毕业论文(设计)WSS 一个基于NS2 的蠕虫模拟系统.doc
WSS:一个基于NS2的蠕虫模拟系统马铭1,2 白硕1(1中国科学院计算技术研究所软件室 2中国科学院研究生院北京 100080)maming bai摘 要网络蠕虫严重威胁着互联网的安全,然而由于其爆发所具有的突然性和大规模性,使得蠕虫研究面临巨大挑战。本文介绍了一个基于NS2的蠕虫模拟系统WSS。该系统的建立主要分为三部分: 首先通过处理BGP路由表信息来获取模拟中用到的Internet抽象网络,然后以传染病学模型为基础对蠕虫传播进行建模,最后将两者在NS2中相结合实现对蠕虫传播的模拟。实验证明,WSS能够在实验室环境中获取同实际蠕虫爆发时类似的统计数据,在理解蠕虫的宏观行为、预测蠕虫的流量、传播速度及危害等方面有着广泛的应用前景。关键词 蠕虫;模拟;Internet抽象拓朴;传染病学模型;NS2WSS: a Novel Worm Simulation System Based on NS2MA Ming1,2 BAI Shuo1(Software Division, 马铭,(1978-),男,硕士研究生,主要研究方向为网络安全、大规模网络模拟。白硕,(1956-),男,研究员,博士生导师,主要研究方向为网络与信息安全、计算语言学。Institute of Computing Technology, Chinese Academy of Sciences2Graduate School of Chinese Academy of SciencesBeijing, 100080)maming baiAbstract Internet worms have been a severe threat to the Internet infrastructure and hosts recently. However, the inherent suddenness and large scale of these phenomena pose significant challenges for research on it. To facilitate the study of worms this article describes the design of a worm simulation system based on NS2 - WSS, which can be divided into three parts. First, acquire abstract Internet topology used for simulation by processing BGP routing data; Second, model the spread of worms based on the epidemiological model; Finally, integrate the previous two in NS2 to realize the simulation of worm propagation. Experiment shows that WSS can obtain similar statistical data in a laboratory setup to those from actual worm explosion, so that it has a comprehensive application prospect in better understanding of the behavior of worms, prediction of their traffic and speed, and harm evaluation etc.Key words worm; simulation; Internet topology; epidemiological model; NS21 引言自从1988年Morris蠕虫问世以来,此起彼伏的蠕虫攻击严重威胁着网络的安全,尤其近几年Nimda、CodeRed、Blaster等蠕虫的大规模爆发更是感染了数以万计的主机,造成几亿甚至几十亿美元的巨额经济损失。在这种形势下蠕虫检测、防御、建模等等一系列研究纷纷展开。但这些研究一般都面临两个问题:(1)可供分析的蠕虫爆发数据稀少;由于蠕虫爆发的突然性和大规模性,要想对其进行全面监控非常困难,目前的蠕虫爆发数据大部分是在进行其它网络实验时意外获得,其可靠性和完整性难以满足统计分析的需要。(2)没有合适的实验环境来验证研究结果。如果我们使用若干台主机搭建实验网络来分析蠕虫传播,则无法体现其在互联网上传播时的大规模特性;若我们直接在Internet上释放蠕虫进行此类实验则本身就是违法的。正是从这两点出发,我们开发了一个基于NS28的蠕虫模拟系统:WSS(Worm Simulation System),该系统能够在实验室环境中真实重现大规模蠕虫爆发时的景象,这在理解蠕虫的宏观行为、预测蠕虫的流量、传播速度及危害方面有很大帮助。而且该系统还能根据要求为蠕虫检测系统生成丰富的测试用例,更为检测系统的开发提供了重大助力。模拟蠕虫传播的困难主要在于蠕虫是在整个互联网上传播,需要模拟的是Internet这一包含数亿主机的庞大系统。所以要进行蠕虫模拟,适当的抽象必不可少。在WSS中,抽象分为两个方面:对Internet的抽象及对蠕虫传播的建模。我们将Internet抽象成一个由AS(自治系统)构成的网络,并且引入了决定域间路由的重要因素AS间商业关系。蠕虫传播模型我们以传染病学模型9为基础进行适当修改后得到。最后将抽象拓扑和传播模型在NS2上相结合以实现蠕虫模拟。2 Internet抽象拓扑的生成为了将Internet抽象为一个由AS(自治系统)构成的网络,通常的方法是通过处理BGP路由表来获取AS之间的邻接关系,以此建立一个由AS组成的网络。然而使用上述方法建立的抽象网络仅包含AS之间的连接情况,遗漏了对域间路由有重要影响的AS间商业关系。21AS之间的商业关系互联网在其商业化后在规模和复杂性上都有了很大程度的增长。Internet连接着上万的AS,AS内的路由是由域内路由协议控制,如静态路由、OSPF、IS-IS和RIP等,而AS之间的路由是由域间路由协议来控制,如边界网关协议(BGP)。域间路由协议与域内路由协议的最大不同是域间路由协议允许每个AS的管理者在选择最佳路由、要发布的路由和接受的路由信息方面有自主的路由策略。而决定路由策略的一个重要因素就是AS之间的商业关系,在1中将AS之间的关系分为了三类:(1)提供者、客户关系: 提供者为它的付费客户转发数据,而客户不会在它的两个提供者之间转发数据。该关系又可根据视角的不同分为客户-提供者关系和提供者-客户关系;(2)对等关系:一对对等关系的AS会互相转发发往各自客户的数据;(3)兄弟关系:一对兄弟关系的AS会互相转发所有的数据。由上述内容可以发现即使在网络中存在某条路径也不能代表该路径是能通行的。例如有三个AS:A、B、C,其中C同时是A和B的客户,根据商业关系的定义,A的数据不能经由C转发给B,所以A,B之间的端到端性能不能由ACB这条路径来评估。可以看出,AS之间的商业关系对互联网的端到端性能有着重要影响,因此在模拟Internet时不能忽略这一关键因素。在1中提出了一种通过分析BGP路由表获取AS之间商业关系的算法,所以我们仅需对BGP路由表进行不同处理,就能获取AS之间的连接关系、商业关系及每个AS所包含的地址空间范围等信息,从而建立一个包含AS间商业关系的抽象网络。但目前整个Internet中包含的AS数量超过了18000个,我们由于条件所限,不能使用大规模网络进行实验,所以需要合并其中的一些AS结点和边。为保证抽象拓扑的整体结构在合并前后相一致,我们将按照AS之间的商业关系进行合并。22依照AS间商业关系进行合并根据1中的统计,在Internet中AS之间的关系90.5以上是提供者、客户关系,兄弟关系低于1.5,对等关系低于8,而且对等关系一般出现在核心的AS之间。可以看出,对一对具有提供者、客户关系的AS进行合并是一个合适的选择。此外在合并过程中不应合并具有对等关系的AS,以免将核心AS合并后对整体拓扑结构造成巨大影响。根据上述分析,我们提出第一条合并规则:合并规则1:设有两个AS,A和B,若A是B的唯一提供者,且B同其它AS间不存在对等关系,则可以将B并入A。若B存在客户和兄弟,则将它们都变为A的客户。合并AS的先后顺序我们根据Internet中的幂率关系10来确定,该幂率关系指出一个AS的重要程度同它的度(其邻接AS的个数)在统计学上有着指数关系,即一个AS的度越大,它越可能是一个关键AS。因此我们在合并过程中优先选择度小的AS进行处理。图1. 应用合并规则1后的合并过程对等关系兄弟关系提供者客户关系图1描述的是采用规则1进行合并的过程,观察图1可以发现,我们的合并规则还不能处理拥有一个以上提供者的AS。然而在实际环境中存在大量拥有多个提供者的AS,并且其中大部分是拥有两个提供者的度为2的边缘AS,所以如果我们想进一步合并抽象网络,就需要对拥有2个提供者的AS进行处理。在处理拥有2个提供者的AS时,涉及到的AS一共有三个:两个提供者AS和一个客户AS。当前可以采用的处理方法有两个:将三个AS合并在一起或合并其中的一对提供者、客户AS。选择合并两个提供者AS其效果显然同合并三个AS相同。使用上面提到的任一办法,都会对AS间的商业关系造成一些破坏。若将三个AS合并成为一个,就表明两个提供者AS将通过它们的客户AS相连接,这明显同提供者、客户商业关系的定义相矛盾。而且这种影响还会由于迭代合并操作进一步扩大,使原本存在于边缘AS间的连接关系逐渐成为关键AS之间的连接,从而使整体网络结构发生改变。若我们合并其中一对提供者、客户AS,虽然客户AS必须同另一个提供者AS断开连接,但由于这种影响不会被迭代操作一步步的放大,同前一种方法相比,对整体结构造成的影响要小很多,而且还可以通过选择度为2的边缘节点来降低对整体拓扑结构的影响。可以看出,使用第二种方法进行处理是一个合适的折中选择,所以我们在此提出第二条合并规则:合并规则2:若一个AS拥有两个提供者,并且这个AS的度为2,则可将其同一个提供者的连接切断,然后将它与另一提供者合并。图2显示了增加规则2后的合并过程,在合并Internet抽象拓扑的过程中这条规则发挥了重要作用。实验中我们所使用的BGP路由表数据来自 Oregon大学的Route Views项目2,该项目定期将数十台AS边界路由器的BGP路由表数据整理公布供研究者使用,这是目前能够获得的公开的最完备的BGP路由表数据。图2. 同时应用规则1、2后的合并过程对等关系兄弟关系提供者客户关系3蠕虫传播模型为了理解蠕虫传播的特性,大量研究采用数学模型来描述其传播过程3、4、5,其中使用较多的是传染病学模型。本节我们将对该模型作出适当改进,然后以此为基础对蠕虫传播进行模拟。传染病学模型定义如下:设系统中个体数量为N,其中每个个体处于三种状态之一:S代表容易被疾病感染,I代表已被感染,R代表移除(例如被隔离、死亡或免疫)。个体的状态转变过程是SIR,也就是常说的SIR模型。该模型的数学表述如下:(1)(2)(3)其中s(t)、i(t)、r(t)分别为t时刻系统中的易感个体数量、已感染个体数量和移除个体数量,为感染参数,为移除参数,并且在任意时刻s(t)+i(t)+r(t)=N。在描述蠕虫传播时,三个状态S、I、R分别代表漏洞主机、被感染主机和不会被感染的地址(对应无漏洞主机、未被分配的地址等情况)。为了理解上面公式的含义,我们先考虑一个采用均匀随机扫描的蠕虫传播时的情况:设该蠕虫扫描的地址空间大小为,蠕虫扫描频率为 scans/s,在时间t时网络中漏洞主机的数量为s(t),被感染主机数量为i(t)。则一个扫描包击中一个漏洞主机的概率Pinf=s(t)-1。i(t)个被感染主机在秒内发出的扫描包数量为I(t),若为一很小值,则可以认为这些扫描包互不相关且目的地址都不相同,由此可推出在秒内新产生的被感染主机数量Xt符合二项分布B(I(t),Pinf)。设在这秒内有Yt台被感染主机被移除,于是我们可以得到一个描述这个系统的离散时间模型:(4)(5)(6)由于Xt符合二项分布,所以它的数学期望为E(Xt)=I(t)Pinf=I(t)s(t)-1。将这组公式同前面一组相比我们很容易看出公式(1)、(2)、(3)的来历并可得出=-1。但这个模型在描述蠕虫传播时没有体现修补漏洞主机这一环节,即SR过程,而这种情况在蠕虫爆发的后期常大量出现。所以我们将移除参数变为漏洞主机移除参数1和被感染主机移除参数2。由于在模拟中并不体现R状态主机数量的变化,所以将公式(3)从模型中去掉。修改后的模型如下:(7)(8)为获得WSS能够使用的传播模型,我们对上面的公式作进一步推导:设ASi的地址空间为Ai,在时间t时,ASi有Ii(t)个被感染主机,Si(t)个漏洞主机,在秒内ASi收到的扫描包数量为x,注意这里扫描包的数量x是在模拟过程中的实际数据。因为是在ASi范围内分析,所以一个扫描包击中漏洞主机的概率为Pinf=Si(t)Ai-1。于是在秒内新产生的被感染主机数量符合二项分布B(x,Pinf)。我们可得出在t+时刻ASi的状态为:(9)(10)(11)在WSS中,漏洞主机和被感染主机的移除参数1i、2i在t<T时为0,t>T时线性增加到1,我们发现这样设置得到的结果同蠕虫实际爆发时的情况比较吻合。设ASj的地址空间为Aj ,ASi在秒内生成了Ii(t) 个扫描包,则这段时间由ASi发向ASj的扫描包数量为:公式(9)、(10)、(11)就是在WSS中使用的蠕虫传播模型。4NS2的扩充及测试用例的生成NS2是一个用于网络研究的离散事件模拟器,能够进行包一级的模拟实验。该模拟器采用C+和TCL语言混和编写,拥有标准TCP/IP协议族(IP、ICMP、TCP、UDP、HTTP、.),是目前最优秀的网络模拟器之一。WSS是在NS2上开发的系统,它通过对NS2的功能进行扩充实现对蠕虫传播过程的模拟。41新的节点类型:ASNodeWSS的核心是一个代表AS的节点类型:ASNode,它将Internet抽象拓扑同蠕虫传播模型结合在一起。ASNode依照NS2的规范建立,由Application、Agent和Classifier三层组成。在WormApp中实现了上一章推导出的蠕虫传播模型;WormAgent负责接收来自所有AS的扫描包并通知其上层WormApp;负责路由的分类器我们采用了系统原有的AddrClassifier模块。整个结构如图3所示。WormAppWormAgentAddrClrASNodeAS级Internet拓扑蠕虫传播模型图3. ASNode示意图42路由算法在NS2中计算路由使用的是Dijkstra最短通路搜索算法,为了在路由计算中考虑AS间商业关系,我们算法中添加了对路径进行商业关系标注的操作,修改后的算法定义如下:N:网络中所有节点的集合。S:源节点。M:已由路由算法归并的节点的集合。<x,y>:标注节点x到y的商业关系。若x同y不是直接相连,则标注为-;若x到y的商业关系为对等关系或提供者客户关系,则标注为Y;其他情况标注为N。L(i,j):节点i与j之间邻接链路的权值(距离)。若两节点之间无直接相连的链路,或S到i的路径被标注为Y且i为j的客户,则等于。C(n):算法求得的当前从S到节点n的最小代价路由的代价。算法步骤:(1)置M=S。标注S到自身的路径为N,对每个节点nN-S,置C(n)=L(S,n),标注S到n的路径为<S,n>;(2)找出C(W)最小的节点WN-M加进M。对每一个节点nN-M,置C(n)=min(C(n),C(W)+L(W,n)。如果C(W)+L(W,n)小于C(n),则从S到n的路径就变成S到W的路径再加上从W到n的路径,并按下述方法修改其路径标注:若S到W的路径标注为N且<W,n>为N,则将新路径标注为N,否则标注为Y;(3)重复执行(2),直到M=N;对等关系兄弟关系提供者客户关系DCBAEFE(,-,-)D(,-,-)C(,-,-)B(1,A,N)AF(,-,-)E(,-,-)F(2,B,Y)B(1,A,N)D(3,C,Y)C(2,B,N)AE(4,D,Y)F(2,B,Y)B(1,A,N)D(3,C,Y)C(2,B,N)AE(4,D,Y)F(2,B,Y)B(1,A,N)D(3,C,Y)C(2,B,N)AF(2,B,Y)B(1,A,N)D(,-,-)C(2,B,N)AE(,-,-)(3)(1)(4)(2)(5)(6)图4. 计算从A到其它节点的最短路径图4展示了使用此算法找出A到其它节点的最短路径的过程。其中黑色节点为已确定最优路径节点,斑点节点为当前工作节点,白色节点为未确定节点。节点编号后面的三元组中第一项为路径的代价,第二项指出路径中的前一节点,第三项为该路径的商业关系标注。43测试用例的生成在进行本节讨论之前,我们先看一下Slammer蠕虫爆发时的情况,根据统计该蠕虫至少感染了75,000台主机,其平均扫描频率为4000扫描包/秒7。假设这些扫描包平均经过h个路由器到达目的主机,若进行包一级模拟,则NS2每秒需要处理的事件数量至少为750004000h=3108h。显然进行这样的模拟是不现实的,所以在WSS中,我们采用发送伪扫描包的方法来解决这一问题,即所有AS每隔一段固定时间向其它AS发送一个伪扫描包来通告在这段时间内发送的扫描包总量。由于在WSS中传递的不是实际的扫描包,为了给蠕虫检测系统提供测试用例,需要根据模拟结果生成实际的扫描包。为了生成一个扫描包,我们需要知道的主要信息有源、目的IP地址、包的到达时间及负载内容。其中IP地址可以在对应AS的地址空间中随机生成,负载可以根据需求指定任意数据。扫描包的到达时间我们通过下面的方法获取:在每个长度为的时间段内均匀的取若干个时间点,然后将该时间段内到达的扫描包在这些时间点上进行泊松展开,来确定每个包的到达时间。我们将生成的扫描包按tcpdump格式写入文件,作为测试用例提供给蠕虫检测系统。5验证和总结为了验证WSS的有效性,我们将模拟实验得到的结果同 CodeRed Iv2和Slammer爆发时的情况进行对比。CodeRed Iv2根据6中的数据,CodeRed Iv2感染了大约359,000台主机,一个蠕虫平均每分钟发出358个扫描包,其扫描空间为整个IPv4地址空间。所以在我们的实验中设置漏洞主机数量N=370,000,扫描频率=5.9扫描包/秒,扫描空间=232,伪扫描包的发送时间间隔=10秒。而且根据统计CodeRed Iv2第一次爆发时极少用户采取了修补系统漏洞的措施,所以模型中的两个移除参数1、2一直取0。图5(a)是对CodeRed Iv2第一次爆发时被感染主机数量在最初32小时内变化的评估,图5(b)为使用WSS生成的结果。可以看出,两者在很大程度上吻合。Slammer据统计Slammer蠕虫至少感染了75,000台主机,一个蠕虫平均每秒发送4000个扫描包7。所以我们设置漏洞主机数量N=80,000,扫描频率=4000扫描包/秒,扫描空间=232。由于Slammer的扫描频率很高,所以我们采用一个较小的时间间隔=1秒,而且由于这次模拟的是蠕虫爆发最初5分钟的情况,所以两个移除参数也取0。图5(c)摘自7,是对Slammer爆发后最初5分钟整个网络中扫描包数量的评估。数据来源是Wisconsin大学高级网络实验室的一个捕包网络,由于在采集的过程中程序出错,导致中间一部分数据缺失。WSS得出的结果如图5(d)中实线所示,我们发现在这次模拟中蠕虫传播的速度比实际情况快很多。在7中指出Slammer蠕虫的随机数发生器存在缺陷,单个蠕虫扫描的地址空间不完全,虽然大量的蠕虫能够覆盖整个地址空间,但必然会影响蠕虫的扩散速度,我们认为这正是导致模拟结果比实际的情况传播快的原因。于是我们将扫描频率降到3700扫描包/秒后重新实验,得出的结果如图5(d)中点划线所示,可以看出,这次的结果同实际情况比较贴近。(b)(a) (c)(d)图5. (a)为6对CodeRed Iv2在2001.7.19 第一次爆发时被感染主机数量的评估。(b)WSS模拟CodeRed Iv2的结果。(c)为7对Slammer爆发最初5分钟扫描包数量的评估。(d)WSS模拟Slammer的结果。以上对比结果表明,WSS能够在实验室环境中获取同实际蠕虫爆发时类似的统计数据和流量,这为蠕虫研究尤其是蠕虫检测系统的开发提供了一个有力的工具,相信会有十分广阔的应用前景。参考文献1 L.X. Gao. On inferring autonomous system relationships in the Internet. In IEEE/ACM Transactions on Networking, December 2001, Vol.9 No.6: pp.733- 745.2 University of Oregon Route Views Project:Available on http:/www.routeviews.org/3 M. Liljenstam, Y. Yuan, B. J. Premore, and D. M. Nicol. A mixed abstraction level simulation model of large-scale internet worm infestations. In 10th International Workshop on Modeling, Analysis, and Simulation of Computer and Telecommunication Systems (MASCOTS), IEEE Computer Society, 2002, pp. 109-1164 C.C. Zou, W. Gong, and D. Towsley. On the performance of Internet worm scanning strategies. In Technical Report, TR-03-CSE-07, Electrical and Computer Engineering Department, University of Massachusetts, 2003.5 S. Staniford, V. Paxson, and N. Weaver. How to Own the Internet in Your Spare Time. In USENIX Security Symposium, 2002.6 D. Moore, C. Shannon, J. Brown. Code-Red: a case study on the spread and victims of an Internet worm. In ACM/USENIX Internet Measurement Workshop, Marseille, France, November 2002, pp.273-284.7 D. Moore, V. Paxson, S. Savage, C. Shannon, S. Staniford, and N. Weaveer. Inside the Slammer Worm. In IEEE Magazine on Security and Privacy, July 2003, Vol.1(4):pp.33-39.8 The Network Simulator - NS2: Available on http:/www.isi.edu/nsnam/ns/index.html9 D.J. Daley and J. Gani. Epidemic Modelling: An Introduction. Cambridge University Press, Cambridge, UK, 199910 M. Faloutsos, P. Faloutsos, and C. Faloutsos. On power-law relationships of the Internet topology. In ACM SIGCOMM Computer Communication Review, September 1999, Vol. 29(4): pp.251-262.Editor's note: Judson Jones is a meteorologist, journalist and photographer. He has freelanced with CNN for four years, covering severe weather from tornadoes to typhoons. Follow him on Twitter: jnjonesjr (CNN) - I will always wonder what it was like to huddle around a shortwave radio and through the crackling static from space hear the faint beeps of the world's first satellite - Sputnik. I also missed watching Neil Armstrong step foot on the moon and the first space shuttle take off for the stars. Those events were way before my time.As a kid, I was fascinated with what goes on in the sky, and when NASA pulled the plug on the shuttle program I was heartbroken. Yet the privatized space race has renewed my childhood dreams to reach for the stars.As a meteorologist, I've still seen many important weather and space events, but right now, if you were sitting next to me, you'd hear my foot tapping rapidly under my desk. I'm anxious for the next one: a space capsule hanging from a crane in the New Mexico desert.It's like the set for a George Lucas movie floating to the edge of space.You and I will have the chance to watch a man take a leap into an unimaginable free fall from the edge of space - live.The (lack of) air up there Watch man jump from 96,000 feet Tuesday, I sat at work glued to the live stream of the Red Bull Stratos Mission. I watched the balloons positioned at different altitudes in the sky to test the winds, knowing that if they would just line up in a vertical straight line "we" would be go for launch.I feel this mission was created for me because I am also a journalist and a photographer, but above all I live for taking a leap of faith - the feeling of pushing the envelope into uncharted territory.The guy who is going to do this, Felix Baumgartner, must have that same feeling, at a level I will never reach. However, it did not stop me from feeling his pain when a gust of swirling wind kicked up and twisted the partially filled balloon that would take him to the upper end of our atmosphere. As soon as the 40-acre balloon, with skin no thicker than a dry cleaning bag, scraped the ground I knew it was over.How claustrophobia almost grounded supersonic skydiverWith each twist, you could see the wrinkles of disappointment on the face of the current record holder and "capcom" (capsule communications), Col. Joe Kittinger. He hung his head low in mission control as he told Baumgartner the disappointing news: Mission aborted.The supersonic descent could happen as early as Sunday.The weather plays an important role in this mission. Starting at the ground, conditions have to be very calm - winds less than 2 mph, with no precipitation or humidity and limited cloud cover. The balloon, with capsule attached, will move through the lower level of the atmosphere (the troposphere) where our day-to-day weather lives. It will climb higher than the tip of Mount Everest (5.5 miles/8.85 kilometers), drifting even higher than the cruising altitude of commercial airliners (5.6 miles/9.17 kilometers) and into the stratosphere. As he crosses the boundary layer (called the tropopause), he can expect a lot of turbulence.The balloon will slowly drift to the edge of space at 120,000 feet (22.7 miles/36.53 kilometers). Here, "Fearless Felix" will unclip. He will roll back the door.Then, I would assume, he will slowly step out onto something resembling an Olympic diving platform.Below, the Earth becomes the concrete bottom of a swimming pool that he wants to land on, but not too hard. Still, he'll be traveling fast, so despite the distance, it will not be like diving into the deep end of a pool. It will be like he is diving into the shallow end.Skydiver preps for the big jumpWhen he jumps, he is expected to reach the speed of sound - 690 mph (1,110 kph) - in less than 40 seconds. Like hitting the top of the water, he will begin t