摘 要: 电子邮件已经跃升为计算机病毒的最主要传播媒介,所以有必要对电子邮件病毒的传播行为进行深入研究。首先介绍了复杂网络的相关理论,特别阐述了其结构特性,在无标度网络模型的基础上仿真分析了电子邮件病毒的传播特性,并根据其传播特性揭示了电子邮件病毒预防和阻止的有效方式。
关键词: 无标度网络; 电子邮件病毒; 传播特性; 复杂网络
中图分类号: TN915.08⁃34 文献标识码: A 文章编号: 1004⁃373X(2013)07⁃0097⁃04
0 引 言
电子邮件病毒并非一种新型病毒,只是在其传播方式较为特别,它是通过用户发送电子邮件的形式在网络上进行传播,一旦某个电子邮件用户感染邮件病毒,用户的地址列表(地址簿)中用户就会可能被感染,尤其对于那些地址列表巨大的电子邮件用户中毒,病毒将会以惊人的速度(以秒计算)在互联网进行传播,波及范围更广,破坏性更大。
1991年,Kephart和White最早提出计算机病毒生物流行病学的传播模型。2003年,Zou,Towsley等人首次提出电子邮件病毒传播理论。2004年,Jintao Xiong给出了附件传输链的构造算法和电子邮件病毒检测模型。2006年袁华、陈国青提出了一种扩展的SEIR模型。2007年王长广、王方伟等人用无向图描述电子邮件网络的拓扑结构。2009年刘俊、邓清华等人提出了一种新的传播模型,并仿真了传播率、恢复率及网络的平均度
但是,以上研究存在的不足有以下几点:在建立病毒模型时,考虑病毒传播因素的影响较为狭窄;没有考虑到的非均匀性网络的病毒传播模型;未体现反病毒技术的严重滞后性;没有较好地考虑人的主观行为对病毒传播的影响。因此有必要分析模型的具体数学结果。
1 电子邮件网络的拓扑结构
可以将电子邮件用户间的相互关系构成的逻辑网络称为电子邮件网络,由于网络的拓扑结构对于研究病毒的传播特性有很大的影响,所以,首先应该考虑电子邮件网络的拓扑结构,而复杂网络理论研究的重点正是网络的拓扑结构。
复杂网络的发展实际上始于图论,Erdos和Renyi提出了随机网络模型。1998年6月, Watts和Strogatz引入了一种称为WS小世界网络的模型,网络中节点的度分布近似可以看作服从Poisson分布,而大量研究结果显示大部分真实网络的度分布服从幂律分布。1999年10月,Barabasi教授及其博士生Albert发表论文揭示了真实网络的无标度特性,建立了无标度网络模型[2]。
以gmail邮箱为例,一般用户的地址簿都较小,网络中大部分是这些小地址簿用户;而对于企业用户,如gmail的系统管理员,地址簿能达到几万甚至几十万,若这类用户感染了病毒,病毒副本会以巨大的数目传播出去,与普通用户相比,这类用户对网络的破坏性将是致命性的。这样的用户在网络中的比例通常会很小。为反映这种分布不均匀特性对病毒传播的影响,不妨定义电子邮件用户的地址簿大小为该用户(节点)的度,从而电子邮件用户之间通过用户地址簿会形成一个逻辑网络。因为根据近年来的研究,电子邮件网络服从幂率分布,具有无标度网络的性质。基于此,利用Barabási和Albert提出的算法来构造无标度网络模型来模拟电子邮件网络的拓扑结构[3]。
2 电子邮件病毒的传播模型
在Internet上,当邮件用户感染某个电子邮件病毒后,该病毒会以附件的形式将其发送给用户地址薄中的所有用户,若这些邻居用户接收到电子邮件病毒附件并激活它,这些用户将迅速成为中毒状态,如此下去,电子邮件病毒就会在整个网络中蔓延开来。通常在恶性电子邮件病毒爆发的早期,与之相应的杀毒技术不会很快出现,即用户没有杀毒技术支持,不能让计算机具有免疫功能。
假设电子邮件网络中的节点只存在中毒和健康两种状态,同时因为反病毒技术的严重滞后性,假设处于中毒状态的节点将永远保持中毒状态。只要中毒状态的电子邮件主机处于联网状态,该主机就存在传播病毒的可能性,并且存在着隐蔽性,为了简化模型,假定处于中毒的节点在某时刻往其邻居发送带毒邮件的概率为[p0],其为病毒传播概率。
当健康用户收到带毒邮件后,其打开附件染毒的概率为[pi],其具体值与用户的安全意识和病毒设计的蒙蔽性有关。根据文献[4]分析,电子邮件网络中所有节点打开附件的概率是与随机变量X相关,[X~Nμp,σ2p],同时,研究表明,同一用户打开所有附件的概率是恒定的。可事实上,如果用户第一次收到带毒邮件却没有染毒,那么该用户第二次收到类似的邮件时,其被染毒的概率一定比第一次要小。因此,认为用户打开带毒邮件的概率不是恒定不变而是逐渐减小的,而且其减小的幅度与其初始概率相关。初始概率越大,其警惕性越低,则越容易被染毒,其减少幅度越小;初始概率越小,其警惕性越高,则越不容易被感染,减少幅度越大。可以用下面的公式表示初始概率[p0]和减小幅度[di]的关系:
[di=1p0+δ]
式中:[δ]为用户警惕性因子,它表示在电子邮件网络中用户对病毒的警惕性程度,即安全意识水平。同时,[1p0]表示打开概率和减少幅度之间呈反比关系,也就是打开概率越大,说明警惕性差,自然减少程度就低,为反比关系。用户打开带毒邮件的概率会随着接收类似邮件次数的增加而减少。可以认为,每次都在上次基础上减少[di],由此,可以得到健康用户第k次收到带毒邮件时,打开带毒邮件的概率为:
[pk=p01-dik-1, k=0,1,2,3,…]
式中[p0]为初始概率。
3 电子邮件病毒传播的仿真
3.1 病毒感染速率[s]对病毒传播的影响
在前一节中,可以分析得到,健康用户打开恶意邮件中附件的概率将影响到病毒的传播,同时,中毒用户单位时间内发出的带毒邮件的数目t也将影响到病毒的传播速度。在此,可以定义病毒感染速率s的公式如下:
[si=pi×t]
初始[p0]的确定由文献中分析得到了,即与随机变量[X]相关,具体使用[X~N(0.5,0.32)]产生的随机变量,当[X]<0时,[X]取值为0;[X>1]时,[X]取值为1。用户的警惕性因子[δ]取30,因为用户一般具有稍强的安全意识。[T]的取值要考虑两方面的因素,一方面取决于用户的地址簿里的地址数量,第二方面要考虑到当前网络的速度,综合考虑这两方面的因素,经过研究发现,一般用户地址簿常用的联系人在10~100之间,而邮件的发送速度考虑到携带附件和网络拥堵可以取平均值为1封/min。最终,确定取[t]为均值20。
初始化网络, 首先建立BA无标度网络模型,设置初始的孤立点为10,模拟一般局域网办公环境的机器数量且便于计算,接下来加入新的节点,每加入一个节点即引入10条边,[t]=9 990,由于电子邮件网络是一个大规模网络,因为最终建立的网络中会达到[N]=10 000个节点,这样会使得仿真更接近实际情况。
仿真电子邮件病毒的传播,假定最初的10个节点都为中毒主机,取不同的[p0],利用打开带毒邮件概率的迭代公式,对每一个[p0]仿真20次并取其平均值,可以得到如图1所示的结果,从图1中可以看出,[p0]越大,病毒的传播速度越快,当[p0]=0.1时,病毒传播的速度基本上已经是直线上升。特别是网络中只有约70%的主机被感染,这主要是由于[p0]是由随即变量[X~N(0.5,0.32)]所产生,而且考虑到[p0]是随着用户接收到带毒邮件的次数而变小,因此网络中的节点不会全部被感染。同时,由于属于发散时传播,在大约5 min里,网络中的70%主机将会被感染,完成传播过程。
可以看出,电子邮件病毒传播非常的快,造成危害非常大,一旦开始传播,想要控制必须要第一时间及时地截断其传播的途径。
病毒感染速率对病毒传播的影响
3.2 用户警惕性因子[δ]对病毒传播的影响
用户警惕性因子[δ]表示健康用户在每接收到一次染毒邮件后,其[pk]至少要减少[δ]个百分点。 所以,实际上,[δ]表示了电子邮件网络中用户安全意识的平均水平,显然,[δ]越大,网络中的该健康主机的安全意识越高,传播病毒造成的影响越小。选择不同的[δ]值,对每个[δ]进行20次仿真试验,再求得平均值,
[δ]对病毒传播的影响
从实验结果可以看出,用户安全意识的增加对于减少病毒的感染范围有很明显的作用,但是,必须看到,增大用户警惕性因子[δ]对病毒的传播速度影响并不大,当[δ]取不同值时,病毒完成传播的时间基本上是一致的,可以说没有差别。这也就是为什么目前电子邮件用户的安全意识比网络初期有明显提高,各种警惕性提示也日益全面和增加,而电子邮件病毒的传播依然如此快速。可见,电子邮件病毒的传播控制,想要单一通过提高用户警惕性是不够的,还要采用其他的防毒措施来减少和减缓病毒的传播,最终达到控制电子邮件病毒传播的目的。
3.3 网络拓扑结构对电子邮件病毒传播的影响
为了研究影响电子邮件病毒传播的因素,上述的仿真实验都是在无标度网络模型下进行的,实际电子邮件网络的拓扑结构应该是更加复杂和多元化的,因此,在ER随即图、小世界网络、无标度网络这三种结构中分别研究电子邮件病毒的传播情况。
假使这三个网络都按照10 000个节点来构造,而网络中的平均度6,在这三种拓扑结构下分别进行20次仿真取平均值,
中可以看出,电子邮件病毒的传播速度在无标度网络模型中比其他两种网络的传播速度明显要快。该现象与Pastor等人基于传统的SIS病毒传播模型进行的对比研究的结果相符,也就是无标度网络更易于传播病毒[5]。分析其原因,主要是因为无标度网络中节点度分布的不均匀,少量节点的度非常大,导致其具有很强的随机故障的鲁棒性,同时具有很差的恶意攻击的鲁棒性。通过观察具体的仿真过程,可以发现:
(1)电子邮件病毒在传播过程中会首先感染节点度大的节点。因为这类节点具有更多的连接,被病毒感染的机会更大。
(2)节点度大的节点在染毒后会成为病毒的重要传播源,加快病毒传播的进程。同样是因为该类节点具有更多的连接,传播速度更快。
4 电子邮件病毒的监控与防御
电子邮件病毒传播速度如此迅速,破坏范围如此之广,因为实际上各大杀毒软件公司都在其产品中加入了对电子邮件安全的支持。在上一节研究电子邮件病毒传播影响因素的基础上,可以认为,首先病毒传播速度非常的快,采用延迟处理的方式可以减缓其传播速度,这种方式配合及时更新电子邮件软件的病毒库,可以起到一定的效果[6]。
另外,由于用户自身的安全意识对电子邮件病毒传播速度影响很小,因此不能把电子邮件病毒的防御依赖于对用户的安全意识普及,但是可以想到,鉴于其对电子邮件病毒传播范围的影响,如果当电子邮件网络中的所有用户都具有了很强的警惕性,电子邮件病毒的传播范围势必会大大缩小,危害也会降到很低,所以,还是需要通过各类各种途径来进行电子邮件安全使用方法的强调,同时,由于电子邮件病毒依靠附件传递的这种鲜明特征,也使得其安全普及变得相对容易,其就是注意不要打开来历不明的电子邮件附件。
在网络拓扑结构的影响分析中,观察看了网络中度较大的节点在病毒的传播过程中起着非常重要的作用,这种重要性随着其度值的增大而增大,因此,对电子邮件病毒的监控与防御应该主要针对这些具有较大度的节点进行。
对于这些具有较大度的节点,按照其值由大到小进行如下的监控和安全防预措施:安装优秀的电子邮件杀毒软件,延缓该节点邮件的发出,给病毒库的更新提供一个缓冲时间,并第一时间更新病毒库,对节点收到的每一封信件进行查毒,积极的监控该节点,当发现染毒邮件,立即进行删除,阻止其进一步传播,由于度值大的节点的关键性作用,可以对病毒的控制起到很好的作用,同时,对该病毒的特征进行病毒库的更新上传,增加其他关键节点发现以及阻止该类电子邮件病毒传播的可能,或是使得其尽快发现其染毒的状态,进行相应的处理,从而最大程度地阻断或是减缓病毒的传播。若监控发节点已经染毒,需要立即强制其离线,这样就切断了病毒的重要感染源,能够在病毒传播的早期遏制病毒,保护了网络中的大部分节点。
5 结 论
由于电子邮件的广泛使用以及电子邮件病毒不需要搜索目标主机就可以进行传播,给传统的其他计算机病毒相比,它的传播速度更快,危害也更大。因此对电子邮件病毒的监控和防御显得愈发重要。
本文首先分析了电子邮件病毒的特点,概述了电子邮件病毒的研究现状和背景。提出利用复杂网络中的无标度网络来模拟电子邮件网络的拓扑结构,并在前人研究的基础上建立了电子邮件病毒的传播模型。接下来进行了模型的仿真,并分别进行实验,研究了病毒感染速率、用户警惕性因子以及网络拓扑结构对电子邮件病毒的影响。得到了无标度网络更易于电子邮件病毒传播的结论,同时,用户对于电子邮件病毒的警惕性增加只能减少其病毒感染范围,但是不能减缓病毒的传播速度。
由于无标度网络的传播特性,本文提出了监控和防御电子邮件病毒的思路和方法,利用无标度网络中具有较大度的节点在电子邮件病毒传播过程中的关键性作用,针对这类节点进行相关的防御和安全部署。该方法目前还处于方案提出阶段,在具体实际应用中还是需要进一步具体和细化,在实践中验证其效果。
参考文献
[1] 史明江.复杂网络中的病毒传播研究[D].上海:上海交通大学,2007.
[2] 汪小帆,李翔,陈关荣,等.复杂网络理论及其应用[M].北京:清华大学出版社,2006.
[3] XIA Cheng⁃yi, LIU Zhong⁃xin, CHEN Zeng⁃qiang, et al. Epidemicspreading behavior in local⁃world evolving network [J]. Progress in Natural Science, 2008, 18(6): 763⁃768.
[4] PASTOR⁃SATORRAS R, VESPIGNANI A. Epidemic spreading in scale⁃freenetworks [J]. Phys. Rev. Letters,2001, 86(14): 3200⁃3203.
[5] KONDAKCI S. Epidemic state analysis of computers under malware attacks [J]. Simulation Modeling Practice and Theory, 2008,16(5): 571⁃584.
[6] 周雅夫,马力,董洛兵.基于SMW理论提取复合关键字系统的设计与实现[J].西安邮电学院学报,2007(5):82⁃85.