手機病毒在藍牙網絡中傳播的SIRD模型

房慶祥，賈 穎

(中國計量學院理學院，浙江杭州310018)

2004年6月出現(xiàn)的Cabir蠕蟲病毒被認為是第一例真正意義上的手機病毒［1］。該病毒采用點對點的藍牙無線傳輸技術進行傳播，主要感染擁有藍牙功能的智能手機。到2005年3月，Cabir病毒蔓延到全世界20多個國家，出現(xiàn)了至少15個變種。研究報告［2］顯示，藍牙技術在智能手機中的應用最為廣泛。目前，藍牙已成為手機病毒傳播的重要方式之一，藍牙病毒大有蔓延之勢。病毒感染手機后不但會破壞手機的內部系統(tǒng)，而且還會惡意扣費，消耗手機資源，影響使用，最嚴重的是會竊取手機中的隱私數據或者把手機變成一個竊聽器。因此有必要建立適用于藍牙網絡中手機病毒傳播的數學模型來預測手機病毒的發(fā)展趨勢，以便更好地建立防治措施。

目前，國內外對移動環(huán)境下智能手機藍牙病毒的研究尚處于起步階段。文獻［3］在一個真實的環(huán)境中，通過探測手機等無線設備，研究了蠕蟲在藍牙環(huán)境下傳播的可行性和傳播動力學特性。美國東北大學復雜網絡研究中心主任艾伯特拉斯洛·巴拉巴斯教授與其合作者對各種潛在的藍牙和彩信病毒進行了追蹤并預言，當某種手機操作系統(tǒng)的智能手機市場份額超過10%后，這些病毒將成為真正的威脅［4］。文獻［5］對藍牙環(huán)境下的手機病毒傳播的每個細節(jié)(如鄰居節(jié)點數量、搜索能力、回應的節(jié)點數等)進行了分析并分別用數學模型進行描述，所得結果在洛杉磯手機病毒傳播的預測中得到成功應用。文獻［6］針對藍牙網絡中的蠕蟲病毒傳播，提出一種具有可變感染率的SIRQD模型，并改進了節(jié)點平均度的計算方法。文獻［7］綜合考慮了手機病毒的傳播方式，建立了基于免疫率和病毒變異率的SEIR模型，并詳細討論了免疫率、病毒的變異率等因素對病毒傳播的影響。文獻［8］根據藍牙網絡簇的特點，建立了微分方程模型，討論了信號半徑、分布密度和手機移動速度等5個因素對病毒傳播的影響，并給出了手機病毒防治的措施。文獻［9］根據人類運動的行為模式，給出了移動環(huán)境下手機節(jié)點平均度的計算方法，并結合滲流理論分析了病毒大爆發(fā)的可能性。

筆者在文獻［6］的基礎上，考慮病毒變異因素對病毒傳播過程的影響，基于小世界網絡模型和生物傳染病微分方程模型，建立SIRD模型，并討論各參數對病毒傳播過程的影響情況。

1 SIRD模型

藍牙是無線數據和語音傳輸的開放式標準，是對數據進行無線傳輸的最常用方式。它是一種支持設備短距離通信的無線電技術，擁有統(tǒng)一的架構且全球通用。手機藍牙的通信距離大約在30 m以內，當病毒感染手機后會自動搜索附近的藍牙信號并自動與之建立連接，形成一個微型網絡。手機病毒在藍牙網絡中的傳播有以下特點:①藍牙的信號覆蓋范圍有限;②藍牙終端設備(手機)具有移動性;③病毒成功復制自己到另一臺手機需要一定的時間;④藍牙病毒會不停地通過已感染的手機搜索附近可見的藍牙信號，因而導致已感染病毒的手機耗電量會急劇增加，以至于電量耗盡而暫時不能傳播病毒;⑤藍牙網絡是在各自藍牙信號覆蓋范圍內自動建立的，人多與人少的地方所建立的網絡復雜度不同;⑥藍牙網絡可以抽象為小世界網絡。

為了簡化問題，做如下假設:①網絡中的節(jié)點要么靜止，要么做勻速運動;②網絡中各主機同質，即感染概率、清除概率、暫時斷電概率和恢復概率對所有系統(tǒng)內的主機都統(tǒng)一適用;③系統(tǒng)內暫時只流行一種病毒，不考慮多種惡意代碼傳播的情況。

根據手機藍牙病毒的特點，把手機分為4類，分別為:①感染類I。該類手機已經被病毒感染，并具備感染其他節(jié)點的能力，在t時刻其數量記為I(t);②易感染類S。該類手機目前未被病毒感染，但具有一定的被感染可能性，在t時刻其數量記為S(t);③免疫類R。該類手機因為升級系統(tǒng)或安裝殺毒軟件而對病毒具有免疫能力，在t時刻其數量記為R(t);④暫時休眠類D。該類是已感染病毒手機中，因為電量耗盡而暫時不具備感染能力的手機，但當用戶充電后又會進入到感染類，在t時刻其數量記為D(t)。狀態(tài)轉移情況如圖1所示。

圖1 SIRD模型狀態(tài)轉移示意圖

在圖1中，①p1(t)為感染率。一方面，根據藍牙病毒的傳播特性，隨著網絡內易感染類S逐漸減少，已感染病毒手機搜索設備時會越來越多地出現(xiàn)多個被感染手機同時掃描并傳染同一個易感染手機、掃描到大量已感染手機等情況，這都屬于無效掃描，因此感染率會隨著已感染手機數目的逐漸增多而降低。另一方面，隨著藍牙病毒逐漸增多，易感染手機用戶會提高警惕性。因此，感染率是隨時間而變化的;②對于已感染手機，一部分用戶使用殺毒軟件并進行系統(tǒng)升級或打補丁使手機進入免疫類R，也有一部分用戶只進行殺毒而沒有進行系統(tǒng)升級或打補丁，使手機進入易感類S。由I類進入S類、R類的概率分別為p2和p7;③p3為主動升級防御系統(tǒng)的概率，p4為免疫類手機中由于病毒變異而殺毒軟件還沒有攔截該變種的能力或者手機使用者沒有及時更新病毒庫，而使節(jié)點又重新成為易感染類手機的概率;④p5和p6分別表示感染類手機進入休眠類和休眠類手機進入感染類的概率。

結合以上分析，參考傳染病的微分方程模型［10］，藍牙網絡中手機病毒傳播的微分方程模型(SIRD)可表示為:

式中:N為手機總數;k為網絡中節(jié)點平均度;t0為病毒變異時間;f(t－t0)為病毒變異函數［11］，表達式為:

假設r為藍牙信號的覆蓋半徑;v為節(jié)點的移動速度;ρ為手機分布密度;α為移動節(jié)點的比例;Δt為病毒復制自己所需的時間;s為手機藍牙信號覆蓋的有效區(qū)域，則根據文獻［6］可知:

其中:

2 模型仿真

2.1 病毒不產生變異的情況

取參數 r=10，v=1，Δt=0.01，α =0.7，p4=0，可得到仿真結果如圖2所示。

圖2 病毒不產生變異時的仿真結果

從圖2可以看出，開始階段(時間大約在0～40 s)時，易感染節(jié)點的數量緩慢下降，已感染節(jié)點和其他兩類都緩慢增加。這是因為開始時，已感染節(jié)點數目不多，符合實際。但在稍后(時間大約在40～100 s時)，易感染節(jié)點數量急劇下降，而已感染節(jié)點呈指數型增長，其他兩類的增長速度也有所增加。這是因為當前已感染節(jié)點的數量有所增多，且所接觸周圍中的易感染節(jié)點的比例較大，符合實際。再后面(時間在100 s以后)，易感染節(jié)點和暫時休眠類節(jié)點的數量趨于穩(wěn)定，已感染節(jié)點數量開始迅速下降，而免疫類節(jié)點的數量穩(wěn)步增加，最終也趨于穩(wěn)定。這是因為易感染節(jié)點數量降到最低，而已感染節(jié)點的數量達到最高后，其所接觸到的節(jié)點里面易感染節(jié)點的比例也很小，且已感染和易感染節(jié)點不斷轉移為免疫類，符合實際情況。

根據上述仿真及分析可得，SIRD模型能夠較好地模擬手機病毒傳播的情況。0～40 s的時間段可作為病毒的潛伏期，被感染的節(jié)點數目緩慢增加;40～100 s的時間段為病毒大規(guī)模爆發(fā)期，被感染的節(jié)點數目呈指數級增加;100 s后的時間段，病毒得到有效遏制，大部分轉移為有免疫力的免疫類。從圖2中也可以看出，在理論上，病毒一旦出現(xiàn)就不能被完全消滅。

2.2 病毒產生變異的情況

現(xiàn)實中病毒出現(xiàn)一段時間后，就會被殺毒軟件的數據庫收錄，從而會被殺毒軟件攔截，失去傳染力，但病毒的制造者也會更新病毒，使自己制造的病毒能逃過殺毒軟件的掃描。這時p4≠0，仿真結果如圖3～圖6所示。

從仿真結果可以看出，病毒的變異使易感染類的節(jié)點數量突然增加，當系統(tǒng)趨于穩(wěn)定時，免疫類節(jié)點的數量大幅度減少，其他3種狀態(tài)的節(jié)點數量各自都有增加。從病毒在不同時間發(fā)生變異的仿真圖對比來看，變異時間越早，系統(tǒng)的狀態(tài)轉移越穩(wěn)定。當t=400 s時，手機病毒大規(guī)模爆發(fā)的高峰已經過去，如果此時病毒變異，則會引起劇烈的波動，因為此時大多數用戶都放松了警惕，病毒會乘虛而入，再次入侵。

圖3 t0=100 s時的仿真結果

圖4 t0=200 s時的仿真結果

圖5 t0=300 s時的仿真結果

圖6 t0=400 s時的仿真結果

3 傳播參數影響分析

3.1 影響網絡節(jié)點平均度的因素

根據所建的SIRD模型以及小世界網絡模型可知，網絡節(jié)點的平均度是一個關鍵的因素。平均度越大，表示網絡中各個節(jié)點的聯(lián)系越緊密，則更有利于手機病毒的傳播。影響網絡節(jié)點平均度的因素如下:

(1)藍牙信號的覆蓋半徑。根據節(jié)點平均度的計算式(2)和式(3)可知，藍牙信號的覆蓋半徑r越大，節(jié)點平均度越大，越有利于手機病毒傳播。

(2)手機分布密度。由計算式(2)和式(3)可知，手機分布密度ρ越大，節(jié)點平均度越大，越有利于手機病毒的傳播。

(3)手機移動速度。由于表達式較復雜，不好直接判斷手機移動速度對病毒傳播過程的影響。但手機移動速度直接影響其覆蓋的有效面積。通過計算式(3)可得移動速度與有效覆蓋面積的關系如圖7所示(速度的范圍為0～100)。

圖7 手機移動速度與有效覆蓋面積的關系

從圖7中可以看出，在有效覆蓋面積最大時，最有利于手機病毒的傳播。因此，在一定范圍內有效覆蓋面積越大，越有利于手機病毒傳播，超出這個范圍后，有效覆蓋面積越大越不利于手機病毒的傳播。

(4)移動節(jié)點的比例。由計算式(2)和式(3)可得移動手機比例與平均節(jié)點度的關系如圖8所示。從圖8中可以看出，移動節(jié)點比例越高，節(jié)點的平均度也越大，越有利于手機病毒的傳播。

3.2 初始已感染手機數量

初始已感染節(jié)點數量 I(0)分別為1、100、1 000，而其他參數不變時，手機病毒傳播情況如圖9所示。從圖9可以看出初始已感染手機數量越大，手機病毒的傳播速度越快(已感染手機數量越早到達最高峰)，手機病毒爆發(fā)規(guī)模越大(已感染手機最高峰時的數量越大)。

圖8 移動手機比例與節(jié)點平均度的關系

圖9 初始已感染手機數量對手機病毒傳播的影響

4 結論

手機病毒的傳播方式多種多樣，筆者選取了能夠體現(xiàn)手機病毒傳播特點的藍牙病毒作為研究對象，根據手機病毒在藍牙網絡中傳播的特點，建立了微分方程模型。仿真結果表明，該模型能夠較好地模擬現(xiàn)實中手機病毒傳播的過程。根據模型可以看出，藍牙信號的覆蓋范圍、手機分布密度、手機移動速度、移動手機的比例，以及初始感染病毒的手機數量等都是影響手機病毒傳播過程的因素，研究結果為現(xiàn)實中對手機病毒進行預測、控制和防治提供了重要的參考依據。

［1］Kaspersky Lab.Viruses move to mobile phones［EB/OL］.［2013 － 10 － 13］.http://www.kaspersky.com/news?time=1086033600.

［2］ALEXANDER G B.London2006［EB/OL］.［2013 －10 － 13］.http://www.viruslist.com/en/analysis?pubid=188833782.

［3］SU J，MIKLASA G，PO K，et al.A preliminary investigation of worm infections in a bluetooth environment［C］∥The 4th ACMWorkshop on Recurring Malcode.Alexandria:［s.n.］，2006:177 －183.

［4］WANG P，GONZALEZM C，HIDALGO C A，et al.Understanding the spreading patterns of mobile phonesnviruses［J］.Science，2009(324):1071 －1076.

［5］YAN G，EIDENBENZS.Modeling propagation dynamics of bluetooth worms(extended version)［J］.IEEE Transaction on Mobile Computing，2009，8(3):353 －368.

［6］李朝暉，夏瑋，張芷源.手機藍牙網絡中一種具有可變感染率的SIRQD病毒傳播模型［J］.信息網絡安全，2009(9):21－23.

［7］FAN Y，ZHENG K，YANG Y.Epidemic model of mobile phone virus for hybrid spread mode with preventive immunity and mutation［J］.Wireless Communications Networking and Mobile Computing，2010(6):1－5.

［8］ZHANG W，LI Z，HU Y，et al.Cluster features of bluetooth mobile phone virus and research on strategies of control＆ prevention［J］.Computational Intelliqence and Security，2010(2):474 －477.

［9］邱國利，蔣國平，宋玉蓉.一種帶節(jié)點移動的手機藍牙病毒傳播模型［J］.武漢大學學報:信息科學版，2010，35(5):610 －613.

［10］姜啟源，謝金星，葉俊.數學模型［M］.北京:高等教育出版社，2008:65－129.

［11］陳曉江，趙躍輝，吳傳生.手機病毒傳播模型仿真研究［J］.武漢理工大學學報:信息與管理工程版，2009，31(1):8 －11.