网络节点增减下的潜伏型病毒传播行为建模研究

王 刚，陆世伟，冯 云，刘文斌，马润年

（1. 空军工程大学信息与导航学院，陕西西安 710077；2. 广州大学计算科技研究院，广东广州 510006）

1 引言

在网络安全的攻防博弈中，攻击方为窃取网络用户个人信息或破坏内部网络，通常会以网络病毒形式向目标网络发动攻击［1，2］. 为了避免被防御方检测查杀，攻击方通常会在病毒代码中融入一些其他技术，如加壳、花指令、加密等，使网络病毒拥有潜伏特性，更隐蔽地潜入到内部网络，达到隐蔽突袭的目的. 该类病毒在入侵目标网络后，会隐藏在网络节点中，根据特定时间或事件条件的设置，在一定条件下激活，破坏目标节点，甚至对网络造成严重损失. 由于此类病毒具有一定的潜伏和免杀能力，并且带有强烈的目的性，我们将其称为“潜伏型网络病毒”，简称“潜伏型病毒”. 相比于一般的木马病毒，潜伏型病毒更难被检测且目的性更强，在被发现和清除前，往往会对网络造成一定的损失. 如2013年，黑客通过钓鱼邮件攻击的方式，在著名信息厂商RSA 公司的内网中，植入具有免杀功能的Poison Ivy木马，窃取该公司SecurID 技术及客户资料，并在被发现之前迅速清除痕迹. 此外，“震网”、“狼人杀”、“蓝色火焰”、“海莲花”等潜伏型病毒对网络用户的安全造成严重破坏［3，4］，随着潜伏和免杀技术的发展，其对网络安全的威胁也越来越大.

对于一种未知潜伏型病毒而言，在免疫软件研制并生效之前，其在网络中的传播行为难以预测，在网络没有针对性防御措施的情况下，病毒传播可能会给网络造成巨大的危害. 为了抑制病毒传播带来的危害，一些学者通过研究复杂网络中社区结构并构建博弈模型［5，6］，提出一些抑制病毒的传播方法，如信任管理机制，来确保网络的安全. 这些方法需要对网络中信息进行收集与评估，不易对病毒传播行为进行分析与预测. 由于潜伏型病毒的高隐蔽性，防御方通常难以在病毒爆发前发现其潜伏特征与感染特征，因而采用信任机制也无法准确地对其传播行为或规模进行分析与评估. 为了避免病毒传播对网络造成巨大损失（病毒免疫软件研制期间），众多学者将研究视角转移到病毒的传播行为上，通过病毒传播行为建模来探索病毒传播的影响因素，进而设计有效的控制策略，降低病毒传播对网络造成的损失.

在Kephart 和White［7］提出的计算机病毒传播宏观模型基础上，研究者根据网络环境和病毒类型的不同构建了相应的病毒传播模型.Liu 等［8］构建了一个具有免疫和非单调感染率的易感-感染-移除-易感（Susceptible-Infected-Removed-Susceptible，SIRS）网络病毒传播模型，发现较大的免疫因子可以加速病毒灭绝，降低网络整体感染水平.Cai 等［9］应用具有比率相关感染率的SIRS 病毒传播模型，通过病毒全局动力学行为研究发现引入随机波动可以抑制病毒的爆发，从而控制病毒的传播. 考虑到有限资源约束，李黎等［10］根据病毒传播理论提出了一种与初始感染源无关的病毒传播控制策略：有限临时删边（Limited-Temporary-Links-Removed，LTLR）策略，该策略能显著增加网络平均路径长度，提高病毒传播控制效率.Upadhyay 等［11］应用易感-接种疫苗-暴露-感染-恢复（Susceptible-Vaccinated-Exposed-Infectious-Recovered，SVEIR）模型研究了病毒在计算机网络中的传播规律，发现反病毒技术和用户观察时间是控制病毒的关键因素. 考虑了6类移动设备，Lanz等［12］应用病毒传播模型研究了病毒恶意感染的阈值，并提出多种病毒传播控制策略.

考虑传染媒介和传播延迟，王亚奇等［13］提出一种新的易感-感染-易感传播模型（Susceptible-Infected-Susceptible，SIS），并利用平均场理论，研究无标度网络中的病毒传播动力学，研究发现病毒感染程度与传播延迟之间存在线性关系. 张晓潘等［14］构建了具有时滞-扩散的无线传感网络病毒传播模型，研究了病毒传播的振荡动力学行为，揭示了时滞和扩散作用对无线传感器网络是有害的. 王昕炜等［15］以参数τ为病毒潜伏期，构建了非线性感染率下的时滞病毒传播模型，并通过控制变量的方法给出病毒最优防御策略.Song 等［16］提出一个具有分布时滞和非线性发生率的多级感染模型，并证明了在一定条件下，病毒传播动力学行为完全由基本再生数决定. Zhu 等［17］在复杂网络上建立一个具有非线性发病率和时滞的SIS 传染病模型，研究比较了4 种不同的控制策略，包括均匀免疫控制、熟人免疫控制、主动免疫控制和最优控制.

以上研究将病毒的潜伏期理解为感染前的一段时滞，给出了时滞因素对病毒传播行为和传播过程的影响. 然而，病毒在潜伏状态的特性不仅限于感染过程的时滞，还存在向其他状态的转移以及自身的移除过程等，而且其感染过程与网络节点的平均度有关［18］. 这些情况仅靠传统模型难以表述，需要进一步展开研究了解潜伏型病毒在潜伏阶段的行为.

王等［19，20］考虑了网络节点度对病毒感染率的影响，并增加了潜伏状态节点向其它状态节点之间的转移过程，根据病毒的潜伏方式，分别构建两种潜伏型病毒传播模型，分析了节点度及转移概率等对病毒传播规模的影响. 李等［21］在节点移除的情况下，考虑了网络病毒的潜伏状态向其他状态的转化过程，并在潜伏状态到感染状态的转化过程中添加了时滞因素，分析了时滞对病毒传播的影响，给出有效的混合隔离策略来抑制潜伏型病毒的传播. 这些成果促进了潜伏型病毒传播行为分析及控制策略的设计，然而要更为准确地研究潜伏型病毒在实际网络中的传播规律，还需在建模与分析过程中考虑以下问题：（1）网络节点增加和移除会影响网络节点总数，变化的节点总数会对病毒传播过程和传播规模产生怎样的影响；（2）网络病毒由潜伏到感染过程会有一定的潜伏期（时滞），该潜伏期会对病毒传播分岔行为及传播能力产生影响，如何构建包含时滞的病毒传播模型才能准确地分析时滞对病毒传播的影响；（3）考虑网络节点增减的条件下，病毒在潜伏期内依然存在被移除的情况，如何正确地表示移除后的潜伏节点向感染节点的转化过程.

为解决以上存在的问题，本文在传统的潜伏型病毒易感-潜伏-感染-免疫（Susceptible-Exposed-Infected-Recovered，SEIR）传播模型基础上，增加了网络节点增减过程，用以探索变化网络节点数下病毒的传播过程，以及增减网络节点对病毒传播规模的影响. 此外，考虑到病毒潜伏期会对病毒传播行为和传播规模产生影响，在所构建模型中增加了指数律的潜伏时滞因子，用以分析潜伏期时长对病毒分岔行为及其基本再生数的影响［14～16］. 所构建模型能够更为准确地描述潜伏型病毒在网络上的传播行为，研究网络节点数变化条件下潜伏型病毒传播分岔行为产生的条件，分析潜伏型病毒传播的稳定性，探索出潜伏时滞、节点增减率等因素对病毒传播行为和传播能力的影响，进一步为科学地设计潜伏型病毒管控策略提供理论依据.

2 节点增减下的时滞病毒传播模型

潜伏型病毒在入侵网络时会有不同的形式，如：直接潜伏至目标节点之后实施感染（直接潜伏型）［19］；潜伏过程中伴随有感染过程，以一种病毒的感染来分散防御方注意力，进而更容易地实施潜伏（间接潜伏型）［20］. 这里，以直接潜伏型病毒为例，构建节点增减下的时滞病毒传播模型.

在网络病毒入侵初始阶段，将网络中的节点划分为四种类型：易感节点、潜伏节点、感染节点以及免疫节点. 其中，易感节点表示网络中脆弱的、易受病毒潜伏或感染的节点；潜伏节点表示被病毒潜伏但病毒尚未激活的节点；感染节点即受病毒感染且受损失的节点；免疫节点表示对入侵病毒具有免疫能力的节点. 易感状态、潜伏状态、感染状态、免疫状态分别简记为S、E、I、R. 用S（t）、E（t）、I（t）、R（t）分别表示t时刻网络中四种状态节点的数量. 综合考虑实际网络病毒传播特点，做出以下假设：

（1）病毒在网络任意两个节点间传播时间存在最小值，以该最小值作为研究中的单位时间.

（2）网络中不具有免疫能力的节点都是易受病毒潜伏或感染的，而免疫节点对潜伏型病毒具有不会衰退的免疫能力.

（3）在单位时间内，平均有A个外部节点接入网络（A>0），且都为易感节点；四种状态节点的移除率分别为μ1，μ2，μ3，μ4.

（4）病毒在感染前会先潜伏到目标节点，在节点中的平均潜伏时长为τ.

（5）单位时间内，单个病毒成功潜伏至易感节点的概率为β，潜伏病毒被激活的概率为γ，感染节点免疫的概率为ω.

根据文献［18，20］的研究，节点度会影响感染节点周围的易感节点数量，即单位时间内网络中的易感节点被感染的比例为β〈k〉I(t)/N(t)，其中〈k〉为网络平均度. 由于病毒为直接潜伏型病毒，因此易感节点转化为潜伏节点的数量为β〈k〉I(t)/N(t). 由于在病毒传播过程中存在各状态节点的增加或移除，网络节点总数不恒定，因此记为N(t). 病毒在潜伏状态经过τ时间可能会被激活，则t时刻感染节点的增加数量实际上取决于t-τ时刻潜伏节点的数量E(t-τ)，可以表示为γE(t-τ). 然而，由于t-τ时刻到t时刻内持续有潜伏节点被移除，因此计算潜伏节点转化为感染节点的概率时，需要考虑潜伏期内被移除的潜伏节点数量. 在t-τ时刻至t时刻，每个单位时间存在节点被移除的可能，潜伏节点移除率为μ2，即每个单位时间内会移除μ2比例的节点，剩余(1-μ2)比例的节点，因此在经过τ个单位时间后，总剩余比例应为(1-μ2)τ，即t-τ时刻潜伏节点转化为感染节点的数量应为γ(1-μ2)τE(t-τ)，即t时刻感染节点增加数量为γ(1-μ2)τE(t-τ). 根据以上假设与分析，给出节点增减下的时滞SEIR 病毒传播模型示意图，如图1所示.

图1 节点增减下的时滞SEIR病毒传播模型示意图

图1中，〈k〉为网络节点平均度，N(t)为t时刻网络节点总数，且N(t)=S(t)+E(t)+I(t)+R(t). 由于每个单位时间都存在节点移除和增加的可能，网络节点总数也是变化的. 根据以上传播模型示意图，给出对应的时滞动力学微分方程：

其中，S（t）、E（t）、I（t）和R（t）分别表示t时刻网络中对应状态的节点数量. 模型（1）演化的初始条件如下：

其中，φ=(φ1(θ)，φ2(θ)，φ3(θ)，φ4(θ)) ∈C([-τ，0]，R4+0).C([-τ，0]，R4+0)是[-τ，0]上连续向量函数全体，简记为C.实际中，系统（1）的初值时刻θ取决于网络中4 种状态节点数量统计的起始时刻，若θ≠0，在[θ，0]时间段内分别记录4种节点的数量变化曲线，可得对应的初值函数φ；若θ=0，则φ=(φ1(0)，φ2(0)，φ3(0)，φ4(0))，此时φ为4元实数行向量. 由于有界滞量的滞后型微分方程解空间在C上通常为无限维的，因此需要通过连续的Banach 空间函数φ将区间[-τ，0]映射至四维正实数空间，其中={(x1，x2，x3，x4)：xi≥0，i=1，2，3，4}，φ的范数定义为|φ(θ)|，|·|是Rn中的范数.

3 稳定性分析

稳定性是指系统受到扰动作用会偏离平衡状态，当扰动消失，系统经过自身调节能够以一定的准确度恢复原平衡状态的性能. 对于病毒传播动力学系统而言，研究其平衡点及稳定性有助于了解病毒传播的平衡态及其稳定性，进一步为设计稳定的控制器提供理论依据.

则有病毒平衡点处各状态节点数量可表示为

设基本再生数

当R0＞1 时，网络仅存在有病毒平衡点；否则，只存在无病毒平衡点.

引理1当t∈(0，+∞)时，S(t)＞0.

证明假设S(t)＞0 在t∈(0，+∞)时不恒成立，则存在t0，使得S(t0)=0，有

此时存在ε，使得(t0-ε)∈(0，t0)且S(t0-ε)＜0. 与节点数量非负矛盾，因此当t∈(0，+∞)时，S(t)＞0. 证毕

定理1当R0≤1 时，时滞系统（1）在无病毒平衡点P0(S0，E0，I0，R0)处全局渐进稳定.

证明令h(x)=x-1-lnx，对任意的x∈(0，∞)，有h(x)≥0，当且仅当x=1时等号成立.

定义Lyapunov函数：

式（5）对时间t求导得

当R0≤1 时，有V'(t)≤0，且仅当S(t)=S0，R0=1 时等号成立. 由LaSalle 不变原理［22］可知，当R0≤1 时，时滞系统在无病毒平衡点P0处全局渐进稳定. 证毕

定理2当R0＞1时，时滞系统的稳定性由时滞τ及其时滞阈值τ0共同决定. 当τ＜τ0，则系统在有病毒平衡点P1(S1，E1，I1，R1)处局部渐进稳定；当τ≥τ0，系统会出现Hopf分岔现象.

证明时滞系统（1）在平衡点P1(S1，E1，I1，R1)处的线性系统可表示为

在τ＞0的情况下，设式（12）的特征根为λ=iθ，则可得到

分离式（14）实部与虚部可得到

进一步得到关于θ的方程［21］

其中，

设式（16）有正根θ0，则±iθ0为式（14）的一对纯虚根，由式（15）可得到

其中，

由式（18）可得时滞的临界值为

由以上求解过程和Hopf 分岔理论［24，25］可知，如果式（16）有正根，那么当τ＜τ0时，系统（1）在有病毒平衡点P1(S1，E1，I1，R1)处局部渐进稳定；τ≥τ0时，系统（1）会出现Hopf分岔现象. 证毕

综合系统平衡点求解和平衡点稳定性分析可知：

（1）在考虑网络节点增减的情况下，潜伏型病毒的潜伏时长（时滞）和节点的增减率会影响到病毒传播的基本再生数，进而影响病毒的传播规模. 合理控制病毒潜伏时滞和网络节点增减数量能够减小基本再生数，进而控制潜伏型病毒传播.

（2）节点增减下，病毒潜伏时滞阈值τ0会随时滞τ而变化. 对于潜伏型病毒而言，其时滞阈值与病毒本身的潜伏时滞有关，通过计算可以判断潜伏时滞与时滞阈值的关系，进一步推断出病毒传播是否会出现分岔状态. 如果病毒传播存在分岔现象，病毒传播行为将难以预测，控制策略设计难度也会加大，在这种情况下，需要增大病毒时滞阈值来消除其行为上的分岔现象，进而设计有效的防御方法.

（3）潜伏型病毒在有病毒平衡点处的稳定性与病毒的时滞及其阈值相关. 合理地调节与时滞阈值相关的参数，能够增大时滞阈值，阻止病毒传播出现分岔现象，进而更好地控制病毒传播.

4 数值仿真

4.1 仿真环境设置

数值仿真的目的在于：（1）验证理论分析的正确性；（2）验证时滞阈值τ0与免疫率ω及时滞τ之间的关系；（3）节点增减率对系统平衡点的影响. 仿真选取2个合成网络和3个实际网络，以模型演化的形式分别模拟潜伏型病毒在这5 个不同的网络中的传播过程. 其中，ER 随机网络和小世界网络根据生成算法生成，其他3 个实际的网络数据集来源于斯坦福大学复杂网络数 据 集（Stanford Large Network Dataset Collection，SNAP）［26］，具体网络参数如表1所示.P2P-Gnutella05网络中节点表示Gnutella 网络拓扑中的主机，连边表示Gnutella 主机之间的连接；Wiki-Talk 网络包含了所有用户以及从Wikipedia 成立到2008 年1 月的讨论，网络中的节点代表Wikipedia 用户，从节点i到节点j的有向边代表该用户i至少编辑了一次用户j的对话页；Web-Google网络节点表示Google网页，有向边表示它们之间的超链接. 实际中，病毒传播模型参数需要利用优化算法并根据特定的病毒感染事件及数据集来估计. 鉴于目前尚无公开的潜伏型网络病毒传播数据集，以下参数取值主要基于定理1 和定理2 中对基本再生数和时滞的要求.

表1 网络名称及相关参数

参照文献［27，28］，分别在5 个网络上对病毒传播过程进行数值模拟，并根据定理1 和定理2 中基本再生数和时滞条件，设置模型相关参数. 其中，ER 随机网络和小世界网络中A=100，β=0.3，γ=0.25，ω=0.5，μ1=0.01，μ2=0.02，μ3=0.03，μ4=0.04，时滞τ=8. 其他3个网络中，A=50，β=0.5，γ=0.3，ω=0.2，μ1=0.01，μ2=0.02，μ3=0.03，μ4=0.04，时滞τ=12. 由于2 个网络的总节点数和网络特性不同，状态节点初始数值设置为不同的节点组合，由式（4）和式（20）可得每个网络基本再生数及相应的时滞阈值. 表2 中给出了每个网络的初始节点集合、基本再生数、时滞和时滞阈值. 如果不做特殊说明，这些网络的参数是固定不变的.

表2 网络初始节点集合、基本再生数、时滞阈值和时滞

4.2 平衡点及其稳定性

首先，分别在5 个网络中验证关于定理2 有病毒平衡点的稳定性. 由于5 个网络的基本再生数R0均大于1，由定理2 知，当τ＜τ0，系统在有病毒平衡点P1(S1，E1，I1，R1)处局部渐进稳定；当τ≥τ0，系统会出现Hopf 分岔现象. 由表2 知，在ER 随机网络和Wiki-Talk网络中，病毒传播时滞τ＜τ0，因此这2 个网络中的病毒传播会局部稳定在有病毒平衡点；在其他3 个网络中，病毒传播时滞τ≥τ0，因此病毒传播会出现分岔行为.图2（a）～（e）分别给出了以上5 个网络中状态节点数量随时间演化的曲线.

由图2可以看出，小世界网络、P2P-Gnutella05网络和Web-Google 网络（τ≥τ0）中出现了Hopf 分岔现象，此时各状态节点数量会出现振荡，网络受感染严重情况难以根据短期的数据进行判断，通常也无法针对性地对网络采用合理的控制策略来恢复网络的安全. 这种情况下，需要先消除网络中的病毒传播的分岔现象，进而研究如何降低病毒传播的规模. 此外，在ER 随机网络和Wiki-Talk 网络（τ＜τ0）中，病毒传播会稳定在有病毒平衡点. 综上所述，数值仿真结果与定理2一致.

图2 R0＞1时5个网络中状态节点数量随时间演化曲线

为进一步验证定理1，即R0≤1时，时滞系统在无病毒平衡点P0(S0，E0，I0，R0)处全局渐进稳定，人为提升免疫率ω，并降低病毒激活概率γ，确保5 个网络中病毒传播基本再生数R0≤1，即病毒传播稳定时网络中不存在病毒感染节点.5个网络的参数调整方式及调整后的基本再生数如表3所示.

表3 5个网络参数调整及其基本再生数

经过调整相应的参数，5 个网络的基本再生数都小于1，此时网络中各状态节点的数量演化曲线如图3（a）～（e）所示.

图3 R0 ≤1时5个网络中状态节点数量随时间演化曲线

分析可知，基本再生数R0≤1时，2个网络中的潜伏节点和感染节点数量最终都会趋近于0，并保持稳定，即网络节点不受潜伏型病毒潜伏或感染，与定理1一致.

4.3 时滞阈值τ0的影响因素

由于在R0＞1 时，时滞阈值和时滞会共同决定病毒传播分岔现象，因此有必要探索系统中其他参数对时滞阈值的影响. 为此，以表1中5个网络为背景，研究潜伏型病毒在这5 个网络上传播时系统参数对时滞阈值的影响. 其中，网络类型和网络平均度信息如表1 所示，每个网络的模型参数设置与4.1 节相同. 此处，重点分析时滞τ和免疫率ω对阈值τ0的影响. 图4（a）和图4（b）分别给出了τ和ω对τ0的影响.

图4 不同参数对时滞阈值的影响

分析图4（a）和图4（b）可知，随着病毒潜伏时滞τ的增大，时滞阈值τ0也会增大，而且在不同参数的网络中这种增长趋势表现不同. 在图4（a）中，比较ER 随机网络（平均度为6）和小世界网络（平均度为12）中时滞阈值随潜伏时滞的变化关系，可知平均度越小的网络时滞阈值随潜伏时滞变化越明显；同理，比较其他3 个网络也能得到相同的结论. 因此，可以发现当网络模型其他参数都相同时，网络平均度越小，时滞阈值随潜伏时滞变化越明显. 此外，由图4（b）知，在ER 随机网络和P2P-Gnutella05 网络中，随着免疫率的增大，时滞阈值有明显的增大趋势；而在小世界网络和Web-Google 网络中呈现出先增大后减小的趋势，主要原因是这2个网络的平均度相对较大，由于免疫率对时滞阈值的影响是有一定范围的，因而单一地增加免疫率并不能增大时滞阈值. 在Wiki-Talk 网络中，也表现出了先增大后减小的趋势，但是值得一提的是，在免疫率0.82～0.92的位置处，无法计算时滞阈值，出现该现象的原因是式（12）的特征根不存在. 为了进一步探索该种情况下的病毒传播情况，选取免疫率分别为0.82，0.85，0.88，0.91时的值，观察各状态节点的演化情况，不同免疫率下Wiki-Talk网络中状态节点数量演化曲线如图5（a）～（d）所示.

图5 不同免疫率ω下Wiki-Talk网络中状态节点数量演化曲线

在图5（a）～（d）中，由于4 个免疫率下基本再生数R0＞1，最终网络中病毒节点数量都不为0，但都局部稳定在有病毒平衡点附近，且均未出现分岔行为. 因而，在时滞阈值不存在的情况下，可以将病毒传播时滞阈值τ0看作接近于无穷大，从而依然满足定理2.

由以上分析可知，在一定范围内调整节点免疫率能有效调节病毒传播的时滞阈值. 如果增大免疫率，能将时滞阈值τ0由小于潜伏时滞τ的值改变为大于τ的值，则可以消除病毒传播中的分岔行为. 由于免疫率与潜伏时滞τ无关，因此，适当调整网络节点对病毒的免疫能力能够避免病毒在网络中传播出现分岔现象，有利于对网络受感染情况进行分析，从而有助于防御方部署更为有效的病毒传播防御策略. 增大网络节点对潜伏型病毒免疫率的措施包括：（1）安装杀毒软件，及时更新病毒库，定期杀毒；（2）修复漏洞和补丁；（3）在使用易携带潜伏型病毒的移动存储设备时，提前做好检测与杀毒工作；（4）尽量避免进入不明网站和接收不明邮件；（5）关闭不必要的设备端口等.

4.4 节点增减率对平衡点的影响

在病毒传播过程中，网络节点的数量会因内部或外部原因有所增减，如网络故障或人工隔离等. 研究节点增减率对平衡点的影响，有利于探索潜伏型病毒传播的控制方法，降低病毒的传播规模. 如果将t时刻病毒节点的数量表示为潜伏节点和感染节点之和E(t)+I(t)，由式（3）和式（4）不难看出，易感节点增加数量A不会影响基本再生数R0，而会影响有病毒平衡点P1(S1，E1，I1，R1)处病毒节点的数量，因此在R0＞1，τ＜τ0时，调节A可以控制最终网络中病毒节点的数量. 仿真中，病毒传播规模可以用最终网络中病毒节点的数量来衡量.

本小节通过数值分析，重点研究4种状态节点的移除率μ1，μ2，μ3，μ4和易感节点增加数量A对病毒传播规模的影响. 由于在病毒传播出现分岔行为时系统不易控制，此处主要研究无分岔行为时4个参数对病毒传播的影响.

仿真中网络选取表1 中5 个不同类型网络，参数设置参照4.1 节. 由于病毒传播不出现无分岔现象时要求潜伏时滞τ取较小的值，调整5 个网络中潜伏型病毒传播的潜伏时滞为τ=0.2，其他参数设置与4.1 节相同. 图6（a）～（d）分别给出了4 个参数μ1，μ2，μ3，μ4对病毒传播规模的影响. 图7中给出了易感节点增加数量A对病毒传播规模的影响. 由于5 个网络中病毒传播的潜伏时滞τ都较小，因而可以保证病毒传播不会出现分岔现象，最终状态节点的数量会趋于稳定. 图6 和图7中横坐标取所研究参数不同的值，纵坐标取为网络中病毒传播稳定时（1 000 s时）病毒节点的数量E(t)+I(t).

图6 节点移除率对病毒传播规模的影响

由图6（a）～（c）可知，在5 个网络中，随着易感节点、潜伏节点以及感染节点的移除率增大，网络中病毒节点的数量会减少，病毒的传播规模降低. 通过分析图6（d）可得，对于免疫节点，在移除率不为0 的情况下，增大其移除率对于网络病毒的传播规模影响较小.如果免疫节点移除率为0，根据模型演化结果，最终网络中节点都会转化至免疫节点，因此最终病毒节点数量会趋向于0. 分析可知，在实际中通过增大易感节点、潜伏节点和感染节点的移除率，能够起到抑制病毒传播的作用；单一地改变免疫节点的移除率，不会对病毒传播产生显著的影响. 分析图7 知，随着易感节点增加数量A的增大，最终网络中病毒节点数量会线性地增大，即病毒传播规模变大. 因而，在实际中，减小网络中易感节点的增加数量，有利于缩减病毒传播的规模.

图7 易感节点增加数量A对病毒传播规模的影响

通过分析4.2 节～4.4 节仿真内容可知：（1）潜伏型病毒在网络中传播过程会出现稳定和分岔2种行为，其行为是由病毒传播基本再生数、病毒传播时滞及时滞阈值共同决定；在实际病毒感染事件中，根据数据合理估计参数，并计算基本再生数、病毒潜伏期以及时滞阈值，能够对病毒的传播行为进行定性判断；（2）在一定范围内，增大网络节点对病毒的免疫率，能够增大病毒的时滞阈值，从而避免病毒传播分岔行为的持续发生，进而可设计抑制病毒传播防御策略；（3）在病毒传播稳定的情况下，可以通过增大网络中易感、潜伏和感染节点的移除数量，来降低病毒传播规模，进而降低网络受感染的程度，减小网络损失.

5 结论

本文以潜伏型病毒传播行为为基础，考虑病毒传播存在潜伏期和网络节点增减的情况，构建了节点增减下的时滞SEIR 病毒传播模型，重点分析了网络节点增加和移除条件下病毒潜伏期τ对病毒传播分岔行为及传播规模的影响，进一步研究了病毒传播基本再生数及其稳定性之间的关系，探讨了潜伏型病毒传播的控制方法. 研究发现：（1）当基本再生数R0＜1 时，系统在无病毒平衡点处全局渐进稳定；（2）当R0＞1 时，如果病毒潜伏时滞τ小于时滞阈值τ0，系统在有病毒平衡点处局部渐进稳定；当R0＞1时，如果病毒潜伏时滞τ大于等于时滞阈值τ0，系统会出现Hopf 分岔现象；（3）在一定范围内，调整网络节点的免疫率，能够增大病毒传播时滞阈值τ0，有效阻止病毒传播出现分岔行为，有利于进一步控制病毒传播过程；（4）增大易感、潜伏和感染节点移除率，可以减小最终网络中病毒节点的数量，降低病毒传播规模. 相比于其他不含潜伏时滞和节点移除率的病毒传播模型，所提模型能够更准确地描述潜伏型病毒在动态变化网络中的传播特点. 基于模型的深入研究，揭示了节点增加和移除对病毒传播的影响，给出了病毒传播出现分岔现象时的时滞阈值，有利于网络安全研究者从病毒传播时滞和节点移除率角度思考如何防御潜伏型病毒的传播，降低病毒对网络的损失. 本文重点在于研究时滞对病毒传播分岔行为的影响，并讨论如何消除分岔现象，采用合理的方法来管控网络，降低病毒传播对网络造成的损失. 由于实际中大多数网络具有无标度特性，下一步工作中会讨论无标度网络中潜伏型病毒的传播规律，并给出模型参数的敏感性分析，定量分析参数对病毒传播的影响. 此外，由于网络节点的移除会影响网络的连通性，进一步影响到网络通信能力，在下一步工作中，需要综合考虑病毒传播的防御策略对网络通信能力和安全性能的综合影响，及如何取得网络通信和安全之间的均衡.