[发明专利]一种基于良性蠕虫对抗PLC恶意蠕虫的方法

说明书

技术领域

本发明属于网络安全技术领域，一种基于良性蠕虫对抗PLC恶意蠕虫的方法。

背景技术

最近几年，网络空间安全领域发生了巨大的变化，工业控制系统成为了新的网络空间安全主战场之一。两化融合后，IT系统的信息安全也被融入了工控系统安全中。当前，我国关键信息基础设施面临的网络安全形势严峻且复杂。根据东北大学“谛听”网络安全团队的数据显示，全球存在大量暴露在Internet上的工业控制系统，其中占比较多的包括电力行业、石油石化行业及先进制造业，这些都与国家的发展密切相关。

暴露在互联网中的工控系统越来越多，各种网络设施和互联网协议中的漏洞也层出不穷，PLC(可编程控制器Programmable Logic Controller)作为工业控制系统的重要组成部分也愈加频繁地受到攻击，其中蠕虫攻击占据了不可忽视的比例。

传统的防病毒、防入侵等系统软件一般上都是从网络的协议入手，研究如何从协议实现上限制蠕虫的快速传播，这样不能从根本上解决蠕虫快速扩散问题，只能一定程度上缓解蠕虫的传播，早已不适合蠕虫的防护。

于是很多学者提出了使用良性蠕虫对抗恶性蠕虫的方法。借助于医学界以毒攻毒的思想，良性蠕虫可以像蠕虫一样传播，给有漏洞的主机打补丁或者清除被感染的主机上的蠕虫，或者同时具有以上两个功能。良性蠕虫被划分4个大类：主动良性蠕虫、被动良性蠕虫、混合良性蠕虫以及基于IDS的良性蠕虫。

其中，主动良性蠕虫可以分为3个小类：

1)打补丁的主动良性蠕虫：该类蠕虫可以主动发现有漏洞的主机，并且给有漏洞的主机打补丁。

2)掠夺的主动良性蠕虫：该类蠕虫可以主动清除被蠕虫感染的主机上的蠕虫。

3)复合型的主动良性蠕虫：它同时具有以上两种主动良性蠕虫的功能。

混合良性蠕虫又分为如下3个小类：

1)打补丁的混合良性蠕虫：它同时具有打补丁的主动良性蠕虫以及被动蠕虫的功能。

2)掠夺的混合良性蠕虫：它同时具有掠夺的主动良性蠕虫以及被动蠕虫的功能。

3)复合型的混合良性蠕虫：它同时具有复合型的主动良性蠕虫以及被动蠕虫的功能。

针对PLC领域，使用复合型混合良性蠕虫对抗恶意蠕虫，目前并未提出有效的解决方案。

发明内容

为了克服现有技术中存在的问题，利用复合型混合良性蠕虫，提供一种基于良性蠕虫对抗PLC恶意蠕虫的方法。本发明主要建立了复合型混合良性蠕虫的传播模型，为主机打补丁，对抗感染主机并且拥有被动良性蠕虫的特点。因为目前没有很有效的手段对付零日漏洞，所以采用隔离策略来控制蠕虫传播。模型假设除感病特征外，主机间没有差异，各类主机混合均匀，所有蠕虫都在IPv4网络中传播，采用具有代表性的随机扫描策略并且可以同时扫描许多主机。

本发明技术方案如下：

一种基于良性蠕虫对抗PLC恶意蠕虫的方法，包括如下步骤：

步骤1，主机在以下六种状态中切换：易感状态、良性感染状态、感染状态、时延状态、隔离状态和免疫状态。

所述六种状态的定义分别为：

易感状态Susceptible state(S)：该类主机既没有被蠕虫感染也没有被良性蠕虫感染，但是具有蠕虫感染的漏洞。

良性感染状态Benignly Infectious(U)：该类主机被良性蠕虫感染。

感染状态Infectious state(I)：该类主机被蠕虫感染但没有被良性蠕虫感染。

时延状态Delayed state(D)：该类主机被感染且在t时刻被隔离。

隔离状态Quarantined state(Q)：该类主机被感染且在τ时刻被隔离。

恢复状态Removed state(R)：该类主机既不会被蠕虫感染也不会被良性蠕虫感染。

分别用S(t)，U(t)，I(t)，D(t)，Q(t)和R(t)表示t时刻易感染状态、良性感染状态、感染状态、时延状态、隔离状态和免疫状态的主机数量。

蠕虫和良性蠕虫传播过程中互相攻击。

步骤2，建立模型为：

主机的总数为N，其算式如下

N＝S(t)+U(t)+I(t)+D(t)+Q(t)+R(t)

模型中涉及到的符号与其定义具如下表所示，

模型中，式表示若主机是易感染状态，将会被感染状态主机和良性感染状态主机所感染。