1. 蠕虫
1.1. 扫描策略
1.1.1. 随机扫描
1.1.2. hit-list扫描
1.1.3. 路由器扫描
1.1.4. dns扫描
1.2. 模型
1.2.1. Simple Epidemic Model
1.2.2. KM
1.2.3. Two-Factor
1.2.4. Worm-Anti-Worm
1.3. 检测
1.3.1. 良性蠕虫抑制恶性蠕虫
1.3.2. GrIDS
1.3.3. Honeypot
1.4. 防御
1.4.1. Reactive Antibody Defense需要较长反应时间
1.4.2. Reactive Address Blacklisting需识别感染的机器,过滤它们的数据包
1.4.3. Proactive Protection 攻击概率p,须尝试1/p次
1.4.4. Local Containment
1.4.4.1. hit-list扫描不易识别
1.4.4.2. N大则α往往较小
1.5. 博弈论建模
1.5.1. 参与人集合P={Pa,Ps}
1.5.2. 参与人策略集合S={Sa,Ss}
1.5.2.1. 攻击策略Sa={随机扫描,hit-list扫描}
1.5.2.2. 防御策略Ss={将大量目标地址随机的交换机端口暂时关闭,蠕虫对抗蠕虫}
1.5.2.3. 或防御策略Ss={Reactive Antibody Defense,Proactive Protection}
1.5.3. 收益
1.5.3.1. 因子
1.5.3.1.1. 感染比例I(t)
1.5.3.1.2. 误判比例E(t)/N
1.5.3.1.3. 蠕虫占用的带宽B(t)
1.5.3.2. 公式
1.5.3.2.1. 攻击方收益Ua
1.5.3.2.2. 防御方收益Us
1.5.4. 博弈树
1.5.4.1. 随机扫描
1.5.4.1.1. 将大量目标地址随机的交换机端口暂时关闭
1.5.4.1.2. Untitled
1.5.4.2. 路由器扫描
1.5.4.2.1. 将大量目标地址随机的交换机端口暂时关闭
1.5.4.2.2. Untitled
1.5.5. 博弈矩阵