基于P2P的蠕虫防御模型
一种新型P2P网络信任模型研究
同完成任务。对等点之间通过直接互连共享信息资
源、 处理器资源、 存储资源甚至高速缓存资源等 , 无
需依赖集 中式服务器或资源就可完成互访以及资源 请求等 。 P P网络是 提供用户直接 进行交流 的网络环 2 境 ,开放性和匿名性特点造成 的信任 问题是制约
示 的包含多个层的一个通信框架 ,其中最核心的是 节 点覆盖( vry oe) 3其负责对节点的管理 O e a ds 1 l N 层[ ,
t ̄ i t nI o o
} o ,e m 1 R s m  ̄ah I № e
\ .
P P体 系结构 2
1 Ⅱ n m c I ; m
图 二 单 一 分 布域 结构 图
图 一 P P体 系结 构 图 2
鉴于此 ,在 分布 式 的基础 上 建立 起 层 次结构模
供 了一份 与 该 节点 所 需资 源 有 相 同名 字 的 、 能 带 可 有 木马 程序 或者 蠕虫 病毒 的 伪造 的资 源。这 份资 源 会 干 预正 常 的 网络 节 点 的信 任 关 系 的建 立 , 同时 会
对 网络 的安 全 造成很 大 的威胁 。
层 次上 的分 布式域 。 22信任 度机制 -
( 为对 等 点) 称 ,各 节 点具 有 相 同 的责任 与 能力并 协
H R M 的仿真证明能够有效抵制恶意节点 ,具有 D T 较好 的安 全性 与信任 性 。
计算机网络攻防模型的构建与分析
计算机网络攻防模型的构建与分析计算机网络安全一直是一个备受关注的问题,各种网络攻击事件频频发生,人们对网络攻防越来越重视。
为了应对不断变换的攻击手段,计算机网络攻防模型的构建与分析显得尤为重要。
一、计算机网络攻防模型概述计算机网络攻防模型可以理解为对网络攻击行为过程的抽象和建模,它可以帮助安全专业人员了解攻击者的行为、攻击有效性以及如何应对攻击等问题。
攻防模型主要包括攻击模型和防御模型两个部分。
攻击模型用来描述攻击者的攻击过程,包括攻击策略、攻击手段、攻击者的优点和风险等;防御模型用来描述防御者的防御过程,包括防御策略、防御手段、是否有防御优势等。
同时,攻防模型建立在攻击目标、安全要求的基础上,因此在构建和评估过程中需要针对特定网络或特定系统进行考虑。
计算机网络攻防模型通常分为黑盒模型和白盒模型两种。
黑盒模型指对网络进行的完全未知的攻击,即攻击者只知道网络的域名和对应IP地址等非隐私信息,但无法知道服务器的内部信息。
黑盒模型通常用于对网络态势进行评估,防御者只能通过对网络的主要防御节点进行口令、漏洞等方面的测试,发现漏洞并及时补全,以提高网络防御力。
白盒模型指对网络进行的清晰的了解的攻击,即攻击者对网络的信息有一定的了解,能够获取主机IP地址、主机操作系统类型以及应用程序版本等一系列有用的信息。
针对不同的网络及系统,计算机网络攻防模型可以选择不同的防御策略,从而达到一定的安全效果。
二、攻防模型构建方法攻击者通常具有一定的知识水平和经验,他们不断变换攻击手段、态势和方向,因此防御者需要在构建攻防模型时充分考虑和分析攻击者的心理和行为特点。
(一)数据分析法数据分析法是攻防模型中常用的方法之一。
它通过收集和分析攻击者实施攻击的历史数据,挖掘攻击者的攻击特征,为防御者提供一定的参考。
同时,数据分析法可以通过网路流量的捕获和抓包,分析网络数据包中包含的有用信息,确定是否存在异常的网络流量,从而及时发现网络攻击行为。
被动型P2P蠕虫后期传播分析
P P蠕虫感染节点后会在节点共享文件夹 中生成伪装 的 2
蠕虫文件提供给其他节点下载, C 以 表示增加的蠕虫文件数, 以 G表示 i 节点的蠕虫文件总数。设 i 节点初始感染概率为 与用户的安全意识相关 , 用户安全意识越高, 就越小,
,
2 相关工 作
蠕虫传播模型较著名 的有 S、SS I 、双因素模型等 , I I、SR 但 都 没 有 研 究 蠕 虫 后 期 传 播 趋 势 及 规 律 。文 献 [】 1 以 T RTme oR p i模型为基础 , T ( i - —e a ) t r 分析 了 Itre 蠕虫在 随机 ne t n 扫描传播方式下的后期传播过程 。但该模型并不能准确反映 P P蠕 虫在 P P网络内的定向传播规律 。 2 2
‘
La ePh s r p g to a y i fPa sv 2 o m s t a eP o a a i nAn l sso s i eP P W r
LU O e- i LI Ji bo A NG a W im n, U ng- ,F G ng
( ol eo Mah mai dC mp t ce c, h n qn he re iesy C o g ig 4 4 0 , hn ) C lg f te t s n o ue S ine C o g igT re e ca r Go s vri , h n qn , 0 0 0 C ia Un t
境因素对蠕虫的影响, P P蠕虫后期传播的研究不够深入。 对 2 文献【】 6分析了主机不能保持免疫力、感染蠕虫后及时关机或
一
当用户 的检查是 随机性的 , 厶是一个指数分布 ,用户 的检 则 查行为就是一个泊松过程 。同理 节点在不 同的时间间隔后重 装系统 ,其间隔时间 呈随机 性 , 重装行为也是一个泊松过
5僵尸网络翻译
外文译文僵尸网络(节选)一种网络威胁摘要僵尸网络常源于网络攻击,他能对我们的网络资源和组织的财富造成严重威胁。
僵尸网络是一系列没有抵抗能力的计算机的集合(肉鸡),他们能够被始发人(控制机)在一个普通的指挥-控制架构下远程控制。
在许多种恶意软件中,僵尸网络是现在兴起的最严重的网络安全威胁,因为他提供一种分布式平台让许多非法活动如发射许多分散的拒绝服务攻击特定的目标、病毒扩散、钓鱼和点击欺诈。
僵尸网络最重要的特点就是可以使用指挥控制通道,通过这个通道他们可以更新和指挥肉鸡。
僵尸网络对用户完整性和资源的攻击目的是多样的,包括青少年证实其组织犯罪的黑客技术,让基础设施瘫痪和给政府和组织造成经济上的损失。
本文中,了解系统如何被盯上是很重要的。
分类的重要优势在于发现问题和找到具体的防范和回复的方法。
这篇文章旨在基于攻击的技术而提供针对主流存在的僵尸网络类型的简明的概述。
一般综述僵尸网络是一种正在兴起的面向在线生态环境和计算机资源的最重要的危险,恶意的僵尸网络是分散的计算平台,主要用作非法活动,如发动分布式拒绝服务攻击、发送垃圾邮件、含特洛伊木马和钓鱼软件的电子邮件,非法散布盗版媒介和软件,强制分布、盗取信息和计算资源,电子商务勒索、进行点击诈骗和身份盗窃。
僵尸网络最重要的价值在于能通过使用多层次的指挥控制架构提供匿名的功能。
另外,个别的肉鸡并不比被控制机物理拥有,因而可以散布在世界各地。
时间、地点、语言以及法律让跨疆域追踪恶意僵尸网络变得困难。
这种特性让僵尸网络成为网络犯罪很有吸引力的一种工具,事实上给网络安全造成了巨大威胁。
关键词僵尸网络肉鸡僵尸网络的检测介绍僵尸网络是一个由无反抗力的计算机(称为肉鸡)被远程的一个人为操控端(称为主控机)控制下构成的网络。
术语“Bot”来源于单词“机器人”。
类似于机器人,僵尸程序被设计来自动地完成一些预定义的动能。
换句话说,单个的僵尸程序是运行在宿主机上并允许控制机远程控制主机的行为的软件程序。
P2P网络安全性分析
P2P网络安全性分析摘要:随着互联网规模的迅猛发展和进步,P2P网络技术逐渐得到越来越多的应用,成为计算机领域的研究热点。
P2P网络是一种网络模型,在这种网络模型中所有网络节点都是对等的,即提供服务也享用服而无需通过中心服务器的参与。
本文全面介绍P2P网络实现原理,并对其安全性进行分析。
关键词:P2P网络;路由攻击中图分类号:TP393.08 文献标识码:A 文章编号:1007-9599 (2010) 05-0000-01Analyze the Security of P2P NetworkZhang Peng(Tianjin Polytechnic University,TianJin 300160,China)Abstract:With the development of network,P2P network technology applications more widely.P2P network is a network model which all network nodes in the network model are equal,This paper de scribes the theory of P2P networks and analyze it’s security.Keywords:P2P network;Routing attacks一.P2P简介P2P是一种分布式网络,在这种网络拓扑上,计算机都处于对等地位,即提供服务也享用服,即能充当网络服务的客户机,又能响应其它计算机的请求,提供资源与服务。
整个网络彼此实现资源共享而不依赖于集中服务器,因此P2P网络发展很快,并成为今年研究的热点。
P2P网络模型参见下图:二、P2P网络中存在的安全问题(一)版权问题在P2P共享网络中存在着知识产权保护问题,P2P共享软件也迫切需要寻找一条可以与媒体发布厂商共生的道路。
网络蠕虫
静态缓冲区溢出机理
内存低端
程序段 数据段 堆栈 内存高端 stack低端 …… 局部变量 (Ebp for debug) 返回地址 Argc的值 Stack的使用
Argv的地址
stack高端
2013-3-26 49
For example
• • • • • • • • • • • • • • • • void foo(const char*input) { char buf[10]; strcpy(buf,input); printf("my name is foo\r\n");} void bar(void) { printf("You have been hacked\n");} int main(int argc, char* argv[]) { char buf[33]={"AAAABBBBCCCCDDDD EEEEFFFFGGGGHHHH"}; unsigned long bar_add; bar_add=(unsigned long)bar; memcpy(&buf[12],&bar_add,4); foo(buf); return 0; }
2013-3-26
13
目标选择算法
• • • • • • 电子邮件列表 主机列表(hosts) 被信任的系统(MAC/IP) 邻域网 域名服务查询 任意选择一个目标网络地址 (A/B/C,32bits)
14
2013-3-26
扫描引擎
检测有效的目标: • NMAP; • Xscan; …… Ref: /tools/1.html
2013-3-26
20
案例分析--Nimda
【计算机系统安全】26恶意代码
使用工具可以很容易的发现在某一端口上侦听的进 程,以及进程对应的可执行文件。
如果服务端装有防火墙,那么客户端发起的连接就 会被防火墙拦截。
如果局域网内通过代理上网的电脑,因为本机没有 独立的IP地址(只有局域网的IP地址),所以也不能 正常使用。
如RootKit、Hkdef、ByShell…
6. 拒绝服务程序,黑客工具,广告软件,间谍 软件,恶意网页……
6
病毒发展史(续1)
引导区病毒
基于文件的病毒
邮件群发病毒
台式电脑
第1代 网络病毒
台式电脑
LAN服务器
台式电脑 台式电脑 台式电脑
第2代
互联网 防毒墙
电子邮件 服务器墙
笔记本电脑
第3代
台式电脑
未修补漏洞的系统 已修补漏洞的系统
WORM_SASSER.A
染毒电脑
被感染
不被感染
随机攻击
不被感染
被感染 被感染
随机攻击
不被感染
Internet
随机攻击
不被感染
16
群发邮件型蠕虫
特点:种类、变种众多,是最常见的一类蠕虫病毒
求职信(I-Worm/Klez) 大无极(I-Worm/Sobig) 网络天空(I-Worm/Netsky) 雏鹰(I-Worm/BBEagle) 挪威客(I-Worm/MyDoom)
28
加载方式
开始菜单的启动项,基本上没有木马会用这种方式。 在Winstart.bat中启动。 在Autoexec.bat和Config.sys中加载运行。 win.ini/system.ini:有部分木马采用,不太隐蔽。 注册表:隐蔽性强,多数木马采用。 服务:隐蔽性强,多数木马采用。 修改文件关联。
大规模对等网络蠕虫仿真技术研究_吴国政
2011年8月Journal on Communications August 2011 第32卷第8期通信学报 Vol.32No.8大规模对等网络蠕虫仿真技术研究吴国政,秦志光(电子科技大学计算机科学与工程学院,四川成都 610054)摘 要:针对对等网络蠕虫具有高度动态性和规模巨大的特点,提出了适合于P2P蠕虫仿真需要的基于节点虚拟的仿真建模方法和基于双引擎的仿真体系结构。
基于节点虚拟的方法是对每个P2P蠕虫的功能和数据进行抽象和分割,通过节约计算资源和存储资源实现大规模P2P蠕虫仿真;基于双引擎的P2P蠕虫仿真结构将仿真任务的管理和网络管理分割,实现P2P蠕虫仿真的真实性和仿真规模的可扩展性。
以此为基础,设计了大规模对等网络蠕虫仿真系统,开发了相应的通用仿真平台。
在此基础之上,以BitTorrent蠕虫为例,对仿真平台进行了验证和实验分析。
结果表明,所提出的方法及开发的系统,可适用于大规模P2P蠕虫的仿真分析。
关键词:对等网络;对等网络蠕虫;分布式仿真中图分类号:TP391 文献标识码:A 文章编号:1000-436X(2011)08-0128-08 Research on large-scale P2P worm simulationWU Guo-zheng, QIN Zhi-guang(School of Computer Science and Engineering, University of Electronic Science and Technology, Chengdu 610054, China) Abstract: P2P worm has its own features and existing simulation approaches can not be used to it directly. In order to simulate large-scale P2P worm, a virtual-node based simulation approach and a double-engine based simulation architec-ture were proposed. In the virtual-node based P2P simulation solution, the data and the operation of worm nodes were separated to save computational power and storage. Therefore, large-scale P2P worms were simulated with available lim-ited physical resources in single or multiple simulating computers. In double-engine P2P simulation architecture, two en-gines, local engine and network engine, were used in simulation system. The local engine was responsible for local mes-sage processing and the network engine focused on message passing in communication network. Combined with these two engines, packet level P2P worm simulation was provided by the simulation system to enhance the fidelity and scal-ability. Experimental results showed that the novel simulation solution was practical to simulate large-scale P2P worms with high fidelity.Key words: P2P networks; P2P worms, distributed simulation1引言近年来,随着路由、查寻、应用模型等技术的日益成熟,以BitTerront、Skype、PPLive、YouTube 等为代表的对等(P2P)网络应用已经成为互联网的主要流量之一。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
1 引言
理距离不同带来的问题 ,并且更加方便了各种安全措施的部 署 ,特别是蠕虫的防御策略可以依据不同的层面采用合理的
随着 Internet 规模的不断扩大 ,网络蠕虫对计算机系统 措施 ,更加适应实际网络环境下蠕虫的传播模式 。
安全和网络安全的威胁日益增加 ,多样化的传播途径和复杂 的应用环境使网络蠕虫的发生频率增高 、潜伏性变强 、覆盖面
hances scalability of t raditio nal P2 P system , and adapt s well to t he existing network inf rast ruct ure. An aggregatio n
t ree based on dist ributed hash tables is used fo r worm recognition and obtains good result s. H POWP p rovides a good
应用前景 ,它为大规模蠕虫防御系统提供了有效的一个计算 类网络由距离相近的参与节点通过节点聚类形成 。相隔很远
平台 。
的节点分别参与不同的聚类网络 。每一个聚类网络中根据能
针对当前 P2 P 重叠网络在蠕虫检测应用中存在的问题 , 力选取一个节点 (多个后备节点) 担任该聚类的超级节点 ( Su2
本文提出一种面向蠕虫防御的层次化 P2 P 重叠网 ( Hierachi2 per Node) 。各个聚类网络选择出的超级节点组织成结构化
cal Peer2to2Peer Overlay Network for Wo rm Prevention ,简称 重叠网 络 , 它 们 可 以 是 任 何 已 有 的 结 构 化 重 叠 网 络 , 如
H POWP) 的构造方法 。H POWP 通过层次式的 P2 P 构架进 Chord 、CAN 、Past ry 或 Tapest ry 等 。高层 P2 P 重叠网继承了
图 2 A TD H T 聚合计算示意图 其中 , A TD H T 中 共 有 11 个 节 点 ( nodel , node2 , …, node11) ,各个节点分别存储着 11 个本地数据 ( x1 , x2 , …, x11) ,通过逐层聚合计算 , 最终根节点 node11 获得了最终的 计算结果 。 2. 3 CAN 中 ATD HT 的构造 本文采用 CAN 作为应用背景讨论 A TD H T 的构造 ,其 他拓扑类型的网络都可以基于相同的思想 ,根据具体的拓扑 构建方法有所不同 。CAN 是 D H T 重叠网的代表方案之一 , 以它作为实例并不失一般性 。 CAN 的虚平面是 d 维环空间 (d2torus) ,每个节点负责维 护邻近的超立方体空间 。为叙述方便 ,这里讨论二维 CAN , 所得结论可适用于任何维数 CAN 。CAN 最主要算法的是节 点路由算法 ,即 key 查询算法 。每个节点存有 2 d 个邻居节点 信息 ,如节点提出对具有 key 的内容进行查询 ,则分别计算 key 的 x 轴哈希函数和 y 轴哈希函数函数值作为〈key ,value〉 在虚平面上的坐标点 ,通过将查询消息不断传递给距离目标 坐标点更近的邻居节点 ,到达负责目标坐标点所在子空间的 节点 ,完成查询路由 。依据该路由规则 ,我们可以方便地构造 CAN 中的一棵聚合树 。对于 18 个节点的 CAN , 以 N0 为 A TD H T 根节点的路由路径如图 3 所示 。
图 3 CAN 的路由图 根据聚合树的构造算法 ,我们构造该例中以 N0 为根节 点的聚合树如图 4 所示 。
3 基于 HPOWP 的蠕虫预警机制
为了应对蠕虫带来的威胁 ,人们提出了各种各样防御蠕 虫的方法 ,但目前使用的方法和策略还不能有效地阻止蠕虫 的快速传播和破坏 ,这很大程度上归因于蠕虫扩散的规模和 速度 ,导致现有安全防御系统难以迅速作出预警和响应 。要 遏制蠕虫需要解决几个关键问题 : ①准确识别蠕虫 ; ②迅速预
·82 ·
一般处于 Internet 体系结构的较高层次 ,具有高存储能力 、高 处理能力和高带宽 ,组成的高层结构化重叠网降低了网络的 异质性带来的影响 ,使得相关应用更具可行性 。
图 1 H POWP 网络拓扑图
2. 2 基于 D HT 的分布式数据聚合算法 随着 P2 P 网络的不断增大 ,从 P2 P 各个节点聚集信息变 得越来越重要 ,例如基于 P2 P 的网络存储应用 、对 D H T 重叠 网估算网 络尺 寸以 及 计 算各 个 节 点 相关 数 据 的 统计 信 息 ( M I N () , M A X ( ) , COU N T ( ) , S U M ( ) , A V G( ) ) 等应用 。以 图的方式简要描述分布式聚合计算 :用一个无向图 G( V , E) 表示 P2 P 网络 ,其中 ,顶点集合 V 包含 n 个节点 ,边集合 E 指 定了节点间的连接关系 。在 P2 P 网络中 , 每个节点 i 在时间 段 t 拥有一个局部数据 x i ( t) ∈βX , 其中 , 1 ≤i ≤n。对于某个 给定的聚合函数 f : X + →X , 分布式聚合计算就是在分布式 的网络环境下算出所有局部数据的聚合结果 g ( t) = f ( x1 ( t) , x2 ( t) , …, x n ( t) ) 。 本文提出的在蠕虫防御领域的一个重要应用就是在高层 D H T 重叠网统计特定蠕虫预警信息的全局情况 。这就需要 从不同的超级节点将特定蠕虫的预警信息聚集到 Key (对信 息内容进行散列的键值) 所对应的节点上 ,如果遇到蠕虫爆发 的情形 ,将会有大量类似的预警信息同时向一个节点汇聚 ,这 样可能造成系统拥塞 ,影响预警的效果 。因此 ,直接由各个节 点汇聚信息并不合理 ,需要建立分布式数据聚合方法 ,以高效 的方式统计相关蠕虫预警信息 。 首先 ,我们对所研究的目标问题进行限制 ,假设这里要计 算的聚合函数 f ∶X + →X 是可以分解计算的 , 即 f ( x1 ∪x2 ∪x3 ) = f ( f ( x1 ) , f ( x2 ) , f ( x3 ) ) ,其中 , x1 , x2 , x3 < X 并且 x 1 ∩x2 ∩x3 = <。前面提到了一些聚合计算 , 如 M I N ( ) 、M A X () 、COU N T () 、S U M () 和 A V G() 等 ,都是可以分解的 。从而 , 对一个大规模数据集合的聚合计算问题可以通过局部分解计 算后递归聚合 ,而且每次计算后输出结果的数量都会少于输 入数据的数量 ,计算的时间和空间复杂度都将逐步递减 ,这对 于大规模网络环境下数据的分布式聚合计算很有意义 。由于 我们统计蠕虫预警信息的方法也是类似的线性计算 ,因此该 假设是成立的 。 为了解决聚合问题 ,我们引入基于 D H T 的聚合树 ( Ag2 gregatio n Tree Based o n Dist ributed Hash Tables ,简称 A T2 D H T) ,基于结构化重叠网的路由算法构造一个树形结构 。 在 A TD H T 中 ,每个节点对其儿子节点的数据计算 f ,结果提 交其父节点 。通过自底向上计算 f , 根节点将获得最终的全 局聚合数值 ,而根节点的计算工作仅仅是对其儿子节点计算 相关数值 ,计算全局聚合数值的过程如图 2 所示 。
一步提高了传统 P2 P 系统的可缩放性 ,有效地与现有网络基 结构化重叠网络的结构特性 ,如规则连接 、分布式哈希表空间
础设施的拓扑结构相适应 ,减少现有 P2 P 网络逻辑距离与物 和路由能力等 。超级节点是各个聚类网络中最核心的节点 ,
3 ) 基金项目 :CN GI 示范工程 2005 年研究开发 、产业化及应用试验项目“面向 IPv6r 的互联网安全体系结构和关键技术研究”(CN GI2042622 T) 。 周 瑛 博士研究生 ,主要研究方向 :信息安全 、网络与网络关键技术 ;吴中福 教授 ,博士生导师 ,主要研究方向 :远程教育 、网络与网格关键技 术 、信息安全 ;钟 将 讲师 ,博士 ,主要研究方向 :网络安全 、免疫计算 。
机制 。面对蠕虫的大范围传播 ,小范围的检测和防御手段无 查询优化等[1] 。这也是本文构建基于 P2 P 的蠕虫防御系统
法进行立体防御 ,需要全局信息的分析才能确定蠕虫的爆发 将要面临的挑战 。采用层次化 P2 P 重叠网模型作为相关研
并采取相应的防御措施 ,因而有必要构建一个全局性的蠕虫 究的基础网络平台拓扑结构 ,充分考虑了蠕虫防御系统所面
solutio n for wo rm p reventio n in t he large2scale and co mplex netwo rk environment .
Keywords Wo rm , Prevention , Hierachical , P2 P overlay netwo rk
Abstract To solve t he p ro blem of Worm in large2scale netwo rk environment , A hierachical Peer2to2Peer overlay net2 work for worm p revention is p ropo sed in t his paper as H POWP. On hierachical P2 P st ruct ure , H POWP f urt her en2
联动防御机制 ,快速共享蠕虫的预警信息 ,达到联合遏制蠕虫 对的复杂网络环境及相关检测算法与策略的应用 。面向蠕虫
传播和破坏的目的 。
防御的层次化 P2 P 重叠网 ( H POWP) 的网络拓扑图如图 1 所
目前 ,研究在 Internet 范围内研究蠕虫的传播模式和防 示 。H POWP 融合了结构化覆盖网络的规则路由能力 ,以支
2 面向蠕虫防御的层次化 P2P 重叠网
更广 ,造成的损失也更大 。与传统的主机病毒相比 ,网络蠕虫