基于多播扫描机制的双栈蠕虫研究

IPv4网络到IPv6网络的过渡过程中将出现两种网络协议将共同存在。研究了一种具有分层扫描策略的蠕虫——双栈蠕虫,该蠕虫利用多播扫描策略实现本地IPv6子网内主机的检测,利用IPv4随机地址扫描发现子网外的目标主机。通过在真实网络中进行传播测试和利用仿真程序模拟双栈蠕虫在大规模网络中的传播行为,发现双栈蠕虫可以在IPv4-IPv6双栈网络中快速传播。     

基于纯P2P原理的蠕虫传播模型的研究

提出一种潜在的蠕虫传播方式--基于纯P2P原理的蠕虫传播方式,利用分片传输机制达到自主、快速的传播能力.根据纯P2P传播方式的特点,提出使用SEI和SEIR模型来建立蠕虫自由传播和受控传播过程的传播动力学模型.介于无尺度网络被公认为最接近于实际的网络拓扑,对两个模型进行了基于无尺度网络拓扑结构的仿真,仿真实验结果有力地支持了提出的两个传播动力学模型.通过数值计算和仿真实验结果的分析,认为随着蠕虫体的增大,基于纯P2P原理的蠕虫将具备更强大的传播能力和良好的隐蔽性,更容易被攻击者采用,是未来蠕虫防御方法研究应重视的问题.     

网络拓扑对Email蠕虫传播影响的分析与仿真

分析了Email蠕虫与传统蠕虫在扩散传播行为上的不同,着重研究了网络拓扑结构对Email蠕虫传播行：匆的影响,通过对power law网络模型,小世界（small world）拓扑模型和随机拓扑模型三种网络结构的分析设计与仿真实验,提出了Email蠕虫在power law拓扑模型传播速度最快并且易于感染高连接度节点的结论。     

P2P网络中激发型蠕虫传播动态建模

 鉴于激发型蠕虫的巨大危害性,本文在考虑网络动态变化的情况下对激发型蠕虫的传播进行了深入地研究,提出了激发型蠕虫动态传播数学模型和免疫模型,并基于动态传播数学模型推导出了激发型蠕虫不会泛滥的充分条件.大规模仿真实验验证了传播模型的有效性和蠕虫不会泛滥充分条件的正确性.基于传播模型的分析表明,下载率是影响蠕虫传播的关键因素,蠕虫基本繁殖率是衡量蠕虫传播能力的关键指标.基于实测P2P网络数据和传播模型,预测和估计了激发型蠕虫的传播能力、传播速度和危害性,指出尽早重视P2P激发型蠕虫特别是尽早找到检测和控制方法的重要性和迫切性.     

基于CDC的良性蠕虫的离散传播模型

根据建立CDC的思想，分析了基于CDC的良性蠕虫的特征。更进一步，分别在有时间延迟条件下以及没有时间延迟条件下对于基于CDC的良性蠕虫对抗蠕虫的传播过程进行了建模分析。最后，通过仿真实验对于模型进行了验证，总结了影响基于CDC的良性蠕虫对抗蠕虫传播的2个主要因素。     

无尺度网络上Witty蠕虫的传播与仿真

首先分析了Witty蠕虫的特点和传播行为，然后用无尺度网络和随机网络进行了仿真。结果表明，Witty在无尺度网络上的传播和实际观察到的数据非常相似，无尺度网络上蠕虫传播的阈值非常小，接近于零。最后给出了蠕虫研究的难点与下一步的工作。     

面向分层网络的社交蠕虫仿真建模研究

随着社交网络的普及,社交蠕虫已经成为了威胁社会的主要隐患之一.这类蠕虫基于拓扑信息和社会工程学在因特网中快速传播.先前的学者们对社交蠕虫的传播建模与分析主要存在两个问题：网络拓扑的不完整性和传播建模的片面性;因而导致对社交蠕虫感染规模的低估和人类行为的单一化建模.为了解决上述问题,本文提出了社交蠕虫传播仿真模型,该模型使用分层网络能更准确地抽象社交逻辑层与实际物理层之间的关系,以及利用人类移动的时间特性能更全面地刻画社交蠕虫的传播行为.实验结果表明,该仿真模型揭示了用户行为、网络拓扑参数以及不同的修复过程对社交蠕虫传播造成的影响.同时,文中对社交蠕虫的传播能力做出了定性分析,为网络防御提供了重要的理论支持.     

无线传感网中移动式蠕虫的抑制与清理

在无线传感器网络(Wireless Sensor Networks, WSNs)中引入移动节点可以极大地提升网络性能。然而,移动节点一旦被蠕虫感染则会大大加快蠕虫在WSNs中的传播。针对这一新的研究问题,该文分2步来抑制和清理移动蠕虫传播源。首先建立了移动蠕虫感染模型,设计启发式算法以确定移动感染区域的边界,通过挂起感染边界附近的高风险节点来阻断蠕虫的进一步传播。第2步设计定向扩散的良性蠕虫对网络中被感染的节点进行修复,以彻底清除蠕虫病毒。理论分析和仿真实验结果均表明,该文所提方法能够在付出较小的代价下达到较好的移动蠕虫清理效果,适合能量受限的无线传感器网络。     

P2P网络中被动型蠕虫传播与免疫建模

鉴于被动型蠕虫的危害性,对被动型蠕虫进行了深入分析,进而基于平均场法建立了被动型蠕虫的传播模型和免疫模型.基于传播模型和流行病传播学理论推导出进入无蠕虫平衡状态的充分条件,仿真实验证明了该充分条件的正确性.另外,仿真实验还表明,下载率和恢复率是控制蠕虫传播的两个可控的关键参数.在免疫软件被编制出来前,降低下载率和提高恢复率能有效控制被动型蠕虫的传播.     

分布式蠕虫检测和遏制方法的研究

提出了一种分布式蠕虫遏制机制，它由两大部分组成：中央的数据处理中心和分布在各网关的感知器。中央的数据处理中心接收感知器的检测结果，并统计蠕虫的感染状况。分布在各网关的感知器监测网络行为并检测蠕虫是否存在。若检测到蠕虫的存在，感知器根据蠕虫的疫情状况，启动自适应的丢包机制。最后，实验结果证明了该遏制系统能够有效地遏制蠕虫的传播，保护网络的运行；尽可能小的干扰正常的网络行为。     

A stochastic worm model

Internet worm infection continues to be one of top security threats and has been widely used by botnets to recruit newbots. In order to defend against future worms, it is important to understand how worms propagate and how different scanning strategies affect worm propagation dynamics. In our study, we present a (stochastic) continuous-time Markov chain model for characterizing the propagation of Internet worms. The model is developed for uniform scanning worms, and further for local preference scanning worms and flash worms. Specifically, for uniform and local preference scanning worms, we are able to (1) provide a precise condition that determines whether the worm spread would eventually stop and (2) obtain the distribution of the total number of infected hosts. By using the same modeling approach, we reveal the underlying similarity and relationship between uniform scanning and local preference scanning worms. Finally, we validate the model by simulating the propagation of worms.     

基于马尔可夫链的网络蠕虫传播模型

提出了网络蠕虫的随机传播模型。首先,基于马尔可夫链对于网络蠕虫进行了建模,并且讨论了模型的极限分布以及平稳分布的存在性。然后,讨论了网络蠕虫在传播初期灭绝的充要条件以及在传播后期灭绝的必要条件。最后,讨论了网络蠕虫的传播规模。仿真实验对于模型进行了验证,讨论了模型中传播参数,时间参数以及漏洞主机数等相关参数对于网络蠕虫传播的影响,并且与G-W模型进行了数据对比,说明了本模型的优势。     

基于随机进程代数的P2P网络蠕虫对抗传播特性分析

 研究P2P网络中良性蠕虫和恶意蠕虫在对抗传播过程中的特性,可为制定合理的蠕虫对抗策略提供科学依据.提出一种基于随机进程代数的P2P网络蠕虫对抗传播的建模与分析方法.首先,分析了传播过程中蠕虫之间的对抗交互行为以及网络节点的状态转换过程;然后,利用PEPA语法建立了恶意蠕虫初始传播阶段与蠕虫对抗阶段的随机进程代数模型;最后,采用随机进程代数的流近似方法,推导得到能够描述蠕虫传播特性的微分方程组,通过求解该方程组,分析得到P2P蠕虫的对抗传播特性.试验结果表明,良性蠕虫可以有效遏制P2P网络中的恶意蠕虫传播,但需要根据当前的网络条件制定科学的传播策略,以减少良性蠕虫自身的传播对网络性能的影响.     

基于潜伏期的网络蠕虫传播模型及其仿真分析

随着Internet的迅速发展，网络蠕虫已严重威胁着网络信息安全。现有的网络蠕虫传播模型仅仅考虑了网络蠕虫传播的初始阶段和达到稳定状态时的网络特性．不能刻画网络蠕虫快速传播阶段的网络特性。文章运用系统动力学的理论和方法．建立一种基于潜伏期的网络蠕虫传播模型，能够从定性和定量两方面分析和预测网络蠕虫传播趋势。模拟结果表明网络蠕虫潜伏期与免疫措施强度是影响网络蠕虫传播过程的重要因素。     

A new worm propagation threat in BitTorrent: modeling and analysis

Peer-to-peer (P2P) networking technology has gained popularity as an efficient mechanism for users to obtain free services without the need for centralized servers. Protecting these networks from intruders and attackers is a real challenge. One of the constant threats on P2P networks is the propagation of active worms. Recent events show that active worms can spread automatically and flood the Internet in a very short period of time. Therefore, P2P systems can be a potential vehicle for active worms to achieve fast worm propagation in the Internet. Nowadays, BitTorrent is becoming more and more popular, mainly due its fair load distribution mechanism. Unfortunately, BitTorrent is particularly vulnerable to topology aware active worms. In this paper we analyze the impact of a new worm propagation threat on BitTorrent. We identify the BitTorrent vulnerabilities it exploits, the characteristics that accelerate and decelerate its propagation, and develop a mathematical model of their propagation. We also provide numerical analysis results. This will help the design of efficient detection and containment systems.     

面向异构网络环境的蠕虫传播模型Enhanced-AAWP

合理地建立蠕虫传播模型将有助于更准确地分析蠕虫在网络中的传播过程。首先通过对分层的异构网络环境进行抽象,在感染时间将影响到蠕虫传播速度的前提下使用时间离散的确定性建模分析方法,推导出面向异构网络环境的蠕虫传播模型Enhanced-AAWP。进而基于Enhanced-AAWP模型分别对本地优先扫描蠕虫和随机扫描蠕虫进行深入分析。模拟结果表明,NAT子网的数量、脆弱性主机在NAT子网内的密度以及本地优先扫描概率等因素都将对蠕虫在异构网络环境中的传播过程产生重要的影响。     

P2P触发式主动型蠕虫传播建模

对P2 P触发式主动型蠕虫的攻击机制进行了研究,发现该类蠕虫传播通常包括四个阶段：信息收集,攻击渗透、自我推进与干预激活。基于对P2 P触发式主动型蠕虫攻击机制的分析并运用流行病学理论提出了P2 P触发式主动型蠕虫传播数学模型并基于该模型推导了蠕虫传播进入无蠕虫平衡状态的充分条件。仿真实验验证了所提出传播模型的有效性。     

Modeling Propagation Dynamics of Bluetooth Worms (Extended Version)

In the last few years, the growing popularity of mobile devices has made them attractive to virus and worm writers. One communication channel often exploited by mobile malware is the Bluetooth interface. In this paper, we present a detailed analytical model that characterizes the propagation dynamics of Bluetooth worms. Our model captures not only the behavior of the Bluetooth protocol but also the impact of mobility patterns on the Bluetooth worm propagation. Validation experiments against a detailed discrete-event Bluetooth worm simulator reveal that our model predicts the propagation dynamics of Bluetooth worms with high accuracy. We further use our model to efficiently predict the propagation curve of Bluetooth worms in big cities such as Los Angeles. Our model not only sheds light on the propagation dynamics of Bluetooth worms, but also allows to predict spreading curves of Bluetooth worm propagation in large areas without the high computational cost of discrete-event simulation.     

基于云安全环境的蠕虫传播模型

云安全体系的出现标志着病毒检测和防御的重心从用户端向网络和后台服务器群转变,针对云安全体系环境,基于经典SIR模型提出了一种新的病毒传播模型(SIR_C)。SIR_C在考虑传统防御措施以及蠕虫造成的网络拥塞流量对自身传播遏制作用的基础上,重点分析了网络中云安全的部署程度和信息收集能力对蠕虫传播模型的影响。实验证明SIR_C模型是蠕虫传播研究在云安全环境下有意义的尝试。