網(wǎng)絡(luò)節(jié)點(diǎn)增減下的潛伏型病毒傳播行為建模研究

王 剛，陸世偉，馮 云，劉文斌，馬潤年

（1. 空軍工程大學(xué)信息與導(dǎo)航學(xué)院，陜西西安 710077；2. 廣州大學(xué)計算科技研究院，廣東廣州 510006）

1 引言

在網(wǎng)絡(luò)安全的攻防博弈中，攻擊方為竊取網(wǎng)絡(luò)用戶個人信息或破壞內(nèi)部網(wǎng)絡(luò)，通常會以網(wǎng)絡(luò)病毒形式向目標(biāo)網(wǎng)絡(luò)發(fā)動攻擊［1，2］. 為了避免被防御方檢測查殺，攻擊方通常會在病毒代碼中融入一些其他技術(shù)，如加殼、花指令、加密等，使網(wǎng)絡(luò)病毒擁有潛伏特性，更隱蔽地潛入到內(nèi)部網(wǎng)絡(luò)，達(dá)到隱蔽突襲的目的. 該類病毒在入侵目標(biāo)網(wǎng)絡(luò)后，會隱藏在網(wǎng)絡(luò)節(jié)點(diǎn)中，根據(jù)特定時間或事件條件的設(shè)置，在一定條件下激活，破壞目標(biāo)節(jié)點(diǎn)，甚至對網(wǎng)絡(luò)造成嚴(yán)重?fù)p失. 由于此類病毒具有一定的潛伏和免殺能力，并且?guī)в袕?qiáng)烈的目的性，我們將其稱為“潛伏型網(wǎng)絡(luò)病毒”，簡稱“潛伏型病毒”. 相比于一般的木馬病毒，潛伏型病毒更難被檢測且目的性更強(qiáng)，在被發(fā)現(xiàn)和清除前，往往會對網(wǎng)絡(luò)造成一定的損失. 如2013年，黑客通過釣魚郵件攻擊的方式，在著名信息廠商RSA 公司的內(nèi)網(wǎng)中，植入具有免殺功能的Poison Ivy木馬，竊取該公司SecurID 技術(shù)及客戶資料，并在被發(fā)現(xiàn)之前迅速清除痕跡. 此外，“震網(wǎng)”、“狼人殺”、“藍(lán)色火焰”、“海蓮花”等潛伏型病毒對網(wǎng)絡(luò)用戶的安全造成嚴(yán)重破壞［3，4］，隨著潛伏和免殺技術(shù)的發(fā)展，其對網(wǎng)絡(luò)安全的威脅也越來越大.

對于一種未知潛伏型病毒而言，在免疫軟件研制并生效之前，其在網(wǎng)絡(luò)中的傳播行為難以預(yù)測，在網(wǎng)絡(luò)沒有針對性防御措施的情況下，病毒傳播可能會給網(wǎng)絡(luò)造成巨大的危害. 為了抑制病毒傳播帶來的危害，一些學(xué)者通過研究復(fù)雜網(wǎng)絡(luò)中社區(qū)結(jié)構(gòu)并構(gòu)建博弈模型［5，6］，提出一些抑制病毒的傳播方法，如信任管理機(jī)制，來確保網(wǎng)絡(luò)的安全. 這些方法需要對網(wǎng)絡(luò)中信息進(jìn)行收集與評估，不易對病毒傳播行為進(jìn)行分析與預(yù)測. 由于潛伏型病毒的高隱蔽性，防御方通常難以在病毒爆發(fā)前發(fā)現(xiàn)其潛伏特征與感染特征，因而采用信任機(jī)制也無法準(zhǔn)確地對其傳播行為或規(guī)模進(jìn)行分析與評估. 為了避免病毒傳播對網(wǎng)絡(luò)造成巨大損失（病毒免疫軟件研制期間），眾多學(xué)者將研究視角轉(zhuǎn)移到病毒的傳播行為上，通過病毒傳播行為建模來探索病毒傳播的影響因素，進(jìn)而設(shè)計有效的控制策略，降低病毒傳播對網(wǎng)絡(luò)造成的損失.

在Kephart 和White［7］提出的計算機(jī)病毒傳播宏觀模型基礎(chǔ)上，研究者根據(jù)網(wǎng)絡(luò)環(huán)境和病毒類型的不同構(gòu)建了相應(yīng)的病毒傳播模型.Liu 等［8］構(gòu)建了一個具有免疫和非單調(diào)感染率的易感-感染-移除-易感（Susceptible-Infected-Removed-Susceptible，SIRS）網(wǎng)絡(luò)病毒傳播模型，發(fā)現(xiàn)較大的免疫因子可以加速病毒滅絕，降低網(wǎng)絡(luò)整體感染水平.Cai 等［9］應(yīng)用具有比率相關(guān)感染率的SIRS 病毒傳播模型，通過病毒全局動力學(xué)行為研究發(fā)現(xiàn)引入隨機(jī)波動可以抑制病毒的爆發(fā)，從而控制病毒的傳播. 考慮到有限資源約束，李黎等［10］根據(jù)病毒傳播理論提出了一種與初始感染源無關(guān)的病毒傳播控制策略：有限臨時刪邊（Limited-Temporary-Links-Removed，LTLR）策略，該策略能顯著增加網(wǎng)絡(luò)平均路徑長度，提高病毒傳播控制效率.Upadhyay 等［11］應(yīng)用易感-接種疫苗-暴露-感染-恢復(fù)（Susceptible-Vaccinated-Exposed-Infectious-Recovered，SVEIR）模型研究了病毒在計算機(jī)網(wǎng)絡(luò)中的傳播規(guī)律，發(fā)現(xiàn)反病毒技術(shù)和用戶觀察時間是控制病毒的關(guān)鍵因素. 考慮了6類移動設(shè)備，Lanz等［12］應(yīng)用病毒傳播模型研究了病毒惡意感染的閾值，并提出多種病毒傳播控制策略.

考慮傳染媒介和傳播延遲，王亞奇等［13］提出一種新的易感-感染-易感傳播模型（Susceptible-Infected-Susceptible，SIS），并利用平均場理論，研究無標(biāo)度網(wǎng)絡(luò)中的病毒傳播動力學(xué)，研究發(fā)現(xiàn)病毒感染程度與傳播延遲之間存在線性關(guān)系. 張曉潘等［14］構(gòu)建了具有時滯-擴(kuò)散的無線傳感網(wǎng)絡(luò)病毒傳播模型，研究了病毒傳播的振蕩動力學(xué)行為，揭示了時滯和擴(kuò)散作用對無線傳感器網(wǎng)絡(luò)是有害的. 王昕煒等［15］以參數(shù)τ為病毒潛伏期，構(gòu)建了非線性感染率下的時滯病毒傳播模型，并通過控制變量的方法給出病毒最優(yōu)防御策略.Song 等［16］提出一個具有分布時滯和非線性發(fā)生率的多級感染模型，并證明了在一定條件下，病毒傳播動力學(xué)行為完全由基本再生數(shù)決定. Zhu 等［17］在復(fù)雜網(wǎng)絡(luò)上建立一個具有非線性發(fā)病率和時滯的SIS 傳染病模型，研究比較了4 種不同的控制策略，包括均勻免疫控制、熟人免疫控制、主動免疫控制和最優(yōu)控制.

以上研究將病毒的潛伏期理解為感染前的一段時滯，給出了時滯因素對病毒傳播行為和傳播過程的影響. 然而，病毒在潛伏狀態(tài)的特性不僅限于感染過程的時滯，還存在向其他狀態(tài)的轉(zhuǎn)移以及自身的移除過程等，而且其感染過程與網(wǎng)絡(luò)節(jié)點(diǎn)的平均度有關(guān)［18］. 這些情況僅靠傳統(tǒng)模型難以表述，需要進(jìn)一步展開研究了解潛伏型病毒在潛伏階段的行為.

王等［19，20］考慮了網(wǎng)絡(luò)節(jié)點(diǎn)度對病毒感染率的影響，并增加了潛伏狀態(tài)節(jié)點(diǎn)向其它狀態(tài)節(jié)點(diǎn)之間的轉(zhuǎn)移過程，根據(jù)病毒的潛伏方式，分別構(gòu)建兩種潛伏型病毒傳播模型，分析了節(jié)點(diǎn)度及轉(zhuǎn)移概率等對病毒傳播規(guī)模的影響. 李等［21］在節(jié)點(diǎn)移除的情況下，考慮了網(wǎng)絡(luò)病毒的潛伏狀態(tài)向其他狀態(tài)的轉(zhuǎn)化過程，并在潛伏狀態(tài)到感染狀態(tài)的轉(zhuǎn)化過程中添加了時滯因素，分析了時滯對病毒傳播的影響，給出有效的混合隔離策略來抑制潛伏型病毒的傳播. 這些成果促進(jìn)了潛伏型病毒傳播行為分析及控制策略的設(shè)計，然而要更為準(zhǔn)確地研究潛伏型病毒在實(shí)際網(wǎng)絡(luò)中的傳播規(guī)律，還需在建模與分析過程中考慮以下問題：（1）網(wǎng)絡(luò)節(jié)點(diǎn)增加和移除會影響網(wǎng)絡(luò)節(jié)點(diǎn)總數(shù)，變化的節(jié)點(diǎn)總數(shù)會對病毒傳播過程和傳播規(guī)模產(chǎn)生怎樣的影響；（2）網(wǎng)絡(luò)病毒由潛伏到感染過程會有一定的潛伏期（時滯），該潛伏期會對病毒傳播分岔行為及傳播能力產(chǎn)生影響，如何構(gòu)建包含時滯的病毒傳播模型才能準(zhǔn)確地分析時滯對病毒傳播的影響；（3）考慮網(wǎng)絡(luò)節(jié)點(diǎn)增減的條件下，病毒在潛伏期內(nèi)依然存在被移除的情況，如何正確地表示移除后的潛伏節(jié)點(diǎn)向感染節(jié)點(diǎn)的轉(zhuǎn)化過程.

為解決以上存在的問題，本文在傳統(tǒng)的潛伏型病毒易感-潛伏-感染-免疫（Susceptible-Exposed-Infected-Recovered，SEIR）傳播模型基礎(chǔ)上，增加了網(wǎng)絡(luò)節(jié)點(diǎn)增減過程，用以探索變化網(wǎng)絡(luò)節(jié)點(diǎn)數(shù)下病毒的傳播過程，以及增減網(wǎng)絡(luò)節(jié)點(diǎn)對病毒傳播規(guī)模的影響. 此外，考慮到病毒潛伏期會對病毒傳播行為和傳播規(guī)模產(chǎn)生影響，在所構(gòu)建模型中增加了指數(shù)律的潛伏時滯因子，用以分析潛伏期時長對病毒分岔行為及其基本再生數(shù)的影響［14～16］. 所構(gòu)建模型能夠更為準(zhǔn)確地描述潛伏型病毒在網(wǎng)絡(luò)上的傳播行為，研究網(wǎng)絡(luò)節(jié)點(diǎn)數(shù)變化條件下潛伏型病毒傳播分岔行為產(chǎn)生的條件，分析潛伏型病毒傳播的穩(wěn)定性，探索出潛伏時滯、節(jié)點(diǎn)增減率等因素對病毒傳播行為和傳播能力的影響，進(jìn)一步為科學(xué)地設(shè)計潛伏型病毒管控策略提供理論依據(jù).

2 節(jié)點(diǎn)增減下的時滯病毒傳播模型

潛伏型病毒在入侵網(wǎng)絡(luò)時會有不同的形式，如：直接潛伏至目標(biāo)節(jié)點(diǎn)之后實(shí)施感染（直接潛伏型）［19］；潛伏過程中伴隨有感染過程，以一種病毒的感染來分散防御方注意力，進(jìn)而更容易地實(shí)施潛伏（間接潛伏型）［20］. 這里，以直接潛伏型病毒為例，構(gòu)建節(jié)點(diǎn)增減下的時滯病毒傳播模型.

在網(wǎng)絡(luò)病毒入侵初始階段，將網(wǎng)絡(luò)中的節(jié)點(diǎn)劃分為四種類型：易感節(jié)點(diǎn)、潛伏節(jié)點(diǎn)、感染節(jié)點(diǎn)以及免疫節(jié)點(diǎn). 其中，易感節(jié)點(diǎn)表示網(wǎng)絡(luò)中脆弱的、易受病毒潛伏或感染的節(jié)點(diǎn)；潛伏節(jié)點(diǎn)表示被病毒潛伏但病毒尚未激活的節(jié)點(diǎn)；感染節(jié)點(diǎn)即受病毒感染且受損失的節(jié)點(diǎn)；免疫節(jié)點(diǎn)表示對入侵病毒具有免疫能力的節(jié)點(diǎn). 易感狀態(tài)、潛伏狀態(tài)、感染狀態(tài)、免疫狀態(tài)分別簡記為S、E、I、R. 用S（t）、E（t）、I（t）、R（t）分別表示t時刻網(wǎng)絡(luò)中四種狀態(tài)節(jié)點(diǎn)的數(shù)量. 綜合考慮實(shí)際網(wǎng)絡(luò)病毒傳播特點(diǎn)，做出以下假設(shè)：

（1）病毒在網(wǎng)絡(luò)任意兩個節(jié)點(diǎn)間傳播時間存在最小值，以該最小值作為研究中的單位時間.

（2）網(wǎng)絡(luò)中不具有免疫能力的節(jié)點(diǎn)都是易受病毒潛伏或感染的，而免疫節(jié)點(diǎn)對潛伏型病毒具有不會衰退的免疫能力.

（3）在單位時間內(nèi)，平均有A個外部節(jié)點(diǎn)接入網(wǎng)絡(luò)（A>0），且都為易感節(jié)點(diǎn)；四種狀態(tài)節(jié)點(diǎn)的移除率分別為μ1，μ2，μ3，μ4.

（4）病毒在感染前會先潛伏到目標(biāo)節(jié)點(diǎn)，在節(jié)點(diǎn)中的平均潛伏時長為τ.

（5）單位時間內(nèi)，單個病毒成功潛伏至易感節(jié)點(diǎn)的概率為β，潛伏病毒被激活的概率為γ，感染節(jié)點(diǎn)免疫的概率為ω.

根據(jù)文獻(xiàn)［18，20］的研究，節(jié)點(diǎn)度會影響感染節(jié)點(diǎn)周圍的易感節(jié)點(diǎn)數(shù)量，即單位時間內(nèi)網(wǎng)絡(luò)中的易感節(jié)點(diǎn)被感染的比例為β〈k〉I(t)/N(t)，其中〈k〉為網(wǎng)絡(luò)平均度. 由于病毒為直接潛伏型病毒，因此易感節(jié)點(diǎn)轉(zhuǎn)化為潛伏節(jié)點(diǎn)的數(shù)量為β〈k〉I(t)/N(t). 由于在病毒傳播過程中存在各狀態(tài)節(jié)點(diǎn)的增加或移除，網(wǎng)絡(luò)節(jié)點(diǎn)總數(shù)不恒定，因此記為N(t). 病毒在潛伏狀態(tài)經(jīng)過τ時間可能會被激活，則t時刻感染節(jié)點(diǎn)的增加數(shù)量實(shí)際上取決于t-τ時刻潛伏節(jié)點(diǎn)的數(shù)量E(t-τ)，可以表示為γE(t-τ). 然而，由于t-τ時刻到t時刻內(nèi)持續(xù)有潛伏節(jié)點(diǎn)被移除，因此計算潛伏節(jié)點(diǎn)轉(zhuǎn)化為感染節(jié)點(diǎn)的概率時，需要考慮潛伏期內(nèi)被移除的潛伏節(jié)點(diǎn)數(shù)量. 在t-τ時刻至t時刻，每個單位時間存在節(jié)點(diǎn)被移除的可能，潛伏節(jié)點(diǎn)移除率為μ2，即每個單位時間內(nèi)會移除μ2比例的節(jié)點(diǎn)，剩余(1-μ2)比例的節(jié)點(diǎn)，因此在經(jīng)過τ個單位時間后，總剩余比例應(yīng)為(1-μ2)τ，即t-τ時刻潛伏節(jié)點(diǎn)轉(zhuǎn)化為感染節(jié)點(diǎn)的數(shù)量應(yīng)為γ(1-μ2)τE(t-τ)，即t時刻感染節(jié)點(diǎn)增加數(shù)量為γ(1-μ2)τE(t-τ). 根據(jù)以上假設(shè)與分析，給出節(jié)點(diǎn)增減下的時滯SEIR 病毒傳播模型示意圖，如圖1所示.

圖1 節(jié)點(diǎn)增減下的時滯SEIR病毒傳播模型示意圖

圖1中，〈k〉為網(wǎng)絡(luò)節(jié)點(diǎn)平均度，N(t)為t時刻網(wǎng)絡(luò)節(jié)點(diǎn)總數(shù)，且N(t)=S(t)+E(t)+I(t)+R(t). 由于每個單位時間都存在節(jié)點(diǎn)移除和增加的可能，網(wǎng)絡(luò)節(jié)點(diǎn)總數(shù)也是變化的. 根據(jù)以上傳播模型示意圖，給出對應(yīng)的時滯動力學(xué)微分方程：

其中，S（t）、E（t）、I（t）和R（t）分別表示t時刻網(wǎng)絡(luò)中對應(yīng)狀態(tài)的節(jié)點(diǎn)數(shù)量. 模型（1）演化的初始條件如下：

其中，φ=(φ1(θ)，φ2(θ)，φ3(θ)，φ4(θ)) ∈C([-τ，0]，R4+0).C([-τ，0]，R4+0)是[-τ，0]上連續(xù)向量函數(shù)全體，簡記為C.實(shí)際中，系統(tǒng)（1）的初值時刻θ取決于網(wǎng)絡(luò)中4 種狀態(tài)節(jié)點(diǎn)數(shù)量統(tǒng)計的起始時刻，若θ≠0，在[θ，0]時間段內(nèi)分別記錄4種節(jié)點(diǎn)的數(shù)量變化曲線，可得對應(yīng)的初值函數(shù)φ；若θ=0，則φ=(φ1(0)，φ2(0)，φ3(0)，φ4(0))，此時φ為4元實(shí)數(shù)行向量. 由于有界滯量的滯后型微分方程解空間在C上通常為無限維的，因此需要通過連續(xù)的Banach 空間函數(shù)φ將區(qū)間[-τ，0]映射至四維正實(shí)數(shù)空間，其中={(x1，x2，x3，x4)：xi≥0，i=1，2，3，4}，φ的范數(shù)定義為|φ(θ)|，|·|是Rn中的范數(shù).

3 穩(wěn)定性分析

穩(wěn)定性是指系統(tǒng)受到擾動作用會偏離平衡狀態(tài)，當(dāng)擾動消失，系統(tǒng)經(jīng)過自身調(diào)節(jié)能夠以一定的準(zhǔn)確度恢復(fù)原平衡狀態(tài)的性能. 對于病毒傳播動力學(xué)系統(tǒng)而言，研究其平衡點(diǎn)及穩(wěn)定性有助于了解病毒傳播的平衡態(tài)及其穩(wěn)定性，進(jìn)一步為設(shè)計穩(wěn)定的控制器提供理論依據(jù).

則有病毒平衡點(diǎn)處各狀態(tài)節(jié)點(diǎn)數(shù)量可表示為

設(shè)基本再生數(shù)

當(dāng)R0＞1 時，網(wǎng)絡(luò)僅存在有病毒平衡點(diǎn)；否則，只存在無病毒平衡點(diǎn).

引理1當(dāng)t∈(0，+∞)時，S(t)＞0.

證明假設(shè)S(t)＞0 在t∈(0，+∞)時不恒成立，則存在t0，使得S(t0)=0，有

此時存在ε，使得(t0-ε)∈(0，t0)且S(t0-ε)＜0. 與節(jié)點(diǎn)數(shù)量非負(fù)矛盾，因此當(dāng)t∈(0，+∞)時，S(t)＞0. 證畢

定理1當(dāng)R0≤1 時，時滯系統(tǒng)（1）在無病毒平衡點(diǎn)P0(S0，E0，I0，R0)處全局漸進(jìn)穩(wěn)定.

證明令h(x)=x-1-lnx，對任意的x∈(0，∞)，有h(x)≥0，當(dāng)且僅當(dāng)x=1時等號成立.

定義Lyapunov函數(shù)：

式（5）對時間t求導(dǎo)得

當(dāng)R0≤1 時，有V'(t)≤0，且僅當(dāng)S(t)=S0，R0=1 時等號成立. 由LaSalle 不變原理［22］可知，當(dāng)R0≤1 時，時滯系統(tǒng)在無病毒平衡點(diǎn)P0處全局漸進(jìn)穩(wěn)定. 證畢

定理2當(dāng)R0＞1時，時滯系統(tǒng)的穩(wěn)定性由時滯τ及其時滯閾值τ0共同決定. 當(dāng)τ＜τ0，則系統(tǒng)在有病毒平衡點(diǎn)P1(S1，E1，I1，R1)處局部漸進(jìn)穩(wěn)定；當(dāng)τ≥τ0，系統(tǒng)會出現(xiàn)Hopf分岔現(xiàn)象.

證明時滯系統(tǒng)（1）在平衡點(diǎn)P1(S1，E1，I1，R1)處的線性系統(tǒng)可表示為

在τ＞0的情況下，設(shè)式（12）的特征根為λ=iθ，則可得到

分離式（14）實(shí)部與虛部可得到

進(jìn)一步得到關(guān)于θ的方程［21］

其中，

設(shè)式（16）有正根θ0，則±iθ0為式（14）的一對純虛根，由式（15）可得到

其中，

由式（18）可得時滯的臨界值為

由以上求解過程和Hopf 分岔理論［24，25］可知，如果式（16）有正根，那么當(dāng)τ＜τ0時，系統(tǒng)（1）在有病毒平衡點(diǎn)P1(S1，E1，I1，R1)處局部漸進(jìn)穩(wěn)定；τ≥τ0時，系統(tǒng)（1）會出現(xiàn)Hopf分岔現(xiàn)象. 證畢

綜合系統(tǒng)平衡點(diǎn)求解和平衡點(diǎn)穩(wěn)定性分析可知：

（1）在考慮網(wǎng)絡(luò)節(jié)點(diǎn)增減的情況下，潛伏型病毒的潛伏時長（時滯）和節(jié)點(diǎn)的增減率會影響到病毒傳播的基本再生數(shù)，進(jìn)而影響病毒的傳播規(guī)模. 合理控制病毒潛伏時滯和網(wǎng)絡(luò)節(jié)點(diǎn)增減數(shù)量能夠減小基本再生數(shù)，進(jìn)而控制潛伏型病毒傳播.

（2）節(jié)點(diǎn)增減下，病毒潛伏時滯閾值τ0會隨時滯τ而變化. 對于潛伏型病毒而言，其時滯閾值與病毒本身的潛伏時滯有關(guān)，通過計算可以判斷潛伏時滯與時滯閾值的關(guān)系，進(jìn)一步推斷出病毒傳播是否會出現(xiàn)分岔狀態(tài). 如果病毒傳播存在分岔現(xiàn)象，病毒傳播行為將難以預(yù)測，控制策略設(shè)計難度也會加大，在這種情況下，需要增大病毒時滯閾值來消除其行為上的分岔現(xiàn)象，進(jìn)而設(shè)計有效的防御方法.

（3）潛伏型病毒在有病毒平衡點(diǎn)處的穩(wěn)定性與病毒的時滯及其閾值相關(guān). 合理地調(diào)節(jié)與時滯閾值相關(guān)的參數(shù)，能夠增大時滯閾值，阻止病毒傳播出現(xiàn)分岔現(xiàn)象，進(jìn)而更好地控制病毒傳播.

4 數(shù)值仿真

4.1 仿真環(huán)境設(shè)置

數(shù)值仿真的目的在于：（1）驗證理論分析的正確性；（2）驗證時滯閾值τ0與免疫率ω及時滯τ之間的關(guān)系；（3）節(jié)點(diǎn)增減率對系統(tǒng)平衡點(diǎn)的影響. 仿真選取2個合成網(wǎng)絡(luò)和3個實(shí)際網(wǎng)絡(luò)，以模型演化的形式分別模擬潛伏型病毒在這5 個不同的網(wǎng)絡(luò)中的傳播過程. 其中，ER 隨機(jī)網(wǎng)絡(luò)和小世界網(wǎng)絡(luò)根據(jù)生成算法生成，其他3 個實(shí)際的網(wǎng)絡(luò)數(shù)據(jù)集來源于斯坦福大學(xué)復(fù)雜網(wǎng)絡(luò)數(shù) 據(jù) 集（Stanford Large Network Dataset Collection，SNAP）［26］，具體網(wǎng)絡(luò)參數(shù)如表1所示.P2P-Gnutella05網(wǎng)絡(luò)中節(jié)點(diǎn)表示Gnutella 網(wǎng)絡(luò)拓?fù)渲械闹鳈C(jī)，連邊表示Gnutella 主機(jī)之間的連接；Wiki-Talk 網(wǎng)絡(luò)包含了所有用戶以及從Wikipedia 成立到2008 年1 月的討論，網(wǎng)絡(luò)中的節(jié)點(diǎn)代表Wikipedia 用戶，從節(jié)點(diǎn)i到節(jié)點(diǎn)j的有向邊代表該用戶i至少編輯了一次用戶j的對話頁；Web-Google網(wǎng)絡(luò)節(jié)點(diǎn)表示Google網(wǎng)頁，有向邊表示它們之間的超鏈接. 實(shí)際中，病毒傳播模型參數(shù)需要利用優(yōu)化算法并根據(jù)特定的病毒感染事件及數(shù)據(jù)集來估計. 鑒于目前尚無公開的潛伏型網(wǎng)絡(luò)病毒傳播數(shù)據(jù)集，以下參數(shù)取值主要基于定理1 和定理2 中對基本再生數(shù)和時滯的要求.

表1 網(wǎng)絡(luò)名稱及相關(guān)參數(shù)

參照文獻(xiàn)［27，28］，分別在5 個網(wǎng)絡(luò)上對病毒傳播過程進(jìn)行數(shù)值模擬，并根據(jù)定理1 和定理2 中基本再生數(shù)和時滯條件，設(shè)置模型相關(guān)參數(shù). 其中，ER 隨機(jī)網(wǎng)絡(luò)和小世界網(wǎng)絡(luò)中A=100，β=0.3，γ=0.25，ω=0.5，μ1=0.01，μ2=0.02，μ3=0.03，μ4=0.04，時滯τ=8. 其他3個網(wǎng)絡(luò)中，A=50，β=0.5，γ=0.3，ω=0.2，μ1=0.01，μ2=0.02，μ3=0.03，μ4=0.04，時滯τ=12. 由于2 個網(wǎng)絡(luò)的總節(jié)點(diǎn)數(shù)和網(wǎng)絡(luò)特性不同，狀態(tài)節(jié)點(diǎn)初始數(shù)值設(shè)置為不同的節(jié)點(diǎn)組合，由式（4）和式（20）可得每個網(wǎng)絡(luò)基本再生數(shù)及相應(yīng)的時滯閾值. 表2 中給出了每個網(wǎng)絡(luò)的初始節(jié)點(diǎn)集合、基本再生數(shù)、時滯和時滯閾值. 如果不做特殊說明，這些網(wǎng)絡(luò)的參數(shù)是固定不變的.

表2 網(wǎng)絡(luò)初始節(jié)點(diǎn)集合、基本再生數(shù)、時滯閾值和時滯

4.2 平衡點(diǎn)及其穩(wěn)定性

首先，分別在5 個網(wǎng)絡(luò)中驗證關(guān)于定理2 有病毒平衡點(diǎn)的穩(wěn)定性. 由于5 個網(wǎng)絡(luò)的基本再生數(shù)R0均大于1，由定理2 知，當(dāng)τ＜τ0，系統(tǒng)在有病毒平衡點(diǎn)P1(S1，E1，I1，R1)處局部漸進(jìn)穩(wěn)定；當(dāng)τ≥τ0，系統(tǒng)會出現(xiàn)Hopf 分岔現(xiàn)象. 由表2 知，在ER 隨機(jī)網(wǎng)絡(luò)和Wiki-Talk網(wǎng)絡(luò)中，病毒傳播時滯τ＜τ0，因此這2 個網(wǎng)絡(luò)中的病毒傳播會局部穩(wěn)定在有病毒平衡點(diǎn)；在其他3 個網(wǎng)絡(luò)中，病毒傳播時滯τ≥τ0，因此病毒傳播會出現(xiàn)分岔行為.圖2（a）～（e）分別給出了以上5 個網(wǎng)絡(luò)中狀態(tài)節(jié)點(diǎn)數(shù)量隨時間演化的曲線.

由圖2可以看出，小世界網(wǎng)絡(luò)、P2P-Gnutella05網(wǎng)絡(luò)和Web-Google 網(wǎng)絡(luò)（τ≥τ0）中出現(xiàn)了Hopf 分岔現(xiàn)象，此時各狀態(tài)節(jié)點(diǎn)數(shù)量會出現(xiàn)振蕩，網(wǎng)絡(luò)受感染嚴(yán)重情況難以根據(jù)短期的數(shù)據(jù)進(jìn)行判斷，通常也無法針對性地對網(wǎng)絡(luò)采用合理的控制策略來恢復(fù)網(wǎng)絡(luò)的安全. 這種情況下，需要先消除網(wǎng)絡(luò)中的病毒傳播的分岔現(xiàn)象，進(jìn)而研究如何降低病毒傳播的規(guī)模. 此外，在ER 隨機(jī)網(wǎng)絡(luò)和Wiki-Talk 網(wǎng)絡(luò)（τ＜τ0）中，病毒傳播會穩(wěn)定在有病毒平衡點(diǎn). 綜上所述，數(shù)值仿真結(jié)果與定理2一致.

圖2 R0＞1時5個網(wǎng)絡(luò)中狀態(tài)節(jié)點(diǎn)數(shù)量隨時間演化曲線

為進(jìn)一步驗證定理1，即R0≤1時，時滯系統(tǒng)在無病毒平衡點(diǎn)P0(S0，E0，I0，R0)處全局漸進(jìn)穩(wěn)定，人為提升免疫率ω，并降低病毒激活概率γ，確保5 個網(wǎng)絡(luò)中病毒傳播基本再生數(shù)R0≤1，即病毒傳播穩(wěn)定時網(wǎng)絡(luò)中不存在病毒感染節(jié)點(diǎn).5個網(wǎng)絡(luò)的參數(shù)調(diào)整方式及調(diào)整后的基本再生數(shù)如表3所示.

表3 5個網(wǎng)絡(luò)參數(shù)調(diào)整及其基本再生數(shù)

經(jīng)過調(diào)整相應(yīng)的參數(shù)，5 個網(wǎng)絡(luò)的基本再生數(shù)都小于1，此時網(wǎng)絡(luò)中各狀態(tài)節(jié)點(diǎn)的數(shù)量演化曲線如圖3（a）～（e）所示.

圖3 R0 ≤1時5個網(wǎng)絡(luò)中狀態(tài)節(jié)點(diǎn)數(shù)量隨時間演化曲線

分析可知，基本再生數(shù)R0≤1時，2個網(wǎng)絡(luò)中的潛伏節(jié)點(diǎn)和感染節(jié)點(diǎn)數(shù)量最終都會趨近于0，并保持穩(wěn)定，即網(wǎng)絡(luò)節(jié)點(diǎn)不受潛伏型病毒潛伏或感染，與定理1一致.

4.3 時滯閾值τ0的影響因素

由于在R0＞1 時，時滯閾值和時滯會共同決定病毒傳播分岔現(xiàn)象，因此有必要探索系統(tǒng)中其他參數(shù)對時滯閾值的影響. 為此，以表1中5個網(wǎng)絡(luò)為背景，研究潛伏型病毒在這5 個網(wǎng)絡(luò)上傳播時系統(tǒng)參數(shù)對時滯閾值的影響. 其中，網(wǎng)絡(luò)類型和網(wǎng)絡(luò)平均度信息如表1 所示，每個網(wǎng)絡(luò)的模型參數(shù)設(shè)置與4.1 節(jié)相同. 此處，重點(diǎn)分析時滯τ和免疫率ω對閾值τ0的影響. 圖4（a）和圖4（b）分別給出了τ和ω對τ0的影響.

圖4 不同參數(shù)對時滯閾值的影響

分析圖4（a）和圖4（b）可知，隨著病毒潛伏時滯τ的增大，時滯閾值τ0也會增大，而且在不同參數(shù)的網(wǎng)絡(luò)中這種增長趨勢表現(xiàn)不同. 在圖4（a）中，比較ER 隨機(jī)網(wǎng)絡(luò)（平均度為6）和小世界網(wǎng)絡(luò)（平均度為12）中時滯閾值隨潛伏時滯的變化關(guān)系，可知平均度越小的網(wǎng)絡(luò)時滯閾值隨潛伏時滯變化越明顯；同理，比較其他3 個網(wǎng)絡(luò)也能得到相同的結(jié)論. 因此，可以發(fā)現(xiàn)當(dāng)網(wǎng)絡(luò)模型其他參數(shù)都相同時，網(wǎng)絡(luò)平均度越小，時滯閾值隨潛伏時滯變化越明顯. 此外，由圖4（b）知，在ER 隨機(jī)網(wǎng)絡(luò)和P2P-Gnutella05 網(wǎng)絡(luò)中，隨著免疫率的增大，時滯閾值有明顯的增大趨勢；而在小世界網(wǎng)絡(luò)和Web-Google 網(wǎng)絡(luò)中呈現(xiàn)出先增大后減小的趨勢，主要原因是這2個網(wǎng)絡(luò)的平均度相對較大，由于免疫率對時滯閾值的影響是有一定范圍的，因而單一地增加免疫率并不能增大時滯閾值. 在Wiki-Talk 網(wǎng)絡(luò)中，也表現(xiàn)出了先增大后減小的趨勢，但是值得一提的是，在免疫率0.82～0.92的位置處，無法計算時滯閾值，出現(xiàn)該現(xiàn)象的原因是式（12）的特征根不存在. 為了進(jìn)一步探索該種情況下的病毒傳播情況，選取免疫率分別為0.82，0.85，0.88，0.91時的值，觀察各狀態(tài)節(jié)點(diǎn)的演化情況，不同免疫率下Wiki-Talk網(wǎng)絡(luò)中狀態(tài)節(jié)點(diǎn)數(shù)量演化曲線如圖5（a）～（d）所示.

圖5 不同免疫率ω下Wiki-Talk網(wǎng)絡(luò)中狀態(tài)節(jié)點(diǎn)數(shù)量演化曲線

在圖5（a）～（d）中，由于4 個免疫率下基本再生數(shù)R0＞1，最終網(wǎng)絡(luò)中病毒節(jié)點(diǎn)數(shù)量都不為0，但都局部穩(wěn)定在有病毒平衡點(diǎn)附近，且均未出現(xiàn)分岔行為. 因而，在時滯閾值不存在的情況下，可以將病毒傳播時滯閾值τ0看作接近于無窮大，從而依然滿足定理2.

由以上分析可知，在一定范圍內(nèi)調(diào)整節(jié)點(diǎn)免疫率能有效調(diào)節(jié)病毒傳播的時滯閾值. 如果增大免疫率，能將時滯閾值τ0由小于潛伏時滯τ的值改變?yōu)榇笥讦拥闹?，則可以消除病毒傳播中的分岔行為. 由于免疫率與潛伏時滯τ無關(guān)，因此，適當(dāng)調(diào)整網(wǎng)絡(luò)節(jié)點(diǎn)對病毒的免疫能力能夠避免病毒在網(wǎng)絡(luò)中傳播出現(xiàn)分岔現(xiàn)象，有利于對網(wǎng)絡(luò)受感染情況進(jìn)行分析，從而有助于防御方部署更為有效的病毒傳播防御策略. 增大網(wǎng)絡(luò)節(jié)點(diǎn)對潛伏型病毒免疫率的措施包括：（1）安裝殺毒軟件，及時更新病毒庫，定期殺毒；（2）修復(fù)漏洞和補(bǔ)??；（3）在使用易攜帶潛伏型病毒的移動存儲設(shè)備時，提前做好檢測與殺毒工作；（4）盡量避免進(jìn)入不明網(wǎng)站和接收不明郵件；（5）關(guān)閉不必要的設(shè)備端口等.

4.4 節(jié)點(diǎn)增減率對平衡點(diǎn)的影響

在病毒傳播過程中，網(wǎng)絡(luò)節(jié)點(diǎn)的數(shù)量會因內(nèi)部或外部原因有所增減，如網(wǎng)絡(luò)故障或人工隔離等. 研究節(jié)點(diǎn)增減率對平衡點(diǎn)的影響，有利于探索潛伏型病毒傳播的控制方法，降低病毒的傳播規(guī)模. 如果將t時刻病毒節(jié)點(diǎn)的數(shù)量表示為潛伏節(jié)點(diǎn)和感染節(jié)點(diǎn)之和E(t)+I(t)，由式（3）和式（4）不難看出，易感節(jié)點(diǎn)增加數(shù)量A不會影響基本再生數(shù)R0，而會影響有病毒平衡點(diǎn)P1(S1，E1，I1，R1)處病毒節(jié)點(diǎn)的數(shù)量，因此在R0＞1，τ＜τ0時，調(diào)節(jié)A可以控制最終網(wǎng)絡(luò)中病毒節(jié)點(diǎn)的數(shù)量. 仿真中，病毒傳播規(guī)?？梢杂米罱K網(wǎng)絡(luò)中病毒節(jié)點(diǎn)的數(shù)量來衡量.

本小節(jié)通過數(shù)值分析，重點(diǎn)研究4種狀態(tài)節(jié)點(diǎn)的移除率μ1，μ2，μ3，μ4和易感節(jié)點(diǎn)增加數(shù)量A對病毒傳播規(guī)模的影響. 由于在病毒傳播出現(xiàn)分岔行為時系統(tǒng)不易控制，此處主要研究無分岔行為時4個參數(shù)對病毒傳播的影響.

仿真中網(wǎng)絡(luò)選取表1 中5 個不同類型網(wǎng)絡(luò)，參數(shù)設(shè)置參照4.1 節(jié). 由于病毒傳播不出現(xiàn)無分岔現(xiàn)象時要求潛伏時滯τ取較小的值，調(diào)整5 個網(wǎng)絡(luò)中潛伏型病毒傳播的潛伏時滯為τ=0.2，其他參數(shù)設(shè)置與4.1 節(jié)相同. 圖6（a）～（d）分別給出了4 個參數(shù)μ1，μ2，μ3，μ4對病毒傳播規(guī)模的影響. 圖7中給出了易感節(jié)點(diǎn)增加數(shù)量A對病毒傳播規(guī)模的影響. 由于5 個網(wǎng)絡(luò)中病毒傳播的潛伏時滯τ都較小，因而可以保證病毒傳播不會出現(xiàn)分岔現(xiàn)象，最終狀態(tài)節(jié)點(diǎn)的數(shù)量會趨于穩(wěn)定. 圖6 和圖7中橫坐標(biāo)取所研究參數(shù)不同的值，縱坐標(biāo)取為網(wǎng)絡(luò)中病毒傳播穩(wěn)定時（1 000 s時）病毒節(jié)點(diǎn)的數(shù)量E(t)+I(t).

圖6 節(jié)點(diǎn)移除率對病毒傳播規(guī)模的影響

由圖6（a）～（c）可知，在5 個網(wǎng)絡(luò)中，隨著易感節(jié)點(diǎn)、潛伏節(jié)點(diǎn)以及感染節(jié)點(diǎn)的移除率增大，網(wǎng)絡(luò)中病毒節(jié)點(diǎn)的數(shù)量會減少，病毒的傳播規(guī)模降低. 通過分析圖6（d）可得，對于免疫節(jié)點(diǎn)，在移除率不為0 的情況下，增大其移除率對于網(wǎng)絡(luò)病毒的傳播規(guī)模影響較小.如果免疫節(jié)點(diǎn)移除率為0，根據(jù)模型演化結(jié)果，最終網(wǎng)絡(luò)中節(jié)點(diǎn)都會轉(zhuǎn)化至免疫節(jié)點(diǎn)，因此最終病毒節(jié)點(diǎn)數(shù)量會趨向于0. 分析可知，在實(shí)際中通過增大易感節(jié)點(diǎn)、潛伏節(jié)點(diǎn)和感染節(jié)點(diǎn)的移除率，能夠起到抑制病毒傳播的作用；單一地改變免疫節(jié)點(diǎn)的移除率，不會對病毒傳播產(chǎn)生顯著的影響. 分析圖7 知，隨著易感節(jié)點(diǎn)增加數(shù)量A的增大，最終網(wǎng)絡(luò)中病毒節(jié)點(diǎn)數(shù)量會線性地增大，即病毒傳播規(guī)模變大. 因而，在實(shí)際中，減小網(wǎng)絡(luò)中易感節(jié)點(diǎn)的增加數(shù)量，有利于縮減病毒傳播的規(guī)模.

圖7 易感節(jié)點(diǎn)增加數(shù)量A對病毒傳播規(guī)模的影響

通過分析4.2 節(jié)～4.4 節(jié)仿真內(nèi)容可知：（1）潛伏型病毒在網(wǎng)絡(luò)中傳播過程會出現(xiàn)穩(wěn)定和分岔2種行為，其行為是由病毒傳播基本再生數(shù)、病毒傳播時滯及時滯閾值共同決定；在實(shí)際病毒感染事件中，根據(jù)數(shù)據(jù)合理估計參數(shù)，并計算基本再生數(shù)、病毒潛伏期以及時滯閾值，能夠?qū)Σ《镜膫鞑バ袨檫M(jìn)行定性判斷；（2）在一定范圍內(nèi)，增大網(wǎng)絡(luò)節(jié)點(diǎn)對病毒的免疫率，能夠增大病毒的時滯閾值，從而避免病毒傳播分岔行為的持續(xù)發(fā)生，進(jìn)而可設(shè)計抑制病毒傳播防御策略；（3）在病毒傳播穩(wěn)定的情況下，可以通過增大網(wǎng)絡(luò)中易感、潛伏和感染節(jié)點(diǎn)的移除數(shù)量，來降低病毒傳播規(guī)模，進(jìn)而降低網(wǎng)絡(luò)受感染的程度，減小網(wǎng)絡(luò)損失.

5 結(jié)論

本文以潛伏型病毒傳播行為為基礎(chǔ)，考慮病毒傳播存在潛伏期和網(wǎng)絡(luò)節(jié)點(diǎn)增減的情況，構(gòu)建了節(jié)點(diǎn)增減下的時滯SEIR 病毒傳播模型，重點(diǎn)分析了網(wǎng)絡(luò)節(jié)點(diǎn)增加和移除條件下病毒潛伏期τ對病毒傳播分岔行為及傳播規(guī)模的影響，進(jìn)一步研究了病毒傳播基本再生數(shù)及其穩(wěn)定性之間的關(guān)系，探討了潛伏型病毒傳播的控制方法. 研究發(fā)現(xiàn)：（1）當(dāng)基本再生數(shù)R0＜1 時，系統(tǒng)在無病毒平衡點(diǎn)處全局漸進(jìn)穩(wěn)定；（2）當(dāng)R0＞1 時，如果病毒潛伏時滯τ小于時滯閾值τ0，系統(tǒng)在有病毒平衡點(diǎn)處局部漸進(jìn)穩(wěn)定；當(dāng)R0＞1時，如果病毒潛伏時滯τ大于等于時滯閾值τ0，系統(tǒng)會出現(xiàn)Hopf 分岔現(xiàn)象；（3）在一定范圍內(nèi)，調(diào)整網(wǎng)絡(luò)節(jié)點(diǎn)的免疫率，能夠增大病毒傳播時滯閾值τ0，有效阻止病毒傳播出現(xiàn)分岔行為，有利于進(jìn)一步控制病毒傳播過程；（4）增大易感、潛伏和感染節(jié)點(diǎn)移除率，可以減小最終網(wǎng)絡(luò)中病毒節(jié)點(diǎn)的數(shù)量，降低病毒傳播規(guī)模. 相比于其他不含潛伏時滯和節(jié)點(diǎn)移除率的病毒傳播模型，所提模型能夠更準(zhǔn)確地描述潛伏型病毒在動態(tài)變化網(wǎng)絡(luò)中的傳播特點(diǎn). 基于模型的深入研究，揭示了節(jié)點(diǎn)增加和移除對病毒傳播的影響，給出了病毒傳播出現(xiàn)分岔現(xiàn)象時的時滯閾值，有利于網(wǎng)絡(luò)安全研究者從病毒傳播時滯和節(jié)點(diǎn)移除率角度思考如何防御潛伏型病毒的傳播，降低病毒對網(wǎng)絡(luò)的損失. 本文重點(diǎn)在于研究時滯對病毒傳播分岔行為的影響，并討論如何消除分岔現(xiàn)象，采用合理的方法來管控網(wǎng)絡(luò)，降低病毒傳播對網(wǎng)絡(luò)造成的損失. 由于實(shí)際中大多數(shù)網(wǎng)絡(luò)具有無標(biāo)度特性，下一步工作中會討論無標(biāo)度網(wǎng)絡(luò)中潛伏型病毒的傳播規(guī)律，并給出模型參數(shù)的敏感性分析，定量分析參數(shù)對病毒傳播的影響. 此外，由于網(wǎng)絡(luò)節(jié)點(diǎn)的移除會影響網(wǎng)絡(luò)的連通性，進(jìn)一步影響到網(wǎng)絡(luò)通信能力，在下一步工作中，需要綜合考慮病毒傳播的防御策略對網(wǎng)絡(luò)通信能力和安全性能的綜合影響，及如何取得網(wǎng)絡(luò)通信和安全之間的均衡.