IPv6中网络蠕虫的传播与检测研究

【摘要】：随着计算机技术与网络通信技术的快速发展,特别是Internet服务日益广泛深入的应用,网络安全问题日益严重,安全威胁事件逐年上升,近年来的增长态势变得尤为迅猛。其中,网络蠕虫由于危害严重、攻击范围大、爆发速度快,己经成为目前互联网所面临的最为严重的安全威胁之一。如何有效地遏制蠕虫在网络中的传播,己经成为非常迫切需要解决的问题。当前广泛使用的Internet网络是建立在IPv4协议基础之上的,传统蠕虫也只是对IPv4网络环境下的主机进行感染。然而,IPv6最终将代替IPv4成为互联网的网络层协议。IPv6协议从IPv4协议的32位IP地址空间增加到128位。由于IPv6中巨大的IP地址空间,普遍认为IPv6对于随机扫描蠕虫有天然的抵抗能力。因此,有效地抵御随机扫描蠕虫的攻击是从当前的IPv4协议升级到IPv6协议。然而,我们有充分的理由相信未来的蠕虫制造者很可能利用更加有效的扫描策略来寻找易感主机。为了防御IPv6中蠕虫的攻击,必须预测和研究在IPv6网络中攻击者将怎样改进他们的攻击技术。我们希望证明仅仅简单地依靠IPv6巨大的地址空间来抵御蠕虫的攻击是一个不明智的防御策略,还需要进一步研究检测未知IPv6蠕虫的机制,达到遏制蠕虫传播和破坏的目的。但是,由于IPv6蠕虫是一个新课题,有关它的研究才刚刚起步,因此还存在着许多问题需要进一步的分析和研究。 针对IPv6中蠕虫的传播与检测,本文进行了深入的分析和研究,并且提出了相关模型与检测系统,本文所做的主要研究内容和创新如下： (1)本文深入分析和研究了随机扫描蠕虫在IPv6中的扫描策略和传播方法,提出了一种新型网络蠕虫—WormIPv6,在此基础上分别建立SEM模型和KM模型,分别仿真WormIPv6的传播趋势。仿真实验结果表明,由于IPv6中巨大的地址空间,IPv6对于随机扫描蠕虫有天然的抵抗能力； (2)本文深入分析和研究了路由蠕虫在IPv6中的传播方法,提出了一种新型路由蠕虫—Routing Worm-V6,建立了Two-Factor模型来仿真Routing Worm-V6的传播趋势。仿真实验结果表明,由于IPv6中巨大的地址空间,IPv6对于路由蠕虫有天然的抵抗能力,而且IPv6的子网就能预防路由蠕虫的传播； (3)本文提出了一种新型网络蠕虫—-DNSWorm-V6,该蠕虫应用两层不同的扫描策略：在本地应用子网内扫描策略；在子网间应用DNS扫描策略。由此两层扫描策略,提出一种双层蠕虫传播模型(TLM)。仿真实验结果表明,DNSWorm-V6是一种可以在IPv6中快速大范围传播的蠕虫,同时可以预测IPv6网络中新型蠕虫可能带来的威胁; (4)本文基于MIPv6网络环境,提出了一种新型的蠕虫MIPv6-Worm,给出了MIPv6节点接触频率的计算方法,对MIPv6网络中MIPv6-Worm的传播策略进行了分析和研究,提出了MIPv6网络蠕虫传播模型(MWM), MIPv6-Worm传播的仿真实验表明MWM较好地模拟了MIPv6网络中蠕虫的传播规律,并且深入研究了MWM在MIPv4和无线网络中的应用； (5)本文提出了一套在IPv6局域网中检测并自动隔离蠕虫的综合DNS系统。在IPv6网络中,基于用户发送DNS查询的习惯,提出了一个蠕虫检测算法。实验结果表明,该算法能够在早期阶段准确地检测出蠕虫的传播。