劉波，王懷民，肖楓濤，陳新

（國防科技大學 計算機學院，長沙 湖南 410073）

1 引言

隨著以 Internet為代表的網(wǎng)絡及其承載的網(wǎng)絡應用日益表現(xiàn)出成長性、自治性和多樣性的特點[1]，在系統(tǒng)、網(wǎng)絡、應用以及管理等各個層面上暴露出來的大量漏洞或者脆弱性，導致以蠕蟲為代表的惡意代碼對網(wǎng)絡基礎(chǔ)設施以及網(wǎng)絡應用的破壞程度明顯增加。尤其是當蠕蟲在繼續(xù)保持了自我復制和主動傳播特性的同時，更多地將 Rootkit技術(shù)應用于自身的隱蔽，或者被攻擊者賦予了相應的通信能力，形成各種類型的僵尸網(wǎng)絡之后，惡意代碼已經(jīng)愈發(fā)成為影響網(wǎng)絡安全的最嚴重威脅之一。

從攻擊者的角度而言，在使用蠕蟲類惡意代碼實施網(wǎng)絡攻擊時，如何能夠在盡可能短的時間內(nèi)發(fā)現(xiàn)并且感染網(wǎng)絡中盡可能多的潛在攻擊目標通常是其追求的首要目標。即使攻擊者的最終意圖是形成具有某種控制結(jié)構(gòu)的惡意網(wǎng)絡，利用蠕蟲類惡意代碼的滲透傳播也是攻擊者感染網(wǎng)絡中大量脆弱性主機的主要途徑。因此，作為蠕蟲類惡意代碼研究的重要內(nèi)容之一，能否合理地建立蠕蟲傳播模型，使用數(shù)學建模的方法相對準確地反映蠕蟲在網(wǎng)絡中進行滲透傳播時其數(shù)量規(guī)模隨傳播時間而發(fā)生的動態(tài)變化，深入分析包括掃描策略在內(nèi)的多種因素可能對蠕蟲的滲透傳播過程產(chǎn)生的潛在影響，為更有針對性地開展蠕蟲防護、檢測以及抑制技術(shù)的研究提供必要的理論依據(jù)，對于有效地遏制蠕蟲類惡意代碼所形成的嚴重威脅具有極為重要的意義。

2 蠕蟲傳播模型的研究進展與分析

雖然在 Internet中爆發(fā)過的大量蠕蟲曾經(jīng)使用過隨機掃描、順序掃描、本地優(yōu)先掃描、內(nèi)部目標列表掃描、外部目標列表掃描等多種不同的掃描策略[2～4]，但是從本質(zhì)上而言，這些采用了不同掃描策略的蠕蟲在自我復制、主動傳播等特性上都與生物界中的病毒極為相似。同時，病理學領(lǐng)域中對傳染性疾病在人群中的感染過程進行建模的大量研究也已經(jīng)表明，確定性的分析方法可以很好地用于對大規(guī)模系統(tǒng)的動態(tài)特性變化進行建模[5]。因此，在研究生物病毒的傳染過程時所形成的部分數(shù)學模型及其分析方法就被很自然地應用于蠕蟲的滲透傳播機制研究，形成了若干具有代表性的蠕蟲傳播模型。

2.1 基于簡單傳染病模型的蠕蟲傳播模型研究

簡單傳染病模型（SEM, simple epidemic model）[6]首先假設網(wǎng)絡中每臺可能被感染的脆弱性主機在蠕蟲的傳播過程中可能分別處于易被感染（susceptible）和已被感染（infected）2種不同的狀態(tài)：在蠕蟲開始傳播之前，所有的脆弱性主機均處于Susceptible狀態(tài)；隨著蠕蟲在網(wǎng)絡中的傳播，被感染的脆弱性主機將從 Susceptible狀態(tài)轉(zhuǎn)變?yōu)镮nfected狀態(tài)，并且在隨后的蠕蟲傳播過程中始終保持Infected狀態(tài)。亦即，網(wǎng)絡中的脆弱性主機將只可能出現(xiàn)由Susceptible狀態(tài)到Infected狀態(tài)的轉(zhuǎn)換，因此，SEM模型也被稱為SI模型。其次，SEM模型還假設網(wǎng)絡中每臺處于Infected狀態(tài)的脆弱性主機，將以相同的概率嘗試感染網(wǎng)絡中其他仍然處于Susceptible狀態(tài)的脆弱性主機。這實際上意味著蠕蟲將在同構(gòu)的網(wǎng)絡環(huán)境中進行傳播。

如果以N表示在蠕蟲開始傳播之前網(wǎng)絡中所有處于Susceptible狀態(tài)的脆弱性主機數(shù)量，I(t)表示在某個時刻t，網(wǎng)絡中已經(jīng)被蠕蟲感染的處于Infected狀態(tài)的脆弱性主機數(shù)量，那么SEM模型可以表示為如式(1)所示的微分方程[6]，其中β被稱為雙向的感染率，代表了在某個時刻t，網(wǎng)絡中已經(jīng)被感染的脆弱性主機對易被感染的脆弱性主機的感染強度或者感染能力。

基于 SEM 模型類似的假設條件以及時間連續(xù)的分析方法，通過研究處于Infected狀態(tài)的脆弱性主機可能由于所感染的蠕蟲實例被清除而發(fā)生的狀態(tài)轉(zhuǎn)換，分別形成了 SIS模型[7]和 Kermack-Mckendrik模型[8]（即KM模型，也稱SIR模型）；而雙因素模型[9]（two-factor worm model）又在KM模型的基礎(chǔ)上進一步分析了處于Susceptible狀態(tài)的脆弱性主機可能由于修補了相應的漏洞而發(fā)生狀態(tài)轉(zhuǎn)換，以及蠕蟲自身的大量繁殖可能引起網(wǎng)絡擁塞等因素對于蠕蟲傳播過程的影響。

2.2 AAWP模型（analytical active worm propagation model）

Z. Chen等在開展蠕蟲傳播模型的研究時提出，如果以經(jīng)典的傳染病模型為基礎(chǔ)，使用時間連續(xù)的分析方法來研究蠕蟲的滲透傳播過程，那么將很難合理地反映部分重要的時間因素可能對蠕蟲的傳播過程所產(chǎn)生的影響：首先，每個蠕蟲的實例感染下一個處于Susceptible狀態(tài)的脆弱性主機是需要時間來完成的。在某個處于Susceptible狀態(tài)的脆弱性主機被完全感染之前，這個脆弱性主機不會轉(zhuǎn)變到Infected狀態(tài)，亦即沒有傳染性；而使用時間連續(xù)的微分方程來估算網(wǎng)絡中被感染的脆弱性主機數(shù)量的動態(tài)增長，就意味著在每個具體時刻t，都可能有若干“被部分感染”的脆弱性主機將參與對其他仍然處于Susceptible狀態(tài)的脆弱性主機的感染，這就與實際的蠕蟲傳播過程存在著一定的差異。其次，不同種類的蠕蟲具有不同的感染能力，這個感染能力不僅取決于蠕蟲實例的平均掃描速率，或者雙向的感染強度，還取決于蠕蟲的各個實例在感染具體目標時需要花費的時間。因此，在分析蠕蟲的滲透傳播過程時還必須綜合考慮感染時間這個因素的可能影響[10]。

基于這種認識，Z. Chen等使用時間離散的確定性分析方法提出了蠕蟲傳播模型AAWP，用于分析采用隨機掃描策略的蠕蟲在 IPv4網(wǎng)絡地址空間中的滲透傳播。在AAWP模型中，蠕蟲的實例完成對下一個潛在目標的掃描和感染所需要的時間被稱為一個時間單元。同時，為了降低分析過程的復雜性，AAWP模型假設當蠕蟲的某個實例發(fā)出的某次掃描選擇了網(wǎng)絡中的某個 IP地址之后，無論該IP地址是否被使用、（如果IP地址被使用，對應的）目標主機是否存在脆弱性、（存在脆弱性的）目標主機是否已經(jīng)被蠕蟲的其他實例所感染，這個蠕蟲實例都將花費一個完整的時間單元來實施相應的攻擊行為。

如果以mi和ni分別表示在第i個時間單元（0i≥）結(jié)束時，網(wǎng)絡中（包含已經(jīng)處于Infected狀態(tài)和仍然處于Susceptible狀態(tài)的）脆弱性主機的數(shù)量和已經(jīng)處于Infected狀態(tài)的脆弱性主機數(shù)量，η表示蠕蟲實例的平均掃描速率。那么在第 1i+個時間單元結(jié)束時，網(wǎng)絡中處于Infected狀態(tài)的被感染主機數(shù)量1in+可由式(2)計算獲得[10]：

2.3 網(wǎng)絡環(huán)境的異構(gòu)性

無論是使用時間連續(xù)的分析方法還是時間離散的分析方法來研究蠕蟲的滲透傳播過程，概括而言，都是以盡量合理地抽取可能影響到蠕蟲傳播速度的多種潛在因素為出發(fā)點，力爭更加準確地估算出在蠕蟲開始傳播后的某個時刻t，網(wǎng)絡中被蠕蟲所感染的脆弱性主機數(shù)量。

但是在上述代表性的蠕蟲傳播模型研究中普遍忽略了一個關(guān)鍵環(huán)節(jié)，這就是在病理學研究領(lǐng)域，傳染病模型的基本假設是將大量可能被感染的潛在目標視為同構(gòu)群體。這個假設很好地與傳染性疾病在易感人群中的傳播過程相吻合。而當把傳染病模型應用于研究蠕蟲類惡意代碼在網(wǎng)絡中的滲透傳播時，如果仍然基于類似的假設，將典型如Internet的目標網(wǎng)絡視為同構(gòu)網(wǎng)絡，即網(wǎng)絡中的脆弱性主機是均勻地分布在網(wǎng)絡地址空間中，而且處于Susceptible狀態(tài)的脆弱性主機將有相同的概率被網(wǎng)絡中所有其他處于Infected狀態(tài)的脆弱性主機所感染，那么這種假設就與目標網(wǎng)絡的實際情況可能存在著一定程度的出入。類似的，雖然Z. Chen等在對 AAWP模型做出相應的擴展后又進一步地提出了LAAWP模型[10]，用以分析采用了本地優(yōu)先掃描策略的非均勻掃描蠕蟲在網(wǎng)絡中的滲透傳播過程，但是無論AAWP模型還是LAAWP模型，都還是以同構(gòu)網(wǎng)絡作為其研究的基本假設[11]，并沒有考慮到網(wǎng)絡環(huán)境的異構(gòu)性可能對蠕蟲的滲透傳播過程產(chǎn)生潛在影響。

實際上，以 Internet為例，各種蠕蟲在滲透傳播時所處的是一個高度異構(gòu)的網(wǎng)絡環(huán)境，這與上述代表性的蠕蟲傳播模型所假設的扁平化同構(gòu)網(wǎng)絡環(huán)境具有相當大的差異。

1) 首先，Internet是由若干以不同方式連接的自治系統(tǒng)或者管理域所組成。蠕蟲在各個管理域的內(nèi)部以及管理域之間的滲透傳播可能分別表現(xiàn)出不同的動態(tài)特性變化。例如，Serazzi等結(jié)合對Slammer蠕蟲的傳播數(shù)據(jù)進行分析后指出，Internet中自治系統(tǒng)之間的網(wǎng)絡互聯(lián)是影響Slammer蠕蟲傳播過程的瓶頸之所在[12]。

2) 其次，網(wǎng)絡中存在相應的漏洞，可能被蠕蟲所感染的脆弱性主機在整個網(wǎng)絡地址空間中的分布是不均勻的。從本質(zhì)上而言，這種脆弱性主機的不均勻分布也是由于 Internet被劃分為不同管理域的必然結(jié)果。以Z. Chen等對可能存在漏洞的網(wǎng)絡服務在各個網(wǎng)絡區(qū)域中的采樣數(shù)據(jù)為例，無論是以DNS頂級管理域，還是以國家、自治系統(tǒng)、A類/8網(wǎng)絡或者B類/16網(wǎng)絡作為不同網(wǎng)絡區(qū)域的劃分標準，所采樣的網(wǎng)絡服務在各個網(wǎng)絡區(qū)域之間均表現(xiàn)出明顯的不均勻分布[13]。Rajab等則通過分析分布式入侵檢測系統(tǒng) Dshield[14]的日志數(shù)據(jù)，進一步地證實了可能已經(jīng)被Code Red、Nimda、MS Blaster等蠕蟲所感染的脆弱性主機在 Internet中的分布是不均勻的[11]。

3) 再次，越來越多的網(wǎng)絡用戶使用私有IP地址，通過NAT技術(shù)接入Internet。Casado等在對監(jiān)測到的Code Red II蠕蟲的流量數(shù)據(jù)進行分析后認為，網(wǎng)絡中有60%左右被Code Red II蠕蟲所感染的計算機使用了私有IP地址或者動態(tài)IP地址，經(jīng)由NAT之后接入Internet[15]。類似的，Rajab等也通過網(wǎng)絡監(jiān)測的方法對 NAT技術(shù)的使用情況進行了估算，結(jié)果顯示大約有19%的具有感染性的計算機通過使用NAT技術(shù)接入Internet[16]。雖然這2種研究方法在具體數(shù)字上存在著一定程度的差異，但是其研究結(jié)論共同反映了NAT技術(shù)在Internet中已經(jīng)被廣泛運用的事實。

因此，針對上述蠕蟲傳播模型研究在“同構(gòu)網(wǎng)絡”這個前提假設上可能存在的缺陷，下文將首先抽象出分層的異構(gòu)網(wǎng)絡模型用于反映 Internet的異構(gòu)特性，并以之作為開展蠕蟲傳播模型研究的基本前提。同時，鑒于AAWP/LAAWP模型所使用的時間離散的確定性分析方法可以相對合理地反映出感染時間在蠕蟲的滲透傳播過程中產(chǎn)生的潛在影響，下文將繼續(xù)基于時間離散的確定性分析方法，全面、深入地分析蠕蟲在異構(gòu)網(wǎng)絡環(huán)境中的滲透傳播過程。這個面向異構(gòu)網(wǎng)絡環(huán)境的、以AAWP/LAAWP模型為基礎(chǔ)進行優(yōu)化的蠕蟲傳播模型將被稱為Enhanced-AAWP模型。

3 面向異構(gòu)網(wǎng)絡環(huán)境的蠕蟲傳播模型研究

3.1 分層的異構(gòu)網(wǎng)絡模型抽象

Enhanced-AAWP模型使用分層的異構(gòu)網(wǎng)絡模型來抽象蠕蟲在滲透傳播過程中所處的以 Internet為代表的異構(gòu)網(wǎng)絡環(huán)境，具體如圖1所示。

1) 上層的宏觀網(wǎng)絡中，蠕蟲傳播的異構(gòu)網(wǎng)絡環(huán)境可以被視為由多個相互連接的自治系統(tǒng)或者不同的管理域所組成。

2) 下層的實體網(wǎng)絡中，并非所有的IPv4地址均全局路由可達。每個自治系統(tǒng)或者管理域內(nèi)部的聯(lián)網(wǎng)計算機既有可能被分配了全局路由可達的 IP地址，也有可能被分配了私有或者動態(tài)的IP地址，通過使用 NAT技術(shù)接入上層由自治系統(tǒng)或者管理域相互連接而成的全局網(wǎng)絡。

3) 處于 Susceptible狀態(tài)、可能被蠕蟲在傳播過程中所感染的脆弱性主機在這些自治系統(tǒng)或者管理域之間的分布可能是不均勻的。同時，為了模型的簡化，可以假設在各個自治系統(tǒng)中，Susceptible狀態(tài)的脆弱性主機在全局路由可達的網(wǎng)絡區(qū)域內(nèi)是均勻分布的；類似的，在每個 NAT子網(wǎng)中，也可以假設Susceptible狀態(tài)的脆弱性主機是均勻分布的。

3.2 Enhanced-AAWP模型的分析方法

由于脆弱性主機在各個自治系統(tǒng)之間的分布是不均勻的，因此在基于分層的異構(gòu)網(wǎng)絡模型、使用時間離散的確定性分析方法具體分析蠕蟲的滲透傳播過程時，其作用域不再是單獨每臺可能處于Susceptible狀態(tài)的脆弱性主機，而是會被應用到網(wǎng)絡中可能包含有若干臺脆弱性主機的各個不同的網(wǎng)絡區(qū)域，通過相應地計算蠕蟲的實例所發(fā)出的掃描動作可能進入到各個網(wǎng)絡區(qū)域的數(shù)量，對蠕蟲在不同網(wǎng)絡區(qū)域中的傳播過程分別進行建模，再以之為基礎(chǔ)綜合形成面向異構(gòu)網(wǎng)絡環(huán)境的蠕蟲傳播模型。

為了將 Enhanced-AAWP模型的研究重點集中在對蠕蟲滲透傳播機制的內(nèi)在本質(zhì)特性進行深入分析，因此下文暫時忽略了蠕蟲在滲透傳播的過程中可能會受到網(wǎng)絡安全防護措施或者人工干預等外在因素的潛在影響。在這個前提下，以 AAWP模型為基礎(chǔ)，Enhanced-AAWP模型也可以使用下面的引理作為基本的分析依據(jù)。

引理 對于某個地址空間規(guī)模為ω的網(wǎng)絡區(qū)域而言，如果 1）初始狀態(tài)下該網(wǎng)絡區(qū)域中處于Susceptible狀態(tài)的脆弱性主機數(shù)量為N，2）在第i個時間單元，該網(wǎng)絡區(qū)域中處于Infected狀態(tài)的脆弱性主機數(shù)量為iI，3）在第 1i+ 個時間單元內(nèi)命中該網(wǎng)絡區(qū)域的蠕蟲掃描次數(shù)為S，那么可由式（3）計算出在第 1i+個時間單元內(nèi)該網(wǎng)絡區(qū)域中新被蠕蟲感染的脆弱性主機數(shù)量：

圖1 分層的異構(gòu)網(wǎng)絡模型

與AAWP模型的分析方法[10]相類似，引理的證明可以通過歸納法來完成：

1) 當S=1時，由于此時網(wǎng)絡中存在N-Ii臺處于Susceptible狀態(tài)的脆弱性主機，因此命中該網(wǎng)絡區(qū)域的此次掃描有的可能使得某臺處于Susceptible狀態(tài)的脆弱性主機轉(zhuǎn)換到Infected狀態(tài)，即

2) 假設Sn=當時定理成立，即

那么當1Sn=+時，在前n次掃描完成之后，第1n+次掃描命中該網(wǎng)絡區(qū)域中某臺Susceptible狀態(tài)的脆弱性主機的概率為，而第n+1次掃描未命中該網(wǎng)絡區(qū)域中任何Susceptible狀態(tài)的脆弱性主機的概率為1-。因此，當有1n+次掃描命中該網(wǎng)絡區(qū)域之后，新增的Infected狀態(tài)的脆弱性主機數(shù)量1nI+Δ可以由式（6）計算獲得：

綜上，引理成立，證畢。

這就意味著，AAWP模型對蠕蟲在IPv4地址空間中的傳播過程進行分析的方法，在不同規(guī)模的網(wǎng)絡區(qū)域中仍然具有可適性，可以之作為出發(fā)點開展面向異構(gòu)網(wǎng)絡環(huán)境的蠕蟲傳播模型研究。

3.3 Enhanced-AAWP模型與本地優(yōu)先掃描策略分析

為了簡化Enhanced-AAWP模型的分析過程而又不失一般性，可以進一步地對異構(gòu)網(wǎng)絡環(huán)境以及蠕蟲在這個異構(gòu)網(wǎng)絡環(huán)境中的滲透傳播過程做出以下假設。

1) 網(wǎng)絡中由于存在漏洞而可能被感染的脆弱性主機在蠕蟲的整個傳播過程中將分別處于2種狀態(tài)：易被感染的Susceptible狀態(tài)和已被感染的Infected狀態(tài)；當某個Susceptible狀態(tài)的脆弱性主機被蠕蟲的某個實例所感染后，將在后續(xù)的蠕蟲傳播過程中始終處于Infected狀態(tài)。

2) 蠕蟲將在由K個相互連接的不同自治系統(tǒng)所組成的網(wǎng)絡環(huán)境中進行滲透傳播。

3) 在每個自治系統(tǒng)i中，全局路由可達的網(wǎng)絡分別是子網(wǎng)前綴可能不同的/ni網(wǎng)絡，對應的IP地址集合為Vi，網(wǎng)絡地址空間大小為初始處于Susceptible狀態(tài)的脆弱性主機數(shù)量為Ni。

4) 在每個自治系統(tǒng)i中，分別有iM個NAT子網(wǎng)接入到網(wǎng)絡中，并且：

①這Mi個NAT子網(wǎng)分別是可能具有不同子網(wǎng)前綴的/n'i,l網(wǎng)絡，1≤l≤Mi；

②在每個/n'i,l的NAT子網(wǎng)內(nèi)，IP地址集合為Vi,′l，網(wǎng)絡地址空間大小為，初始處于Susceptible狀態(tài)的脆弱性主機數(shù)量為Ni′,l；那么，每個自治系統(tǒng)i中所有NAT子網(wǎng)對應的IP地址集 合Vi′=UVi′,l，網(wǎng) 絡 地 址 空 間 大 小1≤l≤Mi；

③在每個/,'iln的NAT子網(wǎng)內(nèi)，所有的IP地址均為全局路由不可達狀態(tài)，即所有處于NAT子網(wǎng)內(nèi)的Susceptible狀態(tài)的脆弱性主機只可能被處于相同NAT子網(wǎng)內(nèi)的Infected狀態(tài)的脆弱性主機上的蠕蟲實例所感染。

5) 如圖2所示，蠕蟲實例具有初步的智能性，將使用經(jīng)過優(yōu)化的單級本地優(yōu)先掃描策略在上述異構(gòu)的網(wǎng)絡環(huán)境中選擇下一輪攻擊的潛在目標：

① 以Pl的可能性完成本地網(wǎng)絡掃描，在與被這個蠕蟲實例所感染的Infected狀態(tài)脆弱性主機相同的/n′i,l網(wǎng)絡或者/in網(wǎng)絡中隨機地選擇下一個潛在的攻擊目標；

② 以Pr=1-Pl的可能性在包含上述/n′i,l網(wǎng)絡或者/ni網(wǎng)絡的整個掃描空間（例如IPv4地址空間）中隨機地選擇下一個潛在的攻擊目標；

③ 蠕蟲實例所發(fā)出的上述掃描動作，分別被稱為Pl掃描和Pr掃描。

圖2 蠕蟲在異構(gòu)網(wǎng)絡環(huán)境中的本地優(yōu)先掃描

6) 無論Infected狀態(tài)的脆弱性主機是位于全局路由可達的網(wǎng)絡內(nèi)還是某個NAT子網(wǎng)內(nèi)，感染這個脆弱性主機的蠕蟲實例都需要花費一個完整的時間單元以完成對下一個潛在攻擊目標的掃描和感染；當某個時間單元結(jié)束時，在這個時間單元內(nèi)被感染的所有原處于Susceptible狀態(tài)的脆弱性主機都將轉(zhuǎn)換為Infected狀態(tài)。

根據(jù)Enhanced-AAWP模型的研究假設，目標網(wǎng)絡的地址空間大小為，那么當蠕蟲在滲透傳播過程中需要覆蓋整個目標網(wǎng)絡時，需要掃描的地址空間大小Ω應該大于232-niK+′。同時，上述假設也給出了一個經(jīng)過優(yōu)化的、具有某種程度適應性的本地優(yōu)先掃描策略，即每個蠕蟲實例可以根據(jù)傳播時所處的具體網(wǎng)絡環(huán)境來確定接下來實施lP掃描和rP掃描時分別需要考慮的掃描范圍。

Enhanced-AAWP模型在分析蠕蟲的滲透傳播過程時所使用的符號及其含義如表1所示。

根據(jù)Enhanced-AAWP模型的假設，對于某個自治系統(tǒng)i中第l個NAT子網(wǎng)而言，由于NAT子網(wǎng)內(nèi)的地址均為全局路由不可達，因此在第t+1個時間單內(nèi)，只有這個NAT子網(wǎng)內(nèi)個處于Infected狀態(tài)的脆弱性主機發(fā)出的ηPl次Pl掃描，以及次Pr掃描才有可能繼續(xù)命中這個子網(wǎng)。那么根據(jù)引理，在第t+1個時間單元結(jié)束時，自治系統(tǒng)i中第l個NAT子網(wǎng)內(nèi)處于Infected狀態(tài)的脆弱性主機數(shù)量如式(7)所示：

表1 Enhanced-AAWP模型使用的符號及其含義

因此，在第1t+個時間單元結(jié)束時，可由式(8)計算出自治系統(tǒng)i中所有Mi個NAT子網(wǎng)內(nèi)處于Infected狀態(tài)的脆弱性主機總數(shù)：

另一方面，對于自治系統(tǒng)i中全局路由可達的網(wǎng)絡區(qū)域，根據(jù)Enhanced-AAWP模型的假設，在第t+1個時間單元內(nèi)可能命中這個網(wǎng)絡區(qū)域的掃描有兩類：

1) 自治系統(tǒng)i中全局路由可達網(wǎng)絡區(qū)域內(nèi)的It,i個Infected狀態(tài)的脆弱性主機所發(fā)出的Pl掃描，將繼續(xù)命中這個自治系統(tǒng)中全局路由可達的網(wǎng)絡區(qū)域；

2) 除了自治系統(tǒng)i中全局路由可達的網(wǎng)絡區(qū)域內(nèi)It,i個Infected狀態(tài)的脆弱性主機發(fā)出的Pl掃描外，整個異構(gòu)的網(wǎng)絡環(huán)境中所有It個Infected狀態(tài)的脆弱性主機發(fā)出的Pr掃描，也將以的概率命中自治系統(tǒng)i中全局路由可達的網(wǎng)絡區(qū)域。

因此，在第t+1個時間單元內(nèi)命中自治系統(tǒng)i中全局路由可達網(wǎng)絡區(qū)域的掃描次數(shù) S可由式(9)計算獲得：

于是，在第t+1個時間單元結(jié)束時，可由式(10)計算出自治系統(tǒng)i中全局路由可達的網(wǎng)絡區(qū)域內(nèi)處于Infected狀態(tài)的脆弱性主機數(shù)量：

綜上，在第t+1個時間單元結(jié)束時，式(11)給出了整個異構(gòu)的網(wǎng)絡環(huán)境中已經(jīng)被蠕蟲所感染的處于Infected狀態(tài)的脆弱性主機數(shù)量：

以 Enhanced-AAWP模型對上述這個經(jīng)過優(yōu)化的單級本地優(yōu)先掃描策略進行分析的方法為基礎(chǔ)，可以方便地在擴展后對更復雜的多級本地優(yōu)先掃描策略，例如Code Red II蠕蟲所使用的兩級本地優(yōu)先掃描策略進行相應的分析。

3.4 均勻的隨機掃描策略分析

如果在基于Enhanced-AAWP模型分析上述優(yōu)化的單級本地優(yōu)先掃描策略時取 Pr= 1 （相應地有 Pl= 0 ，即每個蠕蟲實例不會基于本地網(wǎng)絡優(yōu)先的原則發(fā)出 Pl掃描），那么這個單級本地優(yōu)先掃描策略將完全等價于均勻的隨機掃描策略。亦即，如果基于Enhanced-AAWP模型來分析蠕蟲在異構(gòu)網(wǎng)絡環(huán)境下的滲透傳播過程，那么可以相應地將隨機掃描策略視為本地優(yōu)先掃描策略的一個特例。

首先，對于某個自治系統(tǒng)i中第l個NAT子網(wǎng)而言，在第 t +1個時間單內(nèi)，這個NAT子網(wǎng)內(nèi)個處于Infected狀態(tài)的脆弱性主機發(fā)出的所有η次Pr掃描，將以的概率繼續(xù)命中這個子網(wǎng)。那么在第 t +1個時間單元，自治系統(tǒng)i中第l個 NAT子網(wǎng)內(nèi)處于Infected狀態(tài)的脆弱性主機數(shù)量可由式(12)計算獲得：

其次，對于自治系統(tǒng)i中全局路由可達的網(wǎng)絡區(qū)域，由于在第t+1個時間單元內(nèi)可能命中這個網(wǎng)絡區(qū)域的掃描次數(shù)為，因此在第t+1個時間單元結(jié)束時，自治系統(tǒng)i中全局路由可達的網(wǎng)絡區(qū)域內(nèi)處于Infected狀態(tài)的脆弱性主機數(shù)量將由式(13)計算獲得：

綜上，可由式（14）計算出在第t+1個時間單元結(jié)束時，整個異構(gòu)的網(wǎng)絡環(huán)境中已經(jīng)被該隨機掃描蠕蟲所感染的處于 Infected狀態(tài)的脆弱性主機數(shù)量：

4 Enhanced-AAWP模型的模擬與分析

S. R. White在研究計算機病毒的傳染過程時曾經(jīng)指出，計算機病毒的實際傳播速度要滯后于傳染病模型的預期[17]。那么當蠕蟲在Internet等異構(gòu)的網(wǎng)絡環(huán)境中進行滲透傳播時，是否也存在著類似的現(xiàn)象呢？以Code Red蠕蟲為例，圖3(a)給出了D.Moore等根據(jù)CAIDA的監(jiān)測數(shù)據(jù)所繪制的Internet中被蠕蟲所感染的脆弱性主機數(shù)量動態(tài)增長的傳播曲線[18]；而以 IPv4地址空間中初始處于Susceptible狀態(tài)的脆弱性主機數(shù)量 N = 3 59000、初始處于Infected狀態(tài)的脆弱性主機數(shù)量 I0= 1、蠕蟲實例的平均掃描速率η=6作為模擬參數(shù)，使用Matlab分別對SEM模型和AAWP模型進行模擬后得到的傳播曲線如圖3(b)所示（模擬參數(shù)N、η的選擇參考了C. C. Zou等對Code Red蠕蟲的分析數(shù)據(jù)[19]；而在模擬 AAWP模型時，相應地考慮了一個時間單元的長度分別等于1s和60s的情形）。

圖3 Code Red蠕蟲的傳播曲線

從圖3可以看出，對于Code Red蠕蟲而言，無論是時間連續(xù)的 SEM模型，還是時間離散的AAWP模型，雖然能夠大致地描述蠕蟲傳播曲線的總體變化趨勢，但是都在不同程度上高估了蠕蟲在Internet中的傳播速度。例如，即使在模擬過程中取時間單元的長度等于 60s（即假設蠕蟲的實例需要花費60s才能完成對某個潛在目標的感染，這在蠕蟲的傳播過程中已屬相對罕見），AAWP模型的估算結(jié)果仍然明顯超前于實際的蠕蟲傳播曲線。那么，又是哪些原因可能導致蠕蟲在 Internet中的傳播速度滯后于 SEM 或者AAWP等以同構(gòu)網(wǎng)絡假設為前提的傳播模型的預期呢？下文將通過使用 Matlab來模擬Enhanced-AAWP模型，對異構(gòu)的網(wǎng)絡環(huán)境中可能影響蠕蟲傳播進程的部分因素進行相應的分析。

4.1 模擬參數(shù)的設置及其依據(jù)

在對分層的異構(gòu)網(wǎng)絡模型進行抽象時，Enhanced-AAWP模型假設蠕蟲將在由K個相互連接的不同自治系統(tǒng)所組成的網(wǎng)絡環(huán)境中進行傳播。實際上，在組成IPv4地址空間的256個A類/8網(wǎng)絡中，只有116個A類/8網(wǎng)絡在Internet中全局路由可達[20]。因此，在模擬Enhanced-AAWP模型時，可以假設所有處于Susceptible狀態(tài)的脆弱性主機均勻分布在這116個A類網(wǎng)絡中，而在其余的140個A類網(wǎng)絡中沒有脆弱性主機的存在，從而在一定程度上反映出網(wǎng)絡地址空間中脆弱性主機的不均勻分布。同時，在這116個分布有脆弱性主機的A類網(wǎng)絡中，還將進一步地對每個A類網(wǎng)絡中分別接入了1個或者2個A類的NAT子網(wǎng)、并且相應地分別有 7%[16]、19%或者 60%的脆弱性主機位于這些NAT子網(wǎng)內(nèi)的情形進行模擬，從而更全面地反映出異構(gòu)的網(wǎng)絡環(huán)境中，NAT子網(wǎng)的數(shù)量以及脆弱性主機在 NAT子網(wǎng)內(nèi)的密集程度等因素對蠕蟲傳播進程的可能影響。

雖然在模擬時只有在116個A類/8網(wǎng)絡中分布有脆弱性主機，但是根據(jù)Code Red等絕大多數(shù)蠕蟲的實際傳播情況，每個蠕蟲實例仍然將掃描整個IPv4地址空間，即蠕蟲的掃描地址空間大小 Ω =232（如果每個蠕蟲實例也將掃描地址空間優(yōu)化至這116個全局路由可達的A類網(wǎng)絡，那么這個蠕蟲就將成為理論上的路由蠕蟲[20]）。

在掃描策略的選取上，將分別對完全的隨機掃描策略、Pl= 0 .75/Pr= 0 .25的本地優(yōu)先掃描策略和Pl= 0 .875/ Pr= 0 .125的本地優(yōu)先掃描策略進行模擬。由于后兩種本地優(yōu)先掃描策略在 Pl和 Pr的取值上分別參考了Nimda蠕蟲和Code Red II蠕蟲的實現(xiàn)，因此可以將下文模擬的這兩種蠕蟲分別稱為類Nimda蠕蟲（Nimda-like worm）和類Code Red II蠕蟲（CodeRed II-like worm）。

在完成的全部模擬實驗中，都將取網(wǎng)絡中初始處于 Susceptible狀態(tài)的脆弱性主機數(shù)量N=359 000，蠕蟲實例的平均掃描速率η=6，每個時間單元的長度為1s。

4.2 部分與NAT子網(wǎng)相關(guān)的因素對蠕蟲傳播過程的影響

圖4模擬了Code Red蠕蟲在脆弱性主機分布于116個A類網(wǎng)絡、每個A類網(wǎng)絡中各有1個A類的NAT子網(wǎng)，并且有19%的脆弱性主機位于NAT子網(wǎng)內(nèi)的異構(gòu)網(wǎng)絡環(huán)境中（即 Ni′,1=(359000/116)×19%= 5 88, Ni= ( 359000/116)×81% = 2 507, 1 ≤ i≤116）進行傳播的過程。為了簡化后續(xù)分析的復雜性且不失一般性，模擬時將假設在每個A類網(wǎng)絡中全局路由可達的網(wǎng)路區(qū)域內(nèi)以及NAT子網(wǎng)內(nèi)，都將分別有一個初始處于Infected狀態(tài)的脆弱性主機（即==1, 1≤i≤116，亦即模擬環(huán)境中初始具有傳染性的脆弱性主機數(shù)量I0=232）。作為對比，圖4還分別繪制了當I0=232時，Code Red蠕蟲和具有路由蠕蟲特性的Code Red蠕蟲變種在116個全局路由可達的A類網(wǎng)絡（即在模擬環(huán)境中不考慮NAT網(wǎng)絡的影響）中進行掃描時的傳播曲線。

圖4 異構(gòu)網(wǎng)絡環(huán)境對蠕蟲傳播過程的可能影響

根據(jù)圖4所模擬的傳播曲線可以清楚地看出，較之于同構(gòu)的網(wǎng)絡環(huán)境，當考慮了NAT子網(wǎng)在Internet中的使用之后，隨機掃描蠕蟲的傳播進程出現(xiàn)了明顯的延緩。更進一步地，圖5(a)和圖5(b)則相應地給出了當每個A類網(wǎng)絡中各有1個A類的NAT子網(wǎng)，并且分別有7%（Ni′,1=217,Ni=2878, 1≤i ≤116）、19%以及60%（Ni′,1=1857,Ni=1238, 1≤i≤116）的脆弱性主機位于NAT子網(wǎng)中時，使用隨機掃描策略的Code Red蠕蟲和使用本地優(yōu)先掃描策略的類Nimda蠕蟲在掃描過程中的傳播曲線（同樣基于==1, 1≤i ≤116的假設）。

如圖5所示，在異構(gòu)的網(wǎng)絡環(huán)境中進行傳播時，無論是隨機掃描蠕蟲還是本地優(yōu)先掃描蠕蟲，隨著NAT子網(wǎng)內(nèi)脆弱性主機密度的逐步提高，蠕蟲感染全部脆弱性主機所需花費的時間將逐步縮短。這是由于根據(jù)Enhanced-AAWP模型的假設，NAT子網(wǎng)內(nèi)的脆弱性主機無法被位于全局路由可達網(wǎng)絡區(qū)域內(nèi)的蠕蟲實例所感染，因此蠕蟲在異構(gòu)的網(wǎng)絡環(huán)境中感染全部脆弱性主機所需花費的時間，主要取決于NAT子網(wǎng)內(nèi)的脆弱性主機被全部感染的速度。而NAT子網(wǎng)內(nèi)脆弱性主機的密度越高，蠕蟲在NAT子網(wǎng)內(nèi)就具有越快的傳播速度。

圖5 脆弱性主機在NAT子網(wǎng)中的密集程度對蠕蟲傳播過程的可能影響

同時，從圖5(b)中也可以看到，對于使用了本地優(yōu)先掃描策略的類Nimda蠕蟲，當NAT子網(wǎng)內(nèi)脆弱性主機的密度為7%時，蠕蟲在初始階段的傳播速度有可能比在NAT子網(wǎng)內(nèi)具有更高的脆弱性主機密度（例如19%或者60%）時更快，這主要是由于此時在全局路由可達的網(wǎng)絡區(qū)域內(nèi)具有更多的脆弱性主機以及更高的脆弱性主機密度，從而使得蠕蟲在全局路由可達網(wǎng)絡區(qū)域內(nèi)相對更快的傳播速度對蠕蟲的傳播曲線造成了更大的影響。不過即便如此，當NAT子網(wǎng)中具有更大的脆弱性主機密度時，蠕蟲將只需花費相對更少的時間即可感染網(wǎng)絡中全部的脆弱性主機。

圖6 NAT子網(wǎng)的數(shù)量對蠕蟲傳播過程的可能影響

圖6對比了使用本地優(yōu)先掃描策略的類Nimda蠕蟲在19%的脆弱性主機位于NAT子網(wǎng)內(nèi)，并且每個A類網(wǎng)絡中分別接入了1個A類的NAT子網(wǎng)或者2個A類 的NAT子 網(wǎng) （Ni′,1=Ni′,2=0.5× 588=294,Ni=2507, 1≤i≤116）的模擬環(huán)境中進行掃描時的傳播曲線。其中，當在每個A類網(wǎng)絡內(nèi)接入了2個NAT子網(wǎng)時，可以假設在初始狀態(tài)下，這2個NAT子網(wǎng)內(nèi)各有一臺脆弱性主機已經(jīng)被蠕蟲所感染，而在全局路由可達的網(wǎng)絡區(qū)域內(nèi)沒有初始處于Infected狀態(tài)的脆弱性主機，從而使得模擬環(huán)境中初始處于Infected狀態(tài)的脆弱性主機數(shù)量可以保持相對一致（即=0,==1, 1≤i≤116）。

由于在模擬時假設每個A類網(wǎng)絡中位于NAT子網(wǎng)內(nèi)的脆弱性主機總量保持不變，因此NAT子網(wǎng)數(shù)量的增加，就意味著每個NAT子網(wǎng)內(nèi)脆弱性主機密度的降低，從而導致蠕蟲在NAT子網(wǎng)內(nèi)的傳播速度隨之減緩，使得蠕蟲將花費更多的時間才能完成對模擬環(huán)境中全部脆弱性主機的感染。

4.3 本地優(yōu)先掃描策略的設計對蠕蟲傳播過程的可能影響

根據(jù)Enhanced-AAWP模型，結(jié)合相應的模擬實驗，不僅可以直觀地體現(xiàn)出與NAT子網(wǎng)相關(guān)的若干環(huán)境因素如何影響到蠕蟲在異構(gòu)網(wǎng)絡環(huán)境中的傳播過程，還可以之為基礎(chǔ)，相應地對類似于掃描策略等在很大程度上決定了蠕蟲掃描行為的內(nèi)在本質(zhì)特性進行深入分析。

圖7(a)與圖7(b)相應地對比了當模擬環(huán)境中有19%的脆弱性主機位于NAT子網(wǎng)內(nèi)，并且在每個A類網(wǎng)絡中分別接入了1個A類NAT子網(wǎng)或者2個A類NAT子網(wǎng)時，類Nimda蠕蟲（Pl=0.75/Pr=0.25）和類Code Red II蠕蟲（Pl=0.875/Pr=0.125）的傳播曲線。

通過圖7可以看出，具有相對更大的本地掃描概率lP的類Code Red II蠕蟲在模擬環(huán)境中將表現(xiàn)出比類Nimda蠕蟲相對更快的傳播速度。這是因為無論某個蠕蟲實例是位于全局路由可達的網(wǎng)絡區(qū)域內(nèi)還是某個NAT子網(wǎng)中，其所發(fā)出的lP掃描都還將指向自身所處的網(wǎng)絡區(qū)域；而在其發(fā)出rP掃描中，將有部分掃描可能指向了（其他）NAT子網(wǎng)，或者IPv4網(wǎng)絡中未被使用的部分地址空間（例如其余140個A類/8網(wǎng)絡），因而未能形成實際的感染能力。同理，由于可以將隨機掃描策略視為本地優(yōu)先掃描策略中Pl=0的特例，因此在異構(gòu)的網(wǎng)絡環(huán)境中，本地優(yōu)先掃描蠕蟲應該比隨機掃描蠕蟲具有相對更快的傳播速度，這也可以通過將圖5與圖7的傳播曲線進行對比后得以驗證。

圖7 本地優(yōu)先掃描策略對蠕蟲傳播過程的可能影響

5 結(jié)束語

合理的蠕蟲傳播模型將有助于分析可能影響到蠕蟲傳播速度的多種潛在因素。本文在AAWP模型的基礎(chǔ)上，將異構(gòu)的網(wǎng)絡環(huán)境這個外在因素納入到傳播模型的研究中，使用時間離散的確定性分析方法推導出Enhanced-AAWP模型，結(jié)合相應的模擬實驗深入分析了隨機掃描蠕蟲和本地優(yōu)先掃描蠕蟲在異構(gòu)網(wǎng)絡環(huán)境中的掃描行為。在后續(xù)的工作中，將進一步地結(jié)合對異構(gòu)網(wǎng)絡環(huán)境的理解與分析，相應地完善和修訂Enhanced-AAWP模型，從而更加全面、準確地反映蠕蟲在Internet中的滲透傳播過程，并針對性地開展蠕蟲防護檢測技術(shù)的研究。

[1] 盧錫城,王懷民,王戟.虛擬計算環(huán)境iVCE:概念與體系結(jié)構(gòu)[J].中國科學(E輯), 2006, 36(10):1081-1099.LU X C, WANG H M, WANG J. Internet-based virtual computing environment iVCE: concept and architecture[J]. Science in China Ser E Information Sciences, 2006, 36(10):1081-1099.

[2] STANIFORD S, PAXSON V, WEAVOR N. How to own the internet in your spare time[A]. Proceedings of the 11th USENIX Security Symposium[C]. San Francisco, CA, USA, 2002.149-167.

[3] WU J, VANGALA S, GAO L X, et al. An effective architecture and algorithm for detecting worms with various scan techniques[A].Proceedings of the 11th Annual Network and Distributed System Security Symposium (NDSS’04)[C]. San Diego, CA, USA, 2004.143-156.

[4] WEAVER N, PAXSON V, STANIFORD S, et al. A taxonomy of computer worms[A]. Proceedings of ACM CCS Workshop on Rapid Malcode (WORM’03) [C]. Washington, DC, USA, 2003.11-18.

[5] ANDERSSON H, BRITTON T. Stochastic Epidemic Models and Their Statistical Analysis[M]. NewYork: Springer-Verlag, 2000.156-160.

[6] DALEY D J, GANI J. Epidemic Modelling: An Introduction[M].Cambridge, UK: Canbridge University Press, 1999.120-126.

[7] KEPHART J O, WHITE S R. Measuring and modeling computer VIrus prevalence[A]. Proceedings of IEEE Computer Society Symposium on Research in Security and Privacy[C]. Oakland, CA,USA, 1993. 2-3.

[8] FRAUENTHAL J C. Mathematical Modeling in Epidemiology[M].New York: Springer-Verlag, 1980.78-93.

[9] ZOU C C, GONG W, TOWSLEY D. Code red worm propagation modeling and analysis[A]. Proceedings of the 9th ACM Conference on Computer and Communication Security[C]. Washington, DC, USA,2002.143-148.

[10] CHEN Z S, GAO L X, KWIAT K. Modeling the spread of active worms[A]. Proceedings of IEEE INFOCOM 2003[C]. San Franciso,CA, USA, 2003.1890-1900.

[11] RAJAB M A, MONROSE F, TERZIS A. On the effectiveness of distributed worm monitoring[A]. Proceedings of the 14 th USENIX Security Symposium(Security’05)[C]. Baltimore, MD, USA,2005.15-16.

[12] SERAZZI G, ZANERO S. Computer virus propagation models[A].Tutorials of the 11th IEEE/ACM International Symposium on Modeling, Analysis and Simulation of Computer and Telecommunications Systems (MASCOTS'03) [C]. Orlando, Florida, USA, 2003.26-50.

[13] CHEN Z S, JI C. Intelligent Worms: Searching for Preys[M].Mathematics Awareness Month: Mathematics and Internet Security Theme Essays, 2006.115-119.

[14] Distributed intrusion detection system (DShield) [EB/OL]. http://www.dshield.org/.2010.

[15] CASADO M, GANKEL T, CUI W D, et al. Opportunistic measurement: extracting insight from spurious traffic[A]. Proceedings of the 4th ACM Workshop on Hot Topics in Networks (HotNets-IV) [C].College Park, MD, USA, 2005.271-275.

[16] RAJAB M A, MONROSE F, TERZIS A. On the impact of dynamic addressing on malware[A].Proceedings of the 2006 ACM Workshop on Recurring Malcode (WORM) [C]. Alexandria, VA, USA,2006.145-153.

[17] WHITE S R. Open problems in computer virus research[A]. Virus Bulletin Conference[C]. Munich, Germany, 1998.55-66.

[18] MOORE D, SHANNON C, BROWN J. Code-Red: a case study on the spread and victims of an internet worm[A]. Proceedings of the 2nd ACM SIGCOMM Workshop on Internet Measurement[C]. Marseille,France, 2002.273-284.

[19] ZOU C C, GONG W, TOWSLEY D. On the performance of internet worm scanning strategies[J]. Journal of Performance Evaluation, 2006,63(7): 700-723.

[20] ZOU C C, TOWSLEY D, GONG W, et al. Routing worm: a fast,selective attack worm based on IP address information[A].Proceedings of the 19th ACM/IEEE/SCS Workshop on Principles of Advanced and Distributed Simulation (PADS’05)[C]. Monterey, USA,2005.178-185.