基于常数输入的蠕虫传播模型及其分析*

胡明生，贾遂民，陈巧灵，贾志娟，洪 流

(1.郑州师范学院信息科学与技术学院，河南 郑州 450044；2.华中科技大学系统工程研究所，湖北 武汉 430074;3.武汉理工大学计算机科学与技术学院，湖北 武汉 430070)

基于常数输入的蠕虫传播模型及其分析*

胡明生1,2，贾遂民1，陈巧灵1，贾志娟3，洪 流2

(1.郑州师范学院信息科学与技术学院，河南 郑州 450044；2.华中科技大学系统工程研究所，湖北 武汉 430074;3.武汉理工大学计算机科学与技术学院，湖北 武汉 430070)

针对蠕虫病毒提出了易感主机有常数输入并具有标准传染率的SIRS传播模型，考虑蠕虫病毒在传播期间主机总数的动态变化性，应用微分方程定性与稳定性理论对该模型进行分析, 讨论了不同因素对蠕虫病毒控制的影响。并利用Abilene网络分析了网络拓扑对病毒传播速率的影响。最后，通过CAIDA提供的蠕虫数据对该模型进行了检验。

蠕虫；传播模型；全局渐进稳定; 数值模拟

1 引言

自1998年莫里斯从实验室放出第一个蠕虫病毒以来，该病毒就以其快速、多样化的传播方式不断给网络世界带来灾害，信息系统的安全面临着越来越大的威胁，所以研究蠕虫病毒的传播具有现实意义。

目前，针对蠕虫研究的方法大部分借鉴传染病动力学模型。如SI模型[1]能较好地反央蠕虫初期的传播，却忽略了中后期的传播过程；SIS模型[2]未考虑对蠕虫的免疫，所以不能够很好地反映蠕虫传播行为；SIR模型[3,4]认为蠕虫传播期间总数恒定，这与现实有所不符；Two-Factor模型[5]主要考虑外界因素对传播过程的影响，并且以上的模型很少考虑网络结构对蠕虫传播的影响。

综上所述，本文进行了以下改进：假定对易感主机有常数输入率，主机的数量是一个变化的过程，并且主机恢复后仅部分对蠕虫病毒具有免疫力。对模型进行求解并证明其稳定性, 通过实际网络模拟得到网络结构对蠕虫传播速率的影响，并针对不同参数对蠕虫的控制与预防进行了分析。

2 模型的建立

(1)

其中,S代表易感主机，I代表染病主机，R代表恢复类主机, 易感主机有常数输入率A。单位时间内易感主机进入感染类的数量为βSI/N，由易感类进入恢复类的数量为ωS，由恢复类进入为易感类的主机数为δR(t)，感染类进入易感类和恢复类的系数分别为e和γ。

(2)

下面针对式(2)讨论在区域Ω中平衡点的存在性。令式(2)两式左端为0，解得其平衡点为：P0=(A+δN/δ+ω,0)， P1=(S*,I*)。其中，S*=N(γ+e)/β， I*=Aβ+δβN-N(γ+e)(δ+ω)/β(γ+δ)，我们取基本再生数R0=Aβ+δβN/ N(γ+e)(δ+ω)，则对式(2)有以下结论成立。

定理1在式(2)中，

(1)当R0<1时，P0在Ω内为全局渐进稳定的。

(2)当R0>1时，P1在Ω内为全局渐进稳定的。

证明

(1)式(2)在P0点的Jacobian矩阵为:

则det(λI-A)=0的两个特征根为λ1=-(δ+ω)，λ2= [β(A+δN)/N(δ+ω)]-γ-e，易知λ1<0，当R0<1时,λ2<0，由零解的稳定性判定定理[5]可知：当R0<1时，P0在Ω内是局部渐进稳定的。又由于区域Ω内有平衡点P0，故在Ω内不可能有闭轨线，且式(2)从Ω内出发的轨线均不会越出Ω，即P0在Ω内是全局吸引的。所以,当R0<1时, P0在Ω内是全局渐进稳定的。

(2)式(2)在P1点的Jacobian矩阵为:

若令其对应特征方程的根为λ1、λ2，则有λ1+λ2=-b，λ1λ2=c，其中b={(δ+ω)(δ-e)+β[(δ+A/N]}/(γ+δ)，c=β[δ+A/N]-(γ+e)(δ+ω)。由R0>1可知b>0, c>0，因而λ1、λ2或全为负的实数，或为一对具有负实部的共轭复数。根据常微分方程零解稳定性判别定理[5]可知:当R0>1时，平衡点P1是局部渐进稳定的。在Ω中取Dulac函数B=1/I，则：

由Bendixson-Dulac判别法[5]知，式(2)在Ω中无闭轨线，对式(2)的任意满足初始条件S(0)=S0>0， I(0)= I0≥0的解(S(t ,S0, I0)、I(t ,S0, I0))总有区域Ω包含点(S0, I0)，又由系统(2)在Ω内部有唯一局部渐进的正平衡位置(S*, I*)，故当t→∞时，(S(t ,S0,I0),I(t ,S0,I0))→(S*, I*)。所以，P1是全局吸引的，结合P1的局部渐进稳定性知, 当R0>1时, P1在Ω中是全局渐进稳定的。

□

3 仿真与实验

3.1 模型的检验

利用蠕虫CodeRed爆发时CAIDA收集到的真实数据对本模型进行检验，并与不考虑输入的SIR模型[4]进行比较，令N=4×105，β=0.016，γ=0.003，e=0.0004, ω=10-5,A=0.03对模型进行求解，得到当前染病主机数I与时间t的变化曲线，如图1所示，图中可以看出本模型与真实数据更接近。

Figure 1 Compaison of numerical solution with the Code Red Data图1 模型的数值解与Code Red数据的比较

3.2 不考虑网络结构的蠕虫传播

通过计算机模拟得到染病主机随时间的变化规律。如图2所示，在短时间内染病主机达到主机总数的80%，而此后的增长速度变慢，这与文献[6]中不考虑网络结构时所得到的结论相吻合。模拟中网络规模为N=500，β=0.02，δ=0.001，做50次实验然后取平均。

Figure 2 Change of infected host with time图2 染病主机随时间的变化

下面针对参数的变化对蠕虫控制的影响进行讨论:

若A恒定, 当δ=0时,由图3可看出蠕虫病毒将会形成“地方病”。 当δ>0时,R0是随δ增大而增大,δ越大,R0越大,当R0<1时，蠕虫爆发的规模是δ的增函数，控制的时间随δ增大而延长。所以，在病毒的防治中，减少主机的输入率；通过打补丁或升级操作系统，提高对该蠕虫的免疫力，减少移至易感类的变化率δ，当R0<1时，该病毒将会消失；其次，当计算机感染蠕虫病毒后及时关机或断开网络连接会增强对蠕虫病毒的有效抑制，即增大γ，减小R0，蠕虫爆发规模与持续时间也会随之大大减小。 另一方面，由I′=(ΒSI/N)-(γ+e)I，可知，ΒS/N>(γ+e)时，I值减少。为加速蠕虫的控制，一方面可提高γ及e的值，另一方面，可减少S值，即增大ω值。我们分别取A=0.03，ω=0.000 01，ω=0.000 1，ω=0.000 2，ω=0.000 3，ω=0.000 35得到感染主机随时间的变化趋势，如图4所示。

Figure 3 Change of infected hosts with time when A is constant图3 A恒定时感染主机随时间的变化

Figure 4 Effects on the infected host when ω changes图4 ω对感染主机的影响

此外，还可以通过使β值减少, R0减少，将蠕虫病毒爆发的持续时间变小，若β<(γ+e)蠕虫病毒不会爆发。

3.3 网络拓扑对蠕虫传播的影响

以NLANR中APM项目的RTT数据[7]为依据、Abilene网络[8]为基础，在实际的网络拓扑约束下，通过该模型模拟蠕虫的传播，取其中130个节点进行仿真实验。如图5所示，该图包含Abilene网络的部分核心节点、一些参与者以及与之连接的边。为了确保实验的可行性，我们假设随机选取不同的初始染病主机，平均度k≈5，以感染80%的主机时间为准，得到了网络拓扑结构对病毒传播速率的影响。

Figure 5 Abilene network图5 Abilene网络

Figure 6 Host required time that different nodes infected 80%图6 不同节点感染80%主机所需时间图

由图6可以看出，用时最长的是Alaska大学，用时最短的是印第安大学，印第安大学是离网络核心节点较近的节点。由此可知，离网络核心节点越近，传播速率越高。所以在控制蠕虫传播时，应将重点放在这些节点上。

综上所述，蠕虫病毒在网络中的传播不仅与初始节点的选择有关，也与网络本身的拓扑结构有关。因此，在无拓扑约束下和有网络拓扑约束下病毒传播的控制策略应有所不同。

4 结束语

在考虑了易感主机具有常数输入的同时通过对模型的分析，讨论了不同参数对蠕虫病毒控制的影响, 以实际网络分析了网络结构对病毒传播的影响。今后将在有权有向网络中进一步研究影响蠕虫传播的因素，为更好地控制蠕虫病毒提供理论支持。

[1] Faghani M R,Saidi H.Malware propagation in online social networks[C]∥Proc of the 4th Malicious and Unwanted programs(MALWARE09), 2009:8-14.

[2] Kim J, Radhakrishana S, Jang J. Cost optimization in SIS model of worm infection[J]. ETRI Journal, 2006,28(5):692-695.

[3] Zhou H, Wen Y, Zhao H. Modeling and analysis of active benign worms and hybrid benign worms containing the spread of worms[C]∥Proc of the IEEE International Conference on Networking (ICN’07), 2007:65.

[4] Khouzani M H R,Sarkar S,Altman E. Maximum damage malware attack in mobile wireless networks[C]∥Proc of INFOCOM’10, 2010:1-9.

[5] Ma zhi-en,Zhou Yi-cang.Ordinary differential equations qualitative and stability [M]. Beijing:Science Press,2001.(in Chinese)

[6] Kephart J O,White S R.Directed-graphepidemiological models of computer viruses[C]∥Proc of the IEEE Symposi-um on Security and Privacy, 1991:343-361.

[7] NLANR Active Measurement Program(AMP)[EB/OL].[2011-12-15].http://watt.nlanr.net/.

[8] Abilene network[EB/OL].[2011-12-15].http://abilene.internet2.edu/.

[9] Su Fei,Lin Zhan-wan,Ma Yan. Modeling and analysis of internetworm propagation[J]. Journal of China Universities of Posts and Telecommunications, 2010,4(17):63-68.

[10] Yang Feng,Duan Hai-xin,Li Xing.Modeling and analysis of network worm diffusion and benign worm interaction process[J]. Science in China Series E(Information Sciences), 2004,34(8):841-856. (in Chinese)

[11] Moore D.The spread of the code-red worm[EB/OL].[2007-01-31]. http://www.caida.org/data/passive/codered_worms_dataset.xml.

[12] Liu Jian-fang,Liu Qi-ming,Liu Li-hong.Analysis of a mathematical model for virus propagation[J]. Mathematics in Practice and Theory, 2008,38(12):49-52. (in Chinese)

[13] Toutonji O A,Yoo S-M,Park M. Stability analysis of VEISV propagation modeling for network worm attack[J]. Applied Mathematical Modelling, 2012,36(6):2751-2761.

[14] Liu Qi-ming.Construction and analysis of a SIRS model for worm virus propagation[J]. Journal of Southwest China Normal University, 2010,35(1):168-171. (in Chinese)

[15] Zou Chang-chun, Gong Wei-bo. Code red worm propagation modeling and analysis[C]∥Proc of the 9th ACM Symposium on Computer and Communication Security, 2002:1.

[16] Zhang Dian-xu, Zhang Yi,Liu Xiao-yang, et al. Research on the SRF spread model of friendly worms[J]. Computer Engineering & Science, 2010,32(7):18-23. (in Chinese)

附中文参考文献：

[5] 马知恩,周义仓.常微分方程定性与稳定性方法[M]. 北京:科学出版社,2001.

[8] 张殿旭,张怡,刘晓阳,等.良性蠕虫SRF 扩散模型研究[J].计算机工程与科学,2010,32(7):18-23.

[10] 杨峰,段海新,李星.网络蠕虫扩散中蠕虫和良性蠕虫交互过程建模与分析[J].中国科学E辑(信息学),2004,34(8):841-856.

[12] 刘建芳，刘启明，刘立红.计算机蠕虫病毒传播的数学模型分析[J].数学的实践与认识.2008,38(12):49-52.

[14] 刘启明.一个蠕虫病毒传播SIRS模型的建立与分析[J].西南师范大学学报,2010,35(1):168-171.

HUMing-sheng,born in 1973,PhD,professor,CCF member(E200020016M)，his research interests include complex networks,intelligent control, and decision support.

贾遂民(1968-),男，河南郑州人，硕士，副教授，研究方向为复杂网络、数据挖掘。E-mail:Jiasuimin@163.com

JIASui-min,born in 1968,MS,associate professor,his research interests include complex networks,data mining.

Analysisofthewormpropagationmodelwithconstantimmigration

HU Ming-sheng1,2，JIA Sui-min1,CHEN Qiao-ling1,JIA Zhi-juan3,HONG liu2

(1.College of Information Science and Technology,Zhengzhou Normal University,Zhengzhou 450044;2.Institute of Systems Engineering,Huazhong University of Science and Technology,Wuhan 430074;3.School of Computer Science and Technology,Wuhan University of Technology,Wuhan 430070,China)

According to worm propagation,a SIRS propagation model of susceptible hosts with constant recruitment and standard incidence rate is proposed. Considering that the total host count is dynamically changed during the propagation, the qualitative and stability theory of the differential equation is applied to analyze the model. Not only the propagation regularity of worm virus but also the effects of different factors on the worm virus control are discussed. And the Abilene network is used to analyze the effects of network topology on worm propagation rate. At last, the worm data provided by CAIDA are used to test the model.

worm;propagation model;global asymptotic stability;numerical simulation

1007-130X(2014)08-1482-04

2013-01-17;

：2013-04-10

国家自然科学基金资助项目(U1204703)；中央高校基本科研业务费资助项目(HUST：2012QN087, 2012QN088)；河南省重点科技攻关资助项目(122102310004);郑州市创新型科技人才队伍建设工程资助项目(10LJRC190)

TP309.5

：A

10.3969/j.issn.1007-130X.2014.08.010

胡明生(1973-),男，河南新县人，博士，教授，CCF会员(E200020016M)，研究方向为复杂网络、智能控制和决策支持。E-mail:hero_jack@163.com

通信地址：450044 河南省郑州市北大学城英才街6号郑州师范学院信息科学与技术学院

Address:College of Information Science and Technology,Zhengzhou Normal University,6 Yingcai St,Zhengzhou 450044,Henan,P.R.China