摘要:网络蠕虫攻击在各种网络安全威胁因素中位居首位,虽然现今已有一些成熟的入侵检测技术,但不足以应对复杂多变的蠕虫攻击。针对网络中蠕虫存在相互合作的复杂关系,该文提出了在僵尸蜜网的拓扑结构下,采用P2P技术的良性蠕虫对抗合作型蠕虫传播模型,良性蠕虫利用分片传输机制来实现自主、快速的查杀恶意蠕虫,为易感染主机修补漏洞。实验结果证明基于僵尸蜜网的良性蠕虫查杀合作型蠕虫的方法效果良好。
关键词:入侵检测;僵尸蜜网;P2P技术;蠕虫传播模型;合作型蠕虫
中图分类号:TP393文献标识码:A文章编号:1009-3044(2012)03-0586-04
Research and Simulation of Worm Propagation Model Based on Bot-Honeynet
LI Xue, ZHU Cheng-rong
(Tongji University, Shanghai 201804, China)
Abstract: Network security meets more problems especially the threat of Internet worms. Although there are already some mature intru? sion detection technologies, it does not always work well on new Internet worm attacks. A potential anti-cooperative worm propagation approach based on Bot-honeynet topological structure and pure P2P principle is proposed in this paper. Anti-worms can achieve quick self-propagation performance by using fragmentation. They kill malicious worms and simultaneously patches for susceptible hosts. From these experiments, it can prove that bot -honeynet based anti-cooperative worm performs better in controlling malicious worm propaga? tion.
Key words:intrusion detection technologies; bot-honeynet; P2P technology; worm propagation model; cooperative worm
随着计算机和互联网技术的不断发展,网络面临的安全问题也日益突出,恶意软件造成的经济损失占有最大的比例,主要包括计算机病毒、蠕虫、木马程序、后门程序、逻辑炸弹等。蠕虫是目前危害最大的恶意软件,几乎每次蠕虫发作都会造成巨大经济损失。虽然现今已有一些成熟的入侵检测技术,但是不足以应对复杂多变的蠕虫攻击。网络中存在着各种各样的蠕虫,并且有着复杂的交互关系,如合作关系、竞争关系,甚至还有及合作又竞争的关系,给网络安全带来了更多的不确定威胁[1]。而蜜网技术可以实现对未知蠕虫的检测和对系统主机的保护,进而更好的保护网络系统。对于主动探测蠕虫传播研究,经典的流行病模型及扩展的SIR模型、Two-Factor模型[2]等都能某种程度上描述蠕虫的传播规律,对蠕虫的传播预测与控制起到很好的作用,但其假设较为苛刻,与实际情况仍有出入,尤其与被僵尸程序感染的蜜网拓扑结构中的蠕虫传播模型差别较大。为了有效的对抗蠕虫传播,网络信息安全领域研究出多种方法,利用良性蠕虫对抗恶意蠕虫的思想被提出,该方法可以在一定程度上有效的去除恶意蠕虫在网络中的传播。
该文提出一种基于僵尸蜜网的拓扑结构采用P2P技术的良性蠕虫来查杀恶意合作型蠕虫的方法,并建立了传播模型,对传播模型进行仿真分析,验证了模型的正确性及高效性。
1基于僵尸蜜网的蠕虫传播方式和模型
1.1僵尸蜜网
蜜罐[3]是一种具有漏洞的主机,目的在于吸引攻击者,从而对攻击的操作和行为进行监控和记录,并通过对攻击行为的分析找到有效的对付办法。蜜网是蜜罐技术的延伸和发展,是一种高交互性的蜜罐,在一台或多台蜜罐主机基础上,结合防火墙、路由器、入侵检测系统组成的网络系统。蜜网可以记录下攻击者的行动,同时尽量减小或排除对因特网上其它系统造成的风险。僵尸蜜网是指被僵尸程序感染的蜜网。
蜜罐放置在由非信任系统构成的DMZ网络中,采用IP地址欺骗技术覆盖服务器所在网段中没有用到的IP地址,蜜罐之间可以相互通讯并且地位是平等的,也就是当一个蜜罐拥有了某些信息以后可以实现信息的相互共享,因此基于蜜网完全可以采用P2P技术进行数据通讯。
1.2采用P2P技术的蠕虫传播方式
网络蠕虫与传统的计算机病毒相比,其具有的明显特征是:可以通过网络进行传播,会主动攻击目标系统,传播过程不需要使 用者的人工干预。Jose Nazario等人提出了蠕虫的一个功能结构框架[4],把蠕虫的功能模块分为主体功能模块和辅助功能模块。实现了主体功能模块的蠕虫能够完成复制传播流程,而包含辅助功能模块的蠕虫程序则具有更强的生存能力和破坏力。
为了实现蠕虫传播过程中蜜罐主机之间的数据通信,在蠕虫体上增添了一个“外壳”称之为P2Pshell[5]。P2Pshell模块主要负责记录蠕虫体各部分下载的过程,并能指导蠕虫传播的作用,P2Pshell一旦被注入到目标蜜罐主机,将立刻执行蠕虫初期的扫描工作。
在P2P技术的传播方式中,第一台具有感染性的种子蜜罐主机,开始自我传播时首先初始化自己的P2Pshell,然后开始随机扫描。当扫描到一台易感染蜜罐主机时,种子蜜罐主机向其目标发送P2Pshell,易感染蜜罐主机收到P2Pshell后利用自身信息更新P2Pshell,然后开始下载蠕虫体每下载完一片就更新自己的P2Pshell。仅拥有P2Pshell模块的易感染蜜罐主机并不能被完全攻击,但已具备扫描功能,并可以向其它蜜罐主机提供其已经下载的分片。当易感染蜜罐主机下载全部蠕虫体后,才成为被感染蜜罐主机,并重复以上过程。
1.3 P2P技术在僵尸蜜网中的应用
僵尸蜜网是释放良性蠕虫的部署网络,通过让良性蠕虫感染一部分蜜网主机,为良性蠕虫的大量传播提供一部分种子节点。在良性蠕虫的传播过程中,利用P2P分片技术,加快了良性蠕虫的传播,使良性蠕虫在很短时间内大范围的传播,这样就可以实现以大量的良性蠕虫来对抗恶意合作型蠕虫,良性蠕虫的传播效果越好,恶意合作型蠕虫的查杀效果就越好。
1.4基于僵尸蜜网的蠕虫传播模型
对抗型蠕虫传播模型[6]考虑网络中存在两类蠕虫,恶意蠕虫和良性对抗蠕虫。本文研究的模型假设存在三类蠕虫,蠕虫C为良性对抗蠕虫,蠕虫A、B为合作型恶意蠕虫,蠕虫A的传播有利于蠕虫B的入侵,反之亦然。采用P2P技术的蠕虫对抗蠕虫传播模型中,对抗蠕虫C的传播分为两个阶段,在蠕虫C出现之前,蠕虫A、B的传播行为遵循Two-Factor模型;在蠕虫C出现之后,蠕虫A、B将遵循SEI[7]模型。蠕虫C出现之后蠕虫A、B有四种行为方式,本文只讨论其中一种情形即蠕虫C对所有的易感主机修补漏洞,并查杀蠕虫A、B。图1是该模型状态转换图,主机包括七个状态:易感染状态S(Susceptible)、被恶意蠕虫A感染状Ta(worma-tainted)、被恶意蠕虫B感染状Tb(wormb-tainted)、被恶意蠕虫A和B同时感染状Tab(worma-woramb tainted)、康复状态R(recovery)、免疫状态I(im? mune)、潜伏状态H(hidden),蠕虫状态转变过程如图1所示。
图1模型状态转换示意图
在介绍模型之前,要对模型中用到的参数进行说明。表1列出了模型的相关参数以及初始值。根据模型在蠕虫C出现之后,它将为易感染主机修补漏洞同时查杀蠕虫A和B,因此蠕虫C的扫描范围是易感染主机和被蠕虫A或B感染过的主机,修改SEI模型,从t时刻到t+Δt时刻,新增的潜伏期状态主机的数量A(t)为:dA(t)=(S(t)+T(t)+T(t)+T(t))?[1-(1-1)c?RC(t)](1) dtababN
其中,N为网络中有漏洞的主机总数,假设在IPv4地址空间内,那么扫描空间Z=232,则每台易感染主机和被蠕虫A或蠕虫B感(染1-主Z1机)c?被RC(t扫)为描没到被的扫概描率到为的概Z1率,那。么那1么-(Z 1 S(t为)+没Ta被(t)扫+T描b(t到)+的Ta概b(t)率)?[1;c-为(1-蠕N1虫)cC?RC的(t)]扫是描被率扫,描那到么的c易×感RC染(t)主为机被数蠕和虫被C蠕扫虫描A到或的B主感机染数主,机数。由于易感染主机和被蠕虫A或B感染的主机一旦被扫描后将立刻接受P2Pshell,从而变成潜伏期状态,那么这部分A(t)就是新增的潜伏期状态的主机数。
设η为蠕虫C的下载速率,那么得到关于t时刻,潜伏期状态主机数H(t)和被蠕虫C感染的主机数RC为:ì??í???dd R Hdd tC(t t() t)== dηAd? t(tH)-(t)ηH(t)(2)
蠕虫A与蠕虫B是合作型关系蠕虫,相互起促进传播作用,例如Email-Worm.Win32.Roron.12能关闭杀毒软件和防火墙,并给其他蠕虫留下后门,有利于其他蠕虫的攻击。模型中设定蠕虫A的扫描率为θ1,蠕虫B的扫描率为θ2,并且θ1>θ2,这样两者相互作用的加速度率为xθ1,其中x≥1为传播率的加速作用。
由于在蠕虫C出现之前,蠕虫A、B遵循Two-Factor传播模型,并且两种蠕虫的相互加速作用模型[7],结合公式(1)及(2)得到模型
的微分方程组为:???íì??????ddd dS RIdd(tt(t(ttt)))===μ-γJβ[T( a t) a S S(( t(t)t)+T) a T(t b)(t-)+βbTS a( b t() tT)] b(+ t)-dR dd CtQd(t t() t)-kdA d(t t)
表1模型相关参数及初始值
根据微分方程组可以得出传播模型对应的数值曲线图,图2中给出了任意时刻六种状态(S,Ta,Tb,Tab,H,R)主机数的变化过程。
图2模型数值曲线
图2给出了理论上传播模型良性蠕虫对抗恶性合作型蠕虫过程中不同状态主机数量的发展趋势。可以看出,随着良性蠕虫的释放,感染主机数量迅速的减少,康复主机数量大规模的增加。可以在很短的时间内使得恶意蠕虫数量迅速减少,对易感染主机和感染主机的修复速度非常快。
2实验结果及分析
蠕虫特有的破坏性,以及具有一定的潜伏期,使得无法在真实的环境中去研究蠕虫的对抗特征,需要借助网络仿真软件NS-2去模拟网络蠕虫传播情况。仿真主要由两部分实现,一部分是C++代码编写的蠕虫传播仿真模块,用于扩展NS-2,另一部分是Otcl 代码编写的仿真文件。把仿真实验中得到的数据进行处理,图3显示出(S,Ta,Tb,Tab,H,R)六种状态节点仿真变化过程。
图3模型仿真曲线
从该仿真曲线的变化趋势可以看出,当对良性抗蠕虫C出现之后,感染主机数量迅速趋于零,同时免疫节点主机数大规模增加。将模型的理论数值曲线与仿真曲线进行对比,明显看出两者非常吻合,验证了模型的正确性。
3结论
该文提出了基于僵尸蜜网拓扑结构,建立采用P2P传播技术的良性蠕虫对抗合作型恶意蠕虫的传播模型,并对其进行了仿真分析。基于僵尸蜜网的良性蠕虫传播利用P2P技术原理,实现分片传输,具有快速的传播能力,有效消灭合作型恶意蠕虫,修补系统漏洞,主机获得免疫,从而在很短的时间内使感染主机数量迅速趋于零。但良性蠕虫本身在网络中的传播会给网络造成严重的冲击,并且在进入易感染主机后状态难以控制,因此在未来的研究中可以进一步考虑良性蠕虫的受控。
参考文献:
[1] KASPERSKY Lab [EB/OL].[2010-05-01]. http://www.省略/en/descriptions.
[2] Shoch J F,Hupp J A. The Worm Programs Early Experience with a Distributed Computation[J] Communications of ACM, 1982, 25(3): 172-180.
[3]郑君杰,肖军模,刘志华,等.基于Honeypot技术的网络入侵检测系统[J].电子科技大学学报,2007,36(2):257-259.
[4]杨雄.网络蠕虫的早期检测与主动遏制[D].南京:南京信息工程大学,2006.
[5] Yang Feng, Duan Haixin, Li Xing. Modeling and analyzing of the interaction between worms and antiworms during network worm propaga? tion[J]. Science in China Ser.F Information Science, 2005, 48(1):91-106.
[6] Luo Xingrui,Yao Yu,Gao Fuxiang.Research on a Worm Propagation Model of Pure P2P-based Theory[J]. Journal of Communication, 2006, 37(29):101-112.
[7]宋礼鹏.多蠕虫传播模型分析[J].计算机应用,2010,30(12):3360-3362.