《毕业论文设计WSS一个基于NS2的蠕虫模拟系统》由会员分享,可在线阅读,更多相关《毕业论文设计WSS一个基于NS2的蠕虫模拟系统(8页珍藏版)》请在金锄头文库上搜索。
1、WSS:一个基于NS2的蠕虫模拟系统马铭1,2 白硕1(1中国科学院计算技术研究所软件室 2中国科学院研究生院北京 100080) 摘 要网络蠕虫严重威胁着互联网的安全,然而由于其爆发所具有的突然性和大规模性,使得蠕虫研究面临巨大挑战。本文介绍了一个基于NS2的蠕虫模拟系统WSS。该系统的建立主要分为三部分: 首先通过处理BGP路由表信息来获取模拟中用到的Internet抽象网络,然后以传染病学模型为基础对蠕虫传播进行建模,最后将两者在NS2中相结合实现对蠕虫传播的模拟。实验证明,WSS能够在实验室环境中获取同实际蠕虫爆发时类似的统计数据,在理解蠕虫的宏观行为、预测蠕虫的流量、传播速度及危害等
2、方面有着广泛的应用前景。关键词 蠕虫;模拟;Internet抽象拓朴;传染病学模型;NS2WSS: a Novel Worm Simulation System Based on NS2MA Ming1,2 BAI Shuo1(Software Division, 马铭,(1978-),男,硕士研究生,主要研究方向为网络安全、大规模网络模拟。白硕,(1956-),男,研究员,博士生导师,主要研究方向为网络与信息安全、计算语言学。Institute of Computing Technology, Chinese Academy of Sciences2Graduate School of Ch
3、inese Academy of SciencesBeijing, 100080) Abstract Internet worms have been a severe threat to the Internet infrastructure and hosts recently. However, the inherent suddenness and large scale of these phenomena pose significant challenges for research on it. To facilitate the study of worms this art
4、icle describes the design of a worm simulation system based on NS2 - WSS, which can be divided into three parts. First, acquire abstract Internet topology used for simulation by processing BGP routing data; Second, model the spread of worms based on the epidemiological model; Finally, integrate the
5、previous two in NS2 to realize the simulation of worm propagation. Experiment shows that WSS can obtain similar statistical data in a laboratory setup to those from actual worm explosion, so that it has a comprehensive application prospect in better understanding of the behavior of worms, prediction
6、 of their traffic and speed, and harm evaluation etc.Key words worm; simulation; Internet topology; epidemiological model; NS21 引言自从1988年Morris蠕虫问世以来,此起彼伏的蠕虫攻击严重威胁着网络的安全,尤其近几年Nimda、CodeRed、Blaster等蠕虫的大规模爆发更是感染了数以万计的主机,造成几亿甚至几十亿美元的巨额经济损失。在这种形势下蠕虫检测、防御、建模等等一系列研究纷纷展开。但这些研究一般都面临两个问题:(1)可供分析的蠕虫爆发数据稀少;由于蠕
7、虫爆发的突然性和大规模性,要想对其进行全面监控非常困难,目前的蠕虫爆发数据大部分是在进行其它网络实验时意外获得,其可靠性和完整性难以满足统计分析的需要。(2)没有合适的实验环境来验证研究结果。如果我们使用若干台主机搭建实验网络来分析蠕虫传播,则无法体现其在互联网上传播时的大规模特性;若我们直接在Internet上释放蠕虫进行此类实验则本身就是违法的。正是从这两点出发,我们开发了一个基于NS28的蠕虫模拟系统:WSS(Worm Simulation System),该系统能够在实验室环境中真实重现大规模蠕虫爆发时的景象,这在理解蠕虫的宏观行为、预测蠕虫的流量、传播速度及危害方面有很大帮助。而且该
8、系统还能根据要求为蠕虫检测系统生成丰富的测试用例,更为检测系统的开发提供了重大助力。模拟蠕虫传播的困难主要在于蠕虫是在整个互联网上传播,需要模拟的是Internet这一包含数亿主机的庞大系统。所以要进行蠕虫模拟,适当的抽象必不可少。在WSS中,抽象分为两个方面:对Internet的抽象及对蠕虫传播的建模。我们将Internet抽象成一个由AS(自治系统)构成的网络,并且引入了决定域间路由的重要因素AS间商业关系。蠕虫传播模型我们以传染病学模型9为基础进行适当修改后得到。最后将抽象拓扑和传播模型在NS2上相结合以实现蠕虫模拟。2 Internet抽象拓扑的生成为了将Internet抽象为一个由A
9、S(自治系统)构成的网络,通常的方法是通过处理BGP路由表来获取AS之间的邻接关系,以此建立一个由AS组成的网络。然而使用上述方法建立的抽象网络仅包含AS之间的连接情况,遗漏了对域间路由有重要影响的AS间商业关系。21AS之间的商业关系互联网在其商业化后在规模和复杂性上都有了很大程度的增长。Internet连接着上万的AS,AS内的路由是由域内路由协议控制,如静态路由、OSPF、IS-IS和RIP等,而AS之间的路由是由域间路由协议来控制,如边界网关协议(BGP)。域间路由协议与域内路由协议的最大不同是域间路由协议允许每个AS的管理者在选择最佳路由、要发布的路由和接受的路由信息方面有自主的路由
10、策略。而决定路由策略的一个重要因素就是AS之间的商业关系,在1中将AS之间的关系分为了三类:(1)提供者、客户关系: 提供者为它的付费客户转发数据,而客户不会在它的两个提供者之间转发数据。该关系又可根据视角的不同分为客户-提供者关系和提供者-客户关系;(2)对等关系:一对对等关系的AS会互相转发发往各自客户的数据;(3)兄弟关系:一对兄弟关系的AS会互相转发所有的数据。由上述内容可以发现即使在网络中存在某条路径也不能代表该路径是能通行的。例如有三个AS:A、B、C,其中C同时是A和B的客户,根据商业关系的定义,A的数据不能经由C转发给B,所以A,B之间的端到端性能不能由ACB这条路径来评估。可
11、以看出,AS之间的商业关系对互联网的端到端性能有着重要影响,因此在模拟Internet时不能忽略这一关键因素。在1中提出了一种通过分析BGP路由表获取AS之间商业关系的算法,所以我们仅需对BGP路由表进行不同处理,就能获取AS之间的连接关系、商业关系及每个AS所包含的地址空间范围等信息,从而建立一个包含AS间商业关系的抽象网络。但目前整个Internet中包含的AS数量超过了18000个,我们由于条件所限,不能使用大规模网络进行实验,所以需要合并其中的一些AS结点和边。为保证抽象拓扑的整体结构在合并前后相一致,我们将按照AS之间的商业关系进行合并。22依照AS间商业关系进行合并根据1中的统计,
12、在Internet中AS之间的关系90.5以上是提供者、客户关系,兄弟关系低于1.5,对等关系低于8,而且对等关系一般出现在核心的AS之间。可以看出,对一对具有提供者、客户关系的AS进行合并是一个合适的选择。此外在合并过程中不应合并具有对等关系的AS,以免将核心AS合并后对整体拓扑结构造成巨大影响。根据上述分析,我们提出第一条合并规则:合并规则1:设有两个AS,A和B,若A是B的唯一提供者,且B同其它AS间不存在对等关系,则可以将B并入A。若B存在客户和兄弟,则将它们都变为A的客户。合并AS的先后顺序我们根据Internet中的幂率关系10来确定,该幂率关系指出一个AS的重要程度同它的度(其邻
13、接AS的个数)在统计学上有着指数关系,即一个AS的度越大,它越可能是一个关键AS。因此我们在合并过程中优先选择度小的AS进行处理。图1. 应用合并规则1后的合并过程对等关系兄弟关系提供者客户关系图1描述的是采用规则1进行合并的过程,观察图1可以发现,我们的合并规则还不能处理拥有一个以上提供者的AS。然而在实际环境中存在大量拥有多个提供者的AS,并且其中大部分是拥有两个提供者的度为2的边缘AS,所以如果我们想进一步合并抽象网络,就需要对拥有2个提供者的AS进行处理。在处理拥有2个提供者的AS时,涉及到的AS一共有三个:两个提供者AS和一个客户AS。当前可以采用的处理方法有两个:将三个AS合并在一
14、起或合并其中的一对提供者、客户AS。选择合并两个提供者AS其效果显然同合并三个AS相同。使用上面提到的任一办法,都会对AS间的商业关系造成一些破坏。若将三个AS合并成为一个,就表明两个提供者AS将通过它们的客户AS相连接,这明显同提供者、客户商业关系的定义相矛盾。而且这种影响还会由于迭代合并操作进一步扩大,使原本存在于边缘AS间的连接关系逐渐成为关键AS之间的连接,从而使整体网络结构发生改变。若我们合并其中一对提供者、客户AS,虽然客户AS必须同另一个提供者AS断开连接,但由于这种影响不会被迭代操作一步步的放大,同前一种方法相比,对整体结构造成的影响要小很多,而且还可以通过选择度为2的边缘节点
15、来降低对整体拓扑结构的影响。可以看出,使用第二种方法进行处理是一个合适的折中选择,所以我们在此提出第二条合并规则:合并规则2:若一个AS拥有两个提供者,并且这个AS的度为2,则可将其同一个提供者的连接切断,然后将它与另一提供者合并。图2显示了增加规则2后的合并过程,在合并Internet抽象拓扑的过程中这条规则发挥了重要作用。实验中我们所使用的BGP路由表数据来自 Oregon大学的Route Views项目2,该项目定期将数十台AS边界路由器的BGP路由表数据整理公布供研究者使用,这是目前能够获得的公开的最完备的BGP路由表数据。图2. 同时应用规则1、2后的合并过程对等关系兄弟关系提供者客户关系3蠕虫传播模型为了理解蠕虫传播的特性,大量研究采用数学模型来描述其传播过程3、4、5,其中使用较多的是传染病学模型。本节我们将对该模型作出适当改进,然后以此为基础对蠕虫传播进行模拟。传染病学模型定义如下:设系统中个体数量为N,其中每个个体处于三种状态之一:S代表容易被疾病感染,I代表已被感染,R代表移除(例如被隔离、死亡或免疫)。个体的状态转变过程是SIR,也就是常说的SIR模型。该模型的数学表述如下:(1
