社交网络中用户行为对病毒传播的影响因素

赵月爱，冯丽萍

(1.太原师范学院 计算机系，山西 晋中 030619；2.忻州师范学院 计算机系，山西 忻州 034000)

然而，社交网络方便了用户生活和工作的同时，安全问题也与日俱增[4]。2016年中国互联网安全报告显示，去年360互联网安全中心共截获各类新增钓鱼网站196.9万个，其中38.7%的网站主要利用社交网络进行传播和扩散。黑客利用社交网络好友间的信任关系，进行钱财诈骗、信息窃取、诱骗点击恶意链接等事件越来越严重。用户行为对恶意软件利用社交网络传播起着关键作用[5]。

目前，针对社交网络中恶意行为的研究主要集中于检测和防御技术[6-9]，这些文献都没有研究黑客通过社交网络进行恶意行为的扩散问题。事实上，随着社交平台的迅速普及，恶意软件利用社交网络进行传播，从而蔓延到整个网络的现象越来越严重[5]。因此，研究社交网络对网络空间安全的影响是非常有意义的。用户行为是影响黑客利用社交网络进行恶意行为扩散以及信息传播的关键因素。文献[10]中，作者提出了E-mail蠕虫仿真模型，研究用户行为对邮件病毒传播的影响。王祯俊等[11]提出一种基于非参数贝叶斯理论的社交网络中用户影响力传播模型。1991年，KEPHART et al把人类流行病模型引入到计算机病毒研究领域[12]；使用流行病模型研究网络病毒传播规律一直是被广泛使用的一种方法，已取得了许多研究成果[13-15]。但是，把用户行为引入流行病模型、建模恶意软件传播的研究还未见报道。本文考虑将用户行为引入流行病模型，研究社交网络中用户行为影响的互联网恶意软件传播规律，为预防恶意软件大规模扩散，保障网络空间安全提供理论基础。

1 基于社交网络用户行为的SIR模型构建

本章建模主要针对一些网络病毒利用社交网络中用户打开或发送恶意链接进行扩散的情况。当用户使用社交网络(比如，微信、QQ)时，会收到好友直接发送或者朋友圈推送的链接，或者用户会收到带有病毒的电子邮件；如果用户打开带有病毒的链接或者电子邮件，就会受到感染。也就是说，用户行为会直接影响网络病毒的扩散。考虑以下3个因素对用户行为的影响：用户的安全意识；用户对信息的兴趣度；链接的来源。这3个因素直接决定用户打开可疑链接或电子邮件附件的概率。

1.1 用户打开可疑链接概率计算

为了反映以上3个因素对网络病毒扩散的影响，本节利用动态化描述函数表示用户打开可疑链接的概率，如式(1)所示。

(1)

式中：Pi表示用户i打开可疑链接的概率；F(x)表示影响用户行为的3个因素的函数；A表示影响用户行为因素的权重向量；x表示影响用户行为的3个因素构成的向量，即x=(x1,x2,x3)=(用户的安全意识，用户对链接的兴趣度，链接的来源)；ξ是反映用户行为重要性的调节因子。

1.2 基于社交网络用户行为的SIR模型

本节采用经典SIR流行病模型[16]，建模用户行为影响的网络病毒扩散。其中，S指易感染节点，表示节点尚未接触到可疑链接，但是有被感染的概率；I指传播节点，表示已点击可疑链接，并具有转发链接的可能性；R指免疫节点，表示节点不会点击可疑链接。网络中的节点以一定概率在3种状态之间转换，如图1所示。

图1 用户行为影响的网络病毒扩散模型图Fig.1 Network virus diffusion model based on user behavior

如果一个未感染节点S与已感染节点I接触，那么，S会以PSI的概率变为I.这里S与I接触，是指社交网络中S收到I发来的链接或带有可疑链接的电子邮件，或S看到了I在朋友圈推送的需要打开链接浏览某项内容的信息。如果网络用户安全意识较强，对来历不明的链接不会轻易打开，那么易感染节点就会以一定概率PSR转化为免疫节点。当已感染节点用户意识到当前链接为恶意链接时，会停止转发并且删掉该链接，而且以后收到同样的链接会执行相同操作，这时I节点就会成为具有免疫能力的R节点。考虑到，并不是所有社交网络用户都能对恶意链接进行有效判别并且执行删除操作，所以，模型中考虑节点I以一定概率PIR转化为R结点.图1对应的数学模型，用微分方程表示为式(2).

(2)

式中：PSI表示用户点击可疑链接的概率，通过式(1)计算获得；PSR表示用户不会点击可疑链接的概率；PIR表示传播节点转化为免疫节点的概率。

阿里的母亲平素最肯帮人，在东亭的人缘相当好。前来悼念她的街坊邻居好几十个。阿东一边忙着招呼大家，一边又照顾着阿里。阿里几天未见母亲，情绪一直低落，每天都要闹几场。现在，他蔫蔫的，脸上无一丝笑容。

2 模型分析

定义θ=PIR/PSI为相对恢复率[17]，那么由模型(2)可以得到如下结论：

(3)

3 实验仿真与分析

本节采用Monte Carlo方法进行实验仿真，模拟用户行为对网络病毒传播规模与速度的影响。

3.1 参数PSI的确定

PSI的取值直接由用户的安全意识、用户对链接的兴趣度以及链接来源三个因素决定。用户的安全意识对PSI的取值起决定性作用，这里用0～1之间的随机变量表示。当取值为1时表示用户是安全专家，具有很强的安全意识，能识别任何恶意链接；当取值为0时，表示用户完全没有安全意识，对接收到的任何链接都有打开的可能。同样，用0～1之间的随机数表示用户对链接的兴趣度，取值越大，表示用户对链接内容兴趣越大。链接来源是决定用户是否打开当前链接的重要因素。如果收到了链接是来自社交网络中非常信任的朋友，那么用户打开该链接的可能性就很大，否则，用户需要判断是否能打开。因此衡量链接来源是否可靠的一个重要特征是朋友间的信任度。用0～1之间的数表示信任度的大小，1表示完全信任，0表示不信任。

3.2 实验仿真

按照式(1)中F(x)=A-1x=ω1x1+ω2x2+ω3x3，其中，x=(x1,x2,x3)=(用户的安全意识，用户对连接的兴趣度，链接的来源)，ωi(i=1,2,3)分别表示对应的权重因子。仿真过程中，x1,x2,x3的值由蒙特卡洛方法随机产生。根据式(1)可得到PSI=Pi的值。

1) 首先，考虑用户安全意识差(x1的值越小，用户安全意识越差)的情况，取x1,x2,x3对应的权重ω1,ω2,ω3的值分别为0.008,0.8,0.8(ωi的取值越小，表示对应的参数对用户行为的影响越小)。取随机产生数x1,x2,x3的值分别为：0.005,0.5,0.5，调节参数ξ的值为30.由式(1)可得到PSI=0.032 3，取PSR=0.2，PIR=0.05.按照模型(2)得到模拟结果，如图2所示。

从图2可以看出，易感染节点比例随时间呈快速递减趋势；这是因为模型(2)假设，在一段较短时间内，社交网络中没有新用户加入，而易感染节点不断向已感染和免疫状态转化。已感染节点的比例在最初不到4 d的时间内，迅速上升到超过60%，随后随时间呈缓慢递减。这是因为，最初易感染节点数较多，S向I的转化速度要大于I向S的转化速度，随着S节点数的减少，I向R的转化速度超过S向I的转化速度。该结果给我们一个启示，在进行网络安全维护时，控制易感染节点的数量是一个有效的方法，具体实现时可以采取将一个大局域网划分成几个小网络进行管理。

2) 接下来考虑用户安全意识较强时(x1的值越大，用户安全意识越强)的情况，取x1,x2,x3对应的权重ω1,ω2,ω3的值分别为0.5,0.5,0.9(ωi的取值越小，表示对应的参数对用户行为的影响越小)。取随机产生数x1,x2,x3的值分别为：0.5,0.5,0.8，调节参数ξ的值为30.由式(1)可得到PSI=0.033 7，取PSR=0.5，PIR=0.1.按照模型(2)，得到模拟结果如图3所示。

比较图2和图3不难发现，当用户安全意识较强时,已感染节点的比例明显减小，受感染主机的最高比例比用户缺乏安全意识时要降低大约33%。超过90%的节点都转化成了免疫状态。

3) 为了模拟用户行为对由社交网络引起的病毒感染规模的影响，取不同调节参数的值，观察网络中已感染节点的变化情况。其他参数的取值同图3，模拟结果如图4.

从图4可以看出，ξ的值越大，也就是用户的安全意识越强被感染节点的比例越小，而且感染速度也越慢。说明加强用户安全意识，是维护网络空间安全的一个有效措施。该结果激励我们进一步考虑从社会工程学角度研究保障网络空间安全。另一方面，图4也反映了在新的病毒爆发初期，无论用户的安全意识强弱，都会在一个较短时间内感染网络中大量主机，这是由网络病毒的快速传播特性决定的，但是如果用户的安全意识较高，感染节点的比例就会小而感染速度会慢一些。当被感染节点达到一个峰值以后，用户行为对病毒扩散的影响差异并不大，被感染节点几乎呈等比率的速度减少，最后呈一个稳定趋势。这个发现进一步证明了网络安全的维护既需要安全对抗技术的支持，也需要用户行为规范的管理。

图2 用户缺乏安全意识时S,I,R与总结点比例的变化曲线图Fig.2 Change curves of S,I,R when the user lacks safety awareness

图3 用户安全意识较强时S,I,R与总结点比例的变化曲线图Fig.3 Change curves of S,I,R when the user safety consciousness

图4 已感染节点的比例随调节参数取值不同的变化曲线Fig.4 Curves of the proportion of infected nodes varies with the adjustment parameter

3.3 模型分析结果验证

本小节验证第3节的理论分析结果。取参数值分别为(ω1,ω2,ω3)=(0.5,0.5,0.9)，(x1,x2,x3)=(0.5,0.5,0.8)，(PIR,PSR,PSI)=(0.6,0.5,0.1)，S0的值分别取5和10，模拟结果如图5所示。

图5表明，当S0<θ时，网络中病毒不会扩散；

图5 已感染节点数随时间变化曲线Fig.5 Curves of the number of infected nodes with time

当S0>θ时，已感染节点会感染其它易感染节点，导致病毒爆发。与理论分析结果一致。该结果告诉我们，调节网络中易感染节点数量和控制用户行为是保证网络安全的一个有效方法。

4 结束语

考虑到社交网络中用户行为对计算机网络病毒传播具有很大影响，本文基于流行病建模理论，建立了用户行为影响的网络病毒传播模型。提取了影响用户行为的三个主要因素构建模型参数函数。基于所建模型，从理论上定性分析了控制网络病毒扩散的阈值，然后数值模拟结果验证了理论分析的正确性。采用蒙特卡洛方法仿真了用户具有较强安全意识和安全意识薄弱两种情况下，网络病毒扩散趋势。结果表明，用户具有较强安全意识时，网络病毒扩散的规模会大大减小，而且扩散速度比用户安全意识薄弱时，呈现缓慢趋势。最后，通过选取不同调节参数的值，模拟了用户行为对网络病毒扩散的影响程度。实验结果表明，加强用户行为的安全性，是维护网络安全的一个有效方法。本文研究结果揭示了控制网络中易感染节点的数量、加强用户网络安全教育、规范用户行为，是保障网络空间安全的一种有效方法。