Internet网络中的蠕虫病毒扩散传播模型

Internet网络中的蠕虫病毒扩散传播模型

1 简单传播模型

在简单传播模型（Simple Epidemic Model）中，每台主机保持两种状态：易感染和被感染。易感个体（Susceptible）是未染病但与已感染的个体接触会被感染的一类；另一类为感染个体（Infective），这类个体已染病且其具有传染性。假定一台主机一旦被感染就始终保持被感染的状态。其状态转换关系可表示为：

由此可见这种模型的蠕虫传播速度是由初始感染数量I(0)和主机感染率这两

个参数决定的。其微分方程表达式为

dI(t)/dt=βI(t)[N-I(t)]

其中I(t)为时刻t 已被感染的主机数；Ｎ为网络中主机总数；β 为时刻t 的感染率。当t=0 时,I(0)为已感染的主机数，N-I(0)为易感染主机数。

取节点数N=10000000,感染概率因子为β=1/10000000，即K=βN=1,当蠕虫繁殖副本数量I(0)=3 时，仿真结果如图3-2 所示，横坐标为传播时间，纵坐标为整个网络被感染的百分比。

此模型能反映网络蠕虫传播初期的传播行为，但不适应网络蠕虫后期的传播状态。此外，其模型过于简单，没有体现蠕虫扫描策略和网络特性对蠕虫传播所产生的影响。

2 KM 模型

在Kermack-Mckendrick 传播模型(简称KM 模型)中，主机保持 3 种状态：易感染、被感染和免疫。用状态转换关系表示为：

对感染节点进行免疫处理，是指把此节点从整个网络中去除。因为，每当对一台主机进行免疫处理，网络节点总数在原有基础上减1，最终将使得所有被感染的主机数量减少到0,也就是所有的主机最终都将处于免疫状态。KM 模型的微分方程表达式为：

dJ(t)/dt=βJ(t)[N-J(t)]

dR(t)/dt=γI(t)

J(t) = I(t)+R(t)=N-S(t)

KM 模型将感染主机的免疫状态考虑进去，进一步接近了蠕虫传播的情况。该模型仍然没有考虑易感染主机和感染主机被补丁升级或人为对抗蠕虫传播的情况另外，把感染率作为常量也是不恰当的。

3 SIR 模型

与KM 模型不同，SIR (Susceptible- hafective- Removed)模型将状态分为易染、己染和移除三个状态。第三类为康复个体（Recovered），这类个体已康复，不具有传染性而且不会再被感染。SIR 模型其状态转换关系如下图所示。

SIR 模型在SI 模型的基础上考虑到了某些感染主机可能在一定时间后被移除或者死机的因素。可用来描述不具有二次感染性的攻击蠕虫，然而对被修复后依然没有修补漏洞，对攻击依然无免疫能力的蠕虫，用此模型则不恰当。

因此，该模型仍然不太适合描述Internet 蠕虫的传播特性，特别是人的防范措施可能不仅仅把感染主机从网络中移除，也可能包括易染主机。此外，把感染率看作常量也不尽符合快速蠕虫的传播特性。

4 双因素模型（Two-Factor model）

考虑了更多的外界的影响因素和对抗措施：各ISP 节点或用户的对抗措施；蠕虫快速传播导致一些路由器阻塞，从而降低了其传播速度。即人为的升级系统，启动防火墙，清除主机蠕虫限制其快速传播和蠕虫传播过程中产生的流量影响正常网络访问的同时对自身的传播也起到限制的作用。

上图是其状态转换关系。其中，R(t)表示时刻t 感染后被免疫的hosts 数，Q(t)表示时刻t 被感染前进行免疫处理的主机数，(t)表示时刻t 易被感染的主机数，I(t)表示具有感染能力的主机数。

双因素模型可以用下面的微分方程组表示：

dR(t)/dt=γI(t) （1）

dQ(t)/dt=μ(t)J(t) （2）

d (t)/dt=-β(t) (t) I(t)- dQ(t)/d（3）

β(t)= β0[1-I(t)/N]η（4）

N=S(t)+ R(t)+I(t)+ Q(t)（5）

其中，γ、μ和β0是常量。式(2)中是单位时间内从易感染状态变化到免疫状态的主机数目的变化速率，它与感染主机数和易感主机数成正比，体现了人为因素使得易感主机被移出扩散过程。由于主机的动态移入和死亡，但处于扩散过程中的主机总数是常数，用N 表示，是处于S，I，R，Q 四种状态的主机数之和。

5 W orm-Anti-W orm 模型

该模型考虑网络中存在两类蠕虫，蠕虫 A 为恶意蠕虫，蠕虫 B 为对抗蠕虫。我们把蠕虫A 的传播分为两个阶段。在蠕虫B 出现之前，蠕虫 A 的传播行为遵循双因素模型。当蠕虫B 出现以后，网络中蠕虫 A 的传播分为 4 种情况：蠕虫 B 查杀蠕虫 A 并为感染主机修补漏洞；蠕虫 B 只查杀蠕虫A；蠕虫B 对所有的易感主机修补漏洞；蠕虫 B 对所有的易感主机修补漏洞，并查杀蠕虫A。

在情况 1 下，蠕虫 B 只寻找已感染主机，在情况2 下，蠕虫 B 寻找所有易感主机。情况 3 基本遵循KM 模型，此时易感主机的免疫速度比没有蠕虫B 时快得多。情况 4 遵循SIS 模型，情况 4 是对双因素模型对抗措施影响的补充。以情况1为例来讨论，网络中主机的状态转换图如图3-8 所示。

由攻击性蠕虫A 的传播引起网络中易感染主机数目S(t)变化，从时刻t 到时刻t+Δt 这段时间的改变量为：

d (t)/dt=-β(t) (t) I(t)- dQ(t)/dt （1）

在上式中，对于蠕虫 B 来说，S(t)是t 时刻的所有易感主机，并且网络中主机只存在易感染和感染两种状态。因此，蠕虫B 的传播行为应遵从SEM 模型，方程式3-5 给出了感染主机的变化。dR

B(t)/dt =β1RB(t)[ S(t)- RB(t)]（2）

其中，RB(t)是t 时刻蠕虫Ｂ修复的主机数目。因此其微分方程模型可表达如下：

dR(t)/dt=γI(t)+ dRB(t)/dt

dQ(t)/dt=μ(t)J(t)d (t)/dt=-β(t) (t) I(t)- dQ(t)/dt- dRB(t) /dt （3）

β(t)= β0[1-I(t)/N]η

N=S(t)+ R(t)+I(t)+ Q(t)

dRB(t)/dt =β1RB(t)[ S(t)- RB(t)]

WA W 模型中网络蠕虫的传播趋势