□王 欣

(太原旅游職業(yè)學(xué)院，山西太原030006)

互聯(lián)網(wǎng)目前已經(jīng)發(fā)展成為當(dāng)今世界上規(guī)模最大、擁有用戶最多、資源最廣泛的通信網(wǎng)絡(luò)。在全球經(jīng)濟(jì)和人們的生活中起著越來(lái)越重要的作用，與此同時(shí)，隨著計(jì)算機(jī)蠕蟲(chóng)的出現(xiàn)，網(wǎng)絡(luò)安全也受到了極大的挑戰(zhàn)，許多重要數(shù)據(jù)遭到破壞和丟失，造成社會(huì)財(cái)富的極大浪費(fèi)。例如:SQL Slammer蠕蟲(chóng)病毒在十分鐘內(nèi)感染了互聯(lián)網(wǎng)上的90%的易感主機(jī)［1］;“紅色代碼Ⅱ”蠕蟲(chóng)病毒，該蠕蟲(chóng)2001年7月19日從開(kāi)始發(fā)作的9個(gè)小時(shí)里，它就感染了35萬(wàn)多部計(jì)算機(jī)系統(tǒng)［2］，造成經(jīng)濟(jì)損失12億美元。因此，我們需要自動(dòng)檢測(cè)和及時(shí)響應(yīng)防御網(wǎng)絡(luò)蠕蟲(chóng)病毒。

網(wǎng)絡(luò)蠕蟲(chóng)的自動(dòng)遏流技術(shù)為網(wǎng)絡(luò)中的每臺(tái)主機(jī)設(shè)定一個(gè)掃描率的上限［3，4］。利用該方法能自動(dòng)遏制具有快掃描率的蠕蟲(chóng)，然而對(duì)掃描率緩慢的蠕蟲(chóng)沒(méi)有效果，原因是正常的網(wǎng)絡(luò)流量和蠕蟲(chóng)掃描的網(wǎng)絡(luò)流量之間差別非常?。?］，在不影響網(wǎng)絡(luò)正常工作的情況下設(shè)置蠕蟲(chóng)掃描率閾值是非常困難的。

美國(guó)學(xué)者塞爾克等人［5］提出了基于掃描次數(shù)的遏流技術(shù)，針對(duì)每臺(tái)具有獨(dú)立IP地址的主機(jī)，設(shè)置其在一個(gè)時(shí)間周期內(nèi)的掃描次數(shù)的閾值，通過(guò)累積效應(yīng)將蠕蟲(chóng)的異常掃描從正常網(wǎng)絡(luò)掃描中區(qū)分出來(lái)。然而，對(duì)于具有掃描率低且易感率高的智能蠕蟲(chóng)，該方法仍然無(wú)效。本文的研究目的就是要限制這類蠕蟲(chóng)的傳播。

本文提出了基于局域網(wǎng)的遏流技術(shù)，該方法利用同一局域網(wǎng)內(nèi)用戶信息需求上的相似性，為每個(gè)局域網(wǎng)而不是個(gè)體主機(jī)設(shè)置其在一個(gè)時(shí)間周期內(nèi)掃描次數(shù)的閾值，如果子網(wǎng)在一個(gè)周期內(nèi)對(duì)不同IP地址的總掃描次數(shù)超過(guò)了設(shè)定的閾值，就認(rèn)為這個(gè)網(wǎng)絡(luò)可能被蠕蟲(chóng)病毒感染，他的掃描率就會(huì)被限制。實(shí)驗(yàn)結(jié)果表明，本方法可以有效地檢測(cè)出智能蠕蟲(chóng)引起的網(wǎng)絡(luò)流量，實(shí)現(xiàn)控制智能蠕蟲(chóng)病毒的目的，但對(duì)正常網(wǎng)絡(luò)流量的影響很小。馬衛(wèi)東等人［6］的研究也表明同一局域網(wǎng)內(nèi)用戶訪問(wèn)網(wǎng)站呈現(xiàn)冪律分布和集聚現(xiàn)象，具有相似特性。

1 相關(guān)的工作

下面我們通過(guò)Staniford提出的簡(jiǎn)單蠕蟲(chóng)感染(RCS)模型［7］來(lái)研究蠕蟲(chóng)的傳播，假設(shè)在一個(gè)系統(tǒng)沒(méi)有打好補(bǔ)丁的且感染速度恒定的網(wǎng)絡(luò)環(huán)境下，蠕蟲(chóng)傳播方程式如下:

其中，I(t)代表t時(shí)刻網(wǎng)絡(luò)中感染節(jié)點(diǎn)的數(shù)量，β代表蠕蟲(chóng)感染率，N代表網(wǎng)絡(luò)中節(jié)點(diǎn)的總數(shù)量。

在(1)的基礎(chǔ)上，我們將RCS模型速率控制方案進(jìn)行修改，對(duì)定時(shí)掃描率加入一個(gè)限制因素［3，4］:其中，β1為限流因子且β遠(yuǎn)大于β1，這個(gè)方案只能有效地減緩快速蠕蟲(chóng)病毒，而對(duì)慢掃描蠕蟲(chóng)病毒無(wú)效。為了能有效分隔蠕蟲(chóng)流量與正常流量，蠕蟲(chóng)檢測(cè)系統(tǒng)的研究人員［8］提出了使用卡爾曼濾波器來(lái)檢測(cè)蠕蟲(chóng)。

Kabiri等人［9］開(kāi)發(fā)了一個(gè)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)(NIDS)，但系統(tǒng)中的知識(shí)庫(kù)需要手工維護(hù)。為了自動(dòng)獲取蠕蟲(chóng)檢測(cè)系統(tǒng)中的知識(shí)庫(kù)，文獻(xiàn)［10，11］引入了機(jī)器學(xué)習(xí)的方法。

傅建明等人則提出了基于鄰居報(bào)警模式的蠕蟲(chóng)遏制模型［12］，該模型的前提是要求免疫節(jié)點(diǎn)受感染時(shí)必須向其鄰居發(fā)送報(bào)警信號(hào)，如果鄰居不發(fā)送警報(bào)，則該模型將失去作用。

2 蠕蟲(chóng)遏制方案

在本節(jié)中，我們首先介紹智能蠕蟲(chóng)遏制方案，然后給出一些模擬結(jié)果。令Ms是局域網(wǎng)掃描次數(shù)的閾值，即一個(gè)局域在一個(gè)周期內(nèi)允許的最大掃描次數(shù);Sf表示對(duì)可疑局域網(wǎng)所允許的最大掃描率，即對(duì)可疑網(wǎng)絡(luò)遏流后該網(wǎng)絡(luò)的最大掃描率。下面給出遏制蠕蟲(chóng)的方案:

I.對(duì)每個(gè)局域網(wǎng)，設(shè)置計(jì)數(shù)器來(lái)監(jiān)控不同IP地址流量，計(jì)數(shù)器初始值為零;

II.當(dāng)子網(wǎng)有新的IP地址掃描請(qǐng)求時(shí)，增加該子網(wǎng)計(jì)數(shù)器的值。

III.如果子網(wǎng)計(jì)數(shù)器的值達(dá)到了閾值，這時(shí)他的掃描率將被限制為Sf。

IV.在一個(gè)時(shí)間周期結(jié)束后，釋放可疑子網(wǎng)的掃描控制率，然后復(fù)位計(jì)數(shù)器，重新回到I。

注意到Ms和Sf的取值對(duì)蠕蟲(chóng)病毒的傳播有很大的影響，由此我們可以設(shè)定一個(gè)允許的感染比例來(lái)反求上述參數(shù)的值，這部分將在后面的實(shí)驗(yàn)部分進(jìn)一步說(shuō)明。

Nlanr［13］的跟蹤了貝爾實(shí)驗(yàn)室的400位工作人員一個(gè)星期內(nèi)的網(wǎng)絡(luò)訪問(wèn)數(shù)據(jù)，總共訪問(wèn)了46K個(gè)不同的IP地址。也就是說(shuō)單位小時(shí)內(nèi)該子網(wǎng)聯(lián)系的IP地址總數(shù)為280個(gè)。然而，與這些IP地址接觸的總?cè)舜螖?shù)超過(guò)了60K，反映了該子網(wǎng)用戶對(duì)網(wǎng)絡(luò)訪問(wèn)的聚集特性。

盡管本文設(shè)計(jì)的方案對(duì)所有子網(wǎng)均有效，為簡(jiǎn)單起見(jiàn)，我們假設(shè)每個(gè)子網(wǎng)有400個(gè)終端主機(jī)，并且只有一個(gè)公共的IP地址分配給Web代理服務(wù)器。當(dāng)這個(gè)Web代理服務(wù)器被感染了病毒后，那么內(nèi)部主機(jī)被蠕蟲(chóng)病毒感染的幾率也會(huì)很高(實(shí)驗(yàn)中假定為50%)。此外，由于蠕蟲(chóng)在局域網(wǎng)內(nèi)的傳播速度非常快，我們忽略內(nèi)部傳播時(shí)間。我們假設(shè)蠕蟲(chóng)的掃描率為每小時(shí)2，低于文獻(xiàn)［13］中排前10的主機(jī)的掃描速率。設(shè)P=0.005代表漏洞密度，那么感染率(β)為每小時(shí)0.01。

首先仿真了系統(tǒng)中隨機(jī)掃描的智能蠕蟲(chóng)的傳播過(guò)程，圖1給了掃描次數(shù)閾值(Ms)取不同值時(shí)的模擬結(jié)果。

圖1 不同掃描次數(shù)閾值(Ms)與RCS系統(tǒng)對(duì)比

圖1表明，本文給出的遏流技術(shù)能有效地遏制智能型蠕蟲(chóng)的傳播，與RCS系統(tǒng)比較能遏制66%以上的蠕蟲(chóng)傳播。圖1還表明，不同的局域網(wǎng)掃描次數(shù)閾值之間的遏流效果差別很小，這是因?yàn)樽畲蟮拈撝狄材苡行У囟糁浦悄苋湎x(chóng)的傳播。

圖2給出了當(dāng)對(duì)可疑子網(wǎng)采用不同遏流率(Sf)時(shí)的影響。其中，檢測(cè)周期為30天，局域網(wǎng)掃描次數(shù)閾值(Ms)為100800。

圖2 不同遏流率(Sf)與RCS系統(tǒng)對(duì)比

正如圖2所示，當(dāng)可疑子網(wǎng)的掃描率被限制為140時(shí)，感染蠕蟲(chóng)的子網(wǎng)總數(shù)小于200，僅僅是RCS系統(tǒng)的1/7。此外，圖2還表明子網(wǎng)感染總數(shù)與SF值成正比。然而，即使可疑子網(wǎng)的掃描率(Sf)為560，兩倍于正常網(wǎng)絡(luò)掃描率，本系統(tǒng)對(duì)網(wǎng)絡(luò)蠕蟲(chóng)的遏制效果仍然高于33%。

3 動(dòng)態(tài)免疫的影響

在上一節(jié)中，并沒(méi)有考慮系統(tǒng)修復(fù)及動(dòng)態(tài)免疫的影響。但實(shí)際是，防病毒程序會(huì)動(dòng)態(tài)掃描蠕蟲(chóng)所利用的漏洞。如果漏洞被修復(fù)，感染的進(jìn)度將會(huì)受到阻礙。

為了能模擬動(dòng)態(tài)修復(fù)對(duì)蠕蟲(chóng)傳播的影響，在本文的遏制系統(tǒng)中引入了幾何時(shí)間修復(fù)策略(TTR)［14］。在每個(gè)時(shí)間步長(zhǎng)上，受感染的子網(wǎng)變?yōu)槊庖郀顟B(tài)的概率為δ。在模擬系統(tǒng)中，令δ=0.003，即平均修復(fù)的時(shí)間為兩周，圖3為仿真結(jié)果。

圖3 考慮動(dòng)態(tài)免疫的對(duì)比

從模擬顯示的結(jié)果來(lái)看，當(dāng)動(dòng)態(tài)免疫被考慮時(shí)，RCS模型有15%以上的易感子網(wǎng)將被感染，而基于局域網(wǎng)的遏流模型僅僅有7.5%的易感子網(wǎng)被感染，表明本文的遏流系統(tǒng)能產(chǎn)生50%的遏制作用。此外，基于局域網(wǎng)的遏流系統(tǒng)還能推遲感染峰值的到來(lái)，為遏制蠕蟲(chóng)傳播提供準(zhǔn)備時(shí)間。

我們還模擬了動(dòng)態(tài)修復(fù)率δ取不同值時(shí)對(duì)蠕蟲(chóng)傳播的影響，圖4給出了當(dāng)δ分別取0.0014，0.003和0.0035時(shí)的情況。其中，Ms和Sf分別取100800和280。

圖4 δ=0.0014，0.003和0.0035時(shí)的感染比例

從圖4我們發(fā)現(xiàn)，如果平均修復(fù)時(shí)間不超過(guò)兩周時(shí)間，隨機(jī)掃描蠕蟲(chóng)將不會(huì)啟動(dòng)，這為我們有效地控制隨機(jī)掃描蠕蟲(chóng)的傳播是非常重要的。

4 結(jié)論

最近，有關(guān)網(wǎng)絡(luò)安全和惡意軟件的研究多集中在了防病毒系統(tǒng)和病毒之間，如快速的入侵檢測(cè)［15］與自動(dòng)的病毒遏制［5］，然而他們對(duì)掃描率緩慢且易感率高的蠕蟲(chóng)卻是無(wú)效的。

在本文中，我們利用同一子網(wǎng)內(nèi)用戶信息需求的相似性，提出了基于局域網(wǎng)的遏流技術(shù)來(lái)限制慢掃描和脆弱性高的智能蠕蟲(chóng)。研究結(jié)果表明，無(wú)論是否考慮動(dòng)態(tài)免疫本文提出的方法對(duì)慢掃描和高易感性的智能蠕蟲(chóng)都是有效的。也就是說(shuō)，可以給出一個(gè)合理的閾值并利用該閾值將感染子網(wǎng)與正常子網(wǎng)區(qū)別開(kāi)來(lái)，為防病毒系統(tǒng)提供了有價(jià)值的信息。該方法可以很容易地限制惡意軟件在筆記本電腦［16］與手機(jī)病毒［17］的傳播。

下一步，我們計(jì)劃建立模型刻畫(huà)同一子網(wǎng)內(nèi)用戶信息需求的相關(guān)性，同時(shí)利用從企業(yè)網(wǎng)絡(luò)中的真實(shí)數(shù)據(jù)來(lái)評(píng)估本文提出的遏流系統(tǒng)。我們的研究?jī)H限于隨機(jī)掃描蠕蟲(chóng)病毒的傳播，接下來(lái)我們將研究拓?fù)涓兄湎x(chóng)傳播模型并提供相應(yīng)的遏制系統(tǒng)。

［1］Moore，D.，Paxson，V.，Savage，S.，Shanon，C.，Staniford，S.，Weaver，N.:Inside the slammer wor.IEEE Security and Privacy journal，2003.

［2］Moore，D.，Shanon，C.:The Spread of the Code － Red Worm(CRv2)(2001)，http://www.caida.org/research/security/code－red/#crv2.

［3］Williamson，M.M.:Throttling viruses:Restricting propagation to defeat malicious mobile code.Technical Report HPL －2002 －172，HP Laboratories Bristol，2002.

［4］Wong，C.，Wang，C.，Song，D.，Bielski，S.，Ganger，G.R.:Dynamic Quarantine of Internet Worms.In:Proc.IEEE Int’l Conf.Dependable Systems and Networks，2004:73－82.

［5］Sarah，S.H.，Shroff，N.B.，Bagchi，S.:Modeling and Automated Containment of Worms.IEEE Transcations on Dependable and Secure Computing，2008(5):71 －86.

［6］馬衛(wèi)東，王 磊，李幼平，等.用戶需求行為對(duì)互聯(lián)網(wǎng)動(dòng)力學(xué)整體特性的影響［J］.物理學(xué)報(bào)，2008(3).

［7］Staniford，S.，Paxson，V.，Weaver，N.:How to Own the Internet in Your Spare Time.In:Proc.Usenix Security Symp.，2002:149 －167.

［8］Zou，C.C.，Gong，W.，Towsley，D.:Monitoring and Early Warning for Internet Worms.In:Proc.ACM Conf.Computer and Comm.Security，2003:190 －199.

［9］Kabiri，P.，Ghorbani，A.A.:Research on Intrusion Detection and Response:A Survey.International Journal of Network Security，2005(1):84 －102.

［10］Kolter，J.Z.，Maloof，M.A.:Learing to detect malicious executables in the wild.In:Proceedings of the Tenth ACM SIGKDD International Conference on Knowledge Discovery and Data Mining，2004:470 －478.

［11］Moskovitch，R.，Gus，I.，Pluderman，S.，Stopel，D.，F(xiàn)eher，C.，Glezer，C.，Shahar，Y.，Elovici，Y.:Detection of Unknown Computer Worms Activity Based on Computer Behavior using Data Mining.In:Proc.IEEE Symposium on Computational Intelligence and Data Mining，2007:202－209.

［12］Fu，J.M.，Chen，B.L.，Zhang，H.G.:A Worm Containment Model Based on Neighbor－ Alarm.In:Xiao，B.，Yang，L.T.，Ma，J.，Muller － Schloer，C.，Hua，Y.(eds.)ATC 2007.LNCS，vol.4610，pp.449—457.Springer，Heidelberg(2007).

［13］Nlanr.:Bell Lab － I Data Set(2007)，http://pma.nlanr.net/Traces/long/bell.html.

［14］Debany Jr.，W.H.:Modeling the Spread of Internet Worms Via Persistently Unpatched Hosts.IEEE Netw，2008(22):26－32.

［15］Stephenson，B.，Sikdar，B.:A Quasi－ Species Model for the Propagation and Containment of Polymorphic Worms.IEEE Trans.Computers，2009(58):1289 －1296.

［16］王驥東，俞建軍，李 琦.網(wǎng)絡(luò)蠕蟲(chóng)檢測(cè)技術(shù)研究與實(shí)現(xiàn)［J］.計(jì)算機(jī)時(shí)代，2009(9).

［17］亓 璐，吳海峰，翟 鵬，等.網(wǎng)絡(luò)蠕蟲(chóng)掃描策略和檢測(cè)技術(shù)的研究［J］.計(jì)算機(jī)安全，2010(5).