P2P網(wǎng)絡(luò)中基于特征行為檢測(cè)的惡意代碼傳播模型

李漢倫，任建國(guó)

P2P網(wǎng)絡(luò)中基于特征行為檢測(cè)的惡意代碼傳播模型

李漢倫，任建國(guó)*

（江蘇師范大學(xué) 智慧教育學(xué)院，江蘇 徐州 221116）（ ? 通信作者電子郵箱rjgrjgrjgrjg@126.com）

針對(duì)現(xiàn)有惡意代碼傳播模型在點(diǎn)對(duì)點(diǎn)（P2P）網(wǎng)絡(luò)中缺乏新型惡意代碼的實(shí)時(shí)檢測(cè)以及節(jié)點(diǎn)間動(dòng)態(tài)共享防治信息機(jī)制的問題，基于惡意代碼特征行為檢測(cè)技術(shù)建立了一類檢測(cè)-傳播模型。首先，在經(jīng)典易感-感染-免疫（SIR）傳播模型的基礎(chǔ)上引入廣播節(jié)點(diǎn)（廣播節(jié)點(diǎn)是指成功檢測(cè)出包含惡意代碼的文件后生成防治信息并能持續(xù)把這一消息發(fā)送給鄰居節(jié)點(diǎn)的特殊節(jié)點(diǎn)），引入廣播節(jié)點(diǎn)后的模型通過檢測(cè)技術(shù)不僅能有效降低節(jié)點(diǎn)自身被感染的風(fēng)險(xiǎn)，還可以通過節(jié)點(diǎn)之間動(dòng)態(tài)共享惡意代碼信息來阻斷惡意代碼在網(wǎng)絡(luò)中的傳播；然后，計(jì)算出平衡點(diǎn)并通過下一代矩陣?yán)碚摰玫侥Ｐ偷膫鞑ラ撝?；最后，通過Hurwitz判據(jù)和構(gòu)造Liapunov函數(shù)證明了模型平衡點(diǎn)的局部穩(wěn)定性和全局穩(wěn)定性。實(shí)驗(yàn)結(jié)果表明，在傳播閾值小于1的情況下，與退化的SIR模型相比，當(dāng)檢測(cè)率取值0.5、0.7和0.9時(shí)，所提檢測(cè)-傳播模型在峰值點(diǎn)處的感染節(jié)點(diǎn)總數(shù)分別下降了41.37%、48.23%和48.64%。可見，基于特征行為檢測(cè)技術(shù)的檢測(cè)-傳播模型能遏制惡意代碼前期在網(wǎng)絡(luò)中的快速傳播，且檢測(cè)率越高，遏制效果越好。

惡意代碼；點(diǎn)對(duì)點(diǎn)網(wǎng)絡(luò)；實(shí)時(shí)檢測(cè)；特征行為；局部穩(wěn)定性；全局穩(wěn)定性

0 引言

網(wǎng)絡(luò)惡意代碼的檢測(cè)和傳播是網(wǎng)絡(luò)安全領(lǐng)域的一個(gè)研究熱點(diǎn)［1］。點(diǎn)對(duì)點(diǎn)（Peer-to-Peer， P2P）網(wǎng)絡(luò)是一類所有節(jié)點(diǎn)都處于相同地位的網(wǎng)絡(luò)，即網(wǎng)絡(luò)中的所有節(jié)點(diǎn)都可以作為服務(wù)器為其他節(jié)點(diǎn)提供服務(wù)。在P2P文件共享網(wǎng)絡(luò)中，每個(gè)節(jié)點(diǎn)都有一個(gè)共享文件夾，該共享文件夾存放節(jié)點(diǎn)所要共享的文件，供網(wǎng)絡(luò)中的其他節(jié)點(diǎn)下載。當(dāng)網(wǎng)絡(luò)中的節(jié)點(diǎn)需要下載某個(gè)文件時(shí)，首先向網(wǎng)絡(luò)發(fā)送一個(gè)文件搜索請(qǐng)求，當(dāng)該請(qǐng)求消息被處理后，發(fā)出請(qǐng)求的節(jié)點(diǎn)會(huì)收到一個(gè)與之相匹配的文件列表，節(jié)點(diǎn)根據(jù)文件列表中的信息決定是否要下載其中的一個(gè)或多個(gè)文件［2］。P2P網(wǎng)絡(luò)結(jié)構(gòu)示意圖如圖1所示。

圖1　點(diǎn)對(duì)點(diǎn)（P2P）網(wǎng)絡(luò)結(jié)構(gòu)示意圖

雖然P2P文件共享網(wǎng)絡(luò)給用戶提供了便利的資源，但帶來的網(wǎng)絡(luò)安全隱患也同樣不可忽視［3-4］。利用P2P文件共享網(wǎng)絡(luò)所有節(jié)點(diǎn)之間能直接通信的特點(diǎn)和防毒軟件對(duì)新病毒的滯后性，被植入了惡意代碼的文件很容易短時(shí)間內(nèi)在網(wǎng)絡(luò)中快速傳播，而下載這些附有惡意代碼文件的節(jié)點(diǎn)則必定會(huì)被感染，在感染之后會(huì)進(jìn)一步感染下載該感染節(jié)點(diǎn)文件的其他節(jié)點(diǎn)，最終導(dǎo)致網(wǎng)絡(luò)中大量節(jié)點(diǎn)被感染［5］。

針對(duì)P2P網(wǎng)絡(luò)惡意代碼的檢測(cè)與防治，已有相關(guān)文獻(xiàn)對(duì)此進(jìn)行了研究，其中幾類比較典型的檢測(cè)方法包括基于特征碼比對(duì)、基于用戶習(xí)慣和基于節(jié)點(diǎn)自殺的方式。文獻(xiàn)［6-7］中提出了采用特征碼比對(duì)方式對(duì)惡意代碼進(jìn)行檢測(cè)，這種方式的策略是利用防病毒軟件攔截惡意代碼樣本后進(jìn)行分析并和防病毒軟件中已有的惡意代碼特征碼庫做比對(duì)，從而快速識(shí)別和清除已知惡意代碼。為了有效監(jiān)測(cè)未知惡意代碼，文獻(xiàn)［8］中提出了基于用戶習(xí)慣的惡意代碼檢測(cè)方法，該方法認(rèn)為特定的用戶有其固定的訪問習(xí)慣，比如會(huì)經(jīng)常從P2P對(duì)等節(jié)點(diǎn)中訪問和下載某一類文件或資源，該策略會(huì)根據(jù)用戶的訪問歷史記錄為用戶建立一個(gè)用戶個(gè)人習(xí)慣列表，當(dāng)用戶的訪問活動(dòng)不在習(xí)慣列表中，那么與用戶進(jìn)行通信的節(jié)點(diǎn)很有可能包含惡意代碼，惡意代碼會(huì)產(chǎn)生大量的陌生訪問從而破壞用戶的訪問習(xí)慣，此時(shí)發(fā)出警報(bào)即可中斷惡意代碼的傳播。和特征碼比對(duì)的檢測(cè)方式相比，這種策略可以快速檢測(cè)出已知和未知的惡意代碼。為了能使節(jié)點(diǎn)之間動(dòng)態(tài)共享惡意代碼信息，文獻(xiàn)［9］中提出了一種基于節(jié)點(diǎn)自殺的P2P惡意代碼防治方法，文獻(xiàn)指出惡意代碼可以通過節(jié)點(diǎn)的鄰居路由表快速傳播，因此當(dāng)某個(gè)節(jié)點(diǎn)的鄰居節(jié)點(diǎn)感染惡意代碼后，只要阻斷該鄰居節(jié)點(diǎn)的傳播就能對(duì)惡意代碼進(jìn)行有效遏制，基于這種思想利用污染技術(shù)事先在網(wǎng)絡(luò)中部署一些具有檢測(cè)能力的節(jié)點(diǎn)，一旦節(jié)點(diǎn)檢測(cè)到惡意代碼，以自殺方式退出網(wǎng)絡(luò)，并把這一消息告知鄰居節(jié)點(diǎn)，從而達(dá)到防治目的。

上述文獻(xiàn)提到的幾類惡意代碼檢測(cè)機(jī)制的缺陷也較為明顯，通常存在檢測(cè)率不高、部署難度大、缺乏動(dòng)態(tài)共享機(jī)制等問題。文獻(xiàn)［6-7］中提出了基于特征碼的檢測(cè)方法，如果惡意代碼的特征碼未出現(xiàn)在已有的特征碼庫中，則防病毒軟件無法識(shí)別該惡意代碼，且隨著特征碼庫的不斷擴(kuò)充，掃描比對(duì)所需的時(shí)間開銷也會(huì)越來越大。另一方面用戶還需要不斷去下載和更新病毒庫才能對(duì)新出現(xiàn)的惡意代碼進(jìn)行攔截，具有很強(qiáng)的滯后性。通常新型惡意代碼在網(wǎng)絡(luò)中廣泛傳播后技術(shù)人員才會(huì)對(duì)新型惡意代碼樣本進(jìn)行分析并提取相應(yīng)的特征碼，因此，這種惡意代碼檢測(cè)技術(shù)難以有效地應(yīng)對(duì)新型惡意代碼的攻擊。文獻(xiàn)［8］中基于用戶個(gè)人行為的異常檢測(cè)也有相應(yīng)問題，由于用戶的訪問行為的不可預(yù)測(cè)性和突發(fā)性，有時(shí)會(huì)產(chǎn)生較高的誤報(bào)率和失敗的檢測(cè)結(jié)果，通過用戶的訪問歷史記錄建立用戶習(xí)慣列表的方式有時(shí)也并不合適，且這種策略缺少用戶之間對(duì)惡意代碼的動(dòng)態(tài)共享機(jī)制。文獻(xiàn)［9］中的污染技術(shù)受制于物理機(jī)資源的瓶頸，自殺節(jié)點(diǎn)很難大規(guī)模部署到分布式P2P網(wǎng)絡(luò)中，只有一部分自殺節(jié)點(diǎn)偵測(cè)到惡意代碼后才把自殺消息發(fā)送給鄰居節(jié)點(diǎn)，當(dāng)網(wǎng)絡(luò)規(guī)模較大且結(jié)構(gòu)復(fù)雜時(shí)，可能無法達(dá)到預(yù)期效果。另外所有節(jié)點(diǎn)都可以發(fā)布惡意自殺消息，破壞網(wǎng)絡(luò)節(jié)點(diǎn)間的正常通信，此時(shí)利用密鑰技術(shù)雖然可以解決這一問題，但同時(shí)帶來大量的時(shí)間開銷和網(wǎng)絡(luò)延時(shí)。

為了突破上述研究的局限，文獻(xiàn)［10］中提出了另一種方法：基于文件名分類的惡意代碼特征行為來識(shí)別含有惡意代碼的文件。這種策略分為兩部分：惡意代碼的識(shí)別和防治信息的發(fā)布。惡意代碼識(shí)別的方法是：為每個(gè)文件生成唯一的文件標(biāo)識(shí)，根據(jù)文件標(biāo)識(shí)對(duì)文件名進(jìn)行比對(duì)從而確定文件中是否含有惡意代碼。防治信息的發(fā)布是指當(dāng)某個(gè)節(jié)點(diǎn)成功識(shí)別出惡意代碼后，會(huì)自動(dòng)生成防治信息并把這一信息發(fā)送給網(wǎng)絡(luò)中的其他節(jié)點(diǎn)，其他節(jié)點(diǎn)共享該信息后不會(huì)被惡意代碼感染。為了使網(wǎng)絡(luò)中的節(jié)點(diǎn)能動(dòng)態(tài)共享惡意代碼信息，基于上述策略，在經(jīng)典的易感-感染-免疫（Susceptible-Infected-Recovered， SIR）模型［11-15］的基礎(chǔ)上引入新艙室：廣播節(jié)點(diǎn)（Broadcast Node，B），并把這種新機(jī)制命名為易感-感染-免疫-廣播（Susceptible-Infected-Recovered-Broadcast， SIR-B）。只有成功檢測(cè)出惡意代碼的節(jié)點(diǎn)才會(huì)生成防治信息，在檢測(cè)出包含惡意代碼的文件后會(huì)生成一個(gè)對(duì)應(yīng)的惡意代碼列表，該列表含有惡意代碼的相關(guān)信息，廣播節(jié)點(diǎn)的作用是持續(xù)發(fā)布防治信息，接收到來自廣播節(jié)點(diǎn)所發(fā)送的防治信息的節(jié)點(diǎn)獲得對(duì)惡意代碼的永久免疫力。

綜上所述，引入新艙室B的SIR-B模型的優(yōu)勢(shì)主要有：1）不需要建立病毒庫和進(jìn)行特征碼比對(duì)，因此可以以較小的時(shí)間開銷實(shí)現(xiàn)對(duì)新型惡意代碼的實(shí)時(shí)檢測(cè)，這種實(shí)時(shí)檢測(cè)機(jī)制很好地解決了文獻(xiàn)［6-7］中防病毒軟件無法及時(shí)檢測(cè)出新型惡意代碼的問題。2）與文獻(xiàn)［8］中基于用戶習(xí)慣的檢測(cè)方法相比，SIR-B模型是基于文件名分類的行為檢測(cè)技術(shù)，檢測(cè)的準(zhǔn)確率不會(huì)因用戶訪問的突發(fā)性和不可預(yù)測(cè)性產(chǎn)生較大波動(dòng)，因此這種檢測(cè)方式具有更好的穩(wěn)定性和較低的誤報(bào)率，通過本文第2章的理論分析和第3章的數(shù)值模擬的結(jié)果可以知道，在大規(guī)模P2P網(wǎng)絡(luò)中，對(duì)惡意代碼的檢測(cè)率越高，惡意代碼最終越容易消亡。3）網(wǎng)絡(luò)中任意節(jié)點(diǎn)一旦檢測(cè)出惡意代碼便轉(zhuǎn)化為廣播節(jié)點(diǎn)把防治信息發(fā)送給鄰居節(jié)點(diǎn)從而阻斷惡意代碼的傳播，這種方式實(shí)現(xiàn)了節(jié)點(diǎn)間動(dòng)態(tài)共享惡意代碼信息，在惡意代碼傳播的初期可以減緩其傳播速度，提高整個(gè)網(wǎng)絡(luò)的動(dòng)態(tài)防治能力。4）文獻(xiàn)［9］中部署自殺節(jié)點(diǎn)時(shí)需要考慮網(wǎng)絡(luò)節(jié)點(diǎn)的數(shù)量和實(shí)際分布情況，且只有自殺節(jié)點(diǎn)才能發(fā)送防治信息，而SIR-B模型中所有檢測(cè)到惡意代碼的節(jié)點(diǎn)均可以發(fā)送防治信息，因此無需考慮節(jié)點(diǎn)的分布情況。

目前的模型對(duì)未知惡意代碼的傳播研究較少，處于易感狀態(tài)的節(jié)點(diǎn)缺少對(duì)未知惡意代碼的主動(dòng)檢測(cè)和防御措施，大量易感節(jié)點(diǎn)被感染后才采取免疫措施。為打破這一被動(dòng)局面，本文提出具有實(shí)時(shí)監(jiān)測(cè)和動(dòng)態(tài)反饋信息功能的模型，通過數(shù)學(xué)建模探究行為檢測(cè)技術(shù)在P2P網(wǎng)絡(luò)中的作用機(jī)制，可以對(duì)未知惡意代碼傳播過程和防治效果有更清晰的認(rèn)識(shí)，進(jìn)而提出針對(duì)性的防治措施。

本文的工作主要如下：

1）基于P2P文件共享網(wǎng)絡(luò)，在SIR模型的基礎(chǔ)上引入了新艙室B建立了一類具有實(shí)時(shí)檢測(cè)惡意代碼和動(dòng)態(tài)反饋防治信息功能的SIR-B模型。

2）通過定性分析研究該模型。通過計(jì)算得出了無病平衡點(diǎn)和病毒平衡點(diǎn)的存在性和唯一性以及傳播閾值；對(duì)平衡點(diǎn)的局部穩(wěn)定性和全局穩(wěn)定性進(jìn)行了證明，為后續(xù)的分析提供了理論基礎(chǔ)。

3）通過數(shù)值模擬驗(yàn)證了理論結(jié)果的正確性，模擬了模型中參數(shù)對(duì)感染節(jié)點(diǎn)數(shù)量演變趨勢(shì)的影響，通過分析數(shù)值模擬的結(jié)果給出了P2P網(wǎng)絡(luò)惡意代碼防治的意見和對(duì)策。

1 模型構(gòu)建

本文在SIR模型的基礎(chǔ)上，根據(jù)檢測(cè)特征過程中網(wǎng)絡(luò)節(jié)點(diǎn)的狀態(tài)變化，提出一個(gè)新模型SIR-B，該模型中所有的節(jié)點(diǎn)共有4個(gè)狀態(tài)，按4個(gè)狀態(tài)將分為4種節(jié)點(diǎn)：分別為易感節(jié)點(diǎn)（Susceptible node，）、感染節(jié)點(diǎn)（Infected node，）、廣播節(jié)點(diǎn)（Broadcast node，）和免疫節(jié)點(diǎn)（Recovered node，）。不同狀態(tài)節(jié)點(diǎn)的具體含義如下：

代表易感節(jié)點(diǎn)，易感節(jié)點(diǎn)是發(fā)出搜索請(qǐng)求的節(jié)點(diǎn)，完成對(duì)目標(biāo)文件的搜索后會(huì)根據(jù)識(shí)別算法對(duì)惡意代碼進(jìn)行識(shí)別，根據(jù)識(shí)別的結(jié)果決定是否下載該文件。

代表感染節(jié)點(diǎn)，感染節(jié)點(diǎn)可以通過共享文件把惡意代碼傳播給下載該節(jié)點(diǎn)的文件的易感節(jié)點(diǎn)。

代表廣播節(jié)點(diǎn)，成功檢測(cè)出包含惡意代碼文件的易感節(jié)點(diǎn)會(huì)將該文件的標(biāo)識(shí)加入到惡意代碼列表中生成防治信息，同時(shí)觸發(fā)廣播機(jī)制，該狀態(tài)的節(jié)點(diǎn)通過廣播把防治信息發(fā)送給其鄰居節(jié)點(diǎn)。

代表免疫節(jié)點(diǎn)，該狀態(tài)的節(jié)點(diǎn)不會(huì)被惡意代碼感染。

模型的各個(gè)參數(shù)的意義如下：

1）單位時(shí)間內(nèi)新節(jié)點(diǎn)以概率加入到網(wǎng)絡(luò)中，同時(shí)現(xiàn)有節(jié)點(diǎn)以概率移除網(wǎng)絡(luò)，總節(jié)點(diǎn)數(shù)（）=（）+（）+（）+（）。

2）1為從到的感染率，2為從到的轉(zhuǎn)化率，且1=（1-），2=，其中為易感節(jié)點(diǎn)與感染節(jié)點(diǎn)之間的感染系數(shù)，為檢測(cè)率，代表易感節(jié)點(diǎn)成功檢測(cè)出惡意代碼的概率。檢測(cè)成功將不會(huì)下載惡意代碼文件，在生成防治信息后轉(zhuǎn)化為廣播節(jié)點(diǎn)，狀態(tài)轉(zhuǎn)化方向?yàn)椤粰z測(cè)失敗則會(huì)下載惡意代碼文件并轉(zhuǎn)化為感染節(jié)點(diǎn)，狀態(tài)轉(zhuǎn)化方向?yàn)椤＿@里假定一旦下載惡意代碼文件后就立即執(zhí)行。

3）為免疫率，某些易感節(jié)點(diǎn)和感染節(jié)點(diǎn)因?yàn)樯?jí)自身的病毒庫，從而獲得對(duì)惡意代碼的免疫，狀態(tài)轉(zhuǎn)化方向?yàn)椤汀?/p>

4）為反饋率，當(dāng)廣播節(jié)點(diǎn)與易感節(jié)點(diǎn)進(jìn)行信息通信時(shí)，廣播節(jié)點(diǎn)通過持續(xù)把防治信息反饋給易感節(jié)點(diǎn)，使其獲得免疫，狀態(tài)轉(zhuǎn)化方向?yàn)椤?/p>

SIR-B模型各個(gè)狀態(tài)之間的轉(zhuǎn)化示意圖如圖2所示。

圖2　SIR-B模型的狀態(tài)轉(zhuǎn)化示意圖

圖2中的矩形框表示節(jié)點(diǎn)所處的狀態(tài)，箭頭線表示節(jié)點(diǎn)狀態(tài)的轉(zhuǎn)化方向，箭頭線上的符號(hào)表示狀態(tài)轉(zhuǎn)換參數(shù)。模型的微分動(dòng)力學(xué)方程如下：

特別的，系統(tǒng)（1）中前3個(gè)等式不依賴于第4個(gè)等式，因此系統(tǒng)（1）可以寫為如下方程組：

系統(tǒng)（2）的可行域用表示：

上述模型的核心機(jī)制是易感節(jié)點(diǎn)通過檢測(cè)技術(shù)識(shí)別惡意代碼并反饋防治信息，對(duì)于易感節(jié)點(diǎn)集合（）中的每個(gè)易感節(jié)點(diǎn)，這一過程可用如下算法表示：

獲取消息回應(yīng)（個(gè)文件名）

將消息回應(yīng)文件名與文件狀態(tài)表中對(duì)應(yīng)的文件名作比對(duì)

if（消息回應(yīng)文件類別數(shù)大于設(shè)定的閾值） do

｛

將文件名加入到惡意代碼列表并生成防治信息，

掃描路由表中的鄰居節(jié)點(diǎn)進(jìn)行防治信息反饋

｝

else

下載該消息文件

｝

end if

end for

2 平衡點(diǎn)的穩(wěn)定性

首先，求出系統(tǒng)的平衡點(diǎn)進(jìn)而分析其平衡點(diǎn)處的穩(wěn)定性。SIR-B模型的平衡態(tài)滿足如下方程組：

容易得到唯一的無病平衡點(diǎn)：

和唯一的病毒平衡點(diǎn)：

其中0為系統(tǒng)（2）的傳播閾值，該值與無病平衡點(diǎn)0有關(guān)，其值可通過下一代矩陣?yán)碚撚?jì)算得到：

2.1　無病平衡點(diǎn)的穩(wěn)定性

定理1 當(dāng)0<1時(shí)，系統(tǒng)（2）的無病平衡點(diǎn)0在上局部漸近穩(wěn)定；0>1時(shí)不穩(wěn)定。

證明 系統(tǒng)（2）在無病平衡點(diǎn)0處的Jacobian矩陣為：

（E）對(duì)應(yīng)的特征根為：

定理2 當(dāng)0< 1時(shí)，系統(tǒng)（2）的無病平衡點(diǎn)0在上全局漸近穩(wěn)定；0>1時(shí)不穩(wěn)定。

證明 構(gòu)造如下Liapunov函數(shù)：

1=（8）

沿著系統(tǒng)（2）的全導(dǎo)數(shù)為：

2.2　病毒平衡點(diǎn)的穩(wěn)定性

定理3 當(dāng)0>1時(shí)，系統(tǒng)（2）的病毒平衡點(diǎn)*在上局部漸近穩(wěn)定。

證明 系統(tǒng)（2）在病毒平衡點(diǎn)*=（*，*，*）處的Jacobian矩陣為：

對(duì)應(yīng)的特征多項(xiàng)式為：

其中：

由Hurwitz判據(jù)［18］可知，病毒平衡點(diǎn)*在上局部漸近穩(wěn)定。

定理4 當(dāng)0>1時(shí)，系統(tǒng)（2）的病毒平衡點(diǎn)*在上全局漸近穩(wěn)定。

證明 構(gòu)造如下Liapunov函數(shù)：

沿著系統(tǒng)（2）的全導(dǎo)數(shù)為：

由文獻(xiàn)［19］的穩(wěn)定性理論，病毒平衡點(diǎn)*在上全局漸近穩(wěn)定。

由定理3和定理4可知，當(dāng)傳播閾值0>1時(shí)，系統(tǒng)（2）最終穩(wěn)定在平衡點(diǎn)*處，惡意代碼將始終存在于網(wǎng)絡(luò)中不會(huì)消亡。在新型惡意代碼傳播初期，由于防病毒軟件的局限性，免疫率的取值面臨瓶頸，當(dāng)惡意代碼的傳播率相對(duì)固定時(shí)，檢測(cè)率對(duì)于惡意代碼的傳播速度和最終感染節(jié)點(diǎn)的規(guī)模具有決定性的影響，建立高效的檢測(cè)機(jī)制可以最大限度地避免誤報(bào)和漏報(bào)，減少惡意代碼帶來的損失。

通過上述分析，當(dāng)檢測(cè)率為零即沒有采用本文所述的檢測(cè)機(jī)制時(shí)，SIR-B模型就退化為了SIR模型，SIR模型主要是通過防病毒軟件對(duì)已知的惡意代碼進(jìn)行控制，無法實(shí)時(shí)檢測(cè)新型惡意代碼會(huì)導(dǎo)致其在傳播的初期造成較多節(jié)點(diǎn)被感染；此外，一般的防病毒軟件通過升級(jí)病毒庫只能使安裝了該防病毒軟件的節(jié)點(diǎn)自身免疫新型惡意代碼，缺少惡意代碼信息的共享機(jī)制。當(dāng)新型惡意代碼出現(xiàn)在網(wǎng)絡(luò)中時(shí)，建立SIR-B模型的檢測(cè)機(jī)制對(duì)控制惡意代碼的傳播具有重要意義。

3 數(shù)值模擬

本實(shí)驗(yàn)在Intel Core i3-10110U CPU，2.1 GHz的主頻，4 GB的內(nèi)存，Windows 10的操作系統(tǒng)環(huán)境下，采用Matlab R2020a平臺(tái)進(jìn)行數(shù)值模擬。為了盡可能模擬惡意代碼在P2P網(wǎng)絡(luò)大規(guī)模節(jié)點(diǎn)之間的傳播規(guī)律，初始節(jié)點(diǎn)總數(shù)設(shè)置為100 000，并參照文獻(xiàn)［20］的數(shù)值模擬實(shí)驗(yàn)對(duì)系統(tǒng)參數(shù)和的值進(jìn)行選取。

3.1　系統(tǒng)隨時(shí)間的演變

在第一個(gè)實(shí)驗(yàn)中，通過數(shù)值模擬驗(yàn)證無病平衡點(diǎn)和病毒平衡點(diǎn)的穩(wěn)定性理論。選定初始易感節(jié)點(diǎn)、感染節(jié)點(diǎn)、廣播節(jié)點(diǎn)、免疫節(jié)點(diǎn)的數(shù)量為（0）=80 000，（0）=20 000，（0）=0，（0）=0。參數(shù)選取=0.000 000 2，=0.004，=0.7，=0.000 000 3，=0.000 000 6。根據(jù)式（5），有0=0.000 22<1，根據(jù)定理1，惡意代碼在網(wǎng)絡(luò)中逐漸消亡。圖3顯示了易感節(jié)點(diǎn)、感染節(jié)點(diǎn)、廣播節(jié)點(diǎn)、免疫節(jié)點(diǎn)數(shù)量隨時(shí)間的變化趨勢(shì)。在系統(tǒng)的初期，由于易感節(jié)點(diǎn)下載了含有惡意代碼的文件，感染節(jié)點(diǎn)數(shù)量在較短時(shí)間內(nèi)緩慢增長(zhǎng)，之后逐漸下降并趨于零，原因是部分感染節(jié)點(diǎn)通過升級(jí)自身病毒庫轉(zhuǎn)化為免疫節(jié)點(diǎn)或由于某些原因從網(wǎng)絡(luò)中移除；此外，易感節(jié)點(diǎn)的實(shí)時(shí)檢測(cè)和廣播節(jié)點(diǎn)的動(dòng)態(tài)反饋使新進(jìn)入感染艙室的節(jié)點(diǎn)數(shù)量得到抑制，同時(shí)使廣播節(jié)點(diǎn)和免疫節(jié)點(diǎn)的數(shù)量逐漸增加并逐漸趨于穩(wěn)定，結(jié)果驗(yàn)證了定理1的描述。

圖3　R0<1時(shí)，各狀態(tài)節(jié)點(diǎn)隨時(shí)間的演變

在第二個(gè)實(shí)驗(yàn)中，選定初始易感節(jié)點(diǎn)、感染節(jié)點(diǎn)、廣播節(jié)點(diǎn)、免疫節(jié)點(diǎn)的數(shù)量為（0）=70 950，（0）=50，（0）=0，（0）=0。參數(shù)為=0.000 000 2，=0.000 03，=0.7，=0.000 000 3，=0.000 000 6。根據(jù)式（5），有0=3.84>1，根據(jù)定理2，感染節(jié)點(diǎn)不會(huì)隨時(shí)間消失且漸近穩(wěn)定。圖4顯示了易感節(jié)點(diǎn)、感染節(jié)點(diǎn)、廣播節(jié)點(diǎn)、免疫節(jié)點(diǎn)數(shù)量隨時(shí)間的變化趨勢(shì)。初始時(shí)刻雖然只有少量感染節(jié)點(diǎn)，但由于惡意代碼在節(jié)點(diǎn)之間持續(xù)傳播，隨著時(shí)間推移被感染的節(jié)點(diǎn)數(shù)量逐漸增多并最終到達(dá)一個(gè)穩(wěn)定的值。與實(shí)驗(yàn)1相比，實(shí)驗(yàn)2的免疫參數(shù)取值較小，這更符合實(shí)際情況，即防病毒軟件不能很好地應(yīng)對(duì)新型惡意代碼，此時(shí)檢測(cè)機(jī)制和廣播節(jié)點(diǎn)對(duì)遏制惡意代碼在網(wǎng)絡(luò)中的快速擴(kuò)散起到至關(guān)重要的作用。

圖4　R0>1時(shí)，各狀態(tài)節(jié)點(diǎn)隨時(shí)間的演變

3.2　參數(shù)對(duì)感染節(jié)點(diǎn)演變的影響

圖5顯示了感染系數(shù)對(duì)0<1時(shí)感染節(jié)點(diǎn)數(shù)量變化的影響，感染系數(shù)分別取=0.000 000 2、0.000 000 4、0.000 000 6和0.000 000 8，各狀態(tài)節(jié)點(diǎn)的初始數(shù)量和其他參數(shù)同實(shí)驗(yàn)1中的一致。從圖中的曲線變化趨勢(shì)可知，隨著的增大，感染節(jié)點(diǎn)的數(shù)量在短時(shí)間內(nèi)迅速提高，并在同一時(shí)間達(dá)到峰值。因此，減小系統(tǒng)的感染系數(shù)可以在前期抑制惡意代碼的迅速傳播。

圖5　R0<1時(shí)，不同感染系數(shù)下感染節(jié)點(diǎn)隨時(shí)間的演變

圖6顯示了感染系數(shù)對(duì)0>1時(shí)感染節(jié)點(diǎn)數(shù)量變化的影響，感染系數(shù)分別取=0.000 000 2、0.000 000 4、0.000 000 6和0.000 000 8，各狀態(tài)節(jié)點(diǎn)的初始數(shù)量和其他參數(shù)同實(shí)驗(yàn)2中的一致。從圖中的曲線變化趨勢(shì)可知，的值越大，感染節(jié)點(diǎn)的增長(zhǎng)速度越快，數(shù)量也越早到達(dá)峰值，且最終地方病的規(guī)模也越大。當(dāng)=0.000 000 2時(shí)，感染節(jié)點(diǎn)的增長(zhǎng)速度明顯放緩。對(duì)此，可以通過提高用戶的安全意識(shí)，建立用戶信譽(yù)機(jī)制等措施減小的值，從而控制惡意代碼在網(wǎng)絡(luò)中的傳播。

圖7顯示了檢測(cè)率對(duì)0<1時(shí)感染節(jié)點(diǎn)數(shù)量變化的影響，檢測(cè)率分別取=0、0.5、0.7和0.9，其中=0代表未采用惡意代碼檢測(cè)技術(shù)，各狀態(tài)節(jié)點(diǎn)的初始數(shù)量和其他參數(shù)同實(shí)驗(yàn)1中的一致。由曲線的變化趨勢(shì)可知，當(dāng)新型惡意代碼通過P2P網(wǎng)絡(luò)進(jìn)行傳播時(shí)，檢測(cè)率越高，感染節(jié)點(diǎn)下降越快，峰值越小，在峰值點(diǎn)處，取值0.5、0.7和0.9時(shí)感染節(jié)點(diǎn)的總數(shù)比取值為0時(shí)分別下降41.37%、48.23%和48.64%，且當(dāng)取值0.9時(shí)，惡意代碼傳播初期感染節(jié)點(diǎn)數(shù)量未出現(xiàn)增長(zhǎng)趨勢(shì)，因此提高檢測(cè)率可以遏制惡意代碼初期的傳播規(guī)模。

圖6　R0>1時(shí)，不同感染系數(shù)下感染節(jié)點(diǎn)隨時(shí)間的演變

圖7　R0<1時(shí)，不同檢測(cè)率下感染節(jié)點(diǎn)隨時(shí)間的演變

圖8顯示了檢測(cè)率對(duì)0>1時(shí)感染節(jié)點(diǎn)數(shù)量變化的影響，檢測(cè)率分別取=0、0.5、0.7和0.9，各狀態(tài)節(jié)點(diǎn)的初始數(shù)量和其他參數(shù)同實(shí)驗(yàn)2中的一致。由曲線的變化趨勢(shì)可知，與未采用檢測(cè)技術(shù)相比，采用檢測(cè)技術(shù)能顯著降低感染節(jié)點(diǎn)總數(shù)，且檢測(cè)率越高，感染節(jié)點(diǎn)的數(shù)量增長(zhǎng)越緩慢，說明當(dāng)>0.9時(shí)，能有效抑制惡意代碼的傳播。

圖8　R0>1時(shí)，不同檢測(cè)率下感染節(jié)點(diǎn)隨時(shí)間的演變

圖9顯示了免疫率對(duì)感染節(jié)點(diǎn)數(shù)量變化的影響，免疫率分別取=0.000 03、0.000 05、0.000 07和0.000 09，各狀態(tài)節(jié)點(diǎn)的初始數(shù)量和其他參數(shù)同實(shí)驗(yàn)2中的一致。由曲線的變化趨勢(shì)可以看出，隨著參數(shù)的增加，在較長(zhǎng)一段時(shí)間內(nèi)感染節(jié)點(diǎn)的數(shù)量沒有明顯的變化。通過打補(bǔ)丁等免疫措施在傳播前期難以有效遏制惡意代碼的快速傳播，原因是少部分節(jié)點(diǎn)免疫后不會(huì)與其他節(jié)點(diǎn)動(dòng)態(tài)共享惡意代碼信息，因此具有一定局限性。

圖9　不同免疫率下感染節(jié)點(diǎn)隨時(shí)間的演變

圖10顯示了反饋率對(duì)感染節(jié)點(diǎn)數(shù)量變化的影響，反饋率分別取=0.000 03、0.000 05、0.000 07和0.000 09，各狀態(tài)節(jié)點(diǎn)的初始數(shù)量和其他參數(shù)同實(shí)驗(yàn)2中的一致。由0的表達(dá)式可知，參數(shù)雖然不會(huì)影響惡意代碼最終是否消亡，但可以影響地方病的最終規(guī)模，的值越大，單位時(shí)間內(nèi)就有越多的易感節(jié)點(diǎn)成功接收到防治信息從而獲得免疫力，從而感染節(jié)點(diǎn)數(shù)量的增長(zhǎng)就越緩慢?？梢酝ㄟ^優(yōu)化惡意代碼列表的生成算法和完善廣播節(jié)點(diǎn)動(dòng)態(tài)發(fā)布防治信息的策略來提高參數(shù)的值，以此減少感染節(jié)點(diǎn)的數(shù)量。

由上述實(shí)驗(yàn)結(jié)果可知，和是影響惡意代碼傳播和感染節(jié)點(diǎn)數(shù)量演變的幾個(gè)重要參數(shù)，其中：的值越小，單位時(shí)間內(nèi)有越少的易感節(jié)點(diǎn)被感染，惡意代碼的傳播越容易得到控制，當(dāng)取值0.000 000 2時(shí)，對(duì)感染節(jié)點(diǎn)數(shù)量的抑制較另外3個(gè)取值有明顯的提升；的值越大，單位時(shí)間內(nèi)有越多的易感節(jié)點(diǎn)轉(zhuǎn)化為廣播節(jié)點(diǎn)，從而不會(huì)下載包含惡意代碼的文件而被感染，當(dāng)取值0.9時(shí)，惡意代碼的抑制效果最為明顯；的值越大，單位時(shí)間內(nèi)有越多的易感節(jié)點(diǎn)和感染節(jié)點(diǎn)轉(zhuǎn)化為免疫節(jié)點(diǎn)，感染節(jié)點(diǎn)造成的地方病規(guī)模越??；的值越大，單位時(shí)間內(nèi)有越多的易感節(jié)點(diǎn)接收到防治信息從而直接轉(zhuǎn)化為免疫節(jié)點(diǎn)，當(dāng)取值0.000 09時(shí)，對(duì)地方病規(guī)模的控制效果最好。綜合不同參數(shù)對(duì)感染節(jié)點(diǎn)演變的影響，可以采取相應(yīng)措施調(diào)節(jié)參數(shù)的值，從而控制惡意代碼的傳播。

4 結(jié)語

本文針對(duì)P2P文件共享網(wǎng)絡(luò)惡意代碼傳播的特點(diǎn)，將防治策略引入廣播節(jié)點(diǎn)，它是一類檢測(cè)出惡意代碼并能持續(xù)把相關(guān)防治信息發(fā)送給鄰居節(jié)點(diǎn)的節(jié)點(diǎn)，引入廣播節(jié)點(diǎn)的模型具有實(shí)時(shí)檢測(cè)和動(dòng)態(tài)共享惡意代碼信息的特點(diǎn)。本文利用動(dòng)力學(xué)知識(shí)在基于文件標(biāo)識(shí)和文件名分類的行為檢測(cè)技術(shù)的基礎(chǔ)上構(gòu)建SIR-B模型并進(jìn)行分析，首先得到該模型的傳播閾值0，該值決定了惡意代碼最終是否消亡，接著分別對(duì)無病平衡點(diǎn)0和病毒平衡點(diǎn)*的穩(wěn)定性進(jìn)行證明，最后給出數(shù)值模擬，數(shù)值模擬的結(jié)果表明當(dāng)采用上述檢測(cè)機(jī)制時(shí)感染節(jié)點(diǎn)的數(shù)量明顯減少，為了使損失最小化，應(yīng)當(dāng)盡可能提高檢測(cè)率。

通過本文的對(duì)比分析，SIR-B模型克服了常見的病毒檢測(cè)機(jī)制中無法應(yīng)對(duì)新型惡意代碼、缺少動(dòng)態(tài)發(fā)布防治信息以及誤報(bào)率高的缺點(diǎn)，這對(duì)有效遏制惡意代碼在網(wǎng)絡(luò)中的傳播起到重要作用。由于在大規(guī)模P2P網(wǎng)絡(luò)中部署該策略成本較高，本文在理論證明和數(shù)值模擬方面給出了相關(guān)的探討，驗(yàn)證了該機(jī)制的效果和可行性。本文的模型是建立在均質(zhì)P2P網(wǎng)絡(luò)上，而真實(shí)的P2P網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)更為復(fù)雜，因此，下一步的工作是探究在一個(gè)動(dòng)態(tài)異質(zhì)P2P網(wǎng)絡(luò)中，網(wǎng)絡(luò)結(jié)構(gòu)的變化和節(jié)點(diǎn)的度值等因素對(duì)行為檢測(cè)機(jī)制效果的影響，以期得到更加符合真實(shí)情況的結(jié)論。

[1] NASEER M， RUSDI J F， SHANONO N M， et al. Malware detection： issues and challenges［J］. Journal of Physics： Conference Series， 2021， 1807（1）： No.012011.

[2] 馮朝勝，秦志光，勞倫斯·庫珀特，等. P2P文件共享網(wǎng)絡(luò)中被動(dòng)蠕蟲傳播建模與分析［J］. 電子科技大學(xué)學(xué)報(bào)， 2009，38 （2）：262-265， 273.（FENG C S， QIN Z G， CUTHBET L， et al. Propagation modeling and analysis of passive worms in peer-to-peer file-sharing networks［J］. Journal of University of Electronic Science and Technology of China， 2009， 38（2）： 262-265， 273.）

[3] MOHAMMED A A， KADHIM D J. Analysis of threats and security issues evaluation in mobile P2P networks［J］. International Journal of Electrical and Computer Engineering， 2020， 10（6）： 6435-6445.

[4] DEHKORDI M J， SADEGHIYAN B. An effective node-removal method against P2P botnets［J］. Computer Networks， 2020， 182： No.107488.

[5] 廖軍. 基于P2P的惡意代碼檢測(cè)及防御技術(shù)研究［D］. 成都：電子科技大學(xué)， 2014：27-30.（LIAO J. Research of P2P-based malicious code detection and protection technology［D］. Chengdu： University of Electronic Science and Technology of China， 2014：27-30.）

[6] 關(guān)欣，朱冰，陳震，等. 基于特征碼病毒掃描技術(shù)的研究［J］. 信息網(wǎng)絡(luò)安全， 2013， 13（4）：8-13.（GUAN X， ZHU B， CHEN Z， et al. Study on virus signatures based on matching in virus-detecting technologies［J］. Netinfo Security， 2013， 13（4）： 8-13.）

[7] 高宇，莫有權(quán)，李慶榮，等. 基于分布式結(jié)構(gòu)的網(wǎng)絡(luò)惡意代碼智能分析系統(tǒng)［J］. 計(jì)算機(jī)應(yīng)用與軟件， 2010， 27（5）：121-124.（GAO Y， MO Y Q， LI Q R， et al. Distributed structure-based intelligent network malicious code analysing system［J］. Computer Applications and Software， 2010， 27（5）： 121-124.）

[8] 王平，方濱興，云曉春，等. 基于用戶習(xí)慣的蠕蟲的早期發(fā)現(xiàn)［J］. 通信學(xué)報(bào)， 2006， 27（2）：56-65.（WANG P， FANG B X， YUN X C， et al. User-habit based early warning of worm［J］. Journal on Communication， 2006， 27（2）： 56-65.）

[9] 吳國(guó)政，秦志光. 基于節(jié)點(diǎn)自殺的對(duì)等網(wǎng)絡(luò)蠕蟲防治方法［J］. 電子科技大學(xué)學(xué)報(bào)， 2012， 41（1）：125-130.（WU G Z， QIN Z G. Suicide based P2P worms defensive approach［J］. Journal of University of Electronic Science and Technology of China， 2012，41 （1）： 125-130.）

[10] 謝承灝，董健全. P2P文件共享系統(tǒng)中的惡意代碼防治策略［J］. 計(jì)算機(jī)工程與應(yīng)用， 2006， 42（24）：152-156.（XIE C H， DONG J Q. A malware defence strategy in file-sharing system［J］. Computer Engineering and Applications， 2006， 42（24）： 152-156.）

[11] YANG R， WANG B H， REN J， et al. Epidemic spreading on heterogeneous networks with identical infectivity［J］. Physics Letters A， 2006， 364（3/4）： 189-193.

[12] HETHCOTE H W. The mathematics of infectious diseases［J］. SIAM Review， 2000， 42（4）： 599-653.

[13] 徐文雄，張仲華. 具有預(yù)防接種免疫力的雙線性傳染率SIR流行病模型全局穩(wěn)定性［J］. 大學(xué)數(shù)學(xué)， 2003， 19（6）：76-80.（XU W X， ZHANG Z H. Global stability of SIR epidemiological model with vaccinal immunity and bilinear incidence rates［J］. College Mathematics， 2003， 19（6）： 76-80.）

[14] REN J G， YANG X F， ZHU Q Y， et al. A novel computer virus model and its dynamics［J］. Nonlinear Analysis： Real World Applications， 2012， 13（1）： 376-384.

[15] 付偉，王靜，潘曉中，等. 動(dòng)態(tài)同質(zhì)網(wǎng)絡(luò)上的SIR謠言傳播模型［J］. 計(jì)算機(jī)應(yīng)用， 2018， 38（7）：1951-1955， 1966.（FU W， WANG J， PAN X Z， et al. SIR rumor propagation model on dynamic homogeneity network［J］. Journal of Computer Applications， 2018， 38（7）： 1951-1955， 1966.）

[16] JACKSON M， CHEN-CHARPENTIER B M. Modeling plant virus propagation with delays［J］. Journal of Computational and Applied Mathematics， 2017， 309： 611-621.

[17] LA SALLE J P. The Stability of Dynamical Systems［M］. Philadelphia， PA： Society for Industrial and Applied Mathematics， 1976： 7-34.

[18] CLARK R N. The Routh-Hurwitz stability criterion， revisited［J］. IEEE Control Systems Magazine， 1992， 12（3）： 119-120.

[19] LAVRETSKY E， WISE K A. Lyapunov stability of motion［M］// Robust and Adaptive Control： With Aerospace Applications. London： Springer， 2013： 225-261.

[20] XIAO X， FU P， DOU C S， et al. Design and analysis ofworm propagation model in mobile Internet［J］. Communications in Nonlinear Science and Numerical Simulation， 2017， 43： 341-350.

LI Hanlun， born in 1993， M. S. candidate. His research interests include propagation model， complex networks.

REN Jianguo， born in 1978， Ph. D.， associate professor. His research interests include modeling and simulation of network malicious programs， spatial dynamics of network security， network attack and defense， information security of complex networks.

Malware propagation model based on characteristic behavior detection in P2P networks

LI Hanlun， REN Jianguo*

（，，221116，）

Concerning the problem that the existing malware propagation models lack the mechanism of real-time detection of new malware and dynamic sharing of prevention and control information between nodes in Peer-to-Peer （P2P） networks， a detection-propagation model was established based on malware characteristic behavior detection technology. Firstly， based on the classic Susceptible-Infected-Recovered （SIR） propagation model， broadcast nodes were introduced （broadcast nodes refer to special nodes that generate prevention and control information after successfully detecting files containing malware and continuously send this message to neighbor nodes）. The model after introducing broadcast nodes can effectively reduce the risk of nodes themselves being infected through detection technology and can restrain the spread of malware in the network by dynamically sharing malware information between nodes in the network. Then， the equilibrium point was calculated and the propagation threshold of the model was obtained by the next generation matrix theory. Finally， the local stability and global stability of the equilibrium point of the model were proved by Hurwitz criterion and constructing Liapunov function. Experimental results show that when the propagation threshold is less than 1， compared with the degraded SIR model， under the detection rate of 0.5， 0.7 and 0.9， the proposed detection-propagation model has the total number of infected nodes at the peak point decreased by 41.37%， 48.23% and 48.64% respectively. Therefore， the detection-propagation model based on characteristic behavior detection technology can restrain the rapid propagation of malware in the network in the early stage， and the higher the detection rate， the better the containment effect.

malware; Peer-to-Peer (P2P) network; real-time detection; characteristic behavior; local stability; global stability

This work is partially supported by Natural Science Foundation of Jiangsu Province （BK20201462）.

1001-9081（2022）07-2125-07

10.11772/j.issn.1001-9081.2021040625

2021?04?20；

2021?07?11；

2021?07?14。

江蘇省自然科學(xué)基金資助項(xiàng)目（BK20201462）。

TP391.9

A

李漢倫（1993—），男，江蘇徐州人，碩士研究生，主要研究方向：傳播模型、復(fù)雜網(wǎng)絡(luò)； 任建國(guó)（1978—），男，山西忻州人，副教授，博士，主要研究方向：網(wǎng)絡(luò)惡意程序建模與仿真、網(wǎng)絡(luò)安全空間動(dòng)力學(xué)、網(wǎng)絡(luò)攻防、復(fù)雜網(wǎng)絡(luò)信息安全。