基于博弈理论的计算机病毒传播模型

基于博弈理论的计算机病毒传播模型

金 聪，谈华永谈华永，，王晓燕

(华中师范大学计算机科学系，武汉 430079)

摘 要：已有的计算机病毒传播模型主要采用基于流行病学原理的SIR/SDIR 模型。该类模型仅从计算机节点连接率考虑问题，不能准确、量化地反映病毒传播给用户带来的损失。为此，提出基于博弈理论的计算机病毒传播模型，通过分析正常用户和潜在攻击方之间的博弈，给出博弈双方期望收益的表达式。实验结果表明，该传播模型能够较好地模拟计算机病毒的传播趋势。 关键词关键词：：计算机病毒；博弈理论；决策树；传播模型

Computer Virus Propagation Model Based on Game Theory

JIN Cong, TAN Hua-yong, W ANG Xiao-yan

(Department of Computer Science, Central China Normal University, Wuhan 430079, China)

【Abstract 】The existing computer virus propagation models are mainly SIR/SDIR models based on epidemiology. These models are considered by the viewpoint of computer nodes connection and can not accurately quantify the loss aroused by virus propagation. The proposed model, which analyzes game between regular users and potential attackers, gives formulas of the expected cost of normal users and the expected profit of potential attackers. Simulation results show that the model can better simulate the propagation trend of computer virus. 【Key words 】computer virus; game theory; decision tree; propagation model DOI: 10.3969/j.issn.1000-3428.2011.09.053

计 算 机 工 程 Computer Engineering 第37卷 第9期 V ol.37 No.9 2011年5月

May 2011

·安全技术安全技术·· 文章编号文章编号：：1000—3428(2011)09—0155—02 文献标识码文献标识码：：A

中图分类号中图分类号：：TP309

1 概述

从计算机病毒的出现到现在，人类就一直在探索计算机

病毒的传播规律，但研究进展缓慢。已有的计算机病毒传播模型主要是受生物学病毒传播模型[1-3]的启发而建立起来的，其成果包括：建立符合实际的病毒传播状态转换过程，分析病毒在不同网络拓扑环境下的传播；定义动态病毒的转换概率，研究病毒传播的临界值；研究病毒与反病毒措施的动态过程，分析各种免疫措施对病毒传播的影响等。

然而，基于生物学病毒传播模型建立的计算机病毒传播模型[4]有其固有的缺陷。因为与生物病毒不同，计算机病毒的传播很大程度上依赖于人为因素的影响，同时是病毒与反病毒技术博弈的过程，已有的病毒传播模型没有很好地考虑人为因素的影响，也没有刻画出博弈的特性[5]。因此，在博弈的框架下建立计算机病毒的传播模型不失为一个新的尝

试。本文将在博弈理论的框架下研究计算机病毒的传播模型。

2 模型描述

为简化分析，设模型的参与者有2类：(1)泛指所有潜在攻击者，记为A 。(2)泛指所有正常用户及管理员，记为B 。由于A 是否感染病毒以及B 是否采取杀毒措施，双方在采取行动前互不知晓，因此属于不完全对称信息动态博弈的范畴。 2.1 博弈的假设

根据不完全信息动态博弈的需求，对参与者作下列假设： 假设1 节点X 的类型有2种：θ1和θ2。其中，θ1表示X 是正常节点；θ2表示X 是带毒节点。正常节点可使B 得到一定的回报，带毒节点可给B 带来一定的损失。

假设2 A 和B 都是理性的，均是风险规避者，在给定条件下，都能做出使自身利益最大的决策。

假设3 由于信息不对称，A 和B 无法观察到X 的类型，开始只能通过技术和经验来推断X 的可能类型，然后做出最

优决策。

假设4 A 首先采取行动；B 可以观察A 的行动，且B 认为A 的行动中包含某些X 的类型信息。A 的行动集合={感染病毒,不感染病毒}={a 1,a 2}；B 的行动集合={杀毒并清除或者删除,不杀毒}={b 1,b 2}。

假设5 B 的约束条件是：当X 是带毒节点的概率大于P *

时，选择行动b 1；否则，选择行动b 2。 2.2 决策树决策树的的建立

决策树的建立方法如图1所示。

156 计 算 机 工 程 2011年5月5日

(2)A 首先采取行动，对节点X 可以选择行动a 1或a 2。 (3)B 观察到A 的行动后，将A 的选择作为已知信息，利用贝叶斯定理修正其对X 的先验概率P b (θi )，根据得到的后验概率P ’b (θi |a i ), i =1,2，重新做出判断并选择自己的行动。

上述博弈过程中第(3)步最为关键。由于假设2和假设4中规定A 和B 都是理性的，因此A 的行动中含有X 的信息。也就是说，由A 做出是否感染节点X 的决策虽然不能使B 确切知道X 的类型，但A 的行动在某种意义上意味着节点X 向B 发出了关于自身类型的信息，该信息能够影响B 的决策，因此，B 会根据A 的行动修正自己对X 所属类型的概率。 2.4 博弈双方成本分析

由上述分析可知，节点X 被感染而未被检测出来的概率为1-α。因此，理想杀毒软件对于常见病毒的检测率为α=1, β=0。

在网络系统中，假设所有节点被感染的概率为ψ。感染病毒成功后A 可获得的收益为a ，而A 被检测出来的代价为b ，并有b -a ≤0。对B 而言，使用杀毒软件后，B 对报警进行检查处理，同时对没有报警的节点进行抽查。设B 检查报警节点的比例为ρ1，对没有报警的节点进行抽查的比例为ρ2。假设每次检查的平均成本为c ，当病毒没被检测出来时，B 的损失为d ；如果检测并且处理了病毒，B 可以减少损失的比例为φ。由文献[6]知B 的检查成本不高于检测所带来的收益，即c ≤dφ。

可将节点是否感染病毒作为A 和B 间的博弈：B 要保护节点不受病毒感染以确保网络系统的安全，而A 要感染节点以进行窃取数据、越权操作等来满足自身的需要。

建立博弈模型的目的是使A 带给B 的损失最小化，并减小B 在维护节点上的投资成本。A 的收益依赖于是否被检查出来以及是否被杀毒，B 的收益依赖于A 感染病毒的程度。

设A 的策略空间为ψ∈[0,1]，B 的策略空间为(ρ1,ρ2)∈[0,1]×[0,1]，则：

12(|)

(1)(1)(|)

(1)(1)(1)

P P αψ

ηαψβψαψ

ηαψβψ=+−−=−+−−被感染报警被感染未报警

P (报警)= β+ψ(α-β)，因而P (未报警)=1-β-ψ(α-β)；P (感染被检测到)=ρ1α+ρ2(1-α)。B 报警的期望成本为：

1111111111(,)(1)(1)(1)Q p p c d d c d ψηρηρϕρηρϕ=+−+−=+−

B 未报警的期望成本为：

2222222222(,)(1)(1)(1)Q c d d c d ρψρηρηρϕρηρϕ =+−+−=+−

其中，ψ(α-β)表示杀毒软件的有效检测率。

至此，可以得到2个数学模型。 模型1 B 的期望总成本：

121122(,,)(())(,)(1())(,)

Q Q Q ρρψβψαβρψβψαβρψ=+−+

−−−

模型2 A 的期望收益：

1212(,,)((1))S a b ρρψψψραρα=−+−

3 仿真实验与分析

实验中，要分析各个变量对Q (ρ1,ρ2,ψ)和S (ρ1,ρ2,ψ)的影响。参数取值如表1所示。

保持其他参数不变，使ψ从0变化到1。实验结果表明，当ψ变大时B 的期望总成本和A 的期望总收益都增加。

当ψ∈[0,0.1]时，随着ψ的增大，Q (ρ1,ρ2,ψ)和S (ρ1,ρ2,ψ)都变大，S 的增长速度明显快于Q 。这表明，在病毒传播初期，B 的期望成本变化不大，容易被忽略，从而导致病毒泛

滥。而当ψ∈[0,1]时，随着病毒的泛滥，B 的成本迅速增加，而A 的期望收益也迅速增加。此时病毒处于大爆发状态。

表1 参数取值和取值范围

参数

参数取值(值域)

节点被感染且被检测出来的概率α 0.5~0.9 节点未被感染但是被检测的概率β 0.08 用户检查报警节点的概率ρ1 0.8 用户对未报警节点检查的概率ρ2

0.2 用户检查并处理了病毒，用户可以减少损失的比例φ 0.5 感染成功后A 可以获得的利益a 5 000 A 感染病毒后被检测出来的代价b 100 每次检查的平均成本c

50 A 染毒成功没被检测出来，用户的损失d 10 000 所有节点被感染的概率为ψ

0.01

将Q (ρ1,ρ2,ψ)和S (ρ1,ρ2,ψ)展开并整理得Q (ρ1,ρ2,ψ)= ψ(c -φd )(ρ1-ρ2)α+βc (1-ψ)(ρ1-ρ2)+ρ2c +dψ，S (ρ1,ρ2,ψ)=αψ-bψ((ρ1- ρ2)α+ρ2))。注意到c d φ≤，当ρ1>ρ2时，Q 和S 都随α的增大而减小，A 的期望收益和B 的期望成本都降低。这表明此时应该提高计算机报警装置的检测率，对警报及时处理可以减少病毒传播带来的损失，控制计算机病毒的泛滥。

将Q (ρ1,ρ2,ψ)变形并整理后，Q (ρ1,ρ2,ψ)=c (1-ψ)(ρ1-ρ2)β+ αψ(c -dφ)(ρ1-ρ2)+ρ2c +dψ。此式表明Q 随β的增大而增大。也就是说，需加强对杀毒软件报警机制的研究，降低报警的检

错率，使β趋于0。此时可降低维护成本，这与实际经验 一致。

由于在实际计算机网络中会把αψ(c -dφ)设置比c (1-ψ)大很多，因此Q 和S 都随ρ1的增大而减小。即对B 而言，随着对报警节点检查率的增加其期望成本在下降，同时A 的期望收益也下降。这表明对报警装置的处理可以极大降低由于病毒泛滥带来的损失，有效打击A 的信心。

4 结束语

本文根据博弈理论建立了新型计算机病毒传播模型。仿真实验表明，该模型能很好地模拟计算机病毒的传播趋势，这对研究和控制计算机病毒有实际意义。然而，计算机病毒传播是一个动态变化的过程，今后的重点是将本模型与经典流行病学模型相结合，使模型在模拟和控制计算机病毒传播方面更准确、更具可操作性。

参考文献

[1] Kephart J O, White S R. Directed Graph Epidemiological Model

of Computer Viruses[C]//Proc. of IEEE Symposium on Security and Privacy. Oakland, California, USA: [s. n.], 1991: 343-359. [2] Pastor S, Romualdo V A. Epidemic Dynamics and Endemic States

in Complex Networks[J]. Physical Review E, 2001, 63(5). [3] Newman M E J. The Structure and Function of Complex Networks[J].

SIAM Review, 2003, 45(2): 167-256.

[4] David J D E, Rohani P, Benjamin M B, et al. A Simple Model for

Complex Dynamical Transitions in Epidemics[J]. Science, 2000, 287(5453): 667-670.

[5] 刘 俊, 金 聪, 邓清华. 无标度网络环境下Email 病毒的传播

模型[J]. 计算机工程, 2009, 35(21): 131-133.

[6] Cavusoglu H, Mishra B, Raghunat H S. The Value of Intrusion

Detection Systems in Information Technology Security Architecture[J]. Information Systems Research, 2005, 16(1): 28-46.

编辑 顾逸斐