李漢倫, 任建國

(江蘇師范大學(xué) 計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院,江蘇 徐州 221116)

0 引言

由于存儲和交換數(shù)據(jù)的便利,U盤、移動(dòng)硬盤等USB(universal serial bus)設(shè)備成為除網(wǎng)絡(luò)外,傳播計(jì)算機(jī)病毒的另一種主要載體.移動(dòng)介質(zhì)傳播的USB病毒通過攻擊計(jì)算機(jī),達(dá)到數(shù)據(jù)泄露、機(jī)密竊取、文件篡改等非法目的[1-2].由于好奇心或缺乏安全意識等因素,人們有時(shí)會(huì)使用來路不明的移動(dòng)介質(zhì)[3],這增加了個(gè)人計(jì)算機(jī)和學(xué)校、企業(yè)等公用場所中計(jì)算機(jī)之間的交叉感染風(fēng)險(xiǎn),使得病毒傳播的速度更快、范圍更廣[4].

目前,研究人員通過建立數(shù)學(xué)模型研究移動(dòng)介質(zhì)對病毒傳播行為的影響,如文獻(xiàn)[5]為了研究良性蠕蟲對惡意蠕蟲的抑制作用,在易感—感染—免疫(susceptible-infected-recovered,SIR)模型[6-8]的基礎(chǔ)上,建立了考慮移動(dòng)介質(zhì)和良性蠕蟲的病毒傳播模型,并重點(diǎn)關(guān)注與移動(dòng)介質(zhì)相關(guān)的參數(shù)對蠕蟲傳播的影響;文獻(xiàn)[9]建立了外部計(jì)算機(jī)和移動(dòng)介質(zhì)兩者同時(shí)影響計(jì)算機(jī)病毒傳播的模型,得出模型僅有一個(gè)病毒平衡點(diǎn),且地方病始終存在的結(jié)論;文獻(xiàn)[10]根據(jù)反病毒軟件的更新狀態(tài),把未感染的計(jì)算機(jī)分為弱保護(hù)狀態(tài)和強(qiáng)保護(hù)狀態(tài),并研究它在移動(dòng)介質(zhì)影響下的傳播規(guī)律,最后總結(jié)出用戶意識對抑制病毒的傳播起到關(guān)鍵作用;文獻(xiàn)[11]通過在易感—感染—損毀(susceptible-infected-damaged,SIP)模型中加入移動(dòng)介質(zhì)的2種狀態(tài),對Stuxnet病毒的傳播進(jìn)行研究,并通過參數(shù)的討論提出控制策略;文獻(xiàn)[12]的模型同時(shí)考慮了網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)和移動(dòng)介質(zhì),在復(fù)雜網(wǎng)絡(luò)環(huán)境下建立了更接近實(shí)際的病毒傳播模型,結(jié)論指出,移動(dòng)介質(zhì)對病毒的傳播行為具有重要影響;文獻(xiàn)[13-14]在考慮網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的同時(shí),建立了利用蜜罐對抗計(jì)算機(jī)病毒的倉室模型.用移動(dòng)介質(zhì)作為媒介進(jìn)行病毒傳播的研究雖然取得了一定進(jìn)展,但在模型適用范圍的討論上還存在一定不足:一是忽略USB病毒與一般網(wǎng)絡(luò)病毒在傳播方式上的不同[15];二是未考慮系統(tǒng)中不同類型的主機(jī)與移動(dòng)介質(zhì)接觸頻率不同,主機(jī)被感染的概率也是不同的;三是移動(dòng)介質(zhì)從感染狀態(tài)到易感狀態(tài)的轉(zhuǎn)化過于簡單,不能反映使用者主觀行為、反病毒策略和硬件環(huán)境與它之間的關(guān)系.

針對上述研究不足,受文獻(xiàn)[13-14]在模型中引入蜜罐節(jié)點(diǎn)對抗病毒的啟發(fā),結(jié)合文獻(xiàn)[15]提出的鏡像蜜罐技術(shù),建立同時(shí)考慮鏡像蜜罐和網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的病毒傳播模型.鏡像蜜罐解決了現(xiàn)有網(wǎng)絡(luò)檢測方法對USB病毒無效的問題,本文的模型把鏡像蜜罐作為獨(dú)立倉室,為研究抑制USB病毒傳播提供了參考依據(jù).

1 模型構(gòu)建

模型的建立需要考慮移動(dòng)存儲介質(zhì)病毒的傳播方式、鏡像蜜罐的反病毒原理、移動(dòng)介質(zhì)使用者的行為習(xí)慣和網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu).先根據(jù)與移動(dòng)介質(zhì)接觸頻率的不同,將網(wǎng)絡(luò)中的計(jì)算機(jī)節(jié)點(diǎn)分為個(gè)體節(jié)點(diǎn)和公用節(jié)點(diǎn).個(gè)體節(jié)點(diǎn)通常是網(wǎng)絡(luò)中的個(gè)人計(jì)算機(jī),此類節(jié)點(diǎn)與移動(dòng)介質(zhì)的接觸頻率較小并且在統(tǒng)一管理和部署鏡像蜜罐上存在一定困難,而公用節(jié)點(diǎn)多存在于學(xué)校的打印室、多媒體教室、圖書館和機(jī)房等公共場所,這類節(jié)點(diǎn)通常存在多個(gè)USB接口,與不同移動(dòng)介質(zhì)的接觸頻率遠(yuǎn)大于個(gè)體節(jié)點(diǎn),并且易由技術(shù)人員進(jìn)行集中管理.當(dāng)公用節(jié)點(diǎn)被感染了USB病毒的移動(dòng)介質(zhì)感染后,鏡像蜜罐隨即捕獲到病毒樣本并將它保存在鏡像文件中,同時(shí)將計(jì)算機(jī)中的病毒清除,防止進(jìn)一步感染其他移動(dòng)介質(zhì).鏡像文件中存有病毒樣本的公用節(jié)點(diǎn)稱為捕獲節(jié)點(diǎn).與網(wǎng)絡(luò)蜜罐類似,鏡像蜜罐捕獲到病毒樣本后通過發(fā)布免疫信息使個(gè)體進(jìn)入免疫狀態(tài)[13].免疫信息的反饋需個(gè)體節(jié)點(diǎn)和公用節(jié)點(diǎn)之間進(jìn)行直接的數(shù)據(jù)通信來完成,而節(jié)點(diǎn)之間的均勻接觸不足以反映實(shí)際網(wǎng)絡(luò)的通信情況,因此,利用平均場理論建立考慮度分布非均勻的USB病毒傳播模型.

通過以上分析,對模型作以下關(guān)鍵假設(shè):

1)由個(gè)體節(jié)點(diǎn)和公用節(jié)點(diǎn)組成的網(wǎng)絡(luò)為非均勻網(wǎng)絡(luò),且節(jié)點(diǎn)之間的連接不具有度相關(guān)性,度分布服從冪指數(shù)為σ的冪律分布p(k)～k-σ,p(k)表示在網(wǎng)絡(luò)中隨機(jī)選取的節(jié)點(diǎn)度為k的概率.令Δ表示節(jié)點(diǎn)度的最大值,個(gè)體節(jié)點(diǎn)和公用節(jié)點(diǎn)的平均度為

易感或感染個(gè)體節(jié)點(diǎn)的一條邊連接到捕獲節(jié)點(diǎn)的概率為

2)個(gè)體節(jié)點(diǎn)均未部署鏡像蜜罐,根據(jù)狀態(tài)的不同,分為3類節(jié)點(diǎn):易感節(jié)點(diǎn)、感染節(jié)點(diǎn)、免疫節(jié)點(diǎn).

3)公用節(jié)點(diǎn)均部署了鏡像蜜罐,根據(jù)狀態(tài)的不同,分為2類節(jié)點(diǎn):易感節(jié)點(diǎn)和捕獲節(jié)點(diǎn).

4)移動(dòng)介質(zhì)根據(jù)狀態(tài)的不同分為2類節(jié)點(diǎn):易感節(jié)點(diǎn)和感染節(jié)點(diǎn).USB病毒僅通過移動(dòng)介質(zhì)在個(gè)體節(jié)點(diǎn)之間傳播,傳播模式為“移動(dòng)介質(zhì)—計(jì)算機(jī)—移動(dòng)介質(zhì)”.

5)公用節(jié)點(diǎn)被移動(dòng)介質(zhì)感染后,鏡像蜜罐必定能捕獲到病毒樣本,且捕獲后鏡像蜜罐立即清除病毒,避免進(jìn)一步感染其他移動(dòng)介質(zhì).

模型中變量和參數(shù)的定義如表1所示.

節(jié)點(diǎn)、移動(dòng)介質(zhì)的狀態(tài)(用節(jié)點(diǎn)、移動(dòng)介質(zhì)的密度表示,下同)轉(zhuǎn)化關(guān)系如下:

Sm→Im,易感移動(dòng)介質(zhì)與感染個(gè)體節(jié)點(diǎn)接觸,被病毒感染.

Im→Sm,感染移動(dòng)介質(zhì)與公用節(jié)點(diǎn)接觸,病毒被鏡像蜜罐識別,采取某種殺毒措施將移動(dòng)介質(zhì)中的病毒清除.由于移動(dòng)介質(zhì)不具有免疫能力,因此,病毒被清除后仍處于易感狀態(tài).

模型各個(gè)狀態(tài)之間的轉(zhuǎn)化示意圖見圖1.

圖中的圓框表示節(jié)點(diǎn)所處的狀態(tài),箭頭線表示節(jié)點(diǎn)狀態(tài)的轉(zhuǎn)化方向,箭頭線上的符號表示狀態(tài)轉(zhuǎn)換參數(shù).圖1 模型的狀態(tài)轉(zhuǎn)化示意圖Fig.1 State transition diagram of model

模型的微分動(dòng)力學(xué)方程[13]如下:

(1)

1.1 模型動(dòng)力學(xué)分析

Nm(t)=Sm(t)+Im(t),

對系統(tǒng)(1)進(jìn)行化簡,可以得到如下子系統(tǒng):

(2)

系統(tǒng)(2)的可行域?yàn)?/p>

該集合為系統(tǒng)(2)的正不變集.

由平衡點(diǎn)存在的條件,得到系統(tǒng)(2)唯一的無病平衡點(diǎn)

有

由此得到(2Δ+1)×(2Δ+1)階的再生矩陣

通過計(jì)算FV-1的最大特征值,得到其譜半徑ρ(FV-1)的數(shù)學(xué)表達(dá)式,因此,系統(tǒng)(2)的基本再生數(shù)

在流行病學(xué)中,基本再生數(shù)是決定病毒是否流行的傳播閾值,本文所討論的模型中,它表示單個(gè)的感染個(gè)體節(jié)點(diǎn)和感染移動(dòng)介質(zhì)在移出感染狀態(tài)之前所能感染的易感個(gè)體節(jié)點(diǎn)和易感移動(dòng)介質(zhì)的數(shù)量.當(dāng)R0<1時(shí),被感染節(jié)點(diǎn)(包括系統(tǒng)(2)中被感染的個(gè)體節(jié)點(diǎn)、捕獲節(jié)點(diǎn)和被感染的移動(dòng)介質(zhì))的數(shù)量逐漸趨于0,即病毒最終會(huì)從計(jì)算機(jī)和移動(dòng)介質(zhì)中消失;當(dāng)R0>1時(shí),被感染節(jié)點(diǎn)的數(shù)量逐漸趨于正的常量,即病毒會(huì)始終存在于計(jì)算機(jī)和移動(dòng)介質(zhì)中.由于病毒不直接通過網(wǎng)絡(luò)在計(jì)算機(jī)之間進(jìn)行傳播,病毒流行與否不受網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的直接影響,因此,在預(yù)測病毒的爆發(fā)和制定應(yīng)對措施時(shí)應(yīng)重點(diǎn)關(guān)注模型中2類感染率(從移動(dòng)介質(zhì)到計(jì)算機(jī)的感染率和從計(jì)算機(jī)到移動(dòng)介質(zhì)的感染率)和移動(dòng)介質(zhì)上的病毒清除率.除USB病毒本身的特性外,感染率β1還和移動(dòng)介質(zhì)使用者對陌生移動(dòng)介質(zhì)的使用率有關(guān),β2則與移動(dòng)介質(zhì)使用者的使用范圍有關(guān).

1.2 平衡點(diǎn)的穩(wěn)定性

定理1當(dāng)R0<1時(shí),系統(tǒng)(2)的無病平衡點(diǎn)E0在Ω上局部漸近穩(wěn)定;R0>1時(shí)不穩(wěn)定.

證系統(tǒng)(2)在無病平衡點(diǎn)E0處的Jacobian矩陣為

(3)

其中

L1=diag(-μ1,…,-μ1),

L2=diag(-μ2,…,-μ2),

矩陣(3)的特征多項(xiàng)式為

該式有2Δ重具有負(fù)實(shí)部的特征根-μ1,Δ重具有負(fù)實(shí)部的特征根-μ2和特征根

其中

2 仿真分析

為驗(yàn)證系統(tǒng)的理論分析結(jié)果和更好地觀察病毒的傳播規(guī)律,我們在Intel Core i3-10110U CPU、主頻2.1 GHz、內(nèi)存4 GB,Windows 10操作系統(tǒng)環(huán)境下,采用MATLAB R2020a平臺進(jìn)行仿真實(shí)驗(yàn),并假定系統(tǒng)所有參數(shù)的取值為正的常量.實(shí)驗(yàn)重點(diǎn)關(guān)注個(gè)體節(jié)點(diǎn)和移動(dòng)介質(zhì)在各參數(shù)影響下的感染情況,其中涉及的參數(shù)取值情況見表2.

易知,在服從冪指數(shù)為2.4、網(wǎng)絡(luò)最大度為20的冪律分布網(wǎng)絡(luò)中,經(jīng)計(jì)算,由個(gè)體節(jié)點(diǎn)和公用節(jié)點(diǎn)所組成的網(wǎng)絡(luò)平均度為2.36.此外,為了便于觀察網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)對不同度值的個(gè)體節(jié)點(diǎn)密度隨時(shí)間演變的影響,假設(shè)系統(tǒng)不同度值的公用節(jié)點(diǎn)和個(gè)體節(jié)點(diǎn)的初始值均相同.

表2 實(shí)驗(yàn)的參數(shù)設(shè)置Tab.2 Setting of experimental parameters

首先,研究個(gè)體感染節(jié)點(diǎn)、捕獲節(jié)點(diǎn)和感染移動(dòng)介質(zhì)的密度隨時(shí)間的整體演變趨勢.當(dāng)系統(tǒng)各參數(shù)取表2所示的值時(shí),傳播閾值R0=0.57<1,因此,只要經(jīng)過足夠長的時(shí)間,病毒將從個(gè)體節(jié)點(diǎn)和移動(dòng)介質(zhì)中徹底消失,圖2a驗(yàn)證了這一點(diǎn).此外,由R0表達(dá)式知,病毒最終是否會(huì)消失不受移動(dòng)介質(zhì)更換率的影響.接著,取γ=0.01,其他參數(shù)同表2,此時(shí)R0=1.38>1,病毒將持續(xù)存在于個(gè)體節(jié)點(diǎn)和移動(dòng)介質(zhì)中,由圖2b可以看出,在大幅降低移動(dòng)介質(zhì)上的病毒清除率后,感染個(gè)體節(jié)點(diǎn)和感染移動(dòng)介質(zhì)密度在短暫增加后仍出現(xiàn)大幅減少趨勢,表明此狀況下病毒雖然會(huì)一直存在于個(gè)體節(jié)點(diǎn)和移動(dòng)介質(zhì)中,但短時(shí)間內(nèi)病毒的傳播得到了較好的抑制.為進(jìn)一步研究其他因素對病毒爆發(fā)的影響,在其他參數(shù)與表2一致的情況下,取γ=0.01、μ3=0.02,此時(shí)R0=5.33>1,由圖2c可以看出,感染移動(dòng)介質(zhì)的密度在短暫的下降后又迅速提高并穩(wěn)定在某個(gè)值上,原因是系統(tǒng)前期只有少量的感染個(gè)體節(jié)點(diǎn),此時(shí)感染移動(dòng)介質(zhì)的減少速度大于被感染個(gè)體節(jié)點(diǎn)新感染的移動(dòng)介質(zhì)的增加速度,但隨著感染個(gè)體節(jié)點(diǎn)密度的不斷提高,被新感染的移動(dòng)介質(zhì)的增加速度超過了減少速度,因此感染移動(dòng)介質(zhì)的密度出現(xiàn)上升趨勢.

為研究β1和β32類感染率對感染個(gè)體節(jié)點(diǎn)密度變化影響的異同,將β1和β3分別取一組相同的值,其他參數(shù)取值同表2.從圖3可以看出,2類感染率在取值相同的情況下,感染個(gè)體節(jié)點(diǎn)的變化趨勢是有差別的.圖3a、b中不同感染率取值下的感染個(gè)體節(jié)點(diǎn)密度幾乎均在t=4.57 h時(shí)達(dá)到峰值;不同的是,β1取不同數(shù)值時(shí),感染個(gè)體節(jié)點(diǎn)的密度幾乎在同一時(shí)刻達(dá)到不同的峰值(圖3a),而β3取不同數(shù)值時(shí),感染個(gè)體節(jié)點(diǎn)密度幾乎在同一時(shí)刻達(dá)到非常接近的峰值(圖3b).

圖3 2類感染率下感染節(jié)點(diǎn)密度隨時(shí)間的演變Fig.3 Evolution of infection node density with time under two different infection rates

圖4中,μ3=0.02,其他參數(shù)取值同表2.圖像顯示了在移動(dòng)介質(zhì)的更換率和病毒清除率同時(shí)取相對較小值的情況下,通過提高病毒清除率后的感染個(gè)體節(jié)點(diǎn)和感染移動(dòng)介質(zhì)密度變化曲線.t相同時(shí),Ip(t)、Cn(t)越大,對應(yīng)的γ越小,即越是上面的曲線對應(yīng)的γ取值越小.因此,通過提高移動(dòng)介質(zhì)的病毒清除率,病毒在移動(dòng)介質(zhì)中的傳播得到了明顯的抑制,同時(shí)間接減少了個(gè)體節(jié)點(diǎn)的感染規(guī)模,即通過技術(shù)手段提高移動(dòng)介質(zhì)的病毒清除率以及提高使用者對移動(dòng)介質(zhì)的殺毒意識可以充分發(fā)揮鏡像蜜罐的作用,從而對病毒的傳播起到更好的控制效果[17].圖5中,μ3=0.02、γ=0.01,其他參數(shù)取值同表2.圖像顯示了不同的反饋率對病毒抑制的效果,越是居上的曲線對應(yīng)的η值越大.與圖4相同之處在于通過提高反饋率同樣可以減少感染的個(gè)體節(jié)點(diǎn)和移動(dòng)介質(zhì),不同的是,與圖4b相比,在不同反饋率的作用下,圖5的感染移動(dòng)介質(zhì)密度幾乎以相同的速度下降到極為接近的最小值,然后才以不同的速度迅速遞增,因此,在相同條件下,病毒清除率的提高對抑制病毒傳播的效果更為明顯.

圖6中,γ=0.01、μ3=0.02,其他參數(shù)取值同表2.圖像顯示了網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)對鏡像蜜罐反饋免疫信息效用的影響,可以看出,圖6a中越是上面的曲線對應(yīng)的度值越小,圖6b中越是上面的曲線對應(yīng)的冪指數(shù)越大,因此,度大的個(gè)體節(jié)點(diǎn)比度小的更易接收到免疫信息,而網(wǎng)絡(luò)的冪指數(shù)越小,被感染的個(gè)體節(jié)點(diǎn)就越少.由于反饋率η并不影響基本再生數(shù)的值,而節(jié)點(diǎn)度值和冪指數(shù)的改變僅能影響免疫信息的反饋效果,因此,在該模型中病毒的傳播行為受網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的影響較小.

圖4 不同病毒清除率γ下感染節(jié)點(diǎn)密度隨時(shí)間的演變Fig.4 Evolution of infected node densitiy with time under different virus clearance γ

圖5 不同反饋率η下感染節(jié)點(diǎn)密度隨時(shí)間的演變Fig.5 Evolution of infected node density with time under different feedback rates η

圖6 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)對感染個(gè)體節(jié)點(diǎn)密度演變的影響Fig.6 Influence of network topology on evolution of infected individual node density

3 結(jié)論

由于缺乏統(tǒng)一和有效的管理及防御措施,目前對僅通過移動(dòng)介質(zhì)進(jìn)行傳播的USB病毒的相關(guān)研究較少,并缺少相應(yīng)的數(shù)學(xué)模型和仿真實(shí)驗(yàn)可供參考.從移動(dòng)介質(zhì)使用者行為習(xí)慣角度出發(fā),構(gòu)建一類防御此類病毒的新穎模型,通過模型的動(dòng)力學(xué)分析并對影響USB病毒傳播行為的幾個(gè)重要參數(shù)進(jìn)行仿真,得到如下具有現(xiàn)實(shí)意義的結(jié)論:

1)當(dāng)感染率一定時(shí),移動(dòng)介質(zhì)的更換率和病毒清除率同時(shí)較低時(shí),系統(tǒng)的感染情況最為嚴(yán)重,此時(shí)鏡像蜜罐難以發(fā)揮作用.通過提高使用者清除病毒的主動(dòng)性和科學(xué)性,避免感染了病毒的移動(dòng)介質(zhì)長期且大范圍地在個(gè)體節(jié)點(diǎn)之間使用.

2)從移動(dòng)介質(zhì)到個(gè)體節(jié)點(diǎn)的感染率和從個(gè)體節(jié)點(diǎn)到移動(dòng)介質(zhì)的感染率對病毒傳播行為的影響是不同的,感染個(gè)體節(jié)點(diǎn)的密度受前者的取值變化影響較大,通過限制或減少對陌生移動(dòng)介質(zhì)的使用可以減小其值.

3)USB病毒的傳播行為受網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的影響較小,受USB病毒傳播特性和移動(dòng)介質(zhì)使用者的主觀行為影響較大.