基于Petri網的病毒攻擊建模

侯仁平，李孝忠

(天津科技大學計算機科學與信息工程學院，天津 300222)

基于Petri網的病毒攻擊建模

侯仁平，李孝忠

(天津科技大學計算機科學與信息工程學院，天津 300222)

針對威脅計算機網絡安全的病毒攻擊行為，建立了基于Petri網的病毒入侵網絡基本模型，利用CPN tools仿真工具分析了模型的活性和各個庫所的有界性，以利于采取有效的網絡防御措施和建立安全的防御體系．利用安全策略域、域間通信信道的概念，根據病毒入侵傳播的特性，建立了基于隨機著色Petri網的企業網絡模型，并給出了用該模型模擬與安全相關網絡行為的方法．

病毒攻擊；Petri網；隨機著色Petri網

隨著計算機網絡的普及，計算機病毒攻擊等入侵行為日益突出，對網絡的安全構成極大威脅．要增強互聯網抵御病毒入侵的能力，就有必要深刻理解計算機病毒在互聯網中的傳播機理．在充分認知互聯網的復雜網絡特性基礎上，建立病毒入侵的數學模型并分析其傳播機理，是計算機病毒[1]研究的一個重要組成部分．

目前，檢測網絡入侵有多種方法，如基于模式匹配、基于概率統計和基于神經網絡的入侵檢測方法等[2]，但是都需要一定的方法來描述網絡事件，許多建模方法是基于事件的，缺乏對系統狀態的明確體現，而Petri網基于狀態的建模方法明確定義模型元素的狀態，其演進過程受狀態的驅動，不但嚴格區分了活動的授權和活動的執行，而且使過程定義具有更豐富的表達能力，能夠動態地修改過程實例，使建模過程具有了更多的柔性特征[3]．

本文討論了如何利用安全域和域間通信信道概念在復雜網絡中應用著色隨機Petri網來建模和模擬安全問題，并在簡化系統模型和豐富模型約束條件方面做一些有益的嘗試．

1 Petri網基礎

1.1 Petri網

1962年，Petri[4]首次提出Petri網的概念．經典Petri網包括3種節點類型：庫所、變遷和有向弧，同時其動態效果由令牌等元素展現．

Petri網是一種系統的數學和圖形的建模和分析工具，特別適用于對具有同步、并發、沖突的離散事件系統進行建模和分析，具有較為完善的數學表達．應用Petri網相關技術及其分析方法，能夠分析網系統靜態的結構以及仿真時動態的行為，因而廣泛應用于復雜系統的設計和分析中．網絡模型建模是Petri網的重要應用之一．

經典Petri網也有其局限性：(1)它沒有數據概念，因此其所構造的模型往往變得很龐大；(2)它沒有等級概念，對結構中采用自頂向下或自底向上的分析方法構成了很大的局限性．

1.2 著色Petri網

20世紀80年代，Jensen[5]在經典Petri網基礎上提出和發展了具有層次結構的著色Petri網理論(colored Petri net，CPN)，并在不破壞經典Petri網的理論完整性前提下解決了經典Petri網的兩大局限性．它具有三大優點[6]：(1)CPN理論在描述系統靜態模型方面進行了比較完整的形式化定義；(2)CPN有機地結合了層次分解以及數據結構，能同時用于評估系統性能、邏輯的正確性和驗證系統功能；(3)它還能交互地或自動地進行仿真．

CPN與經典Petri網的主要區別是：(1)CPN為庫所和變遷關聯了對應的色彩集合C，在為網系統引入相關顏色集后，托肯標記的不同顏色可以用來表示為任意不同復雜的數據類型，豐富了Petri網的語義；(2)使經典Petri網更加具有層次性，可以自頂向下或自底向上來建立復雜模型，從而CPN這類功能強大的建模工具可以用來處理大型的應用模型．

圖1是一個簡單的CPN模型，其中兩個庫所P1和P2具有相同的顏色值，其只有兩種狀態true或false．庫所1的起始標記表示當前庫所具有唯一的一個true托肯，變遷T的輸入弧和輸出弧具有相同顏色“true”．因此，此種狀態下變遷可以發生，發生后得到新的系統狀態．

圖1 簡單著色Petri網Fig. 1 Simple CPN

1.3 隨機Petri網

傳統的Petri網一般沒有時間參數，為了進行分析，需要建模時間、延遲等參數，在傳統Petri網基礎之上加入時間參數，因此每一個令牌擁有一個時間戳，變遷決定生產出的令牌的延遲，即隨機Petri網[7](stochastic Petri net，SPN)，大大增強了模擬能力．

在SPN理論中，變遷實施延遲由隨機變量描述，它分為離散變量和連續變量兩類，然而隨機變量均可定義多種函數，一般情況下離散時間類型隨機變量為幾何分布，連續時間類型隨機變量為指數分布．

Molly、Florin和Natkin等人獨立提出把變遷與隨機的指數分布實施延遲聯系起來的思想[8]．變遷實施分為三步：清除輸入位置標記；實施延遲內變遷“保持”這些標記；標記移到變遷輸出庫所．在指數分布的隨機變量關聯的變遷中，系統狀態的延遲也是指數分布的隨機變量．

在隨機Petri網建模的過程中，時間變遷通常都和某個指數分布的速率一一對應，并且同時設定了時間變遷在模擬某個活動時所具備的平均處理速率．隨機Petri網中的每一個活動都和時間變遷一一對應，所有活動都能夠并行執行互不干擾，一直到活動完成．因此，隨機Petri網很好地避免了死鎖的發生．

圖2是一個簡單的隨機Petri網模型，庫所P1的起始標記表示當前庫所有唯一的一個托肯，變遷T有一個時間參數T0，取值是指數分布的隨機參數t0，此時變遷的發生受時間參數的控制，在時間合適時變遷才會發生，托肯值由庫所P1移動至庫所P2．

圖2 簡單隨機Petri網Fig. 2 Simple SPN

2 安全相關的網絡模型建模

2.1 安全策略域

在企業級網絡安全建模過程中，需要定義系統以某種方式或樣式以表示狀態和狀態變遷，為了這個目的Peter Stephenson較早的在建模進程中引入安全策略域[9]概念．

在建模過程中，如果把每個設備都單獨考慮，由于網絡環境的高度復雜性，其建模任務必將是不可接受的艱巨任務．為了實現建模并大大減輕建模任務的工作量，應用安全策略域是很好的方法．安全策略域包含所有受制于同種安全策略的設備的集合，可以認為這是數據分類方法的一種擴展實例，但是在某種程度上又具有一些更為精細的規模．

2.2 域間通信信道

當模擬網絡系統中的安全行為時，為了達到建模的目的，Peter Stephenson同時提出域間通信信道概念．域間通信信道可以幫助建模域間的通信流程和甄別被禁止的通信行為．

2.3 網絡模型

從實際應用角度來看，可以用庫所來表示安全策略域，而用變遷來表示域間通信信道．既然變遷描述網絡的行為，在變遷的發生上設置適當的約束條件，就意味著在變遷的輸入庫所和輸出庫所之前的通信上應用約束條件．由此，盡管網絡看起來十分地復雜，實際上如此網絡建模[10]就變得十分的直觀和相當地簡單．

3 基于Petri網的網絡建模

3.1 庫所和變遷的確定

在網絡建模中，用庫所來表示安全策略域，庫所表示系統狀態，因此在建模中的庫所狀態也就是安全策略域．

在建模中，使用變遷來表示域間通信信道，因為域間通信信道的行為決定著安全策略域(庫所)與其他安全域之間的可達性．在信道得以授權的情況下，從輸入庫所到輸出庫所之間可達．

3.2 約束條件的確定

3.2.1 著色約束

變遷是否授權視為約束條件，也就是其顏色設定為布爾型．顏色為true或無時，變遷發生沒有任何限定因素．

變遷發生，輸入庫所托肯流動到輸出庫所，也就是系統狀態發生了變化，這種狀態的變化通過輸入和輸出庫所托肯的增減顯現出來．在模型中，變遷發生即認為該庫所被病毒感染，而此時系統狀態經歷了由先前狀態到新狀態的變化，變化的發生完全建立在兩庫所間的通信被授權的前提上．

3.2.2 時間約束

變遷的時間因素也不得不視為約束條件，此處將其時間變量設定為服從指數分布特性．

病毒[11]具有潛伏性、隱蔽性和可觸發性，因此時間因素的引入至關重要，其特性決定使用隨機性對其描述更加恰當．而且在實際運用隨機Petri網建模過程中，一般時間變遷都與某個指數分布的速率一一對應，同時設定了時間變遷在模擬某個活動時所具備的平均處理速率．在分布環境中的每一個活動都會和每一個時間變遷相對應，所有活動都能夠并行執行，一直到活動的完成．因為有隨機時間的延遲，所以一般不可能發生活動之間的時間沖突，不需要對隨機Petri網設置特殊機制來解決各個事件活動之間的沖突問題．由此可見，時間因素的引入不僅是由網絡病毒特性的客觀需要，同時也能更好地描述網絡模型并避免并發沖突的問題．

另外，隨機Petri網給每個變遷賦予了一個隨機的延遲時間，其狀態空間同構于一個連續時間的馬爾可夫鏈，結合馬爾可夫過程的分析和計算方法，可為模型的數學評價和性能分析提供很好的途徑．

4 實 例

4.1 建模

以中等規模企業網絡為建模背景，以簡化網絡建模工作為主要目的進行建模，并以此作為網絡分析的重要描述手段之一，利用CPN tools軟件建立模型，如圖3所示．圖中將病毒單獨列為庫所P1，病毒的感染列為變遷P2，同時將初始托肯值設置為1，病毒起源和數目不確定，故假定為自然數1以做簡單仿真之用．

庫所的含義如下：P1為病毒源；P2為公共因特網；P3為內部無線網；P4為外部系統互聯區；P5為隔離緩沖區；P6為內部系統互聯區；P7為核心區．

變遷的含義如下：T1為染毒途徑；T2為隱秘途徑；T3為公共因特網與隔離緩沖區間信道；T4為隔離緩沖區與內部系統互聯區信道；T5為內部系統互聯區與核心區信道；T6為外部系統互聯區與內部系統互聯區信道；T7為內部無線網與內部系統互聯區信道；T8為內部系統互聯區與外部系統互聯區信道；T9為內部系統互聯區與內部無線網信道；T10為核心區與內部系統互聯區信道；T11為內部系統互聯區與隔離區信道；T12為內部系統互聯區與公共因特網信道．標記p、ph、PH均為顏色標記．

表1中列出了模型中具體變遷的前集和后集的詳細情況．其中，P1是為描述病毒來源而單獨設立的庫所，不屬于安全策略域的概念范疇，另外，T1、T2染毒設備變遷僅為描述病毒的存在對象而設立的變遷，亦不屬于域間通信信道的概念范疇．模型中，此兩處為例外．

圖3 著色隨機Petri網模型Fig. 3 Stochastic colored Petri net model

表1 變遷的前集和后集Tab. 1 Preset and postset of transition

4.2 有界性與活性分析

利用CPN tools仿真軟件中的State Space模塊生成模型報告文檔，得出所有庫所托肯值至多為2，模型各個庫所都是有界的，符合建模實際要求，有界性分析結果如表2所示．

表2 有界性分析Tab. 2 Bounds analysis

另外，模型中也不存在死標識，所有變遷除T1和T2外均是活的，活性分析結果如表3所示．

表3 活性分析Tab. 3 Activity analysis

4.3 基于馬爾可夫過程的性能分析

本文選取模型的子系統(圖4)來進行馬爾可夫過程分析，與其同構的馬爾可夫模型如圖5所示．

圖4 著色隨機Petri網模型子系統Fig. 4 Stochastic colored Petri net model subsystem

圖5 MC模型Fig. 5 MC model

根據連續時間的隨機Petri網同構于連續時間馬爾可夫鏈的特性，與模型同構的馬爾可夫鏈的狀態可達標識見表4，數字“0”或“1”表示庫所中的托肯數．

表4 狀態可達標識Tab. 4 Reachable state marking

模型中托肯無擁塞，無瓶頸，也不存在死鎖．故模型合理．

圖6 仿真效果Fig. 6 Simulation result

取λ＝{2，1，2，1，1，1，2}，列出平衡狀態方程，可得方程組

綜上所述，對小兒腹瀉采用精細化護理可以改善患兒腹瀉癥狀，提升臨床效果，減少并發癥的發生，具有一定推廣價值。

解此方程組可得各個狀態穩定概率(取值保留4位有效數字)：P[M0]＝0＝X0，P[M1]＝0.363,6＝X1，P[M2]＝0.272,7＝X2，P[M3]＝0.181,8＝X3，P[M4]＝0.181,8＝X4．

在求得穩定概率的基礎上還可以進一步分析模型的其他性能，如標記密度函數、變遷利用率、變遷標記流速等．

4.4 模型仿真

使用CPN tools仿真軟件進行仿真模擬，可以得到如圖6所示的模擬效果圖．

通過圖6仿真可以看出，在沒有任何安全措施的情況下，圖中各個庫所均出現了病毒托肯，代表實際網絡中各處均有感染病毒出現．出于深度保護網絡免于病毒感染的考慮，必須在病毒與潛在感染設備之間設置盡可能多的攔截設備或者策略．此外，通過設定不同位置的變遷顏色false，即加入相應安全措施后，與顏色false相對應的變遷后的庫所就不再出現病毒感染，據此可以發現在網絡中處于關鍵位置的節點和變遷，網絡管理者需要對其重點關注和配置相應安全策略．

另外，通過仿真也驗證了簡化后的Petri網模型在描述網絡信息流應用方面的巨大優勢，同時證明了模型的合理與有效性．

5 結 語

本文通過引入安全策略域和域間通信信道的概念，結合著色和隨機兩大約束條件，進行有界企業級網絡系統的簡單網絡模型系統建模．由此，簡化了網絡系統模型的建模工程任務量，并為宏觀分析網絡系統提供了實例模型，同時也為更進一步地細化和深入研究奠定了理論基礎．

今后，應逐步細化和深入探討模型中的著色與隨機兩大特性，進一步深入了解和分析網絡特性．

參考文獻：

［1］ 許丹，李翔，汪小帆. 復雜網絡理論在互聯網病毒傳播研究中的應用[J]. 復雜系統與復雜性科學，2004，1(3)：10–26.

［2］ White G B，Fish E A，Pooch U W. Computer system and network security[M]. Boca Raton，USA：CRC Press，1996：91–111.

［3］ 張羽. Petri網在入侵檢測系統中的應用研究[D]. 西安：西安電子科技大學，2007.

［4］ Petri C A. Kommunication mit automaten[D]. Bonn：Institutefur Instrumentelle Mathematik，1962.

［5］ Jensen K. Colored petri nets and the invariant method[J]. Theoretical Computer Science，1981，14(3)：317–336.

［6］ 袁崇義. Petri網原理[M]. 北京：電子工業出版社，1984：12–75.

［7］ Florin G，Fraize C，Natkin S. Stochastic Petri nets：Properties，applications and tools[J]. Microelectronics Reliability，1991，31(4)：669–697.

［8］ 林闖. 隨機Petri網和系統性能評價[M]. 北京：清華大學出版社，2000：19–40.

［9］ 邱嵐，譚彬. 安全域劃分研究與應用[J]. 計算機安全，2012(6)：39–42.

［10］ 唐圣學，陳麗，黃嬌英. 關聯復雜網絡建模及辨識研究[J]. 計算機物理，2012，29(2)：308–316.

［11］ 郭仁東. 計算機網絡病毒及其防御探析[J]. 電腦知識與技術，2012，8(30)：7190–7198.

責任編輯：常濤

表2 萬用表與本設計電壓表對測試點的測量結果Tab. 2 Measured voltages of the given test points with a multimeter and the new voltmeter

在測試中用萬用表和本設計均檢測出開發板上標稱值為1.2V的測試點與標稱值為1.25V的測試點電壓值相同，可能是標稱值有誤．另外，在ISE10.1的“Design Summary”窗口查看本設計占用資源的情況，其共占用20,480個Slice Flip Flops(Slice內部觸發器)中的19個，占用20,480個4,input LUTs(4輸入查找表)中的77個，占用資源小于0.5%．

6 結 語

本文將FPGA與TLV571相結合設計的數字電壓表能夠對0～3.3V的直流電壓進行測量，最小分辨率為0.013V，其FPGA芯片資源占用率低，采用4位數碼管顯示被測電壓值，可精確到小數點后3位．通過實例和硬件測試驗證了各種情況下BCD碼加法運算的正確性；用loop循環語句編寫BCD碼加法運算的程序簡潔明了，明顯優于用if嵌套語句編程實現．

［1］ 楊增汪，陳斯，戴新宇. 一種量程自動轉換高精度數字電壓表的設計[J]. 自動化與儀表，2011(11)：12–15.

［2］ 翟永前，蔣芳芳. 基于MSP430單片機的智能數字電壓表設計[J]. 化工自動化及儀表，2011，38(3)：297–300.

［3］ 李奎霖. 基于FPGA的數字電壓表設計[J]. 儀表技術，2010，12(10)：57–59.

［4］ 路而紅. 電子設計自動化應用技術：FPGA應用篇[M]. 北京：高等教育出版社，2009.

［5］ Azcondo F J，de Castro A，Bra?as C. Course on digital electronics oriented to describing systems in VHDL[J]. IEEE Transactions on Industrial Electronics，2010，57(10)：3308–3316.

［6］ Texas Instruments. TLV571 2.7V to 5.5V，1-Channel，8-Bit Parallel ADC[EB/OL]. 2000–02–09[2013–08–01]. http：// www.ti.com.cn/product/cn/tlv571.

責任編輯：常濤

A Model of Virus Attacks Based on Petri Nets

HOU Renping，LI Xiaozhong
(College of Computer Science and Information Engineering，Tianjin University of Science & Technology，Tianjin 300222，China)

Virus attacks increasingly threaten the computer network. A preliminary model of virus invasion was established based on Petri net，and the activity of the model and the bounds of different places were analyzed by using CPN simulation tools. This model will help to adopt effective defense measures for the network and establish defense systems. Using the concepts of security policy domain and the communication channels of domain，and according to the characteristics of the dissemination of the virus invasion，a model of enterprise network was established based on the stochastic colored Petri net，and the network behavior related to security with this model was introduced in detail.

virus attacks；Petri net；stochastic colored Petri net

TP391.9

A

1672-6510(2014)01-0069-06

10.13364/j.issn.1672-6510.2014.01.014

2013–06–08；

2013–07–12

國家自然科學基金資助項目(61070021)；天津市高等學校科技發展基金資助項目(20120803)

侯仁平（1985—），男，山東人，助理工程師，碩士研究生；通信作者：李孝忠，教授，lixz@tust.edu.cn.