1 / 40

网络病毒仿真分析与网络安全评价

山西省计算机学会 2013 年学术年会. 网络病毒仿真分析与网络安全评价. 宋礼鹏 中北大学 计算机与控制工程学院. 相同之处:预测网络病毒的危害性,提供对抗措施 区别:针对病毒的还是针对网络的方法. 网络病毒仿真分析与网络安全评价. 建立网络攻防 实验环境 ,评价网络受到各种入侵 / 攻击时的脆弱 性,可能的加固措施. 建立网络病毒仿真模型,刻画其传播特性并分析病毒 传播手段 、 网络结构与环境 对病毒传播的影响,可能的防御措施. 网络病毒仿真分析与网络安全评价. 网络病毒仿真分析. 仿真分析方法 数学解析模型 未来研究工作设想. 网络安全评价.

cisco
Download Presentation

网络病毒仿真分析与网络安全评价

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 山西省计算机学会2013年学术年会 网络病毒仿真分析与网络安全评价 宋礼鹏 中北大学 计算机与控制工程学院

  2. 相同之处:预测网络病毒的危害性,提供对抗措施相同之处:预测网络病毒的危害性,提供对抗措施 区别:针对病毒的还是针对网络的方法 网络病毒仿真分析与网络安全评价 建立网络攻防实验环境,评价网络受到各种入侵/攻击时的脆弱 性,可能的加固措施 建立网络病毒仿真模型,刻画其传播特性并分析病毒传播手段、网络结构与环境对病毒传播的影响,可能的防御措施

  3. 网络病毒仿真分析与网络安全评价 • 网络病毒仿真分析 • 仿真分析方法 • 数学解析模型 • 未来研究工作设想 • 网络安全评价

  4. 建模、理论分析 验 证 随机仿真 引入网络环境仿真技术,构建网络病毒传播仿真环境。优点:可以充分考虑网络带宽、延迟、协议等的影响,更加真实地模拟病毒的传播过程。不足:存在规模限制瓶颈,不适用于大规模网络病毒传播特性仿真。 将病毒传播看作一个Markova过程,采用离散时间的方法推进仿真过程。优点:相对于数学解析模型考虑更多的节点中间状态信息和随机因素的影响;不足:不能像数据包级仿真那样考虑网络带宽、延时等因素的影响。 仿真分析方法 由一组微分方程或递归公式构成。不足:对网络做了许多抽象假设,难以刻画网络结构特征,不考虑网络带宽、延迟和协议的影响,随机因素考虑不足;优点:计算效率高,适用于大规模网络病毒传播特性的宏观分析。 • 数学解析模型 • 数据包级仿真模型 • 仿真

  5. 网络病毒仿真分析与网络安全评价 • 网络病毒仿真分析 • 仿真分析方法 • 数学解析模型 • 未来研究工作设想 • 网络安全评价

  6. 数学解析模型 ——依据传播特性划分 扫描型网络病毒是通过网络扫描发现漏洞主机进行传播的病毒。扫描型网络病毒模型就是针对这类病毒的模型 • 扫描型网络病毒模型 • 网络扫描+移动介质传播病毒模型 针对既可以通过网络扫描又可以借助感染移动介质进行传播的网络病毒模型

  7. 基于随机生成IP地址扫描 internet 易感 机器 感染 机器 扫描型网络病毒模型 扫描型病毒把网络抽象成随机图,图中任何机器节点间均有连边(依概率连边),节点的度相同,均质网络 扫描型网络病毒利用内置的随机算法生成扫描对象的IP地址(地址序列),然后通过网络入侵来感染目标对象(机器)。 扫描型网络病毒传播过程示意 新感染 机器

  8. SIS模型: 感染 仓室模型:将机器划分为2种状态/仓室 机器重装引起的重新易感 Susceptible Computer (S) Infected Computer (I) J.O. Kephart, S.R. White, Directed-graph epidemiological models of computer viruses. In: IEEE Symposium on Security and Privacy, Oakland, 1991 扫描型网络病毒模型 基于SIS模型和有向网络,首次给出了病毒的传播模型,刻画了早期网络病毒借助文件共享传播的特性。

  9. S. Staniford, V. Paxson, N. Weaver,How to own the Internet in your spare time. In: Proceedings of the 11th USENIX Security Symposium, 2002 Infected Computer (I) Susceptible Computer (S) 扫描型网络病毒模型 早期的网络病毒传播特别快,对这类病毒通常仅研究病毒爆发后较短时间内的传播特性,这时不需要考虑感染机器的恢复问题。 SI模型: 利用SI模型对Red Code 蠕虫爆发初期情况做了预测 蓝色是实测数据,红色是模型预测结果。

  10. AS间的交叉感染 不考虑带宽 限制的情况 AS2内感染 者变化方程 对内部机器的感染 AS1内感染者变化方程 考虑带宽限制 后的情况 扫描型网络病毒模型 因此,考虑带宽限制后预测值下降很多,有助于准确刻画Slammer蠕虫的实际传播过程。 蓝色是实测数据,红色是SI模型预测结果。1800秒后预测值远大于实测值 SI模型预测Slammer蠕虫: SI间隔模型: 将整个网络看成由多个AS构成的子网络,病毒在每个AS内可全速传播,在AS间传播速率受带宽制约。 蠕虫的扫描速率太快,网络无法保证蠕虫全速传播所需要的带宽,因此传播受到带宽的制约 G. Serazzi, S. Zanero, Computer virus propagation models. In: Proceedings of 11th IEEE/ACM Symposium on Modeling, Analysis and Simulation of Computer and Telecommunication Systems , 2003

  11. 感染 由系统杀毒和给漏洞打补丁使感染者成为免疫者 Susceptible Computer (S) Infected Computer (I) Recovered Computer (R) Infected Computer (I) Recovered Computer (R) Susceptible Computer (S) Contaminated Computer (C) 扫描型网络病毒模型 增加C仓室表示感染病毒但不具备传播病毒能力的机器;此外,考虑用户自主杀毒、打补丁情况.利用这种模型更好地刻画了感染率底且具有潜伏性的网络病毒。 另一类重要的仓室模型,与SI/SIS模型相比增加了对病毒具有免疫力的R仓室,适用于在较长的时间范围内考虑病毒的传播特性。 SIR模型: SCIR模型: J.R.C. Piqueira, A.A. de Vasconcelos, C.E.C.J. Gavriel et al., Dynamic models for computer viruses[J]. Computers and Security, 2008, 27: 355-359.

  12. 扫描型网络病毒模型 Susceptible Computer (S) Infected Computer (I) Recovered Computer (R) 与前面增加潜伏期仓室C的模型不同,论文中将时滞作为变量,研究了时滞对具有潜伏期的网络病毒传播过程的影响。 SIR+时滞: X. Han, Q.L. Tan, Dynamical behavior of computer virus on Internet. Applied Mathematics and Computation, 2010

  13. 扫描型网络病毒模型 另有一类网络病毒,利用网络应用 (Email, QQ,微博等)所形成的覆盖层网络结构信息(如:Email地址薄网络)寻找漏洞主机进行扫描传播——拓扑依赖扫描型网络病毒。 前面建立的均是基于均质网络假设的模型,无法刻画这类病毒 研究表明网络应用形成的网络是异质网络,如Email地址薄网络节点度分布服从幂律分布,即绝大多数用户地址薄的好友数不多(几十个至一百多),但存在少量节点其好友数可达成千上万。

  14. 扫描型网络病毒模型 该模型对不同度的个体给出了不同的方程。若K为最大度,则共2K 个方程 SIS模型: 基于SIS模型建立了能反映异质网络结构影响的病毒模型 R. Pastor-Satorras, A. Vespignani, Epidemic dynamics and endemic states in complex networks. Physical Review E, 2001

  15. 异质模型: 均质模型:

  16. 基于模型重点仿真了用户查收邮件时间和打开附件概率对邮基于模型重点仿真了用户查收邮件时间和打开附件概率对邮 件病毒传播的影响。 基于元胞自动机和SIS模型,研究机器节点/用户为了规避病 毒感染所采取的自适应行为对病毒传播的影响。并对比了病 毒在均质网络(四邻居网格,随机图)和异质网络(无尺度网) 中的传播差异 扫描型网络病毒模型 异质性模型或带度的模型理论分析很困难,因而许多研究都是基于模型的Monte Carlo仿真 Cliff C. Zou, Don Towsley, Weibo Gong, Modeling and Simulation Study of the Propagation and Defense of Internet E-mail Worms. IEEE TRANSACTIONS ON DEPENDABLE AND SECURE COMPUTING, 2007 宋玉蓉, 蒋国平, 徐加刚, 一种基于元胞自动机的自适应网络病毒传播模型. 物理学报, 2011

  17. 针对邮件病毒建立带潜伏期的SEIS模型,不同于Zou等人给出的针对邮件病毒建立带潜伏期的SEIS模型,不同于Zou等人给出的 模型,该模型考虑了用户重复收到不同好友邮件导致打开带病 毒附件概率增加的情况,更好地刻画了基于小世界网络(聚类系 数高)传播的邮件病毒 扫描型网络病毒模型 Y.H. Li, J.X. Pan, Z. J, Dynamic Modeling and Analysis of the Email Virus Propagation. DDNS, 2012

  18. Susceptible Computer (S) Infected Computer (I) Recovered Computer (R) Antivirus Computer (A) S类和I类个体被 Anti-virus感染, 感染后对原virus免疫 扫描型网络病毒模型 前述的研究关注于准确地刻画网络病毒的传播特性;事实上,利用数学解析模型刻画网络病毒的传播过程,最终是为控制网络病毒服务的 F. Yang, H.X. Duan, X. Li, Modeling and analyzing of the interaction between worms and antiworms during network worm propagation. Science in China Ser. F, 2005 借鉴网络病毒的传播思想,发布可传播的Anti-病毒代码,进而修复感染机器 存在问题是Anti-virus/良性病毒同样会消耗网络带宽。 这些论文同样给出了基于良性网络病毒的病毒对抗技术 文章给出了Anti-virus的发布时间和感染率阈值,时间小于或感染率大于阈值可确保Virus的灭绝 • 周翰逊,赵宏,主动良性蠕虫和混合良性蠕虫的建模与分析. 计算机研究与发展,2007 • S. Tanachaiwiwat, A. Helmy, Encounter-based worms: analysis and defense. Ad Hoc Network, 2009

  19. 扫描型网络病毒模型 J.R. Crandall, R. Ensafi, S. Forrest, et al., The Ecology of Malware, NSPW’08, 2008 L.P. Song, Z. Jin, G.Q. Sun, Modeling and analyzing of botnet interactions. Physica A, 2011 作者提出了网络病毒“生态学”的观点,就是通过研究网络病毒本身间形成的复杂交互关系找到控制病毒的有效方法,而不是在网络中传播Anti-virus代码。 建立了蠕虫病毒间的交互模型,同时考虑了人类自适应行为的影响,并给出针对性的病毒灭绝条件 基于博弈论给出了僵尸网络之间的交互模型,得到了诱导僵尸网络病毒竞争的条件和在竞争策略下确保病毒灭绝的条件 L.P. Song, X. Han, D.M. Liu, et al., Adaptive human behavior in a two-worm interaction model. DDNS, 2012

  20. Susceptible Computer (S) Infected Computer (I) Recovered Computer (R) S和I类个体收到身边恢复个体的警告恢复为R。其中 恢复者; 是对警告的信任度。 扫描型网络病毒模型 J.M. Fu, B.L. Chen, H.G. Zhang, A worm containment model based on neighbor-alarm. LNCS, 2007 这是另外一类具有里程碑意义的研究工作。提出了基于邻居间协作警告来实现网络病毒的遏制。 还有一些后续的文章研究了如何提高邻居间的协作性和信任度、以及评价警告可靠性等。

  21. 这是可操作性很强的又一项研究工作。文中基于离散SIR模这是可操作性很强的又一项研究工作。文中基于离散SIR模 型和分支过程,给出网络最大扫描次数的阈值。对一个局域 网依据该阈值可以确保病毒的灭绝。 扫描型网络病毒模型 S.H. Sellke, N.B. Shroff, S. Bagchi, Modeling and automated containment of worms. IEEE TRANSACTIONS ON DEPENDABLE AND SECURE COMPUTING, 2008

  22. 数学解析模型 • 扫描型网络病毒模型 • 网络扫描+移动介质传播病毒模型

  23. 网络扫描+移动介质传播病毒模型 同时利用网络扫描和移动介质传播的病毒通常网络扫描率很低,基于流量检测的技术很难检测到,隐蔽性好。此外,该类病毒常以与Internet物理隔离的工业/军事网络为目标,因而带来的危害性大,如震网“Stuxnet”病毒就成功逼停了伊朗的布什尔核电厂。

  24. 网络扫描+移动介质传播病毒模型 L.P. Song, Z. Jin, G.Q. Sun, J. Zhang, X. Han, Influence of removable devices on computer worms: Dynamic analysis and control strategies, Computers and Mathematics with Applications, 2011 C. Jin, X.Y. Wang, Analysis and control stratagems of Flash Disk Virus dynamic propagation model. Seeurity and Communieation Networks, 2012 L. Yang, X. Yang, The spread of computer viruses under the influence of removable storage devices. Applied Mathematics and Computation, 2012. Q. Zhu, X. Yang, J. Ren, Modeling and analysis of the spread of computer virus, Communications in Nonlinear Science and Numerical Simulation, 2012 X. Han, Y.H. Li, L.P. Feng, L.P. Song, Influence of removable devices’ heterouse on the propagation of malware. Abstract and Applied Analysis, 2014

  25. b1 网络扫 描的感 染率 杀毒软 件导致 的恢复率 Susceptible Computer (S) Infected Computer (I) Recovered Computer (R) b2 机器淘 汰率, 引入率 Susceptible Removable Device (MS) Infected Removable Device (MI) 移动设备和 机器的交叉感染率 移动设 备的淘 汰率, 引入率 网络扫描+移动介质传播病毒模型 不考虑移动设备时 网络扫描感染(基 于SIR模型) L.P. Song, Z. Jin, G.Q. Sun, J. Zhang, X. Han, Influence of removable devices on computer worms: Dynamic analysis and control strategies, Computers and Mathematics with Applications, 2011 这是第一篇论文,在这篇论文中建立了机器与移动设备交叉感染的模型。 移动设备的部分 (基于SIS模型)

  26. 网络扫描+移动介质传播病毒模型

  27. 控制移动设备的数量(减小 )、减小移动设备 和机器间交叉感染的可能性(减小 )、及时的对移动设备杀毒(增大 ),均有助于控制病毒的传播; 结论 • 移动设备的使用有助于网络蠕虫的传播; • 最有效的手段是减小移动设备和机器间交叉感染 的可能性。

  28. X. Han, Y.H. Li, L.P. Feng, L.P. Song, Influence of removable devices’ heterouse on the propagation of malware. Abstract and Applied Analysis, 2014 在这篇文章中,我们进一步考虑了移动设备在不同区域使用行为的异质性问题。 区别就是移动设备机器交叉感染项增加了函数D。

  29. 结论 • 不考虑异质性使用行为的模型通常放大了移动设备使用的危害性; • 存在一个较小的半径,确保该区域内移动设备的安全即可确保物理隔离网络的安全。

  30. 网络病毒仿真分析与网络安全评价 • 网络病毒仿真分析 • 仿真分析方法 • 数学解析模型 • 未来研究工作设想 • 网络安全评价

  31. 传播手段单一、扫描率快且与网络 结构无关,数学模型可以提供有效 网络病毒防御策略。 病毒种类繁多、传播手段复杂、 对宿主危害小、受网络结构和延 迟影响大,数学解析模型难以刻画。 开始研究病 毒数学模型 震网病毒被曝光,网络病毒变得极其 复杂,APT(高级可持续威胁)概念提 出,国家级玩家开始出现。 建立基于ISP的网络病 毒传播及防御模型; 未来研究工作设想 时间轴 报告人 网络病毒 2003 病毒的复杂、繁多和对宿主机器危害性的减小使得个体用户或局域网管理者没有积极性和能力承担防御病毒的职责。但我们过去却试图以他们为防御主体来建模。 国家变得更加关注网络空间的安全问题,ISP有能力防御网络病毒但缺乏积极性,建模、为国家激励ISP防御病毒服务 2008 2009.9 2010 2011 2012

  32. 网络病毒仿真分析与网络安全评价 • 网络病毒仿真分析 • 网络安全评价 • 安全评价方法 • 基于随机模型的评价方法 • 未来研究工作设想

  33. 需要将目标网络的主要设备和网络结构进行复原,其测试的结果准确、但造价高且可扩展性差。需要将目标网络的主要设备和网络结构进行复原,其测试的结果准确、但造价高且可扩展性差。 相对造价较低,但仍需模拟网络协议、流量、拓扑等,并开发针对性的仿真程序,测试结果有一定的价值,但仍存在很大的局限性。 建立网络设备模型、拓扑结构模型和攻防模型,借助随机假设描述系统某些因素。计算性能高,可扩展性好。 网络安全评价方法 • 真实设备的攻防实验环境 • 虚拟设备的攻防实验环境 • 基于随机模型的评价方法

  34. 网络病毒仿真分析与网络安全评价 • 网络病毒仿真分析 • 网络安全评价 • 安全评价方法 • 基于随机模型的评价方法 • 未来研究工作设想

  35. 利用博弈模型刻画攻防过程中的交互博弈, 为防御策略选择提供依据。 首次将随机模型的方法引入网络安全评价中 考虑攻击者意图对攻击手段,攻击时机的影响。 基于随机模型的评价方法 B. Littlewood, S. Brocklehurst, N. Fenton, et al., Towards operational measures of computer security. Computer Security, 1993 D.M. Nicol, W.H. Sanders, K.S. Trivedi, Model-based evaluation: From dependability to security. IEEE Transaction on Dependability and Security, 2004 W. Jiang, B.X. Fang, Z.H. Tian, et al., Evaluating network security and optimal active defense based on attack defense game model. Chinese Journal of Computer, 2009

  36. 强调对网络安全进行定量分析的重要性,并建立了网络强调对网络安全进行定量分析的重要性,并建立了网络 安全评价指标体系 建立了量化的、可操作性强的网络攻防评价方法。建立 了完整的评价体系,包括各类模型和评价指标。 基于随机模型的评价方法 Y. Liu, K.S. Trivedi, A general framework for network survivability quantification. In: Proceedings of the 12th GI/ITG Conference on Measuring, Modeling and Evaluation of Computer and Communication Systems (MMB) Together with 3rd Polish-German Teletraffic Symposium (PGTS), 2004 王元卓, 林闯, 程学旗, 方滨兴, 基于随机博弈模型的网络攻防量化分析方法. 计算机学报, 2010

  37. “基于随机博弈模型的网络攻防量化分析方法”文章给出的网络攻防实验环境整体架构“基于随机博弈模型的网络攻防量化分析方法”文章给出的网络攻防实验环境整体架构 由设备脆弱性、威胁参数生成基于随机Petri的攻击图 根据网络设备参数建立网络设备脆弱性模型 在随机Petri攻击图模型上引入策略和效用信息,生成攻击视角的攻防随机博弈网模型和防御视角的攻防随机博弈网模型,进一步计算攻防双方的均衡策略 根据输入的网络拓扑结构建立网络设备的连接关系模型 依据计算的稳态结果给出评价与分析

  38. 网络病毒仿真分析与网络安全评价 • 网络病毒仿真分析 • 网络安全评价 • 安全评价方法 • 基于随机模型的评价方法 • 未来研究工作设想

  39. 未来研究工作设想 • 林老师给出了安全评价模型,这种模型能评价基于设备漏洞进行攻击的威胁性,但是目前流行的社交型网络病毒不是基于设备漏洞攻击而是利于社会工程手段攻击,该如何建模评价这类病毒带来的网络安全性问题? • 2009王璞博士在《science》发表关于手机病毒 的研究,结果表明移动病毒带来的危害性很大,但相关防御研究却不多——结合人类行为动力学研究移动网络安全评价模型也是我们目前关注的。

  40. 欢迎各位专家批评指正!

More Related