基于鏡像蜜罐的USB病毒傳播動力學研究

李漢倫, 任建國

(江蘇師范大學 計算機科學與技術學院,江蘇 徐州 221116)

0 引言

由于存儲和交換數據的便利,U盤、移動硬盤等USB(universal serial bus)設備成為除網絡外,傳播計算機病毒的另一種主要載體.移動介質傳播的USB病毒通過攻擊計算機,達到數據泄露、機密竊取、文件篡改等非法目的[1-2].由于好奇心或缺乏安全意識等因素,人們有時會使用來路不明的移動介質[3],這增加了個人計算機和學校、企業等公用場所中計算機之間的交叉感染風險,使得病毒傳播的速度更快、范圍更廣[4].

目前,研究人員通過建立數學模型研究移動介質對病毒傳播行為的影響,如文獻[5]為了研究良性蠕蟲對惡意蠕蟲的抑制作用,在易感—感染—免疫(susceptible-infected-recovered,SIR)模型[6-8]的基礎上,建立了考慮移動介質和良性蠕蟲的病毒傳播模型,并重點關注與移動介質相關的參數對蠕蟲傳播的影響;文獻[9]建立了外部計算機和移動介質兩者同時影響計算機病毒傳播的模型,得出模型僅有一個病毒平衡點,且地方病始終存在的結論;文獻[10]根據反病毒軟件的更新狀態,把未感染的計算機分為弱保護狀態和強保護狀態,并研究它在移動介質影響下的傳播規律,最后總結出用戶意識對抑制病毒的傳播起到關鍵作用;文獻[11]通過在易感—感染—損毀(susceptible-infected-damaged,SIP)模型中加入移動介質的2種狀態,對Stuxnet病毒的傳播進行研究,并通過參數的討論提出控制策略;文獻[12]的模型同時考慮了網絡拓撲結構和移動介質,在復雜網絡環境下建立了更接近實際的病毒傳播模型,結論指出,移動介質對病毒的傳播行為具有重要影響;文獻[13-14]在考慮網絡拓撲結構的同時,建立了利用蜜罐對抗計算機病毒的倉室模型.用移動介質作為媒介進行病毒傳播的研究雖然取得了一定進展,但在模型適用范圍的討論上還存在一定不足:一是忽略USB病毒與一般網絡病毒在傳播方式上的不同[15];二是未考慮系統中不同類型的主機與移動介質接觸頻率不同,主機被感染的概率也是不同的;三是移動介質從感染狀態到易感狀態的轉化過于簡單,不能反映使用者主觀行為、反病毒策略和硬件環境與它之間的關系.

針對上述研究不足,受文獻[13-14]在模型中引入蜜罐節點對抗病毒的啟發,結合文獻[15]提出的鏡像蜜罐技術,建立同時考慮鏡像蜜罐和網絡拓撲結構的病毒傳播模型.鏡像蜜罐解決了現有網絡檢測方法對USB病毒無效的問題,本文的模型把鏡像蜜罐作為獨立倉室,為研究抑制USB病毒傳播提供了參考依據.

1 模型構建

模型的建立需要考慮移動存儲介質病毒的傳播方式、鏡像蜜罐的反病毒原理、移動介質使用者的行為習慣和網絡拓撲結構.先根據與移動介質接觸頻率的不同,將網絡中的計算機節點分為個體節點和公用節點.個體節點通常是網絡中的個人計算機,此類節點與移動介質的接觸頻率較小并且在統一管理和部署鏡像蜜罐上存在一定困難,而公用節點多存在于學校的打印室、多媒體教室、圖書館和機房等公共場所,這類節點通常存在多個USB接口,與不同移動介質的接觸頻率遠大于個體節點,并且易由技術人員進行集中管理.當公用節點被感染了USB病毒的移動介質感染后,鏡像蜜罐隨即捕獲到病毒樣本并將它保存在鏡像文件中,同時將計算機中的病毒清除,防止進一步感染其他移動介質.鏡像文件中存有病毒樣本的公用節點稱為捕獲節點.與網絡蜜罐類似,鏡像蜜罐捕獲到病毒樣本后通過發布免疫信息使個體進入免疫狀態[13].免疫信息的反饋需個體節點和公用節點之間進行直接的數據通信來完成,而節點之間的均勻接觸不足以反映實際網絡的通信情況,因此,利用平均場理論建立考慮度分布非均勻的USB病毒傳播模型.

通過以上分析,對模型作以下關鍵假設:

1)由個體節點和公用節點組成的網絡為非均勻網絡,且節點之間的連接不具有度相關性,度分布服從冪指數為σ的冪律分布p(k)～k-σ,p(k)表示在網絡中隨機選取的節點度為k的概率.令Δ表示節點度的最大值,個體節點和公用節點的平均度為

易感或感染個體節點的一條邊連接到捕獲節點的概率為

2)個體節點均未部署鏡像蜜罐,根據狀態的不同,分為3類節點:易感節點、感染節點、免疫節點.

3)公用節點均部署了鏡像蜜罐,根據狀態的不同,分為2類節點:易感節點和捕獲節點.

4)移動介質根據狀態的不同分為2類節點:易感節點和感染節點.USB病毒僅通過移動介質在個體節點之間傳播,傳播模式為“移動介質—計算機—移動介質”.

5)公用節點被移動介質感染后,鏡像蜜罐必定能捕獲到病毒樣本,且捕獲后鏡像蜜罐立即清除病毒,避免進一步感染其他移動介質.

模型中變量和參數的定義如表1所示.

節點、移動介質的狀態(用節點、移動介質的密度表示,下同)轉化關系如下:

Sm→Im,易感移動介質與感染個體節點接觸,被病毒感染.

Im→Sm,感染移動介質與公用節點接觸,病毒被鏡像蜜罐識別,采取某種殺毒措施將移動介質中的病毒清除.由于移動介質不具有免疫能力,因此,病毒被清除后仍處于易感狀態.

模型各個狀態之間的轉化示意圖見圖1.

圖中的圓框表示節點所處的狀態,箭頭線表示節點狀態的轉化方向,箭頭線上的符號表示狀態轉換參數.圖1 模型的狀態轉化示意圖Fig.1 State transition diagram of model

模型的微分動力學方程[13]如下:

(1)

1.1 模型動力學分析

Nm(t)=Sm(t)+Im(t),

對系統(1)進行化簡,可以得到如下子系統:

(2)

系統(2)的可行域為

該集合為系統(2)的正不變集.

由平衡點存在的條件,得到系統(2)唯一的無病平衡點

有

由此得到(2Δ+1)×(2Δ+1)階的再生矩陣

通過計算FV-1的最大特征值,得到其譜半徑ρ(FV-1)的數學表達式,因此,系統(2)的基本再生數

在流行病學中,基本再生數是決定病毒是否流行的傳播閾值,本文所討論的模型中,它表示單個的感染個體節點和感染移動介質在移出感染狀態之前所能感染的易感個體節點和易感移動介質的數量.當R0<1時,被感染節點(包括系統(2)中被感染的個體節點、捕獲節點和被感染的移動介質)的數量逐漸趨于0,即病毒最終會從計算機和移動介質中消失;當R0>1時,被感染節點的數量逐漸趨于正的常量,即病毒會始終存在于計算機和移動介質中.由于病毒不直接通過網絡在計算機之間進行傳播,病毒流行與否不受網絡拓撲結構的直接影響,因此,在預測病毒的爆發和制定應對措施時應重點關注模型中2類感染率(從移動介質到計算機的感染率和從計算機到移動介質的感染率)和移動介質上的病毒清除率.除USB病毒本身的特性外,感染率β1還和移動介質使用者對陌生移動介質的使用率有關,β2則與移動介質使用者的使用范圍有關.

1.2 平衡點的穩定性

定理1當R0<1時,系統(2)的無病平衡點E0在Ω上局部漸近穩定;R0>1時不穩定.

證系統(2)在無病平衡點E0處的Jacobian矩陣為

(3)

其中

L1=diag(-μ1,…,-μ1),

L2=diag(-μ2,…,-μ2),

矩陣(3)的特征多項式為

該式有2Δ重具有負實部的特征根-μ1,Δ重具有負實部的特征根-μ2和特征根

其中

2 仿真分析

為驗證系統的理論分析結果和更好地觀察病毒的傳播規律,我們在Intel Core i3-10110U CPU、主頻2.1 GHz、內存4 GB,Windows 10操作系統環境下,采用MATLAB R2020a平臺進行仿真實驗,并假定系統所有參數的取值為正的常量.實驗重點關注個體節點和移動介質在各參數影響下的感染情況,其中涉及的參數取值情況見表2.

易知,在服從冪指數為2.4、網絡最大度為20的冪律分布網絡中,經計算,由個體節點和公用節點所組成的網絡平均度為2.36.此外,為了便于觀察網絡拓撲結構對不同度值的個體節點密度隨時間演變的影響,假設系統不同度值的公用節點和個體節點的初始值均相同.

表2 實驗的參數設置Tab.2 Setting of experimental parameters

首先,研究個體感染節點、捕獲節點和感染移動介質的密度隨時間的整體演變趨勢.當系統各參數取表2所示的值時,傳播閾值R0=0.57<1,因此,只要經過足夠長的時間,病毒將從個體節點和移動介質中徹底消失,圖2a驗證了這一點.此外,由R0表達式知,病毒最終是否會消失不受移動介質更換率的影響.接著,取γ=0.01,其他參數同表2,此時R0=1.38>1,病毒將持續存在于個體節點和移動介質中,由圖2b可以看出,在大幅降低移動介質上的病毒清除率后,感染個體節點和感染移動介質密度在短暫增加后仍出現大幅減少趨勢,表明此狀況下病毒雖然會一直存在于個體節點和移動介質中,但短時間內病毒的傳播得到了較好的抑制.為進一步研究其他因素對病毒爆發的影響,在其他參數與表2一致的情況下,取γ=0.01、μ3=0.02,此時R0=5.33>1,由圖2c可以看出,感染移動介質的密度在短暫的下降后又迅速提高并穩定在某個值上,原因是系統前期只有少量的感染個體節點,此時感染移動介質的減少速度大于被感染個體節點新感染的移動介質的增加速度,但隨著感染個體節點密度的不斷提高,被新感染的移動介質的增加速度超過了減少速度,因此感染移動介質的密度出現上升趨勢.

為研究β1和β32類感染率對感染個體節點密度變化影響的異同,將β1和β3分別取一組相同的值,其他參數取值同表2.從圖3可以看出,2類感染率在取值相同的情況下,感染個體節點的變化趨勢是有差別的.圖3a、b中不同感染率取值下的感染個體節點密度幾乎均在t=4.57 h時達到峰值;不同的是,β1取不同數值時,感染個體節點的密度幾乎在同一時刻達到不同的峰值(圖3a),而β3取不同數值時,感染個體節點密度幾乎在同一時刻達到非常接近的峰值(圖3b).

圖3 2類感染率下感染節點密度隨時間的演變Fig.3 Evolution of infection node density with time under two different infection rates

圖4中,μ3=0.02,其他參數取值同表2.圖像顯示了在移動介質的更換率和病毒清除率同時取相對較小值的情況下,通過提高病毒清除率后的感染個體節點和感染移動介質密度變化曲線.t相同時,Ip(t)、Cn(t)越大,對應的γ越小,即越是上面的曲線對應的γ取值越小.因此,通過提高移動介質的病毒清除率,病毒在移動介質中的傳播得到了明顯的抑制,同時間接減少了個體節點的感染規模,即通過技術手段提高移動介質的病毒清除率以及提高使用者對移動介質的殺毒意識可以充分發揮鏡像蜜罐的作用,從而對病毒的傳播起到更好的控制效果[17].圖5中,μ3=0.02、γ=0.01,其他參數取值同表2.圖像顯示了不同的反饋率對病毒抑制的效果,越是居上的曲線對應的η值越大.與圖4相同之處在于通過提高反饋率同樣可以減少感染的個體節點和移動介質,不同的是,與圖4b相比,在不同反饋率的作用下,圖5的感染移動介質密度幾乎以相同的速度下降到極為接近的最小值,然后才以不同的速度迅速遞增,因此,在相同條件下,病毒清除率的提高對抑制病毒傳播的效果更為明顯.

圖6中,γ=0.01、μ3=0.02,其他參數取值同表2.圖像顯示了網絡拓撲結構對鏡像蜜罐反饋免疫信息效用的影響,可以看出,圖6a中越是上面的曲線對應的度值越小,圖6b中越是上面的曲線對應的冪指數越大,因此,度大的個體節點比度小的更易接收到免疫信息,而網絡的冪指數越小,被感染的個體節點就越少.由于反饋率η并不影響基本再生數的值,而節點度值和冪指數的改變僅能影響免疫信息的反饋效果,因此,在該模型中病毒的傳播行為受網絡拓撲結構的影響較小.

圖4 不同病毒清除率γ下感染節點密度隨時間的演變Fig.4 Evolution of infected node densitiy with time under different virus clearance γ

圖5 不同反饋率η下感染節點密度隨時間的演變Fig.5 Evolution of infected node density with time under different feedback rates η

圖6 網絡拓撲結構對感染個體節點密度演變的影響Fig.6 Influence of network topology on evolution of infected individual node density

3 結論

由于缺乏統一和有效的管理及防御措施,目前對僅通過移動介質進行傳播的USB病毒的相關研究較少,并缺少相應的數學模型和仿真實驗可供參考.從移動介質使用者行為習慣角度出發,構建一類防御此類病毒的新穎模型,通過模型的動力學分析并對影響USB病毒傳播行為的幾個重要參數進行仿真,得到如下具有現實意義的結論:

1)當感染率一定時,移動介質的更換率和病毒清除率同時較低時,系統的感染情況最為嚴重,此時鏡像蜜罐難以發揮作用.通過提高使用者清除病毒的主動性和科學性,避免感染了病毒的移動介質長期且大范圍地在個體節點之間使用.

2)從移動介質到個體節點的感染率和從個體節點到移動介質的感染率對病毒傳播行為的影響是不同的,感染個體節點的密度受前者的取值變化影響較大,通過限制或減少對陌生移動介質的使用可以減小其值.

3)USB病毒的傳播行為受網絡拓撲結構的影響較小,受USB病毒傳播特性和移動介質使用者的主觀行為影響較大.