基于分布式蜜網(wǎng)的蠕蟲傳播模型研究

摘 要:為有效防范蠕蟲傳播所帶來的日益嚴(yán)峻的安全威脅，主動(dòng)防護(hù)技術(shù)—分布式蜜網(wǎng)被應(yīng)用到網(wǎng)絡(luò)中以保障網(wǎng)絡(luò)安全。分布式蜜網(wǎng)下的蜜罐對蠕蟲表現(xiàn)出強(qiáng)誘騙性和“寬進(jìn)嚴(yán)出”的數(shù)據(jù)控制策略等特性，影響到蠕蟲的傳播及控制。基于雙因子模型，考慮到分布式蜜網(wǎng)下的蜜罐特性和Internet的無標(biāo)度網(wǎng)絡(luò)特性，提出基于分布式蜜網(wǎng)的蠕蟲傳播模型，并進(jìn)行了分析;通過模擬實(shí)驗(yàn)對模型進(jìn)行驗(yàn)證，以探討部署分布式蜜網(wǎng)下的蠕蟲傳播規(guī)律。實(shí)驗(yàn)結(jié)果表明，部署分布式蜜網(wǎng)不但能第一時(shí)間捕獲蠕蟲樣本，而且能減少網(wǎng)絡(luò)中感染蠕蟲主機(jī)總數(shù)、具備感染能力的最大主機(jī)數(shù)等、緩蠕蟲感染速度等，對于加強(qiáng)蠕蟲預(yù)警、遏制蠕蟲大范圍傳播等具有重要作用。

關(guān)鍵詞:網(wǎng)絡(luò)安全; 分布式蜜網(wǎng); 蠕蟲; 傳播模型

中圖分類號:TP393.08文獻(xiàn)標(biāo)志碼:A

文章編號:1001-3695(2009)09-3512-04

doi:10.3969/j.issn.1001-3695.2009.09.089

Study of worm propagation model based on distributed honeynet

ZHAO Narisa， ZHANG Xian-feng

(Institute of System Engineering， Dalian University of Technology， Dalian Liaoning 116024， China)

Abstract:In order to prevent serious threat posted by worm rapid propagation， used active security technology-distributed honeynet in ensuring the safety of network. The honeypot host under distributed honeynet performed high inveiglement to worms and possesses “come in easily， out strictly” data control policy， this influenced worm propagation and control. Considering the scale-free characters in topology structure and the characters of honeypot host， this paper presented a worm propagation model in the network which distributed honeynet have been deployed based on two-factor model， and gave a analysis to it. At last， validated the correctness of model over simulation experiment， and discussed worm propagation trend in the network that distributed honeynet had been deployed. Experiment result indicates that distributed honeynet not only can capture worm sample in time， but also can reduce the total number of infected hosts and the number of largest infectious hosts， slow down the speed of worm infection， it is of great significance in strengthen worm warning and prevent worm from spreading in large-scale networks.

Key words:network security; distributed honeynet; worm; propagation model

0 引言

蠕蟲是一種智能化、自動(dòng)化，綜合網(wǎng)絡(luò)攻擊、密碼學(xué)和計(jì)算機(jī)病毒技術(shù)，無須計(jì)算機(jī)和使用者干預(yù)即可運(yùn)行的攻擊程序和代碼，它會掃描和攻擊網(wǎng)絡(luò)上存在系統(tǒng)漏洞的節(jié)點(diǎn)主機(jī)，通過局域網(wǎng)或者互聯(lián)網(wǎng)從一個(gè)節(jié)點(diǎn)傳播到另一個(gè)節(jié)點(diǎn)。自從1988年Morris蠕蟲病毒[1]出現(xiàn)以來，蠕蟲帶來的安全威脅迅速增多，近年來，諸如Code Red、Nimda、Slammer、沖擊波和Nachi等蠕蟲[2，3]層出不窮，造成了巨大的經(jīng)濟(jì)損失。隨著網(wǎng)絡(luò)應(yīng)用的普及和深入，蠕蟲對網(wǎng)絡(luò)安全的威脅日益嚴(yán)重，對網(wǎng)絡(luò)蠕蟲的分析和防治成為計(jì)算機(jī)安全領(lǐng)域研究的熱點(diǎn)。理想的網(wǎng)絡(luò)蠕蟲傳播模型能夠充分反映蠕蟲傳播行為、識別網(wǎng)絡(luò)蠕蟲傳播鏈條存在的薄弱環(huán)節(jié)、分辨影響蠕蟲傳播的關(guān)鍵因素、預(yù)測新蠕蟲造成的危害等，總之準(zhǔn)確把握蠕蟲的傳播模式對有效防范蠕蟲，遏制其傳播，減少其帶來的損失具有十分重要的作用。在惡意代碼傳播模型研究中，病毒傳播模型較多，而針對網(wǎng)絡(luò)蠕蟲的傳播模型較少，蠕蟲在自我復(fù)制、傳播行為上類似于生物病毒，因此，傳染病傳播模型能用來研究Internet上的蠕蟲傳播。當(dāng)前蠕蟲傳播模型主要有簡單傳播模型[4](simple epidemic model，SEM)、經(jīng)典普通傳播模型[5](Kermack-McKendrick model，KM)和雙因子蠕蟲傳播模型[6](two-factor model)等。但是，這些模型均存在一定局限性，SEM和KM均沒有考慮到蠕蟲快速傳播帶來的網(wǎng)絡(luò)阻塞及人工干預(yù)等因素對感染率的影響，蠕蟲的感染率為常數(shù)，不符合實(shí)際情況。SEM沒有考慮到及時(shí)清除感染主機(jī)的蠕蟲并安裝補(bǔ)丁使得主機(jī)處于免疫狀態(tài);KM雖然考慮到主機(jī)的免疫狀態(tài)，但該模型沒有考慮到易感染主機(jī)由于采取安裝安全補(bǔ)丁等措施對蠕蟲具有免疫性和由于某些原因?qū)е轮鳈C(jī)失去免疫性重新成為易感染主機(jī)等;雙因子蠕蟲傳播模型雖然考慮到易感染主機(jī)和已感染主機(jī)的移出、網(wǎng)絡(luò)阻塞及用戶干預(yù)對蠕蟲感染率的影響，但其沒有考慮到蠕蟲變異等因素導(dǎo)致免疫主機(jī)喪失免疫性而重新變?yōu)橐赘腥局鳈C(jī)。模型對用戶干預(yù)僅僅是一種很抽象的描述，沒有定性研究采取什么具體安全措施來阻止蠕蟲傳播、研究其在遏制蠕蟲傳播所發(fā)揮的作用。上述模型均假定蠕蟲在一個(gè)均勻網(wǎng)絡(luò)上進(jìn)行傳播，沒有考慮到網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)對蠕蟲傳播的影響，經(jīng)研究發(fā)現(xiàn)，Internet在拓?fù)浣Y(jié)構(gòu)上是一個(gè)不斷演化、動(dòng)態(tài)增長的無標(biāo)度網(wǎng)絡(luò)[7]， 網(wǎng)絡(luò)節(jié)點(diǎn)表現(xiàn)極強(qiáng)的非均衡性，網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)在一定程度上影響蠕蟲傳播。復(fù)雜網(wǎng)絡(luò)理論尤其復(fù)雜網(wǎng)絡(luò)動(dòng)力學(xué)理論的迅速發(fā)展、Internet的無標(biāo)度特性的發(fā)現(xiàn)等有力地促進(jìn)了人們對蠕蟲傳染機(jī)制的認(rèn)識，許多學(xué)者就構(gòu)建更加符合實(shí)際的蠕蟲傳播模型及免疫策略進(jìn)行研究。

由于Internet的設(shè)計(jì)缺陷、開放性和應(yīng)用的廣泛性等因素，其正面臨著以蠕蟲病毒、DDoS攻擊等為主的日益嚴(yán)峻的安全威脅，安全防護(hù)技術(shù)成為研究的熱點(diǎn)。蜜罐技術(shù)[8]作為一種主動(dòng)防御技術(shù)，其能夠牽制和轉(zhuǎn)移蠕蟲及黑客攻擊，對其入侵方法及行為進(jìn)行分析、跟蹤，為扭轉(zhuǎn)被動(dòng)安全形勢，加強(qiáng)安全防護(hù)提供很好的思路和方法。分布式蜜網(wǎng)[9]是由通過分布式部署在互聯(lián)網(wǎng)或子網(wǎng)，并將數(shù)據(jù)傳送到數(shù)據(jù)分析中心進(jìn)行分析、處理的多個(gè)蜜罐組成的網(wǎng)絡(luò)，其正成為當(dāng)前安全機(jī)構(gòu)研究的重點(diǎn)，正逐漸應(yīng)用到Internet中以引誘和檢測蠕蟲、檢測和追蹤僵尸網(wǎng)絡(luò)等。分布式蜜網(wǎng)下的蜜罐主機(jī)通過不安裝補(bǔ)丁等對蠕蟲、黑客表現(xiàn)很強(qiáng)的誘騙性，引誘其攻擊;為防止蠕蟲或黑客以蜜罐為跳板危害內(nèi)部網(wǎng)絡(luò)安全，分布式蜜網(wǎng)體系下的蜜罐主機(jī)對進(jìn)出入的數(shù)據(jù)流采取 “寬進(jìn)嚴(yán)出”數(shù)據(jù)控制策略。分布式蜜網(wǎng)勢必會影響到網(wǎng)絡(luò)上蠕蟲的傳播規(guī)律，而當(dāng)前已有模型還不能準(zhǔn)確描述部署分布式蜜網(wǎng)下的蠕蟲傳播規(guī)律[10]，因此構(gòu)建基于分布式蜜網(wǎng)的蠕蟲傳播模型具有一定理論和現(xiàn)實(shí)意義。

1 分布式蜜網(wǎng)技術(shù)

自從20世紀(jì)90年代初蜜罐的概念提出以來，已經(jīng)歷物理蜜罐、虛擬蜜罐、蜜網(wǎng)技術(shù)三個(gè)階段，成為網(wǎng)絡(luò)安全技術(shù)研究的熱點(diǎn)。“蜜網(wǎng)項(xiàng)目組”創(chuàng)始人Lance Spitzner給出蜜罐[8]比較權(quán)威的定義:“蜜罐是一種安全資源，它的價(jià)值體現(xiàn)在被掃描、攻擊或者攻陷。”由于蜜罐對外沒有實(shí)際應(yīng)用，所有流入和流出的數(shù)據(jù)流都意味掃描、攻擊和攻陷，蜜罐的核心價(jià)值就在于能對這些非法活動(dòng)進(jìn)行監(jiān)視、檢測、分析。蜜罐通過不安裝補(bǔ)丁和開放特殊服務(wù)等來引誘蠕蟲、黑客對其進(jìn)行攻擊、掃描，保護(hù)內(nèi)部網(wǎng)絡(luò)安全。

當(dāng)前蜜罐雅虎就處于蜜網(wǎng)技術(shù)階段，研究重點(diǎn)是使用真實(shí)主機(jī)、操作系統(tǒng)和應(yīng)用程序來搭建蜜罐，并融入強(qiáng)大的數(shù)據(jù)捕獲、數(shù)據(jù)分析和數(shù)據(jù)控制工具，將其納入到分布式蜜網(wǎng)體系下進(jìn)行研究。相對于蜜罐和蜜網(wǎng)，分布式蜜網(wǎng)具有分布范圍廣、數(shù)據(jù)收集量大、成本低等特點(diǎn)，其增加數(shù)據(jù)集中處理功能，能對網(wǎng)絡(luò)安全事件進(jìn)行統(tǒng)計(jì)、匯總，便于規(guī)則定義及分發(fā);并提供了一個(gè)可管控的載體平臺，能對數(shù)據(jù)進(jìn)行批量處理，提高安全管理的效率。其捕獲及處理體系如圖1所示。

針對猖獗的蠕蟲病毒及其帶來的日益嚴(yán)重的安全威脅，主要用于捕獲和檢測蠕蟲樣本的分布式蜜網(wǎng)系統(tǒng)(圖1)成為安全公司研究的熱點(diǎn)。它主要針對系統(tǒng)控制權(quán)且主動(dòng)傳播的掃描溢出/口令猜測型樣本，當(dāng)蠕蟲掃描到蜜罐主機(jī)時(shí)，其樣本能在第一時(shí)間被截取，以便研制其免疫信息，并采取措施阻斷其傳播;同時(shí)蜜罐還能對數(shù)據(jù)流量和節(jié)點(diǎn)的壓力情況進(jìn)行準(zhǔn)確的判斷和分析。同時(shí)，由于蜜罐節(jié)點(diǎn)的特殊性，其不但能捕獲蠕蟲的行蹤，引導(dǎo)蠕蟲轉(zhuǎn)移攻擊目標(biāo)，讓蠕蟲在蜜罐中傳播，從而控制蠕蟲傳播，還是一種研究工具，可研究蠕蟲的特征與傳播機(jī)理。

2 基于分布式蜜網(wǎng)的蠕蟲傳播模型

隨著網(wǎng)絡(luò)應(yīng)用的普及和研究的不斷深入，蠕蟲等惡意代碼給網(wǎng)絡(luò)帶來嚴(yán)峻的安全威脅，對蠕蟲的分析和防治成為安全領(lǐng)域的研究熱點(diǎn)。其中準(zhǔn)確掌握蠕蟲傳播模式對有助于安全人員洞察蠕蟲行為、分辨出蠕蟲傳播鏈條上的弱點(diǎn)、識別影響蠕蟲傳播的關(guān)鍵因素、準(zhǔn)確預(yù)測新蠕蟲造成的危害、有效防范蠕蟲病毒、遏制其傳播等具有重要作用。

當(dāng)前，已有蠕蟲傳播模型大多具有一定的局限性，雙因子模型能夠較為準(zhǔn)確地描述蠕蟲傳播規(guī)律，但安全防護(hù)技術(shù)—分布式蜜網(wǎng)下蜜罐憑借特殊配置和部署位置對蠕蟲表現(xiàn)出強(qiáng)誘騙性;其對出入數(shù)據(jù)流采取“寬進(jìn)嚴(yán)出”的數(shù)據(jù)控制策略，以避免其成為蠕蟲再感染源和黑客攻擊的跳板;其擁有嚴(yán)格監(jiān)控體系，以加強(qiáng)對蠕蟲等的監(jiān)管等。因此，部署分布式蜜網(wǎng)影響到網(wǎng)絡(luò)上蠕蟲傳播行為;同時(shí)考慮到免疫主機(jī)由于蠕蟲變種等喪失免疫性重新成為易感染主機(jī)。為此基于雙因子模型，考慮到分布式蜜網(wǎng)下的蜜罐特性，構(gòu)建基于分布式蜜網(wǎng)的蠕蟲傳播模型(簡稱SIHR模型)，以探討蠕蟲傳播規(guī)律，揭示其在遏制蠕蟲傳播中發(fā)揮的作用。

2.1 問題分析與假設(shè)

為了有效捕獲蠕蟲、抑制其傳播，本節(jié)提出利用以分布式蜜網(wǎng)為主，防火墻、IDS和反病毒軟件相結(jié)合的方式構(gòu)建分布式蠕蟲防御系統(tǒng)，以加強(qiáng)對蠕蟲等安全威脅的防范。分布式蜜網(wǎng)由一定數(shù)量具有類似配置的蜜罐主機(jī)按照分布式體系進(jìn)行部署而構(gòu)成。由于蜜罐主機(jī)的特殊配置及部署位置，其對蠕蟲表現(xiàn)強(qiáng)誘騙性，相對于一般主機(jī)更容易感染蠕蟲;分布式蜜網(wǎng)下的蜜罐具備“寬進(jìn)嚴(yán)出”的數(shù)據(jù)控制策略，感染后的蜜罐主機(jī)不會成為再感染源，且不對蠕蟲具有免疫性，其能夠繼續(xù)用來捕獲蠕蟲樣本。由表1可知，β1(t)為由蜜罐主機(jī)配置及其部署位置確定，蜜罐的對外開放服務(wù)越多、未安裝的補(bǔ)丁越多，所處網(wǎng)絡(luò)位置越重要，其值越大;由于蠕蟲主要利用系統(tǒng)漏洞進(jìn)行傳播，及時(shí)發(fā)現(xiàn)蠕蟲傳播利用的漏洞并安裝補(bǔ)丁使得主機(jī)從易感主機(jī)中移出，即直接從易感染狀態(tài)轉(zhuǎn)換到移除狀態(tài)，ε為易感染主機(jī)的移出率;通過人工干預(yù)，采取打補(bǔ)丁等措施可以使得已感染主機(jī)對蠕蟲具有免疫能力，γ為已感染主機(jī)免疫率;考慮蠕蟲變異和采用人工手段清除蠕蟲，使得主機(jī)暫時(shí)具有免疫性，但沒有及時(shí)打補(bǔ)丁等使其重新處于易感染狀態(tài)，σ為免疫主機(jī)為喪失免疫性而重新成為易感染主機(jī)的轉(zhuǎn)換率;蠕蟲的快速傳播會導(dǎo)致網(wǎng)絡(luò)阻塞，使得蠕蟲感染速度降低，為此，模型假定蠕蟲感染率隨時(shí)間發(fā)生變化，β(t)為普通感染主機(jī)的感染率;由于蜜罐主機(jī)的特殊性，其誘騙性主要通過不安裝補(bǔ)丁等措施來實(shí)現(xiàn)，約定該模型所有免疫措施只針對普通主機(jī)，不針對蜜罐主機(jī);假定易感染主機(jī)被感染同時(shí)，其具備感染其他主機(jī)的能力，即主機(jī)從感染到感染其他主機(jī)的過程沒有時(shí)間間隔。

2.2 模型的提出

雙因子傳播模型[6]考慮到及時(shí)安裝補(bǔ)丁等使得易感染主機(jī)或易感染主機(jī)對蠕蟲具有免疫性，考慮到蠕蟲快速傳播帶來的網(wǎng)絡(luò)阻塞對蠕蟲感染速度的影響等，模型的微分方程表達(dá)式如式(1)所示:

dS(t)/dt=-β(t)S(t)I(t)-dQ(t)/dtdR(t)/dt=γI(t)dQ(t)/dt=μS(t)J(t)N=S(t)+I(t)+R(t)+Q(t)(1)

鑒于雙因子模型對用戶的干預(yù)只是停留在一個(gè)抽象的層面，沒有考慮到具體安全措施對蠕蟲傳播的影響和免疫主機(jī)由于蠕蟲變種等因素而喪失免疫性重新成為易感染主機(jī)等。當(dāng)前分布式蜜網(wǎng)正逐漸被應(yīng)用到網(wǎng)絡(luò)中，以保障網(wǎng)絡(luò)安全，分布式蜜網(wǎng)下的蜜罐主機(jī)憑借不安裝補(bǔ)丁等能優(yōu)先感染蠕蟲，且不具有免疫性能夠反復(fù)多次感染蠕蟲等，現(xiàn)有模型不能準(zhǔn)確描述部署分布式蜜網(wǎng)下的網(wǎng)絡(luò)蠕蟲傳播規(guī)律。為此，下面基于雙因子模型，充分考慮到分布式蜜網(wǎng)下的蜜罐特性，構(gòu)建部署分布式蜜網(wǎng)下的蠕蟲傳播模型。

與其他模型不同的是，該模型考慮到蜜罐的存在，根據(jù)蠕蟲防御的綜合機(jī)制，網(wǎng)絡(luò)中主機(jī)存在六種狀態(tài):

a)普通易感染主機(jī)。其沒有納入到分布式蜜網(wǎng)體系下，但還沒有被感染，也沒有采取如安裝補(bǔ)丁等措施。

b)易感染蜜罐主機(jī)。主機(jī)擁有能被蠕蟲攻擊的漏洞，但尚未感染蠕蟲，并被納入到分布式蜜網(wǎng)體系下，且所有免疫措施不適用于蜜罐主機(jī)。

c)普通感染主機(jī)。已感染蠕蟲的普通主機(jī)，但尚未采取免疫及隔離等安全防護(hù)措施。

d)已感染蜜罐主機(jī)。已被蠕蟲感染的蜜罐主機(jī)，但并不采取免疫及隔離等安全措施，“寬進(jìn)嚴(yán)出”的數(shù)據(jù)控制策略使得其不具備感染其他主機(jī)的能力。

e)免疫主機(jī)。已感染主機(jī)通過安裝補(bǔ)丁等對蠕蟲具備免疫性，其不再被蠕蟲所感染。

f)移出主機(jī)。主機(jī)具有能被蠕蟲攻擊的漏洞，在其被蠕蟲感染之前及時(shí)采取安裝補(bǔ)丁等措施，其不再被蠕蟲所感染。

網(wǎng)絡(luò)普通主機(jī)狀態(tài)轉(zhuǎn)換為“易感染 → 感染 → 免疫→易感染”或“易感染→移除”或一直處于易感染狀態(tài);蜜罐主機(jī)狀態(tài)轉(zhuǎn)換為“易感染→感染”或者一直處于易感染狀態(tài)。主機(jī)狀態(tài)轉(zhuǎn)換如圖2所示。

由圖2可知，部署蜜罐后的網(wǎng)絡(luò)中單位時(shí)間內(nèi)增加的感染蠕蟲主機(jī)數(shù)I(xiàn)(t)等于感染的主機(jī)數(shù)減去被免疫的主機(jī)數(shù)，則

I(xiàn)(t+Δt)-I(t)=β(t)I(t)s(t)Δt-γI(t)Δt(2)

單位時(shí)間內(nèi)增加的免疫主機(jī)數(shù)等于被免疫的已感染主機(jī)數(shù)減去免疫主機(jī)喪失免疫性而重新成為易感染主機(jī)的數(shù)目則

R(t+Δt)-R(t)=γI(t)Δt-σR(t)Δt(3)

單位時(shí)間易感染主機(jī)數(shù)變化數(shù)目等于由于免疫主機(jī)喪失免疫性而重新成為易感染的主機(jī)數(shù)減去被感染的易感染主機(jī)數(shù)和移除的主機(jī)數(shù)，則

S(t+Δt)-S(t)=σR(t)Δt-β(t)S(t)I(t)Δt-εS(t)J(t)Δt(4)

由于蜜罐主機(jī)憑借不安裝補(bǔ)丁及安全更新和特殊的部署位置而具有誘騙性且不具備免疫功能，單位時(shí)間內(nèi)易感染蜜罐主機(jī)感染蠕蟲的數(shù)目與被感染蠕蟲的蜜罐主機(jī)數(shù)相同，其中易感染蜜罐主機(jī)單位時(shí)間內(nèi)感染的主機(jī)數(shù)目遵循以下公式:

H1(t+Δt)-H1(t)=-β1(t)H1(t)Δt(5)

在大規(guī)模網(wǎng)絡(luò)上，當(dāng)單位時(shí)間足夠短時(shí)，蠕蟲傳播可以看做一個(gè)連續(xù)的過程，經(jīng)過變換，上述表達(dá)式可以利用微分方程式來表示。

綜上所述，基于分布式蜜網(wǎng)的蠕蟲傳播模型可以用式(6)表示:

dI(xiàn)(t)/dt=β(t)S(t)I(t)-γI(t)dS(t)/dt=-β(t)S(t)I(t)-εS(t)J(t)+σR(t)dQ(t)/dt=εS(t)J(t)

dR(t)/dt=γI(t)-σR(t)β(t)=β0[1-I(t)/N]ηdH1(t)/dt=-β1(t)H1(t)dH2(t)/dt=β1(t)H1(t)

N=S(t)+I(t)+R(t)+Q(t)+H1(t)+H2(t)(6)

其中:網(wǎng)絡(luò)規(guī)模N為常數(shù);β0為普通主機(jī)初始感染率;指數(shù)η用來調(diào)整感染率與具備感染能力主機(jī)數(shù)、網(wǎng)絡(luò)規(guī)模大小等之間關(guān)系;β1(t)為t時(shí)刻易感染蜜罐主機(jī)對蠕蟲感染率，其用來衡量蜜罐主機(jī)對蠕蟲誘騙能力大小，其值遠(yuǎn)遠(yuǎn)大于β(t)，為研究方便，假定網(wǎng)絡(luò)中部署的蜜罐主機(jī)誘騙級別相似，由于蜜罐的數(shù)目有限，且其感染蠕蟲的速度比較快，其感染速度不受網(wǎng)絡(luò)阻塞等因素影響，即蜜罐主機(jī)的感染率為常數(shù)，其值大小與蜜罐的配置和部署位置相關(guān)。另外，滿足J(t)=I(t)+R(t)，I(0)=I0<

2.3 模型分析

令ρ(t)=γ(t)/(β(t)+β1(t))作為傳播閾值;=H(0)/N作為網(wǎng)絡(luò)中蜜罐主機(jī)的部署粒度，其表示部署的蜜罐主機(jī)在網(wǎng)絡(luò)中所占的比重;I(0)、S(0)、H1(0)分別作為初始具有感染能力的普通主機(jī)數(shù)、普通易感染主機(jī)數(shù)和易感染蜜罐主機(jī)數(shù)。要使蠕蟲疫情發(fā)生，并且蜜罐能有效對蠕蟲預(yù)警、捕獲蠕蟲、遏制蠕蟲傳播，必須滿足如下條件:

dI(xiàn)(t)/dt|t=0>0，dH(t)/dt|t=0<0S(0)>

γ(0)/β(0)>γ(0)/[β(0)+β1(0)]=ρ(0)，H1(0)>0(7)

顯然，S(0)、H1(0)必須滿足上述條件，疫情才能發(fā)生，并且蜜罐發(fā)揮作用。式(7)顯示如果初始的易感染主機(jī)數(shù)遠(yuǎn)遠(yuǎn)小于初始傳播閾值即S(0)<ρ(0)，疫情就不會發(fā)生，閾值結(jié)果與雙因子模型結(jié)果一致，要求蠕蟲傳播的種群足夠大;相對于雙因子模型，蠕蟲傳播閾值ρ降低，這與部署的蜜罐主機(jī)對蠕蟲表現(xiàn)很強(qiáng)的誘騙性有關(guān)，蜜罐主機(jī)優(yōu)先感染蠕蟲，以便能第一時(shí)間捕獲蠕蟲樣本;在該模型中，γ(t)、β(t)均為常數(shù)，β1(t)隨時(shí)間推移不斷減小，ρ(t)則隨著時(shí)間的推移不斷增大，這與蠕蟲傳播帶來網(wǎng)絡(luò)阻塞，使得蠕蟲傳播的閾值增大;如果H1(0)>0，則部署密度≠0，此時(shí)蜜罐在引誘蠕蟲、遏制蠕蟲傳播方面發(fā)揮一定作用，部署蜜罐的誘騙性越強(qiáng)，此時(shí)被蠕蟲感染率β1(t)越大，傳播閾值ρ越小，此時(shí)網(wǎng)絡(luò)上發(fā)生蠕蟲疫情的可能性越小。當(dāng)不考慮蜜罐主機(jī)的存在時(shí)，即H1(t)=0，得到的模型與文中提到的雙因子模型一致。在此條件下，如果β(t)為常數(shù)，不考慮從易感主機(jī)中和易感染主機(jī)中移除的主機(jī)數(shù)，即I(0)=0，R(t)=0，Q(t)=0，就得到經(jīng)典簡單傳播模型;如果假設(shè)β(t)為常數(shù)，只考慮從已感染主機(jī)中移出主機(jī)，即Q(t)=0，β(t)為常數(shù)，就得到經(jīng)典的普通傳播模型。

3 模擬實(shí)驗(yàn)

為了研究部署分布式蜜網(wǎng)下的蠕蟲傳播規(guī)律，比較部署分布式蜜網(wǎng)前后蠕蟲傳播趨勢變化，分析其引誘蠕蟲、遏制蠕蟲傳播等發(fā)揮的作用。下面利用MATLAB分別對雙因子模型和SIHR模型進(jìn)行模擬仿真。設(shè)定N=1 000 000，ε=0.002/N，β0=0.05/N，I(0)=2，γ=0.01，對雙因子模型模擬實(shí)驗(yàn)，結(jié)果如圖3所示。

設(shè)定N=1 000 000，β0=0.05/N，ε=0.002/N，I(0)=2，σ=0.005/N，H1(t)=5 000，β1=0.05，γ=0.01，H2(t)=0，SIHR模型的模擬實(shí)驗(yàn)結(jié)果如圖4所示(為了直觀說明蜜罐主機(jī)的感染趨勢，對蜜罐主機(jī)相關(guān)數(shù)值進(jìn)行放大20倍處理)。

從圖3、4可以看出，相對于雙因子模型，經(jīng)過一段時(shí)間，幾乎所有的易感染主機(jī)感染蠕蟲，而SIHR模型下的蠕蟲最終僅感染了網(wǎng)絡(luò)中75%左右的主機(jī)，即感染蠕蟲的主機(jī)數(shù)有一定程度的減少;相對于雙因子模型，網(wǎng)絡(luò)中具備感染能力的最大主機(jī)數(shù)減35%，即網(wǎng)絡(luò)中的具有感染能力的主機(jī)數(shù)明顯減小;相對于雙因子模型下蠕蟲在短時(shí)間內(nèi)在網(wǎng)絡(luò)中迅速傳播，SIHR模型下的蠕蟲感染速度減緩，感染時(shí)間有明顯的延遲;在SIHR模型中，分布式蜜網(wǎng)下的蜜罐主機(jī)充分表現(xiàn)了其強(qiáng)誘騙特性，在極短的時(shí)間內(nèi)迅速感染蠕蟲，有利于第一時(shí)間捕獲蠕蟲樣本，分析其傳播機(jī)理、感染機(jī)制，對蠕蟲預(yù)警等，有利于安全人員研究相對應(yīng)的蠕蟲免疫方案，針對性進(jìn)行安全防護(hù);蜜網(wǎng)體系下的蜜罐對出入數(shù)據(jù)流采取“寬進(jìn)嚴(yán)出”控制策略，在關(guān)鍵位置部署蜜罐，不但能引誘蠕蟲，第一時(shí)間捕獲蠕蟲，對蠕蟲預(yù)警，而且能通過控制蜜罐主機(jī)來遏制蠕蟲大范圍傳播。

4 結(jié)束語

分布式蜜網(wǎng)能夠引誘蠕蟲、黑客攻擊、追蹤和檢測僵尸網(wǎng)絡(luò)等，正成為主要的安全防護(hù)技術(shù)。在雙因子模型模型的基礎(chǔ)上，充分考慮到分布式蜜網(wǎng)下的蜜罐主機(jī)對蠕蟲表現(xiàn)出強(qiáng)誘騙性、能優(yōu)先感染蠕蟲，其對出入數(shù)據(jù)流采取“寬進(jìn)嚴(yán)出”的控制策略以防止其成為蠕蟲再感染源，通過控制蜜罐能夠引導(dǎo)蠕蟲在蜜網(wǎng)中傳播。由于蠕蟲變異等因素而導(dǎo)致一部分免疫主機(jī)喪失免疫性，重新成為易感染主機(jī)等，本文提出基于分布式蜜網(wǎng)的蠕蟲傳播模型，以便描述部署分布式蜜網(wǎng)的網(wǎng)絡(luò)上的蠕蟲傳播規(guī)律。通過模擬實(shí)驗(yàn)發(fā)現(xiàn)，相對于雙因子模型，部署分布式蜜網(wǎng)一定程度上減少了被感染主機(jī)總數(shù)、單位時(shí)間最大具有感染能力主機(jī)數(shù)，延緩了普通主機(jī)的感染蠕蟲的速度等;蜜罐主機(jī)在極短時(shí)間內(nèi)感染蠕蟲，有利于第一時(shí)間捕獲蠕蟲樣本，對蠕蟲預(yù)警等。然而，該模型仍具有一定的局限性。由于該模型主要基于分布式蜜網(wǎng)下的蜜罐特性而提出，其只適合描述部署分布式蜜網(wǎng)下的網(wǎng)絡(luò)上蠕蟲傳播規(guī)律;別的傳播模型一樣，該模型只適合對大規(guī)模網(wǎng)絡(luò)上的連續(xù)感染、傳播的蠕蟲進(jìn)行建模。它不能用來對蠕蟲的任意中斷或者蠕蟲的再次傳播進(jìn)行預(yù)測和描述。

對蠕蟲傳播過程建模是一個(gè)不斷完善的過程，需要考慮到網(wǎng)絡(luò)應(yīng)用環(huán)境日益復(fù)雜化和安全防護(hù)技術(shù)等因素的影響，隨著蠕蟲的智能化程度不斷提高，蠕蟲模型也將發(fā)展得更好。

參考文獻(xiàn):

[1]SEELEY D. A tour of the worm[C]//Proc ofUsenix Winter 1989 Conference. San Diego:[s.n]，1989: 287.

[2]MOORE D， SHANNON C， CLAFFY K. Code-red: a case study on the spread and victims of an Internet Worm[C]//Proc ofInternet Measurement Workshop. New York: ACM Press，2002:273-284.

[3]CAIDA. Dynamic graphs of the Nimda worm[EB/OL].(2001-09-18). http://www.caida.org/dynamic/analysis/security/Nimd/.

[4]STREFTARIS G， GIBSON G J. Statistical inference for stochastic ep-idemic models[C]//Proc of the 17th InternationalWorkshop on Statistical Modeling. Chania:[s.n]，2002: 609-616.

[5]FRAUENTHAL J C. Mathematical modeling in epidemiology[M]. New York: Springer-Verlag， 1980.

[6]ZOU C C， GONG Wei-bo， TOWSLEY D. Code red worm propagation modeling and analysis[C]//Proc of the 9th ACM Symposium on Computer and Communication Security. New York: ACM Press，2002:138-147.

[7]FALOUTSOS M， FALOUTSOS P， FALOUTSOS C. On power-law relationships of the Internet topology[C]// Proc of Conference on Applications，Technologies， Architectures，and Protocols for Computer Communication.1999:251-262.

[8]SPITZNER L. Honeypot-definition and value of honeypots[EB/OL]. (2003-05-29). http://www.trackinghackers.co-m/papers/honeypots.html.

[9]The Honeynet Project. Know your enemy: Honeynets[EB/OL].(2005-05-10).http://old.honeynet.org/papers/honeynet/ index.html.

[10]文偉平，卿斯汗，蔣建春，等.網(wǎng)絡(luò)蠕蟲研究及進(jìn)展[J].軟件學(xué)報(bào)，2004，15(8):1208-1219.