基于生物免疫原理的网络蠕虫免疫模型

提出一种新的网络蠕虫传播模型,并基于生物免疫原理提出了成熟良性蠕虫、记忆良性蠕虫和疫苗良性蠕虫新概念,建立了新的主机状态转移关系,运用系统动力学理论和方法,建立了一种新的网络蠕虫免疫模型,它能够从定性和定量两方面分析和预测网络蠕虫免疫过程,并能够深入刻画恶性蠕虫和良性蠕虫交互过程中的网络特性,为动态防治网络蠕虫提供了新的理论依据。模拟实验结果表明,引入的三种良性蠕虫是动态防御恶性网络蠕虫传播的重要因素。     

大规模网络中Internet蠕虫主动防治技术研究——利用DNS服务抑制蠕虫传播

Internet蠕虫爆发后,在大规模网络中,由于易感主机和被感染主机数量很多,构成了良好的蠕虫生存环境。实践证明常用的路由封堵、控制策略只在蠕虫爆发初期有效,在长时间的封堵后,网络中仍然存在大量被感染主机,这些主机不停活动,攻击其它易感主机。文章提出利用DNS服务疏导被感染主机访问告警服务器的方法,及时通知被感染主机的使用者对本机采取相应处理措施,从而达到在网管人员和用户共同配合下迅速消灭蠕虫的效果。该文详细给出了利用DNS服务针对网络中被感染主机进行疏导的系统设计与实现。通过对清华大学校园网实施后的数据统计分析,证明这种方法是快速有效的。     

基于阴性选择的网络蠕虫抑制模型

基于免疫系统的阴性选择机制,提出一种网络蠕虫抑制模型。通过主机的程序行为异常,检测蠕虫攻击并及时响应,允许主机进行大部分的正常网络通信,防止蠕虫通过主机继续传播。主机发出基于阴性选择过滤的网络服务请求,依据蠕虫的传播特征,网络主机之间相互协同,推断蠕虫所攻击的服务并进行限制。实验结果表明,该模型能有效检测并抑制传统蠕虫及拓扑蠕虫等传播隐秘的新型蠕虫。     

基于分布式蜜网的蠕虫传播模型研究*

为有效防范蠕虫传播所带来的日益严峻的安全威胁,主动防护技术—分布式蜜网被应用到网络中以保障网络安全。分布式蜜网下的蜜罐对蠕虫表现出强诱骗性和“宽进严出”的数据控制策略等特性,影响到蠕虫的传播及控制。基于双因子模型,考虑到分布式蜜网下的蜜罐特性和Internet的无标度网络特性,提出基于分布式蜜网的蠕虫传播模型,并进行了分析;通过模拟实验对模型进行验证,以探讨部署分布式蜜网下的蠕虫传播规律。实验结果表明,部署分布式蜜网不但能第一时间捕获蠕虫样本,而且能减少网络中感染蠕虫主机总数、具备感染能力的最大主机数等     

SIRS蠕虫传播模型及其分析

提出SIRS蠕虫传播模型并对其稳定性进行分析,当R0<1时,网络最终将处于“无病”状态,当R0>1时,将出现蠕虫“地方病”。利用CAIDA提供的蠕虫数据进行检验,结果表明模型与实际数据吻合。基于该模型,分析了主机不能保持免疫力、感染蠕虫后及时关机或断开网络、主机主动免疫等不同策略对蠕虫控制的影响。     

基于NS-2的蠕虫病毒仿真

采用混合仿真方法,分别针对抽象的和具体的网络模型,基于NS-2仿真平台,实现了蠕虫的SIR传播模型,按照主机易感→感染→免疫的方法对不同的拓扑结构进行了仿真。最后,通过该仿真系统实验分析了拓扑结构对蠕虫传播的影响。仿真实验结果表明,拓扑结构对蠕虫的传播有影响。     

网络蠕虫防御系统中的疫苗分发路径优化

网络蠕虫的传播对互联网安全构成了严重的威胁，接种疫苗是蠕虫防治的一种有效手段。该文提出了一个基于Agent的网络蠕虫防御系统，通过Agent互相协作共同抵御网络蠕虫。Agent在网络中迁移，把疫苗安装到网络中的各个主机节点。通过对Agent的迁移机制和疫苗存储库结点的部署算法的研究，并应用到系统中，实现了疫苗分发路径的优化，缩短了疫苗的分发时间。     

基于阳性选择的蠕虫检测系统

蠕虫通过发送网络服务请求搜寻感染目标,主机的异常网络服务请求可以作为蠕虫检测的依据.提出了一种蠕虫检测系统,基于阳性选择算法构造自体字符串集合描述主机的正常网络行为.自体字符串集合采用Bloom filter过滤器的形式表示,用于监视主机的网络行为以发现网络中可疑的网络服务请求.依据蠕虫的传播特征,采用二叉树的形式对所发现的可疑网络服务请求进行关联分析,通过无参CUSUM(cumulative sum)算法监视二叉树异常值的变化,从而及时、准确地发现蠕虫传播.GTNetS(Georgia Tech Network Simulation)平台的测试实验结果表明,所提出的蠕虫检测系统能够有效检测蠕虫,同时对于主机正常网络通信的影响较小.     

IPv6网络中蠕虫传播模型及分析

IPv6网络由于其巨大的地址空间，通常被认为对随机扫描蠕虫有天然的抵御能力，该文研究了一种可以在IPv6网络中迅速传播的新型网络蠕虫（V6-Worm）．基于对V6-Worm扫描策略的分析，分别建立简单传染病模型和双因素蠕虫模型来仿真V6-Worm的传播趋势．简单传染病模型的仿真结果证明，V6-Worm拥有比随机扫描蠕虫更快的传播速度；双因素蠕虫模型的仿真结果证明，V6-Worm拥有更强的对抗蠕虫控制措施的能力，同时在研究中发现主机中存在漏洞的比例是V6-Worm传播性能的主要影响因素．最后，文中从防止地址信息泄漏和降低主机存在漏洞比例两个角度，讨论了V6-Worm的防御策略．     

基于无尺度易感应用网络的拓扑蠕虫传播模型

分析了基于无尺度易感应用网络的拓扑蠕虫的传播特性，包括其感染整个应用网络所需要的传播时间和其在传播过程中对相关主机和网络资源的占用情况等。通过与扫描蠕虫相比较，分析出该类拓扑蠕虫传播时间更短，并且在传播过程中具有更好的隐蔽性，在实施最终攻击前很难被检测，从而使其对网络和主机具有更大威胁。针对这种威胁，文章提出了几种用于检测和防御基于无尺度网络应用拓扑蠕虫的可能方法。     

大规模蠕虫在线追踪培养皿

提出了一个用于反向追踪大规模网络蠕虫传播的虚拟实验环境，能够用于网络蠕虫检测和防御实验。实验环境使用虚拟机技术，虚拟大量主机和网络设备参加，尽量符合网络实际。在可控的范围内，使用真实的感染代码引发大规模蠕虫的爆发，观测蠕虫的传播过程。实验环境中可以发现蠕虫的传播特性，实时收集网络蠕虫的流量数据和感染过程。     

非均匀随机扫描的蠕虫离散传播模型

为进一步提高蠕虫传播效率,深入研究了非均匀扫描策略,建立了非均匀随机扫描的蠕虫传播模型,在此基础上从已感染主机免疫率、易感染主机免疫率、主机扫描数三个角度定量地分析了非均匀随机扫描策略下网络蠕虫的传播效率,得到在非均匀扫描模式下主机总体感染率峰值可达0.8以上,达到峰值提前近1000s,抑制过半延迟近2000s。最后通过模拟实验验证了非均匀随机扫描模型具有更高的蠕虫传播效率。     

基于动态检测隔离机制的网络蠕虫传播模型与分析

提出一种基于动态检测隔离机制的通用网络蠕虫传播模型,该模型定义了蠕虫在隔离阶段的可疑状态,显式地刻画了蠕虫动态检测隔离过程;并利用动态蠕虫感染率和动态主机移除率、主机自动免疫率分别描述了蠕虫传播造成的网络拥塞现象和人类在对抗蠕虫病毒过程中的主观能动性.分析表明,基于动态检测隔离机制系统可有效降低蠕虫传播速度,减少被感染主机数,延迟蠕虫传播峰值出现的时间.     

基于常数输入的蠕虫传播模型及其分析

针对蠕虫病毒提出了易感主机有常数输入并具有标准传染率的SIRS传播模型,考虑蠕虫病毒在传播期间主机总数的动态变化性,应用微分方程定性与稳定性理论对该模型进行分析, 讨论了不同因素对蠕虫病毒控制的影响。并利用Abilene网络分析了网络拓扑对病毒传播速率的影响。最后,通过CAIDA提供的蠕虫数据对该模型进行了检验。     

基于搜索引擎蠕虫的分析与检测

目前,蠕虫已经成为了互联网络安全的最大威胁,蠕虫攻击、扫描技术经过不断的发展和改进,已经日趋智能化、隐蔽化。搜索引擎被人们用来在Internet上检索感兴趣的东西,同样也会被蠕虫利用进行攻击和传播。利用互联网络的搜索引擎进行攻击和传播的蠕虫,实现了隐蔽、小流量、准确地传播。文章首先分析了这类基于搜索引擎的蠕虫的特征,然后提出了用户检索模型和异常判定算法,经过实验证明,此种检测方法确实高效可行。     

组播蠕虫的传播模型研究

蠕虫利用多种技术来实现快速传播。近年来得到广泛应用的组播技术可能被蠕虫用来加速蠕虫传播过程。论文通过分析组播蠕虫的传播模式,建立了组播蠕虫传播模型并用数值分析方法对影响蠕虫攻击性能的因素进行了研究。根据数值结果得出组播蠕虫的攻击性能与几个因素密切相关。     

网电空间中基于蠕虫的攻防对抗技术研究

随着网电空间战略地位的提高,其对抗技术已成为研究的热点。针对网电空间对抗建模问题,以典型的网电空间蠕虫为研究对象,采用建立蠕虫攻击传播模型和蠕虫防御模型的方法,对基于蠕虫的网电空间攻防对抗建模技术进行研究。分析蠕虫扫描策略及目的不可达报文检测方法,建立基于选择性随机扫描策略的蠕虫传播模型。在该模型的基础上,提出基于蠕虫签名的防御方法及改进措施,并设计蠕虫综合对抗模型。仿真结果表明,与基于签名的防御方法相比,综合防御方法能更有效地抑制蠕虫传播。     

Research of internet worm warning system based on system identification

The frequent explosion of Internet worms has been one of the most serious problems in cyberspace security.In this paper, by analyzing the worm's propagation model, we propose a new worm warning system based on the method of system identification, and use recursive least squares algorithm to estimate the worm's infection rate. The simulation result shows the method we adopted is an efficient way to conduct Internet worm warning.     

基于日模式的蠕虫传播模型研究

通过对Conficker蠕虫在互联网传播期间的流量数据进行分析, 发现蠕虫传播过程体现出以24 h为周期的规律性振荡特性, 即日模式。为了能更准确地描述蠕虫的传播过程, 在经典蠕虫传播模型的基础上, 结合蠕虫传播的日模式特性, 提出了蠕虫传播的日模式模型。同时提出了一个仿真算法, 通过仿真实验验证了模型的正确性和有效性, 进一步表明了日模式因素的存在, 日模式特性的存在为找到抑制蠕虫传播的方法提供了一定的帮助。