APP下载

基于有向网络的Email病毒传播模型研究

2014-04-29吴文君

中国电子商情 2014年8期
关键词:病毒传播邮件时刻

吴文君

引言:互联网的发展,为人们的生活带来了更多的便利和乐趣,但计算机病毒的存在却给许多用户的生活造成了困扰。为设计出有效的病毒防御机制,了解病毒的传播机制举足轻重。本文基于有向网络针对最广为传播的Email病毒建立了传播模型,并对其进行了数理分析。首先阐述了研究课题的背景意义、国内外目前研究的传播模型及其优缺点。然后,分析了Email病毒的传播机制,建立了一个有向的Email网络,在引入感染率函数后分两个阶段建立了Email病毒的传播模型。最后,本文分别从理论与实验这两个方面分析了病毒传播的巅峰时刻及病毒清除的条件,得到了一致、合理的结果,为病毒抵御策略的制定提供了科学有力的指导。

一、研究背景与意义

计算机病毒是编制者在计算机程序中插入的破坏计算机功能或者影响计算机使用,且能自我复制的一组指令或程序代码。它具有非授权的可执行性、隐蔽性、破坏性、传染性及可触发性。 随着互联网的高速发展,现有的计算机病毒绝大多数是基于网络进行传播的病毒,而将病毒代码附属在Email中进行传播则是网络病毒传播的一个主要途径。

随着越来越多的网站账户乃至安全账号选择与Email账户进行绑定与认证,用户通过网络群收发邮件、贺卡,开启订阅后定期接收推送内容的习惯,Email成为当今世界上传播计算机病毒最主要的媒介。因此,分析Email病毒的传播特性,进而提出相应的防御策略已成为网络信息安全领域一个首要而紧迫的任务。

二、 国内外研究现状

当前关于Email病毒传播模型的研究主要是在生物学病毒传播模型的启发下建立起来的。Kephart和White于20世纪末提出了首个计算机病毒传播模型——SIS模型。此后,一些学者在此基础上将影响病毒传播的外界因素、反病毒措施等对病毒传播的影响考虑进来,力求建立更能准确描述病毒的传播特征。他们研究内容主要包括分析病毒如何在不同的网络环境中传播、传播的时间临界值是什么、免疫措施的影响等。其中,Bimal Kumar Mishra,Dinesh Saini依据信息的网络延迟性提出了SEIRS模型。Jose R.C.Piqueira,Adolfo A.de Vasconcelos,Vanessa O.Araujo等人在对SIR、AIR、SAI模型进行分析的基础上提出了动态SAIC模型。Hua Yuan,Guoqing Chen等人考虑了点到组的传播,建立了一个扩展的SEIR模型——e-SEIR。Cliff C.Zou,Don Towsley,Weibo Gong等人分析过网络拓扑结构、初始感染节点度的大小、检查电子邮件的时间间隔等因素对Email病毒传播的影响。T.Komninos,P.Spirakis,Y.C.Stamatiou,G.Vavitsas等人尝试在无标度的网络环境下,建立关于电子邮件和即时消息的蠕虫传播模型。

国内关于计算机病毒的研究也在不断深入。韩兰胜、洪帆等人建立了群组内Email病毒的迭代传播模型,包含了节点的连接率,并利用矩阵的谱半径分析了病毒消亡的条件。韩宗芬、陶智飞等人利用复杂网络的幂律分布,通过分析节点的度对病毒传播的影响,给出了特定节点感染病毒的概率函数。

在复杂的互联网系统中,网络节点的连接也是动态变化的。与此同时,Email病毒的传播还受到人为因素等综合因素的影响,这提高了人们对病毒传播模型开展研究的难度。现有传播模型的主要缺陷包括:

1.没有较好地刻画人为因素的影响。人为作用对Email病毒的传播有很大的影响,例如用户使用计算机的日常习惯、中毒后用户警惕性的提高、采取的反病毒措施等等。用户警惕性越高,感染病毒的概率越小,采取反病毒抵御措施还能制止病毒的进一步传播。

2.未考虑网络环境变化的影响。在现实网络中,病毒传播会受到连通性和带宽等的影响。此外,时间也是个不可忽视的因素。在复杂网络中,病毒的感染率在任何一个时刻都发生着变化,它应当被视为一个关于时间的函数。

3.未充分结合实际考虑病毒的免疫情况。目前的研究大多从传播初期便开始考虑病毒的免疫情况,但其实病毒的免疫是有滞后性的,而且免疫的措施来自网络管理员和用户两方面。用户下载安装反病毒程序的频率会随着这类程序的增多而提升。因此,免疫率与时间有关也值得纳入模型的考虑。

针对以上不足并结合已有的研究成果,本文基于有向网络拓扑结构,设定了动态传播函数,建立了一个新的Email病毒传播模型。

三、 基于有向网络的Email病毒传播模型

1、Email病毒传播过程综述

电子邮件病毒是一种利用电子邮件地址进行传播的恶意代码,制造者可能将病毒代码附在电子邮件的主体中作为链接,也能以附件为载体。一开始只有少数的用户被感染,有的病毒会对破坏被感染的主机,有的还会自动扫描其文件和有关联系人,通过自我复制并将病毒邮件发送到扫描到的地址,从而使病毒大规模扩散。如果用户直接将收到的陌生邮件删除,则不会感染上病毒。由此可见,用户打开含病毒的邮件是Email病毒传播的直接原因,用户的防备心越弱,病毒传播越快,其影响也越大。

不难看出,Email病毒的传播需要用户参与其中,它的传播不仅受到网络拓扑结构和节点度的影响,还与用户使用电子邮件的习惯有关。如:用户打开感染邮件的概率、用户检查邮件的时间间隔等。因此,本文将Email病毒的感染率定义为一个关于节点的度、打开感染邮件的概率和检查邮件的时间间隔等变量的函数,引入动态的感染率函数将使建立的模型更符合病毒的实际传播情况。

病毒免疫总是滞后于新病毒的出现。在传播初期,由于用户缺乏对新病毒的防备性,反病毒措施的缺失使病毒自由地传播蔓延。然而,随着病毒的不断传播,用户将提高警惕,采取措施。因此,在病毒传播的高峰期的关键点及时提高用户防备性,使其采取防疫措施可以有效地控制病毒传播,所以本文将以高峰期为临界值,从两个阶段分析病毒的传播。

2、Email网络拓扑结构描述

由于Email病毒主要根据感染用户的Email地址簿将病毒传播开来,它的传播过程具有明显的方向性。考虑到Email网络的连通性,定义Email网络为一有向图 ,其中 为Email网络的节点集,代表网络中电子邮件用户的集合, 为Email网络中的边集,若节点A的Email地址簿中含有节点B的Email地址,则存在一条从A指向B的有向边,反之同理。若A、B节点相互拥有对方的Email地址,则A、B之间存在一条双向边。

Email网络中节点的入度是指某节点的地址出现在网络中其他节点的Email地址簿中的数目,节点的出度是指该节点的Email地址簿中含有的Email地址数。电子邮件病毒的传播在很大程度上取决于感染节点的度,因为节点的度反映的是该节点与网络中其他节点的连接强度。节点的入度越大,被感染的概率就越高;节点的出度越大,感染其他节点的概率就越大。

Email有向网络同其他复杂网络一样,具有局部集聚性,且其节点服从幂律分布。节点的度越大,越能促进病毒的传播。而在实际的Email网络中,度很大的节点一般较少,大多数节点的度均较小,而度很大的节点被感染则会招致病毒的快速扩散。

3、Email病毒传播模型建立

1)初始阶段的传播模型

假设时间是离散,令 ,用 表示邮件网络拓扑结构中的用户总数。 表示 时刻网络中被感染的用户数,则 时刻未感染(健康)的用户的数目为 。设某个健康用户被感染的概率为 ,则单位时间内新增的被感染用户有 。因此, 时刻网络中已感染病毒的用户由两部分构成: 时刻已感染上病毒且到 时刻还未被清除的用户数目以及 时刻新增被感染用户的数目。令 为反病毒程序开始出现的时刻,则未出现杀毒程序前,即 时,病毒的传播满足迭代关系: ,其中 为病毒感染率函数。

由于Email病毒的传播是从已感染节点的相邻节点传播的,也就是说, 时刻被感染节点是与 时刻的感染节点直接相连的,故感染率函数 与节点的平均节点度 有关且 越大越有利病毒的传播。同时,感染率函数 还应与感染用户数目占总数 的比例有关,因为显然已感染的用户数占比越大,病毒传播得越快,节点感染的概率也越大。此外,病毒进入某用户的邮箱后并不会自行运行,而是潜伏其中直到用户查看邮箱并打开该邮件乃至点击其中的链接或下载附件时才会被激活。由此可见,若用户查看邮件的时间间隔越大,则病毒的潜伏期越长,传播得也就越慢。用户从邮件服务器上下载邮件后是否会感染上病毒则取决于用户是否打开该邮件。若用户打开该邮件,则可能感染病毒并传给其他用户;若用户或其主机中的杀毒软件检测到邮件的异常,在未打开的时就将其删除,则用户一定不会感染上病毒,且有效地抑制了病毒进一步传播。因此, 还与用户查看邮件的时间间隔和用户打开邮件的概率有关。令 为用户打开带毒邮件的概率, 为用户检查邮件的时间间隔,则单位时间内用户打开带毒邮件的概率为 ,从而有 ,代入迭代函数,有:

2)采取免疫措施后的传播模型

在建立采取免疫措施后的病毒传播模型的过程中,应当考虑其的延迟效应,重新分析当病毒爆发规模达到一定程度,采取免疫措施后,单位时间内新增感染的用户数应当从上述的用户数中减去清除了病毒的用户数。事实上,感染用户在杀毒后将变回为易感(健康)用户,因此在病毒传播并被清除的过程中,主机其实在易染状态和感染状态之间不断切换。设用户查杀病毒的概率为 ,则杀毒后即 时,

4、传播模型的理论分析

1) 传播过程的巅峰时刻

为了更加准确地分析病毒的传播特征,以便在合适的时刻采取免疫措施,需要分析病毒在自由传播时的巅峰时刻。

易得微分方程: ,当 时,有 ,我们将在单位时间内新增感染的用户数目最多的时刻定义为病毒传播的巅峰时刻。由表达式知,用户越有可能打开邮件,Email病毒传播过程中感染的用户越多;用户隔得越久查看邮件,越能阻碍病毒传播。

设初始时刻被感染的节点数为 ,代入上述微分方程,有:

令 ,则 ,计算可得:

在传播巅峰到来前采取免疫措施将较易控制病毒,若在传播巅峰到来后再采取措施,则病毒很可能已经大规模爆发,此时补救会更为困难。为了更好地控制病毒的传播势态,应当尽可能延迟传播的巅峰时刻,因为这样能为反病毒专家争取更多的时间去研发杀毒程序。因此, 的值越大越好。可以看出,用户打开邮件的概率及平均节点度与传播巅峰时刻的函数成反比,与用户查看邮件的时间间隔成正比,这说明如果用户尽可能少地打开带毒邮件、不那么频繁地查收邮件并且不要在Email联系人中保存太多Email地址对推迟病毒传播的时刻有益,能有效地阻碍病毒的传播。

2)病毒清除的临界条件

用户通过下载运行相应的杀毒程序查杀病毒、删除感染文件后能够有效控制病毒的传播,在一定条件下甚至能彻底清除病毒。

由上述分析,有:

变形可得伯努利方程:

计算得到方程的解为:

其中 表示单位时间内感染用户数的增长率。当 时,感染用户数不再增加,这意味着病毒的传播得到了控制。令 ,则可得到:

由此可得:

由于当 时 ,则当 时,

这说明在病毒的传播过程中,当杀毒率 、用户在单位时间内打开感染邮件的概率 以及初始时刻已感病毒的用户数目 满足 时,病毒传播能够得到控制。

若用户在单位时间内很可能打开带毒邮件,则需要较大的病毒清除率 才能阻止病毒的传播;若打开的可能性较小,则较小的 也可以控制病毒传播。 与 呈反比关系,这是因为 越小,病毒传播的空间就越大,因此需要较大的查杀率才能阻止病毒的大规模传播。反之,若 很大说明用户相邻的可感染的用户数目较少,这时病毒的传播速度趋于平缓,因此无需很大的杀毒率就能阻止其传播。由此可见,病毒传播的各影响因素之间存在着相互制约的关系而不是彼此独立的,分析得到的上述病毒的清除条件有利于指导控制病毒传播的抵制策略。

5、传播模型的仿真实验

在Matlab7.0的环境下用Simulink工具箱进行仿真实验,对模型进行进一步的验证与分析。假设在Email有向网络中,用户总数N=10000,用户地址簿中的平均联系人数 为10。人。

图1 打开邮件的概率的影响 图2查收邮件时间间隔的影响

从图1可知,病毒的传播分为三个阶段。一开始,病毒传播的十分缓慢,到中期时,病毒的传播速度快速提升,当感染的用户数达到用户总数的一半左右时,病毒传播迎来巅峰时刻(如虚线所示)。最后,当感染用户数占比接近100%时,传播增速减缓并趋于稳定。从图2可以看出,用户查收邮件时间间隔与之相似,时间越长,病毒传播得越慢,且在占比达到约一半的时候达到传播的巅峰时刻。这与3.4.1节的理论分析结果是一致且相吻合的。

图3 采取免疫措施后病毒清除率的影响 图4 免疫后查收邮件时间间隔的影响

由图3知,采取免疫措施后,病毒的传播可能持续上升也可能逐渐下降。图中虚线部分为开始出现反病毒程序的时刻。当 时,感染用户的数目不断增加当 时,感染用户的数目数逐渐减少,病毒传播呈下降趋势最终趋于零。由仿真结果可知, 越大 越小,感染的用户数目减少得越快。

在 和 保持不变的情况下,查收邮件的时间间隔对感染用户数的影响如图4所示。其影响效应与未采取免疫措施时类似,时间间隔越大越能有效抑制病毒传播。采取免疫措施后,感染用户数呈下降趋势,病毒传播得到了有效的控制。这与理论分析的结果也是一致的,说明该模型建立得合理、科学。

四、总结

本文通过分析邮件病毒的传播环境及传播特性,定义了一个有向的Email网络拓扑模型,并引入了一个动态感染率函数,进而建立了一个病毒传播的数学模型,有效地刻画了邮件病毒传播的复杂性和交互性。此外,分析得出了该模型得出病毒传播过程存在一个关键时刻。在该时刻,病毒传播速度达到最大值,传播的巅峰时刻到来;在此时刻之前及时清除病毒或延迟该时刻的到来将有利于控制病毒的传播。

本文还通过分析得到了病毒传播得到有效控制及清除的条件。分析结果表明,若用户地址薄中的Email地址越多,打开带毒邮件的可能性越大,查收邮件的时间间隔越短,则需要更大的病毒清除率;在相反的情况下,较小的杀毒率也能较好地抑制病毒的传播。仿真实验也证明了理论分析的合理性。本文开展的研究与分析为病毒传播防治策略的提出提供了科学有效的理论指导。

参考文献

[1]Bimal Kumar Mishra, Dinesh Saini. Mathematical models on computer viruses. Applied Mathematics and Computation,2007,1 87(2):929-936.

[2]Jose R.C.Piqueira,Adolfo A.dc Vasconcelos,Carlos E.C.J.Gabriel,Vanessa O.Araujo. Dynamic models for computer viruses.Computers&Security,2008,27(7-8):355-359.

[3]Hua Yuan,Guoqing Chert.Network virtlS—epidemic model with the point-to—group

information propagation.Applied Mathematics and Computation,2008,206(1):357-367.

[4]Cliff C.Zou,Don Towsley,Weibo Gong.Email virus propagation modeling and Analysis.Technical Report:TR-CSE一03-04,University of Massachusetts,Amherst,

2004,157-170.

[5]T.Komainos,P.Spiralds,Y.C.Stamatiou,G.Vavitsas.A Worm Propagation Model based on Scale Free Network Structures and PeopleS Email Acquaintance Profiles.International Journal of Computer Science and Network Security,2007,7(2):308-315.

[6]邓清华. 计算机病毒传播模型及防御策略研究[D]. 华中师范大学硕士学位论文, 2009.

[7]韩兰胜,洪帆,韩淑霞.邮件病毒传播的迭代模型.计算机工程,2007,33(6):1—2,5.

[8]韩宗芬,陶智飞.网络病毒传播模型及两阶段动态免疫策略.华中科技大学硕

士学位论文,2006.

(作者单位:中南财经政法大学 统计与数学学院)

猜你喜欢

病毒传播邮件时刻
基于James的院内邮件管理系统的实现
冬“傲”时刻
捕猎时刻
来自朋友的邮件
安全开课
流行性病毒传播生态动力学系统
CMailServer
一封邮件引发的梅赛德斯反弹
“病毒传播室”
街拍的欢乐时刻到来了