDSS’04)[C]. San Diego, CA, USA, 2004.143-156.

[4] WEAVER N, PAXSON V, STANIFORD S, et al. A taxonomy of computer worms[A]. Proceedings of ACM CCS Workshop on Rapid Malcode (WORM’03) [C]. Washington, DC, USA, 2003.11-18.

[5] ANDERSSON H, BRITTON T. Stochastic Epidemic Models and Their Statistical Analysis[M]. NewYork: Springer-Verlag, 2000.156-160.

[6] DALEY D J, GANI J. Epidemic Modelling: An Introduction[M].Cambridge, UK: Canbridge University Press, 1999.120-126.

[7] KEPHART J O, WHITE S R. Measuring and modeling computer VIrus prevalence[A]. Proceedings of IEEE Computer Society Symposium on Research in Security and Privacy[C]. Oakland, CA,USA, 1993. 2-3.

[8] FRAUENTHAL J C. Mathematical Modeling in Epidemiology[M].New York: Springer-Verlag, 1980.78-93.

[9] ZOU C C, GONG W, TOWSLEY D. Code red worm propagation modeling and analysis[A]. Proceedings of the 9th ACM Conference on Computer and Communication Security[C]. Washington, DC, USA,2002.143-148.

[10] CHEN Z S, GAO L X, KWIAT K. Modeling the spread of active worms[A]. Proceedings of IEEE INFOCOM 2003[C]. San Franciso,CA, USA, 2003.1890-1900.

[11] RAJAB M A, MONROSE F, TERZIS A. On the effectiveness of distributed worm monitoring[A]. Proceedings of the 14 th USENIX Security Symposium(Security’05)[C]. Baltimore, MD, USA,2005.15-16.

[12] SERAZZI G, ZANERO S. Computer virus propagation models[A].Tutorials of the 11th IEEE/ACM International Symposium on Modeling, Analysis and Simulation of Computer and Telecommunications Systems (MASCOTS'03) [C]. Orlando, Florida, USA, 2003.26-50.

[13] CHEN Z S, JI C. Intelligent Worms: Searching for Preys[M].Mathematics Awareness Month: Mathematics and Internet Security Theme Essays, 2006.115-119.

[14] Distributed intrusion detection system (DShield) [EB/OL]. http://www.dshield.org/.2010.

[15] CASADO M, GANKEL T, CUI W D, et al. Opportunistic measurement: extracting insight from spurious traffic[A]. Proceedings of the 4th ACM Workshop on Hot Topics in Networks (HotNets-IV) [C].College Park, MD, USA, 2005.271-275.

[16] RAJAB M A, MONROSE F, TERZIS A. On the impact of dynamic addressing on malware[A].Proceedings of the 2006 ACM Workshop on Recurring Malcode (WORM) [C]. Alexandria, VA, USA,2006.145-153.

[17] WHITE S R. Open problems in computer virus research[A]. Virus Bulletin Conference[C]. Munich, Germany, 1998.55-66.

[18] MOORE D, SHANNON C, BROWN J. Code-Red: a case study on the spread and victims of an internet worm[A]. Proceedings of the 2nd ACM SIGCOMM Workshop on Internet Measurement[C]. Marseille,France, 2002.273-284.

[19] ZOU C C, GONG W, TOWSLEY D. On the performance of internet worm scanning strategies[J]. Journal of Performance Evaluation, 2006,63(7): 700-723.

[20] ZOU C C, TOWSLEY D, GONG W, et al. Routing worm: a fast,selective attack worm based on IP address information[A].Proceedings of the 19th ACM/IEEE/SCS Workshop on Principles of Advanced and Distributed Simulation (PADS’05)[C]. Monterey, USA,2005.178-185.