孫 超

（中國人民大學(xué) 信息學(xué)院，北京 100872）

隨著社會經(jīng)濟的發(fā)展和科學(xué)技術(shù)的進(jìn)步，信息化時代背景下，人們的生活與工作已經(jīng)離不開計算機技術(shù)和互聯(lián)網(wǎng)技術(shù)，網(wǎng)絡(luò)蠕蟲屬于智能化和自動化產(chǎn)物，是一種綜合了網(wǎng)絡(luò)攻擊和計算機病毒的技術(shù)，網(wǎng)絡(luò)蠕蟲不需要計算機的使用者去干預(yù)，而是直接可以運行的攻擊程序或者攻擊代碼，網(wǎng)絡(luò)蠕蟲可以掃描網(wǎng)絡(luò)中系統(tǒng)存在的漏洞，攻擊節(jié)點主機，通過網(wǎng)絡(luò)從一個節(jié)點中傳播到另一個節(jié)點，并且在幾分鐘之內(nèi)將區(qū)域內(nèi)數(shù)以萬計的主機感染，導(dǎo)致網(wǎng)絡(luò)出現(xiàn)擁堵，甚至操作受到感染的主機開始攻擊行為[1]。

1 蠕蟲傳播特性研究方法

蠕蟲軟件仿真技術(shù)是蠕蟲傳播特性研究的手段之一，也能夠引起有關(guān)研究人員的注意力，這種方法從網(wǎng)絡(luò)帶寬以及網(wǎng)絡(luò)流量等方面加以考慮，分析蠕蟲軟件仿真技術(shù)對蠕蟲傳播行為的影響，也引起了國內(nèi)外研究機構(gòu)的重視，美國國防高級研究計劃局與國家科學(xué)基金會積極參與到蠕蟲軟件仿真技術(shù)的研發(fā)中，并深入研究蠕蟲傳播特性。從一般情況上來講，蠕蟲傳播特性研究也是網(wǎng)絡(luò)模型研究方法，蠕蟲只是網(wǎng)絡(luò)的一種特殊應(yīng)用，節(jié)點指的是終端主機與路由器。從現(xiàn)有的互聯(lián)網(wǎng)中對蠕蟲傳播特性進(jìn)行實驗，這種方法更加真實有效，但是考慮到網(wǎng)絡(luò)中的蠕蟲不僅傳播范圍廣，且具有突發(fā)性和破壞性，所以從真實的網(wǎng)絡(luò)環(huán)境中將蠕蟲重新播放，這種對蠕蟲傳播特性的方法研究是不可行的，當(dāng)前的研究人員會采用多種方法對蠕蟲進(jìn)行傳播特性的研究。

硬件測試床可以在有限制的環(huán)境中釋放出真實的代碼，這個環(huán)境不僅有限制，還要獨立存在，代碼不僅真實，還能夠?qū)崿F(xiàn)自我復(fù)制，并通過這種方式觀察其中的行為表現(xiàn)，近年來硬件測試床的規(guī)模逐漸擴大，節(jié)點數(shù)目增加，如今已經(jīng)達(dá)到了幾百甚至上千，但是硬件測試床也有問題存在，最大的問題就是硬件測試床的使用規(guī)模沒有辦法與互聯(lián)網(wǎng)的規(guī)模相互比較，得到的結(jié)果往往是比較局限性的，只能顯示出局部效果，而且硬件測試床需要通過自我復(fù)制代碼，但是這些代碼無論是編制還是使用，都會涉及一些法律問題。

軟件仿真的出現(xiàn)，能夠仿真規(guī)模比較大的網(wǎng)絡(luò)，隨著技術(shù)的革新，大規(guī)模分布式網(wǎng)絡(luò)軟件仿真器因此出現(xiàn)，仿真網(wǎng)絡(luò)規(guī)模在大規(guī)模分布式網(wǎng)絡(luò)仿真器的影響下變大，目前已經(jīng)出現(xiàn)了仿真百分級的網(wǎng)絡(luò)。軟件仿真可以輕松根據(jù)蠕蟲軟件仿真技術(shù)的定義，結(jié)合參數(shù)，仿真出任意規(guī)模的網(wǎng)絡(luò)，為蠕蟲的特性研究帶來方便。蠕蟲軟件仿真技術(shù)可以在任何時候觀察蠕蟲傳播特性，而且在研究的過程中也不用等待任何特殊現(xiàn)象的發(fā)生。由此可見，軟件仿真無論是仿真規(guī)模還是仿真準(zhǔn)確度方面都已經(jīng)有了較好的平衡點，在保持準(zhǔn)確與靈活的基礎(chǔ)上，仿真規(guī)模從過去的幾百幾千，已經(jīng)到了百萬級。復(fù)雜蠕蟲可以被建模，這種蠕蟲軟件仿真技術(shù)如今引起了國內(nèi)國外相關(guān)研究機構(gòu)的注意力，并逐漸得到了他們的重視，美國國防高級研究計劃局與國家科學(xué)基金會也開始積極加入蠕蟲傳播特性研究中，并以此為根據(jù)推動蠕蟲軟件仿真技術(shù)的進(jìn)一步發(fā)展[2]。

2 蠕蟲軟件仿真技術(shù)研究

蠕蟲軟件仿真技術(shù)應(yīng)用中，蠕蟲可以被看成是互聯(lián)網(wǎng)環(huán)境下的特殊應(yīng)用，想要重現(xiàn)蠕蟲在互聯(lián)網(wǎng)中進(jìn)行傳播的形態(tài)，就會涉及關(guān)于蠕蟲建模的實際問題，怎樣準(zhǔn)確描述互聯(lián)網(wǎng)也是蠕蟲軟件仿真技術(shù)成功的決定性因素。由此可見，蠕蟲軟件仿真技術(shù)的展開需要從網(wǎng)絡(luò)建模以及蠕蟲建模這兩個角度加以考慮，其中網(wǎng)絡(luò)建模更是蠕蟲軟件仿真技術(shù)發(fā)展的基礎(chǔ)。

2.1 網(wǎng)絡(luò)建模

通過蠕蟲軟件仿真技術(shù)的研究得知，蠕蟲可以依靠當(dāng)前網(wǎng)絡(luò)結(jié)構(gòu)實現(xiàn)動態(tài)模式的傳播，例如自制系統(tǒng)與路由器拓?fù)洹捬舆t，這些都會影響到蠕蟲的實際傳播情況，蠕蟲自身通過掃描很有可能導(dǎo)致路由器因此而失效，這種情況下路由因此而改變。通常情況下，蠕蟲軟件仿真技術(shù)中網(wǎng)絡(luò)拓?fù)湫枰獜耐負(fù)淞髁恳约皡f(xié)議3個方面進(jìn)行，也就是說，網(wǎng)絡(luò)建模中拓?fù)渚W(wǎng)絡(luò)節(jié)點之間進(jìn)行協(xié)議執(zhí)行，隨后形成了流量，拓?fù)淠Ｐ鸵彩侨湎x軟件仿真技術(shù)應(yīng)用中成功建立網(wǎng)絡(luò)模型的基礎(chǔ)。蠕蟲軟件仿真技術(shù)下，蠕蟲的特性情況也決定了蠕蟲軟件仿真技術(shù)不僅有著網(wǎng)絡(luò)模型仿真的共性，還會對蠕蟲傳播有影響，人們在這期間會對網(wǎng)絡(luò)拓?fù)浜蛡鬏攨f(xié)議加以考慮。

蠕蟲會利用傳輸控制協(xié)議和用戶數(shù)據(jù)報協(xié)議進(jìn)行大規(guī)模的傳播，其中蠕蟲對用戶數(shù)據(jù)報協(xié)議的仿真比較簡單，但是傳輸控制協(xié)議在仿真的時候比較復(fù)雜，會涉及超時或者擁堵等因素，協(xié)議的仿真過程中會有大量近似情況容易被忽略，因此，人們將UNIX BSD主要代碼移植到仿真器中，這樣仿真的準(zhǔn)確度有所增加，卻降低了研究的實際效率。網(wǎng)絡(luò)節(jié)點之間的流量是背景流量以及蠕蟲傳播流量的綜合，其中蠕蟲傳播流量能夠在仿真協(xié)議中考慮，人們將節(jié)點之間的背景流量認(rèn)為是常量或者簡單分布。

2.2 蠕蟲建模

蠕蟲軟件仿真技術(shù)研究中，除了網(wǎng)絡(luò)建模以外，還有蠕蟲建模，其中在進(jìn)行蠕蟲建模的時候會有以下兩種方法：建立純數(shù)字模型；根據(jù)蠕蟲的工作機制以及功能結(jié)構(gòu)情況，將蠕蟲表現(xiàn)為若干特征參數(shù)集合。其中純數(shù)字模型建立已經(jīng)有了較大的進(jìn)展，雙因子模型和AAWP模型的出現(xiàn)印證了蠕蟲軟件仿真技術(shù)的有效性；人們在對第二種方法加以分析的時候，會將蠕蟲分解成若干參數(shù)，這個時候也會有一定要求存在，即減少網(wǎng)絡(luò)軟件仿真環(huán)境給蠕蟲建模帶來的負(fù)載；尋找能夠影響蠕蟲建模傳播與感染速度的因素；對蠕蟲活動加以分析和研究，使其具有靈活性，只有這樣才能建立起符合蠕蟲傳播特性的蠕蟲建模。

蠕蟲軟件仿真技術(shù)應(yīng)用中，蠕蟲主要是通過用戶數(shù)據(jù)報協(xié)議尋找到目標(biāo)主機，在進(jìn)行掃描的時候如果找到了一臺目標(biāo)主機，先確定這臺主機是不是蠕蟲傳播速度的關(guān)鍵，最科學(xué)的蠕蟲掃描策略就是能夠在最短的時間內(nèi)將蠕蟲找到，并且在互聯(lián)網(wǎng)中尋找到所有被蠕蟲干擾的主機。隨著蠕蟲軟件仿真技術(shù)的發(fā)展，人們不僅對蠕蟲的掃描策略進(jìn)行分析，還對掃描的速度加以探究，對用戶數(shù)據(jù)報協(xié)議蠕蟲而言，每一秒發(fā)出的數(shù)據(jù)數(shù)量就是其速率，對傳輸控制協(xié)議而言，就是蠕蟲連接到目標(biāo)主機以后的數(shù)量情況，也就是在掃描過程中線程的數(shù)目，蠕蟲的掃描速率可以結(jié)合當(dāng)時情況，選擇科學(xué)合理的掃描策略，這樣基本可以確定蠕蟲傳播的速度。

美國波士頓市麻省理工學(xué)院的研究人員宣稱，事實上，蚯蚓可能是幫助他們解決許多機器人問題的鑰匙?，F(xiàn)在，美國麻省理工學(xué)院、哈佛大學(xué)和韓國首爾國立大學(xué)研究人員設(shè)計出一種模仿蠕動機制的機器人。它靠蠕動移動，通過收縮身體體節(jié)，在各種表面上爬行，看起來更像一條蚯蚓，這種幾乎全用軟材料制造的機器人有很強的彈力。軟機器人的一個重大挑戰(zhàn)是設(shè)計為這類機器人提供動力的軟制動器，人們使用的解決方案是將壓縮空氣泵入機器人體內(nèi)，使其運動。

3 蠕蟲軟件仿真系統(tǒng)

3.1 高度抽象的軟件仿真

蠕蟲軟件仿真技術(shù)下有蠕蟲軟件仿真系統(tǒng)的支持，蠕蟲軟件仿真系統(tǒng)有兩種情況：分析模型；數(shù)據(jù)包級模型。這是從蠕蟲軟件仿真中蠕蟲建模角度得到的，但是卻沒有辦法成功反映出蠕蟲軟件仿真系統(tǒng)網(wǎng)絡(luò)建模的方式，通過研究表明，網(wǎng)絡(luò)建模中可以將數(shù)據(jù)包級蠕蟲軟件仿真系統(tǒng)詳細(xì)劃分為以下3種形式：高度抽象的蠕蟲軟件仿真、數(shù)據(jù)包級的蠕蟲軟件仿真以及大規(guī)模分布式蠕蟲軟件仿真。通過分析得知，這3種模式中，網(wǎng)絡(luò)建模與蠕蟲建模在蠕蟲軟件仿真系統(tǒng)的發(fā)展中變得越來越細(xì)致，仿真得到的結(jié)果也更加真實。

高度抽象的蠕蟲軟件仿真中，有ETH Zurich TIK蠕蟲仿真器的存在，這個仿真器最早是蘇黎世聯(lián)邦理工大學(xué)計算機工程與網(wǎng)絡(luò)實驗室聯(lián)合開展的項目，人們也稱之為蘇黎世聯(lián)邦與網(wǎng)絡(luò)實驗室蠕蟲仿真器，該仿真器主要是根據(jù)蠕蟲傳播的特性來分析蠕蟲的供給情況。系統(tǒng)中會將互聯(lián)網(wǎng)主機劃分為多個小組，每一個小組中都會有帶寬與延遲這兩參數(shù)，連續(xù)的帶寬與延遲可以取最小值，因此人們可以得到互聯(lián)網(wǎng)模型，這個系統(tǒng)可以對蠕蟲的大小、傳輸協(xié)議進(jìn)行分析，通過有效的配置實現(xiàn)蠕蟲的掃描。

2018年3月23日，全球信息安全行業(yè)的最高盛會Black Hat Asia 2018在新加坡舉行，全世界的安全專家聚集于此，圍繞當(dāng)下熱門的安全議題開展討論并分享最新研究成果。大會由騰訊安全聯(lián)合實驗室反病毒實驗室安全專家楊經(jīng)宇、耿琛介紹的一種基于LOT設(shè)備的全新通用型攻擊方式，引起在場安全專家強烈反響，并獲得大會主辦方“特別推薦”，該攻擊方式不僅能夠繞開設(shè)備的安全防御手段，還能形成“蠕蟲”式攻擊，造成更大的安全威脅。設(shè)備飛速發(fā)展的同時，其安全問題也逐漸顯現(xiàn)。據(jù)國家信息安全漏洞共享平臺公開數(shù)據(jù)顯示，2017年共收錄智能設(shè)備通用型漏洞有2 440個，同比增長高達(dá)118%。其中，針對路由器及網(wǎng)關(guān)、攝像頭及視頻系統(tǒng)、機頂盒等類型設(shè)備的攻擊活動頻發(fā)，成為不法分子的重要攻擊目標(biāo)。大會現(xiàn)場，騰訊安全反病毒實驗室發(fā)布最新研究成果，在Black Hat Asia 2017上，實驗室攜哈勃分析系統(tǒng)開源項目HaboMalHunter就已亮相Arsenal展臺，是當(dāng)屆BlackHat唯一入選的中國開源項目；2017年11月，哈勃分析系統(tǒng)成為全球首家接入VirusTotal的動態(tài)分析系統(tǒng)，將自身豐富的環(huán)境仿真、虛擬執(zhí)行和深度分析能力接入VirusTotal，并得到了對方在亞洲反病毒大會等多個場合中給予的高度評價和致謝。

3.2 數(shù)據(jù)包級的軟件仿真

蠕蟲軟件仿真系統(tǒng)中數(shù)據(jù)包級軟件仿真尤為重要，SSFNet/NS2蠕蟲仿真器的出現(xiàn)使系統(tǒng)有了較大的發(fā)展，這是基于SSF在數(shù)據(jù)包級對網(wǎng)絡(luò)協(xié)議與建模的一套組件，并形成了數(shù)據(jù)包級仿真器的SSF，互聯(lián)網(wǎng)因此被抽象成傳染病傳播模型，被蠕蟲軟件仿真系統(tǒng)選定的部分可以進(jìn)行仿真，所有的通信由偽協(xié)議會話提供，通過這種數(shù)據(jù)包級軟件仿真將整個網(wǎng)絡(luò)刻畫出來，從而加強蠕蟲軟件仿真系統(tǒng)對網(wǎng)絡(luò)的影響。

3.3 大規(guī)模分布式軟件仿真

近年來，隨著各種分布式技術(shù)的發(fā)展，蠕蟲軟件仿真系統(tǒng)中有了大規(guī)模分布式軟件仿真，其中GTNetS/PDNS分布式蠕蟲仿真器就是典型案例。這種仿真器的出現(xiàn)在蠕蟲軟件仿真系統(tǒng)中，無論是從網(wǎng)絡(luò)建模還是蠕蟲建模中都使用了一定有效措施，通過有效措施提高結(jié)果的準(zhǔn)確程度，對TCP協(xié)議的仿真節(jié)點已經(jīng)達(dá)到128 000，對UDP協(xié)議傳播的節(jié)點已經(jīng)達(dá)到了75 000，利用這種方式在蠕蟲軟件仿真系統(tǒng)中將蠕蟲的模型可以分為以下4個組件，第一個組件是蠕蟲節(jié)點，用來表示換聯(lián)網(wǎng)中可以傳播蠕蟲的終端節(jié)點；第二個組件是脆弱服務(wù)器，服務(wù)器中存在的漏洞很有可能會被蠕蟲利用；第三個組件是供給代理，蠕蟲軟件仿真系統(tǒng)應(yīng)用中，一臺受到感染的主機會將蠕蟲傳播到另外一臺十分脆弱的主機中；第四個組件是后門代理，指的是在蠕蟲感染的過程中有可以打開的后門，在必要條件下傳輸比較大的蠕蟲代碼，蠕蟲軟件仿真系統(tǒng)開始仿真的時候會去標(biāo)記一個節(jié)點，將這個節(jié)點看作是受到污染的節(jié)點，攻擊代理尋找主機然后進(jìn)行傳播，當(dāng)一個新的主機受到感染后也會去尋找新的目標(biāo)主機，以此循環(huán)。

在理論上，所有的大腦活動都可以變?yōu)殡娦盘枺虼擞成涑鲞@些信號無異于映射出一個大腦。并且由于它們的電信號，它們可以被數(shù)字化、存儲和仿真?，F(xiàn)在，這種之前經(jīng)常出現(xiàn)在科幻片里的場景已經(jīng)被科學(xué)家們實際應(yīng)用，已經(jīng)模擬出蛔蟲大腦，并且將其上載到樂高機器人當(dāng)中。這些科學(xué)家正在研究一個所謂的“蠕蟲項目”，蠕蟲大腦規(guī)模顯然遠(yuǎn)遠(yuǎn)小于人類大腦。科學(xué)家們能夠繪制出蠕蟲相當(dāng)簡單的302個腦神經(jīng)元，并且進(jìn)行軟件仿真。當(dāng)然，他們不得不削減在少數(shù)復(fù)雜神經(jīng)元，比如放電神經(jīng)元?？茖W(xué)家們在研究中使用傳感器和輪轂取代實際的蠕蟲身體部位，而這項實驗的初步結(jié)果是相當(dāng)令人印象深刻和有希望的，因為這種機器“蠕蟲”根本無需編程就可以自動活動。將來人們甚至可以通過這項技術(shù)制造出虛擬蠕蟲，來探索進(jìn)一步的實際應(yīng)用。

4 結(jié)語

總而言之，隨著社會經(jīng)濟的發(fā)展和科學(xué)技術(shù)的進(jìn)步，蠕蟲軟件仿真技術(shù)有了較大的研究進(jìn)展，蠕蟲軟件仿真技術(shù)在當(dāng)前屬于后知后覺形式的研究方法，人們只有不斷加強對蠕蟲軟件仿真系統(tǒng)的研究，通過理論進(jìn)行實踐，掌握網(wǎng)絡(luò)蠕蟲的實際傳播規(guī)律，尋找傳播特點，只有這樣才能夠為蠕蟲軟件仿真的防治系統(tǒng)提高科學(xué)有效的對策，分析當(dāng)前蠕蟲傳播情況與蠕蟲軟件仿真技術(shù)使用情況，加強對未來蠕蟲發(fā)展趨勢的探索。