基于云計算安全環境的僵尸網絡傳播模型?

成淑萍 袁小艷 廖小平 甘元彪

（1.四川文理學院智能制造學院 達州 635001）（2.達州智能制造產業技術研究院 達州 635001）（3.國網重慶市電力公司城口縣供電分公司 重慶 405900）

1 引言

隨著云計算技術的發展及在各個行業的應用，為人類帶了巨大效益的同時，云計算環境中的安全問題也日益嚴重。當云計算的數據中心資源越集中，伴隨發生的安全事件的機率就更高，風險就更大［1～2］。惡意代碼是云安全的最大威脅之一，其中僵尸網絡（botnet）被認為是融合了多種惡意代碼形成的復雜的網絡攻擊，是一種通過入侵網絡空間內若干非合作用戶終端構建的、可被攻擊者遠程控制的通用計算平臺［3～4］。

僵尸程序與其他的惡意代碼在傳播性、惡意性、獨立性、可控性等特性具有一定的相似性，但兩者又有著本身性質上的不同，也就不能直接套用其他惡意代碼的研究成果作為對僵尸網絡的傳播行為的分析和傳播趨勢的預測［5～6］。本文在雙因素的傳播模型的基礎上，對僵尸網絡在云計算環境下工作特性進行分析，增加云環境中安全的部署及信息收集因素對僵尸網絡傳播模型的影響提出了一個新的僵尸網絡傳播模型即云計算安全環境的僵尸網絡傳播模型（Cloud Botnet Propagation Model，CBPM）。

2 相關研究

2016年3月CNCERT發布互聯網安全威脅單月報告顯示，我國由僵尸程序或者木馬控制的主機數達196萬，2016年Symantec安全威脅報告中顯示，我國2015年僵尸主機數占全球總量的46.1%，發起的惡意活動同比上升84%［7～8］。在云計算環境中，僵尸網絡可以根據需求進行便捷設置，構建超大規模的僵尸網絡也不需要很多的時間，部署成本也更加低廉［9］?，F在某些非法用戶已經為我們展示如何在云平臺中構建一個僵尸云網絡并嘗試發起各種攻擊［10］。用戶可以在以每小時9美元或者每天67美元的價格來租用僵尸云網絡。僵尸網絡主要被用來發起網絡安全中公認的最大威脅之一的分布式拒絕服務攻擊（DDOS），其中一個實驗研究已經成功發現如何在云環境中發起DDOS攻擊［11］。

不同生命周期的僵尸主機在僵尸程序的傳播過程中處于不同的狀態，不同狀態的僵尸主機在僵尸網絡中的作用不一樣，僵尸網絡的規模也不一樣，為此僵尸主機所處的生命周期對僵尸網絡的傳播模型有著決定性的作用，為此我們首先來分析僵尸網絡在構建和工作的過程中僵尸主機會經歷的6個生命周期，其示意圖如圖1所示。

圖1 僵尸網絡的生命周期示意圖

1）傳播狀態：當僵尸程序接收到傳播命令或自動傳播，僵尸主機進行傳播狀態。

2）工作狀態：當僵尸程序獲取傳播命令以外的其他控制命令并執行命令，僵尸主機處于工作狀態，當執行完命令后僵尸主機處于閑置狀態。

3）閑置狀態：被感染后僵尸程序運行并準備獲取控制命令。

4）離線狀態：當僵尸程序接收控制命令后，在執行的過程中因計算機關機、斷網等因素沒有完成控制命令時，僵尸主機處于離線狀態此時暫停執行控制命令。

5）隔離狀態：當僵尸程序受到外力因素無法獲取控制命令，僵尸程序無法正常工作，僵尸主機處于隔離態。

6）消亡狀態：當僵尸主機的僵尸程序被清除就進入消亡狀態，僵尸網絡的規模相應地減小。

為了能夠對不同網絡環境下僵尸網絡發展趨勢的刻畫和預測，對僵尸網絡傳播模型的深入研究是必需的。半分布P2P僵尸網絡在依據SEM蠕蟲傳播模型提出了半分布式P2P僵尸網絡的增長模型［12］。David等在考慮會使僵尸網絡部分節點失效的兩個因素：計算機在夜間下線后進入非易感染狀態的因素和僵尸網絡感染過程中存在區域性偏好因素，提出了一個基于時區的僵尸網絡傳播模型［13］。我們在2010年在考慮僵尸程序在傳播過程中存在的網絡流量阻塞、提前免疫主機和感染后免疫主機等因素對僵尸網絡的傳播模型進行了分析。黃彪等在結合無尺度的特性，考慮僵尸網絡傳播過程中部分主機的免疫特性與網絡阻塞特征下，提出一種無尺度網絡下具有雙因素的僵尸網絡傳播模型。文獻［15］在考慮免疫主要還可能回歸到易感染狀態，提出一種回歸的RSIR僵尸網絡傳播模型。馮麗萍等在考慮大量僵尸程序爆發時會引起網絡擁塞，使感染變量提出一個具有變化感染率的僵尸網絡傳播模型［16］。

經過眾多網絡安全研究者的研究，對僵尸網絡的檢測、防御與反制起了很大作用。劉建波在研究P2P僵尸網絡運行協議和機制的基礎上，結合P2P僵尸網絡建立連接的主機IP地址不是靜態地址就是動態地址，提出了一種基于連接成功率的檢測算法［17］，但在大量的流量分析的效率和準確率方面存在一些缺陷。劉丹等在基于節點連接分布性和突發性的特征過濾掉非P2P的節點，進而根據對稱度值采用K均值聚類來發現P2P群，最后得用流行為的相似性檢測來確認［18］。但隨著計算機技術和網絡技術的發展，僵尸網絡使得網絡安全人員更加難以監測和防御。尤其是云計算技術的出現及發展，很好地解決了傳統僵尸網絡構建過程中資源不足的弊端，而網絡中云安全的部署和信息收集也直接對僵尸網絡傳播模型的造成重大影響。

3 基于云計算環境的僵尸網絡傳播模型

CBPM模型中的所有主機都處于易感染（S）、感染（I）和免疫（R）三個狀態之一，使用的參數描述如表1所示。為考慮云安全環境對感染率的影響，我們將三種狀態分為未參加云安全和參加云安全的兩個部分。初始化設置和用戶的修改是影響云安全成員的狀態的兩個來源，α1為云安全加入率，α2為云安全退出率，由于僵尸程序在一次傳播過程中云安全的加入率和退出率變化較小，可忽略不計，在CBPM模型中云安全成員的比率為固定值k，云安全成員和非云安全成員的感染率相同均為β(t)=β1=β2，免疫率也相同γ=γ1=γ2。

表1 CBPM模型參數

易感染主機某時刻變化會因主機的新增加、退出、主動免疫和感染率共同決定，見式（1）。

式（1）中 β(t)S(t)I(t)為t時刻僵尸程序的新感染僵尸程序的感染效果會受到網絡情況和各種防御措施的影響，這種影響在僵尸網絡不同階段會出現不同的影響。在云安全環境中，數據中心收集到大量的可疑信息和對網絡流量進行實時監控，僵尸程序對易感染主機的探查發出的具有特征信息給易感染主機，都會被云安全技術檢測出來，并被過濾，從而降低僵尸程序的感染率。而云安全環境對感染率的影響由云安全成員的比例和僵尸網絡的規模決定，因此t時刻感染率為式（2）所示。

式（2）中的β0為初始設置的固定基本感染率，θ1(t)表示僵尸程序傳播過程中引起對感染率的變化，僵尸程序在傳播過程中引起的阻塞對感染率的影響采用文獻［9］提出的表達式見式（3）。θ2(t)表示云安全環境對感染率的影響見式（4），該影響依賴于云安全收集到的可疑數據的規模，用參數k表示云安全成員參與比例，在僵尸網絡在最初的階段被感染的主機較少，感染主機的規模會快速增長，此時云安全收集到的該僵尸網絡的可疑信息較少，當僵尸網絡進入成熟期，云安全會收集到更多相關的可疑信息，會遏制僵尸程序的傳播及通信。

在僵尸網絡進入成熟期后，由于云安全的可疑特征信息，會識別可疑的網絡流量并進行過濾，再因主機主動加入云安全成員，被感染的主機的規模會下降，因此云安全引成的感染率的影響會進入穩定值，所以云安全環境中的僵尸程序的感染率為式（5）。

同理可推出感染主機、免疫主機在t時刻的變化率，因此CBPM模型的連續微分方程組見式（6）。

4 仿真實驗

在下面的所有仿真中相同的參數使用同樣的假定初始值：N=30000，β0=0.00008，γ=0.004，ρ=0.004，μ =0.0002，φ1=3，I（0）=10，云安全加入率為30%。用Matlab仿真軟件，首先將考慮云安全影響因子的傳播模型與傳統的傳播模型進行對比，分析云安全對僵尸網絡的傳播的過程的影響；再對不同云安全的部署及信息收集因素的值進行仿真實驗，來分析在云安全環境下僵尸網絡傳播過程中的特性。

圖2為傳統的僵尸網絡傳播模型，將網絡中的主機的狀態分為被感染、易感染和免疫三種。從圖中可看出，在感染初期被感染主機會井噴式增長和下降，易感染主機則快速減少。在設置的時間周期到一半的時候易感染主機和被感染主機數量都為0，所有的主機均處于免疫狀態，該模型所考慮的網絡環境已經比較接近之前的網絡環境，但當云計算安全環境出現后該傳播模型就不能準確地刻畫出僵尸網絡的傳播過程。

圖2 傳統的僵尸網絡傳播模型

圖3為云計算安全環境的僵尸網絡傳播模型，在傳統僵尸網絡傳統模型的基礎上考慮了云安全的部署及信息收集因素對僵尸網絡傳播模型的影響，從圖中可看出在感染初期被感染主機會快速增長，但下降的速度比較緩慢，在設置的時間周期中，一半時易感染主機降為0，但整個周期中被感染主機數只是下降沒有歸為0，免疫主機只是在增長沒有達到最高值。

圖3 云計算安全環境的僵尸網絡傳播模型

在圖3的仿真實驗中，我們將云安全加入率設置為一個常數30%，用修正因子φ2和φ3來調整云安全環境對全僵尸網絡傳播過程的影響，在圖3的仿真中將修正因子φ2和φ3都設置為1，來令被感染主機不會快速的下降，但對易感染主機的走向沒有影響。為此我們調整了兩個修正因子的值來觀察對CBPW的影響，將φ2和φ3都設置為0.2時，得到仿真結果如圖4所示。對比圖3和圖4，可以發現圖4被感染主機增長和下降的速度都有所減緩，易感染主機在感染周期中歸為0的時間從感染中期延緩到感染的后期。

圖4 云安全影響因子為0.2時的CBPM

5 結語

通過上述分析，我們可以看出加入云安全的部署及信息收集因素對僵尸網絡傳播模型的影響因素后的CBPM，比傳統僵尸網絡的傳播模型更加接近現在的網絡環境，能對云計算安全環境中監測和發現僵尸網絡提供相應的支持。云安全的部署及信息收集因素對僵尸網絡傳播模型的影響因素和云安全的加入率都對傳播模型有很大的影響，在本文中將云安全設置為常數和沒有對影響因素的修正因子的取值進行了簡單的探討，這點沒有結合云計算安全的實際環境，今后我們將對云安全的加入率和修正因子的取值進行詳細的分析，以使得到的傳播模型所處的網絡環境更加符合真實網絡。