局域網(wǎng)內(nèi)病毒傳播影響因素仿真

康宏 張建剛　　康艷梅

摘 要 在計算機(jī)病毒的教學(xué)中，引入NETlogo仿真平臺，以勒索病毒為例，講解蠕蟲病毒的傳播原理，并仿真蠕蟲病毒在局域網(wǎng)內(nèi)傳播過程，使學(xué)生了解蠕蟲病毒傳播過程和影響因素，從而在病毒爆發(fā)時能夠采取相應(yīng)的應(yīng)對措施。

關(guān)鍵詞 蠕蟲 Netlogo 勒索病毒

中圖分類號：TP393.1 文獻(xiàn)標(biāo)識碼：A DOI：10.16400/j.cnki.kjdkx.2018.04.014

Simulation of Influencing Factors of Viral Spreading in LAN

——A Case Study of Blackmailing Virus

KANG Hong[1]， ZHANG Jiangang[1]， KANG Yanmei[2]

（[1] College of Economics and Management， Shandong University of Science and Technology， Qingdao， Shandong 266590；

[2] School of Information Science and Technology， University of International Relations， Beijing 100091）

Abstract In the teaching of computer virus， the NETlogo simulation platform was introduced to explain the principle of worms propagation. We simulated the propagation process of worms in the LAN， so that students can understand the spread of worms and the impact of factors and can take the appropriate response when the virus outbreak.

Keywords Worms； Netlogo； Extortion virus

據(jù)騰訊安全發(fā)布《2017年度互聯(lián)網(wǎng)安全報告》，2017年5月12日，一款名為“WannaCry”的蠕蟲勒索軟件襲擊全球網(wǎng)絡(luò)，通過加密電腦文檔向用戶勒索比特幣。這被認(rèn)為是迄今為止最巨大的勒索病毒事件，至少150個國家、30萬名用戶中招，造成損失達(dá)80億美元。[1]中國部分Windows操作系統(tǒng)用戶遭受感染，某些大型企業(yè)的應(yīng)用系統(tǒng)和數(shù)據(jù)庫文件被加密勒索，影響巨大。

在計算機(jī)病毒的教學(xué)中，結(jié)合新型病毒傳播方式來講解病毒傳播原理，并仿真計算機(jī)病毒的傳播過程，能夠提高學(xué)生學(xué)習(xí)興趣，使學(xué)生對計算機(jī)病毒傳播有更直觀的認(rèn)識。

1 勒索病毒簡介

勒索病毒是一種新型病毒，感染受害者電腦或后，采用加密文件、修改密碼等方式，使計算機(jī)資源或數(shù)據(jù)資料無法正常使用，并以此為條件勒索錢財。

勒索病毒包括蠕蟲及勒索兩個部分，蠕蟲部分用于傳播和釋放病毒，勒索部分用于攻擊用戶和加密文件。勒索病毒是通過公開密鑰加密算法進(jìn)行加密。在公開密鑰加密算法中，信息發(fā)送方和接收方所使用不同的密鑰，即加密、解密密鑰不同，并且很難由其中一個推導(dǎo)出另一個。加密時把明文分成塊，塊的大小可變。不同的變種用的加密算法不同，比如：永恒之藍(lán)勒索蠕蟲使用RSA算法加密，CTB Locker用的是橢圓曲線加密。

蠕蟲病毒是一種常見的計算機(jī)病毒。通過網(wǎng)絡(luò)和電子郵件進(jìn)行傳播，具有自我復(fù)制和傳播迅速等特點(diǎn)。勒索蠕蟲病毒會在局域網(wǎng)內(nèi)進(jìn)行主動攻擊，病毒會通過文件共享端口進(jìn)行感染傳播，沒有修復(fù)系統(tǒng)漏洞的局域網(wǎng)用戶就容易被病毒感染。

2 蠕蟲病毒在局域網(wǎng)內(nèi)的傳播過程

（1）掃描：掃描部分負(fù)責(zé)探測局域網(wǎng)內(nèi)存在漏洞的主機(jī)，比如計算機(jī)開放共享，開放端口，系統(tǒng)漏洞等。程序向局域網(wǎng)內(nèi)所有主機(jī)發(fā)送探測漏洞的信息，當(dāng)收到有效的反饋信息后，就得到一個可傳播的對象。

（2）攻擊：攻擊部分對可傳播對象實(shí)施攻擊，首先取得有漏洞主機(jī)的權(quán)限，以進(jìn)行進(jìn)一步攻擊操作。

（3）復(fù)制：復(fù)制部分將蠕蟲程序復(fù)制到已取得權(quán)限的可傳播主機(jī)，并啟動運(yùn)行蠕蟲。

蠕蟲的傳播模塊就是病毒在局域網(wǎng)內(nèi)實(shí)現(xiàn)自動入侵自動攻擊的功能。

3 勒索病毒在局域網(wǎng)內(nèi)的傳播方式

勒索病毒使用了多種方式在局域網(wǎng)內(nèi)進(jìn)行攻擊傳播，包括使用了美國國家安全局（NSA） 泄漏的Windows SMB遠(yuǎn)程漏洞利用工具“永恒之藍(lán)”、永恒浪漫系列遠(yuǎn)程攻擊武器，以及利用局域網(wǎng)共享的方式傳播。在局域網(wǎng)系統(tǒng)中，主要通過主要通過Windows管理體系結(jié)構(gòu)（Microsoft Windows Management Instrumentation），和PSEXEC（SMB協(xié)議）進(jìn)行擴(kuò)散。因此不僅沒有及時修復(fù)NSA發(fā)布的漏洞的用戶會受影響，只要局域網(wǎng)中有其他用戶受到攻擊，已經(jīng)打了補(bǔ)丁的電腦也可能會受到攻擊。[2]

病毒在局域網(wǎng)內(nèi)傳播過程是怎樣的？影響病毒傳播的主要因素都有哪些？學(xué)生在學(xué)習(xí)計算機(jī)病毒時，很難對病毒的傳播有直觀的認(rèn)識。在計算機(jī)病毒的教學(xué)中，我們引入NETlogo仿真平臺，以勒索病毒為例，來仿真病毒在局域網(wǎng)內(nèi)的傳播過程，通過參數(shù)的調(diào)節(jié)，使學(xué)生明白計算機(jī)病毒在局域網(wǎng)內(nèi)傳播的主要影響因素是什么，加深對蠕蟲病毒傳播的認(rèn)識。

4 勒索病毒仿真

4.1 仿真環(huán)境簡介

本文基于Netlogo仿真平臺，仿真了勒索病毒在局域網(wǎng)內(nèi)傳播過程。Netlogo是用來對自然和社會現(xiàn)象進(jìn)行仿真的多主體建模仿真集成環(huán)境。它是由UriWilensy在1999年發(fā)起的，由美國西北大學(xué)鏈接學(xué)習(xí)和計算機(jī)建模中心（CCL）持續(xù)開發(fā)，Netlogo仿真平臺為教學(xué)科研機(jī)構(gòu)提供了一個強(qiáng)大易用的計算機(jī)輔助工具。

Netlogo是Logo語言的擴(kuò)展，改進(jìn)了Logo語言只能控制單一個體的不足，它可以模擬無限個智能體在二維空間的交互作用，隨著時間的推進(jìn)，智能體的屬性在不斷發(fā)生變化，因此，Netlogo建模能有效地模擬微觀個體的行為和宏觀模式的涌現(xiàn)及其兩者之間的關(guān)系。Netlogo適合于模擬隨時間演化發(fā)展的復(fù)雜系統(tǒng)。

4.2 仿真模型設(shè)計

我們以病毒網(wǎng)絡(luò)傳播模型為基礎(chǔ)，并依照局域網(wǎng)內(nèi)勒索病毒傳播特征對模型進(jìn)行了修改。[3]此模型仿真了勒索病毒在一定規(guī)模的局域網(wǎng)內(nèi)的傳播過程。在模型中，每個節(jié)點(diǎn)代表局域網(wǎng)內(nèi)一臺計算機(jī)，所有節(jié)點(diǎn)組成一個小型局域網(wǎng)。局域網(wǎng)內(nèi)的節(jié)點(diǎn)有三個狀態(tài)：未感染病毒，已感染病毒，已感染病毒并且被修復(fù)。此模型仿真了當(dāng)局域網(wǎng)內(nèi)初始有機(jī)器感染勒索蠕蟲病毒后，隨著時間推移，在影響參數(shù)不同時，局域網(wǎng)內(nèi)機(jī)器感染數(shù)量的演化，并最終達(dá)到一個穩(wěn)定狀態(tài)。模型基本參數(shù)設(shè)置如下：

a：計算機(jī)局域網(wǎng)內(nèi)網(wǎng)絡(luò)總節(jié)點(diǎn)數(shù)

b：每個節(jié)點(diǎn)平均連接的計算機(jī)數(shù)量

c：勒索病毒初始感染機(jī)器數(shù)量

d：勒索病毒傳播概率

e：被病毒感染后修復(fù)概率

f：安裝補(bǔ)丁免疫概率

4.3 模型演化

設(shè)a=100，b=6，c=2，d=2.5%，e=5%，f=5%。即局域網(wǎng)內(nèi)有100臺計算機(jī)時，平均每臺機(jī)器和另外六臺有密切聯(lián)系，初始感染勒索病毒的機(jī)器為2臺，勒索病毒傳播概率為2.5%，感染后修復(fù)的概率為5%，感染病毒后安裝補(bǔ)丁免疫概率為5%。在這樣的情況下，經(jīng)過一段時間的演化，結(jié)果如圖1。演化一段時間后，被勒索病毒感染的機(jī)器達(dá)到一個峰值，大約是局域網(wǎng)內(nèi)總機(jī)器數(shù)的一半，接著感染機(jī)器數(shù)量就持續(xù)下降，直至為0。說明在一個局域網(wǎng)內(nèi)，如果機(jī)器感染勒索病毒后，能夠及時修復(fù)，或者安裝補(bǔ)丁和殺毒軟件對病毒免疫，經(jīng)過一段時間的演化，整個網(wǎng)絡(luò)能夠恢復(fù)健康狀態(tài)。

當(dāng)其他參數(shù)不變，病毒感染后修復(fù)的概率下降為為2%，感染病毒后安裝補(bǔ)丁免疫概率為下降為2%時，經(jīng)過一段時間的演化，結(jié)果如圖2可看到，經(jīng)過一段時間的演化，局域網(wǎng)內(nèi)感染勒索病毒的機(jī)器數(shù)接近整個局域網(wǎng)的機(jī)器總數(shù)，在到達(dá)峰值后，經(jīng)過長時間的演化，整個局域網(wǎng)才清除掉所有病毒。這說明如果局域網(wǎng)內(nèi)機(jī)器被勒索病毒感染，并且沒有專殺工具，也不懂得安裝相關(guān)補(bǔ)丁免疫，會造成局域網(wǎng)內(nèi)幾乎所有機(jī)器感染，并持續(xù)較長時間。

當(dāng)其他參數(shù)不變，病毒傳染概率提升為5%，感染后修復(fù)的概率為2%，感染病毒后安裝補(bǔ)丁免疫概率為2%。在這樣的情況下，經(jīng)過一段時間的演化，結(jié)果如圖3可看出，當(dāng)病毒傳染概率提升時，在演化過程中，病毒在較短時間內(nèi)感染網(wǎng)內(nèi)所有機(jī)器，并經(jīng)過較長時間的演化，才能使整個局域網(wǎng)恢復(fù)健康狀態(tài)。

當(dāng)其他參數(shù)不變，病毒傳染概率為5%，感染后修復(fù)的概率為2%，感染病毒后安裝補(bǔ)丁免疫概率下降為0時，經(jīng)過一段時間的演化，結(jié)果如圖4可看出，當(dāng)機(jī)器不能安裝相關(guān)補(bǔ)丁和殺毒軟件，對病毒免疫時，病毒很快就感染局域網(wǎng)內(nèi)所有機(jī)器，并一直持續(xù)，難以消除。

5 結(jié)論

終上所述，我們可以得出：在勒索病毒傳播過程中，病毒傳播概率，計算機(jī)感染病毒后修復(fù)概率，計算機(jī)感染病毒后安裝補(bǔ)丁免疫概率，對于病毒在局域網(wǎng)內(nèi)傳播速度，病毒影響到的計算機(jī)數(shù)量，病毒在局域網(wǎng)內(nèi)持續(xù)時間，均有重要的影響。建議局域網(wǎng)內(nèi)的計算機(jī)，及時安裝補(bǔ)丁和殺毒軟件，關(guān)閉Windows共享功能，以減少病毒傳播途徑。加強(qiáng)對可疑電子郵件的防范，不打開可疑電子郵件及附件。在局域網(wǎng)內(nèi)謹(jǐn)慎使用移動設(shè)備，對移動設(shè)備進(jìn)行定期維護(hù)和殺毒。[4]同時及時進(jìn)行數(shù)據(jù)備份，減少病毒感染后帶來的損失。

項目：青島市軟科學(xué)研究計劃“投貸聯(lián)動等科技金融服務(wù)模式創(chuàng)新研究”（16-5-2-1-（12）-CHX）

參考文獻(xiàn)

[1] 王峰.新一輪勒索病毒再襲，中國搭建多層次預(yù)警應(yīng)對體系[N].21世紀(jì)經(jīng)濟(jì)報道，2017.

[2] 徐新.病毒防治安全技術(shù)在計算機(jī)局域網(wǎng)中的有效運(yùn)用[J].電子技術(shù)與軟件工程，2016（24）：214-214.

[3] Stonedahl F，Wilensky U.NetLogo virus on a network model[CP/OL]. http：//ccl.northwestern.edu/netlogo/models/Viruso？naNetwork，2008-07-11.

[4] 金重振，葛萬龍.局域網(wǎng)勒索病毒的防護(hù)策略研究[J].信息與電腦，2017（18）：217-218.