康宏 張建剛　　康艷梅

摘 要 在計算機病毒的教學中，引入NETlogo仿真平臺，以勒索病毒為例，講解蠕蟲病毒的傳播原理，并仿真蠕蟲病毒在局域網內傳播過程，使學生了解蠕蟲病毒傳播過程和影響因素，從而在病毒爆發(fā)時能夠采取相應的應對措施。

關鍵詞 蠕蟲 Netlogo 勒索病毒

中圖分類號：TP393.1 文獻標識碼：A DOI：10.16400/j.cnki.kjdkx.2018.04.014

Simulation of Influencing Factors of Viral Spreading in LAN

——A Case Study of Blackmailing Virus

KANG Hong[1]， ZHANG Jiangang[1]， KANG Yanmei[2]

（[1] College of Economics and Management， Shandong University of Science and Technology， Qingdao， Shandong 266590；

[2] School of Information Science and Technology， University of International Relations， Beijing 100091）

Abstract In the teaching of computer virus， the NETlogo simulation platform was introduced to explain the principle of worms propagation. We simulated the propagation process of worms in the LAN， so that students can understand the spread of worms and the impact of factors and can take the appropriate response when the virus outbreak.

Keywords Worms； Netlogo； Extortion virus

據(jù)騰訊安全發(fā)布《2017年度互聯(lián)網安全報告》，2017年5月12日，一款名為“WannaCry”的蠕蟲勒索軟件襲擊全球網絡，通過加密電腦文檔向用戶勒索比特幣。這被認為是迄今為止最巨大的勒索病毒事件，至少150個國家、30萬名用戶中招，造成損失達80億美元。[1]中國部分Windows操作系統(tǒng)用戶遭受感染，某些大型企業(yè)的應用系統(tǒng)和數(shù)據(jù)庫文件被加密勒索，影響巨大。

在計算機病毒的教學中，結合新型病毒傳播方式來講解病毒傳播原理，并仿真計算機病毒的傳播過程，能夠提高學生學習興趣，使學生對計算機病毒傳播有更直觀的認識。

1 勒索病毒簡介

勒索病毒是一種新型病毒，感染受害者電腦或后，采用加密文件、修改密碼等方式，使計算機資源或數(shù)據(jù)資料無法正常使用，并以此為條件勒索錢財。

勒索病毒包括蠕蟲及勒索兩個部分，蠕蟲部分用于傳播和釋放病毒，勒索部分用于攻擊用戶和加密文件。勒索病毒是通過公開密鑰加密算法進行加密。在公開密鑰加密算法中，信息發(fā)送方和接收方所使用不同的密鑰，即加密、解密密鑰不同，并且很難由其中一個推導出另一個。加密時把明文分成塊，塊的大小可變。不同的變種用的加密算法不同，比如：永恒之藍勒索蠕蟲使用RSA算法加密，CTB Locker用的是橢圓曲線加密。

蠕蟲病毒是一種常見的計算機病毒。通過網絡和電子郵件進行傳播，具有自我復制和傳播迅速等特點。勒索蠕蟲病毒會在局域網內進行主動攻擊，病毒會通過文件共享端口進行感染傳播，沒有修復系統(tǒng)漏洞的局域網用戶就容易被病毒感染。

2 蠕蟲病毒在局域網內的傳播過程

（1）掃描：掃描部分負責探測局域網內存在漏洞的主機，比如計算機開放共享，開放端口，系統(tǒng)漏洞等。程序向局域網內所有主機發(fā)送探測漏洞的信息，當收到有效的反饋信息后，就得到一個可傳播的對象。

（2）攻擊：攻擊部分對可傳播對象實施攻擊，首先取得有漏洞主機的權限，以進行進一步攻擊操作。

（3）復制：復制部分將蠕蟲程序復制到已取得權限的可傳播主機，并啟動運行蠕蟲。

蠕蟲的傳播模塊就是病毒在局域網內實現(xiàn)自動入侵自動攻擊的功能。

3 勒索病毒在局域網內的傳播方式

勒索病毒使用了多種方式在局域網內進行攻擊傳播，包括使用了美國國家安全局（NSA） 泄漏的Windows SMB遠程漏洞利用工具“永恒之藍”、永恒浪漫系列遠程攻擊武器，以及利用局域網共享的方式傳播。在局域網系統(tǒng)中，主要通過主要通過Windows管理體系結構（Microsoft Windows Management Instrumentation），和PSEXEC（SMB協(xié)議）進行擴散。因此不僅沒有及時修復NSA發(fā)布的漏洞的用戶會受影響，只要局域網中有其他用戶受到攻擊，已經打了補丁的電腦也可能會受到攻擊。[2]

病毒在局域網內傳播過程是怎樣的？影響病毒傳播的主要因素都有哪些？學生在學習計算機病毒時，很難對病毒的傳播有直觀的認識。在計算機病毒的教學中，我們引入NETlogo仿真平臺，以勒索病毒為例，來仿真病毒在局域網內的傳播過程，通過參數(shù)的調節(jié)，使學生明白計算機病毒在局域網內傳播的主要影響因素是什么，加深對蠕蟲病毒傳播的認識。

4 勒索病毒仿真

4.1 仿真環(huán)境簡介

本文基于Netlogo仿真平臺，仿真了勒索病毒在局域網內傳播過程。Netlogo是用來對自然和社會現(xiàn)象進行仿真的多主體建模仿真集成環(huán)境。它是由UriWilensy在1999年發(fā)起的，由美國西北大學鏈接學習和計算機建模中心（CCL）持續(xù)開發(fā)，Netlogo仿真平臺為教學科研機構提供了一個強大易用的計算機輔助工具。

Netlogo是Logo語言的擴展，改進了Logo語言只能控制單一個體的不足，它可以模擬無限個智能體在二維空間的交互作用，隨著時間的推進，智能體的屬性在不斷發(fā)生變化，因此，Netlogo建模能有效地模擬微觀個體的行為和宏觀模式的涌現(xiàn)及其兩者之間的關系。Netlogo適合于模擬隨時間演化發(fā)展的復雜系統(tǒng)。

4.2 仿真模型設計

我們以病毒網絡傳播模型為基礎，并依照局域網內勒索病毒傳播特征對模型進行了修改。[3]此模型仿真了勒索病毒在一定規(guī)模的局域網內的傳播過程。在模型中，每個節(jié)點代表局域網內一臺計算機，所有節(jié)點組成一個小型局域網。局域網內的節(jié)點有三個狀態(tài)：未感染病毒，已感染病毒，已感染病毒并且被修復。此模型仿真了當局域網內初始有機器感染勒索蠕蟲病毒后，隨著時間推移，在影響參數(shù)不同時，局域網內機器感染數(shù)量的演化，并最終達到一個穩(wěn)定狀態(tài)。模型基本參數(shù)設置如下：

a：計算機局域網內網絡總節(jié)點數(shù)

b：每個節(jié)點平均連接的計算機數(shù)量

c：勒索病毒初始感染機器數(shù)量

d：勒索病毒傳播概率

e：被病毒感染后修復概率

f：安裝補丁免疫概率

4.3 模型演化

設a=100，b=6，c=2，d=2.5%，e=5%，f=5%。即局域網內有100臺計算機時，平均每臺機器和另外六臺有密切聯(lián)系，初始感染勒索病毒的機器為2臺，勒索病毒傳播概率為2.5%，感染后修復的概率為5%，感染病毒后安裝補丁免疫概率為5%。在這樣的情況下，經過一段時間的演化，結果如圖1。演化一段時間后，被勒索病毒感染的機器達到一個峰值，大約是局域網內總機器數(shù)的一半，接著感染機器數(shù)量就持續(xù)下降，直至為0。說明在一個局域網內，如果機器感染勒索病毒后，能夠及時修復，或者安裝補丁和殺毒軟件對病毒免疫，經過一段時間的演化，整個網絡能夠恢復健康狀態(tài)。

當其他參數(shù)不變，病毒感染后修復的概率下降為為2%，感染病毒后安裝補丁免疫概率為下降為2%時，經過一段時間的演化，結果如圖2可看到，經過一段時間的演化，局域網內感染勒索病毒的機器數(shù)接近整個局域網的機器總數(shù)，在到達峰值后，經過長時間的演化，整個局域網才清除掉所有病毒。這說明如果局域網內機器被勒索病毒感染，并且沒有專殺工具，也不懂得安裝相關補丁免疫，會造成局域網內幾乎所有機器感染，并持續(xù)較長時間。

當其他參數(shù)不變，病毒傳染概率提升為5%，感染后修復的概率為2%，感染病毒后安裝補丁免疫概率為2%。在這樣的情況下，經過一段時間的演化，結果如圖3可看出，當病毒傳染概率提升時，在演化過程中，病毒在較短時間內感染網內所有機器，并經過較長時間的演化，才能使整個局域網恢復健康狀態(tài)。

當其他參數(shù)不變，病毒傳染概率為5%，感染后修復的概率為2%，感染病毒后安裝補丁免疫概率下降為0時，經過一段時間的演化，結果如圖4可看出，當機器不能安裝相關補丁和殺毒軟件，對病毒免疫時，病毒很快就感染局域網內所有機器，并一直持續(xù)，難以消除。

5 結論

終上所述，我們可以得出：在勒索病毒傳播過程中，病毒傳播概率，計算機感染病毒后修復概率，計算機感染病毒后安裝補丁免疫概率，對于病毒在局域網內傳播速度，病毒影響到的計算機數(shù)量，病毒在局域網內持續(xù)時間，均有重要的影響。建議局域網內的計算機，及時安裝補丁和殺毒軟件，關閉Windows共享功能，以減少病毒傳播途徑。加強對可疑電子郵件的防范，不打開可疑電子郵件及附件。在局域網內謹慎使用移動設備，對移動設備進行定期維護和殺毒。[4]同時及時進行數(shù)據(jù)備份，減少病毒感染后帶來的損失。

項目：青島市軟科學研究計劃“投貸聯(lián)動等科技金融服務模式創(chuàng)新研究”（16-5-2-1-（12）-CHX）

參考文獻

[1] 王峰.新一輪勒索病毒再襲，中國搭建多層次預警應對體系[N].21世紀經濟報道，2017.

[2] 徐新.病毒防治安全技術在計算機局域網中的有效運用[J].電子技術與軟件工程，2016（24）：214-214.

[3] Stonedahl F，Wilensky U.NetLogo virus on a network model[CP/OL]. http：//ccl.northwestern.edu/netlogo/models/Viruso？naNetwork，2008-07-11.

[4] 金重振，葛萬龍.局域網勒索病毒的防護策略研究[J].信息與電腦，2017（18）：217-218.