网络蠕虫仿真研究

　　1　引言

　　网络蠕虫是一种恶意的计算机程序,能够不断进行自我复制,并且通过网络进行传播,对网络和计算机造成严重破坏。2001年Code Red蠕虫爆发,在爆发后的9小时内攻击了25万台计算机,造成的经济损失超过20亿美元。2003年Slammer蠕虫爆发,在短短十分钟内感染了90%的存在系统漏洞的SQL服务器,造成美国大多数银行ATM网络的瘫痪。

　　目前蠕虫爆发的频率越来越快,几乎每年都有新的蠕虫出现。更为可怕的是,传播速度更快、危害更大的蠕虫完全可以实现[1]。

　　鉴于网络蠕虫的巨大危害性,目前已经成为网络安全领域的一个研究热点。但是,由于网络蠕虫传播范围非常广,而且具有突发性和破坏性的特点,所以通过在真实网络环境中观测和重放蠕虫来研究其传播特性是不可行的。因此采用仿真和建模的手段就成了蠕虫研究领域的一个热点方向。

　　然而,传统的蠕虫传播解析模型存在参数选取上的限制和保真度上的不足。针对这些不足,本文提出了蠕虫传播特性的仿真模型,并确定了蠕虫仿真的参数。在通用仿真平台上,构建了一个具有高保真度的、完全数据包级别的蠕虫仿真系统。该蠕虫仿真系统可以考虑各种蠕虫特性参数和网络环境参数,分析它们对蠕虫传播的影响,并在仿真规模和仿真保真度上取得了较好的平衡。相比于蠕虫传播解析模型,该系统能够设置更多的参数,考虑得更加全面,所得的结果更加符合实际情况。

　　2　蠕虫传播解析模型

　　蠕虫传播解析模型是蠕虫传播特性研究最常用的一种方法。它通过一组微分方程或离散的递归表达式,来描述蠕虫在网络中传播的动态过程。目前提出的解析模型有SI模型、双因素模型[2][3]、以及AAWP模型[4]等。

　　在SI模型中,网络中每台主机可以有两种状态:易感染状态和被感染状态。被感染主机数量的变化可以表示为:

　　dI(t) /dt = sI(t)[N -I(t)]　　 (1)

　　其中I(t)表示t时刻被感染的主机数量,N表示网络中所有脆弱主机的总数, s表示主机的感染率。

　　蠕虫传播解析模型的最大优点是计算效率高。解析模型的计算量与网络规模基本无关。正是由于高计算效率,蠕虫传播解析模型可以很快地对蠕虫传播过程进行定性分析,获取蠕虫传播的整体特性。

　　但是这种方法也存在一定的局限性。首先,解析模型能够考虑的参数数量比较少,一旦增加参数的个数,解析模型的复杂度将会成倍地增加,给分析带来很大的难度。其次,解析模型对参数的选取有限制,对一些网络参数,例如网络拓扑结构、网络延迟、数据包丢失等因素对蠕虫传播的影响无法进行分析。