P2P網絡中基于特征行為檢測的惡意代碼傳播模型

李漢倫，任建國

P2P網絡中基于特征行為檢測的惡意代碼傳播模型

李漢倫，任建國*

（江蘇師范大學 智慧教育學院，江蘇 徐州 221116）（ ? 通信作者電子郵箱rjgrjgrjgrjg@126.com）

針對現有惡意代碼傳播模型在點對點（P2P）網絡中缺乏新型惡意代碼的實時檢測以及節點間動態共享防治信息機制的問題，基于惡意代碼特征行為檢測技術建立了一類檢測-傳播模型。首先，在經典易感-感染-免疫（SIR）傳播模型的基礎上引入廣播節點（廣播節點是指成功檢測出包含惡意代碼的文件后生成防治信息并能持續把這一消息發送給鄰居節點的特殊節點），引入廣播節點后的模型通過檢測技術不僅能有效降低節點自身被感染的風險，還可以通過節點之間動態共享惡意代碼信息來阻斷惡意代碼在網絡中的傳播；然后，計算出平衡點并通過下一代矩陣理論得到模型的傳播閾值；最后，通過Hurwitz判據和構造Liapunov函數證明了模型平衡點的局部穩定性和全局穩定性。實驗結果表明，在傳播閾值小于1的情況下，與退化的SIR模型相比，當檢測率取值0.5、0.7和0.9時，所提檢測-傳播模型在峰值點處的感染節點總數分別下降了41.37%、48.23%和48.64%。可見，基于特征行為檢測技術的檢測-傳播模型能遏制惡意代碼前期在網絡中的快速傳播，且檢測率越高，遏制效果越好。

惡意代碼；點對點網絡；實時檢測；特征行為；局部穩定性；全局穩定性

0 引言

網絡惡意代碼的檢測和傳播是網絡安全領域的一個研究熱點［1］。點對點（Peer-to-Peer， P2P）網絡是一類所有節點都處于相同地位的網絡，即網絡中的所有節點都可以作為服務器為其他節點提供服務。在P2P文件共享網絡中，每個節點都有一個共享文件夾，該共享文件夾存放節點所要共享的文件，供網絡中的其他節點下載。當網絡中的節點需要下載某個文件時，首先向網絡發送一個文件搜索請求，當該請求消息被處理后，發出請求的節點會收到一個與之相匹配的文件列表，節點根據文件列表中的信息決定是否要下載其中的一個或多個文件［2］。P2P網絡結構示意圖如圖1所示。

圖1　點對點（P2P）網絡結構示意圖

雖然P2P文件共享網絡給用戶提供了便利的資源，但帶來的網絡安全隱患也同樣不可忽視［3-4］。利用P2P文件共享網絡所有節點之間能直接通信的特點和防毒軟件對新病毒的滯后性，被植入了惡意代碼的文件很容易短時間內在網絡中快速傳播，而下載這些附有惡意代碼文件的節點則必定會被感染，在感染之后會進一步感染下載該感染節點文件的其他節點，最終導致網絡中大量節點被感染［5］。

針對P2P網絡惡意代碼的檢測與防治，已有相關文獻對此進行了研究，其中幾類比較典型的檢測方法包括基于特征碼比對、基于用戶習慣和基于節點自殺的方式。文獻［6-7］中提出了采用特征碼比對方式對惡意代碼進行檢測，這種方式的策略是利用防病毒軟件攔截惡意代碼樣本后進行分析并和防病毒軟件中已有的惡意代碼特征碼庫做比對，從而快速識別和清除已知惡意代碼。為了有效監測未知惡意代碼，文獻［8］中提出了基于用戶習慣的惡意代碼檢測方法，該方法認為特定的用戶有其固定的訪問習慣，比如會經常從P2P對等節點中訪問和下載某一類文件或資源，該策略會根據用戶的訪問歷史記錄為用戶建立一個用戶個人習慣列表，當用戶的訪問活動不在習慣列表中，那么與用戶進行通信的節點很有可能包含惡意代碼，惡意代碼會產生大量的陌生訪問從而破壞用戶的訪問習慣，此時發出警報即可中斷惡意代碼的傳播。和特征碼比對的檢測方式相比，這種策略可以快速檢測出已知和未知的惡意代碼。為了能使節點之間動態共享惡意代碼信息，文獻［9］中提出了一種基于節點自殺的P2P惡意代碼防治方法，文獻指出惡意代碼可以通過節點的鄰居路由表快速傳播，因此當某個節點的鄰居節點感染惡意代碼后，只要阻斷該鄰居節點的傳播就能對惡意代碼進行有效遏制，基于這種思想利用污染技術事先在網絡中部署一些具有檢測能力的節點，一旦節點檢測到惡意代碼，以自殺方式退出網絡，并把這一消息告知鄰居節點，從而達到防治目的。

上述文獻提到的幾類惡意代碼檢測機制的缺陷也較為明顯，通常存在檢測率不高、部署難度大、缺乏動態共享機制等問題。文獻［6-7］中提出了基于特征碼的檢測方法，如果惡意代碼的特征碼未出現在已有的特征碼庫中，則防病毒軟件無法識別該惡意代碼，且隨著特征碼庫的不斷擴充，掃描比對所需的時間開銷也會越來越大。另一方面用戶還需要不斷去下載和更新病毒庫才能對新出現的惡意代碼進行攔截，具有很強的滯后性。通常新型惡意代碼在網絡中廣泛傳播后技術人員才會對新型惡意代碼樣本進行分析并提取相應的特征碼，因此，這種惡意代碼檢測技術難以有效地應對新型惡意代碼的攻擊。文獻［8］中基于用戶個人行為的異常檢測也有相應問題，由于用戶的訪問行為的不可預測性和突發性，有時會產生較高的誤報率和失敗的檢測結果，通過用戶的訪問歷史記錄建立用戶習慣列表的方式有時也并不合適，且這種策略缺少用戶之間對惡意代碼的動態共享機制。文獻［9］中的污染技術受制于物理機資源的瓶頸，自殺節點很難大規模部署到分布式P2P網絡中，只有一部分自殺節點偵測到惡意代碼后才把自殺消息發送給鄰居節點，當網絡規模較大且結構復雜時，可能無法達到預期效果。另外所有節點都可以發布惡意自殺消息，破壞網絡節點間的正常通信，此時利用密鑰技術雖然可以解決這一問題，但同時帶來大量的時間開銷和網絡延時。

為了突破上述研究的局限，文獻［10］中提出了另一種方法：基于文件名分類的惡意代碼特征行為來識別含有惡意代碼的文件。這種策略分為兩部分：惡意代碼的識別和防治信息的發布。惡意代碼識別的方法是：為每個文件生成唯一的文件標識，根據文件標識對文件名進行比對從而確定文件中是否含有惡意代碼。防治信息的發布是指當某個節點成功識別出惡意代碼后，會自動生成防治信息并把這一信息發送給網絡中的其他節點，其他節點共享該信息后不會被惡意代碼感染。為了使網絡中的節點能動態共享惡意代碼信息，基于上述策略，在經典的易感-感染-免疫（Susceptible-Infected-Recovered， SIR）模型［11-15］的基礎上引入新艙室：廣播節點（Broadcast Node，B），并把這種新機制命名為易感-感染-免疫-廣播（Susceptible-Infected-Recovered-Broadcast， SIR-B）。只有成功檢測出惡意代碼的節點才會生成防治信息，在檢測出包含惡意代碼的文件后會生成一個對應的惡意代碼列表，該列表含有惡意代碼的相關信息，廣播節點的作用是持續發布防治信息，接收到來自廣播節點所發送的防治信息的節點獲得對惡意代碼的永久免疫力。

綜上所述，引入新艙室B的SIR-B模型的優勢主要有：1）不需要建立病毒庫和進行特征碼比對，因此可以以較小的時間開銷實現對新型惡意代碼的實時檢測，這種實時檢測機制很好地解決了文獻［6-7］中防病毒軟件無法及時檢測出新型惡意代碼的問題。2）與文獻［8］中基于用戶習慣的檢測方法相比，SIR-B模型是基于文件名分類的行為檢測技術，檢測的準確率不會因用戶訪問的突發性和不可預測性產生較大波動，因此這種檢測方式具有更好的穩定性和較低的誤報率，通過本文第2章的理論分析和第3章的數值模擬的結果可以知道，在大規模P2P網絡中，對惡意代碼的檢測率越高，惡意代碼最終越容易消亡。3）網絡中任意節點一旦檢測出惡意代碼便轉化為廣播節點把防治信息發送給鄰居節點從而阻斷惡意代碼的傳播，這種方式實現了節點間動態共享惡意代碼信息，在惡意代碼傳播的初期可以減緩其傳播速度，提高整個網絡的動態防治能力。4）文獻［9］中部署自殺節點時需要考慮網絡節點的數量和實際分布情況，且只有自殺節點才能發送防治信息，而SIR-B模型中所有檢測到惡意代碼的節點均可以發送防治信息，因此無需考慮節點的分布情況。

目前的模型對未知惡意代碼的傳播研究較少，處于易感狀態的節點缺少對未知惡意代碼的主動檢測和防御措施，大量易感節點被感染后才采取免疫措施。為打破這一被動局面，本文提出具有實時監測和動態反饋信息功能的模型，通過數學建模探究行為檢測技術在P2P網絡中的作用機制，可以對未知惡意代碼傳播過程和防治效果有更清晰的認識，進而提出針對性的防治措施。

本文的工作主要如下：

1）基于P2P文件共享網絡，在SIR模型的基礎上引入了新艙室B建立了一類具有實時檢測惡意代碼和動態反饋防治信息功能的SIR-B模型。

2）通過定性分析研究該模型。通過計算得出了無病平衡點和病毒平衡點的存在性和唯一性以及傳播閾值；對平衡點的局部穩定性和全局穩定性進行了證明，為后續的分析提供了理論基礎。

3）通過數值模擬驗證了理論結果的正確性，模擬了模型中參數對感染節點數量演變趨勢的影響，通過分析數值模擬的結果給出了P2P網絡惡意代碼防治的意見和對策。

1 模型構建

本文在SIR模型的基礎上，根據檢測特征過程中網絡節點的狀態變化，提出一個新模型SIR-B，該模型中所有的節點共有4個狀態，按4個狀態將分為4種節點：分別為易感節點（Susceptible node，）、感染節點（Infected node，）、廣播節點（Broadcast node，）和免疫節點（Recovered node，）。不同狀態節點的具體含義如下：

代表易感節點，易感節點是發出搜索請求的節點，完成對目標文件的搜索后會根據識別算法對惡意代碼進行識別，根據識別的結果決定是否下載該文件。

代表感染節點，感染節點可以通過共享文件把惡意代碼傳播給下載該節點的文件的易感節點。

代表廣播節點，成功檢測出包含惡意代碼文件的易感節點會將該文件的標識加入到惡意代碼列表中生成防治信息，同時觸發廣播機制，該狀態的節點通過廣播把防治信息發送給其鄰居節點。

代表免疫節點，該狀態的節點不會被惡意代碼感染。

模型的各個參數的意義如下：

1）單位時間內新節點以概率加入到網絡中，同時現有節點以概率移除網絡，總節點數（）=（）+（）+（）+（）。

2）1為從到的感染率，2為從到的轉化率，且1=（1-），2=，其中為易感節點與感染節點之間的感染系數，為檢測率，代表易感節點成功檢測出惡意代碼的概率。檢測成功將不會下載惡意代碼文件，在生成防治信息后轉化為廣播節點，狀態轉化方向為→；檢測失敗則會下載惡意代碼文件并轉化為感染節點，狀態轉化方向為→。這里假定一旦下載惡意代碼文件后就立即執行。

3）為免疫率，某些易感節點和感染節點因為升級自身的病毒庫，從而獲得對惡意代碼的免疫，狀態轉化方向為→和→。

4）為反饋率，當廣播節點與易感節點進行信息通信時，廣播節點通過持續把防治信息反饋給易感節點，使其獲得免疫，狀態轉化方向為→。

SIR-B模型各個狀態之間的轉化示意圖如圖2所示。

圖2　SIR-B模型的狀態轉化示意圖

圖2中的矩形框表示節點所處的狀態，箭頭線表示節點狀態的轉化方向，箭頭線上的符號表示狀態轉換參數。模型的微分動力學方程如下：

特別的，系統（1）中前3個等式不依賴于第4個等式，因此系統（1）可以寫為如下方程組：

系統（2）的可行域用表示：

上述模型的核心機制是易感節點通過檢測技術識別惡意代碼并反饋防治信息，對于易感節點集合（）中的每個易感節點，這一過程可用如下算法表示：

獲取消息回應（個文件名）

將消息回應文件名與文件狀態表中對應的文件名作比對

if（消息回應文件類別數大于設定的閾值） do

｛

將文件名加入到惡意代碼列表并生成防治信息，

掃描路由表中的鄰居節點進行防治信息反饋

｝

else

下載該消息文件

｝

end if

end for

2 平衡點的穩定性

首先，求出系統的平衡點進而分析其平衡點處的穩定性。SIR-B模型的平衡態滿足如下方程組：

容易得到唯一的無病平衡點：

和唯一的病毒平衡點：

其中0為系統（2）的傳播閾值，該值與無病平衡點0有關，其值可通過下一代矩陣理論計算得到：

2.1　無病平衡點的穩定性

定理1 當0<1時，系統（2）的無病平衡點0在上局部漸近穩定；0>1時不穩定。

證明 系統（2）在無病平衡點0處的Jacobian矩陣為：

（E）對應的特征根為：

定理2 當0< 1時，系統（2）的無病平衡點0在上全局漸近穩定；0>1時不穩定。

證明 構造如下Liapunov函數：

1=（8）

沿著系統（2）的全導數為：

2.2　病毒平衡點的穩定性

定理3 當0>1時，系統（2）的病毒平衡點*在上局部漸近穩定。

證明 系統（2）在病毒平衡點*=（*，*，*）處的Jacobian矩陣為：

對應的特征多項式為：

其中：

由Hurwitz判據［18］可知，病毒平衡點*在上局部漸近穩定。

定理4 當0>1時，系統（2）的病毒平衡點*在上全局漸近穩定。

證明 構造如下Liapunov函數：

沿著系統（2）的全導數為：

由文獻［19］的穩定性理論，病毒平衡點*在上全局漸近穩定。

由定理3和定理4可知，當傳播閾值0>1時，系統（2）最終穩定在平衡點*處，惡意代碼將始終存在于網絡中不會消亡。在新型惡意代碼傳播初期，由于防病毒軟件的局限性，免疫率的取值面臨瓶頸，當惡意代碼的傳播率相對固定時，檢測率對于惡意代碼的傳播速度和最終感染節點的規模具有決定性的影響，建立高效的檢測機制可以最大限度地避免誤報和漏報，減少惡意代碼帶來的損失。

通過上述分析，當檢測率為零即沒有采用本文所述的檢測機制時，SIR-B模型就退化為了SIR模型，SIR模型主要是通過防病毒軟件對已知的惡意代碼進行控制，無法實時檢測新型惡意代碼會導致其在傳播的初期造成較多節點被感染；此外，一般的防病毒軟件通過升級病毒庫只能使安裝了該防病毒軟件的節點自身免疫新型惡意代碼，缺少惡意代碼信息的共享機制。當新型惡意代碼出現在網絡中時，建立SIR-B模型的檢測機制對控制惡意代碼的傳播具有重要意義。

3 數值模擬

本實驗在Intel Core i3-10110U CPU，2.1 GHz的主頻，4 GB的內存，Windows 10的操作系統環境下，采用Matlab R2020a平臺進行數值模擬。為了盡可能模擬惡意代碼在P2P網絡大規模節點之間的傳播規律，初始節點總數設置為100 000，并參照文獻［20］的數值模擬實驗對系統參數和的值進行選取。

3.1　系統隨時間的演變

在第一個實驗中，通過數值模擬驗證無病平衡點和病毒平衡點的穩定性理論。選定初始易感節點、感染節點、廣播節點、免疫節點的數量為（0）=80 000，（0）=20 000，（0）=0，（0）=0。參數選取=0.000 000 2，=0.004，=0.7，=0.000 000 3，=0.000 000 6。根據式（5），有0=0.000 22<1，根據定理1，惡意代碼在網絡中逐漸消亡。圖3顯示了易感節點、感染節點、廣播節點、免疫節點數量隨時間的變化趨勢。在系統的初期，由于易感節點下載了含有惡意代碼的文件，感染節點數量在較短時間內緩慢增長，之后逐漸下降并趨于零，原因是部分感染節點通過升級自身病毒庫轉化為免疫節點或由于某些原因從網絡中移除；此外，易感節點的實時檢測和廣播節點的動態反饋使新進入感染艙室的節點數量得到抑制，同時使廣播節點和免疫節點的數量逐漸增加并逐漸趨于穩定，結果驗證了定理1的描述。

圖3　R0<1時，各狀態節點隨時間的演變

在第二個實驗中，選定初始易感節點、感染節點、廣播節點、免疫節點的數量為（0）=70 950，（0）=50，（0）=0，（0）=0。參數為=0.000 000 2，=0.000 03，=0.7，=0.000 000 3，=0.000 000 6。根據式（5），有0=3.84>1，根據定理2，感染節點不會隨時間消失且漸近穩定。圖4顯示了易感節點、感染節點、廣播節點、免疫節點數量隨時間的變化趨勢。初始時刻雖然只有少量感染節點，但由于惡意代碼在節點之間持續傳播，隨著時間推移被感染的節點數量逐漸增多并最終到達一個穩定的值。與實驗1相比，實驗2的免疫參數取值較小，這更符合實際情況，即防病毒軟件不能很好地應對新型惡意代碼，此時檢測機制和廣播節點對遏制惡意代碼在網絡中的快速擴散起到至關重要的作用。

圖4　R0>1時，各狀態節點隨時間的演變

3.2　參數對感染節點演變的影響

圖5顯示了感染系數對0<1時感染節點數量變化的影響，感染系數分別取=0.000 000 2、0.000 000 4、0.000 000 6和0.000 000 8，各狀態節點的初始數量和其他參數同實驗1中的一致。從圖中的曲線變化趨勢可知，隨著的增大，感染節點的數量在短時間內迅速提高，并在同一時間達到峰值。因此，減小系統的感染系數可以在前期抑制惡意代碼的迅速傳播。

圖5　R0<1時，不同感染系數下感染節點隨時間的演變

圖6顯示了感染系數對0>1時感染節點數量變化的影響，感染系數分別取=0.000 000 2、0.000 000 4、0.000 000 6和0.000 000 8，各狀態節點的初始數量和其他參數同實驗2中的一致。從圖中的曲線變化趨勢可知，的值越大，感染節點的增長速度越快，數量也越早到達峰值，且最終地方病的規模也越大。當=0.000 000 2時，感染節點的增長速度明顯放緩。對此，可以通過提高用戶的安全意識，建立用戶信譽機制等措施減小的值，從而控制惡意代碼在網絡中的傳播。

圖7顯示了檢測率對0<1時感染節點數量變化的影響，檢測率分別取=0、0.5、0.7和0.9，其中=0代表未采用惡意代碼檢測技術，各狀態節點的初始數量和其他參數同實驗1中的一致。由曲線的變化趨勢可知，當新型惡意代碼通過P2P網絡進行傳播時，檢測率越高，感染節點下降越快，峰值越小，在峰值點處，取值0.5、0.7和0.9時感染節點的總數比取值為0時分別下降41.37%、48.23%和48.64%，且當取值0.9時，惡意代碼傳播初期感染節點數量未出現增長趨勢，因此提高檢測率可以遏制惡意代碼初期的傳播規模。

圖6　R0>1時，不同感染系數下感染節點隨時間的演變

圖7　R0<1時，不同檢測率下感染節點隨時間的演變

圖8顯示了檢測率對0>1時感染節點數量變化的影響，檢測率分別取=0、0.5、0.7和0.9，各狀態節點的初始數量和其他參數同實驗2中的一致。由曲線的變化趨勢可知，與未采用檢測技術相比，采用檢測技術能顯著降低感染節點總數，且檢測率越高，感染節點的數量增長越緩慢，說明當>0.9時，能有效抑制惡意代碼的傳播。

圖8　R0>1時，不同檢測率下感染節點隨時間的演變

圖9顯示了免疫率對感染節點數量變化的影響，免疫率分別取=0.000 03、0.000 05、0.000 07和0.000 09，各狀態節點的初始數量和其他參數同實驗2中的一致。由曲線的變化趨勢可以看出，隨著參數的增加，在較長一段時間內感染節點的數量沒有明顯的變化。通過打補丁等免疫措施在傳播前期難以有效遏制惡意代碼的快速傳播，原因是少部分節點免疫后不會與其他節點動態共享惡意代碼信息，因此具有一定局限性。

圖9　不同免疫率下感染節點隨時間的演變

圖10顯示了反饋率對感染節點數量變化的影響，反饋率分別取=0.000 03、0.000 05、0.000 07和0.000 09，各狀態節點的初始數量和其他參數同實驗2中的一致。由0的表達式可知，參數雖然不會影響惡意代碼最終是否消亡，但可以影響地方病的最終規模，的值越大，單位時間內就有越多的易感節點成功接收到防治信息從而獲得免疫力，從而感染節點數量的增長就越緩慢。可以通過優化惡意代碼列表的生成算法和完善廣播節點動態發布防治信息的策略來提高參數的值，以此減少感染節點的數量。

由上述實驗結果可知，和是影響惡意代碼傳播和感染節點數量演變的幾個重要參數，其中：的值越小，單位時間內有越少的易感節點被感染，惡意代碼的傳播越容易得到控制，當取值0.000 000 2時，對感染節點數量的抑制較另外3個取值有明顯的提升；的值越大，單位時間內有越多的易感節點轉化為廣播節點，從而不會下載包含惡意代碼的文件而被感染，當取值0.9時，惡意代碼的抑制效果最為明顯；的值越大，單位時間內有越多的易感節點和感染節點轉化為免疫節點，感染節點造成的地方病規模越小；的值越大，單位時間內有越多的易感節點接收到防治信息從而直接轉化為免疫節點，當取值0.000 09時，對地方病規模的控制效果最好。綜合不同參數對感染節點演變的影響，可以采取相應措施調節參數的值，從而控制惡意代碼的傳播。

4 結語

本文針對P2P文件共享網絡惡意代碼傳播的特點，將防治策略引入廣播節點，它是一類檢測出惡意代碼并能持續把相關防治信息發送給鄰居節點的節點，引入廣播節點的模型具有實時檢測和動態共享惡意代碼信息的特點。本文利用動力學知識在基于文件標識和文件名分類的行為檢測技術的基礎上構建SIR-B模型并進行分析，首先得到該模型的傳播閾值0，該值決定了惡意代碼最終是否消亡，接著分別對無病平衡點0和病毒平衡點*的穩定性進行證明，最后給出數值模擬，數值模擬的結果表明當采用上述檢測機制時感染節點的數量明顯減少，為了使損失最小化，應當盡可能提高檢測率。

通過本文的對比分析，SIR-B模型克服了常見的病毒檢測機制中無法應對新型惡意代碼、缺少動態發布防治信息以及誤報率高的缺點，這對有效遏制惡意代碼在網絡中的傳播起到重要作用。由于在大規模P2P網絡中部署該策略成本較高，本文在理論證明和數值模擬方面給出了相關的探討，驗證了該機制的效果和可行性。本文的模型是建立在均質P2P網絡上，而真實的P2P網絡的拓撲結構更為復雜，因此，下一步的工作是探究在一個動態異質P2P網絡中，網絡結構的變化和節點的度值等因素對行為檢測機制效果的影響，以期得到更加符合真實情況的結論。

[1] NASEER M， RUSDI J F， SHANONO N M， et al. Malware detection： issues and challenges［J］. Journal of Physics： Conference Series， 2021， 1807（1）： No.012011.

[2] 馮朝勝，秦志光，勞倫斯·庫珀特，等. P2P文件共享網絡中被動蠕蟲傳播建模與分析［J］. 電子科技大學學報， 2009，38 （2）：262-265， 273.（FENG C S， QIN Z G， CUTHBET L， et al. Propagation modeling and analysis of passive worms in peer-to-peer file-sharing networks［J］. Journal of University of Electronic Science and Technology of China， 2009， 38（2）： 262-265， 273.）

[3] MOHAMMED A A， KADHIM D J. Analysis of threats and security issues evaluation in mobile P2P networks［J］. International Journal of Electrical and Computer Engineering， 2020， 10（6）： 6435-6445.

[4] DEHKORDI M J， SADEGHIYAN B. An effective node-removal method against P2P botnets［J］. Computer Networks， 2020， 182： No.107488.

[5] 廖軍. 基于P2P的惡意代碼檢測及防御技術研究［D］. 成都：電子科技大學， 2014：27-30.（LIAO J. Research of P2P-based malicious code detection and protection technology［D］. Chengdu： University of Electronic Science and Technology of China， 2014：27-30.）

[6] 關欣，朱冰，陳震，等. 基于特征碼病毒掃描技術的研究［J］. 信息網絡安全， 2013， 13（4）：8-13.（GUAN X， ZHU B， CHEN Z， et al. Study on virus signatures based on matching in virus-detecting technologies［J］. Netinfo Security， 2013， 13（4）： 8-13.）

[7] 高宇，莫有權，李慶榮，等. 基于分布式結構的網絡惡意代碼智能分析系統［J］. 計算機應用與軟件， 2010， 27（5）：121-124.（GAO Y， MO Y Q， LI Q R， et al. Distributed structure-based intelligent network malicious code analysing system［J］. Computer Applications and Software， 2010， 27（5）： 121-124.）

[8] 王平，方濱興，云曉春，等. 基于用戶習慣的蠕蟲的早期發現［J］. 通信學報， 2006， 27（2）：56-65.（WANG P， FANG B X， YUN X C， et al. User-habit based early warning of worm［J］. Journal on Communication， 2006， 27（2）： 56-65.）

[9] 吳國政，秦志光. 基于節點自殺的對等網絡蠕蟲防治方法［J］. 電子科技大學學報， 2012， 41（1）：125-130.（WU G Z， QIN Z G. Suicide based P2P worms defensive approach［J］. Journal of University of Electronic Science and Technology of China， 2012，41 （1）： 125-130.）

[10] 謝承灝，董健全. P2P文件共享系統中的惡意代碼防治策略［J］. 計算機工程與應用， 2006， 42（24）：152-156.（XIE C H， DONG J Q. A malware defence strategy in file-sharing system［J］. Computer Engineering and Applications， 2006， 42（24）： 152-156.）

[11] YANG R， WANG B H， REN J， et al. Epidemic spreading on heterogeneous networks with identical infectivity［J］. Physics Letters A， 2006， 364（3/4）： 189-193.

[12] HETHCOTE H W. The mathematics of infectious diseases［J］. SIAM Review， 2000， 42（4）： 599-653.

[13] 徐文雄，張仲華. 具有預防接種免疫力的雙線性傳染率SIR流行病模型全局穩定性［J］. 大學數學， 2003， 19（6）：76-80.（XU W X， ZHANG Z H. Global stability of SIR epidemiological model with vaccinal immunity and bilinear incidence rates［J］. College Mathematics， 2003， 19（6）： 76-80.）

[14] REN J G， YANG X F， ZHU Q Y， et al. A novel computer virus model and its dynamics［J］. Nonlinear Analysis： Real World Applications， 2012， 13（1）： 376-384.

[15] 付偉，王靜，潘曉中，等. 動態同質網絡上的SIR謠言傳播模型［J］. 計算機應用， 2018， 38（7）：1951-1955， 1966.（FU W， WANG J， PAN X Z， et al. SIR rumor propagation model on dynamic homogeneity network［J］. Journal of Computer Applications， 2018， 38（7）： 1951-1955， 1966.）

[16] JACKSON M， CHEN-CHARPENTIER B M. Modeling plant virus propagation with delays［J］. Journal of Computational and Applied Mathematics， 2017， 309： 611-621.

[17] LA SALLE J P. The Stability of Dynamical Systems［M］. Philadelphia， PA： Society for Industrial and Applied Mathematics， 1976： 7-34.

[18] CLARK R N. The Routh-Hurwitz stability criterion， revisited［J］. IEEE Control Systems Magazine， 1992， 12（3）： 119-120.

[19] LAVRETSKY E， WISE K A. Lyapunov stability of motion［M］// Robust and Adaptive Control： With Aerospace Applications. London： Springer， 2013： 225-261.

[20] XIAO X， FU P， DOU C S， et al. Design and analysis ofworm propagation model in mobile Internet［J］. Communications in Nonlinear Science and Numerical Simulation， 2017， 43： 341-350.

LI Hanlun， born in 1993， M. S. candidate. His research interests include propagation model， complex networks.

REN Jianguo， born in 1978， Ph. D.， associate professor. His research interests include modeling and simulation of network malicious programs， spatial dynamics of network security， network attack and defense， information security of complex networks.

Malware propagation model based on characteristic behavior detection in P2P networks

LI Hanlun， REN Jianguo*

（，，221116，）

Concerning the problem that the existing malware propagation models lack the mechanism of real-time detection of new malware and dynamic sharing of prevention and control information between nodes in Peer-to-Peer （P2P） networks， a detection-propagation model was established based on malware characteristic behavior detection technology. Firstly， based on the classic Susceptible-Infected-Recovered （SIR） propagation model， broadcast nodes were introduced （broadcast nodes refer to special nodes that generate prevention and control information after successfully detecting files containing malware and continuously send this message to neighbor nodes）. The model after introducing broadcast nodes can effectively reduce the risk of nodes themselves being infected through detection technology and can restrain the spread of malware in the network by dynamically sharing malware information between nodes in the network. Then， the equilibrium point was calculated and the propagation threshold of the model was obtained by the next generation matrix theory. Finally， the local stability and global stability of the equilibrium point of the model were proved by Hurwitz criterion and constructing Liapunov function. Experimental results show that when the propagation threshold is less than 1， compared with the degraded SIR model， under the detection rate of 0.5， 0.7 and 0.9， the proposed detection-propagation model has the total number of infected nodes at the peak point decreased by 41.37%， 48.23% and 48.64% respectively. Therefore， the detection-propagation model based on characteristic behavior detection technology can restrain the rapid propagation of malware in the network in the early stage， and the higher the detection rate， the better the containment effect.

malware; Peer-to-Peer (P2P) network; real-time detection; characteristic behavior; local stability; global stability

This work is partially supported by Natural Science Foundation of Jiangsu Province （BK20201462）.

1001-9081（2022）07-2125-07

10.11772/j.issn.1001-9081.2021040625

2021?04?20；

2021?07?11；

2021?07?14。

江蘇省自然科學基金資助項目（BK20201462）。

TP391.9

A

李漢倫（1993—），男，江蘇徐州人，碩士研究生，主要研究方向：傳播模型、復雜網絡； 任建國（1978—），男，山西忻州人，副教授，博士，主要研究方向：網絡惡意程序建模與仿真、網絡安全空間動力學、網絡攻防、復雜網絡信息安全。