基于云邊聯合防御的惡意代碼傳播模型

摘 要：將云安全與點對群信息共享網絡的特點進行融合，提出了一種基于云邊結合（云安全環境和點對群信息共享網絡相結合）的新型惡意代碼傳播模型，形成針對惡意代碼的云邊聯合防御。首先，在經典的易感—感染—免疫傳播模型的基礎上引入云安全節點，并且增加節點在云安全環境中的額外免疫途徑。其次，對新型模型進行動力學分析，計算出模型的平衡點和傳播閾值，證明平衡點的局部穩定性和全局穩定性。最后，數值模擬與仿真實驗的結果表明，基于云邊聯合防御的惡意代碼傳播模型能夠在網絡中更好地遏制惡意代碼的傳播，且隨著節點檢測與反饋能力的提升，遏制效果會更好。

關鍵詞：傳播模型；云安全；點對群網絡；云邊聯合；穩定性分析

中圖分類號：TP393 文獻標志碼：A

文章編號：1001-3695（2023）06-038-1837-08

doi：10.19734/j.issn.1001-3695.2022.11.0523

Malware propagation model based on cloud-edge joint defense

Li Chenxi，Ren Jianguo

（School of Computer Science amp; Technology，Jiangsu Normal University，Xuzhou Jiangsu 221116，China）

Abstract：This paper fused the characteristics of cloud security and the point-to-group networks，proposed a new malware propagation model based on cloud-edge combination，namely，cloud security environment and point-to-group information sharing networks，and formed the cloud-edge combination defense against malicious code.Firstly，this paper introduced cloud security node based on the classical susceptibility-infection-immune propagation model，and added additional immune pathways of nodes in cloud security environment.Secondly，this paper analyzed the dynamics of the new model，and calculated the equilibrium point and propagation threshold of the model，and proved the local stability and global stability of the equilibrium point.Finally，the results of numerical simulation and simulation experiments show that，the malware propagation model based on cloud-edge joint defense can better curb the spread of malware in the network，and with the improvement of node detection and feedback ability，the containment effect of malware will be better.

Key words：propagation model；cloud security；point-to-group network；cloud-edge joint；stability analysis

0 引言

隨著計算機與網絡相關技術的發展，所面臨的一個主要問題是網絡惡意代碼利用計算機與網絡的快速發展，影響了網絡安全并對網絡使用者的利益造成了損害［1］，網絡惡意代碼也正是目前導致網絡安全的主要威脅［2，3］。網絡惡意代碼是通過網絡在未經用戶同意卻在用戶的設備中進行活動的惡意代碼。目前研究網絡惡意代碼的檢測和傳播成為了網絡安全領域的一大熱點［4～6］。

在網絡惡意代碼的防治方面，目前對于各種新型惡意代碼的反應與處理一般都要等到惡意代碼對網絡和用戶主機進行了大規模的破壞后才能被發現，然后再給出相應的解決方案，這種機制顯然具有較大的滯后性。因此，迫切需要一種新型有效的技術抵抗網絡惡意代碼的侵擾，為解決這種現狀，各大廠商開始陸續推出云安全產品，云計劃也應運而生［7］。云安全指的是在云計算技術的基礎上，實現對計算機網絡數據的分析評定，從而了解計算機的網絡安全狀態，實現防范病毒的作用。云安全通過網絡的開放發展把用戶和病毒防范平臺緊密相連，從而形成一個巨大的病毒查殺數據庫，通過大量數據的分析，對病毒代碼的特征進行對比檢測并及時預警，在第一時間進行病毒查殺［8］。當用戶使用云安全產品時可以選擇是否參加云計劃，而云計劃是指通過客戶端收集可疑信息，然后發送給數據處理中心，中心經過自動處理或人工分析識別出各類新威脅，并及時反饋給參加云計劃的用戶，通過云計劃可以實現自動升級用戶主機的病毒庫，以抵抗新型網絡惡意代碼的攻擊。考慮到用戶的隱私問題，在用戶安裝了云安全產品后，可以根據自身情況選擇是否加入云計劃。

目前已有用云計算相關技術來檢測網絡惡意代碼的研究，例如文獻［9］提出了一種在云環境可行、有效的檢測技術。然而，目前的云安全系統過分強調服務器構成的“云”對惡意代碼的防御，忽視了用戶終端設備之間交流的情況。隨著區塊鏈和物聯網技術的發展［10］，終端設備的數量不斷增加，如果在云安全系統中沒有提供一個終端與另一終端之間相互通報惡意代碼信息的渠道，那么會使得惡意代碼的網絡生命周期仍然較長，造成的危害和損失仍然較大。針對上述問題，文獻［11］提出了一種基于Cloud-P2P計算模型的惡意代碼聯合防御網絡，在基于Cloud-P2P計算模型的惡意代碼聯合防御網絡中，服務器作為病毒信息收集與解決中心，負責收集可疑信息和反饋解決方案，而用戶終端則作為反病毒末梢節點并且用戶端之間可以相互交流，整個網絡形成了一個惡意代碼聯合防御整體，服務器與用戶終端各自承擔相應任務。然而，在以往關于惡意代碼的大部分研究中，研究的主要方向都與開發檢測惡意代碼的技術有關［12～14］，而有關惡意代碼傳播的理論研究［15～17］卻很少受到關注。事實上，研究惡意代碼傳播的理論和數學模型也同樣重要，如在文獻［18］通過優化MCWSN（multi-hop clustered wireless sensor network）的部署架構，提高了網絡的安全性；文獻［19］通過研究數學模型和最優控制理論，提出了有助于防御APT（advanced persistent threat）網絡間諜活動的方案。因此，數學模型和相關的理論研究可以用于分析惡意代碼行為的相關信息，進而對惡意代碼的傳播提出有針對性的防治措施。文獻［20］提出了一種具有非近鄰傳播特性的傳播模型，研究了惡意代碼在非相鄰節點之間的傳播，然而這僅僅是多考慮了在使用便攜式移動設備的過程中傳播惡意代碼的情況，網絡之中的惡意代碼傳播情況設有這么簡單，該文獻的研究沒有體現現實網絡的復雜性。下面為了方便起見，網絡中的成員在后續中也稱為節點。在目前的網絡中，人與人之間進行的交流和文件共享模式主要分為一對一和一對多，例如現在流行的即時社交軟件。在這種信息共享網絡中，群體中的某一個節點可以同時向同一群體的其他節點推送消息，這種模式廣泛存在于現實世界中，而這種網絡就是點對群（point-to-group，P2G）信息共享網絡，也就是點對群網絡。在點對群信息共享網絡中，同一群體的成員之間可以同時從信息源接收到傳播的信息，并且群體成員之間交流頻繁，這是點對群網絡的兩個特點。網絡惡意代碼在點對群信息共享網絡中傳播的問題更符合現實網絡環境所面臨的安全問題，因此，研究網絡惡意代碼在點對群信息共享網絡中的傳播模型更有現實意義。為了突破上述研究的局限，本文結合云安全環境（cloud）和點對群信息共享網絡（P2G網絡），提出一種云邊結合的防御模式，也可稱為Cloud-P2G（cloud and point-to-group）聯合防御，在經典的易感—感染—免疫（susceptible-infected-recovered，SIR）模型的基礎上提出了一種新型惡意代碼傳播模型，稱為易感—感染—免疫—云安全（susceptible-infected-recovered-cloud security，SIR-C）模型，新增加C艙室是為了既能夠反映云安全環境對于惡意代碼傳播的影響，也能夠結合點對群網絡中節點反饋的作用。

本文的主要貢獻如下：a）將云端服務器所提供的識別與檢測技術和點對群網絡中邊緣節點的信息反饋機制結合起來，形成針對惡意代碼的云邊聯合防御，提出一種基于Cloud-P2G聯合防御的新型惡意代碼傳播模型（SIR-C）；b）在模型構建時，考慮到人對于相同事物的不同接受程度對惡意代碼傳播的影響，根據現實中人們對于外界使用其個人隱私信息的不同接受程度對網絡中的成員進行劃分；c）對新提出的SIR-C模型進行動力學分析并通過數值仿真實驗來驗證理論結果的正確性。

1 相關工作

云安全體系的出現標志著病毒檢測和防御的重心從用戶端向網絡和后臺服務器群轉變，張偉等人［7］首先研究了云安全環境下蠕蟲的傳播模型，重點分析蠕蟲受到云環境對惡意行為檢測和干預效果，為研究云安全環境下惡意代碼的傳播模型提供了新的思路。徐小龍等人［11］提出了一種基于Cloud-P2P計算模型的惡意代碼聯合防御網絡，實現了對服務器資源和邊緣節點資源的聯合利用，提出了邊緣節點可以實現節點間報警和節點間惡意代碼解決方案傳遞的反饋作用，為研究邊緣節點資源的利用提供了新的思路。文獻［21］分析了云邊協同技術的相關研究，介紹了云計算技術在遠距離傳輸上的缺點可以利用邊緣計算進行彌補的可行性，再結合文獻［7，11］分別提供的云和邊的研究思路，本文提出了一種基于云安全環境和邊緣節點反饋機制相結合的聯合防御體系。

本文研究的重點是分析在云安全環境和邊緣節點反饋機制相結合的云邊聯合防御下，網絡惡意代碼的發展趨勢和抑制效果。SIR-C模型所基于的Cloud-P2G聯合防御是云安全環境和點對群信息共享網絡的結合，Cloud-P2G聯合防御所實現的功能可分為惡意代碼的識別檢測和防治信息的反饋兩個方面，其中識別檢測是利用云端服務器的資源，而防治信息的反饋是利用點對群信息共享網絡中邊緣節點的資源。

在云端資源的利用上，云端服務器作為病毒信息收集與解決中心，從參與云計劃的節點中收集可疑信息，然后云端的數據處理中心經過自動或人工處理識別出各類新威脅，并及時反饋給參加云計劃的節點。

在點對群信息共享網絡中邊緣節點的資源利用上，在點對群網絡中，同一群體的成員之間可以同時從信息源接收到傳播的信息，并且群體成員之間交流頻繁，當參與云計劃的節點識別檢測出新型惡意代碼后，會將這個結果反饋給周圍節點，因為同一群體的節點之間經常交流，甚至互相認識，所以當一個節點解決一個安全問題之后會將得到的信息及時、廣泛地反饋給周圍其他節點，這就是點對群信息共享網絡中成員的特點，這也符合現實生活中人與人之間的交流與反饋，當周圍人面臨安全問題時，作為已經解決這個安全問題的個體，會將自己解決這個安全問題的相關信息反饋給周圍其他人。

Cloud-P2G聯合防御的示意圖如圖1所示，在圖1中，眾多參與云計劃的節點（devices participating in the cloud plan）會將可疑信息（suspicious information）上傳給云端服務器（cloud server），云端服務器通過自動處理或人工分析檢測出新威脅后，會將預防或解決問題的方法（solution or prevention method）及時反饋給參加云計劃的節點（devices participating in the cloud plan），主要的預防或解決問題的方法是云端服務器幫助節點自動升級病毒庫，以抵抗或消除新型網絡惡意代碼。當參與云計劃的節點抵抗或消除新型網絡惡意代碼后，會根據抵抗或消除新型網絡惡意代碼的方法生成相關的防治信息，因為在點對群信息共享網絡中，同一群體的成員之間可以同時從信息源接收到傳播的信息，并且群體成員之間交流頻繁，所以抵抗或消除新型網絡惡意代碼的參與云計劃節點會將生成的防治信息反饋給周圍的易感設備，即因沒有升級病毒庫而不能抵御新型惡意代碼的節點（susceptible devices around a device parti-cipating in the cloud plan）。

在以往惡意代碼傳播模型的研究中，會假設部分節點沒有安裝相應的安全軟件［22］，這是不符合實際情況的。目前所使用的桌面操作系統中，Microsoft公司所推出的Windows系列在全球桌面操作系統的市場中占據了一半以上，其擁有出廠即安裝在計算機中的Microsoft Defender。Microsoft Defender是基于云的技術，能夠進行防御和查殺最新的威脅，所以本文假設Cloud-P2G聯合防御下的所有節點都安裝了具備云安全的反病毒軟件并且都處在云安全環境中。在點對群網絡邊緣節點的資源利用上，參與云計劃的節點通過云計劃可以實現自動升級病毒庫，以抵抗新型網絡惡意代碼的攻擊，因為在點對群信息共享網絡中，群體成員之間交流頻繁，所以當參與云計劃的節點識別出惡意代碼后，會主動生成防治信息并把這一信息發送給同一群體中的其他節點，其他節點共享該信息后能夠避免被該惡意代碼感染。

本文根據節點是否加入云計劃將節點進行劃分是考慮到人對于相同事物的不同接受程度對惡意代碼傳播的影響。在研究云安全環境下惡意代碼傳播的數學模型時，要將用戶是否愿意讓云安全軟件通過客戶端收集可疑信息的結果考慮進去，因此，將網絡中的成員劃分為參與云計劃的成員和沒有參與云計劃的成員，其中，參與云計劃的用戶假設為可接受個人隱私信息被云端服務器所使用的網絡成員，不參與云計劃的用戶假設為不可接受個人隱私信息被云端服務器所使用的網絡成員。在研究云安全環境下惡意代碼檢測技術時，不能盲目地追求檢測效果，還要考慮到用戶的選擇以及用戶對于個人隱私問題的不同態度。

因此，本文結合了云安全環境和點對群信息共享網絡的SIR-C模型研究的優勢主要有：

a）與文獻［9］相比，本文不僅關注云計算技術在惡意代碼檢測中起到的作用，還重視終端設備之間交流的情況，使得終端節點之間可以通過交流來獲得與惡意代碼相關的防治信息，將云端的作用以及邊緣節點的作用聯合起來（云邊聯合防御），有助于提高整個網絡的動態防治能力和云安全環境對于節點的保護效果；b）與文獻［11］相比，本文不僅提出了針對新型惡意代碼的云邊聯合防御模式，還對惡意代碼傳播的數學模型進行了深入的研究，對所提SIR-C模型進行相關的動力學分析和數值模擬；c）與文獻［20］相比，本文SIR-C模型是基于點對群（P2G）網絡，通過分析點對群信息共享網絡的特點，考慮到了同一群體的成員之間可以同時從信息源接收到傳播的信息并且群體成員之間交流頻繁，這都是貼合真實網絡情況的，因此，將這些特點考慮到SIR-C模型中，使得研究更具有現實意義。

2 模型構建

本文在經典SIR模型基礎上，將云端的檢測能力和邊緣節點的反饋作用相結合，構建了基于云邊聯合防御的惡意代碼傳播模型，即SIR-C模型。該模型的所有節點共有四種狀態，分別為易感狀態（susceptible，S）、感染狀態（infected，I）、免疫狀態（recovered，R）和云安全狀態（cloud security，C）。不同狀態的具體含義如下：

a）S代表易感節點的數量。在SIR-C模型中，所有節點都安裝了使用云計算技術的反病毒軟件，并且都處在云安全環境中，參與云計劃的易感節點還能夠及時升級云端服務器提供的最新病毒庫。當易感節點接收到網絡中的數據信息時，會利用節點自帶的云安全軟件進行惡意代碼的識別。

b）I代表感染節點的數量。感染節點可以通過傳播攜帶惡意代碼的數據信息來攻擊易感節點，進而造成易感節點的感染。

c）R代表免疫節點的數量。處于免疫狀態的節點不會被相關惡意代碼感染。

d）C代表云安全節點的數量。易感狀態節點在利用自帶的云安全軟件成功識別出惡意代碼之后就會轉換為云安全狀態。在點對群信息共享網絡中，群體成員之間交流頻繁并且同一群體內的成員可以同時從信息源接收到相同信息，依據點對群網絡的這兩個特點，云安全狀態節點會在消滅病毒后根據消滅病毒的相關反病毒信息生成防治信息，將防治信息通過點對群網絡快速、廣泛且持續地反饋給周圍的易感節點。

為了體現不同狀態節點的數量之間的關系，用N表示網絡中節點的總數，在t時刻的網絡總節點數N可以表示為

N（t）=S（t）+I（t）+R（t）+C（t）

SIR-C模型是基于云邊聯合防御（Cloud-P2G）的惡意代碼傳播模型，其關鍵機制是云邊結合，其中，云是指云端的檢測技術，邊是指點對群信息共享網絡中邊緣節點的反饋機制。為了實現這一關鍵機制，可以使用檢測—反饋算法。檢測—反饋算法的實現分為兩個部分，第一個部分是對參與云計劃的用戶進行數據收集，然后通過云安全軟件進行病毒檢測，具體的過程如下：

算法1 收集與檢測

參與云計劃的節點將可疑信息等上傳到云端；

云端服務器分析識別出各類新威脅后生成解決和預防方案；

將解決方案發送給云計劃中的感染節點；

將預防方案發送給云計劃中的易感節點；

for S in N（S）

if（參與云計劃）

自動升級病毒庫，進行病毒檢測；

if（檢測到病毒）

消滅病毒，上傳病毒相關信息到云端；

進入到云安全狀態；

else

進入針對該病毒的免疫狀態。

第二個部分的時間順序是在第一個部分之后，當易感狀態的節點進入到云安全狀態，利用點對群網絡的特點，通過云安全節點將反惡意代碼的防治信息反饋給周圍易感節點，具體的過程如下：

算法2 反饋防治信息

for C in N（C）

根據消滅掉的病毒信息生成防治信息；

將防治信息持續反饋給周圍易感節點；

if（有新的易感節點成為群體成員）

將防治信息發送給新節點。

通過如上的檢測—反饋算法，能夠更好地體現如何將云端的作用以及邊緣節點的作用聯合起來（云邊結合），有助于進一步研究狀態轉換。

本文SIR-C模型的四種狀態以及狀態轉換關系如圖2所示。圖2中的4個圓形框分別表示4種不同的狀態，圖2中的有向線段表示節點狀態轉換的方向，而有向線段旁的符號表示狀態轉換的參數。

在SIR-C模型中，各參數的具體含義如下：

a）β₂為從S到I的感染率，β₁為從S到C的轉換率，且β₁=αβ，β₂=（1-α）β。其中，β為易感節點與感染節點之間的感染系數；α為檢測率，代表易感節點成功檢測出惡意代碼的概率。當易感節點在接收到惡意代碼后，如果檢測成功，一方面，將上傳惡意代碼的相關信息到云端，幫助云端不斷完善針對該惡意代碼的檢測和消殺；另一方面，將根據消滅掉的病毒信息生成防治信息，然后將防治信息反饋給周圍易感節點。易感節點檢測成功的狀態轉換方向為S→C，檢測失敗的狀態轉換方向為S→I。

b）μ表示一般免疫率，在不考慮云計劃的情況下，節點不能直接獲得云安全產品提供的自動升級服務，但是某些易感節點具有較高的反病毒能力，通過主動升級自身反病毒軟件的病毒庫等抗病毒行為，獲得對惡意代碼的免疫，狀態轉換方向為S→R；某些感染節點雖然被感染，但是也會因為自身反病毒能力的變化而作出升級自身反病毒軟件的病毒庫等抗病毒行為，通過反病毒軟件升級后的檢測找到并且消滅病毒，狀態轉換方向為I→R。

c）ω表示在網絡中加入云計劃因素下的額外免疫率，其不同于一般免疫率μ。參與云計劃的易感節點，云端服務器會及時將對抗某種惡意代碼的最新預防方案發送給網絡中的這些節點，使得參與云計劃的易感節點在未接觸到相關惡意代碼時就已經具備了免疫，易感節點的狀態轉換方向為S→R。在惡意代碼爆發初期，云端還沒有收集到足夠的可疑信息，也沒有研究出相應的預防和解決方案，所以有節點雖然參與了云計劃，但還是被感染，當針對相關惡意代碼的解決方案研究成功后，云端服務器會及時將對抗某種惡意代碼的最新解決方案發送給參與云計劃的感染節點，使得這些被感染的節點也能夠在云端的幫助下得到免疫，感染節點的狀態轉換方向為I→R。

d）γ為邊緣節點反饋率，當云安全狀態的節點與易感節點進行信息交流時，云安全狀態的節點會持續把防治信息反饋給周圍的易感節點，這些易感節點接收成功后會進行病毒升級等反病毒操作，使其獲得免疫，狀態轉換方向為S→R。

3 穩定性分析

3.1 無病平衡點的穩定性分析

3.2 病毒平衡點的穩定性分析

4 數值模擬與仿真

通過數值模擬與仿真的相關實驗，可以對SIR-C模型的動力學系統，即云邊聯合防御系統的實施效果進行評估。數值模擬實驗的計算機設備規格為：Intel Core i5-10300H CPU，CPU的主頻為2.50 GHz，16 GB的內存和Windows 10的操作系統。在這樣的計算機設備條件下，使用MATLAB R2016a平臺進行數值模擬與仿真的相關實驗。為了能夠研究云邊聯合防御條件下的惡意代碼在大規模網絡中的傳播規律，在所有數值模擬與仿真的相關實驗中，初始節點的數量都設置為100 000。

4.1 云邊聯合防御的系統隨時間的變化

第一、二個數值模擬實驗是為了驗證本文SIR-C模型的無病平衡點E₀和病毒平衡點E*的穩定性理論，也就是驗證第3章穩定性分析中的定理。

在第一個實驗中，劃分了各個狀態節點的數量，其中，易感節點、感染節點、云安全節點和免疫節點的初始節點數量分別設置為S（0）=80 000，I（0）=20 000，C（0）=0，R（0）=0。在狀態轉換的過程中，模型各參數分別為μ=0.001，ω=0.002 8，α=0.7，β=0.000 000 3，γ=0.000 000 5，d=0.000 6。根據第3章穩定性分析中的式（4）進行計算，可以得到基本再生數R₀=0.278 9lt;1。通過定理1和2的相關理論可以知道，網絡中的惡意代碼會在最終消失。圖3顯示了各個狀態的節點數量隨時間的變化過程，橫坐標是單位時間，縱坐標是節點數量。從圖3可以看出，由于感染節點在系統初期通過直接接觸感染了易感節點，所以導致感染節點的數量在短時間內得到了小幅度的增加，但是之后就開始逐漸下降并且趨近于零。因此，從長遠看，整個網絡是處于免疫狀態的，這與定理1和2的理論是一致的。

在第二個實驗中，在保持初始100 000節點數量不變的情況下，也對各個狀態的節點數量進行了劃分，但是與第一個實驗不同，在第二個實驗中是將各個狀態的初始節點的數量分別設置為S（0）=99 950，I（0）=50，F（0）=0，R（0）=0。在第二個實驗中，各個參數的取值是μ=0.000 01，ω=0.000 028，α=0.7，β=0.000 000 3，γ=0.000 000 5，d=0.000 000 6。根據第3章穩定性分析中的式（4），可以計算得到此時基本再生數R₀=3.624gt;1。通過定理3和4的相關理論可以知道，在各個節點狀態轉換的過程中，系統中的感染節點不會隨著時間的增長而消失且漸近穩定。圖4顯示了當R₀gt;1時，易感節點、感染節點、云安全節點和免疫節點數量隨時間的變化，圖4的橫坐標是單位時間，縱坐標是節點數量。從圖4中可以看出，當R₀gt;1時，在系統初期雖然只有很少量的感染節點，但是由于惡意代碼從感染節點持續不斷地傳播到易感節點，隨著時間的增長，感染節點的數量在逐漸增多，最后，所有狀態都達到了平衡點。這與定理3和4的理論是完全一致的。與實驗1相比，實驗2的表現更符合實際情況，因為防病毒軟件不能夠及時地應對新型惡意代碼，所以就需要使用云安全技術。云端服務器通過收集大量參與云計劃用戶的相關可疑信息，分析識別出各類新威脅后生成解決和預防方案，幫助云計劃用戶及時升級云端服務器提供的最新病毒庫，為了更加及時地將最新反病毒信息發送給各個節點，還要將云端的作用以及邊緣節點的作用聯合起來即云邊結合，共同防御惡意代碼的攻擊，這表明云端的檢測能力和邊緣節點的反饋作用相結合對遏制惡意代碼在整個網絡中的快速擴散起到關鍵作用。

4.2 云邊聯合防御的系統與其他系統的比較

第三和四個數值模擬實驗是為了驗證在點對群信息共享網絡中，新提出的SIR-C模型在將云端的作用以及邊緣節點的作用聯合起來（云邊結合）后，相比于Kermack-Mckendrick的經典SIR模型（模型2）和有云安全相關技術以及考慮到人對于云計劃所要獲取個人隱私的不同接受程度但未考慮邊緣節點作用的SIR模型（模型3），云邊聯合防御的SIR-C模型在惡意代碼傳播的遏制上具有更好的效果。

在這兩個實驗中，模型2不僅沒有考慮邊緣節點作用，也沒有引入云安全相關技術，所以不受額外免疫率ω、惡意代碼檢測率α和邊緣節點反饋率γ的影響，即云計劃影響下的額外免疫率ω=0，惡意代碼檢測率α=0，邊緣節點反饋率γ=0，在更利于與本文SIR-C模型進行對比的前提下，構建經典SIR模型，在本文中稱為模型2，其微分動力學方程可以寫為

模型3不受邊緣節點反饋率γ和惡意代碼檢測率α的影響，即惡意代碼檢測率α=0，邊緣節點反饋率γ=0。文獻［7］研究了基于云安全環境的蠕蟲傳播模型，文獻［27］研究了基于云計算環境的僵尸網絡傳播模型，他們在模型構建上具有兩個共同的特點：a）在云安全環境下構建傳播模型；b）都考慮到人對于云安全的不同接受程度，將節點劃分為參加云安全的節點和不參加云安全的節點。為了能夠更好地與SIR-C模型對比，構建符合上述文獻中具備云安全環境且考慮到人對于云安全不同接受程度這兩個特點的模型，在本文中稱為模型3，其微分動力學方程可以寫為

在第三個實驗中，在模型2、3與SIR-C模型的動力學系統中，初始節點數量同實驗1相同，SIR-C模型各參數分別為μ=0.001，ω=0.002 8，α=0.7，β=0.000 000 3，γ=0.000 000 5，d=0.000 000 6，模型3的參數除了γ=0，α=0以外和此時的SIR-C模型一致，模型2的參數則是除了ω=0，α=0，γ=0以外與此時的SIR-C模型一致，此時三個模型的基本再生數都小于1。如圖5所示，橫坐標是單位時間，縱坐標是感染節點數量，當R₀≤1時，三個系統中的感染節點數量都會在最終趨近于零，而且可以看到，加入云安全相關技術并且考慮到人對于云計劃所要獲取個人隱私的不同接受程度后的系統相比于經典SIR模型的系統，能夠更早、更快地使感染節點數量下降到趨近于零，并能夠使得感染節點數量的峰值遠遠小于經典SIR模型。而且，在點對群信息共享網絡中，云邊聯合防御的SIR-C模型與模型3相比，能夠進一步減少感染節點數量所達到的峰值，在SIR-C模型的邊緣節點反饋率γ取0.000 005時，感染節點在峰值處的數量減少了58.34%，即云邊聯合防御的SIR-C模型能夠更快速地將反惡意代碼的相關防治信息進行傳播，進而減少系統初期所面臨的防病毒軟件不能夠及時地應對新型惡意代碼的問題。

在第四個實驗中，三個模型各狀態的初始節點數量同實驗2中的一致，本次實驗中的SIR-C模型各個參數的選取除α=0.2外和實驗2一致，模型3的參數除γ=0，α=0以外和此時的SIR-C模型一致，模型2的參數則是除了ω=0，α=0，γ=0以外和此時的SIR-C模型一致，那么此時三個模型的基本再生數與實驗3不同，實驗4中三個模型的基本再生數大于1。如圖6所示，圖6的橫坐標是單位時間，縱坐標是感染節點數量，當R₀gt;1時，三個系統的感染節點最終都不會消失，而是一直存在并分別趨近于一個穩定的峰值，但是在點對群信息共享網絡中，該本文SIR-C模型的感染節點數量隨時間的變化一直都是低于其他模型的并且感染節點最終的穩定峰值也是遠遠小于其他模型。云邊結合的SIR-C模型與模型3相比，能夠進一步減少感染節點數量所達到的峰值，在SIR-C模型的邊緣節點反饋率γ取0.000 000 5時，感染節點在峰值處的數量減少了43.45%。

從實驗3、4的結果可以看出，在點對群信息共享網絡中，不管感染節點是否會被完全消除，基于云邊聯合防御的SIR-C模型相比于其他兩個模型，都能夠更好地遏制惡意代碼在網絡中的傳播。云邊聯合防御的SIR-C模型與有云安全相關技術但未考慮邊緣節點作用的SIR模型相比，通過引入邊緣節點反饋的反饋機制，能夠進一步減少感染節點的數量，遏制惡意代碼在網絡中的傳播。

4.3 其他關鍵參數對云邊聯合防御系統的影響

在本文SIR-C模型中，相比于經典SIR模型，有三個關鍵參數是SIR-C模型所特有的，分別是檢測率α、額外免疫率ω和邊緣節點反饋率γ。在4.2節中已對邊緣節點反饋率γ進行了相關數值模擬實驗，下面的數值模擬實驗，將通過分析其他兩個參數的不同參數值對感染節點數量的影響來研究這些參數對SIR-C模型的動力學系統，即云邊聯合防御系統的影響。

1）檢測率α對感染節點數量變化的影響

實驗5、6通過數值模擬實驗來研究不同的檢測率α對于云邊聯合防御系統的影響。

在數值模擬實驗5中，各狀態的初始節點數量和除檢測率α外的其他參數同實驗3中SIR-C模型是一致的，檢測率α的取值分別為0，0.1，0.3，0.4，其中，當檢測率α=0時代表未使用云安全軟件所提供的相關檢測技術。如圖7所示，橫坐標是單位時間，縱坐標是感染節點數量，當R₀≤1時，不同檢測率對感染節點數量的變化起到了不同程度的影響。由曲線的變化趨勢可知，在點對群信息共享網絡中，隨著惡意代碼檢測率的提升，同一時間的感染節點數量呈下降趨勢，系統初期感染節點數量所達到的峰值也越來越小。因此，在點對群信息共享網絡中，當R₀≤1時，提高云安全軟件的檢測效率可以幫助系統在初期遏制惡意代碼的傳播規模。

在數值模擬實驗6中，系統各狀態的初始節點數量和除檢測率α外的其他參數同實驗2是一致的，檢測率α的取值分別為0，0.1，0.3，0.4，其中，當檢測率α=0時代表未使用云安全軟件所提供的相關檢測技術。如圖8所示，橫坐標是單位時間，縱坐標是感染節點數量，當R₀gt;1時，雖然惡意代碼一直存在于網絡之中，但是不同的檢測率依然對感染節點數量的變化起到了不同程度的影響。從圖8中曲線的變化趨勢可以看出，在點對群信息共享網絡中，隨著惡意代碼檢測率的提升，同一時間的感染節點數量呈下降趨勢，系統中感染節點數量所達到的峰值也越來越小。因此，在點對群信息共享網絡中，當R₀gt;1時，通過提高云安全軟件的檢測效率，可以減少系統中被惡意代碼感染的節點數量。

從實驗5、6的結果可以看出，當其他參數值保持不變的情況下，惡意代碼的檢測率和系統感染節點的數量之間是反比關系，隨著檢測率的增加，同一時間感染節點的數量是降低的。

2）額外免疫率ω對感染節點數量變化的影響

實驗7、8通過數值模擬實驗來研究不同的額外免疫率ω對于云邊聯合防御系統的影響。

在實驗7中，各狀態的初始節點數量和除額外免疫率ω外的其他參數同實驗3中SIR-C模型是一致的，額外免疫率ω的取值分別為0.002 8，0.003 5，0.004 2和0.004 9。如圖9所示，橫坐標是單位時間，縱坐標是感染節點數量，當R₀≤1時，隨著額外免疫率ω的增加，網絡中感染節點數量所能達到的峰值是不斷降低的，這可以減少網絡惡意代碼在傳播初期對整個網絡所造成的破壞強度。

在實驗8中，系統各狀態的初始節點數量和除額外免疫率ω外的其他參數同實驗2是一致的，額外免疫率ω分別取值為0.000 028，0.000 035，0.000 042和0.000 049。圖10的橫坐標是單位時間，縱坐標是感染節點數量，當R₀gt;1時，隨著額外免疫率的細微增加，網絡中同一時間的感染節點數量變化是很小的，但是總體呈下降趨勢，這說明當R₀gt;1時，雖然額外免疫率ω的變化對于感染節點數量的影響降小，但是額外免疫率ω和感染節點數量是負相關。

從數值模擬實驗7、8的結果可以看出，當其他參數值保持不變的情況下，云邊聯合防御系統的額外免疫率ω和系統感染節點的數量之間是反比關系，隨著額外免疫率的增加，同一時間感染節點的數量是降低的。

在4.3節的數值模擬實驗中，通過分析參數值對感染節點數量的影響來研究這些參數對云邊聯合防御系統的影響，可以發現，檢測率α和額外免疫率ω與感染節點數量都是負相關，因此，通過增強針對網絡惡意代碼的檢測能力以及增加節點的免疫途徑可以更好地遏制惡意代碼在網絡中的傳播，提高網絡安全性。

5 結束語

隨著計算機和網絡相關技術的快速發展，新型惡意代碼的出現層出不窮，然而在實際情況下，防病毒軟件不能夠及時地應對新型惡意代碼，這就要使用到云安全技術。云安全是通過收集大量參與云計劃用戶的可疑數據信息，進行分析、識別和處理，針對新型威脅生成預防與解決的辦法。在注重云端分析與檢測能力的同時，既要考慮到人對于云計劃所要獲取個人隱私的不同接受程度，也不能忽視邊緣節點之間交流與反饋的作用。在點對群信息共享網絡中，已經檢測出相關惡意代碼的節點會將防治信息持續反饋給周圍易感節點，使得節點間能夠動態反饋防治信息，進一步提高整個網絡的抗病毒能力。本文基于云邊結合，即Cloud-P2G聯合防御所提出的SIR-C模型就是在點對群信息共享網絡中，將云端的作用以及網絡中邊緣節點的作用結合起來，然后在此基礎上，對新提出的SIR-C模型進行動力學分析和數值模擬與仿真。本文模型是建立在均勻網絡上的，沒有考慮到在現實情況中網絡的結構復雜性，因此，下一步的工作是研究網絡結構的變化對于SIR-C模型在遏抑惡意代碼傳播中有何影響，以期能夠獲得更加符合實際情況的結果。

參考文獻：

［1］Keshavarzi M，Ghaffary H R.I2CE3：a dedicated and separated attack chain for ransomware offenses as the most infamous cyber extortion［J］.Computer Science Review，2020，36：100233.

［2］Chen Long，Xia Chunhe，Lei Shengwei，et al.Detection，traceability，and propagation of mobile malware threats［J］.IEEE Access，2021，9：14576-14598.

［3］Alswaina F，Elleithy K.Android malware family classification and analysis：current status and future directions［J］.Electronics，2020，9（6）：942.

［4］Naseer M，Rusdi J F，Shanono N M，et al.Malware detection：issues and challenges［J］.Journal of Physics：Conference Series，2021，1807（1）：012011.

［5］Li Li，Cui Jufu，Zhang Rui，et al.Dynamics of complex networks：malware propagation modeling and analysis in industrial Internet of Things［J］.IEEE Access，2020，8：64184-64192.

［6］Xia Hui，Li Li，Cheng Xiangguo，et al.A dynamic virus propagation model based on social attributes in city IoT［J］.IEEE Internet of Things Journal，2020，7（9）：8036-8048.

［7］張偉，王汝傳，李鵬.基于云安全環境的蠕蟲傳播模型［J］.通信學報，2012，33（4）：17-24.（Zhang Wei，Wang Ruchuan，Li Peng.Worm propagation modeling in cloud security［J］.Journal on Communications，2012，33（4）：17-24.）

［8］賀嘉，李雁，鄭袁平，等.計算機病毒防范中“云安全”的應用研究［J］.網絡安全技術與應用，2021，243（3）：65-66.（He Jia，Li Yan，Zheng Yuanping，et al.Research on the application of cloud security in computer virus prevention［J］.Network Security Techno-logy amp; Application，2021，243（3）：65-66.）

［9］Gupta S，Kumar P.An immediate system call sequence based approach for detecting malicious program executions in cloud environment［J］.Wireless Personal Communications，2015，81（1）：405-425.

［10］Alkhateeb A，Catal C，Kar G，et al.Hybrid blockchain platforms for the Internet of Things（IoT）：a systematic literature review［J］.Sensors，2022，22（4）：1304.

［11］徐小龍，吳家興，楊庚.一種基于Cloud-P2P計算模型的惡意代碼聯合防御網絡［J］.計算機應用研究，2012，29（6）：2214-2217，2257.（Xu Xiaolong，Wu Jiaxing，Yang Geng.Malicious code united-defense network based on Cloud-P2P model［J］.Application Research of Computers，2012，29（6）：2214-2217，2257.）

［12］McIntosh T，Kayes A S M，Chen Y P P，et al.Ransomware mitigation in the modern era：a comprehensive review，research challenges，and future directions［J］.ACM Computing Surveys，2021，54（9）：1-36.

［13］Aslan A，Samet R.A comprehensive review on malware detection app-roaches［J］.IEEE Access，2020，8：6249-6271.

［14］Rathore H，Samavedhi A，Sahay S K，et al.Robust malware detection models：learning from adversarial attacks and defenses［J］.Forensic Science International：Digital Investigation，2021，37：301183.

［15］Zhang Chunming，Luo Fengji，Sun Mingyang，et al.Modeling and defending advanced metering infrastructure subjected to distributed denial-of-service attacks［J］.IEEE Trans on Network Science and Engineering，2020，8（3）：2106-2117.

［16］Amdr A，Gh B，Abt A，et al.Advanced malware propagation on random complex networks［J］.Neurocomputing，2021，423：689-696.

［17］Gan Chenquan，Feng Qingdong，Zhang Xulong，et al.Dynamical pro-pagation model of malware for cloud computing security［J］.IEEE Access，2020，8：20325-20333.

［18］Huang Dawen，Luo Fengji，Bi Jichao，et al.An efficient hybrid IDS deployment architecture for multi-hop clustered wireless sensor networks［J］.IEEE Trans on Information Forensics and Security，2022，17：2688-2702.

［19］Yang Luxing，Li Pengdeng，Yang Xiaofan，et al.Effective quarantine and recovery scheme against advanced persistent threat［J］.IEEE Trans on Systems，Man，and Cybernetics：Systems，2019，51（10）：5977-5991.

［20］陳旭輝，李塵，柯銘.一類具有個體差異性和非近鄰傳播特性的SIRS計算機病毒傳播模型［J］.計算機應用與軟件，2013，30（5）：15-19.（Chen Xuhui，Li Chen，Ke Ming.A model of SIRS computer virus spreading with individual differences and non-nearest neighbour propagation［J］.Computer Applications and Software，2013，30（5）：15-19.）

［21］陳玉平，劉波，林偉偉，等.云邊協同綜述［J］.計算機科學，2021，48（3）：259-268.（Chen Yuping，Liu Bo，Lin Weiwei，et al.Survey of cloud-edge collaboration［J］.Computer Science，2021，48（3）：259-268.）

［22］宋明秋，李艷博.考慮攻擊相關性的蠕蟲傳播模型［J］.運籌與管理，2020，29（1）：79-85.（Song Mingqiu，Li Yanbo.Worm propagation model considering attack correlation［J］.Operations Research and Management Science，2020，29（1）：79-85.）

［23］La Salle J P.The stability of dynamical systems［M］.［S.l.］：Society for Industrial and Applied Mathematics，1976：7-34.

［24］Clark R N.The Routh-Hurwitz stability criterion，revisited［J］.IEEE Control Systems Magazine，1992，12（3）：119-120.

［25］Sigdel R P，McCluskey C C.Global stability for an SEI model of infectious disease with immigration［J］.Applied Mathematics and Computation，2014，243：684-689.

［26］Wang Fangwei，Zhang Yunkai，Wang Changguang，et al.Stability ana-lysis of an e-SEIAR model with point-to-group worm propagation［J］.Communications in Nonlinear Science and Numerical Simulation，2015，20（3）：897-904.

［27］成淑萍，袁小艷，廖小平，等.基于云計算安全環境的僵尸網絡傳播模型［J］.計算機與數字工程，2018，46（9）：1830-1833，1865.（Cheng Shuping，Yuan Xiaoyan，Liao Xiaoping，et al.Botnet propagation modeling in cloud computing security environment［J］.Compu-ter amp; Digital Engineering，2018，46（9）：1830-1833，1865.）