康宏 张建刚　　康艳梅

摘 要 在计算机病毒的教学中，引入NETlogo仿真平台，以勒索病毒为例，讲解蠕虫病毒的传播原理，并仿真蠕虫病毒在局域网内传播过程，使学生了解蠕虫病毒传播过程和影响因素，从而在病毒爆发时能够采取相应的应对措施。

关键词 蠕虫 Netlogo 勒索病毒

中图分类号：TP393.1 文献标识码：A DOI：10.16400/j.cnki.kjdkx.2018.04.014

Simulation of Influencing Factors of Viral Spreading in LAN

——A Case Study of Blackmailing Virus

KANG Hong[1]， ZHANG Jiangang[1]， KANG Yanmei[2]

（[1] College of Economics and Management， Shandong University of Science and Technology， Qingdao， Shandong 266590；

[2] School of Information Science and Technology， University of International Relations， Beijing 100091）

Abstract In the teaching of computer virus， the NETlogo simulation platform was introduced to explain the principle of worms propagation. We simulated the propagation process of worms in the LAN， so that students can understand the spread of worms and the impact of factors and can take the appropriate response when the virus outbreak.

Keywords Worms； Netlogo； Extortion virus

据腾讯安全发布《2017年度互联网安全报告》，2017年5月12日，一款名为“WannaCry”的蠕虫勒索软件袭击全球网络，通过加密电脑文档向用户勒索比特币。这被认为是迄今为止最巨大的勒索病毒事件，至少150个国家、30万名用户中招，造成损失达80亿美元。[1]中国部分Windows操作系统用户遭受感染，某些大型企业的应用系统和数据库文件被加密勒索，影响巨大。

在计算机病毒的教学中，结合新型病毒传播方式来讲解病毒传播原理，并仿真计算机病毒的传播过程，能够提高学生学习兴趣，使学生对计算机病毒传播有更直观的认识。

1 勒索病毒简介

勒索病毒是一种新型病毒，感染受害者電脑或后，采用加密文件、修改密码等方式，使计算机资源或数据资料无法正常使用，并以此为条件勒索钱财。

勒索病毒包括蠕虫及勒索两个部分，蠕虫部分用于传播和释放病毒，勒索部分用于攻击用户和加密文件。勒索病毒是通过公开密钥加密算法进行加密。在公开密钥加密算法中，信息发送方和接收方所使用不同的密钥，即加密、解密密钥不同，并且很难由其中一个推导出另一个。加密时把明文分成块，块的大小可变。不同的变种用的加密算法不同，比如：永恒之蓝勒索蠕虫使用RSA算法加密，CTB Locker用的是椭圆曲线加密。

蠕虫病毒是一种常见的计算机病毒。通过网络和电子邮件进行传播，具有自我复制和传播迅速等特点。勒索蠕虫病毒会在局域网内进行主动攻击，病毒会通过文件共享端口进行感染传播，没有修复系统漏洞的局域网用户就容易被病毒感染。

2 蠕虫病毒在局域网内的传播过程

（1）扫描：扫描部分负责探测局域网内存在漏洞的主机，比如计算机开放共享，开放端口，系统漏洞等。程序向局域网内所有主机发送探测漏洞的信息，当收到有效的反馈信息后，就得到一个可传播的对象。

（2）攻击：攻击部分对可传播对象实施攻击，首先取得有漏洞主机的权限，以进行进一步攻击操作。

（3）复制：复制部分将蠕虫程序复制到已取得权限的可传播主机，并启动运行蠕虫。

蠕虫的传播模块就是病毒在局域网内实现自动入侵自动攻击的功能。

3 勒索病毒在局域网内的传播方式

勒索病毒使用了多种方式在局域网内进行攻击传播，包括使用了美国国家安全局（NSA） 泄漏的Windows SMB远程漏洞利用工具“永恒之蓝”、永恒浪漫系列远程攻击武器，以及利用局域网共享的方式传播。在局域网系统中，主要通过主要通过Windows管理体系结构（Microsoft Windows Management Instrumentation），和PSEXEC（SMB协议）进行扩散。因此不仅没有及时修复NSA发布的漏洞的用户会受影响，只要局域网中有其他用户受到攻击，已经打了补丁的电脑也可能会受到攻击。[2]

病毒在局域网内传播过程是怎样的？影响病毒传播的主要因素都有哪些？学生在学习计算机病毒时，很难对病毒的传播有直观的认识。在计算机病毒的教学中，我们引入NETlogo仿真平台，以勒索病毒为例，来仿真病毒在局域网内的传播过程，通过参数的调节，使学生明白计算机病毒在局域网内传播的主要影响因素是什么，加深对蠕虫病毒传播的认识。

4 勒索病毒仿真

4.1 仿真环境简介

本文基于Netlogo仿真平台，仿真了勒索病毒在局域网内传播过程。Netlogo是用来对自然和社会现象进行仿真的多主体建模仿真集成环境。它是由UriWilensy在1999年发起的，由美国西北大学链接学习和计算机建模中心（CCL）持续开发，Netlogo仿真平台为教学科研机构提供了一个强大易用的计算机辅助工具。

Netlogo是Logo语言的扩展，改进了Logo语言只能控制单一个体的不足，它可以模拟无限个智能体在二维空间的交互作用，随着时间的推进，智能体的属性在不断发生变化，因此，Netlogo建模能有效地模拟微观个体的行为和宏观模式的涌现及其两者之间的关系。Netlogo适合于模拟随时间演化发展的复杂系统。

4.2 仿真模型设计

我们以病毒网络传播模型为基础，并依照局域网内勒索病毒传播特征对模型进行了修改。[3]此模型仿真了勒索病毒在一定规模的局域网内的传播过程。在模型中，每个节点代表局域网内一台计算机，所有节点组成一个小型局域网。局域网内的节点有三个状态：未感染病毒，已感染病毒，已感染病毒并且被修复。此模型仿真了当局域网内初始有机器感染勒索蠕虫病毒后，随着时间推移，在影响参数不同时，局域网内机器感染数量的演化，并最终达到一个稳定状态。模型基本参数设置如下：

a：计算机局域网内网络总节点数

b：每个节点平均连接的计算机数量

c：勒索病毒初始感染机器数量

d：勒索病毒传播概率

e：被病毒感染后修复概率

f：安装补丁免疫概率

4.3 模型演化

设a=100，b=6，c=2，d=2.5%，e=5%，f=5%。即局域网内有100台计算机时，平均每台机器和另外六台有密切联系，初始感染勒索病毒的机器为2台，勒索病毒传播概率为2.5%，感染后修复的概率为5%，感染病毒后安装补丁免疫概率为5%。在这样的情况下，经过一段时间的演化，结果如图1。演化一段时间后，被勒索病毒感染的机器达到一个峰值，大约是局域网内总机器数的一半，接着感染机器数量就持续下降，直至为0。说明在一个局域网内，如果机器感染勒索病毒后，能够及时修复，或者安装补丁和杀毒软件对病毒免疫，经过一段时间的演化，整个网络能够恢复健康状态。

当其他参数不变，病毒感染后修复的概率下降为为2%，感染病毒后安装补丁免疫概率为下降为2%时，经过一段时间的演化，结果如图2可看到，经过一段时间的演化，局域网内感染勒索病毒的机器数接近整个局域网的机器总数，在到达峰值后，经过长时间的演化，整个局域网才清除掉所有病毒。这说明如果局域网内机器被勒索病毒感染，并且没有专杀工具，也不懂得安裝相关补丁免疫，会造成局域网内几乎所有机器感染，并持续较长时间。

当其他参数不变，病毒传染概率提升为5%，感染后修复的概率为2%，感染病毒后安装补丁免疫概率为2%。在这样的情况下，经过一段时间的演化，结果如图3可看出，当病毒传染概率提升时，在演化过程中，病毒在较短时间内感染网内所有机器，并经过较长时间的演化，才能使整个局域网恢复健康状态。

当其他参数不变，病毒传染概率为5%，感染后修复的概率为2%，感染病毒后安装补丁免疫概率下降为0时，经过一段时间的演化，结果如图4可看出，当机器不能安装相关补丁和杀毒软件，对病毒免疫时，病毒很快就感染局域网内所有机器，并一直持续，难以消除。

5 结论

终上所述，我们可以得出：在勒索病毒传播过程中，病毒传播概率，计算机感染病毒后修复概率，计算机感染病毒后安装补丁免疫概率，对于病毒在局域网内传播速度，病毒影响到的计算机数量，病毒在局域网内持续时间，均有重要的影响。建议局域网内的计算机，及时安装补丁和杀毒软件，关闭Windows共享功能，以减少病毒传播途径。加强对可疑电子邮件的防范，不打开可疑电子邮件及附件。在局域网内谨慎使用移动设备，对移动设备进行定期维护和杀毒。[4]同时及时进行数据备份，减少病毒感染后带来的损失。

项目：青岛市软科学研究计划“投贷联动等科技金融服务模式创新研究”（16-5-2-1-（12）-CHX）

参考文献

[1] 王峰.新一轮勒索病毒再袭，中国搭建多层次预警应对体系[N].21世纪经济报道，2017.

[2] 徐新.病毒防治安全技术在计算机局域网中的有效运用[J].电子技术与软件工程，2016（24）：214-214.

[3] Stonedahl F，Wilensky U.NetLogo virus on a network model[CP/OL]. http：//ccl.northwestern.edu/netlogo/models/Viruso？naNetwork，2008-07-11.

[4] 金重振，葛万龙.局域网勒索病毒的防护策略研究[J].信息与电脑，2017（18）：217-218.