基于常數輸入的蠕蟲傳播模型及其分析*

胡明生，賈遂民，陳巧靈，賈志娟，洪 流

(1.鄭州師范學院信息科學與技術學院，河南 鄭州 450044；2.華中科技大學系統工程研究所，湖北 武漢 430074;3.武漢理工大學計算機科學與技術學院，湖北 武漢 430070)

基于常數輸入的蠕蟲傳播模型及其分析*

胡明生1,2，賈遂民1，陳巧靈1，賈志娟3，洪 流2

(1.鄭州師范學院信息科學與技術學院，河南 鄭州 450044；2.華中科技大學系統工程研究所，湖北 武漢 430074;3.武漢理工大學計算機科學與技術學院，湖北 武漢 430070)

針對蠕蟲病毒提出了易感主機有常數輸入并具有標準傳染率的SIRS傳播模型，考慮蠕蟲病毒在傳播期間主機總數的動態變化性，應用微分方程定性與穩定性理論對該模型進行分析, 討論了不同因素對蠕蟲病毒控制的影響。并利用Abilene網絡分析了網絡拓撲對病毒傳播速率的影響。最后，通過CAIDA提供的蠕蟲數據對該模型進行了檢驗。

蠕蟲；傳播模型；全局漸進穩定; 數值模擬

1 引言

自1998年莫里斯從實驗室放出第一個蠕蟲病毒以來，該病毒就以其快速、多樣化的傳播方式不斷給網絡世界帶來災害，信息系統的安全面臨著越來越大的威脅，所以研究蠕蟲病毒的傳播具有現實意義。

目前，針對蠕蟲研究的方法大部分借鑒傳染病動力學模型。如SI模型[1]能較好地反央蠕蟲初期的傳播，卻忽略了中后期的傳播過程；SIS模型[2]未考慮對蠕蟲的免疫，所以不能夠很好地反映蠕蟲傳播行為；SIR模型[3,4]認為蠕蟲傳播期間總數恒定，這與現實有所不符；Two-Factor模型[5]主要考慮外界因素對傳播過程的影響，并且以上的模型很少考慮網絡結構對蠕蟲傳播的影響。

綜上所述，本文進行了以下改進：假定對易感主機有常數輸入率，主機的數量是一個變化的過程，并且主機恢復后僅部分對蠕蟲病毒具有免疫力。對模型進行求解并證明其穩定性, 通過實際網絡模擬得到網絡結構對蠕蟲傳播速率的影響，并針對不同參數對蠕蟲的控制與預防進行了分析。

2 模型的建立

(1)

其中,S代表易感主機，I代表染病主機，R代表恢復類主機, 易感主機有常數輸入率A。單位時間內易感主機進入感染類的數量為βSI/N，由易感類進入恢復類的數量為ωS，由恢復類進入為易感類的主機數為δR(t)，感染類進入易感類和恢復類的系數分別為e和γ。

(2)

下面針對式(2)討論在區域Ω中平衡點的存在性。令式(2)兩式左端為0，解得其平衡點為：P0=(A+δN/δ+ω,0)， P1=(S*,I*)。其中，S*=N(γ+e)/β， I*=Aβ+δβN-N(γ+e)(δ+ω)/β(γ+δ)，我們取基本再生數R0=Aβ+δβN/ N(γ+e)(δ+ω)，則對式(2)有以下結論成立。

定理1在式(2)中，

(1)當R0<1時，P0在Ω內為全局漸進穩定的。

(2)當R0>1時，P1在Ω內為全局漸進穩定的。

證明

(1)式(2)在P0點的Jacobian矩陣為:

則det(λI-A)=0的兩個特征根為λ1=-(δ+ω)，λ2= [β(A+δN)/N(δ+ω)]-γ-e，易知λ1<0，當R0<1時,λ2<0，由零解的穩定性判定定理[5]可知：當R0<1時，P0在Ω內是局部漸進穩定的。又由于區域Ω內有平衡點P0，故在Ω內不可能有閉軌線，且式(2)從Ω內出發的軌線均不會越出Ω，即P0在Ω內是全局吸引的。所以,當R0<1時, P0在Ω內是全局漸進穩定的。

(2)式(2)在P1點的Jacobian矩陣為:

若令其對應特征方程的根為λ1、λ2，則有λ1+λ2=-b，λ1λ2=c，其中b={(δ+ω)(δ-e)+β[(δ+A/N]}/(γ+δ)，c=β[δ+A/N]-(γ+e)(δ+ω)。由R0>1可知b>0, c>0，因而λ1、λ2或全為負的實數，或為一對具有負實部的共軛復數。根據常微分方程零解穩定性判別定理[5]可知:當R0>1時，平衡點P1是局部漸進穩定的。在Ω中取Dulac函數B=1/I，則：

由Bendixson-Dulac判別法[5]知，式(2)在Ω中無閉軌線，對式(2)的任意滿足初始條件S(0)=S0>0， I(0)= I0≥0的解(S(t ,S0, I0)、I(t ,S0, I0))總有區域Ω包含點(S0, I0)，又由系統(2)在Ω內部有唯一局部漸進的正平衡位置(S*, I*)，故當t→∞時，(S(t ,S0,I0),I(t ,S0,I0))→(S*, I*)。所以，P1是全局吸引的，結合P1的局部漸進穩定性知, 當R0>1時, P1在Ω中是全局漸進穩定的。

□

3 仿真與實驗

3.1 模型的檢驗

利用蠕蟲CodeRed爆發時CAIDA收集到的真實數據對本模型進行檢驗，并與不考慮輸入的SIR模型[4]進行比較，令N=4×105，β=0.016，γ=0.003，e=0.0004, ω=10-5,A=0.03對模型進行求解，得到當前染病主機數I與時間t的變化曲線，如圖1所示，圖中可以看出本模型與真實數據更接近。

Figure 1 Compaison of numerical solution with the Code Red Data圖1 模型的數值解與Code Red數據的比較

3.2 不考慮網絡結構的蠕蟲傳播

通過計算機模擬得到染病主機隨時間的變化規律。如圖2所示，在短時間內染病主機達到主機總數的80%，而此后的增長速度變慢，這與文獻[6]中不考慮網絡結構時所得到的結論相吻合。模擬中網絡規模為N=500，β=0.02，δ=0.001，做50次實驗然后取平均。

Figure 2 Change of infected host with time圖2 染病主機隨時間的變化

下面針對參數的變化對蠕蟲控制的影響進行討論:

若A恒定, 當δ=0時,由圖3可看出蠕蟲病毒將會形成“地方病”。 當δ>0時,R0是隨δ增大而增大,δ越大,R0越大,當R0<1時，蠕蟲爆發的規模是δ的增函數，控制的時間隨δ增大而延長。所以，在病毒的防治中，減少主機的輸入率；通過打補丁或升級操作系統，提高對該蠕蟲的免疫力，減少移至易感類的變化率δ，當R0<1時，該病毒將會消失；其次，當計算機感染蠕蟲病毒后及時關機或斷開網絡連接會增強對蠕蟲病毒的有效抑制，即增大γ，減小R0，蠕蟲爆發規模與持續時間也會隨之大大減小。 另一方面，由I′=(ΒSI/N)-(γ+e)I，可知，ΒS/N>(γ+e)時，I值減少。為加速蠕蟲的控制，一方面可提高γ及e的值，另一方面，可減少S值，即增大ω值。我們分別取A=0.03，ω=0.000 01，ω=0.000 1，ω=0.000 2，ω=0.000 3，ω=0.000 35得到感染主機隨時間的變化趨勢，如圖4所示。

Figure 3 Change of infected hosts with time when A is constant圖3 A恒定時感染主機隨時間的變化

Figure 4 Effects on the infected host when ω changes圖4 ω對感染主機的影響

此外，還可以通過使β值減少, R0減少，將蠕蟲病毒爆發的持續時間變小，若β<(γ+e)蠕蟲病毒不會爆發。

3.3 網絡拓撲對蠕蟲傳播的影響

以NLANR中APM項目的RTT數據[7]為依據、Abilene網絡[8]為基礎，在實際的網絡拓撲約束下，通過該模型模擬蠕蟲的傳播，取其中130個節點進行仿真實驗。如圖5所示，該圖包含Abilene網絡的部分核心節點、一些參與者以及與之連接的邊。為了確保實驗的可行性，我們假設隨機選取不同的初始染病主機，平均度k≈5，以感染80%的主機時間為準，得到了網絡拓撲結構對病毒傳播速率的影響。

Figure 5 Abilene network圖5 Abilene網絡

Figure 6 Host required time that different nodes infected 80%圖6 不同節點感染80%主機所需時間圖

由圖6可以看出，用時最長的是Alaska大學，用時最短的是印第安大學，印第安大學是離網絡核心節點較近的節點。由此可知，離網絡核心節點越近，傳播速率越高。所以在控制蠕蟲傳播時，應將重點放在這些節點上。

綜上所述，蠕蟲病毒在網絡中的傳播不僅與初始節點的選擇有關，也與網絡本身的拓撲結構有關。因此，在無拓撲約束下和有網絡拓撲約束下病毒傳播的控制策略應有所不同。

4 結束語

在考慮了易感主機具有常數輸入的同時通過對模型的分析，討論了不同參數對蠕蟲病毒控制的影響, 以實際網絡分析了網絡結構對病毒傳播的影響。今后將在有權有向網絡中進一步研究影響蠕蟲傳播的因素，為更好地控制蠕蟲病毒提供理論支持。

[1] Faghani M R,Saidi H.Malware propagation in online social networks[C]∥Proc of the 4th Malicious and Unwanted programs(MALWARE09), 2009:8-14.

[2] Kim J, Radhakrishana S, Jang J. Cost optimization in SIS model of worm infection[J]. ETRI Journal, 2006,28(5):692-695.

[3] Zhou H, Wen Y, Zhao H. Modeling and analysis of active benign worms and hybrid benign worms containing the spread of worms[C]∥Proc of the IEEE International Conference on Networking (ICN’07), 2007:65.

[4] Khouzani M H R,Sarkar S,Altman E. Maximum damage malware attack in mobile wireless networks[C]∥Proc of INFOCOM’10, 2010:1-9.

[5] Ma zhi-en,Zhou Yi-cang.Ordinary differential equations qualitative and stability [M]. Beijing:Science Press,2001.(in Chinese)

[6] Kephart J O,White S R.Directed-graphepidemiological models of computer viruses[C]∥Proc of the IEEE Symposi-um on Security and Privacy, 1991:343-361.

[7] NLANR Active Measurement Program(AMP)[EB/OL].[2011-12-15].http://watt.nlanr.net/.

[8] Abilene network[EB/OL].[2011-12-15].http://abilene.internet2.edu/.

[9] Su Fei,Lin Zhan-wan,Ma Yan. Modeling and analysis of internetworm propagation[J]. Journal of China Universities of Posts and Telecommunications, 2010,4(17):63-68.

[10] Yang Feng,Duan Hai-xin,Li Xing.Modeling and analysis of network worm diffusion and benign worm interaction process[J]. Science in China Series E(Information Sciences), 2004,34(8):841-856. (in Chinese)

[11] Moore D.The spread of the code-red worm[EB/OL].[2007-01-31]. http://www.caida.org/data/passive/codered_worms_dataset.xml.

[12] Liu Jian-fang,Liu Qi-ming,Liu Li-hong.Analysis of a mathematical model for virus propagation[J]. Mathematics in Practice and Theory, 2008,38(12):49-52. (in Chinese)

[13] Toutonji O A,Yoo S-M,Park M. Stability analysis of VEISV propagation modeling for network worm attack[J]. Applied Mathematical Modelling, 2012,36(6):2751-2761.

[14] Liu Qi-ming.Construction and analysis of a SIRS model for worm virus propagation[J]. Journal of Southwest China Normal University, 2010,35(1):168-171. (in Chinese)

[15] Zou Chang-chun, Gong Wei-bo. Code red worm propagation modeling and analysis[C]∥Proc of the 9th ACM Symposium on Computer and Communication Security, 2002:1.

[16] Zhang Dian-xu, Zhang Yi,Liu Xiao-yang, et al. Research on the SRF spread model of friendly worms[J]. Computer Engineering & Science, 2010,32(7):18-23. (in Chinese)

附中文參考文獻：

[5] 馬知恩,周義倉.常微分方程定性與穩定性方法[M]. 北京:科學出版社,2001.

[8] 張殿旭,張怡,劉曉陽,等.良性蠕蟲SRF 擴散模型研究[J].計算機工程與科學,2010,32(7):18-23.

[10] 楊峰,段海新,李星.網絡蠕蟲擴散中蠕蟲和良性蠕蟲交互過程建模與分析[J].中國科學E輯(信息學),2004,34(8):841-856.

[12] 劉建芳，劉啟明，劉立紅.計算機蠕蟲病毒傳播的數學模型分析[J].數學的實踐與認識.2008,38(12):49-52.

[14] 劉啟明.一個蠕蟲病毒傳播SIRS模型的建立與分析[J].西南師范大學學報,2010,35(1):168-171.

HUMing-sheng,born in 1973,PhD,professor,CCF member(E200020016M)，his research interests include complex networks,intelligent control, and decision support.

賈遂民(1968-),男，河南鄭州人，碩士，副教授，研究方向為復雜網絡、數據挖掘。E-mail:Jiasuimin@163.com

JIASui-min,born in 1968,MS,associate professor,his research interests include complex networks,data mining.

Analysisofthewormpropagationmodelwithconstantimmigration

HU Ming-sheng1,2，JIA Sui-min1,CHEN Qiao-ling1,JIA Zhi-juan3,HONG liu2

(1.College of Information Science and Technology,Zhengzhou Normal University,Zhengzhou 450044;2.Institute of Systems Engineering,Huazhong University of Science and Technology,Wuhan 430074;3.School of Computer Science and Technology,Wuhan University of Technology,Wuhan 430070,China)

According to worm propagation,a SIRS propagation model of susceptible hosts with constant recruitment and standard incidence rate is proposed. Considering that the total host count is dynamically changed during the propagation, the qualitative and stability theory of the differential equation is applied to analyze the model. Not only the propagation regularity of worm virus but also the effects of different factors on the worm virus control are discussed. And the Abilene network is used to analyze the effects of network topology on worm propagation rate. At last, the worm data provided by CAIDA are used to test the model.

worm;propagation model;global asymptotic stability;numerical simulation

1007-130X(2014)08-1482-04

2013-01-17;

：2013-04-10

國家自然科學基金資助項目(U1204703)；中央高校基本科研業務費資助項目(HUST：2012QN087, 2012QN088)；河南省重點科技攻關資助項目(122102310004);鄭州市創新型科技人才隊伍建設工程資助項目(10LJRC190)

TP309.5

：A

10.3969/j.issn.1007-130X.2014.08.010

胡明生(1973-),男，河南新縣人，博士，教授，CCF會員(E200020016M)，研究方向為復雜網絡、智能控制和決策支持。E-mail:hero_jack@163.com

通信地址：450044 河南省鄭州市北大學城英才街6號鄭州師范學院信息科學與技術學院

Address:College of Information Science and Technology,Zhengzhou Normal University,6 Yingcai St,Zhengzhou 450044,Henan,P.R.China