沈士根，楊淑敏，黃龍軍，劉建華*，吳國文，張 紅，曹奇英

(1.紹興文理學院計算機科學與工程系，浙江 紹興312000；2.東華大學計算機科學與技術(shù)學院，上海201620)

隨著異質(zhì)無線傳感器網(wǎng)絡(luò)(Heterogeneous WSNs，HWSNs)的應(yīng)用越來越廣泛，HWSNs 中惡意程序傳播導致的安全問題日益嚴峻[1-3]。 由于惡意程序可以根據(jù)代碼構(gòu)成實現(xiàn)自我復制的功能，而且惡意程序一旦被激活就可以主動進行傳播，使得惡意程序?qū)⒁灾笖?shù)增長方式四處擴散，嚴重威脅HWSNs 的數(shù)據(jù)安全和網(wǎng)絡(luò)可靠性[4-6]。

要研究HWSNs 惡意程序的傳播問題，首先需要通過建模分析HWSNs 惡意程序傳播模型，再進一步研究其穩(wěn)定性，從而揭示HWSNs 惡意程序的傳播規(guī)律，為惡意程序的防御、傳播遏制以及HWSNs 性能安全的提高提供借鑒和參考。 王小明團隊[7]較早研究了WSNs 中的惡意程序傳播問題，在考慮節(jié)點死亡狀態(tài)基礎(chǔ)上擴展傳統(tǒng)的SIR 模型得到了iSIRS 傳播模型，系統(tǒng)研究了移動傳感網(wǎng)中的惡意程序傳播問題，建立了基于偏微分方程理論的惡意程序傳播時空動力學模型[8]、基于元胞自動機的傳播模型[9]以及SIRD 模型[10]，分析了動力學模型的穩(wěn)定性和分歧性[11]，還很好地綜述了傳感器網(wǎng)絡(luò)惡意程序傳播模型和遏制方法[12]。 羅小娟等人[13]融合免疫機制，得到了一種改進的SIR 模型。 黃一才等人[14]綜合考慮節(jié)點通信距離、休眠和隔離狀態(tài)提出一種包含8 個狀態(tài)的惡意程序傳播模型。 Song 和Zhang[15]提出了具有時滯性質(zhì)的e-SEIR 模型。 Nowzari 等人[16]以異質(zhì)節(jié)點構(gòu)成的有向圖為基礎(chǔ)，提出了一種SEIV(Susceptible-Exposed-Infected-Vigilant)模型。 Zhang 等人[17]提出了一種SAIS(Susceptible-Alert-Infectious-Susceptible)模型并評估了不同警報策略的作用。 Singh 等人[18]考慮WSNs 傳感節(jié)點通信半徑和節(jié)點分布密度，提出了一種考慮接種機制的SEIRV(Susceptible-Exposed-Infected-Recovered-Vaccinated)模型。 Acarali等人[19]以基于WSNs 的物聯(lián)網(wǎng)為基礎(chǔ)，建立了一種能綜合反映節(jié)點處理能力有限、能量有限和節(jié)點密度高等物聯(lián)網(wǎng)特性的IoT-SIS 模型。 Shen 等人[20]擴展傳統(tǒng)的SIR 模型從而得到一種反映節(jié)點異質(zhì)特性的SIR 模型，并對模型的穩(wěn)定性進行了分析。 Liu 等人[21]針對可充電WSNs，提出了一種考慮電源狀態(tài)的SILS(Susceptible-Infected-Low energy-Susceptible)模型。 其他典型的模型還有HSIORD(Heterogeneous Susceptible-Infected-isOlated-Removed-Deceased ) 模型[22]、 SITPS ( Susceptible-Infected-Traced-Patched-Susceptible)模型[23]、車聯(lián)網(wǎng)惡意程序隨機傳播模型[24]、考慮社會屬性的物聯(lián)網(wǎng)惡意程序傳播模型[25]、以及反映節(jié)點時滯特性[26-27]、空間關(guān)聯(lián)性[28]、干擾攻擊傳播[29]、攻防博弈[30]的WSNs 惡意程序傳播模型。 然而，上述相關(guān)文獻對WSNs 惡意程序傳播過程中節(jié)點狀態(tài)的表述還不全面，對惡意程序傳染率的表達沒有體現(xiàn)WSNs 的異質(zhì)特性。

本文提出一種考慮節(jié)點潛伏和隔離狀態(tài)，同時反映節(jié)點異質(zhì)特性的HWSNs 惡意程序傳播模型，再分析其穩(wěn)定性，為揭示HWSNs 惡意程序擴散機制和系統(tǒng)管理員有效抑制HWSNs 惡意程序傳播提供理論指導。 首先，根據(jù)惡意程序可能潛伏和惡意節(jié)點可能被成功檢測后隔離的特性，提出一種HWSNs 惡意程序傳播模型SEQIRD(Susceptible-Exposed-Quarantined-Infected-Recovered-Dead)；其次，以與單個異質(zhì)傳感器節(jié)點(Heterogeneous Sensor Node，HSN)直接通信的節(jié)點數(shù)，即節(jié)點的度，反映其異質(zhì)特性，建立微分方程，從而反映HWSNs 惡意程序傳播過程中具有異質(zhì)性的傳感器節(jié)點狀態(tài)的動態(tài)變化過程；然后，根據(jù)穩(wěn)定點的數(shù)學特性，計算該模型的穩(wěn)定點，采用下一代矩陣法計算該模型的基本再生數(shù)，并證明該模型無病穩(wěn)定點的局部漸進穩(wěn)定性。 表1 從模型優(yōu)點、缺點、關(guān)鍵貢獻等方面對本文模型和現(xiàn)有模型進行了比較。

表1 本文模型和現(xiàn)有模型的比較

1 HWSNs 惡意程序傳播模型

HWSNs 中的HSN 在被惡意程序攻擊而感染前后狀態(tài)會發(fā)生一系列變化，本文共定義六種HSN 狀態(tài):易感狀態(tài)S、潛伏狀態(tài)E、隔離狀態(tài)Q、感染狀態(tài)I、恢復狀態(tài)R、死亡狀態(tài)D，如圖1 所示。 當HSN 因為安全等級較低而存在漏洞，有被感染風險的時候，所處的狀態(tài)稱為易感狀態(tài)S；處于易感狀態(tài)的HSN 被惡意程序感染，但是惡意程序還沒有被激活的狀態(tài)稱為潛伏狀態(tài)E；當HSN 因存在惡意程序而被安全系統(tǒng)發(fā)現(xiàn)并隔離時所處的狀態(tài)稱為隔離狀態(tài)Q；被惡意程序感染的HSN 在與其他節(jié)點通信的過程中傳播惡意程序時所處的狀態(tài)稱為感染狀態(tài)I；當HSN 中的惡意程序被安全系統(tǒng)消除，以后不會再受該惡意程序攻擊時所處的狀態(tài)稱為恢復狀態(tài)R；HSN 因為環(huán)境影響和能量消耗等因素而不能提供正常服務(wù)時所處的狀態(tài)為死亡狀態(tài)D。

圖1 HWSNs 惡意程序傳播模型SEQIRD 中節(jié)點狀態(tài)轉(zhuǎn)換圖

設(shè)一個HWSNs 共包含M個HSN，與一個HSN通信的其他HSN 數(shù)量為i(1≤i＜M)個，即該HSN 的度為i。 記Si(t)、Ei(t)、Qi(t)、Ii(t)、Ri(t)、Di(t)表示度為i的HSN 在t時刻分別處于S、E、Q、I、R、D狀態(tài)的數(shù)量占傳感器節(jié)點總數(shù)的比例，則易得:

將處于感染狀態(tài)I且度為i的HSN 初始比例記為o，即

假設(shè)分別處于潛伏狀態(tài)E、隔離狀態(tài)Q、免疫狀態(tài)R和死亡狀態(tài)D且度為i的HSN 初始比例均為0，即

根據(jù)式(1)～式(3)，可以得到處于易感狀態(tài)S且度為i的HSN 初始比例:

在t時刻，處于感染狀態(tài)的HSN 向周圍度為i的易感狀態(tài)節(jié)點傳播惡意程序的概率記為Θi(t)，則

式中:HWSNs 的平均度為〈k〉，HSN 度為i的概率為?i，惡意程序被激活啟動后處于活躍狀態(tài)時向其他不存在惡意程序的HSN 發(fā)起攻擊的概率為?i。 而且，參數(shù)滿足條件:

度為i的HSN 從狀態(tài)x(x∈{S，E，Q，I，R，D})轉(zhuǎn)換到狀態(tài)y(y∈{S，E，Q，I，R，D})的概率記為qxyi。另外，為了維持整個HWSNs 正常的生命周期，會有比例為σ的度為i且易感的HSN 新接入網(wǎng)絡(luò)，用于更換一些損壞的HSN 以保證整個HWSNs 正常運行。對處于狀態(tài)S的HSN，其比例變化值等于σ加上從狀態(tài)R轉(zhuǎn)換到S的比例，減去從狀態(tài)S轉(zhuǎn)換到狀態(tài)E的比例，再減去從狀態(tài)S轉(zhuǎn)換到狀態(tài)D的比例，用微分方程可以表示為:

類似地，可以得到描述其他狀態(tài)比例變化的微分方程為:

2 惡意程序傳播模型SEQIRD 的穩(wěn)定點

通過計算得到模型SEQIRD 的穩(wěn)定點，能夠確定HWSNs 中惡意程序消亡或傳播的閾值，從而能對面向惡意程序傳播的HWSNs 防御提供有效的指導。 實際上，求解模型SEQIRD 的穩(wěn)定點跟求解微分方程組的穩(wěn)定點一致，具體求解時，令反映各個狀態(tài)動態(tài)變化的微分方程值為0 后形成方程組，再求解該方程組即可得到模型SEQIRD 的穩(wěn)定點。

定理1面向惡意程序傳播的模型SEQIRD 存在穩(wěn)定點。

證明當模型SEQIRD 中反映各節(jié)點狀態(tài)動態(tài)變化的微分方程達到穩(wěn)定點時，各節(jié)點狀態(tài)動態(tài)變化值均為0，即:

式中:

證畢。

定理1 得到的穩(wěn)定點O*和O**含義不同。 其中，穩(wěn)定點O*稱為無病穩(wěn)定點，即I*=0，表示整個HWSNs 達到穩(wěn)定點O*后被惡意程序成功攻擊感染的HSN 已不存在，也就是說，HWSNs 惡意程序最終將消亡。 穩(wěn)定點O**稱為有病穩(wěn)定點，即I**＞0，表示整個HWSNs 達到穩(wěn)定點O**后被惡意程序成功攻擊感染的HSN 將大量存在，也就是說，惡意程序在整個HWSNs 中將處于傳染狀態(tài)。 因此，實際的HWSNs應(yīng)用場景中，系統(tǒng)管理員應(yīng)該采取相應(yīng)的防御措施使得HWSNs 惡意程序傳播模型SEQIRD 趨向于無病穩(wěn)定點O*，從而抑制HWSNs 惡意程序的傳播。

3 惡意程序傳播模型SEQIRD 的基本再生數(shù)

通過探尋HWSNs 惡意程序傳播模型SEQIRD的基本再生數(shù)，能以此判斷被惡意程序成功攻擊并感染的HSN 能夠感染其他與其直接通訊的節(jié)點的平均個數(shù)。 若基本再生數(shù)的值小于1，則表明一個被惡意程序成功攻擊并感染的HSN 能感染與其直接通訊的易感節(jié)點的個數(shù)少于1 個，這將使整個HWSNs 趨向于無病穩(wěn)定點O*；若基本再生數(shù)的值大于1，則表明一個被惡意程序成功攻擊并感染的HSN 能感染與其直接通訊的易感節(jié)點個數(shù)大于1，這將使整個HWSNs 趨向于有病穩(wěn)定點O**。 所以，計算得到模型SEQIRD 的基本再生數(shù)就能確定HWSNs 趨向于無病穩(wěn)定點O*的條件，從而為系統(tǒng)管理員防御HWSNs 惡意程序傳播指明方向。

本文基本再生數(shù)的計算采用下一代矩陣法。 記ζ為HWSNs 惡意程序傳播模型SEQIRD 的基本再生數(shù)，則ζ=ρ(FV-1)，其中，ρ(·)代表矩陣的譜半徑，F(xiàn)代表當前HWSNs 在無病穩(wěn)定點O*處狀態(tài)I的新增HSN 動態(tài)變化率矩陣，V代表HWSNs 在無病穩(wěn)定點O*處狀態(tài)任意的兩個HSN 之間的動態(tài)轉(zhuǎn)換率矩陣，V-1代表矩陣V的逆矩陣。 通過這種方法計算惡意程序傳播閾值需要用到狀態(tài)E和狀態(tài)I，為了清楚地描述F、V的計算過程，引入臨時變量A、B、a11、a21、b11、b21。 令:

由式(29)可以得到新增HSN 動態(tài)變化率矩陣F為:

由式(30)可以得到動態(tài)轉(zhuǎn)換率矩陣V為:

因此，可以得到HWSNs 惡意程序傳播模型SEQIRD的基本再生數(shù)ζ為:

4 惡意程序傳播模型SEQIRD 的穩(wěn)定性分析

對于HWSNs 惡意程序傳播模型SEQIRD 的穩(wěn)定點O*和O**，只有系統(tǒng)管理員采取安全防御措施使模型SEQIRD 趨向于無病穩(wěn)定點O*，才能有效控制HWSNs 惡意程序的傳播。 所以，本文僅研究無病穩(wěn)定點O*的穩(wěn)定性。

定理2當ζ＜1 時，HWSNs 惡意程序傳播模型SEQIRD 的無病穩(wěn)定點O*局部漸進穩(wěn)定；而當ζ＞1時，無病穩(wěn)定點O*不穩(wěn)定。

證明HWSNs 惡意程序傳播模型SEQIRD 的雅克比矩陣J為:

進一步，得到在無病穩(wěn)定點O*的雅克比矩陣J(O*)為:

記λ代表特征值，E代表單位矩陣，則J(O*)對應(yīng)雅克比行列式的三個特征值為:

另外兩個特征值滿足方程:

式中:

記

根據(jù)Routh-Hurwitz 判據(jù)[18]可知，

當Δ1和Δ2均大于0，即當a1＞0，a1a2-a0a3＞0時，方程對應(yīng)的矩陣存在負實部特征值。 顯然，當ζ＜1時，滿足a1＞0，a1a2-a0a3=a1a2＞0，由Lyapunov穩(wěn)定性定理可得，HWSNs 惡意程序傳播模型SEQIRD 的無病穩(wěn)定點O*是局部漸進穩(wěn)定的；而當ζ＞1 時，a1＞0，a1a2-a0a3=a1a2＜0，方程對應(yīng)矩陣的特征值沒有負實部，所以，HWSNs 惡意程序傳播模型SEQIRD 的無病穩(wěn)定點O*是不穩(wěn)定的。 證畢。

定理2 結(jié)論揭示當ζ＜1 的時候，處于狀態(tài)S、E、Q、I、R、D且度為i的HSN 所占比例Si(t)、Ei(t)、Qi(t)、Ii(t)、Ri(t)、Di(t)最終分別趨向于、0、0、0、0、。 即當條件ζ＜1 滿足時，不管HWSNs 中已經(jīng)被惡意程序成功攻擊并感染的HSN 的初始比例如何，只要系統(tǒng)管理員能夠保持目前的安全防御措施，HWSNs 惡意程序最終能被徹底清除，這對HWSNs 安全防御具有現(xiàn)實指導意義。

5 仿真及分析

通過仿真軟件MATLAB，驗證HWSNs 惡意程序傳播模型SEQIRD 無病穩(wěn)定點O*的穩(wěn)定性，以及關(guān)鍵轉(zhuǎn)換概率和對HWSNs 惡意程序傳播的影響。 具體仿真時，先將模型SEQIRD 變換成離散形式，即:

式中:τ代表離散的時間間隔。 這樣，通過使用Runge-Kutta 方法即可求解離散形式的SEQIRD 模型。 具體的仿真算法如算法1 所示。

算法1 驗證HWSNs 惡意程序傳播模型SEQIRD 的算法

仿真實驗中設(shè)置參數(shù)如下:M= 1000，表示HWSNs 中包含1000 個HSN；τ=1 h，表示離散的時間間隔是1 h。 一個HSN 的最小度為2，最大度為20，并且〈k〉=4，即HSN 的平均度為4。 一個HSN 被惡意程序成功攻擊并感染使狀態(tài)從S狀態(tài)轉(zhuǎn)換為E狀態(tài)的轉(zhuǎn)換率設(shè)置為βi，其中，β=0.01。 被惡意程序成功攻擊并感染的一個HSN，處于易感狀態(tài)的概率?i設(shè)置為ξiγ/(1＋μiγ)，其中，ξ=5，γ=0.5，μ=1。 根據(jù)HWSNs 的特性，其他參數(shù)分別設(shè)置為σ=0.01，=0.015。

5.1 驗證無病穩(wěn)定點的穩(wěn)定性

圖2 處于狀態(tài)S 的HSN 比例變化趨勢

圖7 處于狀態(tài)D 的HSN 比例變化趨勢

在圖2 中，處于狀態(tài)S且度為i的HSN 比例Si(t)在不同的o取值下呈現(xiàn)不同的變化趨勢。 當o為1%的時候，Si(t)緩慢減少至約80%后，趨于穩(wěn)定；當o為10%的時候，Si(t)緩慢減少至最低值約65%后，再緩慢上升最后穩(wěn)定于約80%；當o為20%的時候，Si(t)緩慢減少至最低值約54%后，再緩慢上升最后穩(wěn)定于約80%。 也就是說，最終Si(t)趨向于無病穩(wěn)定點中的值0.8。

在圖3～圖6 中，處于狀態(tài)E、Q、I、R的HSN 比例Ei(t)、Qi(t)、Ii(t)、Ri(t)的變化趨勢在不同的o取值下保持一致。 由圖3 可以看出，Ei(t)逐步上升分別達到最高值約0.8%、6%和9.6%后，再緩慢下降最后趨向于0，這和無病穩(wěn)定點中的值保持一致。 由圖4 可以看出，Qi(t)逐步上升分別達到最高值約0.3%、2.1%和3.1%后，再緩慢下降最后趨向于0，這和無病穩(wěn)定點中的值保持一致。由圖5 可以看出，Ii(t)呈現(xiàn)下降趨勢最后趨向于0，這和無病穩(wěn)定點中的值保持一致。 由圖6 可以看出，Ri(t)逐步上升分別達到最高值約1%、6%和9.3%后，再緩慢下降最后趨向于0，這和無病穩(wěn)定點中的值保持一致。

圖3 處于狀態(tài)E 的HSN 比例變化趨勢

圖4 處于狀態(tài)Q 的HSN 比例變化趨勢

圖5 處于狀態(tài)I 的HSN 比例變化趨勢

圖6 處于狀態(tài)R 的HSN 比例變化趨勢

在圖7 中，處于狀態(tài)D且度為i的HSN 比例Di(t)在不同的o取值下呈現(xiàn)不同的變化趨勢。 當o為1%的時候，Di(t)緩慢上升至約20%后趨于穩(wěn)定；當o為10%的時候，Di(t)緩慢上升至最高值約24%后，再緩慢減小比例最后穩(wěn)定于約20%；當o為20%的時候，Di(t)逐漸增大至最高值約27%后，比例再逐漸減小，最后穩(wěn)定于約20%。 也就是說，最終Di(t)趨向于無病穩(wěn)定點中的值0.2。

從而驗證了不管處于狀態(tài)I的HSN 初始比例設(shè)置值如何，只要滿足基本再生數(shù)ζ值小于1 的條件，經(jīng)過惡意HSN 的反復攻擊感染和反復傳播，以及系統(tǒng)管理員采取相應(yīng)的防御措施，對惡意HSN 的反復攻擊感染和反復傳播進行抑制，處于狀態(tài)S、E、Q、I、R、D且度為i的HSN 比例最終將分別趨向于無病穩(wěn)定點。 實驗結(jié)果反映出在現(xiàn)實的HWSNs 管理過程中，系統(tǒng)管理員采取的安全防御措施要能影響并控制HWSNs 中的參數(shù)，達到定理2 中基本再生數(shù)值小于1 的條件，使得HWSNs 即使存在大量初期被惡意程序成功攻擊并感染的HSN，其中的惡意節(jié)點都將被治愈，從而有效控制HWSNs 惡意程序的傳播。

5.2 狀態(tài)轉(zhuǎn)移概率和對HWSNs 惡意程序傳播的影響

由式可知，一旦HWSNs 拓撲結(jié)構(gòu)固定下來后，狀態(tài)轉(zhuǎn)移概率等參數(shù)值也相對固定，而狀態(tài)轉(zhuǎn)移概率和兩個參數(shù)變化較大，因此，本節(jié)通過仿真分析和對HWSNs 惡意程序傳播的影響，為系統(tǒng)管理員控制HWSNs 惡意程序傳播提供實驗依據(jù)。 實驗采用變量控制的思想，即將處于狀態(tài)I且度為i的HSN 初始比例設(shè)置為10%，其他狀態(tài)轉(zhuǎn)移概率參數(shù)的值保持不變，分別調(diào)整狀態(tài)轉(zhuǎn)移概率和參數(shù)值得到不同的仿真結(jié)果，再進行分析。

圖8 處于感染狀態(tài)I 且度為i 的HSN 比例在不同參數(shù)值下的變化曲線

圖9 處于感染狀態(tài)I 且度為i 的HSN 比例在不同參數(shù)值下的變化曲線

6 結(jié)論

在擴展傳統(tǒng)傳染病模型SIR 基礎(chǔ)上，構(gòu)建了基于潛伏和隔離機制的HWSNs 惡意程序傳播模型SEQIRD，分析了HWSNs 惡意程序的傳播特性。 通過引入單個HSN 的度來反映該節(jié)點異質(zhì)的通信能力特性，解決了未體現(xiàn)HSN 異質(zhì)特性的現(xiàn)有傳染病模型不能用于HWSNs 惡意程序傳播建模的問題。得到的HSN 狀態(tài)動態(tài)變化方程解決了現(xiàn)有模型沒有充分考慮HWSNs 惡意程序傳播具有隱蔽性、惡意HSN 被成功檢測而被隔離、HSN 因被惡意程序感染導致惡意破壞或自然損壞等情形的問題。 通過計算得到的模型SEQIRD 的穩(wěn)定點以及基本再生數(shù)，明確了HWSNs 惡意程序消亡或傳播的閾值，進一步得到的HSN 易感狀態(tài)到潛伏狀態(tài)和隔離狀態(tài)的轉(zhuǎn)換概率閾值，為系統(tǒng)管理員制定一系列安全防御策略，從而遏制HWSNs 惡意程序傳播，并保證HWSNs 穩(wěn)定、健康運行奠定理論基礎(chǔ)。

需要說明的是，本文考慮的HWSNs 惡意程序?qū)儆谕环N類型，而通常HWSNs 存在不同的惡意程序，因此，如何揭示HWSNs 中不同惡意程序的傳播機制是研究者值得進一步研究的實際問題。 另外，本文在借鑒經(jīng)典傳染病模型思想時，考慮新加入的是易感節(jié)點，但如果加入的是打了安全補丁的節(jié)點，那么將得到用于描述狀態(tài)比例變化的不同的微分方程、不同的模型穩(wěn)定點、不同的基本再生數(shù)，這樣得到的新模型是否還能保證穩(wěn)定? 該問題符合實際的HWSNs，也是值得進一步研究的問題。