主动良性蠕虫和混合良性蠕虫的建模与分析

自从1988年Morris蠕虫爆发以来,网络蠕虫就在不断地威胁着网络的安全.传统防范措施已不再适用于蠕虫的防治,使用良性蠕虫来对抗蠕虫正成为一种新的应急响应技术.良性蠕虫的思想就是将恶意的蠕虫转化成良性的蠕虫,而且该良性蠕虫还可以运用相同的感染机制免疫主机.这种方法可以主动地防御恶意蠕虫并且在没有传统的蠕虫防御框架下仍具有潜在的部署能力.首先,分别将主动良性蠕虫和混合良性蠕虫划分成3个子类;然后,基于两因素模型分别对主动良性蠕虫和混合良性蠕虫的3个子类进行建模,推导了在有延迟以及无延迟的情况下6类良性蠕虫的传播模型;最后,通过仿真实验验证了传播模型.更进一步,基于仿真结果讨论了每种良性蠕虫抑制恶意蠕虫的效果,并且得到如下结论:在相同的感染条件下,复合型的混合良性蠕虫抑制蠕虫传播的效果最好.     

离散时间下混合型良性蠕虫的建模仿真分析

为了更好地刻画良性蠕虫的传播过程,采用了离散时间模型。在离散时间下,考虑恶性蠕虫和良性蠕虫传播对网络的影响,对混合型良性蠕虫的传播过程进行分析和数学建模,通过仿真验证传播模型,并引入泰勒公式对关键参数进行分析比较。理论分析和仿真实验表明,在混合型良性蠕虫释放时间和网络性能一定的条件下,存在一个临界值使得切换时间最佳,而网络敏感度足够小时,不同的切换时间对感染类主机数量的变化几乎没有影响。     

混合的结构化良性蠕虫对抗蠕虫过程的建模与分析

由于良性蠕虫可以主动免疫主机,因此使用良性蠕虫来对抗蠕虫传播正成为一种新的应急响应技术.提出了混合的结构化良性蠕虫,设计了它的工作机制以及部署情况.基于传染病模型原理,用数学模型刻画了混合的结构化良性蠕虫对抗蠕虫的传播过程.最后,对于该模型进行了仿真试验.通过仿真结果,总结了影响混合的结构化良性蠕虫对抗蠕虫传播的四个因素:探针探测和探针的蠕虫检测的响应时间,探针的蠕虫检测率和探测率.混合的结构化良性蠕虫对抗蠕虫的传播模型可以使得人们更好地理解良性蠕虫对抗蠕虫的效果.     

蠕虫对抗蠕虫模型的分析与改进

指出蠕虫对抗蠕虫模型中存在的错误,通过分析蠕虫传播规律,提出修正模型。根据良性蠕虫的不同对抗策略,补充建立相应的蠕虫对抗蠕虫模型。通过数值模拟,分析良性蠕虫出现早晚及良性蠕虫的不同对抗策略对蠕虫传播控制的影响。结果表明,良性蠕虫引入越早,其查杀及修复漏洞功能就越全面,控制恶意蠕虫传播的效果也越好。     

基于可控蠕虫的W-A-W传播模型研究

利用良性蠕虫来对抗蠕虫是一种新的蠕虫对抗技术。本文针对WAW模型中对抗蠕虫状态不可控、产生流量过大等问题提出了可控蠕虫的概念,给出了可控蠕虫的定义、分布式框 架结构和工作流程,并将可控蠕虫用作W-A-W中的对抗蠕虫,给出了可控蠕虫对抗蠕虫传播模型。经验证明,和已有良性蠕虫相比,用可控蠕虫对抗蠕虫产生流量影响更小状态更易控制,在不影响模型效果的情况下降低了模型的复杂度。     

基于生物免疫原理的网络蠕虫免疫模型

提出一种新的网络蠕虫传播模型,并基于生物免疫原理提出了成熟良性蠕虫、记忆良性蠕虫和疫苗良性蠕虫新概念,建立了新的主机状态转移关系,运用系统动力学理论和方法,建立了一种新的网络蠕虫免疫模型,它能够从定性和定量两方面分析和预测网络蠕虫免疫过程,并能够深入刻画恶性蠕虫和良性蠕虫交互过程中的网络特性,为动态防治网络蠕虫提供了新的理论依据。模拟实验结果表明,引入的三种良性蠕虫是动态防御恶性网络蠕虫传播的重要因素。     

一种基于P2P网络的蠕虫传播模型研究

P2P蠕虫是利用P2P机制进行传播的恶意代码.本文针对基于P2P(peer-to-peer)的大规模网络,对P2P蠕虫的传播展开相关研究.首先介绍三个基本的蠕虫传播模型,分析了引入良性蠕虫后的四种情况.然后根据几个P2P蠕虫的扫描策略之一,提出了基于P2P系统的网络对抗蠕虫传播模型,并进行了初步的模拟分析.     

良性蠕虫与网络蠕虫主动和被动对抗过程的建模与研究

网络蠕虫日益成为网络安全的重要威胁,利用良性蠕虫对抗网络蠕虫逐渐引起人们的关注.然而至今仍缺乏对抗机理的深入分析,而且当前良性蠕虫在对抗有效性、资源消耗和可控性3个方面仍存在争议.通过构建一种能够准确描述良性蠕虫对抗网络蠕虫过程中两种蠕虫传播趋势的对抗模型,揭示了当前良性蠕虫主要采用的主动和被动对抗机理的技术优缺点,并讨论分析了良性蠕虫的若干技术争议,为实用系统的研究提供了很好的理论基础.     

Internet蠕虫传播模型研究

本文就Internet蠕虫的传播模型进行了研究，分析了各种传播模型的特点和适用环境，在此基础上结合良性蠕虫的特点提出．了良性蠕虫对抗恶性蠕虫的传播模型。经过比较和分析，理论上证明了蠕虫对抗蠕虫传播模型，有效地补充和改进了传统的Internet蠕虫传播模型，使其更符合Internet蠕虫传播的实际，为进一步研究蠕虫的检测与预防提供了有力的研究方法。与现有模型相比，其降低了对抗蠕虫给网络造成的冲击、可控，并降低了模型的复杂度。     

Internet蠕虫传播模型研究

本文就Internet蠕虫的传播模型进行了研究,分析了各种传播模型的特点和适用环境,在此基础上结合良性蠕虫的特点提出了良性蠕虫对抗恶性蠕虫的传播模型。经过比较和分析,理论上证明了蠕虫对抗蠕虫传播模型,有效地补充和改进了传统的Internet蠕虫传播模型,使其更符合Internet蠕虫传播的实际,为进一步研究蠕虫的检测与预防提供了有力的研究方法。与现有模型相比,其降低了对抗蠕虫给网络造成的冲击、可控,并降低了模型的复杂度。     

良性蠕虫的B+地址树扩散策略

为提高良性蠕虫对抗恶意蠕虫时的效率,提出一种良性蠕虫的B+地址树扩散策略。在传递的信息中带有控制信息,主动扩散并行信息,以便使良性蠕虫处于可控的扩散状态。根据B+地址树设计动态生成算法,利用Scilab进行扩散模拟测试。测试结果表明,与已有策略相比,该策略的良性蠕虫扩散速度更快,对网络的影响更小。     

Strategy of fast and light-load cloud-based proactive benign worm countermeasure technology to contain worm propagation

Benign worms have been attracting wide attention in the field of worm research due to the proactive defense against the worm propagation and patch for the susceptible hosts. In this paper, two revised Worm?CAnti-Worm (WAW) models are proposed for cloud-based benign worm countermeasure. These Re-WAW models are based on the law of worm propagation and the two-factor model. One is the cloud-based benign Re-WAW model to achieve effective worm containment. Another is the two-stage Re-WAW propagation model, which uses proactive and passive switching defending strategy based on the ratio of benign worms to malicious worms. This model intends to avoid the network congestion and other potential risks caused by the proactive scan of benign worms. Simulation results show that the cloud-based Re-WAW model significantly improves the worm propagation containment effect. The cloud computing technology enables rapid delivery of massive initial benign worms, and the two stage Re-WAW model gradually clears off the benign worms with the containment of the malicious worms.     

P2P蠕虫遏制方法的研究与建模

传统的蠕虫遏制方法无法及时地遏制P2P蠕虫。针对该问题,提出一种基于P2P良性蠕虫的快速遏制方法。P2P良性蠕虫利用P2P软件漏洞进行自动传播,能够清除恶性蠕虫并修补软件漏洞,从而彻底阻断恶性蠕虫的传播渠道。对该遏制方法进行数学建模,给出相应的离散差分数学模型。仿真实验验证,该方法遏制效果好且对网络资源消耗少。     

Contagion蠕虫传播仿真分析

Contagion 蠕虫利用正常业务流量进行传播,不会引起网络流量异常,具有较高的隐蔽性,逐渐成为网络安全的一个重要潜在威胁.为了能够了解Contagion蠕虫传播特性,需要构建一个合适的仿真模型.已有的仿真模型主要面向主动蠕虫,无法对Contagion蠕虫传播所依赖的业务流量进行动态模拟.因此,提出了一个适用于Contagion蠕虫仿真的Web和P2P业务流量动态仿真模型,并通过选择性抽象,克服了数据包级蠕虫仿真的规模限制瓶颈,在通用网络仿真平台上,实现了一个完整的Contagion蠕虫仿真系统.利用该系统,对Contagion蠕虫传播特性进行了仿真分析.结果显示:该仿真系统能够有效地用于Contagion蠕虫传播分析.     

未知蠕虫自动检测技术研究

现有蠕虫检测系统的误报率较高。为此,提出未知蠕虫自动检测技术。利用多维蠕虫异常检测方法发现未知蠕虫,使用跳跃式多特征串提取方法得到未知蠕虫的特征串集合,并生成相应的特征检测规则,实现未知蠕虫的自动检测。实验结果证明,该技术能够成功发现新型蠕虫,具有较高的蠕虫检测率和较低的误报率。     

基于无尺度易感应用网络的拓扑蠕虫传播模型

分析了基于无尺度易感应用网络的拓扑蠕虫的传播特性，包括其感染整个应用网络所需要的传播时间和其在传播过程中对相关主机和网络资源的占用情况等。通过与扫描蠕虫相比较，分析出该类拓扑蠕虫传播时间更短，并且在传播过程中具有更好的隐蔽性，在实施最终攻击前很难被检测，从而使其对网络和主机具有更大威胁。针对这种威胁，文章提出了几种用于检测和防御基于无尺度网络应用拓扑蠕虫的可能方法。     

高效的蠕虫对抗代码结构和生成方法

分析了现有对抗代码的结构和不足，提出一种新的蠕虫主动对抗代码结构和实现方法，通过与Blaster, Nachi, Sasser等实际蠕虫的实验对比，证明了该结构和生成方法的有效性。它能减少代码长度，避免交互和额外下载，显著提高对抗代码发布速度，减少网络负担，提高发布效率达2倍~3倍，可用在良性蠕虫、蠕虫疫苗等主动对抗措施中。