一种非线性动力学P2P网络蠕虫传播预测方法与流程

本发明涉及一种蠕虫传播
技术领域：
，特别是涉及一种非线性动力学p2p网络蠕虫传播预测方法。
背景技术：
：随着互联网的发展，资源共享是互联网发展的基石，基础c/s结构的上的网络不能满足用户的需求，于是出现了对等网络(peer-two-peernetworking)。对等网络的出现很好解决了中央服务器瓶颈问题，但同时带来了新的问题。由于p2p网络是对等的结构，在p2p网络中每一个主机都有可能是服务器。计算机病毒则一直是互联网存在问题，其中蠕虫病毒是一种具有极其具有传染力一种病毒。蠕虫攻击的过程一般为信息收集、漏洞探测、病毒触发并执行病毒的代码。p2p网络的组建是需要每个用户安装相应的p2p用户软件，而同一个p2p网络中的软件必须是相同的才能接入到这个网络中，如果这个p2p用户软件存在漏洞的话，恶意用户(攻击者)发现漏洞并编写对应的漏洞利用程序(p2p蠕虫病毒)，那么整个对等网络就会处于非常危险的境地，在很短的时间内该p2p网络将会被攻击导致瘫痪。另一种传播策略是基于社会工程学(socialengineering)，将蠕虫病毒的代码文件植入到正常的文件中，当在满足某一条件下时蠕虫病毒开始激发并进行传播。蠕虫病毒在互联网上的传播与在p2p网络上的传播相比，危害会更大。在p2p蠕虫传播时不需像internet上的其他蠕虫病毒一样，互联网的蠕虫是先进行目标扫描判断目标主机ip是否存在，其次漏洞的探测，如果存在漏洞则利用漏洞进行感染主机，并做好下一轮的传播。p2p蠕虫病毒传播极快，在于p2p网络的用户都是真实存在的主机，不需要判断目标主机ip存在性。p2p蠕虫病毒的传播成功率高，每一次的攻击都是利用有效的地址进行连接，因此攻击连接成功率很高。而相比internet而言其连接的有效地址就会低很多，在于攻击的对象很多是不存在或关机状态。p2p蠕虫病毒的攻击难以被检测。internet上的蠕虫一般需要进行大量的目标探测扫描，通过检测主机请求连接异常判断主机存在蠕虫病毒。而p2p蠕虫病毒不需要进行目标探测扫描，不会触发异常连接的检测，导致p2p蠕虫的攻击很难被检测到。在实际中，只是分析主机的连接请求，在一定程度上很难区分蠕虫攻击的请求连接和正常文件的上下载的请求连接。p2p蠕虫病毒的编写者(攻击者)的目的不同，导致不同的p2p蠕虫病毒在进行攻击后的作用不一样，蠕虫病毒的传播组建一个僵尸网络，利用主机自带的带宽进行ddos攻击。其次目前的虚拟货币流行的原因，导致很多蠕虫病毒带有“挖矿”程序，非法使用他人的计算机的资源进行计算。还有其他的目的如窃取个人信息，点击劫持，垃圾邮件。由此可知p2p网络蠕虫的危害性和破坏性巨大，为了保护p2p网络内主机用户的安全性，必须遏制其p2p蠕虫病毒的传播。因此一个正确合理的传播模型来描述p2p蠕虫的传播过程是非常有必要的，能够暴露p2p蠕虫传播的弱点，以及预测可能存在的威胁，及时做出防御策略。技术实现要素：本发明旨在至少解决现有技术中存在的技术问题，特别创新地提出了一种非线性动力学p2p网络蠕虫传播预测方法。为了实现本发明的上述目的，本发明提供了一种非线性动力学p2p网络蠕虫传播预测方法，包括以下步骤：s1，获取初始时刻蠕虫对网络形成不同状态主机的数量，以及经t时刻后不同状态主机的数量；s2，根据获取的数据，计算不同状态主机的变化率；s3，根据所计算获取的数据，通过数据判断阈值判断蠕虫传播状况。在本发明的一种优选实施方式中，不同状态主机包括离线易感染主机、在线易感染主机、潜伏主机、在线已经感染主机、离线已经感染主机之一或者任一组合。在本发明的一种优选实施方式中，不同状态下主机的变化率包括在线易感染主机的变化率、潜伏主机的变化率、离线易感染主机的变化率、在线已经感染主机的变化率、离线已经感染主机变化率之一或者任意组合。在本发明的一种优选实施方式中，在线易感染主机的变化率的计算方法为：其中：α表示易感染主机从感染主机下载文件的概率；μd表示易感染主机下载文件的概率；son(t)表示t时刻在线易感染主机的数量；ion(t)表示t时刻在线已经感染主机数量；e(t)表示t时刻潜伏主机数量；β表示感染主机从易感染主机上下载文件的概率；εon表示主机上线率；soff(t)表示t时刻离线易感染主机的数量；εoff表示主机离线率；μrn表示在线情况下，感染主机恢复到易感主机的概率。在本发明的一种优选实施方式中，潜伏主机的变化率的计算方法为：其中：α表示易感染主机从感染主机下载文件的概率；μd表示易感染主机下载文件的概率；son(t)表示t时刻在线易感染主机的数量；ion(t)表示t时刻在线已经感染主机数量；e(t)表示t时刻潜伏主机数量；β表示感染主机从易感染主机上下载文件的概率；μif表示蠕虫病毒文件激活到离线易感染主机概率；μin表示蠕虫病毒文件激活到在线易感染主机的概率。在本发明的一种优选实施方式中，离线易感染主机的变化率的计算方法为：εoff表示主机离线率；son(t)表示t时刻在线易感染主机的数量；εon表示主机上线率；soff(t)表示t时刻离线易感染主机的数量；μrf表示离线情况下，感染主机恢复到易感主机的概率；ioff(t)表示t时刻离线已经感染主机数量。在本发明的一种优选实施方式中，在线已经感染主机的变化率的计算方法为：其中：μin表示蠕虫病毒文件激活到在线易感染主机的概率；e(t)表示t时刻潜伏主机数量；εon表示主机上线率；ioff(t)表示t时刻离线已经感染主机数量；εoff表示主机离线率；ion(t)表示t时刻在线已经感染主机数量；μrn表示在线情况下，感染主机恢复到易感主机的概率。在本发明的一种优选实施方式中，离线已经感染主机变化率的计算方法为：其中：μif表示蠕虫病毒文件激活到离线易感染主机概率；e(t)表示t时刻潜伏主机数量；εoff表示主机离线率；ion(t)表示t时刻在线已经感染主机数量；εon表示主机上线率；ioff(t)表示t时刻离线已经感染主机数量；μrf表示离线情况下，感染主机恢复到易感主机的概率。在本发明的一种优选实施方式中，通过数据判断阈值判断蠕虫传播状况的方法为：判断与1的大小关系：其中：μd表示易感染主机下载文件的概率；α表示易感染主机从感染主机下载文件的概率；β表示感染主机从易感染主机上下载文件的概率；εon表示主机上线率；μif表示主机离线率；μin表示蠕虫病毒文件激活到在线易感染主机的概率；μrf表示离线情况下，感染主机恢复到易感主机的概率；μrn表示在线情况下，感染主机恢复到易感主机的概率；εoff表示主机离线率；若则蠕虫不会在网络上泛滥传播；否则，蠕虫会在网络上泛滥传播。在本发明的一种优选实施方式中，在线易感染主机的变化率的计算过程包括以下步骤：s101，在t时刻时，当易感染主机向p2p网络其他主机请求文件下载时，选中已经感染的主机作为文件下载源的概率为而从已经感染主机下载文件的概率为μd，故一台易感染主机因为下载而携带蠕虫病毒文件的概率为在一个单位时间，在线易感染主机数量为son(t)台共执行下载次数为μdson(t)，因此在一个单位时间内共有台易感主机因为下载带有蠕虫病毒文件成为潜伏状态主机；s102，当已经感染主机请求文件时，任意一台主机被选中作为上传文件主机的概率为那么对应地，主机不被选中的概率就为在时刻t，易感主机数量ion(t)共执行下载任务为μdion(t)次；那么，一台主机一次都不被选中作为上传主机的概率为于是得到一台主机被选中的概率为所以一台易感染主机因为去已经感染主机上传文件从而导致自身携带病毒的概率为从而得到在一个单位时间内携带病毒文件成为潜伏主机的数量为s103，部分在线的易感染主机还是会因为离线变成离线易感染主机，转化成离线易感染主机数量为εoffson；s104，而在部分的离线主机由于文件传输的需求会变成在线主机，转为在线主机的数量为εonsoff；s105，另外还有一部分是因为在线已经感染主机中的病毒被清除而恢复到在线易感染主机的状态，且恢复的主机数量为μrnion。综上所述，由于采用了上述技术方案，本发明能够对网络蠕虫泛滥传播状况进行预测，及时做出防御策略。本发明的附加方面和优点将在下面的描述中部分给出，部分将从下面的描述中变得明显，或通过本发明的实践了解到。附图说明本发明的上述和/或附加的方面和优点从结合下面附图对实施例的描述中将变得明显和容易理解，其中：图1是本发明p2p蠕虫传播模型仓室示意图。图2是本发明p2p蠕虫免疫模型仓室示意图。图3是本发明蠕虫传播模型各仓室主机数量变化示意图。图4是本发明下载率对病毒传播的影响示意图。图5是本发明易感主机作为下载端概率的影响示意图。图6是本发明感染主机作为下载端的影响示意图。图7是本发明蠕虫在线被激活的概率的影响示意图。图8是本发明蠕虫在线恢复率的影响示意图。图9是本发明在线感染初始主机数对蠕虫传播的影响示意图。图10是本发明上线率对在线感染主机的影响示意图。图11是本发明免疫模型的各仓室数量变化示意图。图12是本发明免疫率μsmn对感染主机的影响示意图。图13是本发明免疫率μimn对在线易感主机的影响示意图。图14是本发明免疫率μsmn对潜伏主机影响示意图。具体实施方式下面详细描述本发明的实施例，所述实施例的示例在附图中示出，其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的，仅用于解释本发明，而不能理解为对本发明的限制。本发明提供了一种非线性动力学p2p网络蠕虫传播预测方法，包括以下步骤：s1，获取初始时刻蠕虫对网络形成不同状态主机的数量，以及经t时刻后不同状态主机的数量；s2，根据获取的数据，计算不同状态主机的变化率；s3，根据所计算获取的数据，通过数据判断阈值判断蠕虫传播状况。在本发明的一种优选实施方式中，不同状态主机包括离线易感染主机、在线易感染主机、潜伏主机、在线已经感染主机、离线已经感染主机之一或者任一组合。在本发明的一种优选实施方式中，不同状态下主机的变化率包括在线易感染主机的变化率、潜伏主机的变化率、离线易感染主机的变化率、在线已经感染主机的变化率、离线已经感染主机变化率之一或者任意组合。在本发明的一种优选实施方式中，在线易感染主机的变化率的计算方法为：其中：α表示易感染主机从感染主机下载文件的概率；μd表示易感染主机下载文件的概率；son(t)表示t时刻在线易感染主机的数量；ion(t)表示t时刻在线已经感染主机数量；e(t)表示t时刻潜伏主机数量；β表示感染主机从易感染主机上下载文件的概率；εon表示主机上线率；soff(t)表示t时刻离线易感染主机的数量；εoff表示主机离线率；μrn表示在线情况下，感染主机恢复到易感主机的概率。在本发明的一种优选实施方式中，潜伏主机的变化率的计算方法为：其中：α表示易感染主机从感染主机下载文件的概率；μd表示易感染主机下载文件的概率；son(t)表示t时刻在线易感染主机的数量；ion(t)表示t时刻在线已经感染主机数量；e(t)表示t时刻潜伏主机数量；β表示感染主机从易感染主机上下载文件的概率；μif表示蠕虫病毒文件激活到离线易感染主机概率；μin表示蠕虫病毒文件激活到在线易感染主机的概率。在本发明的一种优选实施方式中，离线易感染主机的变化率的计算方法为：εoff表示主机离线率；son(t)表示t时刻在线易感染主机的数量；εon表示主机上线率；soff(t)表示t时刻离线易感染主机的数量；μrf表示离线情况下，感染主机恢复到易感主机的概率；ioff(t)表示t时刻离线已经感染主机数量。在本发明的一种优选实施方式中，在线已经感染主机的变化率的计算方法为：其中：μin表示蠕虫病毒文件激活到在线易感染主机的概率；e(t)表示t时刻潜伏主机数量；εon表示主机上线率；ioff(t)表示t时刻离线已经感染主机数量；εoff表示主机离线率；ion(t)表示t时刻在线已经感染主机数量；μrn表示在线情况下，感染主机恢复到易感主机的概率。在本发明的一种优选实施方式中，离线已经感染主机变化率的计算方法为：其中：μif表示蠕虫病毒文件激活到离线易感染主机概率；e(t)表示t时刻潜伏主机数量；εoff表示主机离线率；ion(t)表示t时刻在线已经感染主机数量；εon表示主机上线率；ioff(t)表示t时刻离线已经感染主机数量；μrf表示离线情况下，感染主机恢复到易感主机的概率。在本发明的一种优选实施方式中，通过数据判断阈值判断蠕虫传播状况的方法为：判断与1的大小关系：其中：μd表示易感染主机下载文件的概率；α表示易感染主机从感染主机下载文件的概率；β表示感染主机从易感染主机上下载文件的概率；εon表示主机上线率；μif表示主机离线率；μin表示蠕虫病毒文件激活到在线易感染主机的概率；μrf表示离线情况下，感染主机恢复到易感主机的概率；μrn表示在线情况下，感染主机恢复到易感主机的概率；εoff表示主机离线率；若则蠕虫不会在网络上泛滥传播；否则，蠕虫会在网络上泛滥传播。在本发明的一种优选实施方式中，在线易感染主机的变化率的计算过程包括以下步骤：s101，在t时刻时，当易感染主机向p2p网络其他主机请求文件下载时，选中已经感染的主机作为文件下载源的概率为而从已经感染主机下载文件的概率为μd，故一台易感染主机因为下载而携带蠕虫病毒文件的概率为在一个单位时间，在线易感染主机数量为son(t)台共执行下载次数为μdson(t)，因此在一个单位时间内共有台易感主机因为下载带有蠕虫病毒文件成为潜伏状态主机；s102，当已经感染主机请求文件时，任意一台主机被选中作为上传文件主机的概率为那么对应地，主机不被选中的概率就为在时刻t，易感主机数量ion(t)共执行下载任务为μdion(t)次；那么，一台主机一次都不被选中作为上传主机的概率为于是得到一台主机被选中的概率为所以一台易感染主机因为去已经感染主机上传文件从而导致自身携带病毒的概率为从而得到在一个单位时间内携带病毒文件成为潜伏主机的数量为s103，部分在线的易感染主机还是会因为离线变成离线易感染主机，转化成离线易感染主机数量为εoffson；s104，而在部分的离线主机由于文件传输的需求会变成在线主机，转为在线主机的数量为εonsoff；s105，另外还有一部分是因为在线已经感染主机中的病毒被清除而恢复到在线易感染主机的状态，且恢复的主机数量为μrnion。其具体实现如下：1.蠕虫传播建模分析1.1建模参数和假设根据条件触发型蠕虫病毒实际的传播情况，在传播模型中，主机的状态可以分为三类：易感染主机、潜伏主机、已经感染主机，并且切合实际的主机状态在易感主机和已经感染主机状态上再次划分了在线和离线两种状态。而在潜伏主机的状态由于蠕虫病毒文件已经存在主机中等待某一种条件触发，为了方便实际问题抽象到数学模型的简化，因此潜伏状态的主机并未划分在线状态和离线状态。在免疫模型中，主机增加了免疫状态，同样考虑到实际传播的问题，把免疫的模型分为线上状态和线下状态。为了更进一步后续的蠕虫病毒传播建模分析，则建模时要用到参数和实验范例使用值列举到表1中。表1p2p蠕虫传播数学模型参数符号代表含义初始值m网络中主机总数量10000soff(t)t时刻离线易感染主机的数量900son(t)t时刻在线易感染主机的数量9000e(t)t时刻潜伏主机(蠕虫病毒文件未激活潜伏期的主机)数量0ion(t)t时刻在线已经感染主机数量100ioff(t)t时刻离线已经感染主机数量0roff(t)t时刻免疫蠕虫主机(已经具有防护的离线主机)数量0ron(t)t时刻免疫蠕虫主机(已经具备防护的在线主机)数量0μd易感染主机下载文件的概率0.08α易感染主机从感染主机下载文件的概率0.04β感染主机从易感染主机上下载文件的概率0.04μif蠕虫病毒文件激活到离线易感染主机概率0.00015μin蠕虫病毒文件激活到在线易感染主机的概率0.0001μrf离线情况下，感染主机恢复到易感主机的概率0.000001μrn在线情况下，感染主机恢复到易感主机的概率0.000005μimf离线情况下，易感染主机到具备免疫主机的概率0.0001μimn在线情况下，易感染主机到具备免疫主机的概率0.0001εoff主机离线率0.00003εon主机上线率0.0003μsmf离线易感染主机的免疫率0.000005μsmn在线易感染主机的免疫率0.000005建模基于流行病学和平均场理论，因此所建模型中的参数代表是平均值。蠕虫病毒的重要传播参数μd，在p2p网络主要用于文件共享，p2p网络内的主机数据交互越频繁，蠕虫病毒的影响就越大。p2p蠕虫传播建模是由实际存在的问题抽象成数学模型，为了方便研究，做了如下一些假设：(1)p2p网络的中主机总的数量没有发生变化(包含其中在线和离线的状态)。(2)主机的状态转移在一个单位时间(timeunit)中完成，且多个状态在同一单位时间内可以同时发生状态转移。(3)建模的考虑文件是可以使直接运行的可执行文件，同样包括被压缩的可执行的文件，也有可能是媒体文件(视屏、图片、声音文件)通过某些技术方法把可执行的蠕虫病毒文件捆绑在其中。(4)在线主机是通过p2p软件接入到p2p网络中。离线主机是登出p2p软件从而退出了p2p网络，但是主机的操作系统仍是启动状态。(5)在p2p网络中易感主机到感染主机下载文件，存在感染的风险。同样已经感染的主机去易感染主机上下载文件，当p2p软件存在漏洞时，通过双方的数据交互，把恶意代码传输给作为下载源的易感染主机。1.2.主机状态转移分析在p2p条件触发型蠕虫传播的情况下，分析蠕虫病毒的特点不难得到主机的状态的转移图(如图1所示)，其中每个状态的实体用圆形表示，带有箭头线的是状态转换的方向，线上标注是转移的概率。该仓室图图形描述p2p蠕虫病毒在没有免疫能力的p2p网络中进行传播。(1)主机所处的状态说明，在线易感染主机(son)：主机运行着p2p用户软件，已经接入p2p网络之中。主机进行上传和下载文件的数据交互的活动存在被感染的风险，该主机就处于在线易感染主机的状态。离线易感染主机(soff)：主机未运行p2p用户软件，并未在p2p网络之中。主机无法与其他p2p网络中的主机进行数据交互，则该主机处于离线易感染主机的状态。潜伏期的主机(e)：主机的p2p的共享文件夹中至少拥有一个携带蠕虫病毒文件(文件已经下载到主机本地，但未达到执行蠕虫触发条件)，该主机处于蠕虫病毒文件未激活潜伏期的主机状态。在线已感染主机(ion)：用户已经处于p2p网络之中，由于满足某种条件执行了带有蠕虫病毒的文件，致该主机处于在线已经感染主机。离线已经感染主机(ioff)：用户已经登出p2p网络，但是同样触发了蠕虫病毒的执行的条件，该主机就处于离线已经感染主机。(2)主机的状态转移说明：son→e：状态变化有两种原因：一种易感主机从已经感染主机下载文件导致主机包含有病毒文件，另一种是已经感染主机到易感染上下载文件致使携带病毒文件。此时主机由在线易感染主机状态转化到潜伏状态。图1中μs是代表整个传播影响因素，具体传播因子在1.3.传播数学模型描述。用户由于完成了下载或者上传任务退出p2p网络，即在线易感主机状态转换到离线易感染状态。同样用户需要进行文件传输时登录p2p软件进入p2p网络，此时离线易感染状态切换到在线易感染主机。e→ion：当主机上已经携带蠕虫病毒文件，由于满足某种激活条件导致病毒被激发了，且此时的主机处于p2p网络中，主机状态由潜伏主机状态转换到在线已经感染状态。e→ioff：主机已经存在带有病毒的文件，满足了某些的触发要求病毒被激发了，但此时的主机已经登出p2p网络，主机状态由潜伏状态切换到离线已经感染主机状态。ion→son：主机已经中该蠕虫病毒，把受感染的文件清除和病毒手动查杀掉，但对用户的网络安全知识方面要求比较高，且此时主机并处在p2p网络之中，此时主机的状态由在线已经感染主机状态切换到在线易感染主机的状态。p2p网络用户使用p2p软件登录或者登出到p2p网络，相应的状态应由离线已经感染主机转换在线已经感染主机或者是在线已经感染主机转换到离线已经感染主机。ioff→soff：在未进入的p2p网络的主机，已经感染病毒的主机通过删除夹带病毒文件或者人工手动查杀了病毒，或者用户已经重新安装操作系统清除了病毒，但未做到安全的防护，此主机由离线已经感染主机变换到离线易感染主机状态。1.3.传播数学模型在不考虑主机免疫的情况下研究蠕虫病毒的传播模型，主机会处于易感状态s,潜伏状态e,已经感染状态i。主机处于3种状态其中一种，状态转移过程为s→e→i→s。(1)在线易感染主机变化率由于条件触发型蠕虫，当满足某一种条件病毒才能够被激发，并且感染p2p本地共享文件(已经感染主机)。故易感染主机上传或者下载文件都有可能在本地携带蠕虫病毒文件，且在p2p网络中的主机才能进行文件传输，因此在线易感染主机才可能去下载文件成为携带病毒文件潜伏状态的主机。在t刻时，当易感染主机向p2p网络其他主机请求文件下载时，选中已经感染的主机作为文件下载源的概率为而从已经感染主机下载文件的概率为μd，故一台易感染主机因为下载而携带蠕虫病毒文件的概率为在一个单位时间，在线易感染主机数量为son(t)台共执行下载次数为μdson(t)，因此在一个单位时间内共有台易感主机因为下载带有蠕虫病毒文件成为潜伏状态主机。当已经感染主机请求文件时，任意一台主机被选中作为上传文件主机的概率为那么对应地，主机不被选中的概率就为在时刻t，易感主机数量ion(t)共执行下载任务为μdion(t)次。显然那么，一台主机一次都不被选中作为上传主机的概率为于是得到一台主机被选中的概率为所以一台易感染主机因为去已经感染主机上传文件从而导致自身携带病毒的概率为从而得到在一个单位时间内携带病毒文件成为潜伏主机的数量为当然，在p2p网络中，部分在线的易感染主机还是会因为离线变成离线易感染主机，转化成离线易感染主机数量为εoffson。而在部分的离线主机由于文件传输的需求会变成在线主机，转为在线主机的数量为εonsoff。另外还有一部分是因为在线已经感染主机中的病毒被清除而恢复到在线易感染主机的状态，且恢复的主机数量为μrnion。由上述影响在线易感主机的数量的因素综合分析，得到在线易感染主机的变化率为：(2)潜伏状态主机变化率潜伏主机仓室的入度来源于在线易感染主机下载包含病毒文件的转化。部分的潜伏状态主机因为满足病毒的触发条件，致使病毒的激活，转为在线的已经感染主机数量为μine(t)。同时部分处于离线主机触发了病毒，离线已经感染主机数量为μife(t)。已经下载了含有蠕虫病毒的文件，但是蠕虫病毒未激活处于潜伏期主机变化率：(3)离线易感染主机变化率因离线已经感染主机病毒被查杀清除，部分主机恢复到离线易感染且主机的数量为μrfioff(t)，离线易感染主机变化率为：(4)在线已经感染主机变化率通过图1的仓室的状态的转换图，得到在单位时间内在线已经感染主机数量的变化率：(5)离线已经感染主机变化率由仓室转换图得到单位时间内离线已经感染主机数量的变化率：由方程(1)～(5)组成的方程组就是条件触发型蠕虫病毒的传播的数学模型。2.蠕虫免疫模型2.1.p2p蠕虫免疫仓室抑制蠕虫病毒传播最有效的方法就是根据蠕虫病毒利用漏洞，针对性编写相应的漏洞补丁并把它安装到p2p网络中主机上，或是在主机上安装能够识别病毒特征码的杀毒软件，能够识别携带蠕虫的文件和能够对已经感染主机进行病毒查杀清除。在这种情况p2p网络中的主机存在7种状态，即在线易感主机、离线易感主机、潜伏主机、在线已经感染主机、离线已经感染主机、在线具有防护能力主机、离线具有防护能力主机。免疫的模型是在传播模型的基础上扩展了在线免疫状态ron(t)和离线免疫状态roff(t)。在实际的p2p网络中当主处于易感染主机状态，由于部分的使用个体拥有比较高的防护安全意识提前给主机装上能够查杀该病毒的软件和检测带有蠕虫的文件，因此在线易感主机和离线易感主机分别存在μsmn、μsmf转换的概率。用μimn和μimf表示在线和离线已经感染主机到在线免疫主机和离线免疫主机的转换率。2.2.建立数学的免疫模型通过2.1.免疫模型的仓室图分析，来建立免疫数学模型，如下所示：蠕虫免疫模型中在线易感染主机的变化率：蠕虫免疫模型中已经下载蠕虫但未被满足某一种条件时，处于潜伏期的主机的变化率：蠕虫免疫模型中离线易感染主机的变化率：蠕虫免疫模型在线已经感染主机的变化率：蠕虫免疫模型离线已经染主机的变化率：蠕虫免疫模型具有蠕虫防护能力在线主机的变化率：蠕虫免疫模型具有蠕虫防护能力离线主机的变化率：蠕虫免疫模型传播中仓室的主机数量之和用m来表示：m＝son(t)+soff(t)+e(t)+ion(t)+ioff(t)+ron(t)+roff(t)(13)由方程(6)～(12)组成条件触发型蠕虫病毒的免疫数学模型，方程(13)指出研究整个p2p网络中假设总主机数量是保持不变的。3.无蠕虫病毒的平衡条件本文建立蠕虫传播的数学模型的主要目的是用来预测蠕虫的传播趋势方向，然后分析影响蠕虫传播的关键因素，为了在针对蠕虫病毒的补丁还未编写出来或者杀毒软件中的病毒库中未添加该病毒的特征码时间段内，具体哪些因素才是决定蠕虫传播程度的重要因素，以及蠕虫不会泛滥的条件是什么。在这里给出基于流行病重要理论分析如下。3.1.流行病理论由文献分析得，病毒能否在p2p网络中流行是由病毒的基本繁殖率(再生数)r0决定的，当r0<1时，病毒在传播中不久就会在p2p网络中消失，此时网络处于无病毒的状态。如果r0>1时，病毒在p2p网络传播会逐渐扩大，最后使整个p2p网络中的主机全部被感染。在蠕虫传播过程求出p2p网络处于无毒的平衡状态的充分条件，即使p2p网络中出现新的感染主机，只要满足网络中无毒平衡状态的条件，就能确保蠕虫不会再网络中流行或者泛滥。通过文献提出一种求基本繁殖率(再生数)的方法，在这种方法中，将主机的状态的转移流分成新感染个体入度流和其他的两种流，且分别用f和v来表示。分别求着两个向量对各个状态变量的微分，微分后的向量矩阵如下面所示：fi和vi是f和v第i个分量，其中xi是第i个状态变量并且xi＝fi(x)-vi(x)，m表示感染状态变量数量。求解fv-1矩阵最大特征值的绝对值(谱半径)就是再生数r0。3.2.蠕虫不会泛滥的条件定理依据提出的条件触发型蠕虫传播模型和流行病学重要理论，当蠕虫传播充分条件成立，即蠕虫不会在p2p网络中泛滥。条件触发型蠕虫传播状态变量分为3类：e(t)、ion(t)、ioff(t)即上小节的m值为3，且由传播建模方程(2)、(4)、(5)得到如下：在p2p网络中处于无毒平衡状态时，各个仓室状态变化如下所示：且携带病毒文件或者已经感染病主机数量如下：ion(t)＝ioff(t)＝e(t)＝0(17)在p2p蠕虫传播的模型中，各个仓室主机数量之和总的是不变的。n＝son(t)+soff(t)+e(t)+ion(t)+ioff(t)(18)根据前两面式子计算得到无毒平衡状态的组成p2p网络主机状态之和为：n＝son(t)+soff(t)(19)根据上述式子，综合计算得到在线易感主机的数量和离线易感染主机数量如下：为了方便后续的计算，进行式子化简：由通过牛顿二项式进行展开得因此得到对ion(t)进行微分，得到如下结果：向量f和v分别对e(t)、ion(t)、ioff(t)求微分得到如下且蠕虫在平衡状态时有，带入参数得到如下结果：根据微分后矩阵v求解v-1，结果如下所示：r0＝ρ(fv-1)，即ρ(fv-1)表示fv-1的矩阵相乘后的矩阵最大的绝对值的特征值是r0。根据文献可知，蠕虫不会泛滥传播充分条件是：4.仿真分析4.1.蠕虫不会泛滥充分条件的实验证明根据下面的图3～10来验证推导出来的蠕虫不会泛滥充分条件是否具有正确性。图1是传播模型全部仓室主机数量的变化图，由于r0大于1，此时是满足蠕虫泛滥的条件，根据图中变化趋势，由于在线易感用户下载文件时，易感主机快速转变为携带病毒文件的主机。当其携带病毒文件主机数量到达峰值后，满足激发条件的主机转变为在线或者离线已经感染主机，于是蠕虫病毒在网络中开始逐渐蔓延，最终达到蠕虫传播的平衡状态。分析图4～10的随着时间的推移不同因子对p2p网络中含有病毒主机(包含在线和离线已经感染的主机、携带病毒文件的潜伏主机)的数量变化。且由图4、图5、图6、图8看，不同的影响因子对其网络中含有蠕虫病毒的主机变化，不难看出r0<1时，网络的含有病毒的主机逐渐减少，最后直到消失。当r0很接近1时，网络中蠕虫的数量会基本保持平衡。当r0>1时，蠕虫就会在网络中开始蔓延。通过上述表明在本文的推导蠕虫不会泛滥条件是正确的。图3呈现了在p2p网络中，不同状态下主机的数量变化图。在线和离线的易感主机由于下载或者上传的因素，导致本地含有蠕虫病毒的文件，在得当的条件下潜伏在文件中的病毒开始触发，于是已经感染主机(图中ioff(t))和ion(t))的数量开始增多。由于假定p2p网络中的主机是一定的，感染主机的增多那么潜伏主机和易感主机数量就减少，当经过一段时间后，感染主机在网络中达到平衡状态。且由于r0>1，蠕虫病毒不会在网络中消失。下载率是蠕虫病毒能否在网络中泛滥的重要的影响因子。蠕虫通常伪装成正常的文件或者和正常的文件进行捆绑，且在p2p网络中传播途径是通过文件之间相互共享，主机之间的数据交互是主要是通过文件的上传和下载。在网络的主机中下载的次数越频繁，就越容易下载到携带病毒的文件。通过图4不同值的下载因子对含有病毒文件主机数量影响，在其他影响因子不变的情况下，其值越大对会间接增加感染主机数量，然而当值小于一定时，即r0<1时，此时网络蠕虫就不会发生泛滥。在线易感染主机到在线已经感染主机或者潜伏主机(p2p共享文件夹中已经含有病毒文件)下载文件，若下载的文件中包含有病毒的文件，那么在线感染主机就会转变到潜伏主机的状态，蠕虫在适当的条件进行触发转变成感染主机的状态。从图5可知，当p2p其他的参数不变的情况下，α参数的值(0-1范围)越大会导致感染主机的增多。但同样受蠕虫泛滥的条件限制，其值r0<1时，蠕虫不会在网络中泛滥。与α因子类似，β因子是表示在线已经感染主机作为下载端到在线易感染主机进行文件下载。当同样条件下其他的影响因子参数的值保持不变时，β值(0-1范围)越大其在网络中感染主机数量就会增多，而且也满足蠕虫泛滥的充分条件。当潜伏主机中的病毒满足某种条件后就会被激发，转变成在线感染主机和离线感染主机(原因病毒触发条件有多种，最典型的是用户去打开含有病毒的文件导致病毒被激发，不论是否已经登录到p2p网络中都有可能激发蠕虫)。其影响因子是μin，当其值越大网络中在线已经感染主机的数量就越多。已经感染主机用户由于具备网络安全知识能够进行手动查杀病毒，或者重新安装操作系统，主机从感染状态恢复到易感染状态，图8表示其影响因子μrn是在线已经感染主机状态恢复到在线易感染主机状态，当μrn值(0-1范围)越大时，恢复的主机的数量就越多，感染主机的数量就越少，当值小一定程度时就会满足蠕虫的平衡条件，即r0<1蠕虫不会在网络中泛滥。在p2p网络的蠕虫传播模型中，感染主机的初始值不会对蠕虫泛滥条件造成影响。根据证明的结果中，表达式(14)不含有i相关的影响因子，根据图9可知i值的大小只会影响蠕虫在网络中传播的快慢。上线率和离线率表示主机是否在p2p网络中，分析图1得到，当在线易感主机的增多时，就会使更多的主机在网络中进行上传或者下载文件操作，进而潜伏后被感染。由图10所示上线率对在线感染主机的影响，且当在线率的值越大，其他影响因子不变时，潜伏主机的数量就会增多，进而间接增加了在线感染主机的数量。4.2.p2p参数对蠕虫传播的影响从图4～10可以看出，下载率对在线感染主机的数量较为明显，因此对其网络蠕虫泛滥程度(在其平衡状态时总感染主机的数量与网络中总的主机数量比值)的影响是最大。其次是分别是在线和离线蠕虫病毒被激活率，再次是已感染主机恢复率，最后对影响程度比较小是主机的上线率和下线率。原因是上线率或者下线率表示主机是否进入了p2p网络，且其主要是对在线感染主机造成影响，因此其对网络中病毒传播有一定影响，结合实际情况分析，蠕虫爆发阶段其上下率和下线率的波动非常小，因此所造成的影响力比其他因子要略小。还有初始感染主机的数量对其病毒泛滥的程度也少量的影响，蠕虫平衡条件表达式中无该项因子，但会影响蠕虫传播的快慢。当r0>1时，如果网络已经感染主机数量比较多的情况下，那么在很短的时间内会达到平衡状态，反之初始已经感染主机数量少，那么会经过较为漫长的时间才能达到平衡状态。表2图3～8实验的r0的值μdr0αr0βr0μrnr00.17.60.0012.280.0012.470.000092.820.051.520.00061.520.00051.520.000061.420.010.760.00020.760.00010.760.000030.95由表2和图3～10可以看出在传播还有一个重要的参数就是r0,r0除了能够表示蠕虫在网络传播是否泛滥以外。且在r0>1时，其值越大，则表明蠕虫网络中传播速度得越快，反之传播速度的越慢。且在r0<1的情况下，即蠕虫不会泛滥r0的值越大则在蠕虫在网络消失所需要的时间越长，反之消失的所需时间越短。4.3.蠕虫传播控制蠕虫病毒传播受下载率、下载感染率、上传感染率、恢复率(在线和离线)、病毒的触发率(在线和离线)、下线率、上线率这一些参数的影响，其中下载率、恢复率、病毒的触发率、上线率和下线率，这五个参数是用户可以控制的，因此在针对其漏洞补丁还未进行公布时或者杀毒软件未及时提取到病毒的特征码时，对这五个参数的有效控制能否延缓病毒的在网络传播的态势。下面进行逐个分析。恢复率可以大幅的降低蠕虫在网络中传播能力。通过结合实际分析增加恢复率有两种方法：当主机中了蠕虫病毒用户选择从新装操作系统，另外是手动查杀蠕虫病毒。其中这两点的可行度非常低，如果用户选择重新装操作系统那么可能带来部分文件丢失，导致无法正常工作。而选择手动的查杀病毒则要求更高，需要用户掌握反病毒的相关知识，如果不是专业人士很难做到这一点。下载率是影响蠕虫病毒传播最为关键的影响因子，在p2p网络中主要部分数据交互是基于文件的下载。在条件触发型蠕虫下，如果能够在网络中大幅降低文件下载率就能够有效降低潜伏主机数量，进而可以有效的遏制蠕虫病毒的传播。在p2p网络拓扑结构类型也分为三种，一种是全分布式非结构化拓扑的p2p网络，另一种是集中结构拓扑的p2p网络，最后一种是混合式的拓扑结构。例如gnutella这种p2p网络是属于全分布式非结构化拓扑的p2p网络，其开放性很好，要降低该网络的下载率只有通过网络公告提示用户网络存在蠕虫病毒，当这样的效果收效甚微，在病毒的爆发阶段很多用户根部不知道蠕虫的病毒的存在。即便用户知道了网络的存在蠕虫，有意识降低下载率，但有可能不会阻止病毒的蔓延。edonkey则是与gnutella的拓扑结构不同，它具有中心节点来进行资源的索引，如果控制资源列表地址，不允许用户进行资源的查询，从而降低了文件的下载率。混合型拓扑结构网络同样可以使用限制访问资源列表来限制文件的下载。影响病毒的触发条件可能有多种，但是最为常见的是下载到本地含病毒文件，通过打开文件来触发蠕虫病毒。在蠕虫爆发期，下载的文件最好不要直接打开，需要放在专门的沙箱环境中测试后才使用。但蠕虫的触发条件不只是打开文件这样简单，也许蠕虫在检测主机无人使用在进行触发，保持其隐秘性。因此针对控制触发条件来控制蠕虫病毒的传播，只能做到一部分有效的控制。上线率和下线率的改变是可以控制的，但是其作用也只能是局部的，由于下载文件时主机必须是在线的情况，此时控制主机的上线率就能够及时避免主机进入p2p网络进行文件下载和上传操作，但是失去进行文件共享的作用。通过上述的分析可知，蠕虫传播有速度快、周期短的特点，要控制蠕虫传播最佳时间就是在病毒爆发的初期，其感染主机的数量较少，也能够及时制止进行控制。但是由于条件触发型蠕虫其比较隐秘，不容易被侦测，只有等待条件满足时蠕虫被激，当开始蠕虫在网络蔓延和泛滥时才会引起用户的警觉，此时采取上述的措施收效不够明显。4.4.蠕虫免疫模型仿真根据建立的蠕虫病毒的数学免疫模型，结合实际情况进行仿真得到图11，其描述了p2p网络中不同状态下主机数量，在具有免疫能力的网络中，通过一段时间的变化后主机最终都能免疫该蠕虫病毒。图12～14单个影响因子对感染主机的影响，且两幅图中的影响因子μsmn和μimn对感染主机的数量影响比较明显，也是免疫模型中主机进行免疫的关键的影响因子。图14呈现影响因子μsmn对携带文件的潜伏主机数量影响，主机想要变成潜伏主机只有通过在线易感主机去下载或上传文件，而影响因子μsmn只能改变在线易感主机的数量，从而间接的改变潜伏主机的数量。图11展现了在具有免疫机制p2p网络中下，不同状态下主机的数量变化图。当主机中了蠕虫后，由于杀毒软件已经能够把病毒的特征码进行识别，能够进行及时清除携带蠕虫病毒的文件以及蠕虫病毒。从图中的变化得出，在线易感主机和离线易感主机减少，其中感染主机由于安全意识比较强，已经在主机装上带有特征库的杀毒软件，则直接从感染状态转换到免疫状态。从图形分析来看，提前装杀毒软件的主机数量比较少，因此在开始的时候免疫主机数量比较少。随着在p2p网络中文件共享、数据交互，潜伏主机的数量达到的峰值，然后病毒条件触发，主机开始转变为感染主机状态其到达峰值，病毒传播引起重视，针对其做了相应的补丁和把其特征码加入到病毒库供杀毒软件识别并查杀，随着感染主机数量逐渐消失免疫主机的数量开始增多，最后整个网络主机对蠕虫都免疫。免疫率μsmn是在线易感主机具有免疫能力之后转变到在线免疫主机状态。通过图12可以看出免疫率μsmn值(0-1范围)越大，在线已经感染主机峰值的数量就越小，同时由于在线易感主机和离线易感染主机相互转换，导致离线主机峰值的数量也跟随着减少。在免疫模型中，随着主机的免疫能力增加，最后感染主机在网络中消失。μimn是在线已经感染主机状态到在线免疫主机的状态的免疫率。且免疫率大小是直接对在线感染主机峰值造成影响，免疫率μimn值越大(取值在0-1范围)，那么对应的在线已经感染主机数量峰值就会越小。免疫率μsmn是对潜伏主机的间接影响。潜伏主机状态的转换是由在线易感主机下载含有病毒的文件所致，而免疫率μsmn对在线易感主机的直接影响，当在线易感主机数量的减少，其他p2p参数不变，此时潜伏主机也会随着减少。从图14可知当免疫率μsmn值(取值0-1范围)越大时，潜伏状态主机的数量减少。尽管已经示出和描述了本发明的实施例，本领域的普通技术人员可以理解：在不脱离本发明的原理和宗旨的情况下可以对这些实施例进行多种变化、修改、替换和变型，本发明的范围由权利要求及其等同物限定。当前第1页12