自组织网络病毒传播模型研究

周枝凝 王斌君

(中国人民公安大学信息技术与网络安全学院 北京 100038)

0 引 言

随着无线网络设备的普及，越来越多的设备加入到了无线自组织网络，与此同时，这些设备的安全问题也受到人们越来越多的关注。由于无线自组织网络缺乏集中管理、网络拓扑动态变化等特征，其安全问题变得尤为复杂多变。近年来的研究表明，只需在自组织网络中释放一些简单的病毒，例如带有内存溢出攻击的蠕虫病毒，就可以破坏整个传感器网络[1]。计算机病毒能够破坏计算机功能，或者损毁存储的数据，影响计算机的正常使用。与生物病毒类似，计算机病毒还会进行自我复制，通过各种渠道传播并感染其他计算机[2]。由于传统计算机病毒传播模型需要考虑网络拓扑结构，并不适用于随机的、动态的无线自组织网络分析研究。例如，无线传感器网络往往部署在环境较为恶劣而人为干扰较少的原生态地区，这样的部署具有开放性，但却极易受到各种攻击。此外，由于传感器节点能源资源有限，且难以进行大规模计算[3]，单依靠传感器节点自身能力难以完成对攻击的防御。在大多数情况下，这些攻击就会像网络病毒一样不可避免地在无线传感器网络中传播开来[4-5]。

为了研究自组织网络中的病毒传播模型，本文以无线传感器网络为例，在SIR与SIS模型[6]的基础上提出了一种改良的病毒传播模型。该模型引入了针对传感器节点传输窗口开放情况，以及传感器网络链路状况的描述，并结合Tang等[7]所提出的模型，提出了一种节点自我隔离的病毒抑制机制。当传感器网络拥有一定的计算能力时，传感器节点可以发现自己被病毒感染，于是强制关闭自己的发送窗口，从而降低病毒在网络中的传播速度。

1 相关研究

1.1 流行病传播模型

在经典的流行病传播模型中，人们将计算机感染病毒的过程类比为生物感染传染病的过程，对节点状态的描述通常分为：易感染状态S(Susceptible)、被感染状态I(Infected)和免疫状态R(Recovered)。与之相关的经典模型有SI模型、SIR模型和SIS模型，此外还有衍生出的SIRS模型、SEIR模型、MSIR模型和SEIRS模型等[6]。

在流行病传播模型中，SI模型是最基础的。图1所示为SI模型的状态转换图，易感染状态的节点在单位时间内以一定概率β被感染，节点状态转变为被感染状态。在该模型中，已经被感染的节点将会一直保持自己的状态，即不存在被治愈的可能性。

图1 SI模型状态转换图

SIS模型用来描述真实情况下，个体通过药物或者自身免疫能力在被感染后主动治愈的过程。然而，治愈后的个体并不是永久性免疫的，存在反复治愈再感染的情况。图2所示为SIS模型的状态转换图：易感染状态的节点在单位时间内以一定概率β被感染，节点状态转变为被感染状态；与此同时，被感染状态的节点也会以一定概率δ得到治愈，节点状态转变为易感染状态。

图2 SIS模型状态转换图

在SIR模型中，个体能够通过某种途径获得永久的免疫能力，即不能再次被病毒感染，且获得免疫后不会再传播病毒。图3所示为SIR模型的状态转换图：易感染状态的节点在单位时间内以一定概率β被感染，节点状态转变为被感染状态；与此同时，处于被感染状态的节点也会以一定概率δ被永久性治愈，即获得病毒的免疫能力，节点状态转变为免疫状态。

图3 SIR模型状态转换图

基于传统的流行病学模型，Feng等[8]提出了一种基于无线传感器网络的SIRS模型，对蠕虫病毒的繁殖率进行了稳定性分析，从而预测病毒是否还存活，在仿真实验中，将模型设置在一个方形边界内。与之类似的模型有SIRD模型[9]，其考虑了传感器网络中能量对传染率的影响，但是它仍是一个纯粹的流行病模型，依赖于经典的微分方程而不受到几何约束的影响，其实验结果更类似于纯粹的流行病学模型。

1.2 带有休眠反病毒机制的病毒传播模型

由于在传感器网络中，传感器终端节点的能源供给有限，通常会考虑将传感器节点置于休眠模式，以达到省电的目的。De等[10]首先提出了用来估计蠕虫病毒在均匀传感器网络中的传播速率的模型，并将有限的几何特征融入其中；此后，Tang等[11]对此模型进行了改动，提出利用传感器节点的睡眠周期，来完成执行对抗病毒的节点维护工作。在上述改进模型中，传感器节点会在活跃模式和休眠模式之间切换，反病毒的机制则会在节点被感染且处于休眠模式的情况下自动触发。

在此定义下，处于休眠模式的易感染状态传感器节点首先需要进入活跃模式才能被病毒感染。而对于被感染状态的传感器节点，由于有部分传感器节点会进入休眠状态，传感器节点无法向外传播，病毒在传感器网络中的传播将会受到抑制。表1展示了文献[11]模型中各个状态的定义。

表1 文献[11]模型中节点状态的含义

图4所示为文献[11]模型的状态转换图，其中：λa表示传感器节点由活跃模式转换为休眠模式的概率，λs表示传感器节点由休眠模式转换为活跃模式的概率，ρ表示为休眠模式的被感染状态节点被治愈的概率。

图4 文献[11]模型的状态转换图

相比于文献[10]模型，上述模型在一定程度上解决了病毒修补的问题，此外文献[7]还建议在传感器节点处于关闭通信状态时，对节点进行病毒清理工作(如清除内存数据)。本文将该模型描述为经典的SIS流行病模型，并在后面的对比实验中进行分析。

另一方面，Khayam等[12-13]提出了一种基于信号处理技术的拓扑感知蠕虫传播模型，将物理信道条件对传感器网络中蠕虫传播的影响添加到了模型的参数中，并将这些参数纳入流行病模型中。虽然该模型给出了一个有效的解决方案来计算网络中被感染的部分，但是其所做的结构化网格拓扑的假设与真正的传感器网络相差甚远。

针对前人工作在模型与模型仿真不符合传感器网络特点方面的问题，本文将借鉴复杂网络中对数据传播问题的描述，同时融合无线传感器网络的特征，尝试提出一种更符合实际情况的病毒传播模型。

2 模型改进

无线通信网络的功能和性能是决定无线传感器网络的关键因素，因此在改良无线传感器网络病毒传播模型的过程中，考虑构造一个更符合实际情况的传播模型尤为重要。新模型的改进主要包括以下四点：

1) 引入参数open(i,t)和spr(i,t)描述无线传感器网络中传感器节点的通信窗口开放情况。这里使用open(i,t)来描述传感器节点i在t时刻的接收窗口是否开放，使用spr(i,t)来描述传感器节点i在t时刻的发送窗口是否开放。这一改进可以描述传感器节点的节能机制，例如传感器的周期性休眠等。

2) 使用矩阵描述无线传感器网络中的链路状况。假设传感器网络节点数目为N，使用大小为N×N的矩阵η来描述网络链路状态：

(1)

式中：矩阵元素ηij表示信息为传感器节点i成功送达到节点j的概率。

3) 被感染的传感器节点若检测到自身被感染，将强制关闭发送窗口。本文改进模型中包含了一种针对病毒的防御机制。当传感器节点被感染且发送窗口打开时，针对病毒的防御机制被触发，这套机制将检查传感器节点是否被病毒感染。若监测到自身被病毒感染，节点的防御机制将强制关闭发送窗口。由于节点能否成功进行防御，与节点本身能力和病毒的强弱有关，因此本文假设节点成功实现防御机制的概率为α。

4) 使用病毒补丁包完成传感器网络对病毒的免疫。在无线传感器网络中，病毒通常利用传感器节点资源有限这一特征进行破坏。针对这类病毒，人们通常使用给传感器节点打补丁包的方式完成免疫病毒的工作。新的模型也使用了打补丁包的方式来描述节点免疫病毒的过程，模型将获得补丁包并产生免疫能力的节点状态分为ins和act两类。ins状态表示传感器节点位于补丁包扩散的范围内，但是由于其传播窗口未打开，无法有效地将补丁包数据传播出去；act状态表示传感器节点传播窗口已打开，正在活跃地向外传播补丁包数据。

综上四种针对无线传感器网络中病毒传播模型的改进描述，模型将节点的状态归为5类，其中iso状态和com状态为被感染状态，ins状态与rco状态为免疫状态，各节点状态具体含义描述如表2所示。

表2 改良模型中节点状态的含义

图5为节点的状态转换图。其中感染病毒的传感器节点只有在发送窗口打开的情况下，即Xj(t)=com，才会将病毒由当前传感器节点传向其邻居节点。而其邻居传播节点是否会受到该病毒的影响，即感染上病毒，还取决于网络链路的状况ηji、接收节点的接收窗口是否打开(open(i,t)=1或0)，以及病毒的毒性(β)。

图5 改良模型的状态转换图

如上所述，节点i在时刻t的病毒感染概率可描述为：

open(i,t)×β

(2)

同理，假设只有已经打好补丁包且发送窗口打开的传感器节点，即节点状态为act时，与该传感器节点相邻的节点才有可能收到补丁包数据。节点恢复的概率可描述如下：

open(i,t)×ρ

(3)

式中：ρ表示补丁包对病毒的免疫能力；open(i,t)表示t时刻节点i打开并阅读了收到的信息；Ni是包含节点i所有邻居的集合；ηji表示信息由节点j传给节点i的概率；Xj(t)=act和Xj(t)=con是节点j在t时刻的状态。

3 实 验

为了使所有实验数据统一，在没有特殊说明的情况下，对比实验中将假设传感器节点的密度为每平方米0.15，通信距离为5 m，传感器节点随机分布于大小为200 m×100 m的矩形内。

3.1 通信窗口开放比率对病毒传播的影响

在无线传感器网络中，传感器节点必须在不更换电池的情况下运行数年才能最大限度地减少成本。对于不同应用系统的传感器网络，如何减少传感器节点工作时的能量消耗，如何为传感器器节点有效地存储能量，如何更准确有效地制定休眠计划等，都是在设计网络时需要重点关注的问题。随着硬件技术的发展，传感器节点也有了更好的计算和存储功能，能独立完成一些额外简单的计算工作。

例如，可以通过构建系统软件来最大限度地减少完全唤醒周期的次数，以实现进一步的电源优化。这种设计通常分为响应式和周期式两大类。响应式工作方式可将系统置于待机状态，等待某些活动或事件发生，然后才启动处理，最后再返回深度休眠状态；周期式系统则在固定间隔之后唤醒，并且进行测量，如果数据达到了需要引起注意的级别，系统会进行处理，并可能通过网络转发数据，然后重新进入休眠模式。

无论哪种设计，在传感器节点能量优化方面，都更趋向于将节点的功能细化并进行定期判断。因此可以推测，在信息传递方面，传感器节点会更趋向于将接收功能与发送功能分开休眠，而非文献[11]模型中将传感器节点整体进行休眠。

在改良模型中，使用open(i,t)与spr(i,t)来分别描述接收与发送的功能。针对这两个参数的分析如图6、图7和图8所示。其中：Popen和Pspr分别表示实验中接收窗口与发送窗口开放的比率。

图6 不同接收窗口与发送窗口开放时间比率对比图

图7 不同发送窗口开放时间比率对比图

图8 不同接收窗口开放时间比率对比图

可以看出，曲线斜率最大的总是窗口开发比率较高的情况，因此降低窗口开放的比率可以降低病毒在无线传感器网络中的传播速率。此外，还可以发现，随着窗口开放比率变高，曲线斜率的变化幅度较窗口开放比率低时有所下降。对比图7与图8，分别固定相同的接收窗口开发比率与发送窗口开放比率，可以发现单独改变传感器节点两个窗口的开放概率相比之前而言对病毒传播速度影响较小。

3.2 网络链路情况对病毒传播的影响

在无线传感器网络中，传感器节点通常以自组织的方式组成数据传输的网络。由于传感器节点通常散布在无人为干预的监测环境中，传感器网络的稳定受到监测环境的影响。在不同的自然环境下，网络的链路情况也不同。这里使用矩阵η∈RN×N来描述传感器节点之间的链路状况，即数据由节点i成功传递到节点j的概率。在实验中，使用ηlow和ηhigh来表示链路中数据成功传递概率的取值范围。

图9是针对网络链路情况的分析。可以看出，总体来说网络链路情况较差的网络会阻碍病毒在传感器节点之间的传播速度。然而病毒传播的成功概率很大程度上与传感器节点的窗口开放有关，由于每轮实验中传感器节点的窗口开放是随机生成的，所以从图9(a)与图9(b)中可以看出，节点数目随时间变化的曲线存在一定的随机性。此外，由图9(b)可见，改变链路情况的波动范围对病毒传播的影响并不大，但依然可以看出，较好的网络链路中，病毒的传播速度相较与其他情况更好。

(a) 波动的链路状况

(b) 较稳定的链路状况图9 不同网络链路状况对比图

3.3 节点自我隔离意识对病毒感染的影响

随着无线传感器硬件技术的发展，终端传感器节点的计算能力和存储能力也在不断提高。新模型提出了一种假设，认为传感器节点通过某种方式，有能力在被病毒感染的情况下，对自身功能进行检查，发现自己感染了病毒，并强制关闭自己的传播窗口，使得病毒无法再传播出去。这里，假设传感器节点的每步状态转换需要一个单位的时间(Δt=1)，所以在节点状态为com与节点检测到病毒感染完成传播窗口关闭动作之间有一个单位的时间差。也就是说，即使存在这样的病毒防御机制，病毒依旧会继续向外传播。有无该防御机制的对比图如图10所示。

图10 病毒防御机制对比图

可以看出，在有病毒防御机制的网络中，病毒的传播速度相比没有防御机制的情况会低一些，但变化并不明显。分析病毒在无线传感器网络中的传播，可以发现实际的传播过程中防御过程大多是发生在病毒传播的内部节点中，而真正影响病毒传播速率的是病毒传播圈外围的节点。更多的情况下，当传感器节点发现自身感染上病毒时，已经完成了病毒向外传播的过程。从空间上解释，由于外圈的被感染节点通常处于活跃状态，即正在准备着去感染其他节点，而被防御机制关闭窗口的传感器节点通常位于靠内的空间位置，也就是说，在下一时刻来临时，这一防御机制本应该更多影响到已经感染了病毒的节点，而不是未被感染的节点，但实际情况正好相反。因此，受到此防御机制优化的节点中只有这一小部分为被感染的节点。

3.4 针对病毒传播过程的对比实验

为了验证改良模型能够一定程度上抑制病毒的传播过程，这里对比了三种模型的病毒传播曲线[14]。为了使实验更有对比性，这里将三种模型的病毒感染概率参数都设置为0.5，即β=0.5，其中Tang等[11]提出的模型将节点的休眠情况描述为λa=λb=0.5，病毒的自愈概率设置为0，即ρ=0。针对病毒传播情况分析的实验结果如图11所示。

图11 改良模型与传统模型的对比图

可以看出，本文模型的病毒的传播速度明显要低于其他两种模型。证明在病毒传播过程中，本文模型能够更丰富地模拟实际环境对病毒传播过程的影响，同时在同等条件下，可以降低病毒传播的速度。

4 结 语

本文在原有病毒传播模型的基础上，添加了描述传感器节点传播窗口及网络链路状况的参数，以更贴切地描述病毒在传感器网络中的传播过程。本文模型还给出了一种抑制病毒传播自我隔离的方法，并引入对传感器节点打补丁包的思想来描述网络的免疫过程；针对该方法，分析了传感器网络中病毒传播的过程。

在研究病毒传播的过程中发现，位于传播过程最后一跳的节点是病毒传播速率的重要影响节点。在该模型中强制关闭发送窗口可以抑制病毒传播，但是对整体病毒传播的速率影响不明显。此外，考虑到传感器节点自身免疫能力有限，探究如何放置补丁包以增强病毒免疫的效果也是值得关注的问题。