基于移动网络的恶意蠕虫传播模型及其控制方法

摘要

本发明提供了一种基于移动网络的恶意蠕虫传播模型，该蠕虫传播模型为:

说明书

技术领域

本发明涉及一种基于移动网络的恶意蠕虫传播模型及其控制方法。

背景技术

随着移动网络的不断完善，移动设备的普及使用，同样，智能手机用户的增加也为移动 应用市场带来了快速的发展。很多移动应用被修改成为可以免费下载的软件。这个背后的 市场也不断的发展。这也导致了蠕虫等恶意代码可以更容易的随着这些免费的移动应用的 传播而传播。尤其实在安卓市场，不需要等级验证就可以注册，就给蠕虫更加直接的传播 机会。移动环境下的蠕虫的传播，特别是移动设备之间跟智能终端上的移动应用之间的蠕 虫传播方法，我们需要相对有价值的模型，才能减少蠕虫爆发所造成的损失，蠕虫安全问 题已经迫在眉睫。

之前很多关于移动手机蠕虫传播的研究都集中在蓝牙蠕虫上，比如Cabir和 CommWarrior,这些蠕虫的传播需要物理地域上的接近才能实现传播。与这一类基于地域接 近才能进行传播的蠕虫，通过互联网络来进行传播的蠕虫具有很高效的传播速度，可以感 染更多的设备，可以造成更大的破坏。移动环境同传统主机一样面临着相同的弱点。

当前主要的蠕虫传播模型有：

SEM模型，该模型中主机只有易感染和感染两种状态，该模型考虑因素少，对蠕虫扩散 后的建模不够精确；经典的SIR等模型，由于其存在局限性，跟当前移动蠕虫传播的模型 相差太远。

比如KM模型是对其进一步的改善，KM考虑了一些感染用户在过一段时间后要么恢复， 要么死亡。但是这个模型依然不适合移动蠕虫传播。首先，在这模型中，假设了感染率和 移除率都是常数，这点对于能够疯狂传播的移动蠕虫病毒是不真实的。而且，即便个体手 机从感染中恢复后，还是有一定概率不对蠕虫具有免疫功能。KM模型也只考虑到感染用户 的移除。事实上，当移动手机感染蠕虫后，可以通过杀毒、打补丁，过滤恶意软件等措施 来移除一些易感染用户或者感染用户。为此，针对当前移动蠕虫的传播，需要采用更符合 实际的情况来建模和分析。

发明内容

有鉴于此，本发明针对当前移动蠕虫的传播，提供一种更符合实际情况且更加精确的 基于移动网络的恶意蠕虫传播模型。

为实现以上目的，本发明采用如下技术方案:一种基于移动网络的恶意蠕虫传播模型， 该蠕虫传播模型为:

$\left(\begin{array}{c}\mathrm{dS}\left(t\right)/\mathrm{dt}=-\theta \left(t\right)S\left(t\right)I\left(t\right)-\mathrm{\omega S}\left(t\right)+\mathrm{\delta R}\left(t\right)+\mathrm{eI}\left(t\right)\\ \mathrm{dI}\left(t\right)/\mathrm{dt}=\theta \left(t\right)S\left(t\right)I\left(t\right)-\gamma \left(t\right)S\left(t\right)-\mathrm{eI}\left(t\right)\\ \mathrm{dR}\left(t\right)/\mathrm{dt}=\gamma \left(t\right)I\left(t\right)+\mathrm{\omega S}\left(t\right)-\mathrm{\delta R}\left(t\right)\\ S\left(t\right)+I\left(t\right)+R\left(t\right)=N\end{array}\right)$其中,

S为易感染的用户群、I为感染的用户群、R为被移除的用户群；

δ为移动手机个体从移除的用户群R回到易感染的用户群S的概率，ω为易感染手机个 体直接被移除的概率，e为感染的用户群I回到易感染的用户群S的概率;θ为易感染的用户 群S的感染概率，γ为感染的用户群I的移除概率；

S(t)为易感染手机用户数量，I(t)为感染手机用户数量，R(t)为移除手机用户数量，N 为网络节点总数,θ(t)表示感染率的时间函数，γ(t)表示移除率的时间函数；

dS(t)/dt表示易感染用户群体的变化率，dI(t)/dt表示感染用户群的变化率;

dR(t)/dt表示移除用户群的变化率。

所述的蠕虫传播模型中,θ(t)＝θ₀[1-I(t)/N]^ε

其中,θ₀是感染率的初值，指数ε是用来调整感染率对于感染手机用户数量I(t)的敏感 程度,当ε＝0时，表明感染率是一个常数；

γ₀是移除率的初值,指数是用来调整移除率对于移除手机用户数量R(t)的敏感程度,当 时，表明移除率是一个常数。

本发明还提供了一种基于移动网络的恶意蠕虫传播模型的控制方法，该控制方法包括如 下步骤:

(一)该蠕虫传播模型为:

$\left(\begin{array}{c}\mathrm{dS}\left(t\right)/\mathrm{dt}=-\theta \left(t\right)S\left(t\right)I\left(t\right)-\mathrm{\omega S}\left(t\right)+\mathrm{\delta R}\left(t\right)+\mathrm{eI}\left(t\right)\\ \mathrm{dI}\left(t\right)/\mathrm{dt}=\theta \left(t\right)S\left(t\right)I\left(t\right)-\gamma \left(t\right)S\left(t\right)-\mathrm{eI}\left(t\right)\\ \mathrm{dR}\left(t\right)/\mathrm{dt}=\gamma \left(t\right)I\left(t\right)+\mathrm{\omega S}\left(t\right)-\mathrm{\delta R}\left(t\right)\\ S\left(t\right)+I\left(t\right)+R\left(t\right)=N\end{array}\right)$

(二)当蠕虫传播不爆发的情况下，相对应的感染率θ跟移除率γ满足：

R'＝(θS)'/γ'，其中，${\left(\mathrm{\theta S}\right)}^{\prime }=\frac{1}{t}{\int }_0^t\theta \left(x\right)S\left(x\right)\mathrm{dx},{\gamma }^{\prime }=\frac{1}{t}{\int }_0^t\gamma \left(x\right)\mathrm{dx};$当R'＜1，在满足步骤

（一）蠕虫传播模型的前提下，使得I(t)＜I(0)成立，则得到公式：

$R^{\prime }={\left(\mathrm{\theta S}\right)}^{\prime }/{\gamma }^{\prime }=\left[\frac{1}{t}{\int }_0^t\theta \left(s\right)S\left(s\right)\mathrm{ds}\right]/\left[\frac{1}{t}{\int }_0^t\gamma \left(s\right)\mathrm{ds}\right]<1$

该公式对于任意的t＞0都有：公式①；

（三）根据蠕虫传播模型定义可知：

dI(t)/dt＝θ(t)S(t)I(t)-γ(t)S(t)-eI(t)

对该式子两边取积分，得到:

$\frac{1}{t}\ln \frac{I\left(t\right)}{I\left(0\right)}=\frac{1}{t}{\int }_0^t\theta \left(s\right)S\left(s\right)\mathrm{ds}-\frac{1}{t}{\int }_0^t\gamma \left(s\right)\mathrm{ds}-\frac{1}{t}{\int }_0^t\mathrm{eds}$公式②；

把公式②与步骤（二）中的公式①做对比，可以得到对于任意t＞0有，从而得到I(t)＜I(0)；

所以得到结论，当R'＜1，在满足蠕虫传播模型的前提下，使得I(t)＜I(0)成立，则 蠕虫不会爆发。

根据本发明的控制方法可以得出三种方式来减小R'。第一种，减小感染率θ；第二种提 高移除率γ；第三种，通过增加概率ω或者减小概率δ或者减小减少易感染手机用户群体S 的数量。

本发明的有益效果:针对移动蠕虫的传播，定义感染率和移除率都是时间T的函数,采 用更符合实际的情况来建模和分析,同时考虑了当移动手机感染蠕虫后，可以通过杀毒、打 补丁，过滤恶意软件等措施来移除一些易感染用户或者感染用户,该模型准确的描述恶意蠕 虫传播趋势及对蠕虫传播的控制方法。

附图说明

下面结合附图和具体实施方式对本发明作进一步详细的说明：

图1是本发明移动网络环境下蠕虫的在无线设备之间传播的流程图；

图2是本发明移动网络环境下蠕虫传播模型的工作原理图。

具体实施方式

本发明提出的模型是基于KM演化而来的。该模型中假设在一个流行感染病中，一些感 染的个体要么恢复，要么死亡；当一个个体从感染中恢复之后，它就对该病毒具有永久免疫 的特性。这些免疫的个体和死亡的个体一样，最后都是被归到要被移除的一类中。所以定义 该模型中个体总是处于三种状态：易感染的用户群S、感染的用户群I、被移除的用户群R。

针对移动蠕虫的传播，采用更符合实际的情况来建模和分析。

步骤1：如图1所示，当蠕虫在移动环境中传播的时候，定义的环境是从移动节点设备 开始传播。

比如刚开始一台无线路由感染了蠕虫，它通过与相近的其他无线路由传递消息的方式来 感染其他设备。把无线AP看成一个节点，当节点处在这个范围内， access point之间会交互信息，通常网络中，这样的交互信息一般都会自动发送。这样， 一些恶意的蠕虫代码就可能被编入这些交互信息中，用来探测和感染新的邻居。我们把这过 程看作一个消息的传递，这消息中带有恶意蠕虫代码。消息的传播不单单通过广播的形式， 也通过一些无线协议来传递，比如一些路由更新包，TCP、UDP连接协议。

步骤2：当移动智能设备接入这个已经被感染的移动环境中，就有概率被感染上蠕虫。 移动智能设备上蠕虫的传播就没有空间上的限制，可以通过连接网络来进行更大范围的传播。 通过获取手机通讯录，移动应用捆绑等方式，盗取信息或者破坏系统，占用手机资源等。以 下列举一些传播方式。

A.移动应用蠕虫的传播，在智能手机通过某种方式被蠕虫感染后，它可能通过相同的方式 再去感染其他智能手机，也可以重新寻找新的方式，多路径传播。

B.感染蠕虫的手机，有可能通过新的杀毒方式，格机等方式将蠕虫移除，变成对该蠕虫具 有一定免疫能力的个体或者更加脆弱的个体。

C.移动蠕虫传播的范围没有限制，根据可到达或者app所在的手机中的用户关联信息进行 传播。

D.现在的木马、病毒等都可能嵌入到蠕虫中进行传播，扩大了其危害性。

如图2所示，本发明在考虑移动应用蠕虫传播的时候，以传统的KM模型进行参考。移 动网络环境中，当蠕虫爆发，移动手机普遍感染蠕虫时，用户和网络运营商就会采取一些必 要的措施来减少损失和控制蠕虫的传播。比如对可能存在的问题的应用进行打补丁、更新病 毒库或者硬软件检测等等。感染率就降低；当该蠕虫的变种产生，采取新的方式进行感染时， 感染率就变高。所以，定义移除率是一个变量。

每个移动手机用户对于手机的的安全防护意识也是不同的，即便蠕虫曾经被从这台手机 上移除了，但不能保证该手机就不会再次被蠕虫感染。所以，定义被移除的手机中也有一部 分会再次被划分到易感染手机群体中。根据移动应用的热度，判断他对应的感染率跟移除率， 首先都是时间的函数。当移动应用用的人多，其对应的感染率也相应高，当蠕虫爆发的时候， 采取的处理措施的时间也相应的短。所以定义感染率和移除率都是时间T的函数，分别为 θ(t)和γ(t)。

考虑到一部分被移除的手机个体可能由于用户的粗心大意而从新回到感染循环中。定 义δ为移动手机个体从移除的用户群R回到易感染的用户群S的概率，ω为易感染手机个体 直接被移除的概率，e为感染的用户群I回到易感染的用户群S的概率;根据以上设定和KM 模型得到的规则。

因此，对于易感染用户群体，得到其变化率为：

dS(t)/dt＝-θ(t)S(t)I(t)-ωS(t)+δR(t)+eI(t)

同样的，得到感染用户群和移除用户群的变化率：

dI(t)/dt＝θ(t)S(t)I(t)-γ(t)S(t)-eI(t)

dR(t)/dt＝γ(t)I(t)+ωS(t)-δR(t)

得到模型公式如下：

$\left(\begin{array}{c}\mathrm{dS}\left(t\right)/\mathrm{dt}=-\theta \left(t\right)S\left(t\right)I\left(t\right)-\mathrm{\omega S}\left(t\right)+\mathrm{\delta R}\left(t\right)+\mathrm{eI}\left(t\right)\\ \mathrm{dI}\left(t\right)/\mathrm{dt}=\theta \left(t\right)S\left(t\right)I\left(t\right)-\gamma \left(t\right)S\left(t\right)-\mathrm{eI}\left(t\right)\\ \mathrm{dR}\left(t\right)/\mathrm{dt}=\gamma \left(t\right)I\left(t\right)+\mathrm{\omega S}\left(t\right)-\mathrm{\delta R}\left(t\right)\\ S\left(t\right)+I\left(t\right)+R\left(t\right)=N\end{array}\right)$

模型中，定义感染率和移除率满足下面的时间函数：

θ(t)＝θ₀[1-I(t)/N]^ε

θ₀是感染率的初值，γ₀是移除率的初值.指数ε是用来调整感染率对于感染手机用户 数量I(t)的敏感程度。同样的，指数是用来调整移除率对于移除手机用户数量R(t)的敏感 程度。当ε＝0时，表明感染率是一个常数；当时，表明移除率是一个常数。

当蠕虫在移动设备之间传播，采用覆盖区域的方式，对无线节点设备覆盖到的区域中 存在的移动设备采用可变的感染率进行感染。

本发明还提出了一种针对移动应用相关联的参数，采取模型方式进行传播。其具有快 速性和覆盖范围大的特点。

一种基于移动网络的恶意蠕虫传播模型的控制方法，该控制方法包括如下步骤:

(一)该蠕虫传播模型为:

$\left(\begin{array}{c}\mathrm{dS}\left(t\right)/\mathrm{dt}=-\theta \left(t\right)S\left(t\right)I\left(t\right)-\mathrm{\omega S}\left(t\right)+\mathrm{\delta R}\left(t\right)+\mathrm{eI}\left(t\right)\\ \mathrm{dI}\left(t\right)/\mathrm{dt}=\theta \left(t\right)S\left(t\right)I\left(t\right)-\gamma \left(t\right)S\left(t\right)-\mathrm{eI}\left(t\right)\\ \mathrm{dR}\left(t\right)/\mathrm{dt}=\gamma \left(t\right)I\left(t\right)+\mathrm{\omega S}\left(t\right)-\mathrm{\delta R}\left(t\right)\\ S\left(t\right)+I\left(t\right)+R\left(t\right)=N\end{array}\right)$

(二)当蠕虫传播不爆发的情况下，相对应的感染率θ跟移除率γ满足：

R'＝(θS)'/γ'，其中，${\left(\mathrm{\theta S}\right)}^{\prime }=\frac{1}{t}{\int }_0^t\theta \left(x\right)S\left(x\right)\mathrm{dx},{\gamma }^{\prime }=\frac{1}{t}{\int }_0^t\gamma \left(x\right)\mathrm{dx};$当R'＜1，在满足步骤

（一）蠕虫传播模型的前提下，使得I(t)＜I(0)成立，则得到公式：

$R^{\prime }={\left(\mathrm{\theta S}\right)}^{\prime }/{\gamma }^{\prime }=\left[\frac{1}{t}{\int }_0^t\theta \left(s\right)S\left(s\right)\mathrm{ds}\right]/\left[\frac{1}{t}{\int }_0^t\gamma \left(s\right)\mathrm{ds}\right]<1$

该公式对于任意的t＞0都有：公式①；

（三）根据蠕虫传播模型定义可知：

dI(t)/dt＝θ(t)S(t)I(t)-γ(t)S(t)-eI(t)

对该式子两边取积分，得到:

$\frac{1}{t}\ln \frac{I\left(t\right)}{I\left(0\right)}=\frac{1}{t}{\int }_0^t\theta \left(s\right)S\left(s\right)\mathrm{ds}-\frac{1}{t}{\int }_0^t\gamma \left(s\right)\mathrm{ds}-\frac{1}{t}{\int }_0^t\mathrm{eds}$公式②；

把公式○2与步骤（二）中的公式○1做对比，可以得到对于任意t＞0有，从而得到I(t)＜I(0)；

所以得到结论，当R'＜1，在满足蠕虫传播模型的前提下，使得I(t)＜I(0)成立，则 蠕虫不会爆发。

根据本发明的控制方法可以得出三种方式来减小R^'。第一种，减小感染率θ；第二种提 高移除率γ；第三种，通过增加概率ω或者减小概率δ或者减小减少易感染手机用户群体S 的数量。

本发明针对移动蠕虫的传播，定义感染率和移除率都是时间T的函数,采用更符合实际 的情况来建模和分析,同时考虑了当移动手机感染蠕虫后，可以通过杀毒、打补丁，过滤恶 意软件等措施来移除一些易感染用户或者感染用户,该模型准确的描述恶意蠕虫传播趋势及 对蠕虫传播的控制方法。