DDoS攻擊建模仿真平臺設(shè)計與實現(xiàn)

劉小虎，張明清，程 建，范 濤

（信息工程大學(xué)，河南鄭州450004）

0 引 言

DDoS攻擊會對整個網(wǎng)絡(luò)造成嚴(yán)重影響，目前，尚沒有防御該攻擊的有效措施［1］。研究DDoS攻擊及其防御措施的有效性是研究熱點之一。實物環(huán)境下進(jìn)行DDoS攻防研究［2］，存在著難以模擬大規(guī)模復(fù)雜網(wǎng)絡(luò)、資源消耗大、受實驗場所限制等諸多問題。網(wǎng)絡(luò)仿真為研究DDoS攻擊及其防御技術(shù)提供了新的手段［3］。文獻(xiàn)［4］利用OPNET對SYN flood DDoS攻擊進(jìn)行建模仿真；文獻(xiàn)［5］利用NS2建立了DDoS攻防平臺，能夠?qū)崿F(xiàn)無地址欺騙DDoS攻擊的仿真場景設(shè)置和效果模擬；文獻(xiàn)［6］基于有色Petri網(wǎng)仿真工具CPN Tools建立了低速率DoS攻擊仿真系統(tǒng)。Igor Kotenko［7－9］利用Agent建模方法對DDoS攻擊進(jìn)行了系統(tǒng)建模，并在OMNeT＋＋上進(jìn)行了仿真實現(xiàn)，但是，只是實現(xiàn)一種DDoS攻擊的建模與仿真，并且仿真工具OMNeT＋＋不提供友好的仿真界面。

綜合以上分析，可得DDoS攻擊建模仿真的研究中存在以下問題:

（1）缺少含多種DDoS攻擊的仿真模型。常見的DDoS攻擊仿真模型只能仿真某一種DDoS攻擊，融合多種DDoS攻擊的仿真模型并不多見，無法滿足在同一仿真模型上實現(xiàn)多種DDoS攻擊仿真的需要。

（2）仿真運行和參數(shù)配置等操作較為復(fù)雜，不提供友好的仿真界面。OPNET、NS2和OMNeT＋＋等專業(yè)網(wǎng)絡(luò)仿真工具，沒有一個友好的參數(shù)配置和操作界面，給配置和運行仿真模型造成一定困難，不利于提高仿真效率。

針對以上問題，本文結(jié)合Agent建模方法和OMNeT＋＋網(wǎng)絡(luò)仿真工具，對DDoS攻擊機進(jìn)行了詳細(xì)的系統(tǒng)建模和仿真建模，并在VC環(huán)境下利用MFC界面開發(fā)技術(shù)對OMNe T＋＋進(jìn)行二次開發(fā)，設(shè)計并實現(xiàn)具有簡潔性和友好性的仿真界面。該平臺可以研究不同DDoS攻擊類型、不同DDoS攻擊強度下防御措施的有效性，為網(wǎng)絡(luò)安全仿真研究提供模型和平臺支持。

1 DDoS攻擊建模仿真平臺框架設(shè)計

為規(guī)范DDoS攻擊建模仿真平臺的構(gòu)建過程，從系統(tǒng)分析、仿真程序和仿真界面3個方面設(shè)計如圖1所示的建模仿真平臺框架。

（1）采用基于Agent的系統(tǒng)分析建模方法。DDoS攻擊建模與仿真平臺中攻擊機能夠產(chǎn)生多種類型的DDoS攻擊，并與其它設(shè)備存在著復(fù)雜的交互，比較適合采用基于A－gent的建模方法［10］。該部分主要解決建立基于Agent的攻擊機模型和網(wǎng)絡(luò)中其它設(shè)備的Agent模型的問題，實現(xiàn)系統(tǒng)分析功能。

（2）采用基于OMNeT＋＋的仿真模型實現(xiàn)手段。DDoS攻擊建模與仿真平臺要求仿真軟件必須具有跨平臺、能夠仿真大規(guī)模網(wǎng)絡(luò)、支持編寫仿真組件、使用免費等特點。此外，為開發(fā)出具有簡潔性和易用性的仿真界面，還要求仿真軟件必須是開源的，為用戶提供編程接口，以便于進(jìn)行二次開發(fā)。OMNeT＋＋是一款離散事件仿真器，能夠仿真大規(guī)模網(wǎng)絡(luò)系統(tǒng)，具有交互性好、跨平臺和開源等諸多優(yōu)點，故選擇其作為仿真軟件。該部分主要解決建立基于OMNeT＋＋的攻擊機Agent仿真模型和攻擊網(wǎng)絡(luò)仿真模型的問題，實現(xiàn)仿真模型構(gòu)建功能。

DDoS攻擊的建模仿真是一個離散事件建模仿真過程，因此無論是基于Agent的建模還是基于OMNeT＋＋的仿真都要基于離散事件仿真的思想實施?；贏gent對攻擊機進(jìn)行系統(tǒng)建模，實際上是對攻擊機生成消息、發(fā)送消息和處理消息的過程進(jìn)行建模分析；而基于OMNeT＋＋對攻擊機進(jìn)行仿真建模，則是要對攻擊機仿真模型生成消息、發(fā)送消息和處理消息進(jìn)行編程仿真實現(xiàn)。因此，Agent系統(tǒng)建模是對OMNeT＋＋仿真建模的系統(tǒng)分析，OMNeT＋＋仿真建模是對Agent系統(tǒng)建模的具體實現(xiàn)，可以把兩者統(tǒng)一于離散事件仿真的消息之中。

（3）采用VC6.0環(huán)境下的MFC界面開發(fā)技術(shù)。為更高效地配置和運行仿真模型，需要設(shè)計并實現(xiàn)一個具有友好交互性的仿真界面。該部分主要解決仿真界面設(shè)計、仿真界面與OMNeT＋＋的聯(lián)結(jié)以及在界面中實現(xiàn)仿真模型參數(shù)的修改等問題，實現(xiàn)高效仿真功能。

2 基于Agent的DDoS攻擊機建模

結(jié)合Agent建模理論［11］，可建立DDoS攻擊機的Agent模型，如圖2所示。

圖2 基于Agent的DDoS攻擊機模型

圖2中，DDoS攻擊機的Agent模型共有6個模塊組成:

（1）用戶界面。為用戶提供一個設(shè)置DDoS攻擊類型參數(shù)的接口，主要包括攻擊開始時間、攻擊類型、攻擊者源地址、目的地址等多個參數(shù)。本仿真平臺中，用戶可以根據(jù)研究需要，設(shè)置4種不同類型的DDoS攻擊，用以研究防御措施在不同類型的DDoS攻擊下的有效性。

所需設(shè)置的參數(shù)見表1。

表1 DDoS攻擊機模型參數(shù)

根據(jù)表1中參數(shù)設(shè)置，依據(jù)是否存在地址欺騙分類，設(shè)計和實現(xiàn)4種攻擊類型:

1）無地址欺騙攻擊。攻擊機在發(fā)送DDoS攻擊數(shù)據(jù)包時，將目的地址設(shè)為被攻擊機地址，源地址設(shè)為攻擊機的真實地址。

2）隨機地址欺騙攻擊。攻擊機在發(fā)送DDoS攻擊數(shù)據(jù)包時，將目的地址設(shè)為被攻擊機地址，源地址為隨機偽造地址。

3）半隨機地址欺騙攻擊。攻擊機在發(fā)送DDoS攻擊數(shù)據(jù)包時，將目的地址設(shè)為被攻擊機地址，源地址在攻擊機所在子網(wǎng)的IP地址中隨機選取。

4）反射式DDoS攻擊（DRDoS）。攻擊機在發(fā)送DDoS攻擊數(shù)據(jù)包時，將目的地址設(shè)為服務(wù)器地址，源地址設(shè)為被攻擊機地址，這樣收到請求的服務(wù)器會向被攻擊機發(fā)送大量的回復(fù)數(shù)據(jù)包，形成DDoS攻擊。

此外，攻擊機在設(shè)定的非攻擊時間應(yīng)表現(xiàn)出與普通主機同樣的功能，因此，還需設(shè)計攻擊機的普通數(shù)據(jù)訪問功能。

（2）攻擊類型生成模塊。通過用戶界面讀取用戶設(shè)置的攻擊類型生成時間參數(shù)，根據(jù)時間參數(shù)，生成相應(yīng)的攻擊類型。

（3）攻擊數(shù)據(jù)包生成模塊。根據(jù)攻擊類型生成模塊所生成的攻擊類型，設(shè)置攻擊數(shù)據(jù)包的源地址、目的地址和數(shù)據(jù)包長度等參數(shù)，生成相應(yīng)的攻擊數(shù)據(jù)包。

（4）數(shù)據(jù)包處理模塊。處理攻擊機收到的數(shù)據(jù)包，該平臺研究DDoS攻擊的影響及防御措施的有效性，因此，攻擊機不具備除發(fā)送攻擊數(shù)據(jù)包外的其它功能，采用直接刪除收到數(shù)據(jù)包的方式進(jìn)行數(shù)據(jù)包處理。

（5）輸入模塊。完成從環(huán)境或者其它Agent獲取數(shù)據(jù)包的功能。

（6）輸出模塊。完成向環(huán)境或者其它Agent發(fā)送數(shù)據(jù)包的功能。

3 基于OMNeT＋＋的DDoS攻擊仿真實現(xiàn)

3.1 DDoS攻擊機仿真模型設(shè)計

根據(jù)上節(jié)中建立的攻擊機Agent模型，結(jié)合OMNeT＋＋中模塊間的嵌套式設(shè)計原則［12］，可設(shè)計攻擊機Agent的仿真模型如圖3中窗體3所示。

圖3 OMNeT＋＋多窗體環(huán)境

攻擊機Agent仿真模型是一個復(fù)合模塊，由3個簡單模塊組成。其中，簡單模塊attacker App是攻擊機Agent仿真模型的核心部分，它用來完成DDoS攻擊類型的選擇、攻擊數(shù)據(jù)包的發(fā)送以及處理收到的數(shù)據(jù)包等功能，其中，根據(jù)攻擊類型生成并發(fā)送DDoS攻擊數(shù)據(jù)包是attacker App模塊的核心功能；hostfilter簡單模塊主要完成主機防火墻和數(shù)據(jù)包的路由功能；queue［sizeof（port）］主要完成向外界發(fā)送攻擊數(shù)據(jù)包和接收外界發(fā)送給攻擊機的數(shù)據(jù)包時的數(shù)據(jù)包排隊功能。

3.2 攻擊數(shù)據(jù)包仿真建模

DDoS攻擊是通過攻擊機大量發(fā)送攻擊數(shù)據(jù)包實現(xiàn)的，因此，對攻擊數(shù)據(jù)包的建模是整個DDoS建模的重要組成部分。攻擊數(shù)據(jù)包主要涉及3個參數(shù):源地址Src Address、目的地址Des Address和數(shù)據(jù)包長度Packet Length，這3個參數(shù)直接反映了DDoS攻擊的類型和強度，此外一個DDoS數(shù)據(jù)包還需包括數(shù)據(jù)包名Name，數(shù)據(jù)包內(nèi)容Content、數(shù)據(jù)包序號MessageID等，故可設(shè)計DDoS攻擊數(shù)據(jù)包的格式如下:

＜攻擊數(shù)據(jù)包＞::＝

＜Name＞＜Content＞＜Src Address＞＜Des Address＞＜Packet Length＞＜MessageID＞

攻擊機通過對源地址和目的地址的設(shè)置實現(xiàn)不同的攻擊類型，通過對數(shù)據(jù)包長度和發(fā)送時間間隔的設(shè)置實現(xiàn)不同的攻擊強度。

3.3 網(wǎng)絡(luò)背景流量仿真建模

網(wǎng)絡(luò)環(huán)境背景流量主要是由正常客戶端HTTPClient訪問服務(wù)器Server產(chǎn)生，故應(yīng)在DDoS攻擊建模仿真平臺中設(shè)置正?？蛻舳朔抡婺Ｐ鸵援a(chǎn)生仿真所需的背景流量。正?？蛻舳朔抡婺Ｐ驮诠δ苌媳菵DoS攻擊機仿真模型缺少產(chǎn)生攻擊流量生成模塊和相應(yīng)的參數(shù)設(shè)置，但其發(fā)送的數(shù)據(jù)包格式與DDoS攻擊數(shù)據(jù)包格式相同，只是數(shù)據(jù)包源地址為客戶端的真實IP地址。因此，正常客戶端仿真模型可以由DDoS攻擊機仿真模型簡化得到。

3.4 DDoS攻擊建模仿真平臺仿真界面開發(fā)

OMNeT＋＋提供多窗體用戶仿真環(huán)境，具有較強的功能，能夠滿足仿真模型從結(jié)構(gòu)設(shè)計、編程實現(xiàn)、仿真配置、仿真運行和結(jié)果分析等一系列要求，其多窗體用戶仿真環(huán)境如圖3所示。

用戶在窗體1中可以完成DDoS攻擊類型等參數(shù)設(shè)置功能；在窗體2中可以完成DDoS攻擊仿真網(wǎng)絡(luò)拓?fù)涞脑O(shè)置功能；在窗體3中可以完成攻擊機Agent的模塊設(shè)計功能；在窗體4中可以完成跟蹤和觀察攻擊機Agent的仿真進(jìn)程功能；在窗體5中可以設(shè)置仿真速度（分為慢速仿真、中速仿真和全速仿真），跟蹤觀察整個仿真進(jìn)程。OMNeT＋＋的多窗體機制能夠為科研人員提供一個良好的DDoS攻擊建模仿真環(huán)境，但是，如同其它網(wǎng)絡(luò)仿真軟件一樣，其參數(shù)配置等操作相對復(fù)雜，每運行一次仿真需要在多個窗體中交叉進(jìn)行不同的操作，不利于提高仿真效率。

文獻(xiàn)［13］為了減化OMNeT＋＋中的操作，在VC6.0環(huán)境下利用MFC開發(fā)技術(shù)設(shè)計并實現(xiàn)了一個能夠修改OMNeT＋＋配置文件omnet.ini中參數(shù)、具有較好交互性的可視化仿真界面。但是，其并不能在仿真界面中修改仿真模塊文件.ned中參數(shù)，不能滿足修改攻擊機仿真參數(shù)、產(chǎn)生多種DDoS攻擊類型的需求。

本文在深入分析OMNeT＋＋仿真軟件運行原理的基礎(chǔ)上，面向用戶易于操作使用的需求，在VC6.0環(huán)境下運用MFC界面開發(fā)技術(shù)，對OMNeT＋＋進(jìn)行二次開發(fā)，設(shè)計并實現(xiàn)一個界面友好、操作簡單的仿真界面。該仿真界面能夠?qū)崿F(xiàn)在一個界面中對仿真進(jìn)程的全過程控制，減化用戶操作，方便地設(shè)定攻擊類型、配置仿真時間，快捷地進(jìn)行編譯與鏈接、仿真運行和結(jié)果分析等操作，以此提高仿真效率，其界面如圖4所示。

圖4 DDoS攻擊建模仿真界面

仿真界面主要分為3個部分:攻擊參數(shù)設(shè)置部分，可以在界面上直接修改攻擊機仿真模型文件attacker.ned中的相關(guān)參數(shù)，本課題組根據(jù)仿真實驗需求設(shè)置了常用的4種攻擊類型開始時間輸入欄，此外點擊“更多參數(shù)配置”按鈕，還可以對攻擊機仿真模型的其它參數(shù)進(jìn)行配置；仿真參數(shù)設(shè)置部分，可以在界面上直接修改仿真配置文件omnetpp.ini中的仿真參數(shù)，實現(xiàn)對仿真時間和防御場景的選擇；仿真控制部分可以通過在界面上點擊相應(yīng)按鈕，調(diào)用OMNeT＋＋的相關(guān)組件，直接控制程序運行，快捷地實現(xiàn)編譯與鏈接、仿真運行、仿真結(jié)果分析以及退出程序等功能。此外，用戶還可以根據(jù)仿真需求對仿真界面做相應(yīng)修改，以適應(yīng)不同用戶的仿真需求。DDoS攻擊建模仿真界面在底層與OMNeT＋＋相聯(lián)結(jié)，其運行過程如圖5所示，圖5中的終結(jié)符內(nèi)文字的功能分別對應(yīng)仿真界面中的按鈕。

4 平臺仿真驗證實驗及特點分析

為檢驗所建立的DDoS攻擊建模仿真平臺的相關(guān)功能是否滿足設(shè)計要求，設(shè)計DDoS攻擊防御仿真實驗，其網(wǎng)絡(luò)拓?fù)淙鐖D6所示。

4.1 DRDoS攻擊驗證實驗

在仿真界面中設(shè)置“反射式攻擊開始時間”為147s，設(shè)置防御設(shè)備均不工作的防御策略。該實驗中受害者為Target主機，收集的統(tǒng)計量為Target的請求包速率和回應(yīng)包速率如圖7所示?？梢奣arget在147s后，回應(yīng)包速率明顯高于請求包速率，說明形成了DRDoS攻擊。

圖5 DDoS攻擊建模仿真平臺運行

圖6 實驗網(wǎng)絡(luò)拓?fù)?/p>

圖7 Target的請求包速率和回應(yīng)包速率

4.2 無地址欺騙DDoS攻擊驗證實驗

在仿真界面中設(shè)置“固定攻擊開始時間”為147s，設(shè)置防火墻在200s時過濾掉數(shù)據(jù)包源地址為21、22和23的數(shù)據(jù)包的防御策略。通過設(shè)置，實驗中攻擊機主要有3個，IP地址分別為21、22和23，它們在147s時發(fā)動DDoS攻擊，實驗受害者為Server主機，收集的統(tǒng)計變量為Server的請求包速率，如圖8所示。

圖8 固定DDoS攻擊下Server請求包速率

147s后Server的請求包速率急劇上升，說明發(fā)生了DDoS攻擊，而200s時過濾掉數(shù)據(jù)包源地址為21、22和23的數(shù)據(jù)包，請求包速率回歸到正常水平，表明攻擊數(shù)據(jù)包的地址為21、22和23，即為無地址欺騙DDoS攻擊。

4.3 半隨機地址欺騙DDoS攻擊驗證實驗

在仿真界面中設(shè)置“半隨機攻擊開始時間”為147s，設(shè)置防火墻在160s時采取過濾自學(xué)習(xí)階段外新IP數(shù)據(jù)包；180s時采用過濾固定IP地址為21、22和23的數(shù)據(jù)包；200s時采取過濾發(fā)送數(shù)據(jù)包速率較高的IP地址的防御策略。該實驗中受害者為Server，收集Server的請求包速率的變化如圖9所示。

圖9 半隨機DDoS攻擊下Server請求包速率

由圖9可見，在160s時請求包速率沒有變化，在180s時效果不明顯，在200s時能夠有效過濾攻擊數(shù)據(jù)包。因此，可以判斷所產(chǎn)生的攻擊是半隨機DDoS攻擊。

4.4 隨機地址欺騙DDoS攻擊驗證實驗

在仿真界面中設(shè)置“隨機攻擊開始時間”為147s，設(shè)置防火墻在180s時采取過濾掉IP地址為21、22和23的數(shù)據(jù)包，在200秒時采用過濾掉自學(xué)習(xí)階段（其中自學(xué)習(xí)時間為100s）沒有出現(xiàn)的新的IP地址數(shù)據(jù)包時的防御策略。該實驗中受害者為Server，收集Server的請求包速率的變化，如圖10所示。180s時幾乎沒有效果，說明不是固定DDoS攻擊和半隨機DDoS攻擊；200s時效果明顯，說明其是隨機DDoS攻擊。

圖10 隨機DDoS攻擊下Server的請求包速率

4.5 DDoS攻擊建模仿真平臺特點分析

（1）功能分析。該建模仿真平臺中包括Agent方法，可對攻擊機進(jìn)行較為靈活的系統(tǒng)分析；可以在OMNeT＋＋中完成DDoS攻擊機從模型設(shè)計到編程仿真實現(xiàn)的全過程，以此完成對DDoS攻擊機模型的建立；DDoS攻擊實驗驗證了仿真平臺能夠有效產(chǎn)生4種類型的DDoS攻擊。故在功能方面，該建模仿真平臺能夠完成DDoS攻擊從系統(tǒng)分析、仿真模型建立到仿真運行及結(jié)果分析的全過程，達(dá)到了功能設(shè)計要求。

（2）性能分析。該建模仿真平臺提供友好的交互仿真界面，提高了仿真效率。在平臺仿真界面中實現(xiàn)DDoS攻擊類型的快速配置，而無需進(jìn)入程序修改參數(shù)；用一個按鈕實現(xiàn)仿真編譯與鏈接控制、仿真運行控制和結(jié)果分析等功能，減化了用戶操作，達(dá)到了提高仿真效率的目的。

（3）擴展性分析。該建模仿真平臺為在OMNeT＋＋上進(jìn)行二次開發(fā)做了有益探索，解決了如何在MFC界面上控制仿真程序運行、修改.ini配置文件的參數(shù)和修改仿真模型文件.ned中參數(shù)等關(guān)鍵問題。不同仿真用戶可以依據(jù)上述方法，結(jié)合自身仿真需求對仿真平臺做相應(yīng)修改，具有擴展性好、普適性強的特點。

5 結(jié)束語

本文從Agent建模方法、OMNeT＋＋仿真工具和MFC界面開發(fā)技術(shù)3個方面，設(shè)計了DDoS攻擊建模仿真平臺框架，規(guī)范了DDoS攻擊建模仿真平臺設(shè)計與實現(xiàn)的整個過程；詳細(xì)介紹了基于Agent建立攻擊機系統(tǒng)模型和基于OMNe T＋＋建立攻擊機仿真模型的過程；VC環(huán)境下對OMNeT＋＋進(jìn)行二次開發(fā)，設(shè)計并實現(xiàn)了具有操作簡潔性、界面友好性的仿真界面；通過仿真實驗驗證了該建模仿真平臺能夠仿真實現(xiàn)4種類型的DDoS攻擊；最后，從功能、性能和可擴展性3個方面對建模仿真平臺進(jìn)行了分析，表明該平臺的正確性、有效性和先進(jìn)性。該建模仿真平臺為研究DDoS攻擊及其防御策略的有效性提供了平臺支持，但是，DDoS攻擊的種類有很多，下一步工作是繼續(xù)在仿真平臺中擴充DDoS攻擊的類型，豐富攻擊類型庫。

［1］Astha Keshariya，Noria Foukia.DDoS defense mechanisms:A new taxonomy［G］.LNCS 5939:Data Privacy Management and Autonomous Spontaneous Security.Berlin:Springer Berlin Heidelberg，2009:222－236.

［2］ZHANG Lihui，DUAN Haixin，DAI Shidong.Design and impementation of DDoS attack－defense testbed［J］.Computer Engineering，2008，（34）13:118－120（in Chinese）.［張黎輝，段海新，戴世冬.DDoS攻擊防御實驗床的設(shè)計與實現(xiàn)［J］.計算機工程，2008，（34）13:118－120.］

［3］WANG Zeyu，WANG Ning.Application of network simulator tools on network security experiment［J］.Network Information Security，2008，8（11）:72－75（in Chinese）.［王澤玉，王寧.網(wǎng)絡(luò)模擬工具在網(wǎng)絡(luò)安全試驗中的應(yīng)用［J］.信息網(wǎng)絡(luò)安全，2008，8（11）:72－75.］

［4］ZHANG Mingqing，XIE Jie，ZHANG Min，et al.Modeling and simulation of DDoS attacks using OPNET modeler［J］.Journal of System Simulation，2008，20（10）:2736－2739（in Chinese）.［張明清，謝杰，張敏，等.基于OPNET的拒絕服務(wù)攻擊建模與仿真［J］.系統(tǒng)仿真學(xué)報，2008，20（10）:2736－2739.］

［5］WANG Wei.Network simulaton of DDoS defense based on NS2［J］.Journal of Yangtze University（Nat Sei Edit）Sci＆Eng V，2012，9（7）:114－116（in Chinese）.［王偉.基于NS2網(wǎng)絡(luò)仿真防御DDoS攻擊研究［J］.長江大學(xué)學(xué)報（自然科學(xué)版）理工卷，2012，9（7）:114－116.］

［6］LIU Tao，HE Yanxiang，XIONG Qi，et al.Simulation and analysis of congestion control adaptation system－targeted LDoS attack［J］.Journal of Sysem Simulation，2011，23（5）:1026－1031（in Chinese）.［劉陶，何炎祥，熊琦，等.自適應(yīng)擁塞控制系統(tǒng)中LDoS攻擊仿真和分析［J］.系統(tǒng)仿真學(xué)報，2011，23（5）:1026－1031.］

［7］Igor Kotenko，Alexey Konovalov，Andrey Shorov.Agentbased simulation of cooperative defense against botnets［J］.Concurrency and Computation:Practice and Experience，2012，24（6）:573－588.

［8］Igor Kotenko，Alexey Konovalov，Andrey Shorov.Agend－based modeling and simuation of botnets and botnet defense［C］//Conference on Cyber Conflict Proceedings，2010:21－43.

［9］Igor Kotenko，Alexander Ulanov.Multiagent modeling and simulation of agents’competition for network resources availability［C］//Fourth International Conference on Autonomous Agents and Multi－Agent Systems，2009:27－43.

［10］SUN Xiangyang.Research and implementation of a DDoS attacks and defense simulation system based on NS2［D］.Changsha:National University of Defense Technology，2008（in Chinese）.［孫向陽.基于NS2的DDoS攻擊模擬系統(tǒng)研究與實現(xiàn)［D］.長沙:國防科技大學(xué)，2008.］

［11］Andrew I.Artificial war:Multi－agent based simulation of combat［M］.ZHANG Zhixiang，GAO Chunrong，GUO Fuliang，transl.Beijing:Publishing House of Electronics Industry，2010（in Chinese）.［安德魯.人工戰(zhàn)爭:基于多Agent的作戰(zhàn)仿真［M］.張志祥，高春蓉，郭福亮，譯.北京:電子工業(yè)出版社，2010.］

［12］ZHAO Yongli，ZHANG Jie.OMNeT＋＋and network simulation［M］.Beijing:Posts ＆Telecom Press，2012（in Chinese）.［趙永利，張杰.OMNeT＋＋與網(wǎng)絡(luò)仿真［M］.北京:人民郵電出版社，2012.］

［13］CAO Min，LI Wenfeng，YUAN Bing.Sensor networks simulation based on OMNET＋＋［D/OL］.Sciencepaper Online，［2006－09－12］.http://www.paper.deu.cn（in Chinese）.［操敏，李文鋒，袁兵.基于OMNe T＋＋的傳感器網(wǎng)絡(luò)仿真［D］.中國科技論文在線，［2006－09－12］.http://www.paper.deu.cn.］