零日病毒傳播模型及穩定性分析

孟慶微 仇銘陽 王 剛 馬潤年

(空軍工程大學信息與導航學院 西安 710077)

1 引言

零日漏洞是指被發現后立即被惡意利用的安全漏洞，又稱為零時差攻擊，主要存在于軟件和操作系統中。黑客和非法組織通常利用目標用戶存在的零日漏洞，編寫惡意代碼并實施針對性攻擊，這類基于零日漏洞的惡意代碼稱為零日病毒。與傳統病毒相比，零日病毒傳播機理相對復雜，具有隱蔽突發性強、破壞性大和防御難度大等特點。從零日病毒的攻防兩端分析，防御方的被動弱勢地位更明顯。攻擊者具有零日漏洞信息的優先權和掌握優勢，防御者對這種漏洞一無所知，或者即使知道暫時也無能為力；開發零日漏洞的補丁較已知漏洞而言，工作量明顯更大，開發時間也明顯更長。2010年伊朗“震網”病毒事件[1]，讓人們對零日漏洞有了深刻的認識。研究表明，該病毒是先通過木馬和蠕蟲等惡意程序與rootkit相結合，將rootkit這一惡意軟件及惡意代碼注入并隱藏在目標主機上[1]，并利用惡意代碼中具有提升權限功能的零日病毒，獲得目標主機的內核級權限。接著，該惡意代碼在分析核設施的相關數據后，利用其余的零日漏洞以及已知漏洞，在核心部件中分別進行了自我復制、傳播、破壞等非法活動，最終導致伊朗核物理設施全面癱瘓。據報道與Windows10系統有關的零日攻擊事件對用戶造成了嚴重影響[2]。此外，WannaCry勒索病毒也是典型的零日攻擊事件，該事件造成全世界大約99個國家金融、能源、醫療等行業出現危機管理問題[3]。

零日病毒的攻防博弈特點使得防御方始終處于被動地位，客觀上加大了防御難度和復雜度，零日病毒防御已經成為目前網絡安全領域亟待解決的現實問題。當前比較成熟的病毒防御手段都致力于微觀上研究病毒自身作用機理，重在查漏補缺。而“零日”是一相對概念，防御方對零日漏洞的掌握必然晚于攻擊方，難以及時修復。因此，當前對零日病毒防御方面的研究重點在于攻擊行為的發現和病毒樣本的捕捉[4–10]。如Sun等人[4]考慮到利用先驗知識庫中信息會造成信息爆炸的情況，提出一種基于計算機系統調用生成數據圖的方法并利用貝葉斯網絡對可能的零日攻擊路徑進行概率認證。通過該方法，提高了零日攻擊認證正確率同時減少了數據分析量；考慮到傳統的機器學習技術很難檢測出零日攻擊而深度學習技術具有極強的特征提取能力這一情況，Diro等人[6]針對社會物聯網中的零日攻擊提出利用深度學習方法來進行檢測并比較了傳統機器學習與深度學習在發掘零日攻擊行為方面的性能差異。這些防御技術理論上能檢測到利用零日病毒發起的攻擊并采集樣本，對零日病毒的防御有著積極的意義。但是，零日病毒的徹底清除依然依賴于相應補丁和查殺手段，而病毒入侵前期往往缺乏這些手段，需要投入時間和精力進行開發工作。為了避免零日病毒在入侵初期大范圍傳播，造成負面影響甚至癱瘓網絡，可考慮病毒在感染與傳播過程中存在的共性因素，從相對宏觀的角度研究零日病毒在網絡中的傳播問題，進而采取針對性措施對病毒傳播的速度與規模加以控制。當前病毒傳播研究主要通過動力學建模方法，研究病毒的傳播機理并提出相應的控制手段。相關研究最初借鑒了生物學病毒傳播理論，將易感-感染-移除(Susceptible-Infected-Removed, SIR)模型[11]和易感-感染-移除-易感(Susceptible–Infected–Removed–Susceptible,SIRS)模型[12]等經典病毒傳播模型應用于計算機病毒傳播領域。近年來，相關研究主要是結合具體應用背景，有針對性地引入新的節點狀態或調整節點狀態轉化機制對病毒傳播機理進行研究[13-17]。如針對高級持續性威脅(Advanced Persistent Threat,APT)攻擊和病毒潛伏特性，王剛等人[13]引入了潛伏狀態，提出了易感-潛伏-感染-隔離-移除-易感(Susceptible–Escape-Infected–Quarantine-Removed–Susceptible, SEIQRS)模型，研究了基于潛伏隔離機制下的病毒傳播規律。文獻[11]通過研究一類新型混合攻擊病毒，將該類病毒命名為“去二存一”病毒并在SEIQRS模型的基礎上根據該類病毒的擴散機理，構建了相應的病毒傳播模型。Wang等人[14]考慮到現有的病毒傳播模型由于簡化近似，對大型網絡中病毒傳播分析造成準確性損失這一情況，構造了離散時間吸收馬爾可夫過程來精確地描述病毒的傳播，并通過仿真分析論證了該方法的準確性。為了更加精準地刻畫病毒在智能校園網上的傳播過程，Wang等人[15]考慮感染病毒個體間的差異性，將病毒感染個體的進化過程擴展到整個網絡中，建立了智能校園網的病毒傳播差分模型從而大大提高了智能校園網的安全性與魯棒性。文獻[16]在考慮級聯故障普遍存在于復雜網絡中的這一情況，提出了基于局部負荷重分配原則的新型級聯失效模型，建立了SIR病毒傳播與級聯失效的交互模型：SIR- c模型，為網絡拓撲和路由策略的管理和優化提供了理論參考。文獻[17]考慮實際網絡中節點可以隨機移動的情況，基于平均場理論提出了一個移動環境下網絡病毒傳播的數學模型，并驗證了這一模型的合理性。這些研究揭示了病毒傳播的一般規律，為病毒的有效防控提供了理論基礎。然而不同病毒傳播模型有其適用范圍，零日病毒傳播機理相對復雜、隱蔽性強、防御難度大且破壞性大，需要具體問題具體分析，在現有研究成果的基礎上，結合零日病毒特點研究零日病毒的傳播規律及防控手段。

本文基于對零日病毒傳播機理的認知，建立與零日病毒傳播過程相適應的易感-初始感染-零日-毀損-移除(Susceptible - Initial-state-of infection-Zero-day - Damaged - Removed, SIZDR)網絡病毒傳播模型，本模型在傳統SIRS病毒擴散模型基礎上定義了初始感染狀態、零日病毒執行狀態以及毀損狀態，并以模型為基礎研究零日病毒傳播過程的機理和穩定性，給出了不同病毒傳播影響因素對網絡系統存活率的影響結果。通過研究掌握零日病毒傳播的規律，為零日病毒防御策略和技術實現提供理論參考。

2 零日病毒傳播模型

按照網絡病毒作用機理，零日病毒傳播過程可劃分為初始感染、病毒傳播、病毒發作和毀損等4個階段。(1)在初始感染階段，攻擊者利用木馬或者蠕蟲等常見的已知病毒將以隱藏非法活動為目的的惡意代碼植入目標主機當中。同時，被已知病毒攻擊的目標主機與已經感染零日病毒的目標主機接觸后以一定的概率被植入零日病毒。在這一階段，防御方可以通過反病毒軟件將木馬或者蠕蟲等已知病毒攔截。如果攔截成功，節點將處于免疫狀態。處于免疫狀態的目標主機有可能因為系統重裝等使得其再次處于易感狀態。(2)在病毒傳播階段，已經感染零日病毒的目標主機中，零日病毒利用零日漏洞將自己復制并傳播至其他目標主機當中。在這一過程中，針對零日漏洞的惡意代碼隨著大量復制的惡意文件流入其他目標主機而在整個網絡中傳播。(3)病毒發作階段，當已經感染零日病毒的目標主機滿足一定條件時將會激活零日病毒(例如：在震網病毒摧毀核設施的過程中，當惡意代碼分析出其所感染的物理設施是核心部件時，零日病毒才會進行攻擊)，零日病毒對相應的目標實施攻擊。本文將病毒傳播和病毒發作兩個階段統稱為零日病毒執行階段，簡稱零日階段。(4)在毀損階段。由于零日漏洞的未知性，防御方難以及時地發現并阻止零日病毒實施非法活動，最終目標主機被零日病毒所摧毀。防御方為了確保網絡的正常運轉，會將被毀損的目標主機進行修復或者更新。

經典SIRS模型是分析流行病傳播的常用模型。該模型相對成熟且更適用于現階段計算機病毒傳播，因此，在對零日病毒傳播過程的分析基礎上，對傳統的病毒傳播SIRS模型進行了改進。本文重新定義了一個節點狀態并引入了兩個新的節點狀態，分別是：初始感染狀態I(Initial-state-ofinfection)、零日病毒執行狀態(簡稱零日狀態)Z(Zero-day)和毀損狀態D(Damaged)。提出了SIZDR模型，其狀態轉移關系如圖1所示。

圖1 SIZDR病毒傳播模型

(1) 易感狀態S→初始感染狀態I。易感狀態S節點與零日狀態Z節點接觸，節點由易感狀態轉化為初始感染狀態。其中，η＝βK·Z(t)/N,β代表節點接觸概率，K代表節點度值，Z(t)表示在t時刻零日狀態節點數量。

(2) 初始感染狀態I→免疫狀態R。目標主機中的反病毒軟件等安全系統對已知漏洞病毒的捕獲，使得感染已知漏洞病毒的節點及時被查殺，并利用補丁修復了相關漏洞從而使得感染已知漏洞病毒狀態的節點向免疫狀態轉化。α代表了感染已知漏洞病毒的免疫率。

(3) 免疫狀態R→易感狀態S。病毒在擴散過程中可能會存在變異等行為，使得免疫節點對變異后病毒失去免疫能力，或者由于用戶更新系統等使具有免疫功能的節點重新轉化為易感節點。υ代表了免疫狀態轉化為易感狀態的轉化率。

(4) 初始感染狀態I→零日狀態Z。防御系統的失誤使得初始感染狀態的目標并沒有被查殺，從而使得惡意代碼有機會執行針對零日漏洞的惡意代碼。當滿足一定條件時，零日病毒實施非法活動，造成初始感染狀態向零日狀態轉化。γ代表零日病毒發起攻擊的概率。

(5) 零日狀態Z→毀損狀態D。零日病毒的隱蔽性使得該病毒無法被防御系統識別并阻止其非法活動，從而導致感染零日病毒的目標主機被毀損。σ代表感染零日病毒后的毀損率。

(6) 毀損狀態D→易感狀態S。部分計算機核心系統被控制或部分由計算機操控的工控系統被破壞導致整個網絡的性能下降，因此目標主機在被毀損后，相關操作人員將對已損壞的設備進行翻新或者使用新的設備。ω代表由毀損狀態恢復為易感狀態的恢復率。

設網絡相對穩定且節點總數N為各狀態節點數量和，S(t),I(t),Z(t),D(t)分別表示t時刻易感狀態節點，初始感染狀態節點，零日狀態節點以及毀損狀態節點的數量，則對應免疫節點數量可表示為R(t)＝N-S(t)-I(t)-Z(t)-D(t)。根據微分動力學原理，可得模型對應的動力學方程

3 穩定性分析

矩陣J(P0)對應的特征多項式為

其中

4 仿真分析

在實際防控過程中，病毒實施非法活動的概率γ不易被調節，但可通過斷開網絡連接、提高操作人員安全意識、人為移除感染節點等方法人為調整β,K,σ來抑制病毒擴散規模。因此，本文重點圍繞節點感染系數、節點度值和毀損率等3個影響因素開展仿真驗證。參照文獻[13]中的仿真實驗，設β＝0.5, K＝4, α＝0.2,υ＝0.8。設初始感染狀態節點若不能被防御系統免疫，則轉化為零日狀態節點，即α+γ＝1, γ＝0.8。鑒于零日漏洞的隱蔽性，設毀損率σ＝0.9；被毀損主機恢復為正常主機的概率為ω＝0.6。設置節點總數N＝1000，初始狀態下，不同狀態節點數為(S(0),I(0),Z(0),D(0),R(0))＝(970,20,10,0,0)。在達到穩定狀態的網絡系統中，毀損節點的數量不能直觀反映零日病毒對目標主機的毀損程度，而毀損節點的數量與網絡系統中全部節點數量的比值可直觀反映零日病毒對整個網絡系統造成的影響。因此，定義毀損節點數量與網絡系統中全部節點數量的比值為網絡破壞率。

4.1 節點感染系數β

圖2 不同β 對應的系統狀態

通過對不同β下節點毀損個數的統計可知，當節點感染率β＝0.2時，網絡破壞率為0；當節點感染率β＝0.5時，網絡破壞率為16.8%；當節點感染率β＝0.7時，網絡破壞率為24.9%。由統計數據可知，隨著感染系數的提高，網絡破壞率也越高。在實際情況中，防御方可通過調整感染率降低網絡破壞率。

4.2 節點度K

通過調整節點度值來驗證其對病毒傳播的影響。通過理論分析可得節點度值的閾值Klim＝2.2，即當K ＜Klim時，系統將在P0處局部漸近穩定；反之，當K ＞Klim時，系統將會在P1處局部漸近穩定。分別取K＝2,4,6進行研究分析。圖3分別表示不同K時對應的系統狀態。

圖3(a)–圖3(c)分別對應K＝2,4,6時的系統狀態。仿真結果表明，當K＝2(K ＜Klim)時，系統在平衡點P0(1000,0,0,0,0)處局部漸近穩定；當K＝4(K ＞Klim)時，系統在P1(562,126,112,168,32)處局部漸近穩定；當K＝6(K ＞Klim)時，系統在P1(375,180,160,240,45)處局部漸近穩定。當系統在局部漸近穩定平衡點P1處時，初始感染狀態I的節點數隨著K的增大而增大，零日狀態節點數隨著K的增大而增大。可見，節點度越大，零日病毒傳播過程中的病毒成功入侵目標主機的概率也越大。通過調節節點度值K，可以有效地控制零日病毒實施非法活動。

圖3 不同 K對應的系統狀態

通過對不同K時節點毀損個數的統計可知，當節點度K＝2時，網絡破壞率為0；當節點度K＝4時，網絡破壞率為16.8%；當節點度K＝6時，網絡破壞率為24.0%。由統計數據可知，隨著節點度值的提高，網絡破壞率也相應提高。在實際情況中，防御方應當調整網絡拓撲結構降低節點度值從而使得網絡破壞率盡可能低，但是降低網絡破壞率勢必通過降低節點度值來實現，一味降低節點度值將會影響到網絡的性能。因此，防御方應當綜合考慮網絡性能與網絡破壞率的關系從而對零日病毒進行布防。

4.3 毀損率σ

通過調整毀損率來驗證其對病毒傳播的影響。根據實際情況，毀損率閾值應滿足σlim＜1，可分別設σ＝0.5,0.7,0.9。圖4分別表示不同σ對應的系統狀態。

圖4(a)–圖4(c)分別對應σ＝0.5,0.7,0.9時的系統狀態。仿真結果表明，當σ＝0.5時，系統在P1(310,165,263,220,42)處局部漸近穩定，當σ＝0.7時，系統在P1(436,151,173,202,38)處局部漸近穩定；當σ＝0.9時，系統在P1(562,126,112,168,32)處局部漸近穩定。當系統在局部漸近穩定平衡點P1處時，初始感染狀態的節點數隨著σ的增大而減小，零日狀態節點數隨著σ的增大而減小。可見，毀損率越大，網絡系統中零日病毒的傳播性能將會受到限制從而導致系統中未感染病毒節點的數量增加。

圖4 不同σ 對應的系統狀態

通過調節毀損率σ，可有效控制零日病毒傳播。基于σ的統計表明，毀損率σ＝0.5時，網絡破壞率為21.9%；毀損率σ＝0.7時，網絡破壞率為20.0%；毀損率σ＝0.9時，網絡破壞率為16.8%。隨著毀損率的升高，網絡破壞率則越低，防御方恢復網絡性能的代價也就越大。出現這種情況的原因是：當毀損率提高后，恢復率不變的情況下，網絡中易感節點數量上升，初始感染節點和零日節點的數量都會下降，從而導致毀損節點的數量也相應下降。在實際情況中，防御方可適度調整毀損率與網絡破壞率，使得恢復性能代價與網絡破壞率在可接受范圍內。

根據仿真分析結果，針對零日病毒的實際防控過程中，防御方可通過提高操作人員安全意識，減少操作人員具有安全風險的操作，從而降低節點感染系數；同時，根據網絡拓撲結構以及網絡功能，斷開部分網絡連接，從而在不嚴重影響網絡業務承載能力的情況下，降低網絡節點度K。防御方針對零日病毒進行的防御手段并不僅僅局限于以上兩種方法，這些方法的核心思想就是通過調控基本再生數達到控制病毒傳播的規模。

5 結束語

本文在SIRS模型基礎上，結合零日病毒特點提出了SIZDR傳播模型，通過穩定性分析，討論了相關因素對病毒傳播的影響，就節點度、感染率和毀損率3個參數開展了仿真實驗。理論分析和仿真結果表明，改變網絡度、節點感染系數等參數，可以使得網絡系統穩定在無病毒狀態。在網絡受到零日病毒的威脅時，通過對已知漏洞的合理防控和網絡結構的調整，能一定程度上抑制零日病毒的傳播甚至徹底消除病毒。論文中還存在一定的不足之處，后期的工作將進一步完善零日病毒傳播模型并在零日病毒傳播機理的基礎上提出相應的免疫措施。