复杂网络上疾病传播与免疫及动力学.ppt

下图为红色代码蠕虫第二轮再次爆发时，美国化学文摘服务社80端口被探测扫描的实际数据与RCS模型预测的结果比较，从中可以看出RCS模型对红色代码蠕虫的预测还是相当准确的。 4.5.2 蠕虫的间隔模型 Serazzi认为可靠性强的病毒传播模型是非常有用的，可以预测未来威胁，也可以用来开发新的的防御措施。这他的文章中，分析了最常用的病毒传播模型的优点与不足，并提出了自己的新的模型，并与实际数据进行比较。 他认为大多数传统的计算机病毒模型不适合用来分析被称为“flash”等的蠕虫病毒。理论上而言RCS（随机常数传播模型）模型应该使用于Slammer病毒，但模型数据和实际数据之间出现了很大差异，如下图所示。 Serazzi G,Zanero S.Computer virus propagation models.2003,Available on URL:http://www.elet.polimi.it/upload/zanero/papers/zanero-serazzi-virus.pdf Slammer与红色代码是基于不同的网络协议进行传播的，红色代码是基于TCP，需要先建立连接，完成TCP的三次握手过程，等待应答，这属于时延限制。Slammer是能更否已全速传播取决于网络的带宽，这是一种网络限制。为了更好的分析这种传播受带宽限制的计算机病毒，Serazzi考虑了节点之间带宽的因素，从而在RCS模型基础上提出一种基于Internet自治层的间隔模型。 下图为Slammer蠕虫扫描增长过程与RCS模型理论估计值的对比示意图： 上图显示的是计算机病毒进行扫描的总次数，在大约3分钟时，蠕虫达到了它的最大扫描速率，每秒钟500多万次。这一时刻之后，增长的速率减慢。对次现象常见的解释为：网络的很大以部分无法保证蠕虫全速传播时所需要的足够带宽。也就是说在被感染主机数量饱和之前带宽已经先饱和了。 由于网络性能的瓶颈在于AS内部连接。 间隔模型是RCS模型的延伸和扩展，正是因为网络中的流量过载引起的Internet中的连边无法正常传输数据包，这一模型较好地解释了攻击（扫描）不断增加，然后又突然停止的现象。 4.5.3 电子邮件病毒的传播模型 Zou等人将人们相互之间的电子邮件联系看作一种无向图，并提出了相应的电子邮件病毒传播模型。模型中主要考虑到两个对电子邮件病毒传播有影响的人为因素：一个是电子邮件检查时间 ，即用户i检查电子邮件的时间间隔。其中|V|是电子邮件用户总数。另一个因素是附件打开概率 ,表示用户i打开一个病毒附件的概率。 假定各用户之间的行为是独立的。用户的电子邮件检查时间是一个随机变量，基于平均邮件检查时间 呈指数分布，假设 本身也是一个随机变量，定义为T。 Zou C C,Towsley D,Gong W B.Email virus propagation modeling and analysis.Technical Report TR-CSE-03-04,University of Massachusettes,Amherst 2003 用户i检查任一病毒邮件时打开病毒附件的概率为 ，再定义P为 产生的随机变量，即平均概率。 用户一旦打开带病毒的附件就称为被感染。定义 为病毒传播开始时已被感染的用户数，他们将向所有的邻居发送病毒邮件。变量 定义为病毒传播过程中t时刻被感染的用户数。 病毒邮件从发出到接收需要一定的时间，但是通常这段时间相对于用户检查邮件的时间来说小得多，因此该模型中忽略了邮件传送的时间。 模型的不足：用户打开附件的概率P，对每个 用户是固定的，而且和时间有关。 4.5.4 电子邮件病毒传播的仿真模拟 假定网络有100000个节点，服从幂律分布，仿真实验设定幂律指数 =1.7。模型中其他参数设定为： 整个实验关注在不同的感染次数、初始感染节点、网络拓扑结果和电子邮件检查时间等情形下，电子邮件病毒在t时刻感染的用户平均数 。 是经过100次随机仿真后得到的平均结果。 Zou C C,Towsley D,Gong W B.Email virus propagation modeling and analysis.Technical Report TR-CSE-03-04,University of Massachusettes,Amherst 2003 1、重复感染和非重复感染的对比 重复感染（reinfection）是指只要用户打开病毒附件就会向外发出病毒邮件的副本，因此一个接受者可以重复的