基于異質網絡的郵件蠕蟲病毒傳播模型

項春霞，蔣國平，夏玲玲，宋 波

(1.南京郵電大學 計算機學院，江蘇 南京 210003；2.南京郵電大學 自動化學院，江蘇 南京 210003)

基于異質網絡的郵件蠕蟲病毒傳播模型

項春霞1，蔣國平2，夏玲玲1，宋 波1

(1.南京郵電大學 計算機學院，江蘇 南京 210003；2.南京郵電大學 自動化學院，江蘇 南京 210003)

文中根據現實生活中郵件蠕蟲病毒發(fā)生后個體不同的行為機制，以及安裝殺毒軟件的概率和殺毒軟件的查殺能力隨時間變化的事實，結合郵件網絡的結構特性，提出了一種改進的基于異質網絡的郵件蠕蟲病毒SEIR(Susceptible-Exposed-Infected-Removed)傳播模型。結合郵件蠕蟲病毒的傳播特點，利用相互作用的馬爾可夫鏈方法推導出相應的SEIR模型的動力學方程組，表征郵件蠕蟲病毒的傳播過程。通過蒙特卡羅方法對SEIR模型傳播動力學過程進行實驗仿真，探索影響郵件蠕蟲病毒傳播的基本因素。仿真結果表明，改進的郵件蠕蟲病毒SEIR傳播模型更加符合真實郵件網絡上的蠕蟲病毒傳播過程，且快速地提高殺毒軟件的安裝概率以及殺毒軟件的查殺能力能夠有效地抑制郵件蠕蟲病毒的傳播。

郵件蠕蟲病毒；個體差異性；交互馬爾可夫鏈方法；殺毒軟件

1 概 述

電子郵件作為人們日常通訊的主要方式之一，它的安全問題也越來越受到人們的高度重視。郵件網絡兼具了大眾網絡和人際網絡的特點，為突發(fā)事件的大規(guī)模傳播提供了一個較為便捷的平臺[1]，但同時也給郵件病毒帶來了可乘之機，使得郵件病毒成為了電子郵件通訊中的一大隱患。近年來大量的垃圾郵件病毒主要是由郵件蠕蟲引起的[2]，這些蠕蟲病毒給電子郵件網絡的安全造成了很大的影響。

蠕蟲病毒是一種比較常見的計算機病毒，蠕蟲病毒可以獨立運行，并且能把一個包含自身所有功能的版本傳播到另一個計算機系統上[3]。它的兩個主要特征是：可以從一臺主機移動到另一臺主機上；可以自我復制。在郵件系統中，用戶點擊了帶有蠕蟲病毒的郵件之后，該蠕蟲病毒就會感染這臺主機，并找到計算機中包含的所有的郵件地址，然后將一個包含自身所有功能的版本發(fā)送給這些找到的郵件地址[4]。

研究人員認為，未來郵件蠕蟲病毒的爆發(fā)速度會更快，其遍布的范圍會更廣，破壞性更強。因此對郵件蠕蟲病毒傳播的研究與防治已經成為了網絡安全領域的一個研究熱點。同時，復雜網絡理論與技術的迅速發(fā)展為研究電子郵件病毒傳播問題提供了新的研究方法[5]。借助復雜網絡傳播動力學理論及方法，研究發(fā)生在電子郵件網絡上的蠕蟲病毒傳播問題，有助于更好地預防和控制郵件通訊網絡上的病毒傳播，為進一步研究電子郵件網絡輿情分析及預警技術奠定堅實的理論基礎。

近年來，已經有很多學者對郵件病毒的傳播進行了研究，并提出了很多適用于郵件網絡特征的郵件病毒傳播模型。Liu等[6]提出了無標度網絡中郵件病毒的SIS(Susceptible-Infected-Susceptible)傳播模型，通過對模型的求解，得到反病毒軟件出現前感染密度的一個穩(wěn)定狀態(tài)，并通過實驗證明傳播率和網絡平均度是郵件病毒蔓延的關鍵性因素；關于SIS模型的研究還有很多，呂劍等[7]以元胞自動機理論為基礎對SIS理論進行了改進并進行了仿真實驗；梁志罡在文獻[8]中提出了改進的基于無標度網絡拓撲結構的SIR(Susceptible-Infected-Removed)郵件病毒模型。

早在1991年，Anderson和May[9]通過考察多種傳染性疾病的傳播特征之后，在以往的SIR流行病傳播模型中考慮加入節(jié)點的潛伏狀態(tài)E(Exposed)，并提出了疾病傳播的SEIR(Susceptible-Exposed-Infected-Removed)模型，該模型也經常被用于郵件病毒傳播的建模中。袁華等[10]對傳統的SEIR疾病傳播模型進行了擴展和修正，提出了更符合郵件網絡的E-SEIR(Email-Susceptible-Exposed-Infected-Removed)模型，并通過實驗結果證明用戶之間的信息交流成組密度會影響郵件病毒的擴散速度；技術支持和安全培訓的效率會影響郵件病毒爆發(fā)的規(guī)模；用戶的收信時間以及多數用戶的預免疫能夠同時影響郵件病毒擴散的速度和郵件病毒爆發(fā)的規(guī)模。Jin等[11]在SEIR郵件病毒傳播模型中，考慮用戶的警覺性和移除時間兩個因素，通過實驗證明這兩個因素對于郵件病毒的傳播有很大的影響。Deng等[12]運用平均場方法建立郵件病毒的時滯微分方程模型，研究郵件病毒在有向網絡中的震蕩傳播行為，給出影響郵件病毒最終傳播規(guī)模的兩個重要參數：決定吸引子存在性的子圖間的傳播概率和影響吸引子振幅的有效傳播率。

盡管上述經典的郵件病毒SEIR模型能夠較好地刻畫郵件病毒的傳播過程，但是依然存在以下幾點不足：

(1)在經典的SEIR模型中，度不相同的節(jié)點打開可疑郵件的概率是相同的，而在現實生活中，通常郵件通訊錄中好友數越多的用戶，對于郵件病毒的了解也是越多的，則對于郵件病毒的防范意識也越強，用戶打開可疑郵件的概率就會越小[13]。

(2)在經典的SEIR模型中，節(jié)點安裝殺毒軟件的概率是不變的，而實際情況是當郵件病毒出現后，隨著用戶對郵件病毒危害性以及殺毒軟件安全性認識的增多，殺毒軟件宣傳力度及知名度的擴大，用戶安裝殺毒軟件的概率會變大。而且，在殺毒軟件出現的初始時刻，網絡中用戶安裝殺毒軟件的概率還會因為該時刻感染用戶所占比率的不同而不同。

(3)殺毒軟件的殺毒性能并不是一成不變的，隨著對郵件病毒認識的越來越深刻，以及技術的越來越成熟，殺毒軟件的查殺能力也會越來越強。而在以往的SEIR模型中，沒有考慮到這一點，從而不能真實描述殺毒軟件出現以后，郵件病毒的傳播特性。

此外，現有的郵件病毒傳播模型大都是基于均質郵件網絡的，基于異質郵件網絡的病毒傳播模型較少，而真實網絡中節(jié)點之間的連接選擇并不是均等的，它們之間存在明顯的差異性，郵件網絡中也存在這種差異性。Zou等[14]的研究表明，郵件通訊網絡的拓撲結構更接近于無標度網絡，他們通過觀察發(fā)現，郵件通訊網絡呈現一種胖尾分布，同時也包含一些小世界特性。Newman等[4]搜集了一所大學的所有電子郵件地址薄數據，并證明了該所大學的電子郵件地址薄服從指數分布。因此研究異質郵件網絡上的郵件病毒傳播模型，符合現實生活中電子郵件網絡度分布服從無標度的拓撲特性。

文中鑒于上述郵件病毒傳播模型的不足，結合實際電子郵件網絡的無標度特性，考慮異質網絡上個體的行為差異性引起的不同用戶打開可疑郵件的概率不同，用戶安裝殺毒軟件的概率是時變的，以及殺毒軟件查殺能力的時變性，提出一種改進的基于異質郵件網絡的郵件病毒SEIR傳播模型。

2 改進的SEIR傳播模型

文中根據現實生活中電子郵件用戶通常僅有一個常用郵箱賬戶的實際情況，忽略一個用戶存在多個常用郵箱的特殊情況，借助復雜網絡理論知識，將郵件網絡中的每個郵件用戶或對應的郵件地址抽象成節(jié)點，用戶與郵件通訊錄中其他用戶的通信關系看成是邊。同時將郵件用戶之間的通信關系看作是無向的，即如果用戶A的郵件通訊錄中存在用戶B的郵箱地址，那么用戶B的通訊錄中也存在用戶A的郵箱地址，用戶A和B之間的通信關系是無向的，可以互相發(fā)送郵件。將郵件網絡的拓撲結構[15]用無向圖G(V,E)表示，其中?υ∈V，節(jié)點υ表示節(jié)點即郵件用戶，V是整個電子郵件網絡中節(jié)點的集合。?e(μ,υ)∈E，其中μ,υ∈V，e(μ,υ)表示節(jié)點μ和υ之間的連邊，即用戶μ和υ的通信關系或是通信鏈路，E是電子郵件網絡中所有邊的集合。

此外，郵件病毒在網絡中傳播有其自身的特點，傳播過程分為兩步：

(1)郵件病毒將自己偽裝成正常文件以附件的形式進入到郵件網絡中，用戶點擊該附件，則執(zhí)行病毒程序，使該計算機系統被病毒感染。

(2)用戶點擊帶有郵件病毒的附件之后，郵件病毒會自我復制產生副本，并掃描用戶的電子郵件通訊錄，將自己的副本發(fā)送給通訊錄中的聯系人。

根據上述郵件病毒的傳播特點，將郵件病毒的傳播過程總結如下：首先病毒制造者將病毒以附件的形式添加到郵件中，產生一個附件攜帶病毒的郵件，通常病毒是一個類似于安裝文件，文件名以.exe結尾的可執(zhí)行程序。然后病毒制造者將帶病毒的郵件轉發(fā)給郵件通訊錄中的某一用戶，此時收到攜帶病毒郵件的用戶節(jié)點處于潛伏狀態(tài)。在現實的電子郵件網絡中，郵件用戶通常將收到的含有.exe格式附件的郵件認定為可疑郵件。處于潛伏態(tài)的用戶自己并不確定收到的可疑郵件一定是攜帶病毒的，僅認為是可疑郵件因為附件是以.exe結尾的文件，則潛伏節(jié)點有可能打開或者刪除該可疑郵件。如果潛伏節(jié)點打開了可疑郵件，那么該節(jié)點就由潛伏狀態(tài)轉變?yōu)楦腥緺顟B(tài)，同時病毒會自動掃描該節(jié)點的通訊錄，并自我復制，向通訊錄中的每個節(jié)點都發(fā)送一份帶病毒的郵件。如果潛伏節(jié)點刪除了可疑郵件，那么該節(jié)點就由潛伏狀態(tài)恢復為易感狀態(tài)。最后，隨著病毒傳播的范圍越來越廣，人們正常的通信及生活受到了影響，為了打造健康安全的郵件網絡環(huán)境，抵御郵件病毒的入侵，殺毒軟件應運而生，節(jié)點安裝殺毒軟件后會以一定的概率變?yōu)槊庖吖?jié)點。

由于殺毒軟件出現前后，郵件病毒的傳播機制不同，因此病毒傳播過程分為兩個階段：t0)為殺毒軟件投放到電子郵件網絡中的時間。郵件病毒從開始出現依次經歷病毒傳播階段，殺毒軟件出現后的免疫階段，是一個非常復雜的過程。為了簡化郵件病毒傳播模型，而又不失一般性，文中做出如下幾點假設：

(1)在郵件病毒傳播過程中，郵件網絡中總用戶數即網絡規(guī)模不發(fā)生變化。

(2)所有用戶檢查郵箱的時間間隔相同。

(3)在郵件病毒傳播過程中不考慮其他計算機病毒的干擾。

在上述關于模型的假設條件下，結合郵件病毒傳播機制，提出了一種改進的基于異質郵件網絡的郵件病毒SEIR傳播模型。下面利用相互作用的馬爾可夫鏈方法分別推導出傳播(t

2.1 病毒傳播階段

在由N個用戶組成的電子郵件網絡中，每個用戶處于以下四種狀態(tài)之一：Susceptible(S)：易感態(tài)，即健康態(tài)，此時用戶郵箱是健康的，有可能會被病毒感染；Exposed(E)：潛伏態(tài)，此時用戶郵箱收到了病毒郵件但是還沒有打開；Infected(I)：感染態(tài)，此時用戶郵箱已經中毒在向通訊錄中其他用戶傳播病毒；Removed(R)：免疫態(tài)，即不會再被該郵件病毒感染的狀態(tài)。假定在郵件網絡中殺毒軟件出現之后被保護的一類郵件用戶為免疫類節(jié)點。因此殺毒軟件還沒有出現時，病毒處于傳播過程的第一階段，郵件網絡中是不存在免疫類節(jié)點的，傳播過程中只包含處于健康態(tài)S、潛伏態(tài)E和感染態(tài)I的三類用戶。此階段各狀態(tài)之間的轉移過程為：

當t=0時，病毒制造者將帶病毒的郵件放入到郵件網絡中即認為初始郵件病毒傳播源只有一個，可得初始網絡中各類狀態(tài)節(jié)點的數量為：S(0)=N-1，E(0)=0，I(0)=1，R(0)=0。其中，N為網絡規(guī)模即郵件用戶或地址總數。

在該模型中，S(t)，E(t)，I(t)，R(t)分別代表t時刻易感染節(jié)點、潛伏節(jié)點、感染節(jié)點以及免疫節(jié)點的數量。t

圖1 病毒傳播階段(t

易感染節(jié)點以λk(t)的概率收到病毒郵件變成潛伏狀態(tài)，潛伏節(jié)點以μk的概率打開病毒郵件變成感染節(jié)點，或者以θ的概率刪掉病毒郵件恢復為易感染狀態(tài)，易感染節(jié)點不會直接變成感染節(jié)點，若潛伏節(jié)點打開病毒郵件變成感染節(jié)點以后，其狀態(tài)就保持在感染態(tài)不再改變。所以在該階段最重要的狀態(tài)為潛伏態(tài)E，潛伏節(jié)點在整個傳播階段的數量變化分為三個部分：

(Sk→Ek)(t,t+Δt)=(1-

(Ek→Sk)(t,t+Δt)=ΔtθEk(t)

(Ek→Ik)(t,t+Δt)=ΔtμkEk(t)

Ek(t,t+Δt)=(Sk→Ek)(t,t+Δt)-(Ek→Sk)(t,t+Δt)-(Ek→Ik)(t,t+Δt)

即：

(1)

同樣的，可以得到：

(2)

Ik(t+Δt)=Ik(t)+ΔtμkEk(t)

(3)

將式(1)用二項式定理展開得：

Ek(t+Δt)-Ek(t)=

(4)

當limΔt→0時，舍去公式中的無窮小項，得：

(5)

由上述分析列出t

2.2 病毒免疫階段

當電子郵件網絡中出現殺毒軟件之后，按照網絡中郵件用戶是否安裝殺毒軟件將郵件用戶的狀態(tài)分為兩種：安裝殺毒軟件的用戶和未安裝殺毒軟件的用戶。安裝殺毒軟件的用戶會以一定的概率變?yōu)槊庖郀顟B(tài)，而未安裝殺毒軟件的用戶還是按照殺毒軟件出現前t

圖2 病毒免疫階段(t≥T)的狀態(tài)轉移圖

由上述分析列出t≥T時郵件病毒傳播模型的平均場方程如下：

3 仿真實驗

文中主要考慮了用戶打開可疑郵件的概率μk，用戶安裝殺毒軟件的概率ρ(t)以及殺毒軟件的查殺能力δ(t)對于郵件蠕蟲病毒傳播的影響，下面將分別對這些參數進行分析。在仿真實驗中，郵件網絡是用經典的BA無標度網絡模型[18]生成算法構造的，網絡規(guī)模即郵件用戶總數為N=5 000，〈k〉=6。同時在仿真過程中為便于更清晰地反映上述因素造成的影響，具體研究某一個因素對于傳播過程的影響作用時，其他因素都默認設置為常數。初始網絡中假定只有一個病毒傳播者，其他都是易感者，文中每個仿真都重復運行了至少200次，每一次運行150步。

3.1 打開可疑郵件的概率μk

在式(5)中，郵件用戶刪除可疑郵件的概率θ是不變的，而用戶打開可疑郵件的概率μk與節(jié)點的度相關，不同于以往的郵件病毒傳播模型中將打開可疑郵件概率設置為恒定的常數。

圖3 打開可疑郵件概率對于傳播過程的影響

3.2 殺毒軟件的安裝概率ρ(t)

由t≥T時病毒傳播模型的動力學方程組可以看出，當郵件蠕蟲的病毒傳播進入免疫階段時，殺毒軟件的安裝概率ρ(t)是影響病毒傳播的一個重要因素。圖4描述了ρ(t)對于郵件病毒傳播的影響，仿真實驗中令殺毒軟件出現的時刻T=12，其余參數設置為μk=0.4，θ=0.2，δ(t)=0.3。

圖4 ρ(t)對于郵件病毒傳播的影響

3.3 殺毒軟件的查殺能力δ(t)

圖5描述了殺毒軟件的查殺能力δ(t)對于蠕蟲病毒傳播的影響。殺毒軟件出現的時刻T=12，μk=0.4，θ=0.2，ρ(t)=0.5，殺毒軟件初始查殺概率δ0=0.3。

圖5 殺毒軟件的查殺能力δ(t) 對于蠕蟲病毒傳播的影響

4 結束語

文中的主要工作是在經典的郵件病毒SEIR傳播模型基礎上，結合現實生活中的個體行為特征，考慮因人而異地打開可疑郵件的概率，隨時間增長的用戶安裝殺毒軟件的概率以及殺毒軟件推出之后不斷打補丁引起的增強的殺毒能力，建立改進的基于無標度特性的郵件網絡中蠕蟲病毒SEIR傳播模型。通過實驗仿真分析上述三個因素對于郵件蠕蟲病毒傳播過程的影響。實驗結果充分地驗證了改進的SEIR模型的合理性，以及更符合實際生活中蠕蟲病毒在郵件網絡中的真實演化過程。文中考慮的因素與現有的模型最大的不同之處在于用了一系列更符合實際的時變參數來表征現實中真實存在的個體時變行為。因為現實郵件網絡中存在一個用戶對應多個郵箱地址的情況，而文中未考慮。在之后的工作中，將繼續(xù)深入研究現實情況，建立相應的更符合實際的郵件病毒傳播模型。此外，對于基于均質網絡和異質網絡的郵件病毒傳播模型的穩(wěn)定性分析也是要著力關注的研究點。

[1] 孫欽東,孫亞紅,管曉宏,等.動態(tài)短信通信復雜網絡演化模型研究[J].西安交通大學學報,2009,43(6):5-9.

[2] 王長廣,王方偉,張運凱,等.一種無尺度網絡上垃圾郵件蠕蟲的傳播模型[J].計算機科學,2007,34(2):68-70.

[3] 吳 祺.郵件蠕蟲病毒機理研究[J].計算機科學,2002,29(4):116-118.

[4]NewmanM,ForrestS,BalthropJ.Emailnetworksandthespreadofcomputerviruses[J].PhysicalReviewE,2002,66(3):035101.

[5] 呂金虎,王紅春,何克清.復雜動力網絡及其在軟件工程中的應用[J].計算機研究與發(fā)展,2008,45(12):2052-2059.

[6]LiuJun,DengQinghua,XuPeihua,etal.Emailvirusspreadingmodelinthescale-freenetwork[C]//Procof2010IEEEinternationalconferenceonintelligentcomputingandintelligentsystems.Xiamen:IEEE,2010:303-306.

[7] 呂 劍,宋玉蓉,蔣國平.自適應網絡異步元胞自動機病毒傳播模型[J].計算機技術與發(fā)展,2012,22(7):132-135.

[8] 梁志罡.電子郵件病毒傳播模型的研究[J].計算機技術與發(fā)展,2011,21(1):158-161.

[9]AndersonRM,MayRM.Infectiousdiseasesofhumans:dynamicsandcontrol[M].Oxford,UK:OxfordUniversityPress,1991.

[10] 袁 華,陳國青.電子郵件病毒傳播仿真模型及影響因素模擬[J].計算機工程與設計,2006,27(11):1914-1916.

[11]JinCong,LiuJun,DengQinghua.Anovelemailviruspropagationmodel[C]//Procof2008workshoponpowerelectronicsandintelligenttransportationsystem.Guangzhou:IEEE,2008:56-60.

[12]DengQixiang,JiaZhen,XieMengshu,etal.Studyofdirectednetworks-basedemailviruspropagationmodelanditsconcussionattractor[J].ActaPhysicaSincia,2013,62(2):020203.

[13]ZhangYanping,SunTingting,ZhaoShu.Anovelmodeltorestrainemailviruspropagation[C]//Procof2012IEEEinternationalconferenceongranularcomputing.Hangzhou:IEEE,2012:645-650.

[14]ZouCC,TowsleyD,GongWeibo.Emailviruspropagationmodelingandanalysis[R].Amherst:Univ.ofMassachusetts,2003.

[15] 鄧清華,金 聰,劉 俊.郵件病毒傳播模型及其分析[J].計算機工程與設計,2009,30(12):2865-2867.

[16]NekoveeM,MorenoY,BianconiG,etal.Theoryofrumourspreadingincomplexsocialnetworks[J].PhysicaA:StatisticalMechanicsandItsApplications,2007,374(1):457-470.

[17] 汪小帆,李 翔,陳關榮.網絡科學導論[M].北京:高等教育出版社,2012.

[18]BarabásiAL,AlbertR.Emergenceofscalinginrandomnetworks[J].Science,1999,286(5439):509-512.

Propagation Model of Email Worm-virus Based on Heterogeneous Networks

XIANG Chun-xia1,JIANG Guo-ping2,XIA Ling-ling1,SONG Bo1

(1.School of Computer Science and Technology,Nanjing University of Posts and Telecommunications,Nanjing 210003,China;2.School of Automation,Nanjing University of Posts and Telecommunications,Nanjing 210003,China)

Currently,email has become one of the most commonly communication in daily life,while email worm-virus constitutes one of the major Internet security threats and has attracted considerable attention.Therefore,the research on the spreading models of email worm-virus has a great significance in preventing and controlling the propagation of email viruses.The probability of installing antivirus software,and the virus-killing ability of antivirus software are time-varying when the email worm-virus outbreaks.According to the above factors and the different opening probability of suspicious email caused by individual differences,propose an improved email worm-virus spreading SEIR (Susceptible-Exposed-Infected-Removed) model in heterogeneous networks with consideration of the scale-free feature of email networks.Use the Interaction of Markov Chains (IMC) method to derive the dynamical equations of SEIR model,representing the process of email worm-virus propagation.Furthermore,Monte-Carlo method is used to explore the basic factors affecting the propagation of email worm-virus.The simulation results show that the new SEIR model based on heterogeneous networks performs well on describing the real propagation of email worm-virus.In addition,the results of simulation also point out that quick increasing probability of installing antivirus software or improving virus-killing ability of antivirus can effectively restrain the propagation of email worm-virus.

email worm-virus;individual differences;interaction of Markov chains;antivirus software

2015-03-14

2015-06-19

時間：2015-11-19

國家自然科學基金資助項目(61374180，61373136)；2012年度教育部人文社會科學研究規(guī)劃基金；江蘇省“六大人才高峰”(RLD201212)

項春霞(1989-)，女，碩士，研究方向為復雜網絡上的傳播動力學、網絡安全；蔣國平，教授，博士生導師，研究方向為復雜網絡上的傳播動力學、復雜動態(tài)網絡的同步和控制、網絡的故障診斷以及混沌通信等。

http://www.cnki.net/kcms/detail/61.1450.TP.20151119.1109.026.html

TP393.0

A

1673-629X(2016)01-0090-07

10.3969/j.issn.1673-629X.2016.01.019