基于良性網(wǎng)絡(luò)蠕蟲的免疫機制研究

1、基于良性網(wǎng)絡(luò)蠕蟲的免疫機制研究摘要：隨著網(wǎng)絡(luò)技術(shù)的高速發(fā)展，信息網(wǎng)絡(luò)的應(yīng)用越來越廣泛，伴隨的網(wǎng)絡(luò)安全問題也日益嚴(yán)重。怎樣有效地的防止網(wǎng)絡(luò)蠕蟲在大規(guī)模網(wǎng)絡(luò)中的傳播也越來越受專家學(xué)者的關(guān)注。研究網(wǎng)絡(luò)蠕蟲的免疫機制，對網(wǎng)絡(luò)系統(tǒng)進行免疫是解決對抗蠕蟲傳播和破壞的一種周要手段，本文結(jié)合多種因素對網(wǎng)絡(luò)蠕蟲免疫機制的影響，研究了基于良性網(wǎng)絡(luò)蠕蟲的免疫機制模型。關(guān)鍵詞：良性蠕蟲、隨機探測、被動探測1.良性蠕蟲是一種較為新型的對抗惡意蠕蟲措施。使用良性蠕蟲對抗網(wǎng)絡(luò)攻擊的免疫機制，是利用網(wǎng)絡(luò)中蠕蟲的活動原理和傳播模型制造出能夠殺死惡意網(wǎng)絡(luò)蠕蟲并對感染主機進行免疫的良性網(wǎng)絡(luò)蠕蟲。與惡意蠕蟲相同兩者都具有代碼的自動傳

2、播性，而其和惡性蠕蟲的區(qū)別是，良性蠕蟲是對已經(jīng)感染惡性蠕蟲的主機進行修復(fù)并對抗惡性蠕蟲的，對網(wǎng)絡(luò)環(huán)境中已經(jīng)受到感染或可能受到惡性蠕蟲感染的電腦進行免疫，而惡性蠕蟲則是大量耗費網(wǎng)絡(luò)資源并對其進行惡意破壞。在網(wǎng)絡(luò)上有大量惡意蠕蟲爆發(fā)時，,則會產(chǎn)生相應(yīng)的良性蠕蟲進行對抗，并快速傳播，利用兩種蠕蟲進行自動修補、對抗惡意攻擊等。良性蠕蟲也存在一定的缺陷，就是他的擴散速度和掃描速度以及擴散范圍都要經(jīng)過精心設(shè)計，需要良好的自我控制機制，不然也會造成網(wǎng)絡(luò)環(huán)境癱瘓。本文主要探討兩種良性蠕蟲探測原理。（1）隨機探測策：通過對整個地址空間的IP隨即抽取探測，對所選的目標(biāo)地址則是依據(jù)相應(yīng)的算法生成。隨機探測具有傳播速

3、度快，準(zhǔn)備時間短，算法簡單，容易事項等特點。給方法也是當(dāng)前網(wǎng)絡(luò)蠕蟲應(yīng)用較多的探測原理。采用該探測原理的有Slammer、Slapper以及CodeRed等。（2）被動探測：被動式傳播網(wǎng)絡(luò)蠕蟲能夠自動發(fā)現(xiàn)網(wǎng)絡(luò)中存在的惡意攻擊目標(biāo)，它依賴客戶的活動來發(fā)現(xiàn)網(wǎng)絡(luò)中的攻擊目標(biāo)，亦或是等待攻擊對象發(fā)起攻擊?！?】這種探測不會消耗太多的網(wǎng)絡(luò)資源，所以一般不會造成網(wǎng)絡(luò)異常，且實現(xiàn)相對較為簡單，缺點是傳播速度比較慢。CRClean所采用的就是這種新型的探測方法。2.良性蠕蟲模型：為了描述方便，以下良性蠕蟲采用隨機探測策略下的模型成為RFWIM模型，良性蠕蟲采用被動探測策略下的模型成為PFWIM模型。模型作如下假

4、設(shè)：a) 不考慮網(wǎng)絡(luò)拓?fù)鋵θ湎x傳播造成的影響b) 假設(shè)惡意蠕蟲I采用隨機探測機制，會感染網(wǎng)絡(luò)環(huán)境中存在漏洞的電腦c) 蠕蟲B會主動修復(fù)主機中存在的漏洞，對抗容易感染的惡意蠕蟲Id) 人工修補措施及其他安全防護機制對兩種蠕蟲的影響不考慮2.1隨機探測模型-RFWIM 蠕蟲B對網(wǎng)絡(luò)進行隨機探測時，假設(shè)蠕蟲I不會主動發(fā)起對蠕蟲B的攻擊。因此，只需要考慮當(dāng)前網(wǎng)絡(luò)環(huán)境對蠕蟲B所產(chǎn)生的間接影響，并且不考慮人為措施帶來的影響，蠕蟲B的傳播是一種感染率變化的SEM模型；因為在蠕蟲B進行隨機探測的過程，網(wǎng)絡(luò)中已感染和容易感染蠕蟲I的主機都存在一定安全問題，所以，這些主機都是蠕蟲B的進行探測和攻擊的對象，同時蠕蟲

5、B和蠕蟲I都采用隨機探測進行攻擊，所合在一定時間內(nèi)增加的感染蠕蟲B的主機數(shù)則會根據(jù)感染的主機數(shù)以及攜帶蠕蟲I的主機數(shù)和容易感染的主機數(shù)的數(shù)量而均勻分布，因為蠕蟲B對抗蠕蟲I的同時即對容易感染的主機進行修補，也會主動對抗已感染主機并清除惡意蠕蟲，因此蠕蟲I的傳播會受到這兩個方面的影響，因為容易感染蠕蟲的主機會同時受到在兩種蠕蟲的感染，所以它的減慢速度等于兩種蠕蟲的增加速度之和【3】。由于網(wǎng)絡(luò)中存在傳播策略相等的蠕蟲B和蠕蟲I，而這兩種蠕蟲都對消耗網(wǎng)絡(luò)資源，假設(shè)它們的傳播模式和采用的探測策略也一樣，那么它們所產(chǎn)生的網(wǎng)絡(luò)資源消耗也相同。反之，資源的消耗給它們傳播感染所造成的消極影響也相同。2.2被動

6、探測模型-PFWIM 蠕蟲B進行被動探測時，蠕蟲B的增長則依據(jù)蠕蟲I發(fā)送的主動探測數(shù)據(jù)，統(tǒng)計感染蠕蟲B的主機數(shù)。在蠕蟲I采用隨機探測的同時，所發(fā)出的探測數(shù)據(jù)會收集不在網(wǎng)絡(luò)中的一些地址，因此探測存在一定命中率；命中率于實際地址大小和探測線程數(shù)成正比，于隨機探測地址成反比。因為實際網(wǎng)絡(luò)的探測數(shù)據(jù)報會均勻分布在容易感染惡意蠕蟲的主機上，已感染惡意蠕蟲的主機和感染良性蠕蟲的主機上。IMS所提供的數(shù)據(jù)說明：蠕蟲在傳播時產(chǎn)生的網(wǎng)絡(luò)資源消耗，與蠕蟲發(fā)送的探測數(shù)據(jù)報有著直接的關(guān)系。并且隨著探測數(shù)據(jù)報的增加，消耗的網(wǎng)絡(luò)資源也在增加【1】。1）當(dāng)良性蠕蟲進行被動探測時，主動探測的變化趨勢與沒有蠕蟲時相比一樣沒有發(fā)

7、生變化，隨后主動探測的蠕蟲則會減少；2）最后主動探測的蠕蟲數(shù)將會減少到很小，但因為進行主動探測的蠕蟲數(shù)一直處于峰值，所以不會緩解網(wǎng)絡(luò)資源消耗；由此得出，采用良性蠕蟲被動探測時，只是一定程度的減少網(wǎng)絡(luò)資源消耗的要求，不能夠大幅度減少網(wǎng)絡(luò)資源的消耗。2.3混合探測：因為采用隨機探測和被動探測兩種策略都不能很好的解決網(wǎng)絡(luò)資源的消耗，所以可以采用兩者相結(jié)合的方法，進行實驗來驗證是否可以減輕對網(wǎng)絡(luò)資源消耗。混和探測就是讓隨機探測以及被動探測結(jié)合在一起，在良性蠕蟲發(fā)布時進行傳播與隨機探測，然后選擇適當(dāng)時機轉(zhuǎn)隨機探測為被動探測。實驗結(jié)果表名，在進行混合式探測時，網(wǎng)絡(luò)中有良性蠕蟲時和主動探測蠕蟲的變化趨勢在開

8、始基本一樣，而在當(dāng)轉(zhuǎn)變隨機探測為被動探測時，主動探測的蠕蟲數(shù)會大量減少，隨后則出現(xiàn)小幅回升，接著就出現(xiàn)明顯的減少趨勢，主動探測蠕蟲只在短期內(nèi)保持峰值，有效緩解了網(wǎng)絡(luò)資源的消耗【5】。良性蠕蟲采用混合探測、隨機探測以及被動探測時指標(biāo)對比如表1所示。結(jié)合以上指標(biāo)，良性蠕蟲采用混合式探測策略，不但可以抑制網(wǎng)絡(luò)蠕蟲的傳播，也會減少網(wǎng)絡(luò)資源的消耗，但不會完全消除對網(wǎng)絡(luò)的影響；此外，混和式探測策略還有準(zhǔn)備時間不長且實現(xiàn)起來較為簡單，容易應(yīng)用在實際的網(wǎng)絡(luò)環(huán)境中，不過需要不斷進行測試，尋找隨機探測和被動探測進行交換的時間點，來實現(xiàn)最好的效果【2】?？傊?，基于良性網(wǎng)絡(luò)蠕蟲的免疫機制，可以采用隨機探測遏制惡性蠕蟲，不過會給實際網(wǎng)絡(luò)造成影響，采用被動探測可以減少對網(wǎng)絡(luò)資源的消耗，卻不能快速對抗惡意蠕蟲的攻擊，混合式探測則是將兩者結(jié)合在一起，利用不同的優(yōu)勢進行探測和對抗惡意蠕蟲的攻擊，但依然不能完全消除對網(wǎng)絡(luò)的影響，所以對良性蠕蟲的免疫機制還需不斷進行研究。參考文獻：【1】University of Michigan ,http//report/【2】文偉平,卿斯?jié)h.網(wǎng)絡(luò)蠕蟲研究與進展.軟件學(xué)報,2004,15(8):1208-1218.【3】楊天路.P2P網(wǎng)絡(luò)技術(shù)原理與系統(tǒng)開發(fā)案例.人民郵電出版社,2007.【4】瑞星互聯(lián)