陈天平，崔文岩，孟相如，许 媛



基于节点异质度分析的蠕虫遏制方法研究

陈天平1，崔文岩1，孟相如1，许 媛2

(1. 空军工程大学信息与导航学院 西安 710077；2. 中电集团第39研究所 西安 710065)

分析了自传播蠕虫的行为特性，对网络节点异(同)质度、拓扑区隔度进行定义及量化。在此基础上，提出了基于拓扑区隔度优化的蠕虫遏制方法，通过增大拓扑区隔度以达到抑制蠕虫传播速度的目的。提出了基于网络监测的良性蠕虫主动对抗方法，将良性蠕虫的扫描范围限定于高危易感主机群，从而更好地兼顾了蠕虫遏制有效性和网络资源消耗低两个方面的优势。采用matlab7.0对上述方法进行了仿真验证，仿真结果表明，以上方法均具有较好的蠕虫遏制效果。

遏制方法; 网络蠕虫; 节点异质度; 拓扑区隔度

网络蠕虫是一种无须用户干预即可独立运行的攻击程序或恶意代码[1]。如CodeRed和Slammer等蠕虫都可在很短的时间内主动攻击网络上具有相应漏洞的大量主机，其大规模爆发会造成巨大的经济损失，因而被认为是Internet上最大的安全威胁之一[2]。

为了减轻蠕虫的危害，人们提出了多种蠕虫建模、检测及遏制方法[3-10]。目前，针对蠕虫的遏制技术主要包括加固技术、隔离围堵技术和良性蠕虫对抗技术等。加固技术仅针对已知漏洞或缺陷，却无法防范未知蠕虫。隔离围堵技术是为了减缓蠕虫的传播速度，并控制其感染范围，但算法较为复杂，如文献[11]对Chord进行扩展，提出一种被称为Verme的协议，即将系统节点按照其弱点类型进行分组，每一个组称为一个Island，具有相同弱点的Islands彼此不会相邻；文献[12]提出了一个专门的di-jest系统帮助节点选择邻居，在建立连接前，di-jest服务器使用一定的评估方法计算两个节点是否具有足够的差异性，从而避免脆弱性相同的节点相邻，延缓蠕虫传播，但并没有对节点差异性进行量化分析。良性蠕虫对抗技术对爆发的蠕虫进行动态的主动防御，是目前较有效的蠕虫遏制方法之一；文献[13]针对主动对抗技术、被动对抗技术及简单混合对抗技术存在的缺陷，提出了分而治之混合对抗技术；文献[14]提出实时混合对抗技术，但这两种方法对网络资源消耗较大。

针对现有蠕虫遏制技术存在的以上问题，本文提出基于节点异质度分析的蠕虫遏制方法。以自传播蠕虫为研究对象，对节点异(同)质度和拓扑区隔度进行量化；在此基础上，提出了两种新颖、实用的蠕虫遏制方法；采用Matlab7.0对以上方法进行有效性验证，并对仿真结果进行理论分析。

1 节点异质度及拓扑区隔度分析

本节分析了蠕虫传播的行为特性，然后给出节点异质度、节点同质度和拓扑区隔度的定义，并对它们进行量化分析。

1.1 蠕虫传播行为特性

自传播蠕虫利用主机的安全漏洞或策略缺陷，通过网络进行自传播的程序。这种蠕虫往往利用主机在操作系统、应用软件、数据库等方面存在的漏洞进行攻击。为了感染更多的主机系统，蠕虫一般会采用多种技术(如多线程、选择性随机扫描、DNS扫描和完全扫描等)，最大限度地发现可攻击的目标，并在探测到多个弱点主机以后进行自传播，从而入侵大量的目标。蠕虫的传播模式如图1所示。

图1 自传播蠕虫活动模式

1.2 节点异质度、同质度的探测及量化方法

由以上分析表明，节点与(或、)的同质性较强，即它们之间具有相同弱点的可能性较大，因此易受同一蠕虫的攻击；而节点与(或、)的异质性较强，即它们之间的差异性相对较大，从而不利于同一蠕虫的传播。为了描述节点间的这种关系，给出节点异质度、节点同质度和拓扑区隔度的定义如下：

节点异质度：指节点在操作系统、应用软件(或服务)、数据库和防御措施4个方面的差异性。

节点同质度：指节点在以上4个方面的相似性。

拓扑区隔度：指网络拓扑中所有相邻节点之间的平均异质度。

1) 节点异质度的探测及量化算法可分为：

① 确定异质度的评价指标并分级量化

由节点异质度定义可确定4个评价指标：—操作系统类型及其漏洞；—应用服务类型及其配置策略；—数据库类型及其漏洞；—安全防护措施。它们的分级量化如表1所示。

表1 评价指标的分级量化表

② 利用漏洞扫描、安全检测和人工审计等方式，探测集群内每个节点在以上4个指标方面的准确信息，然后依据表1对每一对节点进行分析比较，如针对节点、，则给出评价指标的等级量化值为、、和。

2) 节点同质度的探测及量化算法

1.3 网络拓扑区隔度量化计算

2 基于节点异质度分析的蠕虫遏制方法

考虑到节点异(同)质度对蠕虫传播行为的影响，首先提出基于拓扑区隔度优化的蠕虫遏制方法，旨在增大拓扑区隔度以达到抑制蠕虫传播速度的目的；其次对传统的蠕虫主动对抗技术进行改进，提出基于网络监测的良性蠕虫主动对抗技术。

2.1 基于拓扑区隔度优化的蠕虫遏制方法

增大网络拓扑区隔度，降低蠕虫感染率，能够实现对蠕虫传播的有效抑制。为此，在网络设计与规划阶段，在满足实际网络应用的前提下，可为重要节点设计异质度相对较大的邻居节点，或使同质度较大且易受蠕虫攻击的节点分散开来，避免集中分布，以阻断感染链路的形成；在网络建成并投入运行后，拓扑结构相对稳定，对其进行区隔度优化受到一定程度的条件限制，但仍可采用一些辅助手段来增大其区隔度，如节点调换、系统重装或服务重配置等。由以上分析可见，该方法既实用又可行。

针对网络设计与规划阶段，本文设计了一种拓扑区隔度优化方法，通过科学部署网络节点在拓扑中的位置，达到增大拓扑区隔度的目的，其主要步骤如下：

2) 依据拓扑结构图计算得到多组分布不同的拓扑区隔位，其算法如图2所示。拓扑区隔位是指一组特殊的顶点集合，其中任意两顶点不存在物理(或逻辑)连接。

3) 对节点进行蠕虫感染风险评估及同、异质度

分析，然后选取那些风险度和同质度均较大的节点，使它们分布于步骤2)得到的某一组或几组拓扑区隔位上，以达到风险分散的目的。

4) 对重要节点及其邻居节点进行漏洞加固、系统重装和服务重配置等，以使相邻节点间的异质度最大化。

拓扑区隔位生成算法实现如下：

Algorithm: 拓扑区隔位生成算法

Input: 网络拓扑结构图(,)，顶点集元烽|()|=，边集元数|()|=

Output: 输出该网络拓扑对应的一组区隔位置集

BEGIN

=1; //网络拓扑顶点集()的元素标识，Î{1, 2,…,}

=0; //所生成区隔位置集的元数||

=; //区隔位置集，初值为空集

=(); //为从()中删除当前集合及其邻居顶点后的剩余顶点集do

{ 1 从集合中任取一个顶点();

2 获取()的甩有邻居顶点集();

3 将顶点()存入集合中;

4 更新集合，令=-()-()，即从中删除()及();

} while (||>0); //||为剩余顶点集的元数

=||;

输出拓扑区隔位置集;

END

以一个拥有13个顶点的网络拓扑Net为例，可生成3组不同的区隔位置集1、2和3，如图2所示。

图2 生成Net的拓扑区隔位置集

为了反映拓扑区隔度变化对蠕虫感染率的影响，在此给出考虑拓扑区隔度的蠕虫传播模型为：

2.2 基于网络监测的良性蠕虫主动对抗方法

将网络中的主机分为4类：1) 易感类，该类主机既没有被蠕虫感染也没有被良性蠕虫感染，但具有被蠕虫感染的可能性；2) 感染类，该类主机被蠕虫感染但没有被良性蠕虫感染；3) 良性感染类，该类主机被良性蠕虫感染；4) 恢复类，该类主机既不会被蠕虫感染也不会被良性蠕虫感染。

借助于医学界以毒攻毒的思想，良性蠕虫可以像蠕虫一样传播，给有漏洞的主机打补丁或清除被感染的主机上的蠕虫病毒，或者同时具有以上2个功能。文献[13-14]中采用良性蠕虫主动扫描、感染所有易感主机，而没有考虑当易感主机与感染主机之间的异质度较大时，其实易感主机是很难被感染主机感染成功的。为此，本文对传统的良性蠕虫对抗方式进行改进，提出一种基于网络监测的良性蠕虫主动对抗方法，其实现机制如图3所示。

图3 基于网络监测的良性蠕虫对抗方法

对蠕虫传播进行建模，该模型中用到的参数的含义及初始值见表2。

表2 模型的参数及其初始值

主机间的状态转换如图4所示。

图4 主机间的状态转换图

根据主机间的状态转换图，可建立蠕虫的传播模型为如下微分方程组：

随着蠕虫及良性蠕虫的不断传播，网络会被经常阻塞并且破坏网络中的设备，这样就减小了蠕虫的感染速度，因此得到蠕虫的感染率为：

同理可得良性蠕虫的感染率为：

3 仿真验证及分析

为了验证本文的蠕虫遏制方法的有效性，采用Matlab7.0软件对蠕虫传播模型进行仿真，对比分析蠕虫传播变化曲线。为了叙述简便，方法1为基于拓扑区隔度优化的蠕虫遏制方法，方法2为基于网络监测的良性蠕虫主动对抗方法。

3.1 方法1

对式(4)所示的蠕虫传播模型进行仿真，假设网络主机总数为，原拓扑的蠕虫感染率为；第一次优化后，拓扑区隔度增大0.1，即，第二次优化后对应，第三次优化后对应，对这3次拓扑区隔度优化后的蠕虫传播情况进行仿真，如图5所示。

图5 蠕虫遏制有效性对比图

由图5可知，对拓扑区隔度进行优化有利于遏制蠕虫的传播，且拓扑区隔度越增大，其对蠕虫的遏制效果就越好。

3.2 方法2

为了有效比较方法2与文献[13-14]中的主动对抗技术，除了增加参数以外，其余模型参数及其初值均相同。根据表2所示的模型参数及其初值，可得方法2条件下的蠕虫传播情况，如图6所示。

为了进一步证明方法2相对于文献[13-14]中传统的主动对抗技术的优势，本文从遏制有效性、网络资源消耗两个方面进行比较分析。

1) 遏制有效性对比分析

图6 方法2条件下的蠕虫传播情况图

图7 遏制有效性对比分析

2) 网络资源消耗对比分析

蠕虫在传播过程中对网络的资源消耗与网络中的主动探测蠕虫(包括网络蠕虫和良性蠕虫)数量成正比。在主动对抗技术下，良性蠕虫和网络蠕虫均主动扫描网络中的漏洞主机，即主动探测蠕虫数量为感染主机和良性感染主机的数量之和。在参数取值同图7的情况下，其主动探测蠕虫数量的对比变化情况如图8所示。

图8 网络资源消耗对比分析

4 结 束 语

本文分析了自传播蠕虫的行为特性，定义、量化了节点异(同)质度及网络拓扑区隔度；在此基础上提出了两种蠕虫遏制方法，即基于拓扑区隔度优化的蠕虫遏制方法和基于网络监测的良性蠕虫主动对抗方法；采用Matlab7.0软件对以上方法进行仿真验证，方法1的仿真结果表明，网络拓扑区隔度越大越有利于抑制蠕虫的传播速度；方法2对比仿真结果表明，方法2具有较好的蠕虫遏制效果，且能更好地满足遏制有效性和网络资源消耗低的双重要求。下一步工作是研究拓扑相关蠕虫的传播模型及其遏制方法。

[1] MOORE D, PAXSON V, SAVAGE S, et al. Inside the slammer worm[J]. IEEE Magazine of Security and Privacy, 2003, 1(4): 33-39.

[2] HATAHET S, BOUABDALLAH A, YACINE C. A new worm propagation threat in bit torrent: Modeling and analysis[J]. Telecommunication Systems, 2010, 45(2-3): 95-109.

[3] STEPHENSON B, SIKDAR B. A quasi-species model for the propagation and containment of polymorphic worms[J]. IEEE Transactions on Computers, 2009, 58(9): 1289-1296.

[4] 严博, 吴晓平, 廖巍, 等. 基于随机进程代数的P2P网络蠕虫对抗传播特性分析[J]. 电子学报, 2012, 40(2): 293- 299.

YAN Bo, WU Xiao-ping, LIAO Wei, et al. Propagation characteristics analysis of worm-anti-worm in P2P network based on stochastic process algebra[J]. Acta Electronica Sinica, 2012, 40(2): 293-299.

[5] 梁广民, 任安. 车载蠕虫传播建模与仿真[J]. 电子科技大学学报, 2013, 42(2): 277-282.

LIANG Guang-min, REN An. Modeling and simulating epidemics of vehicular worms[J]. Journal of University of Electronic Science and Technology of China, 2013, 42(2): 277-282.

[6] 和亮, 冯登国, 王蕊, 等. 基于MapReduce的大规模在线社交网络蠕虫仿真[J]. 软件学报, 2013, 24(7): 1666-1682.

HE Liang, FENG Deng-guo, WANG Rui, et al. Map reduce-based large-scale online social network worm simulation[J]. Journal of Software, 2013, 24(7): 1666-1682.

[7] 冯朝胜, 秦志光, 袁丁, 等. P2P网络中被动型蠕虫传播与免疫建模[J]. 电子学报, 2013, 41(5): 884-889.

FENG Chao-sheng, QIN Zhi-guang, YUAN Ding, et al. Modeling propagation and immunization of passive worms in peer-to-peer networks[J]. Acta Electronica Sinica, 2013, 41(5): 884-889.

[8] 张伟, 王汝传, 李鹏. 基于云安全环境的蠕虫传播模型[J]. 通信学报, 2012, 33(4): 17-24.

ZHANG Wei, WANG Ru-chuan, LI Peng. Worm propagation modeling in cloud security[J]. Journal on Communications, 2012, 33(4): 17-24.

[9] 冯朝胜, 袁丁, 卿昱, 等. P2P网络中激发型蠕虫传播动态建模[J]. 电子学报, 2012, 40(2): 300-307.

FENG Chao-sheng, YUAN Ding, QING Yu, et al. Dynamic modeling of reactive worm propagation in P2P networks[J]. Acta Electronica Sinica, 2012, 40(2): 300-307.

[10] 汪洁, 王建新, 刘绪崇. 基于近邻关系特征的多态蠕虫防御方法[J]. 通信学报, 2011, 32(8): 150-158.

WANG Jie, WANG Jian-xin, LIU Xu-chong. Novel approach based on neighborhood relation signature against polymorphic internet worms[J]. Journal on Communications, 2011, 32(8): 150-158.

[11] FREITAS F, RODRIGUES R, RIBEIRO C, et al. VERME: Worm containment in peer-to-peer overlays[C]// IPTPS’07: Proceeding of the 6th International Workshop on Peer-to-Peer Systems. Sellevae: [s.n.], 2007.

[12] MCILWRAITH D, PQAUIER M. Di-jest: Autonomic neighbor management for worm resilience in P2P systems [C]//WoWMoM’08: International Symposium World of Wireless, Mobile and Multimedia Networks. [S.l.]: IEEE, 2008.

[13] 周翰逊, 赵宏, 闻英友. 分而治之的混合型良性蠕虫的建模与分析[J]. 计算机研究与发展, 2009, 46(7): 1110- 1116.

ZHOU Han-xun, ZHAO Hong, WEN Ying-you. Modeling and analysis of divide and rule hybrid benign worms[J]. Journal of Computer Research and Development, 2009, 46(7): 1110-1116.

[14] 秦拯, 李军群, 欧露, 等. 实时混合对抗蠕虫的建模和分析[J]. 湖南大学学报(自然科学版), 2011, 38(5): 74-78.

QIN Zheng, LI Jun-qun, OU Lu, et al. Modeling and analysis of real-time hybrid anti-worms[J]. Journal of Hunan University(Natural Sciences), 2011, 38(5): 74-78.

编 辑 黄 莘

Research on Worm Containment Strategy Based on Node Heterogeneity Analysis

CHEN Tian-ping1, CUI Wen-yan1, MENG Xiang-ru1, and XU Yuan2

(1. Institute of Information and Navigation, Aire Force Engineering University Xi’an 710077; 2. No.39 Research Institute, CETC Xi’an 710065)

The behavior characteristics of self propagating worms is analyzed, and the nodes heterogeneity, topology segmentation degree are defined and quantified. On this basis, the worm containment strategy based on the optimization of topological segmentation degree is put forward, and the method for increasing topological segmentation degree is studied. In addition, the active counterplot of benign worms based on network monitoring is proposed, the worm's scanning range is limited to high-risk groups susceptible hosts, so as to better take into account the effectiveness of worm containment and network resource consumption advantages of low two aspects. Matlab7.0 is adopted to the simulation of worm propagation model under the condition of the above strategies. The simulation results show that the above methods have better worm containment effect.

containment strategy; network worms; nodes heterogeneity; topology segmentation degree

TP309.1

A

10.3969/j.issn.1001-0548.2016.03.019

2014 - 11 - 10；

2015 - 12 - 08