Internet网络中的蠕虫病毒扩散传播模型
1 简单传播模型
在简单传播模型(Simple Epidemic Model)中,每台主机保持两种状态:易感染和被感染。易感个体(Susceptible)是未染病但与已感染的个体接触会被感染的一类;另一类为感染个体(Infective),这类个体已染病且其具有传染性。假定一台主机一旦被感染就始终保持被感染的状态。其状态转换关系可表示为:
由此可见这种模型的蠕虫传播速度是由初始感染数量I(0)和主机感染率这两
个参数决定的。其微分方程表达式为
dI(t)/dt=βI(t)[N-I(t)]
其中I(t)为时刻t 已被感染的主机数;N为网络中主机总数;β 为时刻t 的感染率。当t=0 时,I(0)为已感染的主机数,N-I(0)为易感染主机数。
取节点数N=10000000,感染概率因子为β=1/10000000,即K=βN=1,当蠕虫繁殖副本数量I(0)=3 时,仿真结果如图3-2 所示,横坐标为传播时间,纵坐标为整个网络被感染的百分比。
此模型能反映网络蠕虫传播初期的传播行为,但不适应网络蠕虫后期的传播状态。此外,其模型过于简单,没有体现蠕虫扫描策略和网络特性对蠕虫传播所产生的影响。
2 KM 模型
在Kermack-Mckendrick 传播模型(简称KM 模型)中,主机保持 3 种状态:易感染、被感染和免疫。用状态转换关系表示为:
对感染节点进行免疫处理,是指把此节点从整个网络中去除。因为,每当对一台主机进行免疫处理,网络节点总数在原有基础上减1,最终将使得所有被感染的主机数量减少到0,也就是所有的主机最终都将处于免疫状态。KM 模型的微分方程表达式为:
dJ(t)/dt=βJ(t)[N-J(t)]
dR(t)/dt=γI(t)
J(t) = I(t)+R(t)=N-S(t)
KM 模型将感染主机的免疫状态考虑进去,进一步接近了蠕虫传播的情况。该模型仍然没有考虑易感染主机和感染主机被补丁升级或人为对抗蠕虫传播的情况另外,把感染率作为常量也是不恰当的。
3 SIR 模型
与KM 模型不同,SIR (Susceptible- hafective- Removed)模型将状态分为易染、己染和移除三个状态。第三类为康复个体(Recovered),这类个体已康复,不具有传染性而且不会再被感染。SIR 模型其状态转换关系如下图所示。
SIR 模型在SI 模型的基础上考虑到了某些感染主机可能在一定时间后被移除或者死机的因素。可用来描述不具有二次感染性的攻击蠕虫,然而对被修复后依然没有修补漏洞,对攻击依然无免疫能力的蠕虫,用此模型则不恰当。
因此,该模型仍然不太适合描述Internet 蠕虫的传播特性,特别是人的防范措施可能不仅仅把感染主机从网络中移除,也可能包括易染主机。此外,把感染率看作常量也不尽符合快速蠕虫的传播特性。
4 双因素模型(Two-Factor model)
考虑了更多的外界的影响因素和对抗措施:各ISP 节点或用户的对抗措施;蠕虫快速传播导致一些路由器阻塞,从而降低了其传播速度。即人为的升级系统,启动防火墙,清除主机蠕虫限制其快速传播和蠕虫传播过程中产生的流量影响正常网络访问的同时对自身的传播也起到限制的作用。
上图是其状态转换关系。其中,R(t)表示时刻t 感染后被免疫的hosts 数,Q(t)表示时刻t 被感染前进行免疫处理的主机数,(t)表示时刻t 易被感染的主机数,I(t)表示具有感染能力的主机数。
双因素模型可以用下面的微分方程组表示:
dR(t)/dt=γI(t) (1)
dQ(t)/dt=μ(t)J(t) (2)
d (t)/dt=-β(t) (t) I(t)- dQ(t)/d(3)
β(t)= β0[1-I(t)/N]η(4)
N=S(t)+ R(t)+I(t)+ Q(t)(5)
其中,γ、μ和β0是常量。式(2)中是单位时间内从易感染状态变化到免疫状态的主机数目的变化速率,它与感染主机数和易感主机数成正比,体现了人为因素使得易感主机被移出扩散过程。由于主机的动态移入和死亡,但处于扩散过程中的主机总数是常数,用N 表示,是处于S,I,R,Q 四种状态的主机数之和。
5 W orm-Anti-W orm 模型
该模型考虑网络中存在两类蠕虫,蠕虫 A 为恶意蠕虫,蠕虫 B 为对抗蠕虫。我们把蠕虫A 的传播分为两个阶段。在蠕虫B 出现之前,蠕虫 A 的传播行为遵循双因素模型。当蠕虫B 出现以后,网络中蠕虫 A 的传播分为 4 种情况:蠕虫 B 查杀蠕虫 A 并为感染主机修补漏洞;蠕虫 B 只查杀蠕虫A;蠕虫B 对所有的易感主机修补漏洞;蠕虫 B 对所有的易感主机修补漏洞,并查杀蠕虫A。
在情况 1 下,蠕虫 B 只寻找已感染主机,在情况2 下,蠕虫 B 寻找所有易感主机。情况 3 基本遵循KM 模型,此时易感主机的免疫速度比没有蠕虫B 时快得多。情况 4 遵循SIS 模型,情况 4 是对双因素模型对抗措施影响的补充。以情况1为例来讨论,网络中主机的状态转换图如图3-8 所示。
由攻击性蠕虫A 的传播引起网络中易感染主机数目S(t)变化,从时刻t 到时刻t+Δt 这段时间的改变量为:
d (t)/dt=-β(t) (t) I(t)- dQ(t)/dt (1)
在上式中,对于蠕虫 B 来说,S(t)是t 时刻的所有易感主机,并且网络中主机只存在易感染和感染两种状态。因此,蠕虫B 的传播行为应遵从SEM 模型,方程式3-5 给出了感染主机的变化。dR
B(t)/dt =β1RB(t)[ S(t)- RB(t)](2)
其中,RB(t)是t 时刻蠕虫B修复的主机数目。因此其微分方程模型可表达如下:
dR(t)/dt=γI(t)+ dRB(t)/dt
dQ(t)/dt=μ(t)J(t)d (t)/dt=-β(t) (t) I(t)- dQ(t)/dt- dRB(t) /dt (3)
β(t)= β0[1-I(t)/N]η
N=S(t)+ R(t)+I(t)+ Q(t)
dRB(t)/dt =β1RB(t)[ S(t)- RB(t)]
WA W 模型中网络蠕虫的传播趋势
研究生课程论文 蠕虫病毒的特征与防治 摘要 随着网络的发展,以网络传播的蠕虫病毒利用网络全球互联的优势和计算机系统及网络系统安全性上的漏洞,己经成为计算机系统安全的一大的威胁。采用网络传播的蠕虫病毒与传统的计算机病毒在很多方面都有许多不同的新特点。本文对蠕虫病毒的特征和防御策略进行了研究,透彻分析了几个流行的蠕虫病毒的本质特征和传播手段,并提出了防治未知病毒以及变形病毒的解决方案与虚拟机相结合的基于攻击行为的着色判决PN机蠕虫检测方法。 关键词: 蠕虫,病毒特征,病毒防治
1引言 “蠕虫”这个生物学名词于1982年由Xerox PARC的John F. Shoeh等人最早引入计算机领域,并给出了计算机蠕虫的两个最基本的特征:“可以从一台计算机移动到另一台计算机”和“可以自我复制”。最初,他们编写蠕虫的目的是做分布式计算的模型试验。1988年Morris蠕虫爆发后,Eugene H. Spafford为了区分蠕虫和病毒,给出了蠕虫的技术角度的定义。“计算机蠕虫可以独立运行,并能把自身的一个包含所有功能的版本传播到另外的计算机上。”计算机蠕虫和计算机病毒都具有传染性和复制功能,这两个主要特性上的一致,导致二者之间是非常难区分的。近年来,越来越多的病毒采取了蠕虫技术来达到其在网络上迅速感染的目的。因而,“蠕虫”本身只是“计算机病毒”利用的一种技术手段[1]。 2蠕虫病毒的特征及传播 1、一般特征: (1)独立个体,单独运行; (2)大部分利用操作系统和应用程序的漏洞主动进行攻击; (3)传播方式多样; (4)造成网络拥塞,消耗系统资源; (5)制作技术与传统的病毒不同,与黑客技术相结合。 2、病毒与蠕虫的区别 (l)存在形式上病毒寄生在某个文件上,而蠕虫是作为独立的个体而存在;
蠕虫的行为特征描述和工作原理分析* 郑辉** 李冠一 涂菶生 (南开大学 20-333# ,天津,300071) E-mail: zhenghui@https://www.doczj.com/doc/6a13721047.html, https://www.doczj.com/doc/6a13721047.html,/students/doctor/spark/zhenghui.htm 摘要:本文详细讨论了计算机蠕虫和计算机病毒的异同,指出它们除了在复制和传染方面具有相似性之外,还有很多不同点,如蠕虫主要以计算机为攻击目标,病毒主 要以文件系统为攻击目标;蠕虫具有主动攻击特性,而病毒在传播时需要计算机 使用者的触发。通过详细区分它们的不同行为特征,确定了在计算机网络安全防 范体系中不同角色的责任。然后描述了蠕虫发展的历史,从中可以看到,蠕虫产 生了越来越大的危害。通过分析计算机蠕虫的工作原理、功能结构、实体组成, 提出了蠕虫的统一功能结构模型,并给出了有针对性的对计算机蠕虫攻击进行防 范的措施。最后本文分析了一些新的蠕虫技术发展趋势,指出计算机蠕虫本质上 是黑客入侵行为的自动化,更多的黑客技术将被用到蠕虫编写当中来,由此可以 看出对蠕虫攻击的防治和对抗将是长期而困难的工作。 关键词:蠕虫,计算机病毒,计算机网络安全,蠕虫定义,蠕虫历史,行为特征,功能模型 一、 引言 计算机病毒给世界范围内的计算机系统带来了不可估量的危害,给人们留下了深刻的印象。同时给人们一种误解,认为危害计算机的程序就是病毒。从而不加区分把计算机病毒(Virus)、计算机蠕虫(Worm)、木马程序(Trojan Horse)、后门程序(Backdoor)、逻辑炸弹(Logic Bomb)等等这些概念都称为计算机病毒。这种误解不仅体现在媒体的宣传中,而且体现在病毒技术研究人员的文章[1][2]中,反病毒厂商对产品的介绍说明中,甚至政府部门制定的法律法规[3]当中。这种相近概念上的误解导致不能有效的给出针对不同类型危害计算机安全的程序的有效防治措施,也为整体的计算机安全防护带来了一定困难。另外,同一程序的不同分类也不利于对其性质的进一步研究和分析。 计算机病毒和计算机蠕虫在传播、复制等特性上非常相似,尤其容易造成人们的误解。导致误解的原因有很多,一方面由于反病毒技术人员自身知识的限制,无法对这两种程序进行清楚细致的区分;另一方面虽然病毒的命名有一定的规范[4][5],但病毒编写者在为自己的程序起名字的时候并不一定遵循这个规范,利用网络功能如电子邮件进行传播的病毒常常被病毒编写者冠以蠕虫的名字,这也给人们带来一些误导。为了照顾这种病毒的命名,曾有文献试图将蠕虫细分为活动蠕虫和邮件蠕虫[6]。由于用计算机病毒这个称谓不能涵盖所有危害计算机的程序的特征,而且容易产生误导,所以有的文献采用了含义更广泛的称谓“恶意软件”(malware)[7]来统一称呼它们。从蠕虫产生开始,十几年来,很多研究人员对蠕 *高等学校博士点学科点专项科研基金资助课题(编号:2000005516)。 **作者简介:郑辉(1972~),男,吉林伊通人,博士研究生,主要研究领域为网络与信息安全。李冠一(1978~),女,辽宁鞍山人,硕士研究生,主要研究领域为模式识别,计算机视觉与图像处理等。涂奉生(1937~),江西南昌人,博士生导师,主要研究领域为CIMS, DEDS理论,制造系统及通讯理论。
第五章 微 分 方 程 模 型 如果实际对象的某特性是随时间(或空间)变化的,那么分析它的变化规律,预测它的未来性态时,通常要建立此实际对象的动态模型,这就是微分方程模型. §1 传 染 病 模 型 建立传染病的数学模型来描述传染病的传播过程,分析受感染人数的变化规律,预报传染病高潮的到来等,一直是各国有关专家和官员关注的课题. 考虑某地区的传染病的传染情况,设该地区人口总数为N ,既不考虑生死,也不考虑迁移,时间以天为计量单位. 一. SI 模 型 假设条件: 1. 人群分为易感染者(Susceptible )和已感染者(Infective )两类人,简称为健康人 和病人,在时刻t 这两类人在总人数中所占比例分别记作()t s 和()t i . 2. 每个病人每天有效接触的平均人数是λ(常数),λ称为日接触率,当病人与健康 人有效接触时,使健康者受感染变为病人. 试建立描述()t i 变化的数学模型. 解: ()()1=+t i t s ()()N N t i N t s =+∴ 由假设2知,每个病人每天可使()t s λ个健康者变为病人,又由于病人数为 ()t i N ,∴每天共有()()t i N t s λ个健康人被感染. 于是i s N λ就是病人数i N 的增加率,即有 i s N dt di N λ= (1)
i s dt di λ=∴ 而1=+i s . 又记初始时刻(0=t )病人的比例为0i ,则 ()()?????=-=0 01i i i i dt di λ 这就是Logistic 模型,其解为 ()t e i t i λ-??? ? ??-+= 11110 [结果分析] 作出()t t i ~和i dt di ~的图形如下: 1. 当2 1=i 时,dt di 取到最大值m dt di ?? ? ??,此时刻为 ??? ? ??-=-11ln 01i t m λ 2. 当∞→t 时,1→i 即所有人终将被传染,全变为病人(这是不实际的). 二. SIS 模 型 在前面假设1、2之下,再考虑病人可以医治,并且有些传染病如伤风、痢疾等愈后免疫力很低,可以假定无免疫性,于是病人被治愈后变成健康者,健康者还可以被感染再变成病人,此模型称SIS 模型.
传染病的传播 摘要:本文先根据材料提供的数据建立了指数模型,并且全面地评价了该模型的合理性与实用性。而后对模型与数据做了较为扼要地分析了指数模型的不妥之处。并在对问题进行较为全面评价的基础上引入更为全面合理的假设和建立系统分析模型。运用联立微分方程组体现疫情发展过程中各类人的内在因果联系,并在此基础上建立方程求解算法结合
MATLAB 编程(程序在附件二)拟合出与实际较为符合的曲线并进行了疫情预测。同时运用双线性函数模型对卫生部的措施进行了评价并给出建议以及指出建立一个真正能够预测以及能为预防和控制提供可靠、足够的信息的模型,这样做的困难本文的最后,通过本次建模过程中的切身体会,说明建立如SARS 预测模型之类的传染病预测模型的重要意义。 关键词:微分方程 SARS 数学模型 感染率 1问题的重述 SARS (Severe Acute Respiratory Syndrome ,严重急性呼吸道综合症, 俗称:非典型肺炎)是21世纪第一个在世界范围内传播的传染病。SARS 的爆发和蔓延给我国的经济发展和人民生活带来了很大影响,我们从中得到了许多重要的经验和教训,认识到定量地研究传染病的传播规律、为预测和控制传染病蔓延创造条件的重要性。请你们对SARS 的传播建立数学模型,具体要求如下: 1)建立传染病传播的指数模型,评价其合理性和实用性。 2)建立你们自己的模型,说明为什么优于指数模型;特别要说明怎样才能建立一个真正能够预测以及能为预防和控制提供可靠、足够的信息的模型,这样做的困难在哪里?对于卫生部门所采取的措施做出评论,如:提前或延后5天采取严格的隔离措施,对疫情传播所造成的影响做出估计。附件1提供的数据供参考。 3)说明建立传染病数学模型的重要性。 2 定义与符号说明 N …………………………………表示为SARS 病人的总数; K (感染率)……………………表示为平均每天每人的传染他人的人数; L …………………………………表示为每个病人可能传染他人的天数; dt d N(t)………………………… 表示为每天(单位时间)发病人数; N(t)-N(t-L)………………………表示可传染他人的病人的总数减去失去传染能力的病人数; t …………………………………表示时间; R 2 ………………………………表示拟合的均方差; 3 建立传染病传播的指数模型 3.1模型假设 1) 该疫情有很强的传播性,病人(带菌者)通过接触(空气,食物,……)将病菌传播给健康者。单位时间(一天)内一个病人能传播的人数是常数k ; 2) 在 所传染的人当中不考虑已治愈的人是否被再次被传播,治愈的人数占该地区的总人数是绝对的少数,治愈者不会再被传播并不影响疫情在该时间内的感染率常数k; 3) 病者在潜伏期传播可能性很小, 仍按健康人处理; 4) SARS 对不同的年龄组的感染率略有不同(相差不大),但我们只考虑它健康人的感染率是一样的;
招警考试行测言语理解练习题及详解 【例题】在西斯廷礼拜堂的天花板上,文艺复兴时期的艺术巨匠米开朗基罗把他笔下的人物描绘得如此雄壮、有力。在意大利,每当我们看到这些魁伟强劲、丰满秀美的人体艺术作品时,就会深深地感到人类征服自然、改造自然的勇气和力量,使我们对文艺复兴运动与现代体育的渊缘有了更深刻的理解。 这段文字是在谈文艺复兴运动与()。 A.意大利 B.现代体育 C.人体艺术 D.米开朗基罗 【例题】近日,有能源专家指出,目前全国不少城市搞“光彩工程”,在当前国内普遍缺电的形势下这是不适宜的。按照上海电力部门的测算,上海的灯光工程全部开启后,耗电量将达到20万千瓦时,占整个城市总发电量的2%,相当于三峡电厂目前对上海的供电容量。 这段文字的主旨是()。 A.搞光彩工程对国家和人民无益 B.现在不宜在各地推广光彩工程 C.上海整个城市的总发电量不高 D.上海的灯光工程耗电量惊人 【例题】现代心理学研究认为,当一个人感到烦恼、苦闷、焦虑的时候,他身体的血压和氧化作用就会降低,而当他心情愉快时整个
新陈代谢就会改善。 根据这段文字我们知道()。 A.人们可以通过调节心情来调节血压 B.心情好坏与人的身体健康存在密切关系 C.血压和氧化作用降低说明该人心情不好 D.只要心情愉快就可以改善整个新陈代谢 【例题】俄罗斯防病毒软件供应商——卡斯佩尔斯基实验室于6月15日宣布,一个名为29a的国际病毒编写小组日前制造出了世界上首例可在手机之间传播的病毒。卡斯佩尔斯基实验室说,29a小组于15日将这个名叫“卡比尔”的蠕虫病毒的代码发给了一些反病毒厂商,后者确认该病毒具备在手机之间传播的功能。 该段文字作为一则报纸上的新闻,最适合做该段文字题目的是()。 A.“卡比尔”蠕虫病毒在俄诞生 B.29a的国际病毒编写小组的新贡献 C.世界首例在手机之间传播的病毒诞生 D.反病毒厂商确认手机之间可传播病毒 【例题】有一种很流行的观点,即认为中国古典美学注重美与善的统一。言下之意则是中国古典美学不那么重视美与真的统一。笔者认为,中国古典美学比西方美学更看重美与真的统一。它给美既赋予善的品格,又赋予真的品格,而且真的品格大大高于善的品格。概而言之,中国古典美学在对美的认识上,是以善为灵魂而以真为境界的。
【摘要】:凡能够引起计算机故障,破坏计算机数据的程序统称为计算机病毒。所以从这个意义上说,蠕虫也是一种病毒。蠕虫病毒,作为对互联网危害严重的一种计算机程序,其破坏力和传染性不容忽视。与传统的病毒不同,蠕虫病毒以计算机为载体,以网络为攻击对象。本文主要介绍蠕虫病毒的分类、概念、特点传播途径、典型蠕虫、防范措施和发展趋势等。 【关键词】:蠕虫病毒影响防范发展
目录 第一章蠕虫病毒概述 (1) 1.1 蠕虫病毒的概念 (1) 1.2 蠕虫病毒的成因 (1) 1.3 蠕虫病毒的特性 (1) 第二章蠕虫病毒分析 (2) 2.1 蠕虫病毒分类分析 (2) 2.1.1主机蠕虫 (2) 2.1.2 网络蠕虫 (2) 2.2 蠕虫病毒传播途径 (2) 2.3 典型蠕虫病毒 (3) 2.3.1 熊猫烧香病毒的概念 (3) 2.3.2 熊猫烧香病毒的危害 (3) 2.3.3熊猫烧香病毒的现象 (3) 第三章蠕虫病毒的防范 (5) 3.1 怎样防范蠕虫病毒 (5) 3.2 蠕虫病毒的解决方案(例:熊猫烧香病毒) (6) 第四章蠕虫病毒发展趋势 (11) 参考文献 (12)
第一章蠕虫病毒概述 1.1 蠕虫病毒的概念 1.2 蠕虫病毒的成因 利用操作系统和应用程序的漏洞主动进行攻击此类病毒主要是“红色代码”和“尼姆亚”,以及依然肆虐的“求职信”等。由于IE浏览器的漏洞(IFRAMEEXECCOMMAND),使得感染了“尼姆亚”病毒的邮件在不去手工打开附件的情况下病毒就能激活,而此前即便是很多防病毒专家也一直认为,带有病毒附件的邮件,只要不去打开附件,病毒不会有危害。“红色代码”是利用了微软IIS服务器软件的漏洞(idq.dll远程缓存区溢出)来传播,SQL蠕虫王病毒则是利用了微软的数据库系统的一个漏洞进行大肆攻击。 1.3 蠕虫病毒的特性 蠕虫和传统病毒都具有传染性和复制功能,这两个主要特性上的一致,导致人们在二者之间非常难区分。尤其是近年来,越来越多的传统病毒采取了部分蠕虫的技术,而具有破坏性的蠕虫也采取了部分传统病毒的技术,从而更加剧了这种情况。表1-2给出了传统病毒和蠕虫病毒的一些差别。
关于网络蠕虫及防范 近年来,随着互联网产业的飞速发展,人们生活以及经济的发展与互联网越来越密切。计算机和网络已经成为社会不可或缺的重要部分,而互联网的安全问题也随之而来。网络安全问题受到众多复杂的因素影响,如目前网络安全政策不健全,计算机软件漏洞多和计算机用户安全常识缺乏等,这些因素都导致互联网上的安全事故不断爆发。其中,网络蠕虫是最重大的安全隐患之一。网络蠕虫不同于普通的电脑病毒,它能够以极快的速度在网络上传播,感染大量的个人用户和企业计算机系统,造成用户的资料受损,网络瘫痪以及其他不可估量的经济损失。 对于其中进行恶意侵犯的,我们首当其冲想到了黑客。黑客一词起源于20世纪50年代,最初的黑客一般都是一些高级的技术人员,他们热衷于挑战、崇尚自由并主张信息的共享。但随着网络技术的越来越发达,人们的生活越来越和网络接轨,其中就产生了第三方的经济等效益。于是,黑客便兴起了,逐渐形成了黑帽子,白帽子,灰帽子。 同时,随着黑客们对个人用户及企业的计算机的入侵,网络蠕虫便诞生了。它与病毒是存在区别的,两者是不同的。一般认为,蠕虫是一种通过网络传播的恶性型病毒,它不但具有病毒的一些共性而且还具有自己的一些特性。如不利用文件寄生,对网络造成拒绝服务,以及和黑客技术相结合等。目前危害比较大的蠕虫病毒主要通过三种途径传播:系统漏洞,聊天软件和电子邮件。 对于网络蠕虫,我们需要做好防范措施。对于一些不知名的邮件和充满诱惑力的邮件,我们要学会选择性的筛选一下,在进行观看。同时,要对一些网站以及别人发过来的东西进行谨慎的下载观看。同时,随着网络蠕虫的发展,我们更需要对电脑进行杀毒处理。虽然国外有一款杀毒软件效果非常不错,但是,随着发展,现在中国市场上的杀毒软件也做的非常不错。有金山毒霸等等。现在,大多数人或许都用的是360杀毒软件吧。不过,不管使用的是哪一款杀毒软件,最重要的是要常常更新病毒库,随着一些新病毒的发现,漏洞的发现,病毒库的更新就显得尤为重要了。 谢谢。
传染病模型 医学科学的发展已经能够有效地预防和控制许多传染病,但是仍然有一些传染病暴发或流行,危害人们的健康和生命。 社会、经济、文化、风俗习惯等因素都会影响传染病的传播,而最直接的因素是:传染者的数量及其在人群中的分布、被传染者的数量、传播形式、传播能力、免疫能力等。 一般把传染病流行范围内的人群分成三类:S类,易感者(Susceptible),指未得病者,但缺乏免疫能力,与感染者接触后容易受到感染;I类,感病者(Infective),指染上传染病的人,它可以传播给S类成员;R类,移出者(Removal),指被隔离或因病愈而具有免疫力的人。 问题提出 请建立传染病模型,并分析被传染的人数与哪些因素有关?如何预报传染病高潮的到来?为什么同一地区一种传染病每次流行时,被传染的人数大致不变? 关键字:传染病模型、建模、流行病 摘要:随着卫生设施的改善、医疗水平的提高以及人类文明的不断发展,诸如霍 乱、天花等曾经肆虐全球的传染性疾病已经得到有效的控制。但是一些新的、不断变异着的传染病毒却悄悄向人类袭来。20世纪80年代十分险恶的爱滋病毒开始肆虐全球,至今带来极大的危害。还有最近的SARS病毒和禽流感病毒,都对人类的生产生活造成了重大的损失。长期以来,建立制止传染病蔓延的手段等,一直是各国有关专家和官员关注的课题。 不同类型传染病的传播过程有其各自不同的特点,弄清这些特点需要相当多的病理知识,这里不可能从医学的角度一一分析各种传染病的传播,而只是按照一般的传播模型机理建立几种模型。 模型1 在这个最简单的模型中,设时刻t的病人人数x(t)是连续、可微函数, 方程(1)的解为 结果表明,随着t的增加,病人人数x(t)无限增长,这显然是不符合实际的。 建模失败的原因在于:在病人有效接触的人群中,有健康人也有病人,而其中只有健康人才可以被传染为病人,所以在改进的模型中必须区别健康人和病人这两种人。 模型2 SI模型 假设条件为 1.在疾病传播期内所考察地区的总人数N不变,即不考虑生死,也不考虑迁移。人群分为易感染者即健康人(Susceptible)(S)和已感染者即病人(Infective)(i)两类(取两个词的第一个字母,称之为SI模型),以下简称健康者和病人。时刻t这两类人在总人数中所占比例分别记作s(t)和i(t)。 2.每个病人每天有效接触的平均人数是常数 ,称为日接触率。当病人与健康者接触时,使健康者受感染变为病人。
传染病模型 摘要 “传染病的传播过程”数学模型是通过控制已感染人群来实现的。利用隔离等手段来保护未被感染的人群,减少其对健康人群的危害。由于传染病具有研究新型病例有着重要的意义,利用数学知识联系实际问题,作出相应的解答和处理。问题一:描述传染病的传播过程,将分析受感染人数的变化规律,预报传染病高潮到来的时刻,在传染病过程中,建立传染病影响健康人的数学模型。问题二,在区分健康人群和已经感染人群的情况下,要建立适合总人数不变,区分已经感染的人群和的数学模型,必须在问题一的条件下作出合理假设,同时得出该模型,最后结合已知数据可算出每个已感染人群每天接触健康人群的函数和数学模型。问题三,传染病无免疫性——病人治愈成为健康人,健康人可再次被感染,问题三加入健康人可以再次感染,一个感染期内每个病人的有效接触人数,称为接触数。 一种疾病的传播过程是一种非常复杂的过程,它受很多社会因素的制约和影响,如传染病人的多少,易受传染者的多少,传染率的大小,排除率的大小,人口的出生和死亡,还有人员的迁入和迁出,潜伏期的长短,预防疾病的宣传以及人的个体差异等。如何建立一个与实际比较吻合的数学模型,开始显然不能将所有因素都考虑进去。为此,必须从诸多因素中,抓住主要因素,去掉次要因素。先把问题简化,建立相应的数学模型。将所得结果与实际比较,找出问题,修改原有假设,再建立一个与实际比较吻合的模型。从而使模型逐步完善。下面是一个由简单到复杂的建模过程,很有代表性,读者应从中体会这一建模过程的方法和思路。
一.问题的提出 描述传染病的传播过程,将分析受感染人数的变化规律,预报传染病高潮到来的时刻,在传染病过程中,建立传染病影响健康人的数学模型。问题二,在区分健康人群和已经感染人群的情况下,要建立适合总人数不变,区分已经感染的人群和的数学模型,必须在问题一的条件下作出合理假设,同时得出该模型,最后结合已知数据可算出每个已感染人群每天接触健康人群的函数和数学模型。问题三,传染病无免疫性——病人治愈成为健康人,健康人可再次被感染,问题三加入健康人可以再次感染,一个感染期内每个病人的有效接触人数,称为接触数。 二.问题的分析 2.1 问题分析 描述传染病的传播过程,将分析受感染人数的变化规律,预报传染病高潮到来的时刻,在传染病过程中,建立传染病影响健康人的数学模型。 2.2模型分工
局域网蠕虫病毒的传播方式和保护方法 近来,威金(w32.looked系列)、熊猫烧香(w32.fujacks系列)等局域网蠕虫病毒大肆流行,这种病毒具有传播速度快,覆盖面广,破坏性大,自我恢复功能强等特点,并且还会自动连接到Internet升级变种并下载其它木马和恶意软件,给广大计算机用户带来了很大的麻烦。良好的基本安全习惯配合具有最新病毒定义和扫描引擎的杀毒软件,能够最大限度地保护您的电脑不受此类蠕虫病毒的影响,以及重复感染。了解蠕虫病毒的在局域网内传播机制,能让我们采用更有针对性的防护,下面就介绍这种局域网蠕虫的传播机制和保护方法:局域网蠕虫的传播安先后顺序分为扫描、攻击、复制三个过程。假设您局域网中有一台电脑感染了蠕虫,而这台脑又没有安装杀毒软件或者杀毒软件的病毒定义比较旧,没有办法检测出这个蠕虫病毒,那么它就会成为一个局域网内的攻击源。 第一步:扫描的过程就是用扫描器扫描主机,探测主机的操作系统类型、版本,主机名,用户名,开放的端口,开放的服务,开放的服务器软件版本等。这一过程中,扫描的范围一般是随机选取某一段IP地址,然后对这一地址段上的主机扫描。但是有些蠕虫会不断的重复扫描过程,就会造成发送大量的数据包,造成网络拥塞,影响网络通信速度等危害。但是这样,管理员也会很快找出感染源所在的地址,因此有些蠕虫会有意的减少数据发送量,包括不重复扫描几次以上,随机选择扫描时间段,随机选择小段IP地址段等等。根据扫描返回的结果确定可以攻击的电脑。
第二步:攻击的过程一般分为两种类型。一种是利用漏洞的攻击,如果扫描返回的操作系统信息或者某些软件的信息是具有漏洞的版本,那么就可以直接用对该漏洞的攻击代码获得相应的权限。例如利用windows的MS04-011漏洞的震荡波(w32.sasser系列)病毒,利用MS06-040漏洞的魔鬼波 (w32.ircbot系列)等。另外一种就是基于文件共享和弱密钥的功击,这种攻击需要根据搜集的信息试探猜测用户密码,一般的蠕虫都有试探空密码,简单密码,与已知密码相同密码等机制。猜出正确的密码后也就有了对远端主机的控制权。威金、熊猫烧香等病毒都基于这种攻击方式。 第三步:复制的实际上就是一个文件传输的过程,就是用相应的文件传输的协议和端口进行网络传输。 为了防止您的电脑受到局域网蠕虫病毒的攻击而感染此类病毒,赛门铁克现建议用户采取以下基本安全措施:1)开启个人防火墙:无论是SCS的防火墙,还是其它安全厂商的个人防火墙,还是windows系统自带的防火 墙,都可以对扫描、攻击、复制三个过程起到保护的 作用。例如,在一般的默认规则下,供击者扫描后不 会得到返回结果;攻击代码不会到达被防火墙保护的 电脑;无法向被防火墙保护的电脑复制病毒文件等。 如果管理员根据公司的应用情况和针对某类病毒,设 定诸如一些协议、端口、程序、入侵检测等的防护规 则,其防护效果就会更佳。 2)尽量关闭不需要的文件共享。除了用户自行设定的共享文件windows操作系统一般都有C$, D$,ADMIN$, IPC$等默认的共享,而一般情况下普通用户不一定需
第二节传染病传播的数学模型很多医学工作者试图从医学的不同角度来解释传染病传播时的一种现象,这种现象就是在某一民族或地区,某种传染病传播时,每次所涉及的人数大体上是一常数。结果都不能令人满意,后来由于数学工作者的参与,用建立数学模型来对这一现象进行模拟和论证,得到了较满意的解答。 一种疾病的传播过程是一种非常复杂的过程,它受很多社会因素的制约和影响,如传染病人的多少,易受传染者的多少,传染率的大小,排除率的大小,人口的出生和死亡,还有人员的迁入和迁出,潜伏期的长短,预防疾病的宣传以及人的个体差异等。如何建立一个与实际比较吻合的数学模型,开始显然不能将所有因素都考虑进去。为此,必须从诸多因素中,抓住主要因素,去掉次要因素。先把问题简化,建立相应的数学模型。将所得结果与实际比较,找出问题,修改原有假设,再建立一个与实际比较吻合的模型。从而使模型逐步完善。下面是一个由简单到复杂的建模过程,很有代表性,读者应从中体会这一建模过程的方法和思路。 一.最简单的模型 假设:(1) 每个病人在单位时间内传染的人数是常数k;(2) 一个人得病后经久不愈,并在传染期内不会死亡。 以i(t)表示t时刻的病人数, k表示每个病人单位时间内传染的人 数,i(0)= i表示最初时有0i个传染病人,则在t?时间内增加的病人 数为 ()()() i t t i t k i t t +?-=?
两边除以t ?,并令t ?→0得微分方程 ()()()000di t k i t dt i i ?=???=? ………… (2.1) 其解为 ()00 k t i t i e = 这表明传染病的转播是按指数函数增加的。这结果与传染病传播初期比较吻合,传染病传播初期,传播很快,被传染人数按指数函数增长。但由(2.1)的解可知,当t →∞时,i(t)→∞,这显然不符合实际情况。最多所有的人都传染上就是了。那么问题在那里呢?问题是就出在于两条假设对时间较长时不合理。特别是假设(1),每个病人单位时间内传染的人数是常数与实际情况不符。因为随着时间的推移,病人越来越多,而未被传染的人数却越来越少,因而不同时期的传播情况是不同的。为了与实际情况较吻合,我们在原有的基础上修改假设建立新的模型。 二. 模型的修改 将人群分成两类:一类为传染病人,另一类为未被传染的人,分别用i(t)和s(t)表示t 时刻这两类人的人数。i (0)= 0i 。 假设:(1) 每个病人单位时间内传染的人数与这时未被传染的人数成正比。即()0k ks t =; (2) 一人得病后,经久不愈,并在传染期内不会死亡。 由以上假设可得微分方程
渗透SCADA工控系统过程解析 背景资料 Stuxnet蠕虫病毒(超级工厂病毒)是世界上首个专门针对工业控制系统编写的破坏性病毒,能够利用对windows系统和西门子SIMATIC WinCC系统的7个漏洞进行攻击。特别是针对西门子公司的SIMATIC WinCC 监控与数据采集 (SCADA) 系统进行攻击,由于该系统在我国的多个重要行业应用广泛,被用来进行钢铁、电力、能源、化工等重要行业的人机交互与监控。传播途径:该病毒主要通过U盘和局域网进行传播。历史“贡献”:曾造成伊朗核电站推迟发电。 2010-09-25,进入中国。 一直以来,2010年发生的Stuxnet案件被安全专家认为是一场有目的性的网络战争,攻击者使用一个精心设计的恶意软件打击在伊朗核工厂内SCADA系统。 尽管在多数情况下,SCADA工控系统扮演着相当重要的角色,但是在黑客眼中他们并不安全。 渗透过程 下面这个SCADA系统是我在互联网上找到的:iLON100 echelon SCADA system. 要进行目标识别,各研究必须被限制在一个特定的IP范围内,在此范围内进行扫描;要辨识出该范围,黑客需要一个ISP实例;
通过分析服务器响应,我们发现有些响应包头中包含WindRiver-WebServer,并且在 WWW-Authentication使用Basic realm-”i.LON”,我们从而选择这些目标。 选中的目标运行echelon Smart server 2.0,这个版本服务器包含一系列0day漏洞并且在一段时间以前刚刚公布了一个。
在一些研究之后,黑客发现了WindRiver防火墙源代码WindRiver firewalls,地址为WindRiver-Firewall-Source. 接下来攻击者就需要对最终目标执行exploit 在公开的报告中我们可以看到,SCADA中许多设备admin控制台被攻击者控制
XX公司 蠕虫和病毒传播处置预案 2019年12月
文档控制 更改记录
一、总则 第一条目的 本预案为蠕虫和病毒攻击和传播的安全事件处理专项预案,其目的主要是为了进一步规范对蠕虫和病毒攻击和传播安全事件的处理方法和处理程序,提高对此类安全事件的反应速度。 第二条基本原则 1.防范为主,加强监控。通过加强信息安全防范意识,提高网络系统的安全性。完善信息安全事件的日常监测、发现机制,及时采取有效的应对措施,迅速控制事件影响范围,力争将损失降到最低程度,从而缓解或抵御病毒爆发事件的安全威胁。 2.以人为本,协同作战。把保障公共利益以及本单位和其他组织的合法权益的安全作为首要任务。相关部门协同配合、具体实施,及时获取充分而准确的信息。通过跟踪研判,果断决策,迅速处置,以最大程度地减少危害和影响。 3.规范操作,常备不懈。加强防病毒技术储备,规范应急处置措施与操作流程,确保应急预案切实有效,实现信息安全突发事件应急处置的科学化、程序化与规范化。 第三条适用范围 本预案适用于本单位中遇到病毒攻击情况下的应急响应工作。
二、术语与定义 第四条计算机病毒 计算机病毒(Computer Virus)是编制者在计算机程序中插入的破坏计算机功能或者数据的代码,能影响计算机使用,能自我复制的一组计算机指令或者程序代码。计算机病毒有独特的复制能力,能够快速蔓延,并难以根除。 第五条蠕虫病毒 蠕虫病毒(worm)和一般的病毒有着很大的区别。对于蠕虫,现在还没有一个成套的理论体系。一般认为:蠕虫是一种通过网络传播的恶性病毒,它具有病毒的一些共性,如传播性、隐蔽性、破坏性等等,同时具有自己的一些特征,如不利用文件寄生(有的只存在于内存中),对网络造成拒绝服务,以及和黑客技术相结合等。在产生的破坏性上,蠕虫病毒也不是普通病毒所能比拟的,网络快速发展使得蠕虫可以在短短的时间内蔓延整个网络,造成整个网络瘫痪! 三、病毒分析阶段 第六条事件分析 (1)使用netstat –ano命令查看操作系统是否存在异常连接。 (2)查看windows、recycle目录下是否存在异常文件。 (3)通过Pchunter等进程查看工具,查看是否存在异常进程在运行,定位至程序存放目录。 (4)分析病毒传播机制,如通过文件共享传播、通过邮件或文
计算机病毒种类和杀毒软件分析 摘要:随着经济的发展,人民物质文化水平的提高,计算机逐渐融入到人们的生活和工作中,其应用范围遍及各个领域。人们享受这计算机给我们带来生活的各种便利,我们感叹于它的先进、便利、迅速。但是,一个事物的存在总有其不利的一面,技术的发展也促使计算机病毒的异军突起,越来越多的人备受计算机病毒的困扰,新病毒的更新日益加快,如何防范和控制计算机病毒越来越受到重视,许多软件公司也推出了不同类型的杀毒软件。 关键字:计算机、病毒、杀毒软件 计算机病毒一直是计算机用户和安全专家的心腹大患,虽然计算机反病毒技术不断更新和发展,但是仍然不能改变被动滞后的局面,计算机用户必须不断应付计算机新病毒的出现。互联网的普及,更加剧了计算机病毒的泛滥。那么,计算机病毒究竟是什么呢?能让如此多的人备受困扰,下面,我想探讨一下计算机病毒 计算机病毒,是指一种认为编制能够对计算机正常程序的执行或数据文件造成破坏,并能自我复制的一组计算机指令或者程序代码。病毒之所以令如此多的额人惧怕,是因为它具有传染性、隐蔽性、潜伏性、寄生性、破坏性、不可预见性等特征。病毒具有把自身复制到其他程序中的能力,以它或者自我传播或者将感染的文件作为传染源,并借助文件的交换、复制再传播,传染性是计算机病毒的最大特征。病毒一般附着于程序中,当运行该程序时,病毒就乘机执行程序。许多计算机病毒在感染时不会立刻执行病毒程序,它会等一段时间后,等满足相关条件后,才执行病毒程序,所以很多人在感染病毒后都是不知情的,当病毒执行时为时已晚。寄生性是指计算机病毒必须依附于所感染的文件系统中,不能独立存在,它是随着文件系统运行而传染给其他文件系统。任何病毒程序,入侵文件系统后对计算机都会产生不同程度的影响,一些微弱,一些严重。计算机病毒还具有不可预见性,随着技术的提高,计算机病毒也在不断发展,病毒种类千差万别,数量繁多,谁也不会知道下一个虐遍天下的病毒是什么。 尽管计算机病毒种类繁多,按照其大方向还是可以对计算机病毒进行分门别类。 按计算机病毒的链接方式分类可分为: 1)源码型病毒。该病毒主要攻击高级语言编写的程序,这种病毒并不常见,它不是感染可 执行的文件,而是感染源代码,使源代码在编译后具有一定的破坏/传播或者其他能力。 2)嵌入型病毒。该类病毒是将自身嵌入现有程序当中,把计算机病毒的主体程序与其攻击 的对象以插入的方式链接。一旦被这种病毒入侵,程序体就难以消除它了。 3)外壳型病毒。它是将自身包围在程序周围,对原来的程序不作修改。这种病毒最为常见, 最易编写,也最易发现,一般测试文件的大小即可。 4)操作系统病毒。这种病毒在运行时,用自己的逻辑部分取代操作系统的合法程序模块, 破坏力极强,可致系统瘫痪。圆点病毒和大麻病毒就是典型的操作系统病毒 按计算机病毒的破坏性分类 1)良性计算机病毒。良性与恶性是相对而言的,良性并不意味着无害。而良性病毒为了表 现其存在,不停地进行扩散,从一台计算机转移到另一台,并不破坏计算机内部程序,但若其取得控制权后,会导致整个系统运行效率减低,系统可用内存减少,某些程序不能运行。 2)恶性计算机病毒。是指在其代码中含有损伤和破坏计算机系统的操作,在其传染或发作 时会对系统产生直接的破坏作用,这类病毒很多,如米开朗基罗病毒。 按寄生方式和传染途径分类: 1)引导型病毒。指寄生在磁盘引导区或主引导区的计算机病毒。引导型病毒会去改写磁盘 上的一些引导扇区的内容,软盘和硬盘都有可能感染病毒,再不然就改写硬盘上的分区
利用Netflow在大规模网络 进行蠕虫和网络异常行为监测
https://www.doczj.com/doc/6a13721047.html, yiming@https://www.doczj.com/doc/6a13721047.html,
宫一鸣
中盈优创资讯系统有限责任公司
July 2004
提纲
电信网安全特性 netflow? Netflow和电信带宽安全
如何预警和监控
中盈 netflow在电信的应用
电信网的安全特性
电信网核心竞争力
带宽资源
带宽资源面临
蠕虫 网络滥用 DoS/DDoS
电信网的安全特性
如何保护和监控
防火墙 ? 部署问题,侧重于点而非面 IDS ? IDS工作在7层,海量数据 需要详细的信息?
电信网的安全特性
如何保护和监控
Netflow Passive monitoring No device Traffic profile! Arbor/NTG/flow-scan…. CERT SiLK while traffic summaries do not provide packet-by-packet (in particular, payload) information, they are also considerably more compact and consequently can be used to acquire a wider view of network traffic problems.
微分方程模型 [学习目的] 1.加深对微分方程概念的理解,掌握针对一些问题通过建立微分方程 的方法及微分方程的求解过程; 2.了解微分方程模型解决问题思维方法及技巧; 3.领会建立微分方程模型的逐步改进法的核心及优点,并掌握该方法; 4.理解微分方程的解的稳定性的意义,会用稳定性判定模型的解是否 有效; 5.体会微分方程建摸的艺术性。 在自然学科(如物理、化学、生物、天文)以及在工程、经济、军事、社会等学科量的问题可以用微分方程来描述。正如列宁所说:“自然界的统一性显示在关于各种现象领域的微分方程式的‘惊人的类似中’.”(列宁选集第二卷,人民1972年版第295页)。要建立微分方程模型,读者必须掌握元素法(有关元素法,在高等数学中已有介绍)。所谓元素法,从某种角度上讲,就是分析的方法,它是以自然规律的普遍性为根据并且以局部规律的独立的假定为基础。在解决各种实际问题时,微分方程用得极其广泛。读者通过下面的几个不同领域中的模型介绍便有所体会,要想掌握好它,在这方面应作大量的练习。 §17.1、传染病传播的数学模型 [学习目标] 1.通过学习建立传染病传播的数学模型的思维方法,能归纳出该类建模的关键 性步骤及思维方法;并能指出求解传染病传播的数学模型的方法技巧; 2.能用已知的传染病传播的数学模型,预报某种传染病的传播; 3.学会从简单到复杂的处理问题的方法。 由于人体的疾病难以控制和变化莫测,因此医学中的数学模型较为复杂。生物医学中的数学模型分为两大类:传染病传播的数学模型和疾病数学模型。 以下仅讨论传染病的传播问题。人们将传染病的统计数据进行处理和分析,发现在某一民族或地区,某种传染病传播时,每次所涉及的人数大体上是一常数。这一现象如何解释呢?关于这个问题,医学工作者试图从医学的不同角度进行解释都得不到令人满意的解释。最后由于数学工作者的参与,在理论上对上述结论进行了严格的证明。同时又由于传染病数学模型的建立,分析所得结果与
震网病毒——设计思路的深度分析 震网病毒,英文名称是Stuxnet,第一个针对工业控制系统的蠕虫病毒,第一个被发 现的网络攻击武器。 2010年6月首次被白俄罗斯安全公司VirusBlokAda发现,其名称是从代码中的关键字 得来,这是第一次发现震网病毒,实际上这还是震网病毒的第二个版本。 2007年有人在计算机信息安全网站VirusTotal上提交了一段代码,后来被证实是震网病毒的第一个版本,至少是我们已知的第一个。对于第一个震网病毒变种,后来大家基于震网病毒的第二个版本的了解基础上,才意识到这是震网病毒。 震网病毒的攻击目标是伊朗核设施。 据全球最大网络安全公司赛门铁克(Symantec)和微软(Microsoft)公司的研究,近60%的感染发生在伊朗,其次为印尼(约20%)和印度(约10%),阿塞拜疆、美国与巴基斯坦等地亦有小量个案。 2011年1月,俄罗斯常驻北约代表罗戈津表示,这种病毒可能给伊朗布什尔核电站造 成严重影响,导致有毒的放射性物质泄漏,其危害将不亚于1986年发生的切尔诺贝利核电站事故。 我们这次分析的案例是纳坦兹核设施。纳坦兹核基地对于伊朗的核计划非常重要,它是伊朗能否顺利完成利用核能发电的关键。纳坦兹铀浓缩工厂用浓缩铀的关键原料———六氟化铀(UF6),灌入安装在这里的离心机,提炼浓缩铀,为布什尔核电站发电提供核燃料。 进一步分析 它是如何攻击纳坦兹核设施并隐藏自己的? 它是如何渗透纳坦兹核设施内部网络的? 它是如何违背开发者的期望并扩散到纳坦兹之外的? IR-1离心机是伊朗铀浓缩的根基。它可以追溯到从20世纪60年代末由欧洲设计,70 年代初被窃取。全金属设计的IR-1是可以稳定的运行的,前提是其零件的制造具有一定精度,但是伊朗人其零件加工工艺不达标。因此他们不得不降级离心机的运行压力。但是较小的工作压力意味着较少的产出,因而效率较低。 虽然低效,但对于伊朗来说有一个显而易见的优点,伊朗可以大规模的制造生产。伊朗通过数量来弥补不稳定性和低效率,他们能够接受在运行过程中一定数量的离心机损坏,因为他们制造离心机的速度比离心机损坏的速度要快多了。 图为2008年至2010年Natanz工厂的离心机库存数据,伊朗始终保存着至少50%的备 用离心机。 离心处理操作是一个严苛的工业流程,在流程运行过程中,它不可以存在任何的问题。伊朗建立了一套级联保护系统,它用来保证离心流程持续进行。在离心机层,级联保护系统的每个离心机在出故障时都可以被隔离出来。隔离后的离心机可以停机并被维护工程师替换,而工艺流程仍然正常运行。 可问题是他们的离心机太脆弱,会出现多个都坏了的情况。如果同一个组中的离心机都停机了,运行压力将会升高,从而导致各种各样的问题。
Internet网络中的蠕虫病毒扩散传播模型 1 简单传播模型 在简单传播模型(Simple Epidemic Model)中,每台主机保持两种状态:易感染和被感染。易感个体(Susceptible)是未染病但与已感染的个体接触会被感染的一类;另一类为感染个体(Infective),这类个体已染病且其具有传染性。假定一台主机一旦被感染就始终保持被感染的状态。其状态转换关系可表示为: 由此可见这种模型的蠕虫传播速度是由初始感染数量I(0)和主机感染率这两 个参数决定的。其微分方程表达式为 dI(t)/dt=βI(t)[N-I(t)] 其中I(t)为时刻t 已被感染的主机数;N为网络中主机总数;β 为时刻t 的感染率。当t=0 时,I(0)为已感染的主机数,N-I(0)为易感染主机数。 取节点数N=10000000,感染概率因子为β=1/10000000,即K=βN=1,当蠕虫繁殖副本数量I(0)=3 时,仿真结果如图3-2 所示,横坐标为传播时间,纵坐标为整个网络被感染的百分比。 此模型能反映网络蠕虫传播初期的传播行为,但不适应网络蠕虫后期的传播状态。此外,其模型过于简单,没有体现蠕虫扫描策略和网络特性对蠕虫传播所产生的影响。 2 KM 模型 在Kermack-Mckendrick 传播模型(简称KM 模型)中,主机保持 3 种状态:易感染、被感染和免疫。用状态转换关系表示为: 对感染节点进行免疫处理,是指把此节点从整个网络中去除。因为,每当对一台主机进行免疫处理,网络节点总数在原有基础上减1,最终将使得所有被感染的主机数量减少到0,也就是所有的主机最终都将处于免疫状态。KM 模型的微分方程表达式为: dJ(t)/dt=βJ(t)[N-J(t)] dR(t)/dt=γI(t)