郵件蠕蟲傳播與防御的分析研究

（1.重慶三峽學(xué)院 數(shù)學(xué)與計(jì)算機(jī)科學(xué)學(xué)院， 重慶 萬州 404000;2.電子科技大學(xué) 計(jì)算機(jī)科學(xué)與工程學(xué)院， 成都 610054）

摘 要：郵件蠕蟲利用e-mail在具有power-law結(jié)構(gòu)特點(diǎn)的網(wǎng)絡(luò)中進(jìn)行傳播，使得傳統(tǒng)的蠕蟲防御策略失效。結(jié)合power-law網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的特點(diǎn)，引入節(jié)點(diǎn)免疫和郵件服務(wù)器參與兩種防御策略，分別對重復(fù)感染與非重復(fù)感染兩種類型的郵件蠕蟲傳播進(jìn)行了實(shí)驗(yàn)仿真。結(jié)果表明，節(jié)點(diǎn)的優(yōu)先免疫類型、免疫起始時間、郵件服務(wù)器參與防御時間及蠕蟲郵件識別正確率都與郵件蠕蟲的傳播有著緊密聯(lián)系。

關(guān)鍵詞：網(wǎng)絡(luò)安全；郵件蠕蟲；冪律法則；免疫

中圖分類號：TP309.5文獻(xiàn)標(biāo)志碼：A

文章編號：1001-3695(2009)04-1532-03

Analysis and research of propagation and defense of e-mail worm

LUO Wei-min1，2，ZHANG Feng-li2

(1.College of Mathematics Computer Science， Chongqing Three Gorges University， Wanzhou Chongqing 404000， China；2.School of Computer Science Engineering ，University of Electronic Science Technology of China， Chengdu 610054， China)

Abstract:E-mail worm spreads in the power-law network by sending e-mail.The policies which were used to defend traditio-nal worm were improper to defend e-mail worm. This paper presented the e-mail worm simulation based on power-law topology on two e-mail worm styles including repeated infection and unrepeated infection by considering two defense policies included node immunization and e-mail server’s filter function. The results show that many factors included the first immunized node style， the start-time of immunization， the start-time of e-mail server’s filter and the filter preciseness have great influence on e-mail worm propagation.

Key words:network security; e-mail worm; power-law; immunization

0 引言

郵件蠕蟲屬于蠕蟲的一個分支，以電子郵件為傳播媒介進(jìn)行傳播，感染主機(jī)后，會依據(jù)郵件聯(lián)系簿上的地址列表主動發(fā)送自身拷貝，引發(fā)大量的垃圾郵件流量。著名的郵件蠕蟲有1999年的“Melissa”、2000年的“Lover Letter”、2001年的“W32/Sircam”、2003年的“SoBig”、2004年的“Bagle”“Netsky”“Plexus”、2005年的“MyDoom”、2006年的風(fēng)暴蠕蟲（Storm worm）等。郵件蠕蟲主要運(yùn)用社會工程技巧誘使郵件查閱者點(diǎn)擊蠕蟲附件，一旦點(diǎn)擊，蠕蟲將自動嘗試鏈接遠(yuǎn)程計(jì)算機(jī)并轉(zhuǎn)發(fā)大量蠕蟲郵件。

郵件蠕蟲發(fā)展到現(xiàn)在，呈現(xiàn)出病毒、蠕蟲和木馬的融合發(fā)展趨勢，具有巨大的破壞力。2006年底和2007年初的風(fēng)暴蠕蟲，綜合了木馬后門、僵尸網(wǎng)絡(luò)、攻擊工具包、加密及P2P網(wǎng)絡(luò)等技術(shù)，設(shè)計(jì)愈加復(fù)雜化。風(fēng)暴蠕蟲會在感染主機(jī)上安插后門程序，將大量的感染主機(jī)組成僵尸網(wǎng)絡(luò)（botnet），繼而引發(fā)海量的垃圾郵件攻擊、分布式拒絕服務(wù)攻擊以及其他以金融為目的的攻擊行為。

郵件蠕蟲與其他蠕蟲相比有著明顯的特點(diǎn)：不掃描、被動觸發(fā)、基于郵件列表傳播、傳播網(wǎng)絡(luò)呈現(xiàn)冪律特征等，傳統(tǒng)蠕蟲防御策略并不適用于郵件蠕蟲，對郵件蠕蟲的防御更多地依賴于用戶的安全意識和機(jī)器免疫。

本文運(yùn)用仿真實(shí)驗(yàn)，從節(jié)點(diǎn)免疫和郵件服務(wù)器參與兩個方面對郵件蠕蟲的傳播進(jìn)行觀察和研究，給出了郵件蠕蟲模型，并進(jìn)行實(shí)驗(yàn)仿真和分析。

1 相關(guān)工作

2001年紅色代碼蠕蟲爆發(fā)后，Staniford等人[1]研究了Internet蠕蟲的傳播模型，許多學(xué)者相繼在此基礎(chǔ)上對蠕蟲的傳播模型進(jìn)行了深入研究[2~8]。但是，當(dāng)時研究的傳播限于隨機(jī)掃描型蠕蟲，而這些傳播模型并未表現(xiàn)出郵件蠕蟲的傳播特征，如后文所述，郵件蠕蟲不采用隨機(jī)掃描策略，同時感染的拓?fù)渚W(wǎng)絡(luò)圖呈現(xiàn)power-law特點(diǎn)。

Pastor-Satorras等人[9]研究了在穩(wěn)定狀態(tài)下的感染極限，通過節(jié)點(diǎn)的出入度數(shù)來體現(xiàn)蠕蟲在拓?fù)溥壿媹D上的傳染概率，修改了Susceptible-infectious-susceptible（SIS）模型。

Moreno和Boguna等人[10~12]提出了Susceptible-infectious-recovered（SIR）模型，研究了在不穩(wěn)定狀態(tài)下蠕蟲的傳播行為，但是基于網(wǎng)絡(luò)中為同類系統(tǒng)的假設(shè)，使SIR模型高估了蠕蟲的傳播速度。

Wang等人[13]研究了基于串、樹的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)中蠕蟲的傳播模型，蠕蟲在沒有人工干涉的情況下呈勻速傳播，顯然這不符合郵件蠕蟲的傳播情況。文獻(xiàn)[14]中Wong等人在對某校園網(wǎng)監(jiān)控的基礎(chǔ)上分析了SoBig蠕蟲和MyDoom蠕蟲的傳播。王長廣等人[15]用有向圖描述了電子郵件網(wǎng)絡(luò)的結(jié)構(gòu)，并分析了電子郵件網(wǎng)絡(luò)的無尺度特性，在此基礎(chǔ)上，通過用戶檢查郵件的頻率和打開郵件附件的概率建立了一種電子郵件蠕蟲的傳播模型。Newman等人[16]基于校園網(wǎng)用戶的e-mail地址簿中地址的數(shù)量得出了在校園網(wǎng)內(nèi)，e-mail用戶網(wǎng)絡(luò)呈指數(shù)分布這一結(jié)論，但是結(jié)論的前提是只針對單個用戶地址簿，沒有考慮到多數(shù)郵件蠕蟲在感染主機(jī)后，會向主機(jī)上所有用戶的地址簿中所有地址進(jìn)行傳播的情況。

針對病毒和蠕蟲的傳播，許多學(xué)者采用了免疫策略進(jìn)行防御。所謂免疫，是指在網(wǎng)絡(luò)中有一部分節(jié)點(diǎn)經(jīng)過預(yù)先處理，在蠕蟲傳播時不會被感染。Wang等人[13]指出在類似樹型結(jié)構(gòu)的網(wǎng)絡(luò)中，選擇性的免疫可以有效減緩蠕蟲的傳播。Zou等人[17]給出了在power-law網(wǎng)絡(luò)中實(shí)行免疫策略，減緩了蠕蟲的傳播速度，降低了蠕蟲范圍，但是未考慮免疫是一個連續(xù)的、動態(tài)的過程。

2 郵件蠕蟲模型

本文以文獻(xiàn)[18]所提出的郵件蠕蟲模型為基礎(chǔ)，采用無向圖描述郵件網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)：G=〈V，E〉。其中：v∈V，v表示網(wǎng)絡(luò)中某一個郵件用戶；e=(u，v)∈E，e表示郵件用戶u擁有郵件用戶v的郵件地址；郵件用戶擁有e的多少稱為度d，d的大小意味著該郵件用戶的好友數(shù)量；|V|表示網(wǎng)絡(luò)內(nèi)郵件用戶總數(shù)。

當(dāng)用戶的郵件地址中包含有電子郵件組時，用戶即同時擁有電子郵件組內(nèi)所有的郵件地址，這就意味著即使用戶郵件地址中包含的數(shù)量很少，也會因?yàn)猷]件組的關(guān)系，導(dǎo)致用戶在郵件網(wǎng)絡(luò)中的度非常高，使郵件網(wǎng)絡(luò)呈現(xiàn)出重尾分布的特點(diǎn)，也即冪律拓?fù)涮卣鳌＊?/p>

郵件蠕蟲不需要利用系統(tǒng)漏洞，它通過郵件進(jìn)行傳播，使用社會工程學(xué)相關(guān)知識誘使用戶點(diǎn)擊蠕蟲附件進(jìn)行感染。這其中有兩種行為與用戶被感染有關(guān)，即檢查郵件的頻率Fi和被誘使點(diǎn)擊附件的概率Pi。

本文使用郵件的檢查時間間隔Ti(i=1，2，…，|V|)表示郵件的檢查頻率Fi(i=1，2，…，|V|)，用E[Ti]表示用戶i的檢查時間間隔的平均值。Ti可能遵循不同的分布，這由用戶習(xí)慣決定：當(dāng)用戶用固定時間或固定時間間隔進(jìn)行郵件檢查，那Ti就是一個常量；當(dāng)用戶的郵件檢查是隨機(jī)性的，則Ti是一個指數(shù)分布，用戶的檢查行為就是一個泊松過程。對于概率Pi，則取決于用戶的安全意識和蠕蟲使用的社會工程學(xué)相關(guān)知識的熟練程度。

3 仿真實(shí)驗(yàn)

仿真實(shí)驗(yàn)使用的拓?fù)渚W(wǎng)絡(luò)節(jié)點(diǎn)總數(shù)為100 000個，平均節(jié)點(diǎn)度為8，冪律系數(shù)1.7。仿真實(shí)驗(yàn)有如下假設(shè)：

a）郵件網(wǎng)絡(luò)中的節(jié)點(diǎn)都是同構(gòu)的，郵件蠕蟲在傳播中對網(wǎng)絡(luò)沒有攪動行為。

b）基于郵件列表發(fā)送郵件的時間是同時的，且沒有考慮郵件的傳送時間。

c）用戶檢查郵件時會檢查所有新郵件。

d）用戶對相同的郵件蠕蟲的打開概率Pi不變。

e）不考慮利用郵件程序漏洞進(jìn)行自動傳播的蠕蟲。

本文用E[Nt]表示任意時刻t感染用戶的平均數(shù)，仿真實(shí)驗(yàn)使用不同的種子產(chǎn)生隨機(jī)數(shù)進(jìn)行100次仿真，對結(jié)果Nt取平均值后得到E[Nt]；用戶檢查郵件的時間間隔Ti由高斯分布的隨機(jī)變量T生成，T~N（40，202）(T＜0，E[Ti]=0)；Pi由高斯分布的隨機(jī)變量P產(chǎn)生，P~N(0.5，0.32)（P＜0，Pi=0;P＞1，Pi=1）；初始感染節(jié)點(diǎn)數(shù)為2，每次仿真實(shí)驗(yàn)的初始感染節(jié)點(diǎn)是隨機(jī)選擇的。

3.1 兩種感染情況分析

郵件蠕蟲感染時分為兩種情況：a）重復(fù)感染。用戶在已經(jīng)感染的情況下，再次打開蠕蟲附件時依然會向郵件地址中所有用戶發(fā)送蠕蟲郵件，如W32/Sircam蠕蟲。b）非重復(fù)感染。用戶只在首次感染時會向郵件地址中所有用戶發(fā)送蠕蟲郵件，如Melissa和Love Letter蠕蟲。圖1為兩種類型的蠕蟲傳播情況。

從圖1可以看出，重復(fù)感染比非重復(fù)感染傳播速度快、傳播范圍廣。這主要是因?yàn)椋m然用戶打開概率Pi不變，但在收到n個蠕蟲郵件時的感染概率為1-(1-Pi)n，用戶收到的蠕蟲郵件數(shù)量越多，就越增加了用戶感染的概率。顯然，可靠在重復(fù)感染情況下用戶收到的蠕蟲郵件要比在非重復(fù)感染情況下多得多。

3.2 郵件服務(wù)器參與防御的時間分析

設(shè)定在t分別為50、100、150時開始發(fā)揮郵件服務(wù)器的郵件過濾功能，設(shè)定蠕蟲郵件識別率為100%，郵件蠕蟲傳播如圖2和3所示。

從圖2、3可以看出，郵件服務(wù)器越早參與蠕蟲防御，就越能將郵件蠕蟲遏制在有限的范圍內(nèi)。在重復(fù)感染的情況下，郵件服務(wù)器參與時間一旦滯后，對蠕蟲的遏制效果就不再那么明顯，過濾攔截功能基本失去作用，而對于非重復(fù)感染蠕蟲，參與時間的前后所造成的遏制效果還是有一定區(qū)別。

3.3 郵件服務(wù)器過濾有效性分析

圖2、3都是假設(shè)郵件服務(wù)器過濾功能的有效性達(dá)到100%，但事實(shí)上，與過濾攔截垃圾郵件一樣，不可能對所有的蠕蟲郵件達(dá)到過濾攔截。實(shí)驗(yàn)中設(shè)定蠕蟲郵件識別率分別為40%、60%、80%、100%，在t為50時郵件服務(wù)器開始進(jìn)行過濾攔截，郵件蠕蟲傳播如圖4、5所示。

從圖4、5可以看出，郵件服務(wù)器的蠕蟲郵件識別技術(shù)越好，遏制郵件蠕蟲傳播的效果就越好。在非重復(fù)感染情況下，感染主機(jī)只發(fā)送一次蠕蟲郵件，所以即使有效性不高，蠕蟲傳播也可以較平穩(wěn)地控制在某個范圍；而在重復(fù)感染情況下，由圖4可以看出，在海量的蠕蟲郵件發(fā)送下，郵件服務(wù)器的過濾攔截功能的有效性高低對最終蠕蟲感染范圍無特別明顯的影響，只能起到減緩蠕蟲傳播速度的效果。

3.4 不同時間開始節(jié)點(diǎn)的免疫

文獻(xiàn)[17]中所描述的免疫場景是個理想狀態(tài)，Zou等人假定免疫節(jié)點(diǎn)在初期已經(jīng)散布在網(wǎng)絡(luò)中，但現(xiàn)實(shí)情況是免疫節(jié)點(diǎn)的增加是逐步的、連續(xù)的過程，節(jié)點(diǎn)的免疫是伴隨著郵件蠕蟲的爆發(fā)與傳播同時發(fā)生的。

考慮到免疫需要占用一定時間，實(shí)驗(yàn)中指定每3個時間單位進(jìn)行節(jié)點(diǎn)免疫，在t分別為50、100、150開始進(jìn)行免疫，每次選取隨機(jī)100個節(jié)點(diǎn)進(jìn)行免疫，郵件蠕蟲傳播如圖6、7所示。

從圖6、7可以發(fā)現(xiàn)，隨機(jī)性的節(jié)點(diǎn)免疫即使開始時間不同，但對于蠕蟲的傳播并不能起到良好的遏制效果，不同時間之間的區(qū)別并不明顯，而且蠕蟲依然會迅速地傳播到高峰狀態(tài)，隨后才會隨著免疫節(jié)點(diǎn)的增多，感染節(jié)點(diǎn)逐漸減少。

3.5 固定時間不同數(shù)量節(jié)點(diǎn)的免疫

設(shè)定在t為50時開始隨機(jī)節(jié)點(diǎn)的免疫，依然考慮節(jié)點(diǎn)的免疫時間，觀察每次對不同數(shù)量的節(jié)點(diǎn)進(jìn)行免疫對郵件蠕蟲傳播的遏制效果，郵件蠕蟲傳播如圖8、9所示。

從圖8、9可以發(fā)現(xiàn)，隨機(jī)性的節(jié)點(diǎn)免疫即使數(shù)量不同，對于蠕蟲的傳播依然不能起到良好的遏制效果，郵件蠕蟲基本會在t為200時達(dá)到傳播高峰狀態(tài)，隨后才會隨著免疫節(jié)點(diǎn)的增多，感染節(jié)點(diǎn)逐漸減少。

3.6 選擇性節(jié)點(diǎn)優(yōu)先免疫

在冪律網(wǎng)絡(luò)拓?fù)渲校哂写罅窟B接的節(jié)點(diǎn)稱為超級節(jié)點(diǎn)，它的穩(wěn)定性和安全性對整個拓?fù)渚W(wǎng)絡(luò)具有至關(guān)重要的影響。實(shí)驗(yàn)中在初始時刻分別對5 000個超級節(jié)點(diǎn)、一般節(jié)點(diǎn)和隨機(jī)節(jié)點(diǎn)進(jìn)行優(yōu)先免疫，郵件蠕蟲傳播如圖10、11所示。

從圖10、11可以看出，超級節(jié)點(diǎn)的優(yōu)先免疫可以極大地減緩蠕蟲的傳播，而一般節(jié)點(diǎn)優(yōu)先和隨機(jī)節(jié)點(diǎn)免疫區(qū)別不大，基本不能遏制蠕蟲的傳播。同時在非重復(fù)感染情況下，超級節(jié)點(diǎn)優(yōu)先免疫取得的遏制效果非常明顯。

3.7 不同時間對超級節(jié)點(diǎn)優(yōu)先免疫的影響?yīng)?/p>

實(shí)驗(yàn)中在t分別為1、25、50、100時對5 000個超級節(jié)點(diǎn)優(yōu)先免疫，觀察超級節(jié)點(diǎn)的免疫時間對郵件蠕蟲傳播的影響情況，郵件蠕蟲傳播如圖12、13所示。

從圖12、13可以看出，超級節(jié)點(diǎn)優(yōu)先免疫策略的時間敏感性很強(qiáng)。在蠕蟲爆發(fā)初期進(jìn)行免疫能有效地減緩蠕蟲的傳播速度；時間稍微延后，蠕蟲即呈現(xiàn)線性傳播甚至于指數(shù)傳播，超級節(jié)點(diǎn)的免疫效果迅速降低。但在兩種不同的感染情況比較下，超級節(jié)點(diǎn)優(yōu)先免疫還是可以對非重復(fù)感染性的郵件蠕蟲起到較好的效果，這緣于蠕蟲傳播鏈中缺少超級節(jié)點(diǎn)的參與，蠕蟲郵件數(shù)量大幅減少，導(dǎo)致其他用戶的感染率下降；而對于重復(fù)感染性的郵件蠕蟲，一般節(jié)點(diǎn)會反復(fù)發(fā)送蠕蟲郵件，一定程度上彌補(bǔ)了超級節(jié)點(diǎn)缺席傳播的不足。

4 結(jié)束語

本文針對重復(fù)感染和非重復(fù)感染兩種類型的郵件蠕蟲，利用仿真實(shí)驗(yàn)?zāi)M其在郵件服務(wù)器的過濾干預(yù)和動態(tài)免疫情況下的傳播過程，研究了這兩種防御策略對抑制郵件蠕蟲傳播的真實(shí)效果，對進(jìn)一步研究郵件蠕蟲的防御策略起到了很好的啟示作用。

參考文獻(xiàn)：

［1］STANIFORD S，PAXSON V，WEAVER N.How to own the Internet in your spare time[C]//Proc of the 11th Usenix Security Symp.Berkeley:USENIX Association，2002:149-167.

[2]CHEN Z，GAO L，KWIAT K.Modeling the spread of active worms[C]//Proc of IEEE INFOCOM ’03.2003:1890 -1900.

[3]KESIDIS G，HAMADEH I，JIWASURAT S.Coupled Kermack-McKendrick models for randomly scanning and bandwidth-saturating Internet worms[C]//Proc of the 3rd Int’l Workshop on QoS in Multiservice IP Networks (QoS-IP).2005:101-109.

[4]NICOL D，LILJENSTAM M.Models of Internet worm defense[EB/OL].(2004-01).http://www.ima.umn.edu/talks/workshops/1-12-16. 2004/nicol/talk.pdf.

［5］ NOJIRI D，ROWE J，LEVITT K.Cooperative response strategies for large scale attack mitigation[C]//Proc of the 3rd DARPA Information Survivability Conf and Exhibition.2003.

[6]WU J，VANGALA S，GAO L，et al.An efficient architecture and algorithm for detecting worms with various scan techniques[C]//Proc of the 11th Ann Network and Distributed System Security Symp (NDSS ’04).2004.

[7]ZOU C，GAO L，GONG W，et al.Monitoring and early warning for Internet worms[C]//Proc of the 10th ACM Conf on Computer and Comm Security (CCS ’03).2003:190-199.

[8]ZOU C，GONG W，TOWSLEY D.Code red worm propagation mode-ling and analysis[C]//Proc of the 9th ACM Conf on Computer and Comm Security (CCS ’02).2002:138-147.

[9]PASTOR-SATORRAS R，VESPIGNANI A.Epidemic spreading in scale-free networks[J].Physical Rev Letters，2001，86(14):3200-3203.

[10]MORENO Y，GOMEZ J，PACHECO A F.Epidemic incidence in correlated complex networks[J].Physical Rev E，2003，68(3):035103.

[11]MORENO Y，SATORRAS R P，VEPIGNANI A.Epidemic outbreaks in complex heterogeneous networks[J].European Physical J B，2002，26(4):275-288.

[12]BOGUNA M，PASTOR SATORRAS R，VESPIGNANI A.Epidemic spreading in complex networks with degree correlations[C]//Proc of Lecture Notes in Physics: Statistical Mechanics of Complex Networks.2003.

[13]WANG C，KNIGHT J C，ELDER M C.On viral propagation and the effect of immunization[C]//Proc of the 16th ACM Ann Computer Applications Conf.[S.l.]:ACM，2000.

[14]WONG C，BIELSKI S，McCUNE J M，et al.A study of massmailing worms[C]//Proc of ACM Conf on Computer and Comm Security Workshop Rapid Malcode (WORM ’04).2004.

[15]王長廣， 王方偉， 張運(yùn)凱，等.一種無尺度網(wǎng)絡(luò)上垃圾郵件蠕蟲的傳播模型[J].計(jì)算機(jī)科學(xué)，2007，34(2):68-70.

[16]NEWMAN M，F(xiàn)ORREST S，BALTHROP J.E-mail networks and the spread of computer viruses[J].Physical Rev E，2002，66(3):035101.

[17]ZOU C C，TOWSLEY D，GONG Wei-bo.Modeling and simulation study of the propagation and defense of internet e-mail worms[J].IEEE Trans on Dependable and Secure Computing，2007，4(4):105-118.