Internet网络中的蠕虫病毒扩散传播模型

合集下载

蠕虫模型及传播规律研究

蠕虫模型及传播规律研究近年来，随着计算机技术的飞速发展，互联网已经成为人们生活中不可或缺的一部分。

然而，互联网的广泛应用也带来了网络安全问题的日益严峻。

蠕虫病毒作为一种具有传染性的恶意程序，对于网络安全构成了严重威胁。

因此，研究蠕虫传播规律以及构建蠕虫模型成为了互联网安全领域的重要问题之一。

蠕虫病毒是指一种可以自复制和自传播的计算机病毒，通过利用互联网上的安全漏洞，从一个计算机感染其他计算机。

蠕虫病毒的传播是通过利用网络资源进行自我复制，使得感染数量呈指数级增长。

为了研究蠕虫模型及其传播规律，学者们提出了许多经典的模型，其中最具代表性的是Kermack-McKendrick模型和SIR模型。

Kermack-McKendrick模型是最早用于描述传染病传播的数学模型之一。

该模型将人群分为三个类别：易感者（Susceptible）、感染者（Infected）和恢复者（Recovered）。

易感者可以通过与感染者接触而被感染，感染者经过一定的潜伏期后恢复，成为恢复者。

这种模型能够描述蠕虫病毒传播与感染过程，为进一步研究蠕虫模型提供了基础。

SIR模型则更加细致地划分了人群的状态，将感染者分为亚类，包括易感人群（Susceptible）、感染人群（Infected）和移除人群（Removed）。

移除人群包括恢复者（Recovered）和去世者（Deceased）。

该模型考虑了人群的自然流动以及与他人的接触情况，更加真实地反映了蠕虫传播的复杂性。

蠕虫模型及其传播规律研究不仅可以帮助互联网安全专家更好地了解蠕虫病毒的特性，还可以为网络安全的防控提供参考。

通过研究蠕虫模型，我们可以预测蠕虫病毒的传播速度和扩散范围，有助于及早采取相应的安全防范措施。

此外，研究蠕虫病毒的传播规律还可以揭示互联网安全漏洞，推动网络安全技术的发展。

除了数学模型的研究，现代计算机科学技术也为蠕虫模型及传播规律研究提供了有力支持。

近年来，基于人工智能和机器学习的模型也被广泛运用于网络安全领域。

网络蠕虫传播模型分析

网络多样性的传播途径和复杂的应用环境给人们的需求带来了便利，同时也给网络蠕虫的传播提供了条件，目前，网络蠕虫已经成为网络安全的最大威胁之一．与其他网络威胁相比，网络蠕虫的传播速度更快，潜伏性更强，影响范围更广，破坏性更大．从１９８８年著名的Ｍｏｒｒｉｓ蠕虫… 到ＣｏｄｅＲｅｄ＿２Ｊ、Ｓｌａｍｍｅｒ、Ｗｉｔｔｙ、
两种状态：易感染状态和已感染状态； ③ 如果一台主机由易感染状态变成已感染状态，它将一直保持此状
态，因此转变过程是：易感染一已感染．为方便描述，定义以下变量：Ｎ表示系统中总的主机数量；
１．简单传染病模型（ＳｉｍｐｌｅＥｐｉｄｅｍｉｃＭｏｄｅｌ，简称ＳＥＭ）
一
在ＳｉｍｐｌｅＥｐｉｄｅｍｉｃＭｏｄｅｌ（简称ＳＥＭ）中，分析建立在以下假设之上： ①分析的网络是均匀网络，即每个感染源以相同的概率感染主机，每一个主机同样以同等的概率接受感染； ②网络中的每台主机将保持
第３３卷第８期
２０１３年６月
绍
兴
文
理
学
院
学
报
Ｖ０１．３３Ｎｏ．８
ＪＯＵＲＮＡＬＯＦＳＨＡＯＸＩＮＧＵＮＩＶＥＲＳＩＴＹ
Ｊｕｎ．２０１３

一种基于防火墙的校园网蠕虫传播模型

( 7) ( 8)
4 防火墙对校园网中蠕虫传播的影响
以 Code R ed蠕虫为例 , 我们分析并模拟了校园网环境下防火墙对均匀扫描蠕虫传播的影响与控制。对于均匀扫描的蠕虫 , 其扫描范围为整个地址空间 , 如 Code R ed 蠕虫 [ 5 ] 。这种蠕虫以相同的概率扫描整个地址空间 , 在每个子网内蠕虫的感染率都相同 , 但由于防火墙的存在 , 使得各子网内蠕虫传播的情况有所不同。所以 , 我们采用传播模型 ( k = 1, 2, !, K ) ,
kk k ik
最后 , 由 ( 1) 式可得 : dI ( t) dIx ( t) dIy ( t) = + = I ( t) [N x - Ix ( t) ] + dt dt dt m x Iy ( t) [N y - Iy ( t) ] ( 11) 上述微分方程虽无法求解 , 但可以用 M atlab /S i m u link 来模拟。由于高校的校园网是整个教育网的一个组成部分 , 因此可以针对整个教育网 , 以 Code R ed 蠕虫为例来进行模拟。设 N = 360000, = 358 /m in, I0 = 100, 假设每个网络都为 x 个 C 类网络 , 不妨取 x = 20, 则 K = 20* 28 = 5120。图 2 是 m /K = 0、 0. 1、 0 . 5、 0. 8 、1 时蠕虫传播的模拟情况。 m /K = 0 是网络中没有安装防火墙的情况 , 而 m /K = 1 则是网络中全部安装了防火墙的情况。由以上分析可以得出 , 如果防火墙内部主机一旦感染蠕
= 0。且当 i > m 时 ,

计算机病毒网络传播模型分析

计算机病毒网络传播模型分析计算机这一科技产品目前在我们的生活中无处不在,在人们的生产生活中，计算机为我们带来了许多的便利,提升了人们生产生活水平,也使得科技改变生活这件事情被演绎的越来越精彩.随着计算机的广泛应用，对于计算机应用中存在的问题我们也应进行更为深刻的分析，提出有效的措施,降低这种问题出现的概率,提升计算机应用的可靠性.在计算机的广泛应用过程中,出现了计算机网络中毒这一现象，这种现象的存在,对于计算机的使用者而言，轻则引起无法使用计算机,重则会导致重要信息丢失,带来经济方面的损失。

计算机网络中毒问题成为了制约计算机网络信息技术的重要因素，因此，对于计算机网络病毒的危害研究,目前已经得到人们的广泛重视,人们已经不断的对计算机网络病毒的传播和建立模型研究，通过建立科学有效的模型对计算机网络病毒的传播和进行研究，从中找出控制这些计算机网络病毒传播和的措施,从而提升计算机系统抵御网络病毒侵害,为广大网民营造一个安全高效的计算机网络环境。

ﻭﻭ一、计算机病毒的特征ﻭﻭ（一)非授权性ﻭﻭ正常的计算机程序,除去系统关键程序，其他部分都是由用户进行主动的调用，然后在计算机上提供软硬件的支持,直到用户完成操作，所以这些正常的程序是与用户的主观意愿相符合的,是可见并透明的,而对于计算机病毒而言,病毒首先是一种隐蔽性的程序,用户在使用计算机时，对其是不知情的,当用户使用那些被感染的正常程序时，这些病毒就得到了计算机的优先控制权，病毒进行的有关操作普通用户也是无法知晓的,更不可能预料其执行的结果。

ﻭﻭ(二）破坏性计算机病毒作为一种影响用户使用计算机的程序,其破坏性是不言而喻的。

这种病毒不仅会对正常程序进行感染，而且在严重的情况下,还会破坏计算机的硬件，这是一种恶性的破坏软件。

在计算机病毒作用的过程中,首先是攻击计算机的整个系统，最先被破坏的就是计算机系统。

计算机系统一旦被破坏，用户的其他操作都是无法实现的。

ﻭ二、计算机病毒网络传播模型稳定性ﻭﻭﻭ计算机病毒网络的传播模型多种多样,笔者结合自身工作经历，只对计算机病毒的网络传播模型-——SＩＲ模型进行介绍,并对其稳定性进行研究。

僵尸网络传播模型分析-计算机工程与应用

2013，49（1）1引言最简单的访问和使用范围广泛的互联网络，使其成为恶意代码攻击的一个主要目标，其中随着僵尸网络的快速盛行，互联网正面临着日益增加的威胁，并且中国已经成为受僵尸网络危害最大的国家。

僵尸网络是由传统的网络攻击方式进化而来的，与传统的网攻击方式相比，其最大的特点是可以通过一台BotMaster 作为服务器，控制构建好的整个僵尸网络中的主机来实施网络攻击并获取利益，使僵尸网络的控制者以极低的代价控制大量的网络资源为其服务；僵尸客户端在黑客很少或不插手的情况下协同合作，共同完成一个任务[1]。

2002年以前的僵尸程序中的僵尸客户端都不具备直接自我传播的能力，而是利用社会工程学手段实施攻击。

俄罗斯程序员Sd.编写的易于修改和维护的SDbot 诞生并公开源代码是僵尸网络发展史上最重要的一步，SDbot 不再只是利用社会工程学的手段来进行攻击，而是利用服务器的漏洞来使用远程控制后门攻击。

随着僵尸网络的发展其传播途径呈现出多样化（电子邮件携带的有毒附件、有毒的网址链接、即时通信中的垃圾邮件攻击、网络钓鱼隐藏的下载等等），其功能也日益强大：关闭反病毒程序和监控程序，躲避防火墙的过滤，扫描特定的漏洞，隐藏自身进程等，造成的网络危害也多样化（阻止用户访问系列网址、信息窃取、垃圾邮件、网络钓鱼、分布式拒绝服务、恶意广告等等），给社会带来的经济损失更是难以计算。

2010年12月1日公安部在人民日报的《正常主机变身僵尸网络服务器曝中国十大黑客案例》[2]一文中公布了一批破坏的打击黑客攻击破坏活动的典型案例及其造成的危害。

僵尸网络传播模型分析成淑萍1，谭良1，2，黄彪1，欧阳晨星1CHENG Shuping 1,TAN Liang 1，2,HUANG Biao 1,OUYANG Chenxing 11.四川师范大学计算机学院四川省可视化计算与虚拟现实重点实验室，成都6100682.中国科学院计算技术研究所，北京1000801.Key Lab of Visualization in Scientific Computing and Virtual Reality of Sichuan,College of Computer,Sichuan Normal University,Chengdu 610068,China2.Institute of Computing Technology,Chinese Academy of Sciences,Beijing 100080,ChinaCHENG Shuping,TAN Liang,HUANG Biao,et al.Botnet propagation modeling and puter Engineering and Applications,2013,49（1）：107-111.Abstract ：In order to make the Botnet propagation modeling is more in line with the spread of the Botnet Internet characteristics.This paper analyzes the propagation characteristics of Botnet based on the SIR mode,considers the network traffic congestion and existing immune host in the process of the spread of bots,puts forward a new propagation modeling of Botnet,and conducts simula-tion experiment.The results of the software simulation show that the new Botnet propagation modeling is more accord with Internet network characteristics,and makes for the analysis of the Botnet communication behavior and forecasting the trend of spread.Key words ：network security;Botnet;propagation model;network traffic congestion;immunity摘要：为了让僵尸网络传播模型是更符合Internet 中的僵尸网络的传播特性，基于简单病毒传播模型深入分析僵尸程序的传播特性，考虑了僵尸程序在传播过程中存在的网络流量阻塞、提前免疫主机和感染后免疫主机等因素，提出了一个新的僵尸网络传播模型，并进行了仿真实验。

病毒传播模型

资料仅供参考,不当之处，请联系改正。
蠕虫病毒初期传染模型
假设时间为t．感染蠕虫病毒的数目为m，病毒的增长率为km。当t=0时，有m0个蠕虫病毒。
分离变量后．得到：
两边同时积分得到：结果为：设m0=l，得到结果如图
资料仅供参考,不当之处，请联系改正。
蠕虫病毒中期传染模型
蠕虫病毒增长到一定程度后，增长率会下降．这是因为全球计算机数量有一个限度。随着蠕虫病毒的增长．阻碍增长的作用就会变得越来越大。
出100封有毒邮件．美国中央控制中心于45min内即收到3 800份的感染报告。
资料仅供参考,不当之处，请联系改正。
网络病毒传播特性
网络病毒是利用互联网进行传播的病毒．由于其传播途径的不同．所以其传播速度远远快于早期病毒。
资料仅供参考,不当之处，请联系改正。
网页病毒传染初期模型
网页病毒主要是利用软件或系统操作平台等的安全漏洞．通过执行嵌入在网页HTML超文本标记语言内的Java Applet小应用程序。JavaScript脚本语言程序，ActiveX软件部件网络交互技术支持可自动执行的代码程序。以强行修改用户操作系统的注册表设置及系统实用配置程序．或非法控制系统资源盗取用户文件，或恶意删除硬盘文件、格式化硬盘为行为目标的非法恶意程序。
资料仅供参考,不当之处，请联系改正。
蠕虫病毒后期传染模型
假设y(0)=0.03，n(0)=0.97，l(0)=0，k=l，p=0.4。根据初始状态值，求得结果如图
这种模型也称为阻滞增长模型(Logistic)。
SIS 模型
资料仅供参考,不当之处，请联系改正。
对感染人群进行进一步的细分．被治愈的病人还可以变成健康人群．并且可能再度被感染．而且引入了治愈率、平均传染期和接触数。

基于社交网络的蠕虫动态传播模型

当节点% 存在一条连接节点& 的户节点间的关系 " 出边时 " 则将矩阵中的元素值 0 " 特别地" 矩 % &置! 阵对角线上的元素值全为 "( 矩阵中对称元素 0 % & 与 0& 表示节点% 和节点& 是好友关系 ( % 都为 ! 时 " 0" " - . 0 % & - . " # 0 ?! ! ' % & _ "<

收稿日期修回日期 # " ! ' 1 " ) 1 ! !' # " ! ' 1 " Z 1 ! 0 基金项目国家科技支撑计划课题 ! # # " ! " H * ; + 0 H " ) 通讯地址 ! " " " # $ 北京市朝阳区北京化工大学信息科学与技术学院 $ " " $ ! ! + / 2 2 ; < = = : :< > 8 / > < ? @ A B < /C D : / D :E % : D F / < = < H : / / J : ? . B >; F : @ D A =% : D F / < = < H : / " " " # $" &( W( ; F / A 7 7 G , 7I G< 7 G , 7!
拓扑的 2 ! 蠕虫建模方法" C C ; ? < . .C B :C D ? B / L 7# 但是该模型采用的是无向网络拓扑结构 " 并不符合真实社交网络拓扑的有向性 ( 通过建立网络拓扑采用矩阵迭代运算的存储矩阵 " 程( 本文通过分析真实社交网络的拓扑结构和用构建基于仿真网络拓扑的蠕虫动态户行为特性" 传播模型(下文将在第 # 节中详细介绍蠕虫建模方法" 在第'节中根据仿真实验结果分析四类最后在第Y节对全文进因素对蠕虫传播的影响" 行总结(

病毒传播模型课件

16、业余生活要有意义，不要越轨。2022年3月24日星期四 12时15分5秒00:15:0524 M arch 2022
17、一个人即使已登上顶峰，也仍要自强不息。上午12时15分5秒上午12时15分 00:15:0522.3.24
谢谢大家
可修改
可修改
网页病毒传染初期模型
网页病毒的激发条件是浏览网页．网页的浏览量直接影响病毒传播的速度．网页的浏览量宏观上是随着时间的增
假设时间为t，感染网页病毒的数目为m．病毒的增长率为kt：
两边同时积分．得到：结果为：假设k=10，c=5得到如图结果。
可修改
蠕虫病毒初期传染模型
蠕虫是通过分布式网络来扩散传播特定的信息或错误．进而造成网络服务遭到拒绝并发生死锁。这种 “蠕虫”程序常驻于一台或多台机器中，并有自动重新定位的能力。如果它检测到网络中的某台机器未被占用．它就把自身的一个拷贝发送给那台机器。每个程序段都能把自身的拷贝重新定位于另一台机器中，并且能识别它占用的机器。
可修改
简单模型
被感染的病人人数随着时间成指数增长．但是对被传染人群不进行区分．所以得到的模型有天然缺陷。
可修改
SI 模型
把总人数设定后，把人群区分为：易感人群（Susceptible）已感人群（Infective）
这种模型也称为阻滞增长模型(Logistic)。
可修改
SIS 模型
对感染人群进行进一步的细分．被治愈的病人还可以变成健康人群．并且可能再度被感染．而且引入了治愈率、平均传染期和接触数。
收到高达l 150万封携带Sobig．F的电子邮件。 2004年飞毛腿应该算是MyDoom蠕虫．据美联社报导．悲惨命运病毒可在30s内发

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

Internet网络中的蠕虫病毒扩散传播模型
1 简单传播模型
在简单传播模型（Simple Epidemic Model）中，每台主机保持两种状态：易感染和被感染。

易感个体（Susceptible）是未染病但与已感染的个体接触会被感染的一类；另一类为感染个体（Infective），这类个体已染病且其具有传染性。

假定一台主机一旦被感染就始终保持被感染的状态。

其状态转换关系可表示为：
由此可见这种模型的蠕虫传播速度是由初始感染数量I(0)和主机感染率这两
个参数决定的。

其微分方程表达式为
dI(t)/dt=βI(t)[N-I(t)]
其中I(t)为时刻t 已被感染的主机数；Ｎ为网络中主机总数；β 为时刻t 的感染率。

当t=0 时,I(0)为已感染的主机数，N-I(0)为易感染主机数。

取节点数N=10000000,感染概率因子为β=1/10000000，即K=βN=1,当蠕虫繁殖副本数量I(0)=3 时，仿真结果如图3-2 所示，横坐标为传播时间，纵坐标为整个网络被感染的百分比。

此模型能反映网络蠕虫传播初期的传播行为，但不适应网络蠕虫后期的传播状态。

此外，其模型过于简单，没有体现蠕虫扫描策略和网络特性对蠕虫传播所产生的影响。

2 KM 模型
在Kermack-Mckendrick 传播模型(简称KM 模型)中，主机保持 3 种状态：易感染、被感染和免疫。

用状态转换关系表示为：
对感染节点进行免疫处理，是指把此节点从整个网络中去除。

因为，每当对一台主机进行免疫处理，网络节点总数在原有基础上减1，最终将使得所有被感染的主机数量减少到0,也就是所有的主机最终都将处于免疫状态。

KM 模型的微分方程表达式为：
dJ(t)/dt=βJ(t)[N-J(t)]
dR(t)/dt=γI(t)
J(t) = I(t)+R(t)=N-S(t)
KM 模型将感染主机的免疫状态考虑进去，进一步接近了蠕虫传播的情况。

该模型仍然没有考虑易感染主机和感染主机被补丁升级或人为对抗蠕虫传播的情况另外，把感染率作为常量也是不恰当的。

3 SIR 模型
与KM 模型不同，SIR (Susceptible- hafective- Removed)模型将状态分为易染、己染和移除三个状态。

第三类为康复个体（Recovered），这类个体已康复，不具有传染性而且不会再被感染。

SIR 模型其状态转换关系如下图所示。

SIR 模型在SI 模型的基础上考虑到了某些感染主机可能在一定时间后被移除或者死机的因素。

可用来描述不具有二次感染性的攻击蠕虫，然而对被修复后依然没有修补漏洞，对攻击依然无免疫能力的蠕虫，用此模型则不恰当。

因此，该模型仍然不太适合描述Internet 蠕虫的传播特性，特别是人的防范措施可能不仅仅把感染主机从网络中移除，也可能包括易染主机。

此外，把感染率看作常量也不尽符合快速蠕虫的传播特性。

4 双因素模型（Two-Factor model）
考虑了更多的外界的影响因素和对抗措施：各ISP 节点或用户的对抗措施；蠕虫快速传播导致一些路由器阻塞，从而降低了其传播速度。

即人为的升级系统，启动防火墙，清除主机蠕虫限制其快速传播和蠕虫传播过程中产生的流量影响正常网络访问的同时对自身的传播也起到限制的作用。

上图是其状态转换关系。

其中，R(t)表示时刻t 感染后被免疫的hosts 数，Q(t)表示时刻t 被感染前进行免疫处理的主机数，(t)表示时刻t 易被感染的主机数，I(t)表示具有感染能力的主机数。

双因素模型可以用下面的微分方程组表示：
dR(t)/dt=γI(t) （1）
dQ(t)/dt=μ(t)J(t) （2）
d (t)/dt=-β(t) (t) I(t)- dQ(t)/d（3）
β(t)= β0[1-I(t)/N]η（4）
N=S(t)+ R(t)+I(t)+ Q(t)（5）
其中，γ、μ和β0是常量。

式(2)中是单位时间内从易感染状态变化到免疫状态的主机数目的变化速率，它与感染主机数和易感主机数成正比，体现了人为因素使得易感主机被移出扩散过程。

由于主机的动态移入和死亡，但处于扩散过程中的主机总数是常数，用N 表示，是处于S，I，R，Q 四种状态的主机数之和。

5 W orm-Anti-W orm 模型
该模型考虑网络中存在两类蠕虫，蠕虫 A 为恶意蠕虫，蠕虫 B 为对抗蠕虫。

我们把蠕虫A 的传播分为两个阶段。

在蠕虫B 出现之前，蠕虫 A 的传播行为遵循双因素模型。

当蠕虫B 出现以后，网络中蠕虫 A 的传播分为 4 种情况：蠕虫 B 查杀蠕虫 A 并为感染主机修补漏洞；蠕虫 B 只查杀蠕虫A；蠕虫B 对所有的易感主机修补漏洞；蠕虫 B 对所有的易感主机修补漏洞，并查杀蠕虫A。

在情况 1 下，蠕虫 B 只寻找已感染主机，在情况2 下，蠕虫 B 寻找所有易感主机。

情况 3 基本遵循KM 模型，此时易感主机的免疫速度比没有蠕虫B 时快得多。

情况 4 遵循SIS 模型，情况 4 是对双因素模型对抗措施影响的补充。

以情况1为例来讨论，网络中主机的状态转换图如图3-8 所示。

由攻击性蠕虫A 的传播引起网络中易感染主机数目S(t)变化，从时刻t 到时刻t+Δt 这段时间的改变量为：
d (t)/dt=-β(t) (t) I(t)- dQ(t)/dt （1）
在上式中，对于蠕虫 B 来说，S(t)是t 时刻的所有易感主机，并且网络中主机只存在易感染和感染两种状态。

因此，蠕虫B 的传播行为应遵从SEM 模型，方程式3-5 给出了感染主机的变化。

dR
B(t)/dt =β1RB(t)[ S(t)- RB(t)]（2）
其中，RB(t)是t 时刻蠕虫Ｂ修复的主机数目。

因此其微分方程模型可表达如下：
dR(t)/dt=γI(t)+ dRB(t)/dt
dQ(t)/dt=μ(t)J(t)d (t)/dt=-β(t) (t) I(t)- dQ(t)/dt- dRB(t) /dt （3）
β(t)= β0[1-I(t)/N]η
N=S(t)+ R(t)+I(t)+ Q(t)
dRB(t)/dt =β1RB(t)[ S(t)- RB(t)]
WA W 模型中网络蠕虫的传播趋势。