基于博弈论视角下的网络病毒防御模型分析

建立了 ISPs 的最优投资点模型，在考虑网络病毒随机传播的基础上，从病毒传播模型和病毒到达规律这两点作出分析，通过微分方程和泊松过程确定了 ISPs 的最优投资点的存在条件。结果表明：当满足一定条件时，ISPs 存在最优投资点。最后利用Matlab 仿真验证了理论研究的正确性。得到的结果可为 ISPs 进行策略投资时提供参考。
1 绪论

1.1 课题研究的背景及意义

进入 21 世纪，计算机互联网技术得到迅速普及，影响着人们的学习、工作、生活和生产方式[1]。网络技术的发展给人们创造便利的同时也造成了一定的网络威胁，网络安全事件频频出现，网络安全问题日益凸显，如用户的隐私被扫描，数据库信息失窃，系统被黑客频繁攻击等，网络安全逐渐成为网络技术发展的主要制约因素，因此维护网络安全是网络信息建设中的首要任务[2]。随着网络信息的不断更新和普及，人们在生活和工作中使用网络的机会越来越多，这也使得网络安全成为当下迫切需要主要的问题。尤其是近几年，破坏性极大的大规模计算机病毒感染事件层出不穷。当网络病毒被成功激活后，就会导致系统数据被损坏、系统资源被占取、干扰系统运行、破坏计算机硬件以及盗窃用户信息和数据等恶性行为。除此之外，计算机病毒还会造成光驱、硬盘、打印机等进行负荷量过大的工作，从而减短了工作寿命。这些恶意行为不仅给社会造成了巨大的经济损失，同时引起了一定的社会恐慌，严重影响了人们的工作和生活。网络安全形态是由攻击方(网络病毒)和防御方(网络系统管理员)进行攻击和防御，相互交互形成的结果。由于网络病毒的动态传播，网络安全防御策略也在动态变化中[3]。目前针对网络安全问题，政府和企业采用的都是传统的防御措施，如防火墙技术，反病毒软件，以及入侵检测系统等[4]，这些都属于被动的网络安全防御策略，只有攻击行为发生后才会有相应的响应。但作为网络病毒防御方，必须主动制定防御策略，根据网络病毒的传播性态及时调整策略，随时检测整个系统可能产生的问题和漏洞，对可能发生的攻击行为和危害程度进行预测[5]。博弈论由摩根斯坦和冯·诺依曼在著作《博弈论与经济行为》中提出[6]，最早在经济领域和其他社会科学中得到应用。由于在博弈模型建立和网络安全攻防策略分析方面存在一定的共同性，因此将博弈论应用到网络安全问题中，通过博弈模型分析网络的安全形态更能直观反映网络安全的真实情况[7]。

1.2 网络安全国内外研究现状

随着计算机网络技术的全面迅速普及，网路安全的研究也逐渐成为一个热门领域，国内外学者通过对原有的病毒模型进行改进，并引入博弈理论，有效地分析了网络病毒的传播性态和网络防御方的策略变化情况，在网络安全的维护和网络正常的运行中，博弈论起着不可缺少的重要作用。Mchendriek 和 Kermach[8]在 1991 年根据计算机病毒与生物学病毒传播的类似性，把网络系统中的计算机分成两类：易感染类（S）和感染类（I），结合上述两类首次提出一种基于生物病毒模型的 SIS（Susceptible-Infected-Suseeptible）仓室数学模型，全面系统地分析了计算机病毒的传播[9]。.E.J.Newman 等[10]将免疫状态（R）加入到 SIS 模型中,构建出 SIR（Susceptible-Infected-Removed）模型，该模型将计算机分为三类：易感染类（S）、感染类（I）和免疫类（R）。同时该模型提出三个基本假设：（1）计算机总数保持不变；（2）在任一时刻，一个已感染病毒的计算机能感染的易感计算机数与环境中易感计算机的总数成正比，该比例系数即感染率；（3）在任一时刻，从感染病毒的计算机中恢复的个体数与感染病毒的计算机总数成正比，该比例系数即恢复率。J.D.David 等[11]在 SIR 模型的基础上新加入潜伏状态（E），该状态表示已被病毒感染但尚未显示病毒特征的个体，构成 SEIR（Susceptible-Exposed-Infected-Removed）模型。G.Serazzi 等[12]考虑到点到组的传播，构建出 e-SEIR 模型。王元卓等[13]引入病毒清除和传播状态（D），构建出 SIDR 模型。Y.Hua 等[14]考虑到病毒免疫和防范措施，构建出SIRH 模型。

2 网络安全及博弈论相关原理

2.1 计算机病毒动力学概述

计算机病毒传播动力学在网络安全研究领域中，属于新兴的研究领域，主要是指在研究计算机病毒传播性态中，把数学模型和计算机病毒模型二者相结合，运用生物流行病学的方法和建模思想[31]，通过建立相应的数学模型来研究病毒的感染过程和特征，并通过数据仿真和数学理论对所建模型进行定量和定性分析，从而对网络中病毒的扩散特征作出分析，同时对其发展趋势作出预测，最终为病毒的检测和抑制提供数据支持和理论。

2.1.1 计算机病毒的定义

关于计算机病毒的定义并不统一，综合归类可以将其分为广义的定义和狭义的定义两种。随着学者和专家的不断研究和分析，目前的计算机病毒泛指所有包含传染性和自我繁殖能力的恶意指令或代码，而并不仅仅局限于狭义的定义。它包含正常程序的基本性质，即能够被用户执行和储存，同时，还具备传染性、破坏性、繁殖性、潜伏性等特征。广义的计算机病毒是指所有具有目的性和传染性的程序代码，通过修改其它程序代码，并在其它程序代码中引入已经过复制的病毒，以达到扩散的目的。广义的定义包含狭义的定义，此外还包括蠕虫型病毒、蠕虫等恶意程序代码。狭义的计算机病毒（即传统意义上的计算机病毒）[32-33]，指寄托于某个宿主程序存在、具有破坏性和传染性的程序代码。它只能依附于宿主程序，不能单独地被操作系统执行和加载，并不是一段完整的程序代码，只有当宿主程序被操作系统运行和加载时，才能夺取网络的控制权，达到实施破坏（表现）和传染的目的。

2.2 经典的计算机病毒传播模型

J.O. Kephart 和 S.R.White[36-38]最早发现计算机病毒与生物病毒在传播方面的高度相似性，因而开始通过模仿生物学病毒的传播模型来逐步建立适合计算机病毒的传播模型。经过 20 多年的研究和分析，随着网络安全学者的持续钻研，对计算机病毒的传播方式、传播规律和传播特性都有了更广泛的分析，逐渐出现许多经典的病毒传播模型，比较典型的模型包括 SIS、SIR、SEIR、SAIR 和 SIDR 模型。下面将逐一介绍各模型的思想和构建方式。

2.2.1 SIS 模型

计算机病毒传播领域最早提出的模型为SIS模型，即Susceptible-Infected- Susceptible模型[39]。在 SIS 模型中，网络中的个体只有易感染状态 S 和已感染状态 I 两种[40],二者可以相互转化，当易感染个体感染病毒后就会变成已感染个体，当已感染个体采取防护措施消除病毒后就会变回易感染个体，这个过程不断循环。SIS 病毒传播模型如图 2.1 所示：

3 基于博弈论的 ISPs 出口检测策略研究

3.1 网络病毒传播模型建立............................................................................................... 29

3.2 ISPs 与网络病毒博弈模型建立................................................................................. 30

3.3 模型分析与仿真............................................................................................................33

3.4 本章小结.........................................................................................................................38

4 ISPs 的最优投资点模型研究

4.1 网络病毒传播的随机过程...........................................................................................39

4.2 ISPs 的最优投资点模型建立......................................................................................39

4.3 模型分析与仿真............................................................................................................40

4.4 本章小结.........................................................................................................................43

4 ISPs 的最优投资点模型研究

ISPs 对网络安全进行投资可以使其感染网络病毒的可能性降低，同时增强对网络病毒的入口和出口检测力度能够使网络病毒传播过程的感染率降低，ISPs 的投资力度越大就越能对网络病毒的传播进行控制，但是投资金额过大又会使 ISPs 的投资金额超过因感染病毒而造成的代价。因此，本章分析了 ISPs 的投资金额与每天因感染网络病毒所需支付的总金额之间的关系，确定了 ISPs 的最优投资点存在条件，以期解决 ISPs 对网络安全的投资问题。

4.1 网络病毒传播的随机过程

网络病毒在网络中的传播取决于人类的行为习惯，而专家学者往往通过泊松随机过程来刻画人类的习惯特性。泊松过程目前在人类行为的量化模型中得到了广泛的应用，用来表示特定范围或单位时间内某个特定事件出现次数的统计规律性，比如模拟商业话务中心的配置场景[67]、估计在移动通信中处于占线状态的电话数量[68]等。假设网络病毒在网络中以泊松过程到达，其速率为 ，则网络病毒以泊松过程到达网络的过程如下图4.1 所示。

5 总结及展望

5.1 全文工作总结

网络病毒防御模型能够为网络病毒的防御提供策略指导，同时能够确保网络的安全性以及网络用户的信息不受入侵，避免整个网络受到病毒的入侵。本文深入探讨和研究了基于博弈论的网络病毒防御模型，主要研究内容包括网络病毒传播模型的建立，ISPs与网络病毒之间博弈模型的建立以及 ISPs 的最优投资点模型的建立，并且基于上述模型进行了动力学分析，本文的主要研究工作及取得的成果如下：

（1）建立了网络病毒传播模型，运用 SIR（susceptible-infected-recovered）仓室模型将 ISPs 分成三类：易感者类 S(t)；感染者类 I(t)；恢复者类 R(t)。并在模型中考虑了 ISPs采取安全措施时的相对风险，分析了网络病毒在不同策略下的传播特性。

（2）建立了 ISPs 与网络病毒之间的博弈模型，考虑了 ISPs 在选择入口和出口检测策略时的动机，提出了出口检测的必要性，并对 ISPs 在不同策略下的收益进行了量化，分析了 ISPs 改变策略时，对病毒传播的影响以及 ISPs 整体收益的变化。理论分析表明：当网络服务提供商不采取出口检测策略时，被病毒入侵的风险会提高；当网络服务提供商采取出口检测策略时，不但会提高自身的收益，同时有助于整个网络安全性的提高。得到的结果可为网络服务提供商的策略选择提供指导。

（3）建立了 ISPs 的最优投资点模型，在考虑网络病毒随机传播的基础上，从病毒传播模型和病毒到达规律这两点作出分析，通过微分方程和泊松过程确定了 ISPs 的最优投资点的存在条件。结果表明：当满足一定条件时，ISPs 存在最优投资点。最后利用Matlab 仿真验证了理论研究的正确性。得到的结果可为 ISPs 进行策略投资时提供参考。