基于ssfnet的網(wǎng)絡(luò)蠕蟲(chóng)實(shí)驗(yàn)床

1、基于SSFNet的網(wǎng)絡(luò)蠕蟲(chóng)實(shí)驗(yàn)床,荊濤 周慶國(guó) 武文忠jingtaojackie@yahoo.com.cn蘭州大學(xué)網(wǎng)絡(luò)中心高性能實(shí)驗(yàn)室2004-12-26,OUTLINE,研究背景網(wǎng)絡(luò)蠕蟲(chóng)仿真SSFNET簡(jiǎn)介網(wǎng)絡(luò)蠕蟲(chóng)仿真實(shí)驗(yàn)床實(shí)現(xiàn)結(jié)論,研究背景,蠕蟲(chóng)危害蠕蟲(chóng)研究現(xiàn)狀,蠕蟲(chóng)危害,蠕蟲(chóng)的研究現(xiàn)狀,蠕蟲(chóng)傳播策略的研究[2]理論蠕蟲(chóng)[1]：Warhol worm ，F(xiàn)lash worm 蠕蟲(chóng)傳播的復(fù)雜網(wǎng)絡(luò)結(jié)構(gòu)的研究蠕蟲(chóng)的防

2、范研究,網(wǎng)絡(luò)仿真技術(shù)研究,網(wǎng)絡(luò)仿真是對(duì)網(wǎng)絡(luò)行為的抽象考慮網(wǎng)絡(luò)行為的網(wǎng)絡(luò)本身性質(zhì)安全,高效,低成本,網(wǎng)絡(luò)蠕蟲(chóng)仿真,概念：通過(guò)現(xiàn)有的計(jì)算機(jī)、操作系統(tǒng)、軟件環(huán)境，利用相應(yīng)的數(shù)學(xué)抽象模型，建立仿真環(huán)境，模擬網(wǎng)絡(luò)蠕蟲(chóng)傳播，進(jìn)而對(duì)網(wǎng)絡(luò)蠕蟲(chóng)進(jìn)行研究。研究手段：從蠕蟲(chóng)的傳播機(jī)理入手，分析蠕蟲(chóng)傳播策略特點(diǎn)，進(jìn)而分析研究蠕蟲(chóng)的對(duì)抗，防范技術(shù)；從改善網(wǎng)絡(luò)結(jié)構(gòu)本身入手，分析網(wǎng)絡(luò)結(jié)構(gòu)對(duì)蠕蟲(chóng)傳播的影響，不同類(lèi)型網(wǎng)絡(luò)中蠕蟲(chóng)傳播的特點(diǎn)，找到蠕蟲(chóng)傳播的網(wǎng)絡(luò)相關(guān)性。

3、,蠕蟲(chóng)的傳播模型,1 . 簡(jiǎn)單傳染病模型：dI(t)/dt = βI(t)[N-I(t)] 2. Kermack - Mckendrick 模型：[3] dS(t)/dt = -βs(t)I(t) (3) dI(t)/dt = βS(t)I(t) –γI(t) (4) dR(t)/dt = γI(t) (5) t 時(shí)刻蠕蟲(chóng)

4、傳播過(guò)程中，易感主機(jī)數(shù)目，感染主機(jī)數(shù)目，移除主機(jī)數(shù)目隨時(shí)間t的變化模型。 β ，γ分別為感染參數(shù)和移除參數(shù)3. AAWP（Analytical Active Worm Propagation） 傳播模型：Ni+1 = (1-d-p)ni + [(1-p)iN - ni][1-(1 – 1/232)sn4],,,KM模型,AAWP模型,SSFNet網(wǎng)絡(luò)仿真軟件,SSFNet[4]是一個(gè)Internet網(wǎng)絡(luò)協(xié)議的仿真和建模軟件 可擴(kuò)展

5、仿真建模的并行運(yùn)算環(huán)境 在SSF上實(shí)現(xiàn)的面向?qū)ο蟮恼Z(yǔ)言－DML（Domain Modeling Language ）分為SSF.OS（主機(jī)，操作系統(tǒng)相關(guān)的建模，尤其是協(xié)議）和SSF.NET（建立網(wǎng)絡(luò)連接，實(shí)現(xiàn)節(jié)點(diǎn)和鏈路的配置）SSFNet提供的協(xié)議支持包括：IP,TCP,UDP,SOCKET,OSPF,BGP4,HTTP等等 支持windows,linux,Unix系列操作系統(tǒng)，java環(huán)境支持 可以進(jìn)行網(wǎng)絡(luò)協(xié)議，系統(tǒng)仿真，蠕

6、蟲(chóng)傳播等網(wǎng)絡(luò)研究的仿真模擬與傳統(tǒng)的仿真軟件相比，它占用資源小得多，對(duì)操作系統(tǒng)有廣泛的支持，運(yùn)算效率高。,SSFNet蠕蟲(chóng)仿真包,SSF.App.Worm ，Michael Liljenstam博士[5]編寫(xiě) ，用戶(hù)可以自行修改相關(guān)代碼，設(shè)計(jì)蠕蟲(chóng)傳播模型。能夠模擬蠕蟲(chóng)傳播的SI,SIS,SIR傳染病模型WormprotocolsessionMacroscopicModel定義宏觀(guān)傳播狀態(tài),SSFNet層次結(jié)構(gòu)模型,實(shí)驗(yàn)床的實(shí)現(xiàn):,

7、DML語(yǔ)言定義網(wǎng)絡(luò)的微觀(guān)傳播狀態(tài) 定義蠕蟲(chóng)包中的相應(yīng)傳播類(lèi)庫(kù)文件 ：*WormEpidemic.java ，*Intializer.java ，MeanRate*.java *IPSpaceDistr定義IP地址分布,類(lèi)Flash蠕蟲(chóng)仿真實(shí)現(xiàn),具有Flash蠕蟲(chóng)的傳播特性：攻擊表自動(dòng)分成n塊 ；對(duì)應(yīng)攻擊表的1/n復(fù)制給對(duì)應(yīng)塊的感染結(jié)點(diǎn) 我們?nèi)為10，網(wǎng)絡(luò)帶寬10Mbit/sec 網(wǎng)絡(luò)結(jié)構(gòu)的數(shù)據(jù)來(lái)自O(shè)regon大學(xué)的“Route

8、 Views”項(xiàng)目計(jì)劃[6]，反應(yīng)的是真實(shí)網(wǎng)絡(luò)中各個(gè)AS的拓?fù)浞植记闆r。使用SI 模型定義相關(guān)的類(lèi)庫(kù)文件，F(xiàn)lashMeanRateWormTraffic.java，F(xiàn)lashWormEpidemicInitializer.java,仿真?zhèn)鞑ソY(jié)果：,實(shí)驗(yàn)結(jié)論,傳播主機(jī)數(shù)目300,000臺(tái)，實(shí)驗(yàn)帶寬采用10M，F(xiàn)lash蠕蟲(chóng)的理論傳播帶寬為622MB/s,當(dāng)Flash蠕蟲(chóng)在此帶寬傳播時(shí)相當(dāng)于理論攻擊時(shí)間為30分鐘左右，與最后得出的結(jié)果

9、43分鐘是同一量級(jí) 實(shí)驗(yàn)床可以滿(mǎn)足網(wǎng)絡(luò)蠕蟲(chóng)研究的基本要求,未來(lái)的研究,不同網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)下的動(dòng)力學(xué)機(jī)制 蠕蟲(chóng)傳播的相關(guān)特點(diǎn) 仿真環(huán)境下，網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的描述及生成,參考文獻(xiàn),[1] S.Staniford, V. Paxson, and N. Weaver, How to own the Internet in Your Spare Time,Proc. 11th Usenix Security Symp . (Security’02

10、), Usenix Assoc.,2002;www.icir.org/vern/papers/cdc-usenix-sec02/[2]文偉平，卿斯?jié)h，蔣建春等，網(wǎng)絡(luò)蠕蟲(chóng)研究與進(jìn)展[J]，軟件學(xué)報(bào)，2004，Vol.15,No.8,1208-1219頁(yè) [3] M.Liljenstam, Y.Yuan, BJ Premore , etc, A Mixed Abstraction Level Simulation Model of La

11、rge-Scale Internet Worm Infestations, in Proceedings of the Tenth IEEE/ACM Symposium on Modeling[4] SSF-Scalable Simulation Framework. URL: http://www.ssfnet.org/homePage.html ,2004 [5] SSF.App.Worm.URL: http://www.crh