社交網(wǎng)絡(luò)中用戶行為對(duì)病毒傳播的影響因素

趙月愛，馮麗萍

(1.太原師范學(xué)院 計(jì)算機(jī)系，山西 晉中 030619；2.忻州師范學(xué)院 計(jì)算機(jī)系，山西 忻州 034000)

然而，社交網(wǎng)絡(luò)方便了用戶生活和工作的同時(shí)，安全問題也與日俱增[4]。2016年中國互聯(lián)網(wǎng)安全報(bào)告顯示，去年360互聯(lián)網(wǎng)安全中心共截獲各類新增釣魚網(wǎng)站196.9萬個(gè)，其中38.7%的網(wǎng)站主要利用社交網(wǎng)絡(luò)進(jìn)行傳播和擴(kuò)散。黑客利用社交網(wǎng)絡(luò)好友間的信任關(guān)系，進(jìn)行錢財(cái)詐騙、信息竊取、誘騙點(diǎn)擊惡意鏈接等事件越來越嚴(yán)重。用戶行為對(duì)惡意軟件利用社交網(wǎng)絡(luò)傳播起著關(guān)鍵作用[5]。

目前，針對(duì)社交網(wǎng)絡(luò)中惡意行為的研究主要集中于檢測(cè)和防御技術(shù)[6-9]，這些文獻(xiàn)都沒有研究黑客通過社交網(wǎng)絡(luò)進(jìn)行惡意行為的擴(kuò)散問題。事實(shí)上，隨著社交平臺(tái)的迅速普及，惡意軟件利用社交網(wǎng)絡(luò)進(jìn)行傳播，從而蔓延到整個(gè)網(wǎng)絡(luò)的現(xiàn)象越來越嚴(yán)重[5]。因此，研究社交網(wǎng)絡(luò)對(duì)網(wǎng)絡(luò)空間安全的影響是非常有意義的。用戶行為是影響黑客利用社交網(wǎng)絡(luò)進(jìn)行惡意行為擴(kuò)散以及信息傳播的關(guān)鍵因素。文獻(xiàn)[10]中，作者提出了E-mail蠕蟲仿真模型，研究用戶行為對(duì)郵件病毒傳播的影響。王禎俊等[11]提出一種基于非參數(shù)貝葉斯理論的社交網(wǎng)絡(luò)中用戶影響力傳播模型。1991年，KEPHART et al把人類流行病模型引入到計(jì)算機(jī)病毒研究領(lǐng)域[12]；使用流行病模型研究網(wǎng)絡(luò)病毒傳播規(guī)律一直是被廣泛使用的一種方法，已取得了許多研究成果[13-15]。但是，把用戶行為引入流行病模型、建模惡意軟件傳播的研究還未見報(bào)道。本文考慮將用戶行為引入流行病模型，研究社交網(wǎng)絡(luò)中用戶行為影響的互聯(lián)網(wǎng)惡意軟件傳播規(guī)律，為預(yù)防惡意軟件大規(guī)模擴(kuò)散，保障網(wǎng)絡(luò)空間安全提供理論基礎(chǔ)。

1 基于社交網(wǎng)絡(luò)用戶行為的SIR模型構(gòu)建

本章建模主要針對(duì)一些網(wǎng)絡(luò)病毒利用社交網(wǎng)絡(luò)中用戶打開或發(fā)送惡意鏈接進(jìn)行擴(kuò)散的情況。當(dāng)用戶使用社交網(wǎng)絡(luò)(比如，微信、QQ)時(shí)，會(huì)收到好友直接發(fā)送或者朋友圈推送的鏈接，或者用戶會(huì)收到帶有病毒的電子郵件；如果用戶打開帶有病毒的鏈接或者電子郵件，就會(huì)受到感染。也就是說，用戶行為會(huì)直接影響網(wǎng)絡(luò)病毒的擴(kuò)散。考慮以下3個(gè)因素對(duì)用戶行為的影響：用戶的安全意識(shí)；用戶對(duì)信息的興趣度；鏈接的來源。這3個(gè)因素直接決定用戶打開可疑鏈接或電子郵件附件的概率。

1.1 用戶打開可疑鏈接概率計(jì)算

為了反映以上3個(gè)因素對(duì)網(wǎng)絡(luò)病毒擴(kuò)散的影響，本節(jié)利用動(dòng)態(tài)化描述函數(shù)表示用戶打開可疑鏈接的概率，如式(1)所示。

(1)

式中：Pi表示用戶i打開可疑鏈接的概率；F(x)表示影響用戶行為的3個(gè)因素的函數(shù)；A表示影響用戶行為因素的權(quán)重向量；x表示影響用戶行為的3個(gè)因素構(gòu)成的向量，即x=(x1,x2,x3)=(用戶的安全意識(shí)，用戶對(duì)鏈接的興趣度，鏈接的來源)；ξ是反映用戶行為重要性的調(diào)節(jié)因子。

1.2 基于社交網(wǎng)絡(luò)用戶行為的SIR模型

本節(jié)采用經(jīng)典SIR流行病模型[16]，建模用戶行為影響的網(wǎng)絡(luò)病毒擴(kuò)散。其中，S指易感染節(jié)點(diǎn)，表示節(jié)點(diǎn)尚未接觸到可疑鏈接，但是有被感染的概率；I指?jìng)鞑ス?jié)點(diǎn)，表示已點(diǎn)擊可疑鏈接，并具有轉(zhuǎn)發(fā)鏈接的可能性；R指免疫節(jié)點(diǎn)，表示節(jié)點(diǎn)不會(huì)點(diǎn)擊可疑鏈接。網(wǎng)絡(luò)中的節(jié)點(diǎn)以一定概率在3種狀態(tài)之間轉(zhuǎn)換，如圖1所示。

圖1 用戶行為影響的網(wǎng)絡(luò)病毒擴(kuò)散模型圖Fig.1 Network virus diffusion model based on user behavior

如果一個(gè)未感染節(jié)點(diǎn)S與已感染節(jié)點(diǎn)I接觸，那么，S會(huì)以PSI的概率變?yōu)镮.這里S與I接觸，是指社交網(wǎng)絡(luò)中S收到I發(fā)來的鏈接或帶有可疑鏈接的電子郵件，或S看到了I在朋友圈推送的需要打開鏈接瀏覽某項(xiàng)內(nèi)容的信息。如果網(wǎng)絡(luò)用戶安全意識(shí)較強(qiáng)，對(duì)來歷不明的鏈接不會(huì)輕易打開，那么易感染節(jié)點(diǎn)就會(huì)以一定概率PSR轉(zhuǎn)化為免疫節(jié)點(diǎn)。當(dāng)已感染節(jié)點(diǎn)用戶意識(shí)到當(dāng)前鏈接為惡意鏈接時(shí)，會(huì)停止轉(zhuǎn)發(fā)并且刪掉該鏈接，而且以后收到同樣的鏈接會(huì)執(zhí)行相同操作，這時(shí)I節(jié)點(diǎn)就會(huì)成為具有免疫能力的R節(jié)點(diǎn)?？紤]到，并不是所有社交網(wǎng)絡(luò)用戶都能對(duì)惡意鏈接進(jìn)行有效判別并且執(zhí)行刪除操作，所以，模型中考慮節(jié)點(diǎn)I以一定概率PIR轉(zhuǎn)化為R結(jié)點(diǎn).圖1對(duì)應(yīng)的數(shù)學(xué)模型，用微分方程表示為式(2).

(2)

式中：PSI表示用戶點(diǎn)擊可疑鏈接的概率，通過式(1)計(jì)算獲得；PSR表示用戶不會(huì)點(diǎn)擊可疑鏈接的概率；PIR表示傳播節(jié)點(diǎn)轉(zhuǎn)化為免疫節(jié)點(diǎn)的概率。

阿里的母親平素最肯幫人，在東亭的人緣相當(dāng)好。前來悼念她的街坊鄰居好幾十個(gè)。阿東一邊忙著招呼大家，一邊又照顧著阿里。阿里幾天未見母親，情緒一直低落，每天都要鬧幾場(chǎng)。現(xiàn)在，他蔫蔫的，臉上無一絲笑容。

2 模型分析

定義θ=PIR/PSI為相對(duì)恢復(fù)率[17]，那么由模型(2)可以得到如下結(jié)論：

(3)

3 實(shí)驗(yàn)仿真與分析

本節(jié)采用Monte Carlo方法進(jìn)行實(shí)驗(yàn)仿真，模擬用戶行為對(duì)網(wǎng)絡(luò)病毒傳播規(guī)模與速度的影響。

3.1 參數(shù)PSI的確定

PSI的取值直接由用戶的安全意識(shí)、用戶對(duì)鏈接的興趣度以及鏈接來源三個(gè)因素決定。用戶的安全意識(shí)對(duì)PSI的取值起決定性作用，這里用0～1之間的隨機(jī)變量表示。當(dāng)取值為1時(shí)表示用戶是安全專家，具有很強(qiáng)的安全意識(shí)，能識(shí)別任何惡意鏈接；當(dāng)取值為0時(shí)，表示用戶完全沒有安全意識(shí)，對(duì)接收到的任何鏈接都有打開的可能。同樣，用0～1之間的隨機(jī)數(shù)表示用戶對(duì)鏈接的興趣度，取值越大，表示用戶對(duì)鏈接內(nèi)容興趣越大。鏈接來源是決定用戶是否打開當(dāng)前鏈接的重要因素。如果收到了鏈接是來自社交網(wǎng)絡(luò)中非常信任的朋友，那么用戶打開該鏈接的可能性就很大，否則，用戶需要判斷是否能打開。因此衡量鏈接來源是否可靠的一個(gè)重要特征是朋友間的信任度。用0～1之間的數(shù)表示信任度的大小，1表示完全信任，0表示不信任。

3.2 實(shí)驗(yàn)仿真

按照式(1)中F(x)=A-1x=ω1x1+ω2x2+ω3x3，其中，x=(x1,x2,x3)=(用戶的安全意識(shí)，用戶對(duì)連接的興趣度，鏈接的來源)，ωi(i=1,2,3)分別表示對(duì)應(yīng)的權(quán)重因子。仿真過程中，x1,x2,x3的值由蒙特卡洛方法隨機(jī)產(chǎn)生。根據(jù)式(1)可得到PSI=Pi的值。

1) 首先，考慮用戶安全意識(shí)差(x1的值越小，用戶安全意識(shí)越差)的情況，取x1,x2,x3對(duì)應(yīng)的權(quán)重ω1,ω2,ω3的值分別為0.008,0.8,0.8(ωi的取值越小，表示對(duì)應(yīng)的參數(shù)對(duì)用戶行為的影響越小)。取隨機(jī)產(chǎn)生數(shù)x1,x2,x3的值分別為：0.005,0.5,0.5，調(diào)節(jié)參數(shù)ξ的值為30.由式(1)可得到PSI=0.032 3，取PSR=0.2，PIR=0.05.按照模型(2)得到模擬結(jié)果，如圖2所示。

從圖2可以看出，易感染節(jié)點(diǎn)比例隨時(shí)間呈快速遞減趨勢(shì)；這是因?yàn)槟Ｐ?2)假設(shè)，在一段較短時(shí)間內(nèi)，社交網(wǎng)絡(luò)中沒有新用戶加入，而易感染節(jié)點(diǎn)不斷向已感染和免疫狀態(tài)轉(zhuǎn)化。已感染節(jié)點(diǎn)的比例在最初不到4 d的時(shí)間內(nèi)，迅速上升到超過60%，隨后隨時(shí)間呈緩慢遞減。這是因?yàn)?，最初易感染?jié)點(diǎn)數(shù)較多，S向I的轉(zhuǎn)化速度要大于I向S的轉(zhuǎn)化速度，隨著S節(jié)點(diǎn)數(shù)的減少，I向R的轉(zhuǎn)化速度超過S向I的轉(zhuǎn)化速度。該結(jié)果給我們一個(gè)啟示，在進(jìn)行網(wǎng)絡(luò)安全維護(hù)時(shí)，控制易感染節(jié)點(diǎn)的數(shù)量是一個(gè)有效的方法，具體實(shí)現(xiàn)時(shí)可以采取將一個(gè)大局域網(wǎng)劃分成幾個(gè)小網(wǎng)絡(luò)進(jìn)行管理。

2) 接下來考慮用戶安全意識(shí)較強(qiáng)時(shí)(x1的值越大，用戶安全意識(shí)越強(qiáng))的情況，取x1,x2,x3對(duì)應(yīng)的權(quán)重ω1,ω2,ω3的值分別為0.5,0.5,0.9(ωi的取值越小，表示對(duì)應(yīng)的參數(shù)對(duì)用戶行為的影響越小)。取隨機(jī)產(chǎn)生數(shù)x1,x2,x3的值分別為：0.5,0.5,0.8，調(diào)節(jié)參數(shù)ξ的值為30.由式(1)可得到PSI=0.033 7，取PSR=0.5，PIR=0.1.按照模型(2)，得到模擬結(jié)果如圖3所示。

比較圖2和圖3不難發(fā)現(xiàn)，當(dāng)用戶安全意識(shí)較強(qiáng)時(shí),已感染節(jié)點(diǎn)的比例明顯減小，受感染主機(jī)的最高比例比用戶缺乏安全意識(shí)時(shí)要降低大約33%。超過90%的節(jié)點(diǎn)都轉(zhuǎn)化成了免疫狀態(tài)。

3) 為了模擬用戶行為對(duì)由社交網(wǎng)絡(luò)引起的病毒感染規(guī)模的影響，取不同調(diào)節(jié)參數(shù)的值，觀察網(wǎng)絡(luò)中已感染節(jié)點(diǎn)的變化情況。其他參數(shù)的取值同圖3，模擬結(jié)果如圖4.

從圖4可以看出，ξ的值越大，也就是用戶的安全意識(shí)越強(qiáng)被感染節(jié)點(diǎn)的比例越小，而且感染速度也越慢。說明加強(qiáng)用戶安全意識(shí)，是維護(hù)網(wǎng)絡(luò)空間安全的一個(gè)有效措施。該結(jié)果激勵(lì)我們進(jìn)一步考慮從社會(huì)工程學(xué)角度研究保障網(wǎng)絡(luò)空間安全。另一方面，圖4也反映了在新的病毒爆發(fā)初期，無論用戶的安全意識(shí)強(qiáng)弱，都會(huì)在一個(gè)較短時(shí)間內(nèi)感染網(wǎng)絡(luò)中大量主機(jī)，這是由網(wǎng)絡(luò)病毒的快速傳播特性決定的，但是如果用戶的安全意識(shí)較高，感染節(jié)點(diǎn)的比例就會(huì)小而感染速度會(huì)慢一些。當(dāng)被感染節(jié)點(diǎn)達(dá)到一個(gè)峰值以后，用戶行為對(duì)病毒擴(kuò)散的影響差異并不大，被感染節(jié)點(diǎn)幾乎呈等比率的速度減少，最后呈一個(gè)穩(wěn)定趨勢(shì)。這個(gè)發(fā)現(xiàn)進(jìn)一步證明了網(wǎng)絡(luò)安全的維護(hù)既需要安全對(duì)抗技術(shù)的支持，也需要用戶行為規(guī)范的管理。

圖2 用戶缺乏安全意識(shí)時(shí)S,I,R與總結(jié)點(diǎn)比例的變化曲線圖Fig.2 Change curves of S,I,R when the user lacks safety awareness

圖3 用戶安全意識(shí)較強(qiáng)時(shí)S,I,R與總結(jié)點(diǎn)比例的變化曲線圖Fig.3 Change curves of S,I,R when the user safety consciousness

圖4 已感染節(jié)點(diǎn)的比例隨調(diào)節(jié)參數(shù)取值不同的變化曲線Fig.4 Curves of the proportion of infected nodes varies with the adjustment parameter

3.3 模型分析結(jié)果驗(yàn)證

本小節(jié)驗(yàn)證第3節(jié)的理論分析結(jié)果。取參數(shù)值分別為(ω1,ω2,ω3)=(0.5,0.5,0.9)，(x1,x2,x3)=(0.5,0.5,0.8)，(PIR,PSR,PSI)=(0.6,0.5,0.1)，S0的值分別取5和10，模擬結(jié)果如圖5所示。

圖5表明，當(dāng)S0<θ時(shí)，網(wǎng)絡(luò)中病毒不會(huì)擴(kuò)散；

圖5 已感染節(jié)點(diǎn)數(shù)隨時(shí)間變化曲線Fig.5 Curves of the number of infected nodes with time

當(dāng)S0>θ時(shí)，已感染節(jié)點(diǎn)會(huì)感染其它易感染節(jié)點(diǎn)，導(dǎo)致病毒爆發(fā)。與理論分析結(jié)果一致。該結(jié)果告訴我們，調(diào)節(jié)網(wǎng)絡(luò)中易感染節(jié)點(diǎn)數(shù)量和控制用戶行為是保證網(wǎng)絡(luò)安全的一個(gè)有效方法。

4 結(jié)束語

考慮到社交網(wǎng)絡(luò)中用戶行為對(duì)計(jì)算機(jī)網(wǎng)絡(luò)病毒傳播具有很大影響，本文基于流行病建模理論，建立了用戶行為影響的網(wǎng)絡(luò)病毒傳播模型。提取了影響用戶行為的三個(gè)主要因素構(gòu)建模型參數(shù)函數(shù)?；谒Ｐ?，從理論上定性分析了控制網(wǎng)絡(luò)病毒擴(kuò)散的閾值，然后數(shù)值模擬結(jié)果驗(yàn)證了理論分析的正確性。采用蒙特卡洛方法仿真了用戶具有較強(qiáng)安全意識(shí)和安全意識(shí)薄弱兩種情況下，網(wǎng)絡(luò)病毒擴(kuò)散趨勢(shì)。結(jié)果表明，用戶具有較強(qiáng)安全意識(shí)時(shí)，網(wǎng)絡(luò)病毒擴(kuò)散的規(guī)模會(huì)大大減小，而且擴(kuò)散速度比用戶安全意識(shí)薄弱時(shí)，呈現(xiàn)緩慢趨勢(shì)。最后，通過選取不同調(diào)節(jié)參數(shù)的值，模擬了用戶行為對(duì)網(wǎng)絡(luò)病毒擴(kuò)散的影響程度。實(shí)驗(yàn)結(jié)果表明，加強(qiáng)用戶行為的安全性，是維護(hù)網(wǎng)絡(luò)安全的一個(gè)有效方法。本文研究結(jié)果揭示了控制網(wǎng)絡(luò)中易感染節(jié)點(diǎn)的數(shù)量、加強(qiáng)用戶網(wǎng)絡(luò)安全教育、規(guī)范用戶行為，是保障網(wǎng)絡(luò)空間安全的一種有效方法。