CN103093049B - 一种面向社交网络的恶意代码传播预测方法及系统 - Google Patents

Abstract

本发明涉及一种面向社交网络的恶意代码传播预测方法，包括：利用多社交网络爬虫采集系统，获取真实社交网络数据信息，并基于统计学原理进行处理；提取数据信息统计特征，计算对SS-Malware恶意代码的传播行为进行建模所需的相关特征值；将相关特征值输入模拟仿真平台，基于随机过程对SS-Malware恶意代码的传播行为进行建模；根据模型输出数据，分析和预测SS-Malware恶意代码的传播态势，并进行可视化展示。基于该方法，本发明还设计了对应的恶意代码传播预测系统，包括爬虫模块、特征提取模块、传播模型模拟仿真模块和预测展示模块。本发明的方法及系统应用于相关的恶意代码检测与防御系统，提升了针对面向社交网络恶意代码传播态势的预测与处理能力，并增强了防御能力。

Description

一种面向社交网络的恶意代码传播预测方法及系统

技术领域

本发明涉及网络信息安全技术领域和网络安全态势感知技术领域，特别是涉及一种面向社交网络的恶意代码传播预测方法及系统。

背景技术

互联网以及相关应用的高速发展与不断普及使人类的工作与生活更加便利，更加依赖于网络。然而，这也给网络蠕虫、特洛伊木马、僵尸网络等恶意代码的传播入侵提供了更多可能，从而使网络信息安全面临新的威胁。恶意代码是一类被攻击者(俗称“黑客”)出于恶意非法目的设计的脚本代码或软件，用于破坏系统，窃取信息，或者获取主机控制权。一般来讲，恶意代码包括计算机病毒、网络蠕虫、特洛伊木马、僵尸网络、间谍软件、广告软件等多种类型。随着社交网络(socialnetworksites,SNS)的发展，出现了能够在社交网站中窃取用户信息，发动垃圾消息(Spam)等多种攻击的恶意代码(如Koobface)，这类恶意代码利用社交网络的好友关系进行传播，甚至能够利用使用多个社交网络的受害用户，从一个社交网络传播到另一个社交网络中。

从广义上讲，所有由人类社会活动构成的关系网络都可以称为是“社交网络”，而对于本发明来说，社交网络是指基于互联网构建的虚拟人类关系网以及相关的网络服务支撑平台。它以社交网络用户的二元关系形成网络拓扑，而这一“二元关系”表示人与人之间是否存在联系(是否为好友)。在社交网络中，用户能够通过发布信息、共享资源等形式与好友交流，我们把这些消息数据统称为“社交网络消息”(SocialNetworkMessage)。社交网络消息很可能被攻击者恶意使用，利用社会工程学(SocialEngineering)手段入侵社交网络用户，威胁安全。

社会工程学并不能被称为一门科学，而可以被理解为是一种技艺或者窍门，它主要是利用人的弱点，通过一些诱骗方法使人上当的一门艺术与学问。人类从本性上来看，具有本能反应、好奇、信任、贪婪等弱点，这些弱点很可能被攻击者利用对互联网用户进行诱骗、入侵等恶意行为，从而满足攻击者自身利益。在互联网环境中，攻击者利用社会工程学进行的犯罪活动很多，比如：冒充权威机构、知名人士或亲朋好友，通过电话、短信、电子邮件等媒介，诱骗获取受害者银行信用卡账户密码等信息，进而诱骗受害者钱财。而在恶意代码传播上，越来越多的攻击者也开始采用社会工程学攻击(SocialEngineeringAttack,SEA)的方式，利用社交网络服务平台实施网络攻击。

近些年，随着SNS的发展以及SEA的多样化，已经出现了新型的类似Koobface的恶意代码。我们把这类新型的恶意代码称为SS-Malware(Socialnetwork&SocialengineeringMalware)。这类恶意代码能够在社交网站中窃取用户信息，发送垃圾邮件等攻击，更糟的是，它们能够利用SEA，进行跨域(crossdomainspreading)传播，从而扩大了影响范围和危害程度。Koobface是一种SS-Malware，它有很多变种，利用社交网络消息，诱骗用户访问感染主机，在Facebook、Twitter等多个社交网络中跨域传播。

通过对恶意代码传播方式的研究，预测其传播态势是网络信息安全技术领域一个非常有价值的课题。因此，本发明公开了一种面向社交网络的恶意代码传播预测方法及系统。

为了更好地阐述本发明内容，首先给出以下几个定义，其使用范围仅限于本发明。

一.陷阱消息：陷阱消息(TrapMessage)是一种能够隐含恶意代码体，或者包含恶意代码访问方式信息(如恶意链接)的社交网络消息，该消息使用社会工程学方法进行伪装，诱导用户在不知情的情况下访问激活恶意代码执行程序。

二、基于社会工程学的社交网络恶意代码(Socialnetwork&SocialengineeringMalware,SS-Malware)：在一个或多个社交网络中，基于社会工程学攻击手段，设计陷阱消息，利用诱骗方式来入侵感染社交网络用户终端的恶意代码，此类恶意代码需要受害用户参与来达到传播的目的。

三、跨域节点(Cross-DomainNode):在SS-Malware传播过程中，使用多种社交网络服务的用户所对应的计算终端。在不同的社交网络中，这样的用户可能拥有不同的好友列表。

SS-Malware给互联网服务资源与相关用户带来了很大的危害和巨大的威胁。相对于利用漏洞传播的恶意代码，SS-Malware虽然在感染过程中需要用户无意识参与，但无需攻击者挖掘漏洞，也不会因为漏洞补丁的出现而传播速率骤降，这降低了对攻击者专业技术的要求，更容易被采用。另外，它在社交媒体中能够跨域传播，大大增加了传播范围。

在恶意代码传播的分析与预测方面，国内外有一些有价值的成果，主要有：提出了一个基于邮件传播恶意代码传播模型，该模型能够描述Email用户行为对恶意代码传播的影响；分析了社交网络中恶意代码的传播特征，确定了一些抑制恶意代码扩散的因素，如社交网络结构特征、用户点击行为习惯等；公开了一种混合恶意代码传播的数学模型，该模型针对混合恶意代码，能够描述其在复杂网络中利用多种传播手段融合而产生的传播轨迹。

然而，业界和学术界尚缺乏针对SS-Malware传播的研究，已有的传播模型无法描述恶意代码跨域传播的问题，也缺乏对用户行为这一影响因素的充分考虑。因此，无法有效刻画和预测SS-Malware的传播态势。

发明内容

本发明所要解决的技术问题是提供一种面向社交网络的恶意代码传播预测方法及系统，用于解决现有恶意代码传播描述与预测方法无法准确刻画SS-Malware这类新型恶意代码传播态势的问题。

本发明解决上述技术问题的技术方案如下：一种面向社交网络的恶意代码传播预测方法，包括：

步骤1，利用多社交网络爬虫采集系统，获取真实社交网络数据信息，并基于统计学原理处理真实社交网络数据信息；

步骤2，提取经步骤1处理的真实网络数据信息的统计特征，并根据统计特征计算出对SS-Malware恶意代码的传播行为进行建模所需的相关特征值；

步骤3，将步骤2计算的相关特征值输入模拟仿真平台，模拟仿真平台再基于随机过程对SS-Malware恶意代码的传播行为进行建模，得到相应的传播模型；

设n_i为序号为i的节点，n_j为序号为j的节点，tw_i为该节点的响应陷阱消息的时间段；t时刻，n_i不被感染的概率等同于事件1和事件2都发生的概率；事件1：在t-1时刻，n_i没有被感染；事件2：在t-tw_i时刻，n_i没有被好友发送的陷阱消息感染；由于上述事件是相互独立的，因此，设p_i,t为t时刻n_i感染僵尸程序的概率，p_i,t-1为t-1时刻n_i感染僵尸程序的概率，为t-tw_i时刻n_j感染僵尸程序的概率，

$p_{i,t}\≈p_{i,t-1}+{\mathrm{\β}}_i\·\underset{j\≠i}{\Σ}{\mathrm{\α}}_{ij,t}\·p_{j,t-{\mathrm{tw}}_i}$

其中，好友可通过社交网络传播域拓扑结构来判断，α_ij,t表示节点i与节点j在t时刻的通信关系的程度，β_i表示节点i对于陷阱信息的免疫能力；

步骤4，根据步骤3建立的传播模型的输出数据，分析和预测SS-Malware恶意代码的传播态势，并对传播态势进行可视化展示。

在上述技术方案的基础上，本发明还可以做如下改进。

进一步，所述步骤1中的获取的真实社交网络数据信息包括社交网络用户活跃变化信息、节点出入度分布规律信息和消息处理时延信息。

进一步，所述步骤2中对SS-Malware恶意代码的传播行为进行建模所需的相关特征值包括两个节点在某时刻通信关系的程度、某节点对陷阱消息的免疫能力、社交网络节点出度分布、社交网络节点入度分布、平均路径长度和集聚系数。

进一步，所述步骤3中对SS-Malware恶意代码的传播行为进行建模包括：对社交网络多传播域与跨域节点进行建模、对节点间的信任关系进行建模和对用户处理陷阱消息的行为进行建模。

进一步，所述步骤3中的传播模型能对SS-Malware恶意代码的传播过程进行时间粒度可控的模拟仿真。

对应上述方法，本发明的技术方案还包括一种面向社交网络的恶意代码传播预测系统，包括爬虫模块、特征提取模块、传播模型模拟仿真模块和预测展示模块；

所述爬虫模块，其用于获取真实社交网络数据信息，并基于统计学原理处理真实社交网络数据信息；

所述特征提取模块，其用于提取所述爬虫模块处理的真实网络数据信息的统计特征，并根据统计特征计算出对SS-Malware恶意代码的传播行为进行建模所需的相关特征值；

所述传播模型模拟仿真模块，其用于根据所述特征提取模块提取的相关特征值，利用模拟仿真平台基于随机过程对SS-Malware恶意代码的传播行为进行建模，得到相应的传播模型；

设n_i为序号为i的节点，n_j为序号为j的节点，tw_i为该节点的响应陷阱消息的时间段；t时刻，n_i不被感染的概率等同于事件1和事件2都发生的概率；事件1：在t-1时刻，n_i没有被感染；事件2：在t-tw_i时刻，n_i没有被好友发送的陷阱消息感染；由于上述事件是相互独立的，因此，设p_i,t为t时刻n_i感染僵尸程序的概率，p_i,t-1为t-1时刻n_i感染僵尸程序的概率，为t-tw_i时刻n_j感染僵尸程序的概率，

$p_{i,t}\≈p_{i,t-1}+{\mathrm{\β}}_i\·\underset{j\≠i}{\Σ}{\mathrm{\α}}_{ij,t}\·p_{j,t-{\mathrm{tw}}_i}$

其中，好友可通过社交网络传播域拓扑结构来判断，α_ij,t表示节点i与节点j在t时刻的通信关系的程度，β_i表示节点i对于陷阱信息的免疫能力；

所述预测展示模块，其用于根据传播模型的输出数据，分析和预测SS-Malware的传播态势，并进行可视化展示。

进一步，所述爬虫模块包括社交网络爬虫接口、数据解析存储子模块和数据管理与下发子模块；

所述社交网络爬虫接口，其用于对不同的社交网络设计并实现不同的数据采集功能，并进行统一的数据处理；

所述数据解析存储子模块，其用于解析与提取真实社交网络数据信息，并在本地进行格式化存储；

所述数据管理与下发子模块，其用于管理长时间爬取的数据信息、合并冗余数据、去除无效数据和将有价值数据下发到特征提取模块。

进一步，所述特征提取模块和所述传播模型模拟仿真模块均各自与SS-Malware恶意代码数据库连接。

进一步，所述传播模型模拟仿真模块包括配置与管控子模块、网络环境模拟子模块、终端节点模拟子模块和模拟支撑子模块；

所述配置与管控子模块，其用于场景配置与模拟数据实时采集；

所述网络环境模拟子模块，其用于进行网络拓扑、网络路由、网络流量和网络协议的模拟；

所述终端节点模拟子模块，其用于进行智能终端、社交网络应用程序、SS-Malware程序和社交网络用户行为的模拟；

所述模拟支撑子模块，其用于构建抽象对象模拟模型库，并且支持可视化管控界面。

本发明的有益效果是：本发明首次提出并描述了一类新型的面向社交网络的恶意代码(SS-Malware)，并在考虑跨域传播与用户行为的情况下，给出SS-Malware传播的一般过程；本发明设计并实现了一种基于随机过程的传播模型，通过调整参数取值，该模型可以刻画并预测任何一个SS-Malware的传播态势；本发明采用模拟仿真手段进行SS-Malware的模拟与预测，能够快速有效地模拟不同情况下SS-Malware的传播，增强了预测的效率。本发明具体包括以下三个特点：

一、能够有效刻画恶意代码跨域传播的特征：本发明的方法通过引入跨域节点模型，解决了描述SS-Malware在社交媒体中从一个社交网络传播域扩散到其他社交网络传播域的问题；

二、能够有效描述用户处理行为对SS-Malware传播的影响：本发明的方法利用重尾分布(Heavy-TailedDistribution)来对用户处理陷阱消息的时间进行建模，充分考虑了SS-Malware传播中人的因素。

三、能够有效描述社交网络活跃用户动态变化对SS-Malware传播的影响：本发明的方法通过爬虫程序获取真实社交网络中的活跃用户数量等相关数据，利用这些数据得到具有统计学意义的参数，进而指导SS-Malware的传播建模。

综上，本发明的方法及系统可应用于相关的恶意代码检测与防御系统中，提升针对面向社交网络恶意代码传播态势的预测与处理能力，增强系统的防御能力。

附图说明

图1为面向社交网络的恶意代码传播过程的示意图；

图2为本发明面向社交网络的恶意代码传播预测方法的流程示意图；

图3为本发明面向社交网络的恶意代码传播预测方法的原理示意图；

图4为本发明面向社交网络的恶意代码传播预测系统的结构示意图。

具体实施方式

以下结合附图对本发明的原理和特征进行描述，所举实例只用于解释本发明，并非用于限定本发明的范围。

SS-Malware以社交网络作为入侵覆盖网，具有高感染能力，如图1所示，其传播感染的一般过程分为四个步骤，具体如图1中的①、②、③、④所示，分别对应以下四步：

第一步：SS-Malware的制造者根据目标社交网络消息的特征与属性，设计并构造出与真实社交网络消息相似的陷阱消息(即图1中的信封图标)；

第二步：SS-Malware的制造者利用社交网络中已控制或匿名注册的节点，发送陷阱消息到目标节点，获取一定数量的初始感染节点；

第三步：被感染节点的SS-Malware程序收集受害用户的社交网络好友信息，然后冒充该用户，把陷阱消息发送给他的好友，如果该用户是跨域节点，那么陷阱消息就能够扩散到其他社交网络，使SS-Malware实现跨域传播，标记此时刻为t_s。

第四步：通过社交网络，陷阱消息被推送至受害用户的好友，经过一定时间间隔后(我们标记此时刻为t_r),目标好友会对该陷阱消息进行响应与处理。这里有两种结果：一是落入“陷阱”，被感染；二是忽略丢弃该陷阱消息。

上述四步循环反复，构成了SS-Malware的传播过程。在第四步中，对于第一种结果，若该用户终端设备的反病毒系统未识别该陷阱信息中潜在的恶意代码，那么该用户的终端将被感染；对于第二种结果，由于该用户的良好安全意识和恶意代码入侵感染的经验判断力，该用户的终端将成为具有免疫能力的节点。

实施例一公开的SS-Malware传播预测方法假设攻击者已经设计出一种陷阱消息与SS-Malware程序，该程序能够在用户不易察觉的情况下，把陷阱消息从一个社交网络扩散到另一个社交网络。另外，SS-Malware的传播过程需要用户处理陷阱消息，尽管用户不一定意识到会感染恶意代码，或已被感染，但用户响应行为成为SS-malware传播过程中的重要环节。

实施例一的公开的SS-Malware传播预测方法主要基于随机过程的恶意代码传播模型，其流程图如图2所示，包括四个步骤：

步骤1，利用多社交网络爬虫采集系统，获取真实社交网络数据信息，并基于统计学原理处理真实社交网络数据信息；

步骤2，提取经步骤1处理的真实网络数据信息的统计特征，并根据统计特征计算出对SS-Malware恶意代码的传播行为进行建模所需的相关特征值；

步骤3，将步骤2计算的相关特征值输入模拟仿真平台，模拟仿真平台再基于随机过程对SS-Malware恶意代码的传播行为进行建模，得到相应的传播模型；

步骤4，根据步骤3建立的传播模型的输出数据，分析和预测SS-Malware恶意代码的传播态势，并对传播态势进行可视化展示。

对于上述步骤1至步骤4，其工作原理具体包括以下几个方面，如图3所示。

一、对SS-Malware的传播环境进行建模(对应步骤4及步骤3)。

假设一个SS-Malware能够在K个社交网络中传播，这些社交网络中的所有节点组成了一个集合V，该集合为该SS-Malware的感染空间，计算公式如下：

$V=\underset{k=1}{\overset{K}{\∪}}{D}_k---\left(1\right)$

在公式(1)中，D_k表示标号为k的社交网络节点的集合，或称为标号为k的社交网络传播域。考虑跨域节点的因素，跨域节点属于集合V，并且同时属于多个社交网络传播域。这一情况，可表示为：

考虑社交网络用户对陷阱消息的响应行为,从SS-Malware某一感染终端发送陷阱消息(t_s)开始，到接受者处理此陷阱信息(t_r)的时间段记为tw，可表示为：

tw＝t_r-t_s(3)

从统计学的角度来分析，对于整个感染空间的节点来说，tw服从长尾分布，其概率密度函数可表示为：

$\mathrm{Pr}\left(tw\right)=\frac{\mathrm{\τ}}{{\left(tw\right)}^{\mathrm{\τ}+1}}---\left(4\right)$

公式(4)中的tw是一个离散化的时间标度，不指具体时间，其值应大于等于最小时间标度。参数τ是上述长尾分布的参数，它的取值决定分布图的形状，并影响tw的均值，在我们的传播模型中，不同的社交网络传播域的τ值可能不同，以接近真实的情况。

二、基于随机过程的传播模型描述(对应步骤3)。

设n_i为序号为i的节点，tw_i为该节点的响应陷阱消息的时间段。t时刻，n_i不被感染的概率等同于在t-1时刻n_i没有被感染，并且在t-tw_i时刻，他的好友是否给发送陷阱信息给他，以及n_i对这些消息的免疫能力和判断能力。由于上述事件是相互独立的，因此，设p_i,t为t时刻n_i感染僵尸程序的概率，可表示为：

$1-p_{i,t}=(1-p_{i,t-1})\·\underset{j\≠i}{\Π}(1-{\mathrm{\β}}_i\·{\mathrm{\α}}_{ij,t}\·p_{j,t-{\mathrm{tw}}_i})---\left(5\right)$

为了对公式(5)进行化简，利用如下近似公式：

(1-x)·(1-y)≈1-x-y,x＜＜1&y＜＜1(6)

因为p_i，t-1＜＜1，并且p_j，t-twi＜＜1，进而可得：

$p_{i,t}\≈p_{i,t-1}+{\mathrm{\β}}_i\·\underset{j\≠i}{\Σ}{\mathrm{\α}}_{ij,t}\·p_{j,t-{\mathrm{tw}}_i}---\left(7\right)$

设集合I_t为整个SS-Malware可以传播陷阱消息的多个社交网络传播域中在t时刻已经被感染的节点的集合。集合I_t长度的期望值即为t时刻该SS-Malware的规模，可表示为：

$E\left(\right|I_t\left|\right)=\underset{i=1}{\overset{\left|V\right|}{\Σ}}{p}_{i,t}---\left(8\right)$

三、两个重要参数的描述与计算方法(对应步骤2)。

节点i是否被感染与自身上一个时间点的状态，以及t-tw_i时刻节点i所有好友的状态有关。此外，α，β是影响其大小的两个重要参数。其中，α_ij,t表示节点i与节点j在t时刻的通信关系的程度，β_i表示节点i对于陷阱信息的免疫能力。为了确定p_i,t的值，本发明给出了α_ij,t与β_i的计算公式。

${\mathrm{\α}}_{ij,t}=\underset{k=1}{\overset{K}{\Σ}}Act(i,k,t)\·Act(j,k,t-{\mathrm{tw}}_i)\·e_{ij,k}---\left(9\right)$

其中，e_ij,k表示标号为k的社交网络节点i与节点j是否为好友关系，若是则取值为1，否则为0，可以根据给定的社交网络传播域拓扑结构来取值。而Act(i,k,t)表示t时刻节点i在序号为k的社交网络中是否在线，如果节点i不属于社交网络传播域k，则Act(i,k,t)直接置0。如果节点i属于，且在线，则置1；否则置0。

在该传播模型中，设β’_i表示节点i用户对于陷阱信息的判断评估能力以及节点i本身软硬件系统对僵尸程序的防御能力。正态分布适合描述一个群体的某种综合能力水平的分布情况，比如智商，学习成绩等。因此，本文假设上述防御能力β’_i服从正态分布，即β’～N(μ,σ2)。为了满足公式(7)计算需要，β_i计算公式如下：

$\mathrm{\&beta;}=\left\{\begin{array}{cc}1,& {\mathrm{\&beta;}}^{\&prime;}<\mathrm{\&mu;}-c\\ \frac{\mathrm{\&mu;}+c-{\mathrm{\&beta;}}^{\&prime;}}{2c},& \mathrm{\&mu;}-c\&le;{\mathrm{\&beta;}}^{\&prime;}<\mathrm{\&mu;}+c\\ 0,& {\mathrm{\&beta;}}^{\&prime;}\&GreaterEqual;\mathrm{\&mu;}+c\end{array}\right.---\left(10\right)$

其中，(μ-c,μ+c)为β’满足给定概率的置信区间，从公式(10)可知，β_i取值范围为[0,1]。随着β_i值的增大，节点i感染僵尸程序的概率增大。当β_i值趋近于0时，节点i几乎不能被僵尸程序所感染；当其趋近于1时，该节点只要收到陷阱信息，就很容易被感染。

四、基于爬虫技术的社交网络特征采集与提取(对应步骤1)。

针对需要调研的若干社交网络，通过爬虫技术获取这些真实社交网络的数据：1)社交网络用户的每日与每周的活跃情况数据，然后抽象统计其数据信息，进而确定α的取值；2)社交网络用户处理消息的时间延迟数据，然后抽象统计其数据信息，进而确定tw的取值。

基于上述模型与方法，实施例一还给出了一种面向社交网络的恶意代码传播预测系统，该系统使用MATLAB与OMNeT++进行模拟仿真，使用Python语言开发爬虫程序，使用PHP、JavaScript语言开发展示界面。

如图4所示，本系统由爬虫模块，特征提取模块，传播模型模拟仿真模块与预测展示模块四部分，以及SS-Malware数据库组成。

根据模块划分，本系统的工作原理也可分为四部分来进行描述。

一、爬虫模块。

该模块用来从互联网上爬取需要调研的社交网络的数据，具体分为社交网络爬虫接口、数据解析存储，以及数据管理与下发三个子模块。社交网络爬虫接口主要是针对不同的社交网络设计并实现不同的数据采集功能，并且对数据进行一般化处理，是爬虫模块的其他子模块对多样化的社交网络实现统一的数据处理；数据解析存储子模块主要是负责解析与提取本系统关注的数据内容，并在本地进行格式化存储；数据管理与下发子模块主要是管理长时间爬取的数据信息，合并冗余数据，去除无效数据，并且把有价值数据下发到特征提取模块。

二、特征提取模块。

该模块用来提取爬虫模块获取的数据信息的统计特征并计算相关特征值，其与SS-Malware数据库相连。该模块提取的主要的统计特征包括社交网络的节点出度分布、节点入度分布、平均路径长度、集聚系数、参数α，β等，这些特征值用于传播模型模拟仿真模块中的传播模拟仿真环境的初始化输入。

三、传播模型模拟仿真模块。

该模块用来模拟SS-Malware的传播过程，其与SS-Malware数据库相连。该模块具体分为配置与管控子模块、网络环境模拟子模块、终端节点模拟子模块与模拟支撑子模块四个子模块。其中，配置与管控子模块主要负责场景配置与模拟数据实时采集；网络环境模拟子模块主要负责对网络拓扑、网络路由、网络流量与网络协议的模拟；终端节点模拟子模块主要负责对智能终端、社交网络应用程序、SS-Malware程序、社交网络用户行为的模拟；模拟支撑子模块主要基于MATLAB或者OMNeT++，主要用来构建抽象对象模拟模型库，并且支持可视化管控界面。

四、预测展示模块。

该模块用来展示SS-Malware传播态势，包括传播过程的展示，SS-Malware规模预测结果与SS-Malware感染分布的展示。

基于实施例一的方法与系统，实施例二给出了两方面的实验。

第一方面，设计并实现了基于多个社交网络的爬虫采集系统，调研了四个不同的社交网络的数据，进而利用真实数据确定α，tw等参数的取值。整个实验过程历时3个月，采样频率为每小时一次。由采集后的数据进一步来分析，可发现这四个不同的社交网络虽然活跃用户的总数相差很大，按每日中每个时间点(以小时为单位)的波动趋势是趋于一致的。

第二方面，基于SS-Malware的传播特征，构造接近于真实环境的虚拟社交网络传播域，并设计SS-Malware恶意代码，完成了以下三方面的设计：(1)模拟仿真环境下所涉及的虚拟社交网络的抽象设计；(2)SS-malware恶意代码的设计；(3)陷阱消息传播过程的设计。然后，使用MATLAB与OMNeT++分别进行了模拟仿真实验，结果表明本发明的方法及系统能够准确地预测SS-malware某一时刻的规模与分布，误差在5％之内。

以上所述仅为本发明的较佳实施例，并不用以限制本发明，凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims (9)

1.一种面向社交网络的恶意代码传播预测方法，其特征在于，包括：

步骤1，利用多社交网络爬虫采集系统，获取真实社交网络数据信息，并基于统计学原理处理真实社交网络数据信息；

步骤2，提取经步骤1处理的真实网络数据信息的统计特征，并根据统计特征计算出对SS-Malware恶意代码的传播行为进行建模所需的相关特征值；

步骤3，将步骤2计算的相关特征值输入模拟仿真平台，模拟仿真平台再基于随机过程对SS-Malware恶意代码的传播行为进行建模，得到相应的传播模型；

设n_i为序号为i的节点，n_j为序号为j的节点，tw_i为该节点的响应陷阱消息的时间段；t时刻，n_i不被感染的概率等同于事件1和事件2都发生的概率；事件1：在t-1时刻，n_i没有被感染；事件2：在t-tw_i时刻，n_i没有被好友发送的陷阱消息感染；由于上述事件是相互独立的，因此，设p_i,t为t时刻n_i感染僵尸程序的概率，p_i,t-1为t-1时刻n_i感染僵尸程序的概率，为t-tw_i时刻n_j感染僵尸程序的概率，

$p_{i,t}\&ap;p_{i,t-1}+{\mathrm{\&beta;}}_i\&CenterDot;\underset{j\&NotEqual;i}{\&Sigma;}{\mathrm{\&alpha;}}_{ij,t}\&CenterDot;p_{j,t-{\mathrm{tw}}_i}$

其中，好友可通过社交网络传播域拓扑结构来判断，α_ij,t表示节点i与节点j在t时刻的通信关系的程度，β_i表示节点i对于陷阱信息的免疫能力；

步骤4，根据步骤3建立的传播模型的输出数据，分析和预测SS-Malware恶意代码的传播态势，并对传播态势进行可视化展示。

2.根据权利要求1所述的恶意代码传播预测方法，其特征在于，所述步骤1中的获取的真实社交网络数据信息包括社交网络用户活跃变化信息、节点出入度分布规律信息和消息处理时延信息。

3.根据权利要求1所述的恶意代码传播预测方法，其特征在于，所述步骤2中对SS-Malware恶意代码的传播行为进行建模所需的相关特征值包括两个节点在某时刻通信关系的程度、某节点对陷阱消息的免疫能力、社交网络节点出度分布、社交网络节点入度分布、平均路径长度和集聚系数。

4.根据权利要求1所述的恶意代码传播预测方法，其特征在于，所述步骤3中对SS-Malware恶意代码的传播行为进行建模包括：对社交网络多传播域与跨域节点进行建模、对节点间的信任关系进行建模和对用户处理陷阱消息的行为进行建模。

5.根据权利要求1所述的恶意代码传播预测方法，其特征在于，所述步骤3中的传播模型能对SS-Malware恶意代码的传播过程进行时间粒度可控的模拟仿真。

6.一种面向社交网络的恶意代码传播预测系统，其特征在于，包括爬虫模块、特征提取模块、传播模型模拟仿真模块和预测展示模块；

所述爬虫模块，其用于获取真实社交网络数据信息，并基于统计学原理处理真实社交网络数据信息；

所述特征提取模块，其用于提取所述爬虫模块处理的真实网络数据信息的统计特征，并根据统计特征计算出对SS-Malware恶意代码的传播行为进行建模所需的相关特征值；

所述传播模型模拟仿真模块，其用于根据所述特征提取模块提取的相关特征值，利用模拟仿真平台基于随机过程对SS-Malware恶意代码的传播行为进行建模，得到相应的传播模型；

设n_i为序号为i的节点，n_j为序号为j的节点，tw_i为该节点的响应陷阱消息的时间段；t时刻，n_i不被感染的概率等同于事件1和事件2都发生的概率；事件1：在t-1时刻，n_i没有被感染；事件2：在t-tw_i时刻，n_i没有被好友发送的陷阱消息感染；由于上述事件是相互独立的，因此，设p_i,t为t时刻n_i感染僵尸程序的概率，p_i,t-1为t-1时刻n_i感染僵尸程序的概率，为t-tw_i时刻n_j感染僵尸程序的概率，

$p_{i,t}\&ap;p_{i,t-1}+{\mathrm{\&beta;}}_i\&CenterDot;\underset{j\&NotEqual;i}{\&Sigma;}{\mathrm{\&alpha;}}_{ij,t}\&CenterDot;p_{j,t-{\mathrm{tw}}_i}$

其中，好友可通过社交网络传播域拓扑结构来判断，α_ij,t表示节点i与节点j在t时刻的通信关系的程度，β_i表示节点i对于陷阱信息的免疫能力；

所述预测展示模块，其用于根据传播模型的输出数据，分析和预测SS-Malware的传播态势，并进行可视化展示。

7.根据权利要求6所述的恶意代码传播预测系统，其特征在于，所述爬虫模块包括社交网络爬虫接口、数据解析存储子模块和数据管理与下发子模块；

所述社交网络爬虫接口，其用于针对不同的社交网络设计并实现不同的数据采集功能，并进行统一的数据处理；

所述数据解析存储子模块，其用于解析与提取真实社交网络数据信息，并在本地进行格式化存储；

所述数据管理与下发子模块，其用于管理长时间爬取的数据信息、合并冗余数据、去除无效数据和将有价值数据下发到特征提取模块。

8.根据权利要求6所述的恶意代码传播预测系统，其特征在于，所述特征提取模块和所述传播模型模拟仿真模块均各自与SS-Malware恶意代码数据库连接。

9.根据权利要求6所述的恶意代码传播预测系统，其特征在于，所述传播模型模拟仿真模块包括配置与管控子模块、网络环境模拟子模块、终端节点模拟子模块和模拟支撑子模块；

所述配置与管控子模块，其用于场景配置与模拟数据实时采集；

所述网络环境模拟子模块，其用于进行网络拓扑、网络路由、网络流量和网络协议的模拟；

所述终端节点模拟子模块，其用于进行智能终端、社交网络应用程序、SS-Malware程序和社交网络用户行为的模拟；

所述模拟支撑子模块，其用于构建抽象对象模拟模型库，并且支持可视化管控界面。