僵尸網(wǎng)絡(luò)(botnet)是攻擊者(botmaster)出于惡意目的，通過(guò)傳播僵尸程序控制網(wǎng)絡(luò)中的大量節(jié)點(diǎn)，通過(guò)一對(duì)多的命令與控制信道(Command and Control， C&C)形成的有組織的覆蓋網(wǎng)絡(luò)[1]。被控制的大量節(jié)點(diǎn)稱(chēng)為僵尸機(jī)(bot)。

　　摘要：為了有效控制自愿式P2P僵尸網(wǎng)絡(luò)的大規(guī)模爆發(fā)，從動(dòng)力學(xué)的角度研究了僵尸網(wǎng)絡(luò)的傳播規(guī)律。首先，根據(jù)僵尸網(wǎng)絡(luò)的形成過(guò)程，建立了一個(gè)時(shí)滯微分方程模型;其次，通過(guò)詳細(xì)的數(shù)學(xué)分析得出了有效控制僵尸網(wǎng)絡(luò)的閾值表達(dá)式;最后，數(shù)值模擬驗(yàn)證了理論分析的正確性。理論分析和實(shí)驗(yàn)結(jié)果均表明，當(dāng)基本再生數(shù)的值小于1時(shí)，僵尸網(wǎng)絡(luò)可以被完全控制;否則，安全防御措施只能減小僵尸網(wǎng)絡(luò)的規(guī)模。模擬結(jié)果還表明，降低僵尸程序的感染率或提高網(wǎng)絡(luò)節(jié)點(diǎn)的免疫率，可以有效控制僵尸網(wǎng)絡(luò)的爆發(fā)。實(shí)際網(wǎng)絡(luò)管理中，可以通過(guò)不均勻分布網(wǎng)絡(luò)節(jié)點(diǎn)、及時(shí)下載漏洞補(bǔ)丁等措施控制僵尸程序的傳播。

　　關(guān)鍵詞：P2P僵尸網(wǎng)絡(luò);網(wǎng)絡(luò)安全;動(dòng)力學(xué);病毒模型;計(jì)算機(jī)病毒

　　0 引言

　　僵尸主人利用大量被控制的僵尸機(jī)進(jìn)行網(wǎng)絡(luò)破壞活動(dòng)，比如：發(fā)送垃圾郵件、信息竊取、分布式拒絕服務(wù)襲擊等[2]。目前僵尸網(wǎng)絡(luò)已成為Internet最大的威脅之一。

　　傳統(tǒng)僵尸網(wǎng)絡(luò)采用集中式的命令與控制結(jié)構(gòu)，一旦中央節(jié)點(diǎn)被破壞，整個(gè)僵尸網(wǎng)絡(luò)將陷入癱瘓狀態(tài)。相比之下，P2P(Peer-to-Peer)僵尸網(wǎng)絡(luò)采用分布式的命令與控制結(jié)構(gòu)，這種結(jié)構(gòu)可以有效隱藏它們的通信，不會(huì)因?yàn)橐粋�(gè)節(jié)點(diǎn)被破壞，就導(dǎo)致整個(gè)網(wǎng)絡(luò)無(wú)法正常工作。因此，近年來(lái)，許多僵尸主人轉(zhuǎn)移策略到P2P僵尸網(wǎng)絡(luò)上，出現(xiàn)了大量諸如：Trojan.Peacomm，Storm botnet等P2P僵尸網(wǎng)絡(luò)[3]，對(duì)網(wǎng)絡(luò)安全造成了嚴(yán)重威脅。為了有效預(yù)防與控制P2P僵尸網(wǎng)絡(luò)的傳播，許多網(wǎng)絡(luò)安全專(zhuān)家已作了大量有價(jià)值的研究[4-10]。文獻(xiàn)[4]從可達(dá)性、可擴(kuò)展性和魯棒性等方面詳細(xì)分析了Antbot(一種新興的P2P僵尸網(wǎng)絡(luò))的執(zhí)行過(guò)程，并且提出了實(shí)踐中可行的、減輕Antbot破壞活動(dòng)的方法。文獻(xiàn)[5]提出了一個(gè)均勻場(chǎng)模型，在此模型基礎(chǔ)上分析了P2P僵尸網(wǎng)絡(luò)傳播的動(dòng)力學(xué)行為，并且和采用軟件模擬的方法進(jìn)行了比較。文獻(xiàn)[6]提出一個(gè)針對(duì)storm worm P2P僵尸網(wǎng)絡(luò)的隨機(jī)模型，基于該模型分析了恢復(fù)率和初始感染率等因素對(duì)僵尸網(wǎng)絡(luò)最終感染規(guī)模的影響。文獻(xiàn)[7]研究了未來(lái)高級(jí)僵尸網(wǎng)絡(luò)的襲擊技術(shù)，并且設(shè)計(jì)了一個(gè)混合P2P僵尸網(wǎng)絡(luò)來(lái)研究它的防御方法;結(jié)果表明，蜜罐技術(shù)對(duì)預(yù)防未來(lái)高級(jí)僵尸網(wǎng)絡(luò)的爆發(fā)有很好的作用。文獻(xiàn)[9-10]著重研究了僵尸網(wǎng)絡(luò)的檢測(cè)技術(shù)。

　　已有工作中，很少有通過(guò)數(shù)學(xué)模型刻畫(huà)僵尸網(wǎng)絡(luò)傳播行為的研究�？紤]到數(shù)學(xué)建模對(duì)研究計(jì)算機(jī)病毒傳播過(guò)程的有效性，本文根據(jù)文獻(xiàn)[11]提出的自愿式僵尸網(wǎng)絡(luò)(Leeching botnet)的形成過(guò)程建立一個(gè)時(shí)滯微分方程模型，并且從數(shù)學(xué)的角度分析其傳播動(dòng)力學(xué)行為。

　　1 模型建立

　　一個(gè)自愿式僵尸網(wǎng)絡(luò)的形成過(guò)程分為兩個(gè)階段[11]：

　　第一階段 僵尸主人從整個(gè)Internet中感染存在漏洞的節(jié)點(diǎn);

　　第二階段 新感染的節(jié)點(diǎn)正式加入已存在的僵尸網(wǎng)絡(luò)和其他節(jié)點(diǎn)連接，成為一個(gè)僵尸機(jī)。

　　為了準(zhǔn)確刻畫(huà)自愿式僵尸網(wǎng)絡(luò)的傳播動(dòng)力學(xué)，本文采用考慮潛伏期的SEIR(Susceptible-Exposed-Infected-Recovered)流行病模型。模型4種狀態(tài)的含義如下。

　　1)S為易感染狀態(tài)。表示網(wǎng)絡(luò)中的節(jié)點(diǎn)(終端用戶(hù)、路由器或網(wǎng)絡(luò)服務(wù)器)存在漏洞但是還沒(méi)有被僵尸程序感染。

　　2)E為潛伏狀態(tài)。表示網(wǎng)絡(luò)中的節(jié)點(diǎn)已經(jīng)被計(jì)算機(jī)病毒感染，但是不具備感染其他節(jié)點(diǎn)的能力。本文中表示節(jié)點(diǎn)已經(jīng)被僵尸程序感染，但是還沒(méi)有正式加入已存在的自愿式僵尸網(wǎng)絡(luò)中。

　　3)I為感染狀態(tài)。表示網(wǎng)絡(luò)中的節(jié)點(diǎn)已經(jīng)被計(jì)算機(jī)病毒感染并且可以感染其他節(jié)點(diǎn);本文中表示節(jié)點(diǎn)已經(jīng)正式加入到自愿式僵尸網(wǎng)絡(luò)中。

　　4)R為恢復(fù)狀態(tài)。表示網(wǎng)絡(luò)中的節(jié)點(diǎn)已經(jīng)采取了免疫措施，不會(huì)被僵尸程序感染。

　　在任意時(shí)刻，網(wǎng)絡(luò)中任一節(jié)點(diǎn)處于這4種狀態(tài)中其中一種，并且在僵尸程序以及反病毒程序的作用下，隨時(shí)間在這4種狀態(tài)之間進(jìn)行轉(zhuǎn)化，具體轉(zhuǎn)化過(guò)程如圖1所示。

　　圖6反映了感染率對(duì)僵尸網(wǎng)絡(luò)傳播規(guī)模有很大影響，當(dāng)κ取0時(shí)，感染率是一常數(shù)(初始感染率β0)，κ的值越大，感染率越小，僵尸網(wǎng)絡(luò)傳播的最終規(guī)模也越小。因此，降低感染率是有效控制僵尸網(wǎng)絡(luò)傳播規(guī)模的一個(gè)有效辦法。實(shí)際網(wǎng)絡(luò)管理中，可以通過(guò)不均勻分布易感染節(jié)點(diǎn)、斷開(kāi)已感染節(jié)點(diǎn)、安裝反病毒軟件等方法實(shí)現(xiàn)感染率的降低。

　　4 結(jié)語(yǔ)

　　P2P僵尸網(wǎng)絡(luò)的大規(guī)模傳播已經(jīng)對(duì)網(wǎng)絡(luò)安全造成了嚴(yán)重影響。本文根據(jù)Leeching botnet的形成過(guò)程建立了一個(gè)新的動(dòng)力學(xué)模型，通過(guò)定性的數(shù)學(xué)分析找出了消除僵尸網(wǎng)絡(luò)的臨界值——基本再生數(shù)，最后通過(guò)Matlab數(shù)值模擬驗(yàn)證了理論分析的正確性。模擬結(jié)果表明：1)時(shí)滯τ的大小與僵尸網(wǎng)絡(luò)傳播達(dá)到穩(wěn)定狀態(tài)所需時(shí)間是成正比的，但是τ的大小不影響僵尸網(wǎng)絡(luò)最終規(guī)模的大小;2)節(jié)點(diǎn)從E狀態(tài)轉(zhuǎn)化為I狀態(tài)的比例越大，僵尸網(wǎng)絡(luò)最終達(dá)到的規(guī)模就越大。本文的結(jié)果可以為有效預(yù)防和消除僵尸網(wǎng)絡(luò)的爆發(fā)提供良好的理論基礎(chǔ)。今后收集真實(shí)數(shù)據(jù)驗(yàn)證并且不斷完善該模型是進(jìn)一步的工作。

　　參考文獻(xiàn)：

　　[1]FENG L， HAN Q， WANG H，et al. Effective immune measure on P2P botnet [J]. Journal of Computer Applications， 2012， 32(9)： 2617-2619.(馮麗萍，韓琦，王鴻斌，等.P2P僵尸網(wǎng)絡(luò)的有效免疫措施[J].計(jì)算機(jī)應(yīng)用，2012，32(9)：2617-2619.)

　　[2]JIANG J， ZHUGE J， DUAN H，et al. Research on botnet mechanisms and defenses [J]. Journal of Software， 2012， 23(1)： 82-96.(江健，諸葛建偉，段海新，等.僵尸網(wǎng)絡(luò)機(jī)理與防御技術(shù)[J]. 軟件學(xué)報(bào)，2012，23(1)： 82-96.)

　　閱讀期刊：《信息網(wǎng)絡(luò)》

　　《信息網(wǎng)絡(luò)》(月刊)創(chuàng)刊于2002年，是由信息產(chǎn)業(yè)部主管、中國(guó)電信集團(tuán)公司主辦的公開(kāi)發(fā)行的綜合性行業(yè)期刊�！缎畔⒕W(wǎng)絡(luò)》宣傳中國(guó)電信的業(yè)務(wù)發(fā)展和經(jīng)營(yíng)管理成就，同時(shí)緊跟產(chǎn)業(yè)發(fā)展趨勢(shì)，報(bào)道通信新技術(shù)、新業(yè)務(wù)的發(fā)展與應(yīng)用，探討現(xiàn)代通信業(yè)的管理理念，把握行業(yè)市場(chǎng)脈絡(luò)，提供通信行業(yè)的新信息。榮獲信息產(chǎn)業(yè)部?jī)?yōu)秀科技期刊二等獎(jiǎng)。

轉(zhuǎn)載請(qǐng)注明來(lái)自：http://www.jinnzone.com/tongxinlw/59678.html