病毒或蠕虫传播规律立数学模型

请选择一种当前流行的病毒或蠕虫,运用数学建模与仿真验证法,研究其传播规律,建立数学模型,并设计有效的仿真测试方法,验证理论模型和仿真测试结论之间的一致性。

题目：请选择一种当前流行的病毒或蠕虫，运用数学建模与仿真验证法，研究其传播规律，建立数学模型，并设计有效的仿真测试方法，验证理论模型和仿真测试结论之间的一致性。

答：

网络蠕虫是一种不需要计算机用户干预即可智能化地运行的攻击程序或代码，它会不断扫描和攻击计算机网络上存在有系统漏洞的节点主机，再通过计算机网络从一个节点传播到另一个节点。1988年，Morris 蠕虫事件让蠕虫首次进入到公众的视野。此后，又陆续爆发了Code Red 、Slammer 和Blaster 等蠕虫，都在短时间内攻击了网络上大量的主机，给整个互联网造成巨大的损失。如Code Red V1出现在2001年7月12日，而真正流行则开始于7月17日，它利用微软Index Server 2.0上一个已知的内存溢出漏洞进行攻击。虽然微软于6月18日就发布了这一漏洞的补丁，但Code Red 仍然感染了数以百万计的电脑，给整个互联网带来巨大的经济损失。

在不影响传播特性的情况下，假设支撑模型的网络协议为IPv4，网络上的主机地位相等，性能没有差异。模型的扫描策略采用典型的随机扫描策略。所谓的随机扫描策略为受蠕虫感染的主机随机地扫描整个地址空间，发出探针以试探该主机是否可以被感染，即扫描地址空间为322，Code Red 、Slammer 和Blaster 蠕虫均采用这一扫描策略。

为了提高蠕虫的传播速度，Weaver 提出hitlist 的概念，即在蠕虫传播之前，先收集网络上一些性能比较好的主机，蠕虫传播时，首先感染这些主机，然后通过这些主机去感染网络上其它的主机。本模型也假设蠕虫在传播开始时刻先感染各自的hitlist 中的主机，且感染的时间忽略不计。先定义模型用到的一些参数：

N ：网络中在线的主机总数，初始值500000；

i m ：i

时刻漏洞类主机的数目，初始值01m N =-； i n ：i

时刻感染类主机的数目，初始值01n =； h ：开始时刻蠕虫所感染的主机数据，初始值1；

s ：感染蠕虫的主机在单位时间里扫描的平均主机数，初始值2；

d ：死亡率，即无补丁状态下主机蠕虫被清除的比率，初始值0.00002；

请选择一种当前流行的病毒或蠕虫,运用数学建模与仿真验证法,研究其传播规律,建立数学模型,并设计有效的仿真测试方法,验证理论模型和仿真测试结论之间的一致性。

p ：补丁率，即漏洞类主机打补丁成为修复类主机的比率，初始值0.000002； 根据感染特征可以将所有主机的状态划分为三类：1）易感类，存在有漏洞，且暂未被蠕虫感染的主机；2）感染类，存在漏洞，且已被蠕虫所感染的主机；3）修复类，该类主机不存在漏洞。通常将易感类和感染类的主机统称为漏洞类主机。

蠕虫爆发开始，主机的状态会有变化，易感类主机可以被蠕虫感染变为感染类主机；易感类主机和感染类主机都有一定的概率通过打补丁等手段变为修复类主机。模型假设这段时间为T ，则0n h =，01m N =-。单位时间内，蠕虫随机扫

描网络上主机的次数为i sn 。则对于一台特定的易感主机被感染的概率为

321(12)i sn ---。当时间间隔足够小时，可以不考虑这段时间内两个感染源同时攻击同一台主机的情况。又因为i 时刻，易感类主机的数目为i i m n -，因此，单位

时间内新感染的主机数目为32()[1(12)]i

sn i i m n ----。再考虑网络上主机的死亡率和补丁率，则有：

321(1)()[1(12)]i sn i i i i n d p n m n -+=--+---

而漏洞类主机的数目为：

1(1)i i m p m +=-

我们以2001年7月爆发的Code Red v2蠕虫为例，来分析我们的模型。互联网分析协会CAIDA 提供的仿真Code Red v2的实验结果如图1所示。采用我们的模型用Matlab 软件仿真Code Red v2蠕虫的传播过程如图2所示，可见我们的模型能够很好地模拟蠕虫的传播过程。

请选择一种当前流行的病毒或蠕虫,运用数学建模与仿真验证法,研究其传播规律,建立数学模型,并设计有效的仿真测试方法,验证理论模型和仿真测试结论之间的一致性。

Fig.1. CAIDA的仿真结果Fig.2. 本模型仿真结果图2中感染类主机数量在经过24小时后达到最大值，之后稍微有点下降，之所以出现这样的情况，除了有受补丁影响外，模型中感染主机也有一定的死亡率。另外，主机总量数目是固定的，扫描的地址空间也一直是32

2，后期蠕虫随机扫描感染新主机的数目少于通过补丁率和死亡率而造成感染类主机下降的数目，所以后期曲线有点下降。

参考文献

1. David Moore, Colleen Shannon. The Spread of the Code-Red Worm (CRv2). http://doc.guandang.net/research/security/code-red/coderedv2_analysis.xml

2. Craig Fosnock. Computer Worms: Past, Present and Future. East Carolina University, NC, USA, 2005

3. 文伟平，卿斯汉，蒋建春，等．网络蠕虫研究与发展［J］．软件学报，2004，15( 8): 1208-1219

4. Zesheng Chen, Lixin Gao, Kwiat Kevin．Modeling the spread of active worms［C］. INFOCOM 2003. Twenty-Second Annual Joint Conference of the IEEE Computer and Communications．2003: 1890-1900