基于隔離策略的蠕蟲傳播模型研究

摘 要：在KermackMcKendrick模型的基礎(chǔ)上提出了具有隔離策略的蠕蟲傳播模型。分析了各類平衡點(diǎn)存在的閾值條件，通過線性化和構(gòu)造Liapunov泛函，得到了各類平衡點(diǎn)全局穩(wěn)定的條件。研究表明，該模型能有效地防止蠕蟲大面積的傳播，數(shù)值仿真驗(yàn)證了所得的結(jié)論。

關(guān)鍵詞：蠕蟲；傳播模型；閾值；平衡點(diǎn)；穩(wěn)定性；數(shù)值仿真

中圖分類號(hào)：TP393．08; TP309．5 文獻(xiàn)標(biāo)志碼：A

文章編號(hào)：1001-3695(2008)07-2141-02

Worm propagation modeling and analysis based on quarantine

LI Tao，GUAN Zhihong 



（Dept.of Control Science Engineering， Huazhong University of Science Technology， Wuhan 430074， China）



Abstract:This paper presented a worm propagation model with quarantine strategy based on the classical epidemic KermackMcKendrick model. Established the conditions and threshold to the existence of various equilibriums. By means of linearization and constructing Liapunov functional， obtained the conditions about the globally asymptotic stability. The analysis shows that the model can efficiently prevent worms’ propagation. Numerical simulations confirmed our theoretical results.

Key words：worm; propagation model; threshold; equilibriums; stability; numerical simulation

在當(dāng)今高速的網(wǎng)絡(luò)環(huán)境下，多樣化的傳播途徑和復(fù)雜的應(yīng)用環(huán)境使網(wǎng)絡(luò)蠕蟲的發(fā)生頻率增高，傳播速度更快，覆蓋面更廣，造成的損失也日益增大。文獻(xiàn)[1]提出的Warhol蠕蟲，能夠在15 min內(nèi)感染互聯(lián)網(wǎng)上所有存在漏洞的主機(jī)；flash蠕蟲，具有在數(shù)十秒內(nèi)感染所有存在漏洞主機(jī)的能力。如何有效地防止蠕蟲的傳播？建立蠕蟲傳播模型，分析各種因素，對(duì)于預(yù)防蠕蟲傳播是一個(gè)有效的方法。目前的蠕蟲傳播模型中既有傳統(tǒng)的又有基于網(wǎng)絡(luò)的^[2~10]。近年來的蠕蟲傳播研究中更加強(qiáng)調(diào)網(wǎng)絡(luò)度分布的影響。網(wǎng)絡(luò)是由一些節(jié)點(diǎn)以及連接這些節(jié)點(diǎn)的邊組成的。連接到該節(jié)點(diǎn)的邊的數(shù)量稱為節(jié)點(diǎn)的度。尤其是無標(biāo)度網(wǎng)絡(luò)的提出，在無標(biāo)度網(wǎng)絡(luò)中度分布服從冪率分布^[11]。但是蠕蟲在網(wǎng)絡(luò)中傳播時(shí)，網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)不是一成不變的^[12]。網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)取決于蠕蟲復(fù)制的機(jī)制，即蠕蟲利用不用的途徑和不同的方式進(jìn)行傳播，其傳播所依賴的媒介網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)也會(huì)發(fā)生改變。具體來說，考慮四種網(wǎng)絡(luò)：a)計(jì)算機(jī)之間利用IP協(xié)議相連構(gòu)成的網(wǎng)絡(luò)；b)臺(tái)式機(jī)管理員賬戶共享網(wǎng)絡(luò)； c)電子郵件地址簿網(wǎng)絡(luò)；d)用戶之間傳送電子郵件的網(wǎng)絡(luò)。在網(wǎng)絡(luò)a)中，每臺(tái)計(jì)算機(jī)有一個(gè)32IP地址標(biāo)志，并且以路由框架支持任意兩個(gè)IP地址的通信。網(wǎng)絡(luò)中的節(jié)點(diǎn)是IP地址，如果相對(duì)應(yīng)的計(jì)算機(jī)之間可以直接通信，那么兩個(gè)節(jié)點(diǎn)有邊直接相連。許多蠕蟲是在這種IP網(wǎng)絡(luò)中傳播的。一些典型的例子包括Code red、Nimda和SQL Slammer蠕蟲等。

1 KermackMcKendrick模型

KermackMcKendrick模型也被稱做經(jīng)典的 SIR模型。該傳播模型的主機(jī)保持三種狀態(tài)，即易感染、感染和免疫。它假定在蠕蟲感染期間，受感染的主機(jī)可以恢復(fù)為正常狀態(tài)，且對(duì)此種蠕蟲具有免疫功能。其狀態(tài)轉(zhuǎn)移可表示為易感→感染→免疫，或永遠(yuǎn)保持易感狀態(tài)。KermackMckendrick模型的微分方程表達(dá)式為

dS/dt=βISdI(xiàn)/dt=βIS-αIdR/dt=αI





其中: S(t)為時(shí)刻 t時(shí)易感染的主機(jī)數(shù)； I（t）

為時(shí)刻t時(shí)仍具有感染性的主機(jī)數(shù)； R（t）為時(shí)刻t時(shí)從感染的主機(jī)中移出并獲得免疫的主機(jī)數(shù)；β為感染率；α 是感染類主機(jī)轉(zhuǎn)變成免疫類主機(jī)的恢復(fù)率。假設(shè)N表示網(wǎng)絡(luò)中全部主機(jī)總數(shù)量，顯然 S(t)+I(t)+R(t)=N，為一常數(shù)。

2基于隔離策略的蠕蟲傳播模型

對(duì)于蠕蟲的傳播，最直接的控制措施之一就是對(duì)感染類主機(jī)進(jìn)行隔離，以減少蠕蟲的發(fā)生率。尤其是在主機(jī)已經(jīng)感染蠕蟲但又得不到及時(shí)清除的情況下，采取“先隔離后清除”的措施更為必要，即引進(jìn)隔離狀態(tài) Q。同時(shí)考慮到以下因素并做相應(yīng)的假設(shè)：

a)主機(jī)的增加。假設(shè)單位時(shí)間新增加的主機(jī)為常數(shù)A，且均為易感染主機(jī)。

b)主機(jī)的減少。各種狀態(tài)的主機(jī)隨時(shí)都有可能與當(dāng)前網(wǎng)絡(luò)斷開連接，假設(shè)退出率均為l。

基于以上的考慮，得到具有隔離策略的SIQR蠕蟲傳播模型。其狀態(tài)轉(zhuǎn)移可表示為易感→感染→免疫，或易感→感染→隔離→免疫，或永遠(yuǎn)保持易感狀態(tài)。其微分方程表達(dá)式為

其中:δ是感染類主機(jī)轉(zhuǎn)變成隔離類主機(jī)的隔離率；ε是隔離類主機(jī)轉(zhuǎn)變成免疫類主機(jī)的恢復(fù)率；其他參數(shù)定義同KermackMcKendrick模型。

主機(jī)總數(shù)滿足N′=A-lN。故式(1)的可行域?yàn)镈={(S，I，Q，R)∈R4+S+I+Q+R≤A/l}且D是式(1)的正向不變集。直接計(jì)算易得：

定理1 記R0＝βA/l(l+α+δ)。點(diǎn)E0(A/l，0，0，0)始終是系統(tǒng)的平衡點(diǎn)（被稱為無病平衡點(diǎn)）。當(dāng)R0＞1時(shí)系統(tǒng)還有惟一的正平衡點(diǎn)E*(S*，I*，Q*，R*)

。其中：

定理2 式(1)的無病平衡點(diǎn)E0，當(dāng)R0≤1時(shí)是全局漸近穩(wěn)定的；當(dāng)R0＞1時(shí)是不穩(wěn)定的。

證明 式(1)在點(diǎn)E0處的Jacobian矩陣為

顯然，當(dāng)R0≤1時(shí)，E0是局部漸近穩(wěn)定的；當(dāng)R0＞1時(shí)，E0是不穩(wěn)定的。為證明當(dāng)R0≤1時(shí)，E0的全局漸近穩(wěn)定性，構(gòu)造Liapunov函數(shù)V=I，其沿式(1)的導(dǎo)數(shù)為

V′=βIS-lI-αI-δI≤βA/l-(l+α+δ)I≤0，

由LaSalle不變性原理及極限方程理論知，E0是全局漸近穩(wěn)定的。

定理3 對(duì)于式(1)，當(dāng)R0＞1時(shí)，正平衡點(diǎn)E*在

D-(S，I，Q，R)|I=0

內(nèi)是全局漸近穩(wěn)定的。

證明 式(1)在點(diǎn)E*處的Jacobian矩陣為

顯然，當(dāng)R0＞1時(shí)，E*是局部漸近穩(wěn)定的。為明證全局穩(wěn)定性，由于式(1)的前兩個(gè)方程中不含Q與R，首先考慮式(1)關(guān)于 SI的子系統(tǒng)。構(gòu)造Liapunov函數(shù)

顯然V是正定函數(shù)，且當(dāng)S+∞或 I+∞時(shí)，V+∞。求 V沿式(1)的導(dǎo)數(shù)，并利用βS*=l+α+δ得

注意到，只有當(dāng) S=S*時(shí)V′=0才成立。顯然，V′=0的最大不變子集只有{(S*，I*)}，故由LaSalle不變性原理知，(S*，I*) 在R2+ 上全局漸近穩(wěn)定，從而 limt→+∞I(t)=I*。

由式(1)的第三個(gè)方程得

從上面分析可得，正平衡點(diǎn)E*(S*，I*，Q*，R*)是全局吸引的，結(jié)合E*的局部穩(wěn)定性可知，E*在D－{(S，I，Q，R)|I=0}內(nèi)是全局漸近穩(wěn)定的。

3數(shù)值仿真

這里的SIQR 模型是四維系統(tǒng)。為了在圖形中能更全面地反映系統(tǒng)隨時(shí)間的變化情況，本文將感染類與隔離類主機(jī)的和即所有被感染的主機(jī)作為一個(gè)坐標(biāo)量。這樣，以易感染類主機(jī) S、已感染類主機(jī)之和 I+Q、免疫類主機(jī)R建立空間坐標(biāo)系。選取參數(shù)A=2，l=0．001，β=0．000 1，α=0．1，ε=0．02。初值取為（600，100，0，0），表示初始時(shí)刻只有易感染類和已感染類主機(jī)，暫時(shí)不存在隔離類和免疫類主機(jī)。

由定理2可知，當(dāng)R0≤1時(shí)，無病平衡點(diǎn)E0是全局漸近穩(wěn)定的，此時(shí)隔離率的臨界值為δmin=0．099。當(dāng)隔離率δ小于 δmin，則無病平衡點(diǎn)變得不穩(wěn)定，由定理3知道式(1)出現(xiàn)正平衡點(diǎn)。圖1、2分別給出式(1)在不同隔離率下，各類主機(jī)數(shù)隨時(shí)間變化的圖形。



由圖1可以看到，當(dāng)隔離率δ＝0．035小于δmin時(shí)，系統(tǒng)趨于正平衡點(diǎn)E*（1 360，5，7，628）；由圖2可以看到，當(dāng)隔離率δ＝0．1 大于δmin時(shí)，系統(tǒng)趨于無病平衡點(diǎn)E0（2 000，0，0，0）。

4 結(jié)束語

本文提出并研究了具有隔離策略的蠕蟲傳播模型，分析了各類平衡點(diǎn)存在的閾值條件和全局穩(wěn)定的條件，并且通過仿真驗(yàn)證了所得的結(jié)論。本文的研究對(duì)于有效地防范蠕蟲的傳播具有一定的現(xiàn)實(shí)意義。

參考文獻(xiàn)：

［1］

STANIFORD S， PAXSON V， WEAVER N. How to own the Internet in your spare time[C]// Proc of the 11th USENIX Security Symposium.Berkeley， CA: MUSENIX Association，2002:149-167.

[2]FRAUENTHAL J C. Mathematical modeling in epidemiology[M]. New York: SpringerVerlag， 1980.

[3]ZOU Changchun， GONG Weibo， TOWSLEYD. Code red worm propagation modeling and analysis[C]// Proc of the 9th ACM Conference on Computer and Communications Security.New York:ACM，2002:138-147.

[4]CHEN Zesheng， GAO Lixin， KWIAT K. Modeling the spread of active worms[C]// Proc of IEEE INFOCOM. San Francisco， CA:[s.n.]， 2003:1890-1900.

[5]PASTORSATORRAS R， VESPIGNANI A. Epidemic spreading in scalefree networks[J]. Physical ReviewLetters， 2001， 86(14):3200.

[6]PASTORSATORRAS R， VESPIGNANI A. Epidemic dynamics and endemic states in complex networks[J]．PhysicalReviewE， 2001，63:066117.

[7]MORENO Y， PASTORSATORRAS R， VESPIGNANI A. Epidemic outbreaks in complex heterogeneous networks[J].European Physical Journal B， 2002，26(14):521529.

[8]PASTORSATORRAS R， VESPIGNANI A. Immunization of complex networks[J]. Physical Review E， 2001， 65(3):036134.

[9]PASTORSATORRAS R， VESPIGNANI A. Epidemics and immunization in scalefree networks[M]//BORNHOLDT S， SCHUSTER H G. Handbook of graphs and networks. Berlin:WileyVCH Publisher， 2003:113-132．

[10]LLOYD A L， MAY R M. How virus spread among computers and people[J]. Science，2001， 292:1316-1317.

[11]BARAB SI A L， ALBERT R. Emergence of scaling in random networks[J]. Science， 1999， 286:509-512.

[12]BALTHROP J， FORREST S， NEWMAN M E J， et al. Technological networks and the spread of computer viruses[J].Computer Science， 2004， 304:527-529.

注：“本文中所涉及到的圖表、注解、公式等內(nèi)容請(qǐng)以PDF格式閱讀原文。”