胡明生，賈遂民，陳巧靈，賈志娟，洪 流

(1.鄭州師范學(xué)院信息科學(xué)與技術(shù)學(xué)院，河南 鄭州 450044；2.華中科技大學(xué)系統(tǒng)工程研究所，湖北 武漢 430074;3.武漢理工大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院，湖北 武漢 430070)

基于常數(shù)輸入的蠕蟲傳播模型及其分析*

胡明生1,2，賈遂民1，陳巧靈1，賈志娟3，洪 流2

(1.鄭州師范學(xué)院信息科學(xué)與技術(shù)學(xué)院，河南 鄭州 450044；2.華中科技大學(xué)系統(tǒng)工程研究所，湖北 武漢 430074;3.武漢理工大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院，湖北 武漢 430070)

針對(duì)蠕蟲病毒提出了易感主機(jī)有常數(shù)輸入并具有標(biāo)準(zhǔn)傳染率的SIRS傳播模型，考慮蠕蟲病毒在傳播期間主機(jī)總數(shù)的動(dòng)態(tài)變化性，應(yīng)用微分方程定性與穩(wěn)定性理論對(duì)該模型進(jìn)行分析, 討論了不同因素對(duì)蠕蟲病毒控制的影響。并利用Abilene網(wǎng)絡(luò)分析了網(wǎng)絡(luò)拓?fù)鋵?duì)病毒傳播速率的影響。最后，通過CAIDA提供的蠕蟲數(shù)據(jù)對(duì)該模型進(jìn)行了檢驗(yàn)。

蠕蟲；傳播模型；全局漸進(jìn)穩(wěn)定; 數(shù)值模擬

1 引言

自1998年莫里斯從實(shí)驗(yàn)室放出第一個(gè)蠕蟲病毒以來，該病毒就以其快速、多樣化的傳播方式不斷給網(wǎng)絡(luò)世界帶來災(zāi)害，信息系統(tǒng)的安全面臨著越來越大的威脅，所以研究蠕蟲病毒的傳播具有現(xiàn)實(shí)意義。

目前，針對(duì)蠕蟲研究的方法大部分借鑒傳染病動(dòng)力學(xué)模型。如SI模型[1]能較好地反央蠕蟲初期的傳播，卻忽略了中后期的傳播過程；SIS模型[2]未考慮對(duì)蠕蟲的免疫，所以不能夠很好地反映蠕蟲傳播行為；SIR模型[3,4]認(rèn)為蠕蟲傳播期間總數(shù)恒定，這與現(xiàn)實(shí)有所不符；Two-Factor模型[5]主要考慮外界因素對(duì)傳播過程的影響，并且以上的模型很少考慮網(wǎng)絡(luò)結(jié)構(gòu)對(duì)蠕蟲傳播的影響。

綜上所述，本文進(jìn)行了以下改進(jìn)：假定對(duì)易感主機(jī)有常數(shù)輸入率，主機(jī)的數(shù)量是一個(gè)變化的過程，并且主機(jī)恢復(fù)后僅部分對(duì)蠕蟲病毒具有免疫力。對(duì)模型進(jìn)行求解并證明其穩(wěn)定性, 通過實(shí)際網(wǎng)絡(luò)模擬得到網(wǎng)絡(luò)結(jié)構(gòu)對(duì)蠕蟲傳播速率的影響，并針對(duì)不同參數(shù)對(duì)蠕蟲的控制與預(yù)防進(jìn)行了分析。

2 模型的建立

(1)

其中,S代表易感主機(jī)，I代表染病主機(jī)，R代表恢復(fù)類主機(jī), 易感主機(jī)有常數(shù)輸入率A。單位時(shí)間內(nèi)易感主機(jī)進(jìn)入感染類的數(shù)量為βSI/N，由易感類進(jìn)入恢復(fù)類的數(shù)量為ωS，由恢復(fù)類進(jìn)入為易感類的主機(jī)數(shù)為δR(t)，感染類進(jìn)入易感類和恢復(fù)類的系數(shù)分別為e和γ。

(2)

下面針對(duì)式(2)討論在區(qū)域Ω中平衡點(diǎn)的存在性。令式(2)兩式左端為0，解得其平衡點(diǎn)為：P0=(A+δN/δ+ω,0)， P1=(S*,I*)。其中，S*=N(γ+e)/β， I*=Aβ+δβN-N(γ+e)(δ+ω)/β(γ+δ)，我們?nèi)』驹偕鷶?shù)R0=Aβ+δβN/ N(γ+e)(δ+ω)，則對(duì)式(2)有以下結(jié)論成立。

定理1在式(2)中，

(1)當(dāng)R0<1時(shí)，P0在Ω內(nèi)為全局漸進(jìn)穩(wěn)定的。

(2)當(dāng)R0>1時(shí)，P1在Ω內(nèi)為全局漸進(jìn)穩(wěn)定的。

證明

(1)式(2)在P0點(diǎn)的Jacobian矩陣為:

則det(λI-A)=0的兩個(gè)特征根為λ1=-(δ+ω)，λ2= [β(A+δN)/N(δ+ω)]-γ-e，易知λ1<0，當(dāng)R0<1時(shí),λ2<0，由零解的穩(wěn)定性判定定理[5]可知：當(dāng)R0<1時(shí)，P0在Ω內(nèi)是局部漸進(jìn)穩(wěn)定的。又由于區(qū)域Ω內(nèi)有平衡點(diǎn)P0，故在Ω內(nèi)不可能有閉軌線，且式(2)從Ω內(nèi)出發(fā)的軌線均不會(huì)越出Ω，即P0在Ω內(nèi)是全局吸引的。所以,當(dāng)R0<1時(shí), P0在Ω內(nèi)是全局漸進(jìn)穩(wěn)定的。

(2)式(2)在P1點(diǎn)的Jacobian矩陣為:

若令其對(duì)應(yīng)特征方程的根為λ1、λ2，則有λ1+λ2=-b，λ1λ2=c，其中b={(δ+ω)(δ-e)+β[(δ+A/N]}/(γ+δ)，c=β[δ+A/N]-(γ+e)(δ+ω)。由R0>1可知b>0, c>0，因而λ1、λ2或全為負(fù)的實(shí)數(shù)，或?yàn)橐粚?duì)具有負(fù)實(shí)部的共軛復(fù)數(shù)。根據(jù)常微分方程零解穩(wěn)定性判別定理[5]可知:當(dāng)R0>1時(shí)，平衡點(diǎn)P1是局部漸進(jìn)穩(wěn)定的。在Ω中取Dulac函數(shù)B=1/I，則：

由Bendixson-Dulac判別法[5]知，式(2)在Ω中無閉軌線，對(duì)式(2)的任意滿足初始條件S(0)=S0>0， I(0)= I0≥0的解(S(t ,S0, I0)、I(t ,S0, I0))總有區(qū)域Ω包含點(diǎn)(S0, I0)，又由系統(tǒng)(2)在Ω內(nèi)部有唯一局部漸進(jìn)的正平衡位置(S*, I*)，故當(dāng)t→∞時(shí)，(S(t ,S0,I0),I(t ,S0,I0))→(S*, I*)。所以，P1是全局吸引的，結(jié)合P1的局部漸進(jìn)穩(wěn)定性知, 當(dāng)R0>1時(shí), P1在Ω中是全局漸進(jìn)穩(wěn)定的。

□

3 仿真與實(shí)驗(yàn)

3.1 模型的檢驗(yàn)

利用蠕蟲CodeRed爆發(fā)時(shí)CAIDA收集到的真實(shí)數(shù)據(jù)對(duì)本模型進(jìn)行檢驗(yàn)，并與不考慮輸入的SIR模型[4]進(jìn)行比較，令N=4×105，β=0.016，γ=0.003，e=0.0004, ω=10-5,A=0.03對(duì)模型進(jìn)行求解，得到當(dāng)前染病主機(jī)數(shù)I與時(shí)間t的變化曲線，如圖1所示，圖中可以看出本模型與真實(shí)數(shù)據(jù)更接近。

Figure 1 Compaison of numerical solution with the Code Red Data圖1 模型的數(shù)值解與Code Red數(shù)據(jù)的比較

3.2 不考慮網(wǎng)絡(luò)結(jié)構(gòu)的蠕蟲傳播

通過計(jì)算機(jī)模擬得到染病主機(jī)隨時(shí)間的變化規(guī)律。如圖2所示，在短時(shí)間內(nèi)染病主機(jī)達(dá)到主機(jī)總數(shù)的80%，而此后的增長(zhǎng)速度變慢，這與文獻(xiàn)[6]中不考慮網(wǎng)絡(luò)結(jié)構(gòu)時(shí)所得到的結(jié)論相吻合。模擬中網(wǎng)絡(luò)規(guī)模為N=500，β=0.02，δ=0.001，做50次實(shí)驗(yàn)然后取平均。

Figure 2 Change of infected host with time圖2 染病主機(jī)隨時(shí)間的變化

下面針對(duì)參數(shù)的變化對(duì)蠕蟲控制的影響進(jìn)行討論:

若A恒定, 當(dāng)δ=0時(shí),由圖3可看出蠕蟲病毒將會(huì)形成“地方病”。 當(dāng)δ>0時(shí),R0是隨δ增大而增大,δ越大,R0越大,當(dāng)R0<1時(shí)，蠕蟲爆發(fā)的規(guī)模是δ的增函數(shù)，控制的時(shí)間隨δ增大而延長(zhǎng)。所以，在病毒的防治中，減少主機(jī)的輸入率；通過打補(bǔ)丁或升級(jí)操作系統(tǒng)，提高對(duì)該蠕蟲的免疫力，減少移至易感類的變化率δ，當(dāng)R0<1時(shí)，該病毒將會(huì)消失；其次，當(dāng)計(jì)算機(jī)感染蠕蟲病毒后及時(shí)關(guān)機(jī)或斷開網(wǎng)絡(luò)連接會(huì)增強(qiáng)對(duì)蠕蟲病毒的有效抑制，即增大γ，減小R0，蠕蟲爆發(fā)規(guī)模與持續(xù)時(shí)間也會(huì)隨之大大減小。 另一方面，由I′=(ΒSI/N)-(γ+e)I，可知，ΒS/N>(γ+e)時(shí)，I值減少。為加速蠕蟲的控制，一方面可提高γ及e的值，另一方面，可減少S值，即增大ω值。我們分別取A=0.03，ω=0.000 01，ω=0.000 1，ω=0.000 2，ω=0.000 3，ω=0.000 35得到感染主機(jī)隨時(shí)間的變化趨勢(shì)，如圖4所示。

Figure 3 Change of infected hosts with time when A is constant圖3 A恒定時(shí)感染主機(jī)隨時(shí)間的變化

Figure 4 Effects on the infected host when ω changes圖4 ω對(duì)感染主機(jī)的影響

此外，還可以通過使β值減少, R0減少，將蠕蟲病毒爆發(fā)的持續(xù)時(shí)間變小，若β<(γ+e)蠕蟲病毒不會(huì)爆發(fā)。

3.3 網(wǎng)絡(luò)拓?fù)鋵?duì)蠕蟲傳播的影響

以NLANR中APM項(xiàng)目的RTT數(shù)據(jù)[7]為依據(jù)、Abilene網(wǎng)絡(luò)[8]為基礎(chǔ)，在實(shí)際的網(wǎng)絡(luò)拓?fù)浼s束下，通過該模型模擬蠕蟲的傳播，取其中130個(gè)節(jié)點(diǎn)進(jìn)行仿真實(shí)驗(yàn)。如圖5所示，該圖包含Abilene網(wǎng)絡(luò)的部分核心節(jié)點(diǎn)、一些參與者以及與之連接的邊。為了確保實(shí)驗(yàn)的可行性，我們假設(shè)隨機(jī)選取不同的初始染病主機(jī)，平均度k≈5，以感染80%的主機(jī)時(shí)間為準(zhǔn)，得到了網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)對(duì)病毒傳播速率的影響。

Figure 5 Abilene network圖5 Abilene網(wǎng)絡(luò)

Figure 6 Host required time that different nodes infected 80%圖6 不同節(jié)點(diǎn)感染80%主機(jī)所需時(shí)間圖

由圖6可以看出，用時(shí)最長(zhǎng)的是Alaska大學(xué)，用時(shí)最短的是印第安大學(xué)，印第安大學(xué)是離網(wǎng)絡(luò)核心節(jié)點(diǎn)較近的節(jié)點(diǎn)。由此可知，離網(wǎng)絡(luò)核心節(jié)點(diǎn)越近，傳播速率越高。所以在控制蠕蟲傳播時(shí)，應(yīng)將重點(diǎn)放在這些節(jié)點(diǎn)上。

綜上所述，蠕蟲病毒在網(wǎng)絡(luò)中的傳播不僅與初始節(jié)點(diǎn)的選擇有關(guān)，也與網(wǎng)絡(luò)本身的拓?fù)浣Y(jié)構(gòu)有關(guān)。因此，在無拓?fù)浼s束下和有網(wǎng)絡(luò)拓?fù)浼s束下病毒傳播的控制策略應(yīng)有所不同。

4 結(jié)束語

在考慮了易感主機(jī)具有常數(shù)輸入的同時(shí)通過對(duì)模型的分析，討論了不同參數(shù)對(duì)蠕蟲病毒控制的影響, 以實(shí)際網(wǎng)絡(luò)分析了網(wǎng)絡(luò)結(jié)構(gòu)對(duì)病毒傳播的影響。今后將在有權(quán)有向網(wǎng)絡(luò)中進(jìn)一步研究影響蠕蟲傳播的因素，為更好地控制蠕蟲病毒提供理論支持。

[1] Faghani M R,Saidi H.Malware propagation in online social networks[C]∥Proc of the 4th Malicious and Unwanted programs(MALWARE09), 2009:8-14.

[2] Kim J, Radhakrishana S, Jang J. Cost optimization in SIS model of worm infection[J]. ETRI Journal, 2006,28(5):692-695.

[3] Zhou H, Wen Y, Zhao H. Modeling and analysis of active benign worms and hybrid benign worms containing the spread of worms[C]∥Proc of the IEEE International Conference on Networking (ICN’07), 2007:65.

[4] Khouzani M H R,Sarkar S,Altman E. Maximum damage malware attack in mobile wireless networks[C]∥Proc of INFOCOM’10, 2010:1-9.

[5] Ma zhi-en,Zhou Yi-cang.Ordinary differential equations qualitative and stability [M]. Beijing:Science Press,2001.(in Chinese)

[6] Kephart J O,White S R.Directed-graphepidemiological models of computer viruses[C]∥Proc of the IEEE Symposi-um on Security and Privacy, 1991:343-361.

[7] NLANR Active Measurement Program(AMP)[EB/OL].[2011-12-15].http://watt.nlanr.net/.

[8] Abilene network[EB/OL].[2011-12-15].http://abilene.internet2.edu/.

[9] Su Fei,Lin Zhan-wan,Ma Yan. Modeling and analysis of internetworm propagation[J]. Journal of China Universities of Posts and Telecommunications, 2010,4(17):63-68.

[10] Yang Feng,Duan Hai-xin,Li Xing.Modeling and analysis of network worm diffusion and benign worm interaction process[J]. Science in China Series E(Information Sciences), 2004,34(8):841-856. (in Chinese)

[11] Moore D.The spread of the code-red worm[EB/OL].[2007-01-31]. http://www.caida.org/data/passive/codered_worms_dataset.xml.

[12] Liu Jian-fang,Liu Qi-ming,Liu Li-hong.Analysis of a mathematical model for virus propagation[J]. Mathematics in Practice and Theory, 2008,38(12):49-52. (in Chinese)

[13] Toutonji O A,Yoo S-M,Park M. Stability analysis of VEISV propagation modeling for network worm attack[J]. Applied Mathematical Modelling, 2012,36(6):2751-2761.

[14] Liu Qi-ming.Construction and analysis of a SIRS model for worm virus propagation[J]. Journal of Southwest China Normal University, 2010,35(1):168-171. (in Chinese)

[15] Zou Chang-chun, Gong Wei-bo. Code red worm propagation modeling and analysis[C]∥Proc of the 9th ACM Symposium on Computer and Communication Security, 2002:1.

[16] Zhang Dian-xu, Zhang Yi,Liu Xiao-yang, et al. Research on the SRF spread model of friendly worms[J]. Computer Engineering & Science, 2010,32(7):18-23. (in Chinese)

附中文參考文獻(xiàn)：

[5] 馬知恩,周義倉.常微分方程定性與穩(wěn)定性方法[M]. 北京:科學(xué)出版社,2001.

[8] 張殿旭,張怡,劉曉陽,等.良性蠕蟲SRF 擴(kuò)散模型研究[J].計(jì)算機(jī)工程與科學(xué),2010,32(7):18-23.

[10] 楊峰,段海新,李星.網(wǎng)絡(luò)蠕蟲擴(kuò)散中蠕蟲和良性蠕蟲交互過程建模與分析[J].中國(guó)科學(xué)E輯(信息學(xué)),2004,34(8):841-856.

[12] 劉建芳，劉啟明，劉立紅.計(jì)算機(jī)蠕蟲病毒傳播的數(shù)學(xué)模型分析[J].數(shù)學(xué)的實(shí)踐與認(rèn)識(shí).2008,38(12):49-52.

[14] 劉啟明.一個(gè)蠕蟲病毒傳播SIRS模型的建立與分析[J].西南師范大學(xué)學(xué)報(bào),2010,35(1):168-171.

HUMing-sheng,born in 1973,PhD,professor,CCF member(E200020016M)，his research interests include complex networks,intelligent control, and decision support.

賈遂民(1968-),男，河南鄭州人，碩士，副教授，研究方向?yàn)閺?fù)雜網(wǎng)絡(luò)、數(shù)據(jù)挖掘。E-mail:Jiasuimin@163.com

JIASui-min,born in 1968,MS,associate professor,his research interests include complex networks,data mining.

Analysisofthewormpropagationmodelwithconstantimmigration

HU Ming-sheng1,2，JIA Sui-min1,CHEN Qiao-ling1,JIA Zhi-juan3,HONG liu2

(1.College of Information Science and Technology,Zhengzhou Normal University,Zhengzhou 450044;2.Institute of Systems Engineering,Huazhong University of Science and Technology,Wuhan 430074;3.School of Computer Science and Technology,Wuhan University of Technology,Wuhan 430070,China)

According to worm propagation,a SIRS propagation model of susceptible hosts with constant recruitment and standard incidence rate is proposed. Considering that the total host count is dynamically changed during the propagation, the qualitative and stability theory of the differential equation is applied to analyze the model. Not only the propagation regularity of worm virus but also the effects of different factors on the worm virus control are discussed. And the Abilene network is used to analyze the effects of network topology on worm propagation rate. At last, the worm data provided by CAIDA are used to test the model.

worm;propagation model;global asymptotic stability;numerical simulation

1007-130X(2014)08-1482-04

2013-01-17;

：2013-04-10

國(guó)家自然科學(xué)基金資助項(xiàng)目(U1204703)；中央高?；究蒲袠I(yè)務(wù)費(fèi)資助項(xiàng)目(HUST：2012QN087, 2012QN088)；河南省重點(diǎn)科技攻關(guān)資助項(xiàng)目(122102310004);鄭州市創(chuàng)新型科技人才隊(duì)伍建設(shè)工程資助項(xiàng)目(10LJRC190)

TP309.5

：A

10.3969/j.issn.1007-130X.2014.08.010

胡明生(1973-),男，河南新縣人，博士，教授，CCF會(huì)員(E200020016M)，研究方向?yàn)閺?fù)雜網(wǎng)絡(luò)、智能控制和決策支持。E-mail:hero_jack@163.com

通信地址：450044 河南省鄭州市北大學(xué)城英才街6號(hào)鄭州師范學(xué)院信息科學(xué)與技術(shù)學(xué)院

Address:College of Information Science and Technology,Zhengzhou Normal University,6 Yingcai St,Zhengzhou 450044,Henan,P.R.China