无标度网络上建模p2p僵尸网络

文摘

点对点(P2P)僵尸网络已经成为一个严重的网络安全威胁。有效地防止P2P僵尸网络,本文数学模型网络的无标度特征相结合,提出了P2P僵尸网络的形成。明确的数学分析表明,该模型有一个全球稳定的地方病平衡点时感染率大于一个临界值。与此同时,我们发现,在无尺度网络中,关键值是很少的。因此,完全消除了P2P僵尸网络是不现实的。数值模拟表明,一个人可以采取有效对策,减少P2P僵尸网络的规模或延迟其爆发。我们的研究结果可以提供有意义的指导网络安全管理。

1。介绍

僵尸网络是成千上万的破坏计算机网络(机器人)僵尸主控机的控制下,通常招募新的脆弱的电脑通过运行各种恶意软件,比如特洛伊木马、蠕虫、和计算机病毒1]。邪恶的利润,botnetmaster它运行了一个僵尸网络远程操纵僵尸电脑各种恶意的活动,如分布式拒绝服务攻击(DDoS),电子邮件垃圾邮件和密码破解。如今,僵尸网络已经成为互联网最严重的威胁之一。

根据僵尸网络的运行机制,有两种类型的僵尸网络。一个是传统僵尸网络使用互联网中继聊天(IRC)作为一种通信集中指挥和控制(C&C)结构(见图1(2])。另一种是p2p僵尸网络利用分布式指挥控制结构(见图2(2])。传统僵尸网络很容易检查和裂缝的后卫,和僵尸网络的威胁可以减轻和消除如果中央的不可用3]。相比之下,P2P僵尸网络使用分散的指挥和控制结构更健壮和更难安全社区拆除4]。因此,P2P僵尸网络,比如特洛伊。Peacomm和风暴僵尸网络(5),近年来出现并逐渐升级。此外,P2P僵尸网络越来越复杂,因此他们潜在的损害远远大于传统的僵尸网络。此外,潜在的更大的伤害在未来退出。

因此,P2P僵尸网络的威胁网络安全引起了广泛的关注(6- - - - - -12]。燕et al。6)数学分析Antbot-a性能的新型P2P botnets-from perfectives韧性、可达性和可伸缩性,作者开发了一个分布式P2P僵尸网络模拟器评估在实践中对pollution-based Antbot缓解的效果。Kolesnichenko et al。7)开发P2P僵尸网络的平均场模型来分析行为,并与模拟得到的莫比乌斯工具(软件工具建模复杂系统的行为)。结果表明,平均场方法要快得多模拟预测P2P僵尸网络的行为。van Ruitenbeek和桑德斯[8]提出了一种随机模型的风暴蠕虫P2P僵尸网络检查不同的因素,如去除率和最初的感染率,影响总传播机器人。要充分的准备为未来的僵尸网络攻击,王et al。9]研究先进的僵尸网络攻击技术可以由未来的僵尸主控机和提出了一个先进的混合P2P僵尸网络的设计。结果表明,蜜罐,在计算机术语,是一个陷阱设置检测,转移,或者以某种方式,抵消试图未经授权使用的信息系统。一般来说,蜜罐由计算机、数据,或一个网络站点,似乎是一个网络的一部分,但实际上是孤立和监控,这似乎包含的信息或资源价值的attackers-play一个重要的角色以抵御一个先进的僵尸网络。

然而,很少有人研究了P2P僵尸网络的动力学行为。在[7),作者提出了一种带P2P僵尸网络的平均场模型,但没有分析数学模型。事实上,明确的数学分析有助于理解深深P2P僵尸网络的普遍特征。针对P2P僵尸网络的动力学描述在一个更有效的方法,在本文中,我们使用电脑蠕虫的动力学模型,得到了广泛的应用,许多研究人员研究互联网恶意软件传播(13- - - - - -22]。尽可能多的僵尸网络是由电脑蠕虫(23),它是合理的描述P2P僵尸网络的盛行,蠕虫传播模型。此外,通过分析数据的计算机病毒流行,作者(24)指出的重要性将特有的无标度网络的拓扑理论描述的电脑蠕虫病毒传播。在生物流行地区,有很多有价值的研究考虑了复杂网络对疾病传播的影响(25,26]。然而,我们还没有看到这份报告认为P2P僵尸网络的复杂网络对发病率的影响。因此,有必要研究网络的拓扑结构对P2P僵尸网络的传播。

本文的动态浸出P2P僵尸网络正在调查中。在一个浸出P2P僵尸网络在互联网上,僵尸主控机招募新的僵尸。构造这种P2P僵尸网络,有两个步骤:第一步是试图感染新的脆弱主机在互联网,和第二步是新破坏主机加入僵尸网络和连接与其他机器人2]。在科幻网络,考虑不同程度的异质性引起主机,我们把主机分成不同的州的主机在每个国家有相同的程度。

2。该模型

模型的P2P僵尸网络的传播在互联网上,我们假设节点的总数在互联网上是一个常数。每个节点的变化随着时间的推移,在四个州:容易受到影响,暴露,被感染的,恢复由于电脑蠕虫病毒的传播。我们详细描述这四个国家,如下所示。(1)易受影响:一个节点的软件漏洞可以利用bot项目。(2)暴露机器人:一个节点被感染的程序,但它并没有成为P2P僵尸网络的一员。(3)受感染的:一个节点是一个P2P僵尸网络的正式成员,这意味着该节点可以感染与bot项目的邻居。(4)删除:一个节点安装一个检测工具,可以识别和移除机器人程序,或一个节点安装软件补丁,消除漏洞利用bot项目的节点。

其中有五个状态转换四个州。(1)传播bot项目:“易感”状态的节点将改变“暴露”状态的感染率。(2)加入P2P僵尸网络的接触状态:“暴露”状态中的节点将加入P2P僵尸网络僵尸主控机的控制下,改变“感染”状态的比例。(3)免疫节点从敏感状态:节点的“敏感”状态将改变“恢复”状态的比例如果相应的节点采取对策,例如,杀毒软件,修补,防火墙,入侵检测系统(IDS)。免疫速率受到许多因素的影响,例如,用户警惕。(4)免疫节点从暴露状态:“暴露”状态的节点将改变比例的“恢复”状态如果相应的节点把杀毒的对策。(5)从感染免疫节点状态:“感染”状态的节点将改变比例的“恢复”状态如果相应的节点把杀毒的对策。

让,,,学位的数量州,,,在时间,分别。然后一个 动态方程可以写成 的概率描述一个链接指向一个受感染的主机,它满足的关系 和是受感染主机的密度在整个网络的时间吗;是一种度分布。其他参数可以解释如下。主机每小时的替换率;是每小时感染率;状态转移率来自哪里来由于免疫措施;回收率从暴露状态吗和感染状态分别;和过渡率从来。

3所示。模型分析

在本节中,我们解决系统的平衡2),并研究其稳定性。

前三个方程系统(2)不依赖于第四个方程,这个方程,因此,可以省略不失一般性。因此,系统(2)可以写成 的平衡系统(7)是由设置决定的

总有一个无病平衡点(DFE)。此外,解决地方性的平衡(5),可以获得一个,在那里 替换到(3),我们有 显然,如果地方病平衡点存在,必须有。也就是说,它必须满足 它等于 让的最小值满足上面的不平等。然后, 这是 在哪里。

因此, 总结上面的分析,我们可以得到以下定理。

定理1。如果,然后系统(4)只有一个free-equilibrium;如果,然后系统(4)地方病平衡点除了。
接下来,地方病平衡点将被分析。
系统的雅可比矩阵(4)是 和相关的特征方程 在哪里 根据赫维茨标准(27), 因此,一个人可以获得下面的前题。

引理2。对于系统(4),如果和,然后地方病平衡点是局部渐近稳定的。
描述全局渐近稳定的,首先,一个人可以介绍三个初步结果。

引理3(见[28,29日])。假设初始相对密度受感染满足。然后,对所有系统的解决方案(4)满足和。

命题4(见[28,29日])。假设的解决方案的系统(4)满足和,在那里和。然后,

命题5(见[28,29日])。假设初始相对密度满足和。然后,系统的解决方案(4)满足和。

证明上述结论提出了类似[28,29日]。在这里,我们将忽略它们。

接下来,将主要结果。

引理6。假设初始相对密度满足和。然后,系统的解决方案(4)满足,,,在那里独特的非零的静止点的系统(4)。
证明在附录中完成

结合引理2与引理6,我们可以得出以下结论。

定理7。如果地方病平衡点存在,那么它是全局渐近稳定的。

4所示。数值分析和控制策略

4.1。数值例子

在本节我们给出数值实验的结果调查理论分析的有效性。为了观察参数对传播过程的影响,我们使用系统(4)来模拟P2P僵尸网络的演化行为对于给定参数对科幻网络和。在这里,我们设置系统的参数值4),分别,,,,。通过计算,可以获得。数据3和4显示仿真结果和分别,与理论分析一致。

从定理的结论7,我们发现有必要消除P2P僵尸网络在互联网上让通过相应的对策。与此同时,仿真结果表明,感染的临界值非常小,这意味着很难完全摧毁P2P僵尸网络在现实中。

4.2。控制策略

接下来,我们认为主要是实时测量免疫的效果和杀毒软件在P2P僵尸网络的规模。(我)固定的模型参数,,,,,,我们调查的影响不同的实时免疫(在P2P僵尸网络的规模。仿真结果如图5。从图5,它可以观察到,提高实时的免疫措施有助于减少P2P僵尸网络的规模并延迟其爆发。因此,强烈建议网络用户应该为错误及时安装补丁和更新杀毒软件到最新版本。(2)固定的模型参数,,,,,,我们调查的影响,杀毒软件(在P2P僵尸网络的规模。仿真结果图中描述6。的形象图6表明较大的转化率来有,P2P僵尸网络的规模。因此,提出恶意软件被杀当节点被机器人程序但不加入僵尸网络。

此外,平均程度的影响在P2P僵尸网络如图的普遍行为7。从图7,我们发现P2P僵尸网络的规模会增加时变得更大。所以减少网络的平均度还可以控制P2P僵尸网络的大规模爆发。

5。结论

作为一种新型的攻击平台网络安全,P2P僵尸网络吸引了越来越多的关注。研究有必要完全理解的威胁,准备抵御它。为了更好地利用P2P僵尸网络的传播行为,在本文中,我们提出一个数学模型,建立P2P僵尸网络,网络的无标度特性相结合,P2P僵尸网络的形成特征。因此,该模型可以更精确地画像P2P僵尸网络的动态特性传播。理论分析表明,该模型具有一个全局稳定的地方病平衡点。一些参数的影响P2P僵尸网络的规模已经调查。仿真结果表明,很难完全摧毁P2P僵尸网络在现实中。这是许多malwares饱和的原因非常低水平的持久性(30.]。然而,数据6和7表明我们可以减少P2P僵尸网络的规模和延迟爆发的有效对策,比如实时免疫力或自动运行杀毒软件。

动力学模型我们可以扩展到研究P2P僵尸网络在未来的增长可能性的工作。模型还可以预测botnetmasters如何创建更有效和积极的僵尸网络。这样的预测最终可能是有用的防病毒开发者。

附录

引理的证明6。用(3),我们可以获得 让,定义下列顺序: 然后,根据引理3,因为,。通过应用命题4,我们获得
接下来,考虑中定义的序列的收敛性(a .)。由(a .),为所有。如果对所有,那么很容易获得。
由感应,序列正在减少,所以它的极限存在,用吗。然后很容易显示。
另一方面,用(. 1)(3),我们可以得到以下方程: 从(7),,所以让,一个人可以获得和。导数的定义,如果是足够小,那么。
根据命题5,我们可以这样,。
让 我们有
如果对所有,很容易获得。
因此,通过感应,,序列越来越多,所以它的极限存在,用吗。因此,它很容易验证。
这两个和是积极的静止点系统(4)。因此,通过积极的驻点的独特性的微分方程,我们有和;也就是说,。
替换到(5),我们将获得和。
引理6是证明。

利益冲突

作者宣称没有利益冲突有关的出版。

确认

这项工作是由中国国家自然科学基金(61379125)、山'xi省基础研究计划(2012011015 - 3),高等学校科技创新项目的山'xi省(2013148),重点建设学科忻州教师大学(ZDXK201204 XK201307),重庆科技大学研究项目(CK2013B15)和重庆市教育委员会研究项目(KJ131401)。

引用

1. L.-P。歌,z金,G.-Q。太阳,“僵尸网络交互的建模和分析,“自然史一,卷390,不。2、347 - 358年,2011页。视图:出版商的网站|谷歌学术搜索
2. b: p . Wang和c c .邹p2p僵尸网络:下一代的僵尸网络的攻击电气工程和计算机科学学院,佛罗里达中央大学奥兰多,佛罗里达州,美国,2010年。
3. j·b·Grizzard诉沙玛,c .尼姑庵,比比h·康“p2p僵尸网络:概述和案例研究”学报第一车间在理解僵尸网络热门话题,1 - 8,2007页。视图:谷歌学术搜索
4. 问:t·汉w . Yu, y y, z和w·赵”先进典型的p2p僵尸网络建模和评估”,绩效评估卷,72年,页1 - 15,2014。视图:谷歌学术搜索
5. t·霍尔兹、f·达尔·m·施泰纳e . Biersack和f . Freiling”测量和缓解的对等对等僵尸网络:一个案例研究在风暴蠕虫”学报第一Usenix大规模利用研讨会和紧急的威胁,2008年。视图:谷歌学术搜索
6. g .严、d . t . Ha和s . Eidenbenz“AntBot:防污p2p僵尸网络,”计算机网络,55卷,不。8,1941 - 1956年,2011页。视图:出版商的网站|谷歌学术搜索
7. a . Kolesnichenko a . Remke p·t·布尔和b . r . Haverkort”平均场方法的比较和仿真在p2p僵尸网络案例研究中,”计算机性能工程卷,6977年,第147 - 133页,2011年。视图:出版商的网站|谷歌学术搜索
8. e . van Ruitenbeek和w·h·桑德斯,“建模p2p僵尸网络,”学报》第五届国际会议上的定量评价系统(q ' 08)2008年9月,页307 - 316。视图:出版商的网站|谷歌学术搜索
9. s p . Wang火花,c . c .邹,“一个先进的混合p2p僵尸网络,”IEEE可靠和安全的计算,7卷,不。2、113 - 127年,2010页。视图:出版商的网站|谷歌学术搜索
10. g·p·谢弗,”蠕虫和病毒和僵尸网络,噢我的天!理性应对新出现的网络威胁。”IEEE安全和隐私,4卷,不。3,52-58,2006页。视图:出版商的网站|谷歌学术搜索
11. h·l·江和x x。l .邵“P2P僵尸网络检测发现依赖在C&C交通流,”对等网络和应用程序,2012年,页1 - 12。视图:谷歌学术搜索
12. m . Khosroshahy m·k·阿里,d . y .邱“SIC僵尸网络生命周期模型:超越传统的流行病学模式,”计算机网络57卷,第421 - 404页,2013年。视图:谷歌学术搜索
13. x汉,中州。李,L.-P。冯,L.-P。歌,“可移动设备的影响heterouse恶意软件的传播,”抽象和应用分析296940卷,2013篇文章ID, 6页,2013。视图:出版商的网站|谷歌学术搜索|MathSciNet
14. j . y . Li锅、l .歌曲和z,“用户保护行为的影响在网络蠕虫传播的控制,”抽象和应用分析文章ID 531781卷,2013年,13页,2013。视图:出版商的网站|谷歌学术搜索|MathSciNet
15. L.-P。歌,x汉,D.-M。刘,z,“适应性人类行为two-worm交互模型,”离散动力学性质和社会文章ID 828246卷,2012年,13页,2012。视图:出版商的网站|谷歌学术搜索|Zentralblatt数学|MathSciNet
16. L.-P。歌,z, G.-Q。阳光、j . Zhang和x汉”,可移动设备对计算机蠕虫:动态分析和控制策略,”计算机和数学与应用程序,卷61,不。7,1823 - 1829年,2011页。视图:出版商的网站|谷歌学术搜索|Zentralblatt数学|MathSciNet
17. L.-X。杨,杨x。”病毒的传播行为规范的情况下,受感染的电脑连接到互联网积极的可能性,”离散动力学性质和社会文章ID 693695卷,2012年,13页,2012。视图:出版商的网站|谷歌学术搜索|Zentralblatt数学|MathSciNet
18. 杨朱,x, L.-X。杨,x张”,混合计算机病毒传播模型和对策,“非线性动力学,卷73,不。3、1433 - 1441年,2013页。视图:出版商的网站|谷歌学术搜索|Zentralblatt数学|MathSciNet
19. 杨朱,x, j .任”的建模和分析计算机病毒的传播,”非线性科学与数值模拟通信,17卷,不。12日,第5124 - 5117页,2012年。视图:出版商的网站|谷歌学术搜索|Zentralblatt数学|MathSciNet
20. 杨朱,x, L.-X。杨,c .张“最优控制的计算机病毒在延迟模式下,“应用数学和计算,卷218,不。23日,第11619 - 11613页,2012年。视图:出版商的网站|谷歌学术搜索|Zentralblatt数学|MathSciNet
21. L.-X。杨,杨x的影响外部电脑感染病毒的传播:室建模研究中,“自然史一,卷392,不。24日,第6535 - 6523页,2013年。视图:出版商的网站|谷歌学术搜索|MathSciNet
22. L.-X。杨和杨x”,计算机病毒的传播在无标度网络,减少”自然史一卷,396年,第184 - 173页,2014年。视图:出版商的网站|谷歌学术搜索|MathSciNet
23. d大衮,c . c .邹和w·k·李,“建模僵尸网络传播使用的时间和区域,”《第13届网络和分布式系统安全座谈会(nds 06年),2006年。视图:谷歌学术搜索
24. s . Boccaletti诉Latora,莫雷诺y、m·查韦斯和D.-U。黄”:复杂网络的结构和动力学”,物理的报告,卷424,不。4 - 5,175 - 308年,2006页。视图:出版商的网站|谷歌学术搜索|MathSciNet
25. y莫雷诺,r . Pastor-Satorras和a . Vespignani“复杂的异构网络暴发流行,”欧洲物理期刊B:凝聚态和复杂的系统,26卷,不。4、521 - 529年,2002页。视图:出版商的网站|谷歌学术搜索
26. r·杨B.-H。任,j . et al .,“与相同的传染性流行病蔓延在异构网络”,物理信,卷364,不。3 - 4、189 - 193年,2007页。视图:出版商的网站|谷歌学术搜索
27. r·c·罗宾逊介绍动力系统:连续和离散上层,普伦蒂斯霍尔出版社,台北,2004年美国。视图:MathSciNet
28. l . Wang和G.-Z。戴,“全球稳定的病毒传播复杂的异构网络,”暹罗在应用数学》杂志上,卷68,不。5,1495 - 1502年,2008页。视图:出版商的网站|谷歌学术搜索|Zentralblatt数学|MathSciNet
29. m·杨x c .傅,问:c .吴”全球稳定的SIS传染病模型与感染性介质复杂网络,”系统工程学报25卷,第772 - 767页,2011年(中国)。视图:谷歌学术搜索
30. j . o . Kephart g·b·索金d . m .象棋和s . r .白色,“战斗计算机病毒,”科学美国人,卷277,不。5,88 - 93年,1997页。视图:出版商的网站|谷歌学术搜索

版权

版权©2014力平峰等。这是一个开放的分布式下文章知识共享归属许可,它允许无限制的使用、分配和复制在任何媒介,提供最初的工作是正确引用。