基于双层扫描策略的IPv6蠕虫研究*

由于IPv6网络地址空间巨大,传统的基于随机扫描、顺序扫描等网络层扫描策略的IPv4蠕虫难以在IPv6网络中传播。构建了一种新型IPv6网络蠕虫——V6-Worm,该蠕虫运用双层扫描策略,在子网内和子网间分别采用基于组播和基于域间路由协议路由前缀的扫描策略,并在此基础上建立了一种双层蠕虫传播模型(double layer model,DLM)来仿真V6-Worm的传播趋势。仿真结果表明,V6-Worm可在大规模IPv6网络中传播,与采用随机扫描策略的CodeRed相比,V6-Worm具有更快的传播速度。     

IPv6网络中的蠕虫传播模型

基于IPv6网络环境,构建了一种新型网络蠕虫—WormIPv6,对其扫描策略进行了分析研究,在此基础上分别建立SEM模型和KM模型,分别仿真WormIPv6的传播趋势。仿真实验结果表明,由于IPv6中巨大的地址空间,IPv6网络对于随机扫描蠕虫有天然的抵抗能力,在IPv6网络中,使用随机扫描策略的蠕虫根本无法传播,网络蠕虫会利用其他扫描策略。     

IPv6网络中DNS蠕虫的研究

基于IPv6网络环境分析了网络蠕虫的扫描策略,构建了一种新型网络蠕虫--DNSWorm-V6,该蠕虫应用两层不同的扫描策略,即在本地应用子网内扫描策略,在子网间应用DNS扫描策略.由此两层扫描策略,提出一种双层蠕虫传播模型TLM.仿真实验结果表明,DNSWorm-V6是一种可以在IPv6网络中大范围快速传播的蠕虫.可以预测IPv6网络中新型蠕虫可能带来的威胁.     

IPV6网络中搜索引擎蠕虫的传播研究

针对传统蠕虫传播模型无法准确预测基于搜索引擎的蠕虫的传播问题,在IPv6网络环境下构建了一种基于搜索引擎的蠕虫-V6.MAMWorm,并在分层扫描策略的基础上提出了一种混合智能算法.在本地应用子网内扫描策略,在子网间应用搜索引擎扫描策略,从而建立了一种新型的蠕虫传播模型(multi-tierarchitecturemodel,MAM).仿真结果表明,V6-MAM-Worm在IPv6网络中具有更快的传播速度,其将对IPv6网络的安全性带来巨大的威胁.     

IPv6网络中蠕虫传播模型及分析

IPv6网络由于其巨大的地址空间，通常被认为对随机扫描蠕虫有天然的抵御能力，该文研究了一种可以在IPv6网络中迅速传播的新型网络蠕虫（V6-Worm）．基于对V6-Worm扫描策略的分析，分别建立简单传染病模型和双因素蠕虫模型来仿真V6-Worm的传播趋势．简单传染病模型的仿真结果证明，V6-Worm拥有比随机扫描蠕虫更快的传播速度；双因素蠕虫模型的仿真结果证明，V6-Worm拥有更强的对抗蠕虫控制措施的能力，同时在研究中发现主机中存在漏洞的比例是V6-Worm传播性能的主要影响因素．最后，文中从防止地址信息泄漏和降低主机存在漏洞比例两个角度，讨论了V6-Worm的防御策略．     

混合型网络中蠕虫的传播研究

首先在存在大量NAT的混合型(IPv4/IPv6)网络环境中分析了网络蠕虫的扫描策略,构建了一种新型的基于Teredo服务的网络蠕虫—TeredoWorm,该蠕虫应用分层扫描策略为在本地应用子网内扫描策略;在子网间应用基于Teredo服务的扫描策略。并在此基础上建立了一种分层蠕虫传播模型(Layered Model,LM)。经仿真实验结果表明,TeredoWorm是一种可以在IPv4/IPv6网络中穿越NAT进行大范围传播的蠕虫,其将对IPv4/IPv6网络的安全性带来巨大的威胁。     

基于GTNetS的蠕虫模拟路由策略的改进

蠕虫模拟时产生的无效IP地址扫描包会在源节点所属的路由器被直接丢弃,这与实际网络中数据包的传输情况差距较大。该文针对这一问题提出改进路由策略的方法,并实现对模拟器GTNetS路由策略的修改。为量化改进路由策略前后的区别,给出一个理想的假设模型,并进行模拟实验。实验结果与模型的理论值相符,改进路由策略后能够更准确地反映蠕虫数据包在网络中的传输。     

网络蠕虫主动抑制算法的改进性策略研究

通过对目前几种蠕虫检测和抑制策略的分析比较,提出了一种改进性双轮蠕虫检测和抑制算法,论证了这种算法对普通蠕虫扫描攻击和隐蔽性蠕虫攻击的检测和抑制有效性,同时考虑了正常网络行为的误用性对该算法的影响,大大降低了该算法的误报率。最后,仿真实验分析了该算法在正常网络背景和网络拥堵背景下的检测蠕虫效果,证明了该算法策略能够高效地检测和抑制蠕虫,同时具有较好的低误报性。     

网络蠕虫扩散策略研究

蠕虫在传播时所采取的扫描策略直接决定了蠕虫的感染速度和程度.论文对蠕虫传播时采用的不同扫描策略进行了深度分析,并建模比较.针对各种扩散策略的不足,提出了随机均匀扫描、基于路由扫描和预定义目标地址列表相结合的扫描策略,简称RRH-1扫描策略.经验证,和已有单一扩散策略相比,采用RRH-1扫描策略的蠕虫传播时具有快速、准确和流量小的优点.     

网络蠕虫扩散策略研究

蠕虫在传播时所采取的扫描策略直接决定了蠕虫的感染速度和程度。论文对蠕虫传播时采用的不同扫描策略进行了深度分析，并建模比较。针对各种扩散策略的不足，提出了随机均匀扫描、基于路由扫描和预定义目标地址列表相结合的扫描策略，简称RRH-1扫描策略。经验证，和已有单一扩散策略相比，采用RRH—l扫描策略的蠕虫传播时具有快速、准确和流量小的优点。     

面向蠕虫自动特征产生系统的设计与实现

计算机以及网络的的迅速发展在带给人类方便的同时,也为恶意代码的传播提供了良好的条件。一种具有传播速度快,破坏力大和高智能性等特点的恶意代码一蠕虫,已引起人们的广泛重视。由于蠕虫传播速度极快,安全厂商很难迅速获得检测相应蠕虫的恶意代码的特征,而特征的迟后获得可能会给用户带来很大的潜在危害,因此,本文从协议分析的角度提出了一种特征的自动生成方法,并将产生的特征用来检测蠕虫,取得了良好的效果,并在此基础上用实例探测的方法进一步提高了准确性（降低了漏报与误报）。     

主动良性蠕虫和混合良性蠕虫的建模与分析

自从1988年Morris蠕虫爆发以来,网络蠕虫就在不断地威胁着网络的安全.传统防范措施已不再适用于蠕虫的防治,使用良性蠕虫来对抗蠕虫正成为一种新的应急响应技术.良性蠕虫的思想就是将恶意的蠕虫转化成良性的蠕虫,而且该良性蠕虫还可以运用相同的感染机制免疫主机.这种方法可以主动地防御恶意蠕虫并且在没有传统的蠕虫防御框架下仍具有潜在的部署能力.首先,分别将主动良性蠕虫和混合良性蠕虫划分成3个子类;然后,基于两因素模型分别对主动良性蠕虫和混合良性蠕虫的3个子类进行建模,推导了在有延迟以及无延迟的情况下6类良性蠕虫的传播模型;最后,通过仿真实验验证了传播模型.更进一步,基于仿真结果讨论了每种良性蠕虫抑制恶意蠕虫的效果,并且得到如下结论:在相同的感染条件下,复合型的混合良性蠕虫抑制蠕虫传播的效果最好.     

网络蠕虫的检测和防治

随着网络系统应用及其复杂性的增加,网络蠕虫已成为网络安全的主要威胁之一。目前的蠕虫传播速度如此之快使得单纯依靠人工手段已无法抑制蠕虫的爆发。本文首先介绍了蠕虫的相关概念,然后详细介绍了当前蠕虫检测的关键技术,最后给出了蠕虫检测技术的总结和展望。     

混合的结构化良性蠕虫对抗蠕虫过程的建模与分析

由于良性蠕虫可以主动免疫主机,因此使用良性蠕虫来对抗蠕虫传播正成为一种新的应急响应技术.提出了混合的结构化良性蠕虫,设计了它的工作机制以及部署情况.基于传染病模型原理,用数学模型刻画了混合的结构化良性蠕虫对抗蠕虫的传播过程.最后,对于该模型进行了仿真试验.通过仿真结果,总结了影响混合的结构化良性蠕虫对抗蠕虫传播的四个因素:探针探测和探针的蠕虫检测的响应时间,探针的蠕虫检测率和探测率.混合的结构化良性蠕虫对抗蠕虫的传播模型可以使得人们更好地理解良性蠕虫对抗蠕虫的效果.     

P2P worm detection based on application identification

P2P worm exploits common vulnerabilities and spreads through peer-to-peer networks. Despite being recognized as a potential and deadly threat to the Internet recently, few relevant countermeasures are found in extant literature. Once it breaks out, a P2P worm could result in unpredictable losses. Based on propagation characteristics of the worm, this paper presents a detection method called PWD (P2P Worm Detection), which is designed based on application identification and unknown worm detection. Simulation result and LAN-environment experiment result both indicate that PWD is an effective method to detect and block P2P worms. Translated from Journal of Beijing University of Aeronautics and Astronautics, 2006, 32(8): 998–1002 [译自: 北京航空航天大学学报]     

主动Internet蠕虫防治技术-接种疫苗

常规的蠕虫防治策略中网络管理人员处于被动地位,蠕虫爆发后会在网络中长期泛滥,无法得到有效抑制。该文通过对经典蠕虫的分析,给出了蠕虫疫苗的定义(为破坏蠕虫传播流程中的某个环节而在主机上建立的标记,称为蠕虫“疫苗”;标记的建立过程,称为“接种疫苗”),讨论了蠕虫疫苗的判定选择方法以及接种技术要点。通过对网络中易感主机进行接种疫苗,可以减少网络中易感主机的存在数量,使蠕虫失去攻击的对象,无法继续传播。接种疫苗可以作为网络管理人员主动进行蠕虫防治、迅速消灭蠕虫的一种有效手段。     

一种混合的网络蠕虫检测方法

提出一种综合采用网络蠕虫行为检测和网络蠕虫反馈检测的混合蠕虫检测方法.在网络蠕虫行为检测方面,将一个局域网作为一个访问模型对于蠕虫进行检测.在网络反馈蠕虫检测方面,利用网络对于蠕虫攻击反馈的信息作为网络反馈检测方法的特征.然后,通过CUSUM(Cumu lative Sum)算法将以上两种检测方法综合考虑来提高网络蠕虫检测的准确性.实验结果表明本文提出的方法可以准确高效地检测网络蠕虫.     

基于有向图分析的蠕虫早期检测方法

网络蠕虫给互联网带来了巨大的损失,实践证明,越早发现蠕虫的传播行为,就越有利于对蠕虫的遏制。首先分析了网络蠕虫早期传播的特征,然后借鉴GrIDS入侵检测系统的图分析思想,提出了一种利用有向图对网络蠕虫早期传播行为进行检测的蠕虫早期检测方法,并设计了有向图分析算法,对网络蠕虫与P2P应用、网络扫描以及突发访问等类网络蠕虫行为进行了准确识别。实验证明,可以准确检测网络蠕虫的早期传播行为,并定位蠕虫源主机。     

未知蠕虫自动检测技术研究

现有蠕虫检测系统的误报率较高。为此,提出未知蠕虫自动检测技术。利用多维蠕虫异常检测方法发现未知蠕虫,使用跳跃式多特征串提取方法得到未知蠕虫的特征串集合,并生成相应的特征检测规则,实现未知蠕虫的自动检测。实验结果证明,该技术能够成功发现新型蠕虫,具有较高的蠕虫检测率和较低的误报率。     

基于拓扑结构的蠕虫防御策略仿真分析

提出了基于拓扑结构控制的蠕虫防御策略,并通过构建仿真模型对其进行了仿真验证分析.首先对蠕虫传播所依赖的拓扑结构的主要形式进行了分析,提出了相应的生成算法,并对算法的有效性进行了验证;随后提出了三种拓扑结构控制策略仿真模型;最后分别对这三种策略在不同拓扑结构下的蠕虫传播控制性能进行了仿真实验.实验结果证明:通过适当地控制拓扑结构,可以有效地遏制拓扑相关蠕虫传播.