автореферат диссертации по информатике, вычислительной технике и управлению, 05.13.19, диссертация на тему:Модель распространения вирусных атак в сетях передачи данных общего пользования на основе расчета длины гамильтонова пути

На правах рукописи

Новиков Сергей Валерьевич

МОДЕЛЬ РАСПРОСТРАНЕНИЯ ВИРУСНЫХ АТАК В

СЕТЯХ ПЕРЕДАЧИ ДАННЫХ ОБЩЕГО * ПОЛЬЗОВАНИЯ НА ОСНОВЕ РАСЧЕТА ДЛИНЫ ГАМИЛЬТОНОВА ПУТИ

Специальность 05.13.19 Методы и системы защиты информации, информационная безопасность

АВТОРЕФЕРАТ диссертации на соискание ученой степени кандидата технических наук

Санкт-Петербург 2007

УДК 6$ 1.324 067

Работа выполнена на кафедре «Безопасные информационные технологии» Санкт-Петербургского государственного университета информационных технологий, механики и оптики (СПб П*У ИТМО)

Научный руководитель.

Официальные оппоненты: г

Ведущая, организация:

Доктор технических наук, профессор Осовецкий Леонид Георгиевич

Доктор технических наук, профессор

Коробейников Анатолий Григорьевич

Кандидат технических наук, доцент Суханов Андрей Вячеславович

Управление Федеральной службы по техническому и экспертному контролю России по Северо-Западному федеральному округу

Защита состоится г. в /Стасов на заседании

диссертационного совета Д 2-12.227.05 при Санкт-Петерб^гском государственном университете информационных технологий, механики и оптики по адресу 197101, Санкт-Петербург, Кронверкский пр 49

С диссертацией можно ознакомиться в библиотеке СПб ГУ ИТМО

Автореферат разослан "Ж" О&С5* 2007 г.

Ученый секретарь диссертационного совета Д 212 227 05

кандидат технических наук, доцент

Поляков В.И

аиш1си&ИА па

ОБЩАЯ ХАРАКТЕРИСТИКА РАБОТЫ

АКТУАЛЬНОСТЬ ТЕМЫ ИССЛЕДОВАНИЯ

В настоящее время эпидемии компьютерных вирусов и других вредоносных программ наносят огромный ущерб различным организациям и отдельным пользователям компьютеров За последние 10-15 лет распространение вредоносного кода, носившее локальный характер, превратилось в глобальные эпидемии сетевых червей, не требующих для распространения участия пользователей Работа и функционирование многих структур и организаций тесно связана или полностью зависит от глобальных сетей Сетевые черви, размножающиеся в неограниченном количестве, забивают каналы передачи информации, тем самым нанося огромные убытки, не говоря уже о том, что код червя может содержать деструктивные функции, что может привести к потере или утечке важной и конфиденциальной информации

Современная вредоносная программа может инфицировать большую часть уязвимых компьютеров всего за несколько часов, благодаря масштабам глобальной сети Интернет и огромным пропускным способностям современных каналов передачи информации Многие исследователи эпидемий компьютерных вирусов отмечают, что современные вредоносные программы используют далеко не самые оптимальные стратегии поиска новых компьютеров для заражения [15][35][39][56] В будущем возможно появление вредоносного кода, способного распространяться за считанные секунды, благодаря использованию усовершенствованных стратегий распространения Моделирование эпидемий вредоносных программ показывает, что большую часть времени, за которое доля инфицированных компьютеров достигает своего максимального значения, вредоносная программа тратит на заражение небольшого, в масштабах эпидемии, числа компьютеров Таким образом, в будущем возможно ускоренное развитие эпидемий вредоносных программ благодаря предварительному анализу состояния сети передачи данных, т е составления списка уязвимых компьютеров, который будет использоваться для того чтобы захватить некоторое «критическое» число уязвимых компьютеров [15][18][31][40] Если это «критическое» число компьютеров будет захвачено, дальнейшее распространение будет происходить лавинообразно

Современное программное обеспечение также не способствует снижению числа новых эпидемий вредоносных программ Новые уязвимости в различных программах находят практически каждый день, производители программного обеспечения не всегда оперативно их устраняют, а готовые заплатки устанавливаются очень медленно Некоторые пользователи и технический персонал сетей никак не заботятся о безопасности собственных компьютеров Определенную роль в распространении вирусов играет и человеческий фактор

неопытные пользователи не задумываясь, открывают все почтовые вложения через которые распространяются многие вредоносные программы Также многие пользователи не заботятся о регулярном обновлении антивирусных программ

Таким образом, в настоящее время существуют множество факторов, способствующих появлению массовых эпидемий вредоносных программ К тому же, современные сетевые черви, согласно многим работам в области компьютерной безопасности, используют далеко не весь свой потенциал, возможно появление вредоносного кода распространяющегося за считанные минуты

Задача противодействия распространению вредоносных программ крайне актуальна Все организации, работа которых, так или иначе, связана с использованием сетей передачи данных, терпят убытки от постоянных вспышек эпидемий сетевых червей, новые модификации которых появляются каждый день Противодействие распространению и созданию вредоносных программ - очень сложная задача, которая имеет множество аспектов, одним из которых является моделирование и методы предсказания распространения вредоносных программ С помощью математических моделей можно оценить масштабы возможной эпидемии, изучить динамику изменения числа зараженных компьютеров и так далее Моделирование также может быть использовано для того чтобы оценить эффективность тех или иных мер противодействия распространению, например лечения уже зараженных компьютеров или предварительном устранении уязвимостей в ПО, используемых вредоносным кодом для инфицирования Таким образом, эпидемиологические модели являются необходимым инструментом для изучения и противодействия распространению вирусных атак

Самым простым подходом является использование классических эпидемиологических моделей, разработанных еще в XIX веке для изучения эпидемий инфекционных заболеваний и основанных на системах дифференциальных уравнений [22][23][49][50][51] Однако эти модели достаточно примитивны и не учитывают некоторых особенностей распространения компьютерных вирусов Характер эпидемии, предсказанных с помощью традиционных моделей достаточно часто не совпадает со статистическими данными, поэтому актуальна задача создания новых, более подходящих математических моделей Кроме классических моделей, существуют модели распространения эпидемий, специально разработанные для изучения компьютерных вредоносных программ [25][28][36][37] Многие из них базируется на измененных системах дифференциальных уравнений, сформулированных в классических эпидемиологических моделях Большинство моделей не вносит существенных изменений в традиционные модели, а некоторые из них предназначены только для конкретных видов вредоносных программ [45] Таким образом, существующие модели распространения обладают многими

недостатками, разработка новых моделей актуальна и необходима длл предсказания характера эпидемий вредоносных программ и противодействия им

ЦЕДИ И ЗАДАЧИ ДИССЕРТАЦИИ

Целью диссертационной работы является разработка новой математической модели распространения вредоносного кода Эта модель должна учитывать особенности эпидемий компьютерных вредоносных программ и соответствовать статистическим данным о распространении в сети конкретных образцов вредоносного кода Модель должна бьггь достаточно гибкой и универсальной, предоставлять различные параметры, с помощью которых можно настраивать модель на представление распространения конкретной вредоносной программы

Поставленная цель обуславливает необходимость решения следующих

задач

1 Провесш анализ предметной области, рассмотреть существующие модели распространения вредоносных программ, выявить перспективные направления в этой области

2 Разработать новую математическую модель распространения вирусных атак Определить исходные положения, на которых будет построена новая модель, сформулировать модель, описать ее параметры

3 Сравнить результаты прогнозирования, полученные с помощью существующих моделей, представленной модели со статистическими данными о распространении вредоносных программ

В соответствие с целями и задачами диссертационной работы определены ее предмет и объект

ПРЕДМЕТОМ работы является комплекс вопросов, связанных с моделированием распространения инфекций, в частности, распространения вредоносных программ В качестве ОБЪЕКТА исследования выступают статистические данные о распространении вредоносных программ, математические эпидемиологические модели и результаты, полученные с их помощью

МЕТОДЫ ИССЛЕДОВАНИЯ

При решении поставленных задач были использованы методы математической статистики и математического анализа, в частности методы дифференциального анализа, элементы теории графов

НАУЧНАЯ НОВИЗНА

В диссертационной работе представлена математическая модель распространения вирусных атак в сети передачи данных на основе расчета длины гамильтонова пути моделирующего графа Предложенная модель является универсальным инструментом изучения эпидемий вредоносных программ в компьютерных сетях В представленной модели компьютерная сеть моделируется ориентированным графом, а скорость распространения вредоносной программы, те изменение доли инфицированных компьютеров в сети связано с длиной гамильтонова пути на том участке моделирующего графа, в котором еще возможно распространение Такой подход позволяет связать уровень, которого достигает эпидемия с размерами сети Таким образом, предложенная модель, в отличие от предыдущих разработок в этой области, учитывает размеры сети, в которой происходит эпидемиологический процесс Характер устранения последствий эпидемии, предсказанный с помощью модели на основе расчета длины гамильтонова пути, хорошо согласуется со статистическими данными Это достигается путем введения в модели предположения о том, что издеченные компьютеры могут с определенной вероятностью продолжать распространять вредоносный код Другие модели распространения вредоносных программ не учитывают такой возможности Благодаря введению этого предположения, модель позволяет прогнозировать ситуацию распространения опасной (высокая частота заражения) вредоносной программы в сети, где большинство компьютеров неподвержены заражению Существующие модели показывают немедленное угасание вспышки инфекции, однако, согласно новой модели, отдельные образцы вредоносного кода могут не только сохраниться, но и заразить большую часть доступных для заражения узлов Этой ситуации может соответствовать, например, распространение вредоносной программы, поражающей только компьютеры с определенным ПО График распространения такой вредоносной программы, полученный с помощью классической модели и модели на основе расчета длины гамильтонова пути, представлен на рисунке 5 далее

ПРАКТИЧЕСКАЯ ЦЕННОСТЬ РАБОТЫ

Представленная в диссертационной работе модель на основе расчета длины гамильтонова пути универсальна и обеспечивает прогноз о распространении вредоносных программ в компьютерных сетях с высокой степенью достоверности

6

Модель предоставляет множество параметров, позволяющих приспособить ее для описания конкретной эпидемии Результаты моделирования согласуются со статистическими данными о распространении конкретных образцов вредоносного кода Модель пригодна как для изучения быстропротекающих эпидемиологических процессов, так и для создания долгосрочных прогнозов распространения вредоносных программ

НАУЧНЫЕ ПОЛОЖЕНИЯ, ВЫНОСИМЫЕ НА ЗАЩИТУ

1 Сеть передачи данных может быть представлена полным ориентированным графом Узлы моделирующего графа являются узлами сети, а направленные ребра обозначают логические связи между ними

2 Все компьютеры сети могут находиться только в одном из трех состояний они могут быть уязвимыми для инфицирования, зараженными или неподверженными заражению Особенности процесса передачи вредоносной программы от одного компьютера к другому, а также внутренние особенности выполнения вредоносной программы на компьютере не учитываются Для выяснения характера эпидемии вредоносной программы необходимо знать, сколько уязвимых компьютеров в сети присутствует в каждый момент времени

3 Скорость заражения компьютеров в сети пропорциональна длине гамильтонова пути на том участке моделирующего графа, где еще возможно распространение вредоносной программы

СТРУКТУРА И ОБЪЕМ ДИССЕРТАЦИИ

Диссертация состоит из четырех глав, изложена на 94 страницах, содержит 20 рисунков и список литературы из 60 наименований Глава 1 содержит обзор различных работ в области моделирования распространения вредоносных программ Глава 2 описывает модель распространения вирусных атак на основе расчета длины гамильтонова пути и ее параметры, а также содержит результаты сравнения этой модели с традиционными эпидемиологическими моделями Глава 3 описывает моделирующий комплекс, использованный для создания графических представлений и решения уравнений моделей Глава 4 содержит анализ статистических данных о распространении вредоносных программ, сравнивает эти данные с теоретическим прогнозом характера распространения, полученным с помощью традиционных моделей и модели на основе расчета длины гамильтонова пути

ОСНОВНОЕ СОДЕРЖАНИЕ РАБОТЫ

Первая глава диссертации представляет собой обзор моделей распространения вредоносных программ Использованы наиболее известные работы, посвященные этому направлению, источники указаны в списке литературы В начале главы описаны классические эпидемиологические модели, разработанные для изучения распространения инфекционных заболеваний (SI-модель, SIR-модель и другие) Согласно этим моделям, все индивиды в популяции разделяются на несколько групп уязвимые (S - susceptible), зараженные (I -infective), неподверженные заражению (R - recovered/removed) Характер эпидемии определяется только долей зараженных индивидов в популяции В главе приведены уравнения классических моделей и 1рафики, соответствующие им

Основное уравнение 5!-модели, позволяющее определить долю зараженных узлов I в момент времени I 10 -начальная доля зараженных узлов, $ — частота заражения

1(0 =

i0 + (1 - t0)e-^

I А

10080604

/

> !

Рис 1 График, соответствующий SI-модели

rdS ßl dl ßi dR

Система дифференциальных уравнений, описывающих 5/Я-модель 5, /, Я - число уязвимых, зараженных и неподверженных заражению индивидов соответственно, /? - частота заражения, <5 - частота излечения

Эта модели могут быть применены для исследования эпидемий компьютерных вирусов В главе дано понятие эпидемиологического предела и теорема Кермака-Мак Кедрика об эпидемиологическом пределе [22][23] Далее описываются более совершенные модели распространения, которые, в основном, представляют собой усовершенствованные и дополненные традиционные эпидемиологические модели Например, двухфакгорная модель, RCS-модель [45] (Randoxn Constant Spread model - модель случайного постоянного распространения), PSDDR-модель [60] (Progressive Susceptible-Infected-Detected-Removed model), AAWP-модель [37] (Analytical Active Worm Propagation model -аналитическая модель распространения активного червя), модели, основанные на представлении сети передачи данных в виде графа [49], и другие

Далее в главе 1 представлено описание различных стратегий заражения, которые могут быть использованы вредоносным кодом для поиска новых компьютеров для инфицирования, и их влияние на динамику эпидемии [6][31][35][40] Примеры стратегий распространения случайное сканирование, локальное сканирование, сканирование по топологии (использование информации о связях с другими компьютерами адресные книги, контакт-листы и т п )

Рис 2 График, соответствующий SIR-модели

?

<;и кшнЬт Ясаптпр.

|Ь) ЬисаИ'/.Ы Ясмтп^

(V) ГорЫо^кЫ Чсаптпе

Рис. 3. Иллюстрация различных стратегий заражения, которые могут быть использованы вредоносными программами

Отдельно описана стратегия, согласно которой атака проводится по хитлистам [31][39][40] (Ы&вй) - предварительно составленные списки уязвимых компьютеров, используемые сетевыми червями для того чтобы быстро заразить определенную долю уязвимых компьютеров в сети. Вредоносные программы, использующие такой метод, еще не были созданы, однако могут появиться в ближайшее время. Для таких эпидемий описана модель идеального распространения, позволяющая оценить время, необходимое сетевому червю для заражения всех уязвимых компьютеров в списке.

йте (5есогиЗ)

Рис. 4. Влияние размера предварительно составленного списка уязвимых компьютеров («ЫШэЬ)) на динамику эпидемии

10

Во второй главе описана новая математическая модель распространения вирусных атак в сети передачи данных общего пользования, основанная на расчете длины гамильтонова пути В §1 главы 2 даны исходные предположения, на которых базируется модель В §2 дана формулировка модели, описаны все ее параметры, дано основное уравнение модели, позволяющее при заданных параметрах получить долю зараженных компьютеров в сети в любой момент времени

__'о __

1 с -р) (1 - |и-Л (г0+ гс - 1 + <0{вир - 1) - + ы

, где

р. = ДГ(1 + га{р - 1) - ио> - 1

Основное уравнение модели распространения вирусных атак на основе расчета длины гамильтонова пути I - доля зараженных компьютеров в сети в момент времени /, - начальная доля инфицированных узлов, ; о - начальная доля неподверженных заражению узлов, ¡1 — частота заражения, д - частота излечения р — отношение частоты заражения от узлов Я к частоте заражения Д ш отношение частоты заражения к частоте излечения, Ы- число компьютеров в сети

В §3 главы 2 сравниваются результаты прогнозирования распространения вредоносных программ, полученные с помощью новой модели на основе расчета длины гамильтонова пути и классических эпидемиологических моделей на различных по размеру и составу сетях

Выявлены многие отличия новой модели от традиционных 81- и 8Ш-моделей В конце главы приведены основные результаты сравнения прогнозов моделей

• В предложенной модели учитываются размеры компьютерной сети В большей по числу компьютеров сети эпидемия вредоносной программы может приобрести большие масштабы Классическая модель не учитывает размеры сети и всегда предсказывает одинаковый характер развития эпидемии

Рис. 5. Графики, иллюстрирующие различия в прогнозах распространения вредоносных программ, полученных с помощью новой модели и классических эпидемиологических моделей

• В модели на основе расчета гамильтонова пути допускается возможность передачи вредоносной программы через компьютеры, которые изначально были неподвержены заражению или были излечены Традиционная модель не учитывает возможность такой передачи вредоносной программы

• Даже небольшая доля узлов, инфицированных опасной вредоносной программой, в сети, где большинство компьютеров неподвержены заражению, может привести к существенному увеличению числа зараженных компьютеров Согласно же классическим моделям, вспышка инфекции немедленно угасает

• Устранение последствий распространения вредоносной программы занимает, согласно предложенной модели, большее количество времени, чем предсказываемое классической моделью Основная масса зараженных компьютеров будет излечена, однако отдельные копии вредоносного кода могут еще достаточно долго присутствовать в сети

Третья глава посвящена описанию расчетно-вычислительного комплекса, использованного для решения уравнений математических моделей и визуализации вычислений В диссертационной работе использовалась система символьной математики Wolfram Research Mathematica 5 2В главе 3 описаны необходимые функции и возможности этой системы с помощью которых были получены графические представления, решения дифференциальных уравнений и т д Описаны различные опции, с помощью которых можно влиять на процесс вычислений и задавать необходимое представление результата Также описаны другие функции системы Mathematica, позволяющие, строить таблицы и обрабатывать статистические данные

Четвертая глава содержит анализ статистических данных о распространении вредоносных программ и их соответствие теоретическому поведению эпидемии, полученному с помощью предложенной модели на основе расчета длина гамильтонова пути Статистические данные для обработки предоставлены службой KL mail server, принадлежащей компании ЗАО «Лаборатория Касперского» Информация была подобрана так, чтобы существовала возможность анализа эффективности модели при составлении прогнозов как на краткосрочный, так и на долгосрочный период Затем были сделаны прогнозы предполагаемого протекания эпидемий имеющихся червей на основе классической эпидемиологической SIR-модели и рассматриваемой модели на основе расчета длины гамильтонова пути моделирующего графа Полученные результаты сравниваются с реальными статистическими данными

Рис. 6. График, иллюстрирующий статистические данные о распространении червя Email-Worm.Win32.Bagle.gt и теоретические характеры эпидемий, полученные вШ-моделью и моделью на основе расчета длины гамильтонова пути. Период распространения: 22.01.2007-24.01.2007, параметры моделей: N=46000, р=0,1 (3=0,73 го=0,24 10=0,0038 5=0,46

'(t)

0.008

0.006

0,005 --- ■

0.003

0,001

-меюд Гамильтона -метод SIR

-Email-Worm . Win32.Nyxem.e

15

20

Рис. 7. График, иллюстрирующий статистические данные о распространении червя Email-Worm.Win32.Nyxem.e и теоретические характеры эпидемий, полученные SIR-моделью и моделью на основе расчета длины гамильтонова пути. Период распространения: 08.06.2006-25.06.2006, параметры моделей: N-^36500, р=0,2 [3=0,55 r0=O,7 i0=0,0012 5=0,15

В конце главы приведены результаты изучения статистических данных и их сравнения с теоретическим характером эпидемий, предсказанном математическими моделями:

• Использование модели на основе расчета длины гамильтонова пути дает результаты, которые больше соответствуют статистическим данным, чем результаты, полученные с помощью классической БЖ-модели, как при анализе быстропротекающих заражений, так и при составлении долгосрочных прогнозов.

• Модель на основе расчета гамильтонова пути, с высокой точностью предсказывает пики активности червей как при краткосрочном, так и при долгосрочном прогнозах

• Устранения последствий эпидемии вредоносной программы, согласно новой модели, занимает достаточно много времени, что соответствует статистическим данным

ОСНОВНЫЕ РЕЗУЛЬТАТЫ РАБОТЫ

Главным результатом диссертационной работы является создание новой математической модели распространения вредоносных программ на основе расчета длины гамильтонова пути Компьютерная сеть, в которой происходит распространение вредоносного кода, моделируется направленным графом Скорость изменения числа зараженных компьютеров связана с длиной гамильтонова пути моделирующего графа Разработанная модель универсальна и подходит для изучения распространения любых вредоносных программ Теоретический характер эпидемии, полученный с использованием новой модели, соответствует статистическим данным о распространении конкретных образцов вредоносных программ Модель на основе расчета длины гамильтонова пути подходит как для изучения быстропротекающих эпидемий, так и для долгосрочного прогноза распространения вредоносного кода Модель предоставляет множество параметров, позволяющих настроить ее на изучение конкретной эпидемии При сравнении результатов моделирования, полученных с использованием традиционного подхода и метода на основе расчета длины гамильтонова пути, был получен ряд отличий между двумя подходами

1 В предложенной модели учитываются размеры компьютерной сети В большей по числу компьютеров сети эпидемия вредоносной программы может приобрести большие масштабы Классическая модель не учитывает размеры сети и всегда предсказывает одинаковый характер развития эпидемии

2 В модели на основе расчета гамильтонова пути допускается возможность передачи вредоносной программы через компьютеры, которые изначально были неподвержены заражению или были излечены Традиционная модель не учитывает возможность такой передачи вредоносной программы

3 Даже небольшая доля узлов, инфицированных опасной вредоносной программой, в сети, где большинство компьютеров неподвержены заражению, может привести к существенному увеличению числа зараженных компьютеров Согласно же классическим моделям, вспышка инфекции немедленно угасает

4 Устранение последствий распространения вредоносной программы занимает, согласно предложенной модели, большее количество времени, чем предсказываемое классической моделью Основная масса зараженных компьютеров будет излечена, однако отдельные копии вредоносного кода могут еще достаточно долго присутствовать в сети

СПИСОК РАБОТ. ОПУБЛИКОВАННЫХ ПО ТЕМЕ ДИССЕРТАЦИИ

1 Новиков С В "Базовые принципы компьютерных вирусов Математическая модель распространения вирусных эпидемий", научно-практическая конференция "Информационные технологии - в науку и образование", Харьков, 21-22 марта 2005 г, -163 стр. С 102104

2 S Novikov "New technologies for protection against new threads", Conference Security 2005, Прага, 17 мая-2005 г, - 40 стр С 28-41

3 Новикове В «Эпидемиологические модели прогнозирования вирусных атак», X международная научно-практическая конференция «Теория и технология программирования и защиты информации», Санкт-Петербург, 18 мая 2006 г, -161 стр С 35-36

4 Новиков С В «Прогнозирование вирусных атак», XI международная научно-практическая конференция «Теория и технология программирования и защиты информации», Санкт-Петербург, 18 мая 2007 г, - 93 стр С 65-66

5 Новиков С В «модель прогнозирования вирусных атак на основе расчета длины гамильтонова пути», научно-практическая конференция «Обеспечение информационной безопасности Региональные аспекты», Сочи, 11-15 сентября 2007 г, 218 стр С 168-172

Тиражирование и брошюровка выполнены в Центре «Университетские телекоммуникации» Санкт-Петербург, Саблинская ул, 14 Тел (812)233-46-69 Объем 1 п л Тираж 100 экз

Глава 1: Моделирование распространения вредоносного кода.

1.1 Введение.

1.2 Классические эпидемиологические модели.

1.3 Модели, приспособленные для изучения распространения вредоносного кода.

Глава 2: Модель и метод прогнозирования распространения вирусных атак на основе расчета гамильтонова пути.

2.1 Исходные предположения.

2.2 Формулировка модели.

2.3 Метод прогнозирования распространения вирусных атак на основе расчета гамильтонова пути.

Глава 3: Инструментально-моделирующий технологический комплекс.

Глава 4: Применение модели распространения вирусных атак на основе расчета длины гамильтонова пути для прогнозирования темпов распространения сетевых червей.

4.1 Общие положения.

4.2 Анализ эффективности краткосрочного прогноза.

4.3 Анализ эффективности долгосрочного прогноза.

1. D. Whyte, Е. Rranakis, P. van Oorschot. DNS-based detection of scanning worms in an enterprise network. Technical report, Carleton University, School of Computer Science, TR-04-06, August 2004.

2. Z. Chen, C. Ji. A Self-Learning Worm Using Importance Scanning. ACM CCS Workshop on Rapid Malcode (WORM'05), 2005.

3. J. Wu, S. Vangala, L. Gao, and K. Kwiat. An Effective Architecture and Algorithm for Detecting Worms with Various Scan Techniques. Network and Distributed System Security Symposium, 2004.

4. С. C. Zou, D. Towsley, W. Gong, and S. Cai. Routing Worm: A Fast, Selective Attack Worm based on IP Address Information. 19th ACM/IEEE/SCS Workshop on Principles of Advanced and Distributed Simulation (PADS'05), June 1-3, Monterey, USA, 2005.

5. A. Ganesh, L. Massoulie, and D. Towsley. The Effect of Network Topology on the Spread of Epidemics. Proc. of INFOCOM 2005, Miami, March 2005.

6. M. Garetto, W. Gong, D. Towsley. Modeling Malware Spreading Dynamics. Proc. of INFOCOM 2003, San Francisco, April, 2003.

7. K. Rohloff and T. Basar. Stochastic Behavior of Random Constant Scanning Worms. Proc. of IEEE Conference on Computer Communications and Networks 2005 (ICCCN 2005), San Diego, CA, Oct., 2005.

8. С. C. Zou, W. Gong, D. Towsley, and L. Gao. The Monitoring and Early Detection of Internet Worms. IEEE/ACM Transactions on Networking, 13(5), 961- 974, October 2005.

9. C. Zou, L. Gao, W. Gong, and D. Towsley. Monitoring and Early Warning of Internet Worms. Proceedings of ACM Conference on Computer and Communications Security (CCS), October, 2003.

10. N. Weaver, S. Staniford, and Vern Paxson. Very Fast Containment of Scanning Worms. Proceedings of the 13th USENIX Security Symposium, August 2004.

11. C. Shannon and D. Moore. The spread of the Witty worm. Proceedings of the IEEE Symposium on Security and Privacy, May, 2004.

12. J. Van Hoogstraten. Blasting Windows: An Analysis of the W32/Blaster Worm. http://vvww.giac.org/practical/GCIH/John VanHooastraten GCIIl.pdl'

13. D. Moore, C. Shannon, G.M. Voelker, S. Savage. Internet Quarantine: Requirements for Containing Self-Propagating Code. Infocom 2003.

14. J. Nazario, J. Anderson, R. Wash, C. Connelly. The Future of Internet Worms. Crimelabs Research.

15. C.C. Zou, D. Towsley, W. Gong. Email virus propagation modeling and analysis. Technical Report TR-CSE-03-04 (University of Massachussets, Amherst), 2003

16. S. Chen, Y. Tang. Slowing Down Internet Worms. University of Florida, Department of Computer & Information Science & Engineering.

17. L. Zeltser. The Evolution of Malicious Agents. April 2000.

18. A. Shulman. Web Application Worms: Myth or Reality?. iMPERVA Application Defense Center, 2004.

19. C. Wang, J.C. Knight, M.C. Elder. On computer viral infection and the effect of immunization. ACS AC, 246-256, 2000

20. K. Rozinov. Reverse Code Engineering: An In Depth Analysis of the Bagle Virus. August 2004.

21. D.J. Daley and J. Gani. Epidemic Modelling: An Introduction. Cambridge University Press, 1999.

22. H. W. Hethcote. The Mathematics of Infectious Diseases. SIAM Review Vol. 42, No. 4, 599-653, 2000

23. D. Moore, C. Shannon, and J. Brown. Code-Red: a case study on the spread and victims of an Internet Worm. In Proc. ACM/USENIX Internet Measurement Workshop, France, November, 2002.

24. Y. Wang, D. Chakrabarti, C. Wang and C. Faloutsos. Epidemic Spreading in Real Networks: An Eigenvalue Viewpoint. 22nd Symposium on Reliable Distributed Computing, Florence, Italy, Oct. 6-8, 2003.

25. Y. Wang, C. Wang. Modeling the Effects of Timing Parameters on Virus Propagation. ACM Workshop on Rapid Malcode, Washington, DC, Oct. 27, 2003.

26. N. Weaver, V. Paxson, S. Staniford, and R. Cunningham. A Taxonomy of Computer Worms. ACM Workshop on Rapid Malcode, Washington, DC, Oct. 27, 2003.

27. C.C. Zou, W. Gong, D. Towsley. Worm propagation modeling and analysis under dynamic quarantine defense. Proceedings of the ACM CCS Workshop on Rapid Malcode (WORM'03), 2003

28. J. Jung, S. E. Schechter, and A. W. Berger. Fast detection of scanning worm infections. In Proceedings of the 7th International Symposium on Recent Advances in Intrusion Detection (RAID), September 2004.

29. D. Moore, V. Paxson, S. Savage, C. Shannon, S. Staniford, and N. Weaver. Inside the Slammer worm. IEEE Magazine on Security and Privacy, 1(4), July 2003.

30. N. Weaver. Warhol Worms: The Potential for Very Fast Internet Plagues, 2001

31. S. Staniford. Containment of scanning worms in enterprise networks. Journal of Computer Security, 2003.

32. M. M. Williamson. Throttling viruses: Restricting propagation to defeat mobile malicious code. In 18th Annual Computer Security Applications Conference, December 2002.

33. C.C. Zou, D. Towsley, W. Gong. Email virus propagation modeling and analysis. Technical Report TR-CSE-03-04 (University of Massachussets, Amherst), 2003

34. С. C. Zou, D. Towsley, and W. Gong. On the performance of Internet worm scanning strategies. Technical Report TR-03-CSE-07, Umass ECE Dept., November 2003.

35. Z. Chen, C. Ji. Spatial-Temporal Modeling of Malware Propagation in Networks. IEEE Transactions On Neural Networks, 2005

36. Z. Chen, L. Gao, K. Kwiat. Modeling the spread of active worms. Proceedings of IEEE INFOCOM 2003, 2003

37. С. С. Zou, D. Towsley, and W. Gong. Email worm modeling and defense. In Proceedings of 13th International Conference on Computer Communications and Networks (ICCCN'04), October 2004.

38. Y. Bulygin. A spread model of flash worms. Security Evaluation Center of Excellence, Intel Corporation

39. S. Staniford, D. Moore, V. Paxson, N. Weaver. The Top Speed of Flash Worms. In: Proceedings of ACM Workshop on Rapid Malcode (WORM). (2004)

40. M. Mannan and P.C. van Oorschot. On instant messaging worms, analysis and countermeasures. In Proceedings of the 2005 ACM Workshop on Rapid Malcode, pages 2-11, November 2005.

41. D. Moore, V. Paxson, S. Savage, C. Shannon, S. Staniford, and N. Weaver. The spread of the sapphire/slammer worm. Technical report, CAIDA, ICSI, Silicon Defense, UC Berkeley EECS and UC San Diego CSE, 2003.

42. G. Serazzi, S. Zanero. Computer virus propagation models. Tutorials of the 11th IEEE/ACM Int'l Symp. On Modeling, Analysis and Simulation of Computer and Telecom. Systems MASCOTS 2003. Springer-Verlag, 2003.

43. L. Zhou, L. Zhang, F. McSherry, N. Immorlica, M. Costa and S. Chien. A First Look at Peer-to-Peer Worms: Threats and Defenses. Peer-to-Peer Systems IV, 4th International Workshop (IPTPS), pages 24-35, February 2005.

44. C.C. Zou, W. Gong, D. Towsley. Code Red Worm Propagation Modeling and Analysis. 9th ACM Conf. on Computer and Communication Security, 2002

45. K. Ramachandran and B. Sikdar. Modeling Malware Propagation in Gnutella Type Peer-to-Peer Networks. The Third International Workshop on Hot Topics in Peer-to-Peer Systems (Hot-P2P), Rhodes Island, Greece, April 2006.

46. W. Yu, C. Boyer, S. Chellappan and D. Xuan. Peer-to-Peer System based Active Worm Attacks: Modeling and Analysis. Communications, 2005. ICC 2005. 2005 IEEE International Conference on Volume 1, 16-20 May 2005 Page(s):295 300 Vol. 1.

47. R. Thommes and M. Coates. Epidemiological Modeling of Peer-to-Peer Viruses and Pollution. IEEE INFOCOM, April 2006.

48. J.O. Kephart, S.R. White. Directed-graph Epidemiological Models of Computer Viruses. Proceedings of the IEEE Symposimum on Security and Privacy, 343-359, 1991.

49. J.O. Kephart, D.M. Chess, S.R. White. Computers and Epidemiology. IEEE Spectrum, 1993.

50. J.O. Kephart, S.R. White. Measuring and Modeling Computer Virus Prevalence. Proceedings of the IEEE Symposimum on Security and Privacy, 1993.

51. D. Brumley, Li-Hao Liu, P. Poosankam, and D. Song. Taxonomy and effectiveness of worm defense strategies. TR CMUCS-05-156, 2005.

52. C. W. Wong, S. Bielski, J. M. McCune, and C. Wang. A Study of Mass-mailing Worms. ACM CCS 2nd Workshop on Rapid Malcode (WORM04), October 2004.

53. D. Ellis, J. Aiken, K. Attwood, and S. Tenaglia. A Behavioral Approach to Worm Detection. In Proceedings of the ACM Workshop on Rapid Malcode (WORM), Fairfax,VA, Oct. 2004.