局域网中蠕虫病毒流量的研究

2009年第8期 中图分类号：TP393．08文献标识码：A 文章编号：1009一z55z(2009)08—0014—04 局域网中蠕虫病毒流量的研究 吴海城，陆松年 (上海交通大学电子工程系上海市信息安全综合管理技术研究重点实验室，上海200240) 摘要：中小型局域网是蠕虫病毒最容易突破的一个薄弱环节。以Slammer蠕虫病毒作为研究样 本，研究了蠕虫病毒所产生的网络流量对局域网带来的影响。首先从理论上进行了，之后 使用NS2网络仿真软件建立了一个局域网网络仿真模型来辅助进行分析，其中使用到了SI模型。 仿真的结果符合之前的理论分析以及真实的统计数据。 关键词：蠕虫病毒；网络仿真；SI模型；NS2；局域网 ResearchOnwormvirusflowinLAN WUHai．cheng．LUSong．nian (I)eparlnmatofElectronicrngir唑ring，ShanghaiJ'motongUniversity， ShangllaiInformafimSecuritySynthesisManagementTechnologyKeyLab，Shanghai200240，China) Abstract；：FromthehistoryofIntemetwonTIinfestations，thesmallormiddlescaleLANisespecially vulnerabletothehazardoftheWOnTl．TakingSlammera8researchtarget，thepaperdedicatestorevealthe won'n’simpact013．LANthroughtheresearchofthetraf矗cinvokedbywon'n8．Thepaperfirstlytheoretically analyzesthetrafficandthenu9esNS2todesignaLANscenariotosimulatetheprocessofthepropagationof SlammerWOITninaLAN．Theresultofthesimulationisinaccordancewiththetheoreticalanalysisandthe realstatistics． Keywords：wonllvirus；networksimulation；SImodel；NS2：LAN 0 引言 自1988年Moms释放有史以来第一个恶意蠕 虫病毒后⋯，新的蠕虫病毒层出不穷，造成的危害和 影响力也远远超过传统病毒。 在Slammer蠕虫病毒之前，中小型局域网对蠕 虫病毒的研究来说并不是一个热点，因为对于扫描 型的蠕虫病毒来说，一个扫描包找到某个局域网内 有“漏洞”的计算机的概率是非常小的。但是对于一 个像Slammer蠕虫病毒一样，能够在10分钟内感染 将近75，000台计算机的蠕虫病毒，一个小时就能够 使一个拥有20，000台主机的局域网全部受到感 染瞳j。而且，对于家庭或小型企业来说，由于缺少专 业管理人员和防护设备，他们更容易受到蠕虫病毒 的侵袭旧】。这些中小用户的安全对于整个Intemet 来说和其他用户是同样重要的。这就像在瘟疫中， 一个容易被感染的个人，不管他有什么样的社会地 ——14一 位，他都会让其余人都处于危险的境地。所以，中小 型局域网值得成为蠕虫病毒研究所关注的对象。 本文将目光对准了蠕虫病毒对局域网的影响。 主要研究蠕虫病毒爆发期间特定的局域网内网络流 量的变化情况。为了能够更好地进行分析，本文设 计了一个局域网仿真模型。主要工作包括：选择合 适的蠕虫病毒作为研究样本，对蠕虫病毒的流量进 行理论分析，用NS2仿真软件来模拟该蠕虫病毒的 行为以及分析仿真结果。 l研究样本的选取 选择合适的研究样本的标准应该包含如下两 条：一是具有明确的过程，向网络发送数据包的时 间，流量以及目的地址都能够定量描述；二是对于蠕 收稿日期：2008—1l一13 基金项目：自然基金项目资助(B1632A) 作者简介：吴海域(19。04一)，男，硕士研究生，主要研究方向为网络 安全、网络仿真。 万方数据 虫病毒在Intemet上的行为有详实的数据记录。 对于第一个标准，使用UDP并随机选择目 的地址的Slammer蠕虫病毒【21是最理想的，这是因 为：①对于使用TCP协议的蠕虫病毒来说，哪些随 机地址能够连接上(会发送数据量较大的病毒)，哪 些随机地址连接不上(只会反复发送SY'N数据包)， 很难进行量化描述。对于那些不是随机选择网络地 址的蠕虫病毒来说，要更加困难。②Slammer蠕虫的 病毒体很小，一个扫描包只有404字节。而对于那 些病毒体较大的蠕虫病毒，还要考虑分片的影响，对 于TCP协议来说，每次分片的情况还不一样。 ③Slammer蠕虫病毒没有使用多个线程，操作系统对 其影响较小。对于那些使用多个线程的蠕虫病毒来 说，线程间切换，内存的使用对于流量都有影响。 ④Slarmner蠕虫病毒除了自身传播以外，不会引起其 它的网络流量或者使得操作系统忙于处理其它功能 而改变发送扫描包的速度。 对于第二个标准，CAIDA的网络望远镜计划能 够提供所需要的数据。综合上述两点，Slammer蠕虫 病毒是比较合适的研究样本。 2 局域网中蠕虫病毒流量的理论分析 蠕虫病毒产生的流量可以分为两部分进行讨 论：一部分是由于局域网内部被感染的计算机产生 的流量，另一部分是Intemet上蠕虫病毒产生的扫描 包落入到局域网的部分。 2．1局域网内部流量的分析 局域网中，一台被蠕虫病毒感染的机器产生的流 量和下列三个参数有关：①每个扫描包的大小(Pack． etSize)；②蠕虫病毒用于传播的线程数目(Thread)； ③蠕虫病毒单个线程发送扫描包的速率(Rate)。一 台中毒的计算机产生的网络流量(础ic)为： Traffic=PacketSize×Thread×Rate(1) 对于Slammer蠕虫病毒来讲，每个扫描包有404 字节，只使用一个线程来发送扫描包。至于发包速 度，据记载，最快的计算机每秒能发送26，000个扫 描包。而从整个Intemet上来讲，平均速率为每秒 4。000个【2J。本文中，无论是理论分析还是网络模 型，都将使用4，000这个数据。至此，利用式(1)就 能得到一台中毒计算机产生的网络流量： Traffic=404×4000=l，616，000Byte／sec 如果网络内有Ⅳ台受到感染的计算机，那么最 终通向网络连接节点的流量还要乘以N(Slammer蠕 虫病毒挑选的随机地址落入同一局域网内的概率非 常低，可以忽略不计)。如果这个数据量足够大，那 么网络连接节点也将面临超负荷运转的考验。在这 种情况下，即使这个网络节点没有瘫痪，也会因此成 为局域网连接Intemet的一个瓶颈。除去巨大的网 络流量外，大量的数据包也会给网络带来负作用。 一般，一台网络连接设备每秒钟处理数据包的能力 是有限的。受到Slammer蠕虫病毒感染的计算机， 会以最快的速度发送扫描包，这对于网络设备来说 也是巨大的负担。 另外，由于Slammer蠕虫病毒发送的扫描包的 目的地址是随机生成的，这些“新”地址会引起大量 的“路由”数据包(例如ARP、ICMP数据包)。这些蠕 虫病毒爆发带来的“副产品”会进一步加剧网络的拥 塞状况。 2．2局域网外部流量的分析 感染局域网内部计算机的扫描包大都来自于局 域网外部。在蠕虫病毒的爆发期间，随着Intemet上 受到感染的计算机数目的增多，外网对局域网的影 响也是一个逐渐增长的过程，具体来说和以下因素 有关：①局域网内计算机的数目，IP地址的范围，局 域网中存在“漏洞”的计算机数目和它们的口地址， 局域网连入Intemet的方式；②Intemet上每个“自治 系统”(Intemet可以简单地认为是由许多个“局域 网”通过路由器连接到骨干网上，最后串成Intemet， 每一个“局域网”就是一个“自治系统”)的情况：每个 自治系统内包含的计算机数，使用的口地址的范 围，这些“自治系统”在组成Intemet时所用的拓扑结 构，以及蠕虫病毒爆发时的网络流量Ho；③Intemet 中可以被感染的计算机的数目，它们的口地址以及 它们在上述“自治系统”中的分布；④Intemet上受到 感染的计算机发送扫描包的速度；⑤蠕虫病毒的选 址策略；⑥蠕虫病毒爆发时，Intemet上受到感染的 计算机数目。 第①方面的参数，要根据研究需要而定。第 ②方面要求的Intemet拓扑信息以及口地址的分 布，可以从UniversityofOregon的RouteViewsProjects 获得b】。而蠕虫病毒爆发时每个AS的流量情况，则 缺乏记录。第③方面的数据也不是非常准确，有关 Slammer蠕虫病毒的统计只是实际情况的一个下限， 总有一些中毒机器是无法检测到的。 如果第②方面和第③方面的数据都能够得到的 话，就能够进行精确地计算或者在Intemet上进行基 于数据包的仿真。在这些数据要么无法获得，要么 不准确的情况下，只能采取近似地分析。 第④方面中发包速率，仍然沿用4000这个平均 数据。第⑤方面中的选址策略是完全随机选择毋地 址。假设t时刻Intemet上蠕虫病毒扫描包的个数为 rg(t)(n(t)=4000Ni(t))，局域网包含IP地址的数目 为咖池，IP地址空间的大小为iP训，那么落入到特定 一15— 万方数据 的局域网的扫描包数目的数学期望值为【4】： ：n层=，l(￡)×·rFlitt (2) tp训 而至于⑥中的计算机数目，CAIDA的“网络望远 镜”记录了Intemet上被Slammer蠕虫病毒感染的计 算机数目随时间变化的情况。但是，这样的海量数 据很难直接进行分析，需要进一步地处理，比如用适 当的数学模型来进行抽象。 本文中所采用的数学模型为SI模型，它来自于 传染病数学模型№]。它考虑的是大小固定为的群 体，这个群体中的每个个体总是处于以下三种状态： 易受感染的状态(s)，被感染的状态(I)或者是康复 状态(R)。对于一般的个体来说，转移过程为：S一卜， R。由于本文关注蠕虫病毒爆发阶段的传播情况， 因此就忽略R状态，此时的模型称为SI模型[4】。设 t时刻处于S，I状态的个体数在总体Ⅳ中所占比例 分别为s(￡)和i(t)，那么可以得到： s(t)+i(t)=1 (3) 根据Kermack—Mckendrick公式，J(f)，i(f)之间 的关系可以示为： ]ds(_t)：一g—s(￡)t～t￡)百2一Lo，‘， 1di(厂t)：$(￡)i(t) (4) (5) 其中卢是感染率参数，是指爆发初期一台中毒 计算机在单位时间内能够感染的计算机数目，对于 特定的蠕虫病毒来讲p是一个常数。方程组(3)，(4) 和(5)的解为： m)：篙南 m)=南 (6) (7) 式中的丁表示让一半的计算机感染所需的时 间。对于上述的i(t)来说，一旦有计算机受到感染， 就开始按指数增长。过了时间r以后，随着绝大多 数有“漏洞”的计算机都已经被感染，增长的速度开 始逐步放缓。CAIDA的记录表明，在05：40UTC时 蠕虫病毒感染了90％有“漏洞”的计算机，在05：33 UTC时蠕虫病毒传播速度的加速度达到顶峰幢】。如 果以05：30UTC为时间起点并以秒钟作为单位，有： i(600)=0．9 (8) i(180)=0．5 ． (9) 可以解得： p=黑 (10) T=3 (11) 一16～ 代入(6)中就能确定i(t)。而Ni(t)表示了t时 刻受到感染的计算机数，CAIDA一共记录到74，855 个中毒的IP：t也Jl_l：，所以令Ⅳ等于它。由1,21-这些数 据就能得到使用SI模型来表示的Slammer蠕虫病毒 的传播情况，如图1所示。 图1 Sl模型得到的Slammer蠕虫病毒的传播情况 对于有100台机器的局域网来说，峰值时每秒 进入局域网的扫描包的数量约为10个，大约4kB。 这和2．1节中所讨论的流量相比，差了三个数量级。 这说明，蠕虫病毒对局域网流量方面的影响主要来 自局域网内部的病毒扫描包，Intemet上的扫描包相 比只是一个次要因素。 与流量相比，Intemet对局域网的主要影响是让 局域网内有“漏洞”的计算机受感染。由于局域网内 互相传染的概率非常低，按每秒有10个扫描包会进 入局域网的例子来算，用不了几分钟就能让局域网 内所有存在“漏洞”的计算机都受到感染。具体需要 多少时间，可以用sI模型在局域网中进行分析得 到。但是对于局域网这样较小的群体，用随机模型 仿真更为恰当。 3 局域网中的蠕虫病毒仿真模型设计 在理论分析的基础之上，本文将进一步建立一 个NS2网络仿真模型。使用该模型能够更加直观 地观察蠕虫病毒对局域网的影响，方便地得到各种 数据。对这个网络模型进行适当地改动，还能用来 研究其它蠕虫病毒，或者用来检验各种防治预防蠕 虫病毒的措施。 本文中的局域网模型，同时也是NS2中所使用 的仿真场景如图2所示。该局域网采用的是星型以 太网，它包括1个中心节点(n一0)，100个局域网内 部节点(n—l至n100)。局域网中的节点通过中 心节点接入Intemet。和中心节点相连的节点 (n—101)为局域网外部节点。局域网中的节点假设 都具有Slammer蠕虫病毒所能攻击的“漏洞”，而局 万方数据 域网外的节点n一101用来代表Intemet上蠕虫病毒 的传播行为。 图2仿真场景 局域网内部存在“漏洞”的节点具有以下两个功 能：每秒发送4000个大小为404字节的数据包；能 随机选取每个数据包的目的口地址。另外，这些节 点是在受到Slananer蠕虫病毒扫描包的攻击之后， 才开始显现网络行为的，所以还要能够判断是否中 毒并能够改变自身的状态。除了模拟蠕虫病毒的行 为以外，本文还要求能够记录节点被感染的时间。 局域网的外部节点用来模仿Intemet对局域网 的影响，而要仿真全球规模蠕虫病毒的爆发是很困 难的。它受制于三方面的因素：Intemet本身的大规 模及多样性；蠕虫病毒爆炸性增长的特性；仿真模型 对内存的消耗以及仿真时间的长短【4J。因此，本文 不得不对蠕虫病毒在Intemet上的传播情况做出一 定的抽象简化，用SI模型来描述蠕虫病毒传播的 “宏观”情况。之前仿真场景中的n一101节点就是 用来模拟Slammer蠕虫病毒按照sI模型增长时，蠕 虫病毒对局域网的冲击情况。该节点每一秒钟先根 据SI模型计算出Intemet上扫描包的总数，每个扫 描包然后再随机生成目的地址，只有生成的地址是 在局域网的范围之内，才会从11．一101节点向局域网 发送一个数据包。 4仿真结果 本文中统计的数据包括局域网中受到感染的节 点数目，以及连接不同节点的链路上的流量。选取 的仿真时间均为20秒，这已经足够反映出蠕虫病毒 对网络造成的各种影响。 图3反映了局域网内蠕虫病毒传播的情况。从 图中可以看出，局域网中蠕虫病毒传播的趋势和 Intemet中一样满足先快速增长，在感染的节点数目 超过半数以后随着可感染的节点数目的减少，增长 速度逐步趋缓的特点。另外，局域网中100个易感 染的节点在三分钟内就全部感染了，显示了Slammer 蠕虫病毒快速传播的特点。 仿真的结果显示，来自局域网外部的蠕虫病毒 辐 稳 墨 嵌 镣 榴 图3局域网内受到感染的节点数目与时同关系图 扫描包的流量并不大，大约每秒2至10个数据包， 流量小于10kbps，在正常的网络应用中，完全可以忽 略不计。 局域网内部一个节点受到感染以后产生的流量 和预期一致，超过了一般的文件传输的网络流量。而 在中心节点处的流量为局域网内部节点的流量之和， 它随被感染的节点数的增加而快速增大，当被感染的 节点超过八个以后，就会达到百兆网络设备的极限。 5 结束语 本文研究蠕虫病毒对于局域网所造成的各种影 响。为了做到这一点，本文选择Slammer蠕虫病毒 作为研究样本，从理论上分析了它所产生的网络流 量，其中，使用SI模型来代表蠕虫病毒在Internet上 的传播情况。在获得了理论上的数据之后，使用 NS2网络仿真软件建立了一个局域网网络仿真模型 来分析蠕虫病毒的网络流量对于局域网产生的各种 影响，这个网络模型的意义在于：能够重现蠕虫病毒 爆发时的情景，弥补统计数据的缺失。能够用来研 究蠕虫病毒的各种特性。能够用来检验蠕虫病毒防 治措施的有效性。 参考文献： [1]$paffordEH．TheIntemetWorm：CrisisandAftennath，Communica· tionsoftheAcM[J]．1989，32(6)：678—687． [23DavidMoore。VemPaxson。StofanSavage，eta1．Smart$tanifoatand NichlesWeaver．InsidertheSlammerWorn[J]．IEEESecurity＆Pri· vacy．2003：33—39． [3]MooreD，Shannonc．CoMe-Red：A般audy011thespreadandvie- rimsof硼Intemetwonm[J]．Proc．ofthe2002ACMSICGOMMInter． netMea瓯Ⅱm咖tWorkshop∞htemetn把8目lnrler吐．2002：273—284． [43“b蜘M，YuanY，h舢BJ，el：e1．AMixedAbstractionLevd SimulationModelofLarge-ScalehtemetWormInl葫面咖[J]．Proc． ofMASCUIS’02。2002：109—116． [53MeyerD．UniversityofOresmRouteViewsProject[EB／OL]．hap：／／ arltc．uoregon．edu／ronte-viewff． [6JK蛳jo，VChiteSR．Measuringandmodelingcomputerviruspreva． Ionce[J]，['roe．0ftheIEEESyrap．∞SecurityandPrivacy。1993： 2—15． [7]noydS，PaxsonV．DifficultiesinSinralatingthetntemet[J]．IEEE／ AcMTram．Networking，2001，9(4)：392—403． 责任编辑：肖滨 一17一 万方数据 局域网中蠕虫病毒流量的研究 作者： 吴海城， 陆松年， WU Hai-cheng， LU Song-nian 作者单位： 上海交通大学电子工程系上海市信息安全综合管理技术研究重点实验室,上海,200240 刊名： 信息技术 英文刊名： INFORMATION TECHNOLOGY 年，卷(期)： 2009,33(8) 参考文献(7条) 1.Meyer D University of Oregon Route Views Project 2.Liljenstam M;Yuan Y;Premore B J A Mixed Abstraction Level Simulation Model of Large-Scale Internet Worm Infestations 2002 3.Moore D;Shannon C Code-Red:A case study on the spread and victims of an Internet worm 2002 4.David Moore;Vern Paxson;Stefan Savage Stuart Staniford and Nichlas Weaver,Insider the Slammer Worm [外文期刊] 2003 5.Spafford E H The Internet Worm:Crisis and Aftermath[外文期刊] 1989(06) 6.Floyd S;Paxson V Difficulties in Simulating the Internet 2001(04) 7.Kephart JO;White SR Measuring and modeling computer virus prevalence 1993 本文读者也读过(10条) 1. 赵迎春 局域网蠕虫病毒检测方法研究[期刊论文]-黑龙江科技信息2008(13) 2. 王文国.何裕友.Wang Wenguo.He Yuyou 网络蠕虫大规模爆发的早期检测技术研究[期刊论文]-电子技术 2010,47(6) 3. 王志东.刘志.杨云.Wang Zhidong.Liu Zhi.Yang Yun 一种基于网络拓扑的蠕虫病毒仿真模型研究[期刊论文]- 网络安全技术与应用2010(7) 4. 王跃武.荆继武.向继.刘琦.WANG Yue-Wu.JING Ji-Wu.XIANG Ji.LIU Qi 拓扑相关蠕虫仿真分析[期刊论文]-软 件学报2008,19(6) 5. 周绯菲.王文杰.郝晓冰.王观海.赵军.ZHOU Fei-fei.WANG Wen-jie.HAO Xiao-bing.WANG Guan-hai.ZHAO Jun 局域网防御蠕虫病毒的探讨[期刊论文]-河北师范大学学报（自然科学版）2009,33(1) 6. 林思明.程学旗.马铭.LIN Si-ming.CHENG Xue-qi.Ma-Ming 网络安全研究中的建模环境分析与实现[期刊论文]- 系统仿真学报2006,18(5) 7. 王康.朱磊明.杨智丹.WANG Kang.ZHU Lei-ming.YANG Zhi-dan Linux/Slapper蠕虫分析[期刊论文]-信息安全与 通信保密2008(10) 8. 黄敏桓.况晓辉.赵金晶.李津 网络蠕虫传播机理仿真环境构建技术[会议论文]-2010 9. 王旻.郑应平.WANG Min.ZHENG Ying-ping 病毒在复杂Internet网上的传播研究[期刊论文]-计算机应用 2005,25(11) 10. 杨丁 P2P文件共享型蠕虫传播模型及其仿真[学位论文]2008 本文链接：http://d.g.wanfangdata.com.cn/Periodical_xxjs200908004.aspx