第30卷第10期计算机学报voI.30No.10兰!!星篁旦!望三!曼!竺坚垦些垒兰里兰篁里竺!坚三兰坚!呈:::基于拓扑结构的蠕虫防御策略仿真分析 王跃武荆继武向继刘琦
(中国科学院研究生院信息安全国家重点实验室北京lo0049)
摘要提出了基于拓扑结构控制的蠕虫防御策略,并通过构建仿真模型对其进行了仿真验证分析.首先对蠕虫传播所依赖的拓扑结构的主要形式进行丁分析,提出了相应的生成算法,并对算法的有效性进行了验证;随后提出了三种拓扑结构控制策略仿真模型f最后分别对这三种策略在不同拓扑结构下的蠕虫传播控制性能进行了仿真实验.实验结果证明:通过适当地控制拓扑结构.可以有效地遏制拓扑相关蠕虫传播. 关键词仿真;拓扑相关蠕虫;拓扑结构,蠕虫防御策略
中圈法分类号TP393
ASimulationAnaIysisofWo珊DefenseStrategiesBasedonTopolo科St兀lcture
WANGYue—Wu儿NGJi—WuXIANGJiLIUQi
(s缸ceⅨ掣k如m£o叫o,h,0仃j似“抓&c口一甜,G阳d们押U商删廿口,∞l聊站Amd删,。,Sc…ej,&巧l增100049)AbstractT。poIogyawarewormshavebeenanimportantsecuritythreatontheInternet.TheycanspreadacrosstheInternetquickly,throughtop0109ystructureinformation.Hthetopol。gystructureweredestroyedbydefensestrategies,thewormpropagationcanbeheldbackeffective一1y.Thus,inordertodesigneffectivetopologyawarewormdefen8estrategies,itisnecessarytoanalyzetherelationshipbetween
womdefensestrategiesandtopologystructure.Thispaperpro—videsasystemicanalysisofwormdefensestrategiesbasedontopologystructurethroughpacketlevelwormsimulation.Firstthemajortopol。gystructuresusedbytop0109yawarewormsandtheirgenerationalgorithmsareanalyzed.Then,threedef
ensestrategymodelsaredrawnfrommainstreamwormdefensestrategies.Finally,thesedefensestrategiesindifferentt。P。logystruc—tureareanalyzedwithsimulationexperiments,andsomeinterestingconclusionsaredrawnfromtheseexperimentresults.Theseconclusionscanprovidevaluableguidelinesforrealdefensesys—temimplementation.
Keywofdssimulationftopo】ogyaw甚rewo珊;topol。gysfruc£uI℃,wormdefensestrategies
引言
长期以来,拓扑相关蠕虫一直是网络安全的一个重要威胁.在Internet出现初期,网络节点稀疏,主动扫描蠕虫难以在较短的时间内发现大量易感染主机,无法快速传播,因此蠕虫攻击多通过拓扑结构信息,发现目标主机,进行传播,如Morris蠕虫叫等.随着e—mail应用的普及,e—mail地址形成了一个巨大的应用层网络,为蠕虫提供了一个非常适宜 收稿日期:2007—04一06}修改稿收蓟日期tz007一08-03.本课题得到国家自然
科学基金(60573015)资助.王跃武,男,1975年生。博士研究生.主要研究方向为网络安全技术,大规模网络蠕虫仿真.E_哪n:ywwang@10is∞.粥维武,男.1964年生,教授,博士生导师.主要研究顿域为网培与系统安全技术、PKI技术、人侵容忍技术和蠕虫仿真技术.向缝,男,1976年生,博士研究生.主要研究方向为网络安全技术.网络蠕虫仿直.羽琦,女.1978年生.博士研究生,主要研究方向为阿络安全技术、网铬蠕虫仿真.
计算机学报2007年
的传播环境,大量e—mail蠕虫相继出现,如Melis—sao,sobigo等.目前,随着蠕虫自动检测防御技术的发展,蠕虫传播更加注重隐蔽性,而拓扑相关蠕虫传播由于不需要发送大量探测数据包,具有较高的隐蔽性.此外,随着P2P,即时消息(InstantMes—sage,IM)等网络应用的发展,新的拓扑相关蠕虫传播环境正在形成.所以今后一段时间,拓扑相关蠕虫的威胁将会更加严重.现在已经出现多种IM蠕虫和P2P蠕虫.因此研究拓扑相关蠕虫传播防御策略具有重要意义.
拓扑相关蠕虫传播与拓扑结构特性关系密切.其传播过程可简单描述如下:网络中一个节点被感染后,根据其所保存的相邻节点信息发送蠕虫数据包,感染其相邻节点,其相邻节点被感染后,同样根据其保存的相邻节点信息,继续发送蠕虫数据包,不断感染新的节点.可以看出拓扑相关蠕虫传播依
赣于拓扑结构的连通性及鲁棒性.其中鲁棒性是指在存在节点感染失败可能的情况下,蠕虫传播能够持续的能力.如果能够通过一定的控制措施,破坏拓扑结构的连通性和鲁棒性,则可以有效地遏制蠕虫传播.然而由于拓扑结构的复杂性和蠕虫行为的随机性,现有的蠕虫传播分析方法如Two-Factor模型o]等,难以对其进行系统的分析研究.Briesemeister等人对不同拓扑结构中的蠕虫防御效果进行了简单对比口].zou等人通过Montecarlo仿真方法分析了e—mail蠕虫传播的情况[4].但是对于如何通过控制拓扑结构的连通性和鲁棒性阻断蠕虫传播,目前还没有一个全面、系统的研究.套管头
本文基于我们此前提出的数据包级拓扑相关蠕虫仿真方法,对如何进行拓扑结构控制,阻断蠕虫传播进行了全面系统的研究.本文的主要工作包括:(1)分析了目前拓扑相关蠕虫传播所依赖的三种主要拓扑结构模型:Power_Law模型、small一world模型以及混合结构模型,并在数据包级仿真系统中实现了三种拓扑结构模型的仿真生成算法;(2)分析了目前主要的蠕虫防御策略,提出了基于拓扑结构控制的主动防御、被动保护以及局部隔离等三种策略模型;(3)通过数据包级拓扑相关蠕虫仿真系统,分别对不同拓扑结构下的三种蠕虫防御策略进行了实验分析,并根据实验结果提出了这些防御措施实施过程中需要注意的一些重要原则.
本文第2节介绍蠕虫传播所依赖的主要拓扑结构模型及其仿真生成算法和基于拓扑结构控制的三种蠕虫防御策略仿真模型;第3节对基于拓扑结构
的主动防御策略进行仿真分析;第4节对基于拓扑结构的被动保护策略进行仿真分析;第5节对基于拓扑结构的局部隔离策略进行仿真分析;最后总结全文.
2拓扑结构及蠕虫防御策略
仿真模型分析
拓扑相关蠕虫传播所依赖的逻辑拓扑结构可以用有向图G一(v,E)表示,任意一个顶点V口∈y表示一个主机节点,任意一条有向边Ve一(Ⅱ,口>∈E,“,口∈y表示主机“,v之间存在联系.这种联系可以是节点“中保存了节点。的邮件地址或者IM联系人信息以及其它类似信息.根据拓扑结构生成规则的不同,可以有多种不同的结构形式.主要存在三种拓扑结构形式:Power—Law结构、smal卜world结构以及混合结构.以下分别对三种拓扑结构形式及其仿真生成算法进行详细描述.本节最后对三种基于拓扑结构的蠕虫防御策略仿真模型进行描述.2.1Power_Law拓扑结构及其仿真生成算法在P2P网络系统生成中,为了通信方便,一个新增节点总是选择连接度较高的节点进行连接.这样形成的拓扑结构中,一少部分节点拥有大多数的连接,而其余大部分节点则只占有一少部分连接.这种拓扑结构中节点的连接数分布可以表示为P(d)=fd~,d=m,仇+1,…,M.其中P(d)表示节点拥有d个连接的概率,c为一常数,m表示拓扑结构中节点拥有的最小连接数,M表示最大连接数,a决定分布曲线的形状.具有这种特性的拓扑结构被
称为Power—Law结构.多种网络拓扑结构测量结果显示其结构符合Power—Law结构模型,如InternetAs拓扑结构,口≈2.25[53;G叽tella拓扑结构,口≈2.3口31web网页的链人拓扑结构,口≈2.09;链出拓扑结构,口≈z.72口].
在TianBu等人提出的Power—Law拓扑生成算法[81的基础上,本文提出了一个有向Power—Law拓扑生成算法.首先假定拓扑结构有m。个节点,用2x(mo—1)条有向边连接.随后重复以下两个步骤,直至网络规模达到仿真要求:(1)以概率P,添加m条边到拓扑结构中,对于每条边,分别以概率
0CERT.CERTAd呐∞rycA—1999一04Melis蚰MacTD
VⅢ.http://….cen.or“8dvisone5/c扩1999一04.html
。:鼻嚣::,::点号器溜豢盅嚣耋i嚣怒溢≮嬲50blg_BhtmI
lo期王跃武等:基于拓扑结构的蠕虫防御策略仿真分析1779
(d。一卢)/∑(击一卢)和(巩一p)/∑(西一口)选择不同的节点%和口。作为该边的起始和终止节点,并以概率口生成该边的逆向边;(2)以概率1一P。添加一个节点到拓扑中,以该节点为起始节点生成m条有向边,以概率(4一p)/∑(巧一卢)选择节点矾作为每条边的终止节点。
并以概率口生成每条边的逆向边.其中,d。,也,矾,d。分别代表每个步骤操作时,节点玑,仉,计,q拥有的出度连接数.由此生成的拓扑结构中节点出度连接数分布为Power—Law分布,且n可以用下式计算:
。=!!掣竺二!!二宴:望+l(1)
【A+g)”
一般取一o。<口<1.图1为该算法的仿真实验结果.可以看出随着参数选择的不同,该算法可以生成具有各种不同a值的拓扑结构,并且对数坐标下。节点出度连接分布基本上呈现一条直线,符合Power-Law结构特性.
节点出度
图1不同a值的Powe卜Law拓扑生成算法仿真结果2.2Small-worm拓扑结构及其仿真生成算法许多网络应用系统的拓扑结构为人类社会联系在网络环境中的映射,如e—mail地址网络和IM联
系人网络等.因此可以用社会联系模型模拟这类网络拓扑结构.watts等人提出用small一world模型模拟人类社会联系模型o],所以本文用Smal卜worId模型模拟这类拓扑结
构.
Small—WorId模型可以用图2进行解释.开始为左边所示的规则图形.对于规则图形中的每一条边.以概率A重新生成该边.保持一个端点不变,在拓扑中随机地选择一个节点作为另一个端点,形成新的替代边.对规则图形中所有节点这样处理后.形成small一world模型,如中间图所示.特别地当A一1时,拓扑结构变为完全随机模型,如右边所示.Sm8ll—world模型的两个重要属性为:较高的聚合系数C和较小的特征路径长度L.我们根据该模型提出了一个有向small—world模型生成算法.每个节点拥有的平均邻接点数表示为t,图2中^=4.
图2watts的snlaI卜World模型
图3为该算法的仿真结果.可以看出随着A的逐渐变大,L迅速下降,而c却一直到p,很大时才开始下降,所以该算法可以通过调整p,来实现较高的c和较短的L的small—world结构特性组合.由于少量的随机边可以极大地降低L,所以我们称这些边为“shortcut”.
2.3混合拓扑结构厦其仿真生成算法
在社会联系模型从实际环境向网络环境转换时,由于网络环境通信的便捷性,会发生一些改变.如人们的联系人数量可能会相对实际环境中有
图3Small—world拓扑中不同“下的L和c值
计算机学报2007年
所增加.其中对蠕虫传播影响较大的为用户的出现,如和QQ等.为了通信的方便,人们在加人用户时往往选择规模较大的,这样用户的规模分布将呈现Power—Law分布,zou等人对yahoo邮件列表进行分析发现其规模分布近似Power—Law分布“].所以我们用混合拓扑结构模型模拟这类网络结构特性.从本质上讲,smaI卜world模型也可以看作规则模型和随机模型组成的一种混合结构特例.
在仿真系统中。我们按照如下方法构造混合拓扑结构。首先生成smau—world拓扑结构,并生成初始规模呈Power—Law分布的用户.对于small—world拓扑结构中的每个节点,以概率九,从用户中以概率s。/≥:_s,选择用户i加入.其中s。,s,分别表示节点加入对,用户i,j的规模.可以证明,随着节点的不断加入,用户规模将保持Power—Law分布,并且口值将保持不变.图4为该算法的仿真实验结果,其中用户个数为500,a=2.2.可以看出随着节点规模的不断增加,用户规模分布始终保持Power—Law分布,并且分布曲线基本保持平行,证明了该算法可以有效地生成具有混合结构的仿真拓扑.
用户的茂覆
圈4不同总节点规模下的用户规模分布
2.4基于拓扑结构的蠕虫防御策略模型分析目前存在多种蠕虫防御策略,Dav试Brumley等人对其进行了系统的分析总结o“.忽略各种防御策略的具体实现技术,蠕虫防御策略可以分为如下三种:主动防御策略、被动保护策略和局部隔离策略.我们将分别对拓扑结构环境下的三种蠕虫防御策略的仿真模型进行描述.
主动防御策略,即在蠕虫传播之前采取一定措施,加固节点,使节点可以免受蠕虫感染,如打补丁等措施.在拓扑结构中,主动防御措施相当于将一部分节点从拓扑结构中去除.当这样的节点不断增多,能够将拓扑结构的连通性破坏时,即可成功阻断蠕虫传播.在主动扫描蠕虫传播过程中,蠕虫传播途径可以抽象为全连通结构,所以无法通过节点控制,有效地破坏蠕虫传播途径.仿真中,我们将主动防御策略抽象为:从拓扑结构中去除部分节点.拓扑结构下的主动防御措施需要解决:如何进行节点控制才能最有效地破坏蠕虫传播网络的连通性.
被动保护策略,即在蠕虫爆发后。根据特定的蠕虫特性,采取相应的措施,降低节点被感染的概率.目前存在多种被动保护策略的实现方法,如signature过滤、地址过滤等.本文忽略过滤措施的具体实现细节,将其抽象为节点的被感染概率.若过滤措施有效,则节点以较小的概率被感染;反之节点以较大的概率被感染.根据中心极限定理,我们用正态分布表示每个节点的感染概率:A~
N(“,掰),其中“表示节点被感染概率的平均值,a表示节点被感染率的方差.本文主要研究拓扑蝙虫传播的鲁棒性和被动保护策略的关系.
局部隔离策略,为“GoodNeighbor,,技术思想的一个实例.它通过减少已感染节点转发蠕虫数据包,阻断蠕虫传播.w111iamson等人提出了一个局部隔离策略的具体实现形式:virusth∞£tleLl“,它通过限制节点的对外连接率,阻断蠕虫数据包的转发.在拓扑相关蠕虫传播中实施局部隔离措施,存在一定的难度,因为拓扑相关蠕虫传播过程中,被感染节点总是向固定的节点发送蠕虫数据包,蠕虫流量特性和正常流量特性差别不大.本文忽略局部隔离措施的具体实现细节,假定将限制节点转发蠕虫数据包的方式,作为拓扑结构下局部隔离措施的一种抽象.本文将每个节点成功转发蠕虫数据包的概率表示为A~N<雎,醒).该策略与被动保护策略相似,本文主要分析拓扑结构下两种策略在蠕虫传播控制上的差异.
3基于拓扑结构的主动防御策略分析
在本节,本文将通过数据包级拓扑相关蠕虫仿真系统,对三种拓扑结构下的主动防御措施进行分析.假定蠕虫传播过程中,节点收到蠕虫数据包后·以1.0的概率被感染,延时一段时间后,按照其保存的相邻接点地址信息,转发蠕虫数据包,延时时问服从指数分布,^=1/30.o.蠕虫数据包发送可以采
10期王跃武等:基于拓扑结构的蠕虫防御策略仿真分析1781
用两种方式:Non_reinfection方式和Reinfection方
式.Non—relnfection方式指节点仅转发一次蠕虫数
据包,其后在任何情况下将不再转发蠕虫数据包.
市区工况油耗Reinfection是指节点无论在何情况下,收到蠕虫
数据包后,都将按照邻接点地址信息转发蠕虫数
据包.因为在不考虑节点被感染概率的情况下,两
种蠕虫数据包转发方式对拓扑相关蠕虫传播的影响
基本一致,所以本节分析仅考虑Non-reinfection传
播方式.
3.1Pdwe卜Law结构下的主动防御策略
Power—Law拓扑结构下,主动防御策略的有效
性与拓扑结构的连通性关系密切.cohen等人分析
了Power—Law结构中节点随机故障与拓扑连通性
之间的关系““.在该研究基础上,我们对Power—
Law结构中的主动防御策略进行分析.首先我们假
定完全随机地对拓扑结构中的节点实施主动防御策
僧侣鞋
略.导致蠕虫传播被成功阻断的控制节点比率的阈
值A可以按如下公式计算:
1一A=击(2)
其中‰表示为
l。f”,n>3
丝网除沫器安装
‰一l}—!l×<m“M”·,2<口<3(3)
【M,1<口<2
考虑蠕虫传播环境中的拓扑结构通常有2<a<3,并且M可以估计为mⅣ“”1,N表示拓扑结构中的节点总数[1“.所以,A又可以表示为
A一1+f1一m(nq).(a一’N鲁:.型1‘(4)由式(4)可以看出,Power—Law结构的拓扑连通性与连接边的数量和分布关系密切,并且在2<口<3时拓扑结构有较强的连通性.在N=10000,m一2时,A均在90%以上.即通过随机控制,必须对90%以上的节点进行主动免疫控制才能有效遏制蠕虫传播.而如果能够选择连接度较多的节点进行控制,则可以通过控制较少的节点,减少尽可能多的连接边,从而最大限度地破坏拓扑结构的连通性.所以选择性控制为有效阻断Power—Law结构中蠕虫传播的一个重要途径.图5为Power—Law结构中,不同控制比率下的蠕虫传播仿真结果,N=10000,a一2.5.可以看出通过完全随机防御控制,在控制比率达到50%时,蠕虫仍可以迅速感染全部未受保护的主机,只有在控制比率达到90%时才可以有效阻断蠕虫传播,仿真结果与理论分析基本一致.当通过选择连接度较多的节点进行控制时,阻断效果明显增加,控制比率到达50%时,即可有效阻断蠕虫传播.
图5Pow℃r—Law结构中不同控制比率下的蠕虫传播
3.2Small—worm结构下的主动防御策略
Newman等人对smalI_worId拓扑的连通性进行了分析[1“.我们在此研究基础上对smal卜world拓扑结构下的主动防御策略进行分析.如果不考虑“shortcut”,small一world拓扑结构为一个规则拓扑结构,如图2左图所示.假定规则拓扑结构中存在§个相互连接的实施主动防御的节点,则拓扑结构被分割成两个互不连接的区域.假定拓扑结构中未实施主动防御措施的节点的比率为“,则在两个相互连接的未受控节点之间存在&个相互连接的受控节点的概率为户。(1一九)‘.这样整个拓扑结构被分割成n个互不连通的区域。n表示为
n=p。(1一p础)1(N一惫n):争n
:N宴!11二丝!::(5)
1+矗pw(1一声。)‘
当受控节点增多,”>1时,拓扑结构即可被破坏.
考虑“shortcut”,如果“shortcut”的两个端点均在互不连接的两个未受控节点,则这两个未受控节点可以通过“shortcut”连通.当有n个这样的“shortcut”时,被切断的拓扑结构又可以形成一个连通的网络,所以这种“shortcut”的存在是smal卜Wor
ld拓扑结构连通性增强的一个重要因素.这种。sh。rtcut”存在的数量近似为p:。p,^N.所以可以得出:满足如下方程的儿为small—world拓扑结构连通性破坏的阈值.座便轮椅
r1一^、I
吐舢忙矾5再毒南伯)当未受控节点比率多于儿时,拓扑连通性未
migge q
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议