37、扫描蠕虫取证分析框架研究

扫描蠕虫取证分析框架研究

在网络安全领域，扫描蠕虫的分析和追踪是一项至关重要的工作。本文将深入探讨扫描蠕虫的相关技术，包括扫描时间估计、感染树构建，并通过对 SQL Slammer 蠕虫和 Witty 蠕虫的案例研究，详细阐述如何进行扫描蠕虫的取证分析。

扫描时间估计

对于扫描蠕虫，准确估计每次扫描的时间是一项具有挑战性的任务。这主要取决于扫描是否成功以及蠕虫的扫描策略。
- 扫描成功情况 ：若扫描成功，感染过程可能需要几秒时间才会发送下一次扫描。
- 扫描失败情况 ：若扫描失败，则会立即发送下一次扫描。

扫描时间的计算公式如下：
[
\hat{T}(\hat{D}_k^{m+i}) = T(\hat{D}_k^{m}) + \left\lfloor\frac{i}{N_S}\right\rfloor R_k^m
]
其中，(\hat{D}_k^{m} = d_k^n)，(\hat{D}_k^{m+i} \preceq d_k^{n+1})。

为了估计在 (d_k^0) 之前发生的扫描时间（即子列表 (L_k^{-1}) 的扫描时间），假设子列表 (L_k^{-1}) 的扫描突发速率与子列表 (L_k^0) 相似，即 (R_k^{-1} = R_k^0)，则有：
[
\hat{T}(\hat{D}_k^{m - i}) = T(d_k^0) - \left\lceil\frac{i}{N_S}\right\rceil R_k^0
]

SQL Slammer 蠕虫分析