基于动态检测隔离机制的网络蠕虫传播模型与分析

提出一种基于动态检测隔离机制的通用网络蠕虫传播模型,该模型定义了蠕虫在隔离阶段的可疑状态,显式地刻画了蠕虫动态检测隔离过程;并利用动态蠕虫感染率和动态主机移除率、主机自动免疫率分别描述了蠕虫传播造成的网络拥塞现象和人类在对抗蠕虫病毒过程中的主观能动性.分析表明,基于动态检测隔离机制系统可有效降低蠕虫传播速度,减少被感染主机数,延迟蠕虫传播峰值出现的时间.     

基于阴性选择的网络蠕虫抑制模型

基于免疫系统的阴性选择机制,提出一种网络蠕虫抑制模型。通过主机的程序行为异常,检测蠕虫攻击并及时响应,允许主机进行大部分的正常网络通信,防止蠕虫通过主机继续传播。主机发出基于阴性选择过滤的网络服务请求,依据蠕虫的传播特征,网络主机之间相互协同,推断蠕虫所攻击的服务并进行限制。实验结果表明,该模型能有效检测并抑制传统蠕虫及拓扑蠕虫等传播隐秘的新型蠕虫。     

基于SEIPQR模型的工控蠕虫防御策略

随着社会的发展和技术的进步,计算机病毒也发生了进化,变得越来越复杂,越来越隐蔽。其中蠕虫病毒更是最早的计算机病毒发展进化成为可以在工控系统上感染并进行传播的工控蠕虫病毒,极大影响工业生产的安全。单一的网络隔离或者打补丁免疫,已经跟不上蠕虫病毒的传播速度。针对该现状,分析蠕虫病毒在工控系统上的传播方式以及特点,在原有网络隔离和补丁的基础上提出一种针对工控蠕虫的防御策略,以达到有效防御蠕虫病毒的目的。该防御策略基于传染病模型的基本思想提出了一个模拟蠕虫传播趋势的数学模型 SEIPQR。该模型包含易感染（susceptible）状态、暴露（exposed）状态、打补丁（patched）状态、感染（infected）状态、隔离（quarantine）状态以及免疫（recovered）状态 6 种状态,创建模型的 6 种状态转换图,对状态转换图得到微积分方程组,在系统设备数量一定的情况下,对方程组进行变换,通过求解基本再生数R0的方法对方程组进行求解,并分析当暴露主机和感染主机的数量为0时模型的6种方程表达式,根据Routh-Hurwitz准则得出当R₀＜1时,系统是渐进稳定的;当R₀＞1时,系统是不稳定的。通过数值仿真对比在不同打补丁概率、不同隔离率以及不同感染率3种情况下SEIPQR模型的动力学特性,并得到模型的无病平衡点和地方病平衡点。数据仿真结果表明,在整个系统感染蠕虫病毒时,对易感染设备及时地打补丁以及进行网络隔离可以有效抑制工控蠕虫的传播。     

基于免疫主机的蠕虫非线性传播新模型优化

基于Two-Factor传播模型提出了一种新的QSIRV传播模型,该模型更合理地考虑了被免疫主机的失效性。通过仿真得出,QSIRV模型较Two-Factor模型能够更好地描述蠕虫的传播规律以及传播过程中网络流量和蠕虫流量之间的相互影响,尤其是对免疫后的主机数目变化的仿真更是符合实际情况,同时考虑了已隔离、免疫及被感染主机的数量的影响以及人们对蠕虫传播的警惕性的提高。对QSIRV模型进行了进一步的改进。仿真结果验证,改进后的模型可以更快地遏制蠕虫传播。     

SIRS蠕虫传播模型及其分析

提出SIRS蠕虫传播模型并对其稳定性进行分析,当R0<1时,网络最终将处于“无病”状态,当R0>1时,将出现蠕虫“地方病”。利用CAIDA提供的蠕虫数据进行检验,结果表明模型与实际数据吻合。基于该模型,分析了主机不能保持免疫力、感染蠕虫后及时关机或断开网络、主机主动免疫等不同策略对蠕虫控制的影响。     

基于本地网保护的蠕虫防御系统研究

为了阻止外网蠕虫向本地网的传播,设计了一个基于本地网保护的蠕虫防御系统.该系统通过监测外部主机连接本地网的连接强度、端口相似度和失败比率等统计信息预警蠕虫扫描行为和可疑外部主机,通过检测和丢弃来自可疑主机的蠕虫攻击包防御蠕虫向本地网传播.为了提高系统效率和减少系统对正常网络活动的影响,蠕虫攻击包检测采用了源地址跟踪和蠕虫特征匹配两级检测.最后建立了该蠕虫防御系统保护下的本地网蠕虫传播模型,并通过仿真实验验证了系统的有效性.     

基于NS-2的蠕虫病毒仿真

采用混合仿真方法,分别针对抽象的和具体的网络模型,基于NS-2仿真平台,实现了蠕虫的SIR传播模型,按照主机易感→感染→免疫的方法对不同的拓扑结构进行了仿真。最后,通过该仿真系统实验分析了拓扑结构对蠕虫传播的影响。仿真实验结果表明,拓扑结构对蠕虫的传播有影响。     

一种网络蠕虫的动态传播模型

研究蠕虫病毒的传播模型是为了更好地揭示蠕虫传播的规律,预测蠕虫爆发的规模。由于对影响蠕虫传播的因素考虑得不够周详,现有的传播模型还不能很好地模拟蠕虫的传播。针对网络蠕虫的具体传播过程,提出一种模型将网络环境变化和用户免疫过程对蠕虫传播的影响考虑进来,定义了新的感染率函数和免疫率函数,提出了蠕虫传播的动态模型。仿真实验表明,该模型能够较好地预测蠕虫的传播,具有一定的有效性。     

拓扑相关蠕虫仿真分析

从蠕虫传播的漏洞主机发现、代码传播以及代码启动3个方面提出了一个完整的数据包级拓扑相关蠕虫仿真模型,设计了基于有向图的SmallWorld拓扑结构生成算法,并通过选择性抽象在NS2上实现了一个完整的数据包级拓扑相关蠕虫仿真系统.最后,通过该仿真系统实验分析了逻辑拓扑结构和蠕虫代码启动方式对蠕虫传播的影响.仿真实验结果表明,该仿真系统可以为拓扑相关蠕虫研究提供重要的支持.     

基于延缓蠕虫传播的集中控制反馈模型

蠕虫可以传播自身的副本,并且能够在远端机器上执行代码,是一种智能化、自动化的攻击载体。它会扫描和探测网络上存在服务漏洞的节点主机,一旦渗透成功会自我复制许多副本,通过网络传播从一个节点到另外一个节点。提出一种集中控制网络安全组件的反馈模型,能够自我学习,抵御不断产生的病毒。同时采用延迟机制阻碍蠕虫的传播扩散,保证网络不因蠕虫的爆发而陷入瘫痪。与以往的防病毒软件相比,该模型无需对蠕虫病毒有任何了解,它基于网络的状态而非内容。仿真结果表明,应用了该模型的网络其稳定状态得到保证。     

蠕虫预警及非线性传播模型优化

目前已有一些蠕虫检测系统利用蠕虫传播特性进行检测,误报率高,不能对大范围网络进行检测。为此,首先对蠕虫传播模型进行了分析和优化,提出了新蠕虫分布式传播模型。针对该模型提出了分布式蠕虫检测技术,亦即采用基于规则的检测方法监控网络蠕虫,控制台管理和协调多个检测端的工作。实验结果表明,该方法能够很好地预警蠕虫的传播行为并进行监控和报警,具有高检测率和低误报率。     

网络蠕虫扩散建模的研究

使用微分方程来分析蠕虫扩散的情况．以达到描述蠕虫传播规律的目的。提出一种简单而且有效的ASIR模型来描述蠕虫和良性蠕虫的动态交互过程,详细论述ASIR模型的思想和属性．对该模型进行详细的理论分析,通过仿真试验和实际网络数据验证了该模型的有效性。     

网络蠕虫传播模型的分析与仿真研究

研究网络安全问题,网络蠕虫是当前网络安全的重要威胁。网络蠕虫传播途径多样化、隐蔽性强、感染速度快等特点。蠕虫模型以简单传染病模型进行传播,无法准确描述网络蠕虫复杂变化特点,网络蠕虫检测正确率比较低。为了提高网络蠕虫检测正确率,提出一种改进的网络蠕虫传播模型。在网络蠕虫传播模型引入动态隔离策略,有效切断网络蠕虫传播途径,采用自适应的动态感染率和恢复率,降低网络蠕虫造成的不利影响。仿真结果表明,相对于经典网络蠕虫传播模型,改进模型有效地加低了网络蠕虫的传播速度,提高网络蠕虫检测正确率和整个网络安全性,为网络蠕虫传播研究提供重要指导。     

基于SSFNet的蠕虫传播细粒度建模与仿真

流行病模型由于未考虑网络的各种因素,保真度较低.混合级建模能够对部分子网进行包级别的建模,但对蠕虫行为仍采用宏观建模,难以表现蠕虫本身的流量及其与背景流量间的互作用.针对现有方法的缺陷,本次研究设计并实现了保真度更高的基于SSFNet的蠕虫传播细粒度建模与仿真方法.该方法对蠕虫的主要功能模块进行了细节建模,能够反映网络拓扑、背景流量,以及扫描策略等因素,既有效地模拟了蠕虫在一定拓扑中的扩散,又能体现蠕虫传播给网络带来的影响.     

基于搜索引擎蠕虫的分析与检测

目前,蠕虫已经成为了互联网络安全的最大威胁,蠕虫攻击、扫描技术经过不断的发展和改进,已经日趋智能化、隐蔽化。搜索引擎被人们用来在Internet上检索感兴趣的东西,同样也会被蠕虫利用进行攻击和传播。利用互联网络的搜索引擎进行攻击和传播的蠕虫,实现了隐蔽、小流量、准确地传播。文章首先分析了这类基于搜索引擎的蠕虫的特征,然后提出了用户检索模型和异常判定算法,经过实验证明,此种检测方法确实高效可行。     

Contagion蠕虫传播仿真分析

Contagion 蠕虫利用正常业务流量进行传播,不会引起网络流量异常,具有较高的隐蔽性,逐渐成为网络安全的一个重要潜在威胁.为了能够了解Contagion蠕虫传播特性,需要构建一个合适的仿真模型.已有的仿真模型主要面向主动蠕虫,无法对Contagion蠕虫传播所依赖的业务流量进行动态模拟.因此,提出了一个适用于Contagion蠕虫仿真的Web和P2P业务流量动态仿真模型,并通过选择性抽象,克服了数据包级蠕虫仿真的规模限制瓶颈,在通用网络仿真平台上,实现了一个完整的Contagion蠕虫仿真系统.利用该系统,对Contagion蠕虫传播特性进行了仿真分析.结果显示:该仿真系统能够有效地用于Contagion蠕虫传播分析.     

网络实验室蠕虫病毒监测系统研究

通过对网络蠕虫传播机制的研究，设计一种自动诱捕网络蠕虫的监测系统，在系统受到病毒感染时，及时准确地分离出病毒体，然后将病毒特征码提取出来并发布到网络中，让其他计算机更新后实现联动效果，实现了从被动防御转向主动防御的过程，从而达到了自动免疫或清毒的目的。     

基于分布式蜜网的蠕虫传播模型研究*

为有效防范蠕虫传播所带来的日益严峻的安全威胁,主动防护技术—分布式蜜网被应用到网络中以保障网络安全。分布式蜜网下的蜜罐对蠕虫表现出强诱骗性和“宽进严出”的数据控制策略等特性,影响到蠕虫的传播及控制。基于双因子模型,考虑到分布式蜜网下的蜜罐特性和Internet的无标度网络特性,提出基于分布式蜜网的蠕虫传播模型,并进行了分析;通过模拟实验对模型进行验证,以探讨部署分布式蜜网下的蠕虫传播规律。实验结果表明,部署分布式蜜网不但能第一时间捕获蠕虫样本,而且能减少网络中感染蠕虫主机总数、具备感染能力的最大主机数等