考慮社交網(wǎng)絡(luò)用戶行為的網(wǎng)絡(luò)病毒傳播建模

馮麗萍,韓 燮,韓 琦,鄭 芳

(1.中北大學(xué) 信息與通信工程學(xué)院,太原 030051; 2.山西財(cái)經(jīng)大學(xué) 信息管理學(xué)院, 太原 030006; 3.忻州師范學(xué)院 計(jì)算機(jī)系,忻州 034000; 4.重慶科技學(xué)院 電氣與信息工程學(xué)院,重慶 401331)(*通信作者電子郵箱fenglp@yeah.net)

0 引言

在信息化建設(shè)高度發(fā)達(dá)的今天,互聯(lián)網(wǎng)應(yīng)用已經(jīng)滲透到各個(gè)領(lǐng)域,給人們的生活和工作帶來了極大的方便。然而,網(wǎng)絡(luò)服務(wù)給人們帶來方便的同時(shí),網(wǎng)絡(luò)安全已成為一個(gè)非常嚴(yán)重的全球化問題。2010年6月爆發(fā)的震網(wǎng)病毒(Stuxnet),是一次極具破壞性的、針對(duì)現(xiàn)實(shí)世界基礎(chǔ)設(shè)施的蠕蟲病毒,在短時(shí)間內(nèi)感染了全球超過45 000個(gè)網(wǎng)絡(luò),伊朗核電站因此受到嚴(yán)重?fù)p失[1]。2017年5月12日爆發(fā)的勒索病毒(WannaCry)感染了全球100多個(gè)國(guó)家和地區(qū),超過10萬(wàn)臺(tái)電腦,涉及到金融、能源、教育以及醫(yī)療等多個(gè)行業(yè)[2]?？梢?建設(shè)安全、可靠的網(wǎng)絡(luò)空間環(huán)境是推動(dòng)信息化社會(huì)不斷發(fā)展的基本保障。

社交網(wǎng)絡(luò)作為眼下最具影響力的網(wǎng)絡(luò)社交平臺(tái),已擁有大量用戶。以我國(guó)最流行的微信、QQ為例,2016年,網(wǎng)民使用率分別達(dá)到 85.8%、67.5%[3]。這些用戶,以自己在現(xiàn)實(shí)世界中的關(guān)系網(wǎng)為基礎(chǔ),建立聯(lián)系人列表、微信群或QQ群。這些用戶之間存在著錯(cuò)綜復(fù)雜的關(guān)系,很容易引起交互感染。比如,用戶A的聯(lián)系人列表里有用戶B,但是A和B所處的微信或QQ群不一定完全一樣,假如用戶A受到了感染,那么A就會(huì)感染B,從而產(chǎn)生了不同用戶群之間的相互感染。本文的目的旨在研究不同社交網(wǎng)絡(luò)間用戶相互感染的網(wǎng)絡(luò)病毒傳播動(dòng)力學(xué)行為。

針對(duì)網(wǎng)絡(luò)病毒傳播建模和用戶行為的研究已有許多,自從1991年Kephart等[4-5]將人類病毒傳播建模機(jī)理引入計(jì)算機(jī)病毒傳播研究,許多學(xué)者在此基礎(chǔ)上做了大量網(wǎng)絡(luò)病毒建模的工作。Zou等[6]通過建立SIR(Susceptible-Infected-Recovered)模型,分析了“紅色蠕蟲”傳播的動(dòng)力學(xué)特性,并且通過與實(shí)際紅色蠕蟲傳播數(shù)據(jù)比較,表明微分方程動(dòng)力學(xué)模型可以有效地反映真實(shí)網(wǎng)絡(luò)病毒傳播規(guī)律。Han等[7]建立了帶時(shí)滯的SIRS(SIR-Susceptible)模型,刻畫了具有延遲感染的計(jì)算機(jī)病毒傳播過程,通過詳細(xì)的數(shù)學(xué)分析,得出了控制計(jì)算機(jī)病毒大規(guī)模擴(kuò)散的閾值,最后,通過數(shù)值仿真驗(yàn)證了理論分析的正確性。馮麗萍等[8]考慮到現(xiàn)實(shí)網(wǎng)絡(luò)中節(jié)點(diǎn)數(shù)量是可變的,在已有工作基礎(chǔ)上建立了改進(jìn)的SIR模型,并且分析了模型的動(dòng)力學(xué)性態(tài),通過與2001年紅色蠕蟲爆發(fā)時(shí)實(shí)際觀察值的比較發(fā)現(xiàn),根據(jù)模型得到的仿真結(jié)果和實(shí)際觀察值基本相符。緊接著,馮麗萍等[9-11]又通過考慮網(wǎng)絡(luò)病毒擴(kuò)散依賴的不同因素,建立了一系列不同的病毒傳播模型,進(jìn)一步研究了網(wǎng)絡(luò)病毒傳播的動(dòng)力學(xué)性質(zhì),以及控制病毒擴(kuò)散的有效措施。還有許多研究者做了大量類似的工作[12-15]。這些已有的研究從不同側(cè)重點(diǎn)揭示了網(wǎng)絡(luò)病毒傳播規(guī)律,為網(wǎng)絡(luò)管理員采取合理的網(wǎng)絡(luò)安全防御措施提供了良好的理論指導(dǎo),而且這些模型從不同角度考慮了用戶的反病毒行為對(duì)網(wǎng)絡(luò)病毒傳播速度以及規(guī)模的影響。但是,針對(duì)不同社交網(wǎng)絡(luò)間用戶行為的相互作用而引起的網(wǎng)絡(luò)病毒傳播規(guī)律還沒有相應(yīng)研究。為此,本文通過考慮不同社交網(wǎng)絡(luò)中用戶相互聯(lián)系的行為,建立相應(yīng)的網(wǎng)絡(luò)病毒傳播動(dòng)力學(xué)模型,進(jìn)一步揭示由于不同社交網(wǎng)絡(luò)間用戶交互行為引起的網(wǎng)絡(luò)病毒傳播規(guī)律,從而提出對(duì)應(yīng)的防御策略。

1 模型建立

本章采用經(jīng)典的SI(Susceptible-Infected)模型來建模不同社交網(wǎng)絡(luò)用戶行為相互感染的網(wǎng)絡(luò)病毒傳播過程。在SI模型中,網(wǎng)絡(luò)中節(jié)點(diǎn)的狀態(tài)分為兩種:1)易感染狀態(tài)S，表示節(jié)點(diǎn)用戶對(duì)網(wǎng)絡(luò)病毒沒有免疫功能,一旦和已感染節(jié)點(diǎn)接觸就會(huì)被感染。2)已感染狀態(tài)I，表示節(jié)點(diǎn)用戶已經(jīng)被網(wǎng)絡(luò)病毒感染,而且具有感染其他用戶的能力。在任意時(shí)刻t,網(wǎng)絡(luò)中的節(jié)點(diǎn)處于這兩種狀態(tài)中的其中一種。

圖1 節(jié)點(diǎn)狀態(tài)轉(zhuǎn)化圖Fig. 1 Transition among states of nodes

(1)

(2)

其中:

k=1,2,…,n}

假設(shè),n階矩陣B=(βkj)n×n是不可約的。式(1)的可行區(qū)域?yàn)?

2 模型分析

本章通過求式(1)的平衡點(diǎn),確定模型中S和I的取值,進(jìn)一步確定由模型(1)反映的控制網(wǎng)絡(luò)病毒傳播的臨界值。從而為有效控制網(wǎng)絡(luò)病毒傳播提供理論指導(dǎo)。

根據(jù)平衡點(diǎn)的定義,令

可求得式(1)的免疫平衡點(diǎn):

E0=(S0,0)

其中:

定理1 如果R0≤1,那么免疫平衡點(diǎn)E0在可行區(qū)域C內(nèi)全局漸近穩(wěn)定。

對(duì)L求導(dǎo),得

如果R0=1,那么L′=0表明:

(ω1,ω2,…,ωn)

(3)

式(3)有唯一的平衡解I=0，所以,當(dāng)R0≤1時(shí),L′=0等價(jià)于I=0或S=S0。根據(jù)LaSalle’s不變集原理,可得,當(dāng)R0≤1時(shí),免疫平衡點(diǎn)E0是全局漸近穩(wěn)定的。

證畢。

考慮到網(wǎng)絡(luò)安全防御者關(guān)心的是如何控制網(wǎng)絡(luò)病毒的快速擴(kuò)散,保證網(wǎng)絡(luò)正常運(yùn)行,本文在理論分析部分只研究免疫平衡點(diǎn)的性態(tài)。

3 仿真驗(yàn)證

為了觀察微分方程(1)刻畫的網(wǎng)絡(luò)病毒的傳播過程,本章采用龍格-庫(kù)塔(Runge-Kutta)法對(duì)微分方程(1)進(jìn)行數(shù)值求解,在Matlab2016R環(huán)境下進(jìn)行仿真驗(yàn)證。模型(1)中的參數(shù)分為兩種類型:系統(tǒng)參數(shù)(bk和μk)和狀態(tài)轉(zhuǎn)換參數(shù)(除bk和μk之外的其余參數(shù)),其中系統(tǒng)參數(shù)反映網(wǎng)絡(luò)空間要素的運(yùn)行狀態(tài),狀態(tài)轉(zhuǎn)換參數(shù)反映社交網(wǎng)絡(luò)中用戶行為以及反病毒措施對(duì)網(wǎng)絡(luò)病毒擴(kuò)散的影響程度。另外,系統(tǒng)的初始狀態(tài),即S(0)和I(0)對(duì)網(wǎng)絡(luò)病毒的擴(kuò)散也會(huì)產(chǎn)生很大影響。不失一般性,實(shí)驗(yàn)時(shí)假設(shè)I(0)的取值較小。仿真實(shí)驗(yàn)主要是:1)驗(yàn)證針對(duì)模型(1)的理論分析的正確性;2)在確定系統(tǒng)參數(shù)值的情況下,通過改變狀態(tài)轉(zhuǎn)換參數(shù)的值來觀察模型(1)反映的網(wǎng)絡(luò)病毒傳播過程;3)比較用戶活躍的社交網(wǎng)絡(luò)數(shù)量對(duì)網(wǎng)絡(luò)病毒傳播的影響;4)本文模型和傳統(tǒng)模型之間的比較。

圖2 R0=0.547 5<1時(shí)已感染節(jié)點(diǎn)比例隨時(shí)間變化Fig.2 Infected nodes’ ratio versus time when R0=0.547 5<1

從圖2可以看出,隨著時(shí)間的演化,最終每個(gè)社交網(wǎng)絡(luò)中被感染節(jié)點(diǎn)數(shù)都趨于0,也就是網(wǎng)絡(luò)病毒的擴(kuò)散被完全控制,與理論分析結(jié)果相符。同時(shí),圖中三條曲線的變化趨勢(shì)都是在開始0～100的時(shí)間段內(nèi)被感染節(jié)點(diǎn)數(shù)迅速增大,隨后逐漸減小直至趨于0,這是因?yàn)?開始時(shí),社交網(wǎng)絡(luò)中易感染節(jié)點(diǎn)較多,被感染的風(fēng)險(xiǎn)就會(huì)較大,轉(zhuǎn)換為已感染節(jié)點(diǎn)的速度也會(huì)快一些,隨著易感染節(jié)點(diǎn)數(shù)的減少,轉(zhuǎn)化為已感染節(jié)點(diǎn)的數(shù)量也會(huì)隨著減少,直到趨于0,成為一個(gè)穩(wěn)定狀態(tài)。

2)然后,通過實(shí)驗(yàn)觀察感染率βkj的變化對(duì)網(wǎng)絡(luò)病毒擴(kuò)散規(guī)模的影響。

取βkj為10-2數(shù)量級(jí),即:β11=0.008,β12=0.003,β13=0.003,β21=0.003,β22=0.002,β23=0.002,β31=0.003,β32=0.004,β33=0.002,其他參數(shù)值和初始值都不變(同圖2),計(jì)算得R0=2.384 9>1。仿真結(jié)果如圖3所示。從圖3可看出,當(dāng)基本再生數(shù)R0的值大于1時(shí),網(wǎng)絡(luò)病毒不會(huì)被完全控制,而是穩(wěn)定于一個(gè)正數(shù)。這個(gè)結(jié)論在已有工作中已得到證實(shí)[13],說明這一定律在交叉感染模型中仍然成立。而且,與圖2相比,發(fā)現(xiàn)增大感染率后,病毒感染的速度大幅提升,在最初0～50的時(shí)間段內(nèi),迅速達(dá)到最高值,隨后逐步下降到一個(gè)穩(wěn)定的正數(shù)。這一結(jié)論與實(shí)際經(jīng)驗(yàn)相符。

圖3 R0=2.384 9>1時(shí)已感染節(jié)點(diǎn)比例隨時(shí)間變化Fig. 3 Infected nodes’ ratio versus time when R0=2.384 9>1

3)為了觀察用戶活躍的社交網(wǎng)絡(luò)個(gè)數(shù)對(duì)網(wǎng)絡(luò)病毒擴(kuò)散的影響,取參數(shù)n=2(k=1,2),考慮到家庭群成員相對(duì)較固定,而且人員數(shù)量也相對(duì)較少,所以保留工作與朋友群為活躍群,即去掉反映家庭群的所有參數(shù),其他參數(shù)值與圖2的參數(shù)取值相同。為了保持和圖2的網(wǎng)絡(luò)總節(jié)點(diǎn)數(shù)相同,設(shè)置Sk的初始值分別為42和100;Ik的初始值分別為4和6,其中：k=1代表由同事構(gòu)成的社交網(wǎng)絡(luò);k=2代表由朋友構(gòu)成的社交網(wǎng)絡(luò)。仿真結(jié)果如圖4所示。

圖4 只考慮兩個(gè)社交網(wǎng)絡(luò)時(shí)已感染節(jié)點(diǎn)比例隨時(shí)間變化Fig. 4 Infected nodes’ ratio versus time when considering two social networks

圖4表明,當(dāng)用戶活躍的社交網(wǎng)絡(luò)數(shù)為2時(shí),網(wǎng)絡(luò)病毒的擴(kuò)散在短時(shí)間內(nèi)會(huì)達(dá)到最大值,隨后快速降低,直到趨于0。與圖2相比,病毒爆發(fā)得快,控制得也快。而且在圖4中被感染節(jié)點(diǎn)最大值的比例超過了圖2,也就是說在病毒爆發(fā)初期,用戶所在的社交網(wǎng)絡(luò)數(shù)越多,越不利于病毒傳播,但是,在病毒衰減期,社交網(wǎng)絡(luò)數(shù)越少,越容易被控制。

4)最后,將本文模型與傳統(tǒng)模型進(jìn)行比較,仿真結(jié)果如圖5所示。傳統(tǒng)模型曲線n的取值為1，本文模型曲線n的取值為2，其余參數(shù)的取值如表1所示。觀察圖5發(fā)現(xiàn),在病毒傳播初期,本文模型反映的網(wǎng)絡(luò)病毒擴(kuò)散態(tài)勢(shì)要比傳統(tǒng)模型弱一些,這說明用戶分布于不同的社交網(wǎng)絡(luò)要比集中于一個(gè)網(wǎng)絡(luò)更有利于緩解網(wǎng)絡(luò)病毒的擴(kuò)散,而在病毒衰減期,呈現(xiàn)出的是相反的態(tài)勢(shì)。圖5和圖4呈現(xiàn)出了相同的規(guī)律。這一現(xiàn)象與文獻(xiàn)[4]中提出的把大網(wǎng)絡(luò)分割為不同小網(wǎng)絡(luò)有利于控制網(wǎng)絡(luò)病毒擴(kuò)散的結(jié)論一致。

表1 圖5中模型各參數(shù)取值表Tab. 1 Parameters values of Fig. 5

圖5 本文模型與傳統(tǒng)模型的比較Fig. 5 Comparison between proposed model and traditional model

4 結(jié)語(yǔ)

社交網(wǎng)絡(luò)已經(jīng)成為人們利用互聯(lián)網(wǎng)進(jìn)行工作、交流和生活的活躍平臺(tái)，由不同社交網(wǎng)絡(luò)間用戶交互行為引起的網(wǎng)絡(luò)安全問題也日益明顯。本文構(gòu)建了不同社交網(wǎng)絡(luò)間用戶交互行為引起的網(wǎng)絡(luò)病毒傳播動(dòng)力學(xué)模型。該模型與已有病毒傳播模型[7-8]的不同之處在于考慮了社交網(wǎng)絡(luò)間的交叉感染。利用微分方程穩(wěn)定性理論分析了模型反映的網(wǎng)絡(luò)病毒傳播的動(dòng)力學(xué)性態(tài),得到了控制網(wǎng)絡(luò)病毒擴(kuò)散的基本再生數(shù)R0的閾值，當(dāng)R0的值小于等于1時(shí),網(wǎng)絡(luò)病毒會(huì)被完全控制，這與不考慮交叉感染的已有模型結(jié)論一致。最后,數(shù)值仿真實(shí)驗(yàn)驗(yàn)證了理論分析的正確性。同時(shí),通過取不同參數(shù)值進(jìn)行模擬,發(fā)現(xiàn)網(wǎng)絡(luò)病毒傳播的態(tài)勢(shì)是由基本再生數(shù)直接決定的,只要基本再生數(shù)R0的值小于1,病毒擴(kuò)散最終就會(huì)被控制；相反,當(dāng)基本再生數(shù)R0的值大于1時(shí),病毒在網(wǎng)絡(luò)中會(huì)一直存在。另外,仿真結(jié)果表明,在網(wǎng)絡(luò)節(jié)點(diǎn)總數(shù)相同的情況下,用戶在社交網(wǎng)絡(luò)中越分散,越有利于緩解網(wǎng)絡(luò)病毒的爆發(fā)。

今后,將對(duì)不同活躍用戶參與的社交網(wǎng)絡(luò)數(shù),以及對(duì)敏感信息處理的態(tài)度進(jìn)行調(diào)研和統(tǒng)計(jì)分析,進(jìn)一步檢驗(yàn)?zāi)Ｐ偷膶?shí)際應(yīng)用價(jià)值。