馮朝勝，秦志光，羅王平，劉　霞，袁　丁

(1.四川師范大學可視化計算與虛擬現(xiàn)實四川省重點實驗室，四川成都 610101；2.電子科技大學計算機科學與工程學院，四川成都 610054)

P2P觸發(fā)式主動型蠕蟲傳播建模

馮朝勝1,2，秦志光2，羅王平1，劉霞1，袁丁1

(1.四川師范大學可視化計算與虛擬現(xiàn)實四川省重點實驗室，四川成都 610101；2.電子科技大學計算機科學與工程學院，四川成都 610054)

對P2P觸發(fā)式主動型蠕蟲的攻擊機制進行了研究，發(fā)現(xiàn)該類蠕蟲傳播通常包括四個階段：信息收集，攻擊滲透、自我推進與干預激活.基于對P2P觸發(fā)式主動型蠕蟲攻擊機制的分析并運用流行病學理論提出了P2P觸發(fā)式主動型蠕蟲傳播數(shù)學模型并基于該模型推導了蠕蟲傳播進入無蠕蟲平衡狀態(tài)的充分條件.仿真實驗驗證了所提出傳播模型的有效性.

P2P網(wǎng)絡；觸發(fā)激活；主動型蠕蟲；建模；仿真

1　引言

P2P網(wǎng)絡中出現(xiàn)的蠕蟲(簡稱為P2P蠕蟲)對P2P網(wǎng)絡的正常工作造成嚴重威脅，進而對整個Internet的安全構成威脅.利用P2P網(wǎng)絡的拓撲信息和正常的網(wǎng)絡交互行為在P2P網(wǎng)絡上傳播的蠕蟲就是P2P蠕蟲.根據(jù)攻擊方式的不同，P2P蠕蟲可分成三類[1]：被動型蠕蟲、激發(fā)型蠕蟲和主動型蠕蟲.根據(jù)激活方式不同，P2P主動型蠕蟲可分為自啟式和觸發(fā)式兩種.自啟式蠕蟲將蠕蟲代碼傳送到目標主機后立即就能將自己激活，而觸發(fā)式蠕蟲在將蠕蟲代碼傳送到目標主機后需要用戶打開蠕蟲文件才能將蠕蟲激活.該文對P2P觸發(fā)式主動型蠕蟲傳播模型進行了研究.

2　相關研究

文獻[2]指出，P2P網(wǎng)絡是同質(zhì)網(wǎng)絡，該特點決定了它很適合蠕蟲的傳播.文獻[3]和文獻[4]分別為“紅色代碼”蠕蟲和電子郵件病毒構建了傳播模型，這兩個模型較準確地預測了這些病毒的傳播趨勢和行為.文獻[5]利用流行病學理論分別構建P2P病毒模型和感染文件傳播模型.文獻[1]認為P2P蠕蟲為非掃描型蠕蟲，并對三類P2P蠕蟲分別進行了仿真分析.然而，該文獻并沒有給出P2P蠕蟲傳播的數(shù)學模型.文獻[6]分別為Chord、CAN、Pastry這三種典型結構化對等網(wǎng)構建了P2P蠕蟲傳播模型，揭示了覆蓋網(wǎng)拓撲對蠕蟲傳播的影響.2007年，Li等指出P2P系統(tǒng)會加快網(wǎng)絡蠕蟲在互聯(lián)網(wǎng)上的傳播[7].2008年，Yu 等研究了P2P網(wǎng)絡對網(wǎng)絡主動蠕蟲傳播的影響并構建了傳播模型[8]，分析表明P2P網(wǎng)絡會大大加快主動蠕蟲的傳播速度，其主要原因在于P2P網(wǎng)絡的拓撲特性使得蠕蟲無需掃描就能準確定位攻擊目標.文獻[9]提出了被動型蠕蟲在Gnutella網(wǎng)絡上的傳播模型.文獻[10]和文獻[11]分別對Contagion蠕蟲和拓撲蠕蟲的傳播情況進行了仿真分析.2009年，Toutonji 提出利用動態(tài)隔離策略和被動良性蠕蟲來抑制網(wǎng)絡蠕蟲傳播，并給出了蠕蟲的傳播模型[12]，研究針對的是攻擊力很強的掃描型蠕蟲.2011年，Yang 等提出了一種主動型P2P蠕蟲的動態(tài)隔離策略并構建相應的傳播模型[13]，基于模型對蠕蟲傳播的穩(wěn)定性進行了分析.2013年，Mojahedi等在建模時考慮了網(wǎng)絡拓撲、節(jié)點配置、反擊措施、防御策略和感染時間這些因素，提出了P2P主動拓撲蠕蟲傳播模型[14].Chen等人基于三元邏輯矩陣提出了P2P主動蠕蟲傳播模型[15].2014年，Jafarabadi等提出一個面向P2P主動式蠕蟲的隨機離散模型[16]，該模型考慮了網(wǎng)絡的動態(tài)性.Chen等在提出被動型蠕蟲傳播模型[17]時考慮了四個因素：地址隱藏、配置差異、用戶的上下線行為和下載持續(xù)時間.Yang等提出了被動型蠕蟲的靜態(tài)傳播模型和動態(tài)模型，并提出抑制蠕蟲傳播的策略[18].2015年，文獻[19]提出了被動型蠕蟲的傳播模型，該模型考慮了網(wǎng)絡的動態(tài)性.然而，這些研究都針對的不是觸發(fā)式主動型蠕蟲.

3　P2P觸發(fā)式主動型蠕蟲傳播

P2P觸發(fā)式主動型蠕蟲的傳播步驟包括信息收集、攻擊滲透、自我推進和觸發(fā)激活四個階段，前三個步驟是主動型蠕蟲攻擊一般都會經(jīng)歷的步驟，而最后一個步驟是觸發(fā)式蠕蟲才會經(jīng)歷的步驟.一旦確定攻擊目標，蠕蟲就會利用目標主機的漏洞發(fā)起攻擊并在其上建立后門，然后利用后門將蠕蟲主體復制到目標主機.這時，目標主機進入到潛伏階段.當用戶或其他進程打開偽裝成正常文件的蠕蟲代碼文件時，蠕蟲就會被激活.

表1　四種P2P蠕蟲的比較

注：①觸發(fā)式主動型蠕蟲②自啟式主動型蠕蟲③激發(fā)型蠕蟲④被動型蠕蟲

觸發(fā)式主動型蠕蟲和自啟式主動型蠕蟲、激發(fā)型蠕蟲以及被動型蠕蟲看起來都有些相似，但事實上有很大區(qū)別.為了將這四種蠕蟲區(qū)別開來，從是否需要漏洞、傳播方式、激活方式、是否為拓撲蠕蟲、是否會偽裝為正常文件、攻擊力和隱蔽性7個方面進行了對比，如表1所示.

4　觸發(fā)式主動型蠕蟲傳播建模

4.1建模參數(shù)

在該文中，P2P節(jié)點指安裝有P2P客戶端軟件的主機.根據(jù)節(jié)點是否連接到P2P網(wǎng)絡中，節(jié)點分為兩種：在線節(jié)點和離線節(jié)點.在線節(jié)點指通過啟動P2P客戶端加入到P2P網(wǎng)絡中的節(jié)點，離線節(jié)點指沒有啟動P2P客戶端軟件(但操作系統(tǒng)已經(jīng)啟動)或沒有連接到P2P網(wǎng)絡中的節(jié)點.P2P節(jié)點的狀態(tài)根據(jù)感染情況分成三種：健康的， 潛伏的和感染的.

健康節(jié)點：尚未被感染但存在被感染可能的節(jié)點；

潛伏節(jié)點：存在蠕蟲但蠕蟲尚未激活的節(jié)點；

感染節(jié)點：存在蠕蟲且蠕蟲已被激活的節(jié)點.

表2列舉了建模時要用到的參數(shù)和變量.

表2　建模時用到的變量和參數(shù)

4.2傳播數(shù)學模型

+prIon(t)+ponSoff(t)-poffSon(t)

類似地，可得到離線健康節(jié)點、在線潛伏節(jié)點、離線潛伏節(jié)點、在線感染節(jié)點和離線感染節(jié)點的變化率.故觸發(fā)式主動型P2P蠕蟲傳播模型為：

+prIon(t)+ponSoff(t)-poffSon(t)

(1)

(2)

-phLon(t)+ponLoff(t)-poffLon(t)

(3)

(4)

(5)

(6)

N=Son(t)+Lon(t)+Ion(t)+Soff(t)+Loff(t)+Ioff(t)

(7)

5　無蠕蟲平衡狀態(tài)充分條件

定理當條件

成立時，觸發(fā)式蠕蟲傳播將進入無蠕蟲平衡狀態(tài).

證明蠕蟲是否能夠在網(wǎng)絡中流行是由蠕蟲的基本繁殖率R0來決定的[20]，而求基本繁殖率的一種較為簡單的方法[21,22]是：將個體狀態(tài)轉(zhuǎn)移流分成新感染個體進入流f和其他流v，分別求這兩個向量對各個狀態(tài)變量的微分：

在無蠕蟲平衡狀態(tài)有:

Lon=Loff=Ion=Ioff=0

R0=ρ(FV-1)

由文獻[20]知，當R0<1時觸發(fā)式主動型蠕蟲傳播進入無蠕蟲平衡狀態(tài).

6　仿真實驗

6.1P2P網(wǎng)絡仿真

仿真實驗包括初始化階段和仿真階段.根據(jù)文獻[5]，文件共享對等網(wǎng)中對等機和文件的流行度都服從Zipf分布，所以在初始化階段先按照Zipf分布給所有的文件分配文件名，繼而根據(jù)Zipf分布將文件分配到對等節(jié)點上.仿真程序會定期的輸出實驗結果.仿真實驗的結果被稱作仿真結果；相應地，由數(shù)學模型得到的結果被稱作理論結果，使用數(shù)字分析工具Matlab求解理論結果.如無特別說明，所有實驗的變量和參數(shù)取表2給出的默認值.

6.2實驗結果與分析

圖1～10中T代表理論值，而S代表仿真值.圖1～4表明，對觸發(fā)式主動型蠕蟲傳播影響最大的是激活率，而不是攻擊力，這一點和直覺并不一致.已有研究和經(jīng)驗都表明，攻擊力是影響蠕蟲傳播速度最重要因素之一，但這里的蠕蟲是指自激活式主動型蠕蟲，該類蠕蟲傳播并不需要人工觸發(fā).對于需要人工觸發(fā)的蠕蟲而言，無論攻擊力有多強，即使所有的鄰居節(jié)點都變成了潛伏狀態(tài)，如果沒有人工觸發(fā)，處于潛伏狀態(tài)的節(jié)點永遠都不具有攻擊感染能力.另外，當蠕蟲攻擊力接近或超過平均鄰居節(jié)點數(shù)時，蠕蟲攻擊進入飽和狀態(tài).此時，增加攻擊力不會提高蠕蟲的傳播速度.因此，激活率對該類蠕蟲的傳播有著舉足輕重的影響.在蠕蟲傳播進入平衡狀態(tài)之前，激活率越高，蠕蟲傳播越快，圖1～2充分說明了這一點.蠕蟲激活率通常由蠕蟲文件的偽裝性和用戶的反病毒知識決定.蠕蟲文件偽裝的越像正常文件，用戶打開該文件的可能性越大，蠕蟲被激活的概率越高.用戶的反病毒知識越多，反病毒意識越強，打開來路不明的蠕蟲文件的可能性就越小，蠕蟲被激活的概率就越低.當然，用戶反病毒知識越多，清除蠕蟲能力越強，感染節(jié)點的恢復率就越大，蠕蟲的傳播就會受到一定抑制.正如圖5～6表明的那樣，這種抑制力非常有限.圖7～10表明，上線率和下線率對蠕蟲傳播有一定的影響.上線率越高，下線率越高，蠕蟲傳播的越快.這一點容易理解，在線的感染節(jié)點才具有攻擊力，在線的健康節(jié)點才可能被在線的感染節(jié)點攻擊.上線率越高，下線率越低，健康節(jié)點暴露在感染環(huán)境的時間就越長，更容易被攻擊和感染.

7　結束語

基于對觸發(fā)式主動型蠕蟲的攻擊特點和傳播機制的深入分析，運用流行病學理論，提出了P2P觸發(fā)式主動型蠕蟲傳播的數(shù)學模型并基于該模型推導出蠕蟲進入無蠕蟲平衡狀態(tài)的充分條件.根據(jù)P2P蠕蟲攻擊機制，在P2P仿真網(wǎng)絡中進行了蠕蟲傳播實驗.仿真實驗驗證了蠕蟲傳播模型的有效性.未來工作的重點是提出P2P觸發(fā)式主動型蠕蟲的控制方法.

[1]Chen G,Gray R S.Simulating non-scanning worms on peer-to-peer networks[A].Proceedings of the 1st International Conference on Scalable Information Systems[C].Hong Kong:ACM,2006.29-41.

[2]Staniford S,Paxson V,Weaver N.How to own the internet in your spare time[A].Proceedings of the 11th USENIX Security Symposium[C].San Francisco:ACM,2002.149-167.

[3]Zou C C,Gong W,Towsley D.Code red worm propagation modeling and analysis[A].Proceedings of ACM Conference on Computer and Communication Security(CCS’02)[C].Washington:ACM,2002.138-147.

[4]Zou C C,Towsley D,Gong W.Email worm modeling and defense[A].Proceedings of the 13th International Conference on Computer Communications and Networks[C].Chigaco IL:IEEE,2004.409-414.

[5]Thommes R W,Coates M J.Modeling Virus Propagation in Peer-to-Peer Networks[R].Montreal,Canada:Department of Electrical and Computer Engineering,McGill University,2005.

[6]夏春和,石昀平,李肖堅.結構化對等網(wǎng)中的P2P蠕蟲傳播模型研究[J].計算機學報,2006,29(7):952-959.

Xia Chun-he,Shi Yun-ping,Li Xiao-jian.Research on epidemic models of P2P worms in structured peer-to-peer networks[J].Chinese Journal of Computers,2006,29(7):952-959.(in Chinese)

[7]Li T,Guan Z,Wu X.Modeling and analyzing the spread of active worms based on P2P systems[J].Computer & Security,2007,26(3):213-218.

[8]Yu W,Chellappan S,Wan X,et al.Peer-to-peer system-based active worm attacks:Modeling,analysis and defense[J].Computer Communications,2008,31(17):4005-4017.

[9]王方偉,張運凱,馬劍峰.無結構P2P網(wǎng)絡中被動型蠕蟲傳播建模和防治[J].天津大學學報,2008,14(1):66-72.

Wang Fang-wei,Zhang Yun-kai,Ma Jian-feng.Modeling and defending passive worms over unstructured peer-to-peer networks[J].Transaction of Tianjin University,2008,14(1):66-72.(in Chinese)

[10]王躍武,荊繼武,向繼,等.Contagion蠕蟲傳播仿真分析[J].計算機研究與發(fā)展,2008,45(2):207-216.

Wang Yue-wu,Jing Ji-wu,Xiang Ji,et al.Contagion worm propagation simulation and analysis[J].Journal of Computer Research and Development,2008,45(2):207-216.(in Chinese)

[11]王躍武,荊繼武,向繼,等.拓撲相關蠕蟲仿真分析[J].軟件學報,2008,19(6):1508-1518.

Wang Yue-wu,Jing Ji-wu,Xiang Ji,et al.Topology aware worm simulation and analysis[J].Journal of Software,2008,19(6):1508-1518.(in Chinese)

[12]Toutonji O,Yoo S.Passive Benign worm propagation modeling with dynamic quarantine defense[J].KSII Transactions On Internet and Information Systems,2009,3(1):96-107.

[13]Yang W,Chang G,Yang Y,et al.Stability analysis of P2P Worm propagation model with dynamic quarantine defense[J].Journal of Networks,2011,6(1):152-162.

[14]Mojahedi E,Abdollahi Azgomi M.Modeling the propagation of topology-aware P2P worms considering temporal parameters[J].Peer-to-Peer Networking and Applications,2015，8(1)：171-180.

[15]Chen T,Zhang X,Li H,et al.Propagation modeling of active P2P worms based on ternary matrix[J].Journal of Network and Computer Applications,2013,36(5):1387-1394.

[16]Jafarabadi A,Abdollahi Azgomi M.A stochastic epidemiological model for the propagation of active worms considering the dynamicity of network topology[J].Peer-to-Peer Networking and Applications,2015，8(6)：1008-1022.

[17]Chen T,Zhang X,Wu Y.FPM:Four-factors propagation model for passive P2P worms[J].Future Generation Computer Systems,2014,36(7):133-141.

[18]Yang W,Gao Y,Zhu Z,et al.Modelling,analysis and containment of passive worms in P2P networks[J].International Journal of Internet Protocol Technology,2014,8(2-3):130-142.

[19]Feng C,Yang J,Qin Z,et al.Modeling and analysis of passive worm propagation in the P2P file-sharing network[J].Simulation Modelling Practice and Theory,2015,51(2):87-99.

[20]Diekmann O,Heesterbeek J A P.Mathematical Epidemiology of Infectious Diseases:Model Builind,Analysis and Interpretation[M].Wiley,1999.

[21]Driessche P,Watmough J.Reproduction numbers and sub-threshold endemic equilibria for compartmental models of disease transmission[J].Mathematical Biosciences,2002,180:29-48.

[22]Arnio J,Davis J,Hartley D,et al.A multi-species epidemic model with spatial dynamics[J].Mathematical Medicine and Biology,2005,22(2):129-142.

馮朝勝男，1971年生于四川廣元，博士后，教授，碩士生導師，中國計算機協(xié)會高級會員.2010年獲得電子科技大學信息與通信工程博士學位.研究方向包括對等網(wǎng)絡安全、惡意代碼分析與防御、云計算安全等.

E-mail:csfenggy@126.com

秦志光男，1956年生于四川榮昌，博士，電子科技大學計算機科學與工程學院教授、博士生導師，IEEE高級會員.研究方向為密碼學、網(wǎng)絡與信息安全.

羅王平男，1993年生于四川南充，本科生，四川師范大學計算機科學學院學生.研究方向為云計算與隱私保護.

劉霞女，1978年生于四川都江堰，碩士，四川師范大學計算機科學學院講師.2004年獲得西南交通大學計算機應用專業(yè)碩士學位.研究方向為網(wǎng)絡安全.

袁丁男，1967年生于四川宜賓，博士，四川師范大學計算機科學學院教授，碩士生導師.2003年獲得西南交通大學工學博士學位.研究方向為網(wǎng)絡與信息安全.

Modeling Artificial-Activation P2P Proactive Worm Propagation

FENG Chao-sheng1,2,QIN Zhi-guang2,LUO Wang-ping1,LIU Xia1,YUAN Ding1

(1.Visual Computing & Virtual Reality Key Laboratory of Sichuan Province,Sichuan Normal University,Chengdu,Sichuan 610101,China;2.School of Computer Science & Engineering,University of Electronic Science and Technology of China,Chengdu,Sichuan 610054,China)

As a kind of proactive worms in the P2P network,the artificial-activation worm is studied in terms of attacking mechanism in this paper.The propagation procedure of this kind of worm consists of four stages:information collection,penetration,self propulsion and artificial activation.It is found that the worm is a kind of topology-awareness worms.Based on the analysis on the attacking mechanism of this kind of worms,the mathematical model of artificial-activation P2P proactive worm propagation is proposed.Further,the sufficient condition of worm propagation attaining the worm free equilibrium is deduced from the model in applying Epidemiology.Large scale simulation experiments validate this proposed model.

P2P networks;artificial activation;proactive worms;modeling;simulations

2014-12-09;

2015-08-28;責任編輯：李勇鋒

國家自然科學基金(No.61373163);國家科技重大專項課題(No.2011ZX03002-002-03);國家科技支撐計劃課題(No.2014BAH11F01，No.2014BAH11F02);可視化計算與虛擬現(xiàn)實四川省重點實驗室課題(No.PJ2012002);四川省教育廳項目(No.15ZB0042)

TP393

A

0372-2112 (2016)07-1702-06

??學報URL:http://www.ejournal.org.cn

10.3969/j.issn.0372-2112.2016.07.026