CN111224942B - 基于三元关联图检测的恶意软件传播控制方法及装置 - Google Patents

Abstract

本发明属于网络安全控制技术领域，具体涉及一种基于三元关联图检测的恶意软件传播控制方法及装置；所述方法包括获取恶意软件、用户节点和传播路径的数据源信息，并进行预处理；建立三元关联图；基于三元关联图中边的权重矩阵，按照交叉迭代评分机制计算出恶意软件、传播路径和用户节点评分；使用多元线性回归评分进行统一的量化，计算出用户节点的影响力；基于评分值和热点感染驱动机制，建立传染病SIHR传播模型，计算出驱动因素对传播状态和传播趋势；根据传播模型的结果，对下一时刻的恶意软件传播路径进行截断，对用户节点进行隔离。本发明对恶意软件进行广播，有效截断恶意软件的传播途径，并对感染用户进行隔离，从而提高用户的安全性。

Description

基于三元关联图检测的恶意软件传播控制方法及装置

技术领域

本发明属于网络安全控制技术领域，尤其是互联网中恶意软件传播分析，具体涉及一种基于三元关联图检测的恶意软件传播控制方法及装置。

背景技术

伴随着过去几十年网络技术的迅猛发展，类似于病毒和蠕虫类的恶意软件，对于计算机的可靠性、完整性和可用性是一个严重威胁。如恶意软件可通过因特网传播并感染百万数量的电脑和手机，恶意软件在网络中往往通过扩散或者感染进行传播，并会导致网络的巨大损耗。因此，在当今日益复杂的网络攻击和互联网安全威胁中，对恶意软件传播进行分析尤为重要。对公共部门对网络安全控制和及时发现和化解社会问题有积极作用。

近年来，学者们在恶意软件传播上做了广泛的研究。一部分学者提取不同的恶意软件特征进行传播分析，其优点在于，可通过不同角度分析恶意软件传播方式，从而对恶意软件传播趋势进行预测，但是未提取出其中具有关联关系的因素。一部分学者通过网络拓扑结构、用户行为或者传播路径来量化影响力和恶意软件传播驱动力，但是指标量化的优劣对传播结果是有直接影响的，这些研究却未提供合适的方法对多种驱动因素进行多元量化。。还有一部分学者考虑到了恶意传播软件的多态性，如张苑超等人申请的中国发明专利CN108667833A提供基于耦合的通信系统恶意软件传播建模与最优控制方法，其重点考虑了计算机网络中同时传播的两恶意软件A和B间的单向耦合,利用SIS模型分别建立A和B各自的传播动力学模型，尽管该方法对传播动力学有了一定分析，但是缺少对多元有效特征进行提取和分析。另外，恶意软件在传播过程中是一个不断演变的过程，对于不断演变的情形，并没有提供有效的控制措施。

发明内容

基于现有技术存在的问题，为了更准确地预测恶意软件的传播趋势，本发明检测恶意软件、传播路径和用户三元素在网络传播中的关联关系，并结合传播影响力检测，提出了一种基于三元关联图检测的恶意软件传播控制方法及装置。

一种基于三元关联图检测的恶意软件传播控制方法，包括：

S1、获取恶意软件、用户节点和传播路径的数据源信息，并进行预处理；

S2、建立以用户节点向量、恶意软件向量以及传播路径向量构成的三元关联图；

S3、建立三元关联图中边的权重矩阵，按照交叉迭代评分机制计算出恶意软件、传播路径和用户节点评分；

S4、使用多元线性回归对恶意软件、传播路径和用户节点评分进行统一的量化，计算出用户节点的影响力；

S5、基于三元关联图的评分值和热点感染驱动机制，建立传染病SIHR传播模型，计算出驱动因素对传播状态和传播趋势；

S6、根据传播模型的计算结果，对下一时刻的恶意软件传播路径进行截断，对用户节点进行隔离。

另外，本发明还提出了一种基于三元关联图检测的恶意软件传播控制装置，包括：

数据源信息获取模块，用于获取恶意软件、用户节点和传播路径的数据源信息；

传播网络构建模块，用于根据恶意软件、用户节点和传播路径的数据源信息建立三元关联图网络；

评分模块，用于对恶意软件、传播路径和用户节点评分；

多元线性构造模块，用于根据评分按照多元线性回归方法计算出用户节点的影响力；

传染病模型传播模块，用于根据计算出的影响力，建立传染病SIHR传播模型，计算出恶意软件在网络中的传播趋势；

传播控制模块，用于根据计算出的传播趋势，将下一时刻的恶意软件传播路径进行截断，对用户节点进行隔离。

本发明的有益效果：

1、本发明利用三元关联图描述恶意软件传播网络中恶意软件、传播路径和用户节点三元素之间关联关系，引入病毒传播网络树状结构，利用用户节点转发形成的网络结构确定转发的传播路径，构建了更深层次的传播关联关系。

2、本发明引入了三元关联图交叉迭代评分机制和影响力量化方法，该方法巧妙借鉴交叉评分策略，不仅可以挖掘恶意软件在传播过程中复杂的驱动因素；同时，还可以对多元影响力进行量化。

3、本发明引入时间切片和细化感染状态，在传统传播模型基础上，将感染状态细分为普通感染状态和热点感染状态，使用本方法能更动态的感知传播态势，本发明装置更精准地控制恶意软件传播。

4、可以应用于网络安全管控，有助于掌握恶意软件在网络上的传播态势，还能挖掘到恶意软件、传播路径和用户三元素关联关系及其对传播的影响。也可以使监管部门更准确地掌握恶意软件的传播，并加以引导和管控。

附图说明

图1为本发明提出的基于三元关联图和传播影响力传播趋势的预测方法的优选实施例流程图；

图2为本发明的传播树模型图；

图3为本发明的恶意软件传播三元关联图；

图4为本发明的交叉迭代评分图；

图5为本发明的恶意软件传播模型图。

具体实施方式

为了使本发明的目的、技术方案及优点更加清楚明白，以下结合附图对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。

可以理解的是，本实施例中的恶意软件传播控制方法和装置，可以实施于各种网络终端设备，也可以实施于网络后台服务器，如社交应用服务器，社交消息管理服务器等，再不加以其他限定的情况下，本发明实施例中的恶意软件传播控制方法可以是由恶意软件传播控制装置执行实施。

在一个实施例中，如图1所示，一种基于三元关联图检测的恶意软件传播控制方法，包括：

S1、获取恶意软件、用户节点和传播路径的数据源信息，并进行预处理；

具体的，所述数据源信息可以通过社交网络公共API或直接下载现有数据源。

另外，对数据源信息进行预处理包括数据清洗等，通常获取的原始数据都是非结构化的，不能直接用于数据分析，经过简单的数据清洗可以使大部分非结构化数据结构化。例如，删除重复数据、清理无效节点等。

S2、建立以用户节点矩阵向量、恶意软件向量以及传播路径向量构成的三元关联图；

恶意软件在网络中传播时，其首先由起始用户节点进行创建；然后进行分层转发，最后传输到边缘用户节点；如图2所示，将用户v₁作为恶意软件的起始用户节点，分别传输到用户节点v₂和用户节点v₃，分别再分层传播，直至传播到边缘用户节点v₁₀、v₁₁和v₁₂；在传输过程中，每一次的转发都可以构成一条由两个节点形成的连边，以起始用户节点为根节点，以边缘用户节点为叶子节点，可确定恶意软件传播树结构。在恶意软件传播模型中，可从用户节点行为中提取转播路径树，因此其对恶意软件的传播起到了决定性作用。

进一步的，三元关联图可参考如图3所示，恶意软件与传播路径之间形成网络连接，传播路径到用户节点之间形成网络连接，从而构成用户节点向量、恶意软件向量以及传播路径向量构成的三元关联图；恶意软件向量表示为M＝{m₁,m₂,...,m_k}，其代表恶意软件在网络中的流行度，其热度值可以反映出该个体恶意软件在网络中的危害性的高低；传播路径向量表示为P＝{p₁,p₂,...,p_t}，其表示传播路径在网络中的重要程度；用户节点向量表示为V＝{v₁,v₂,...,v_i}，其表示不同用户节点对网络产生的影响不同；本发明使用恶意软件-传播路径和传播路径-用户节点两两结合组成的边权重矩阵作为关系纽带，可将传播网络转换成一个三元关联图表示为，表示为G_T(M∪P∪V,E∪F)，E代表恶意软件M-传播路径P的边权重矩阵；F代表传播路径P-用户节点V的边权重矩阵。

在一个实施例中，本实施例对参与用户节点的传播能力评估从其广度和深度两方面进行，传播的广度是指在当前节点发出恶意软件传播链接后，对其转发的用户节点数量，本模型只计算其两层的转发数量，例如本实施例中，针对用户v₁，只计算第一层v₂和v₃，以及第二层v₄、v₅、v₆以及v₇的影响。当然，也可以计算第三层的影响。

另外，以当前用户节点作为根节点往下数，恶意软件通过当前用户节点传输到多个边缘节点的平均层数，定义为传播的深度。

在本实施例中，以只计算其两层的转发数量为例，用户节点在个体传播中的驱动力可定义为：

其中：UserIndDrive(v_i,m_k)表示用户节点v_i传播恶意软件m_k的驱动力；Am[twitter1(v_i)]表示第一层用户节点转发数量，Am[twitter2(v_i)]表示第二层用户节点转发数量，

表示当前用户节点平均深度。

网络中，恶意软件以群体方式传播，对不同种类恶意软件的分析可获取其个体传播网络。由于相同用户节点可能会同时参与多个个体恶意软件传播，因此，针对用户节点v_i传播恶意软件的驱动力可定义如下：

S3、建立三元关联图中边的权重矩阵，按照交叉迭代评分机制计算出恶意软件、传播路径和用户节点评分；

其中，步骤S3包括对各个向量交替进行正向迭代和逆向迭代，迭代计算出对应的恶意软件评分值、传播路径评分值以及用户节点评分值；其中，正向迭代包括恶意软件通过权重矩阵传递给传播路径而产生的传播路径评分，再由传播路径通过权重矩阵传递给用户节点而产生的用户节点评分；逆向迭代包括用户节点通过权重矩阵传递给传播路径产生传播路径评分，再由传播路径通过权重矩阵传递给恶意软件产生恶意软件评分。

具体的，三元关联图构建完成后，在进行交叉迭代评分之前，需要对恶意软件向量M进行初始化，向量M代表恶意软件在网络中的流行度；在后续每次迭代计算中，恶意软件评分将于与传播路径评分、用户节点评分，同步进行更新。其中，归一化后的恶意软件向量M初始值定义为：

式中r_k,i代表恶意软件m_k传播中是否包含了路径节点v_i，如包含，则r_k,i＝1，否则r_k,i＝0；HotValue_i代表用户节点v_i的热点值。如果恶意软件m_k通过传播路径p_t进行传播，则E(k,t)≠0，否则E(k,t)＝0，E的具体形式由式给出：

式中，

表示恶意软件传递给传播路径的权重矩阵；P表示传播路径向量，代表传播路径在网络中的重要程度；k∈K，t∈T，K表示恶意软件向量中恶意软件的个数，T表示传播路径向量中传播路径的条数；n_k,t代表恶意软件m_k中通过传播路径p_t进行传播的轨迹数量，也可以将

作为恶意软件m_k到传播路径p_t的转移概率，因此

成立。

同理，如果传播路径p_t通过用户节点v_i进行传播，则

矩阵中k行，t列元素F(t,i)≠0，否则F(t,i)＝0，

的归一化形式由式给出：

式中，

表示传播路径传递给用户节点的权重矩阵；V表示传播中用户节点向量，代表用户节点对网络产生的影响力；n_t,i表示传播路径p_t中通过用户节点v_i进行传播的轨迹数量；Q_i表示用户节点v_i的传播驱动力，i表示用户节点v_i的索引，i∈I，I表示用户节点向量中用户节点的个数；如果传播路径p_t通过用户节点v_i进行传播，则

中t行，i列元素F(t,i)≠0，否则F(t,i)＝0。

如图4所示，本发明通过交叉迭代评分机制进行量化各向量评分结果，每次迭代过程都会进行正向迭代和逆向迭代两个操作。正向迭代是通过恶意软件M通过权重矩阵

传递给传播路径P而产生的传播路径评分，再由传播路径P通过权重矩阵

传递给用户节点V而产生的用户节点评分。流行度高的恶意软件对传播路径产生的评分更高，被越多的传播路径所选择的用户节点评分也越高，正向迭代计算方式如下：

逆向迭代的过程与正向迭代的过程相反，高选择的传播路径对恶意软件评分起主导作用，同样如果传播路径选择了更多重要用户节点，则评分也越高。可分别通过权重矩阵

和

进行计算如下：

为了加快算法的迭代速度，在每次迭代后，均对M',P',V'进行了归一化，其中上标'表示更新后的向量，公式如下：

式中X_avg，X_max，X_min分别表示该矩阵中元素平均值、最大值和最小值。

三元关联图中M和V通过P构成了互相关联性，正向迭代和逆向迭代循环交替使用，迭代终止条件为当本次迭代评分和上次迭代评分差值小于阈值ε时，迭代终止。为了确保算法收敛，在每次正向迭代完成时，均对用户节点向量进行归一化操作。

表示传播路径传递给恶意软件的权重矩阵，上标^T表示转置；

表示用户节点传递给传播路径的权重矩阵。

整个传递过程中，从恶意软件向量M⁽⁰⁾开始计算，反复采用正向迭代和逆向迭代，直至完成对用户节点向量M、恶意软件向量P以及传播路径向量V的评分。

S4、使用多元线性回归对恶意软件、传播路径和用户节点评分进行统一的量化，计算出用户节点的影响力；

如图4所示，将恶意软件评分、传播路径评分以及用户自身评分值数据采用交叉迭代评分算法进行排序处理，再对后续数据采用多元线性回归计算出用户节点的影响力。

恶意软件在网络传播中受多种因素的影响，为了更详尽的体现各因素对传播驱动的影响，本发明提出一种采用多元线性回归的量化方法，通过对用户热点值、恶意软件、传播路径和用户节点评分系数进行计算，得出用户v_i的影响力如下：

inf(v_i)＝γ₀+γ₁HotValue(v_i)+γ₂Mal(v_i)+γ₃Path(v_i)+γ₄V(v_i) (13)

式中，inf(v_i)表示用户v_i的影响力，γ₀,γ₁,γ₂,γ₃,γ₄均为偏回归系数；HotValue(v_i)表示用户的热点值；Mal(v_i)表示用户参与传播恶意软件评分均值；Path(v_i)用户参与传播路径评分均值；V(v_i)表示用户节点的自身评分值；式中各数学表达式如下：

式(14)中σ_j(v_i)表示用户节点v_i参与传播的个体恶意软件评分值，n表示该用户参与传播的恶意软件个数。

公式(13)中Path(v_i)为用户节点v_i参与传播路径评分均值，数学表达式如下：

式(15)中ρ_j(v_i)表示用户节点v_i参与的传播路径j的评分值，m表示其参与传播路径个数。

S5、基于三元关联图的评分值和热点感染驱动机制，建立传染病SIHR传播模型，计算出驱动因素对传播状态和传播趋势；

在恶意软件在网络传播过程中，首先需分辨出对传播其关键作用的热点用户，如果热点用户被感染，则与之关联的大量用户也存在被感染的风险。为了尽可能与真实网络环境一致，本发明提出了SIHR全局模型，它由一个常微分方程系统来控制。如图5所示，模型的四个状态分别为易感用户S(t)、普通感染用户I(t)、热点感染用户H(t)和免疫用户R(t)。

假设在恶意软件传播模型中，某状态下的用户节点v_i具有k个邻居，其中b个邻居状态发生改变的概率符合二项分布，任意用户节点从易感状态转变到普通感染用户状态的概率的数学表达式如下：

则任意用户节点从易感状态转变到热点感染用户状态的概率的数学表达式如下：

其中，inf_nor(v_i)表示普通感染用户v_i的影响力，k表示某状态下的用户节点v_i具有的邻居个数；b表示用户节点v_i的邻居节点状态发生改变的个数；infhot(v_i)表示热点感染用户v_i的影响力。

此外，模型SIHR建立在以下3个假设上：为了检测模型更好的符合网络场景，把已感染用户细分为普通感染用户和热点感染用户，因此可将用户节点分为易感染用户、免疫用户、普通感染用户和热点感染用户；易感染用户分别以感染率λ₁、λ₂成为普通感染用户和热点感染用户，其中λ₁,λ₂∈[0,1]。当感染用户检测到恶意软件并成功移除时，普通感染用户或热点感染用户将分别以恢复率μ₁、μ₂获得免疫，其中μ₁,μ₂∈[0,1]。免疫用户再次以一定概率γ变为易感用户。

其动力学方程如下：

此模型在传统传播动力学模型基础上，将感染状态细分为普通感染状态和热点感染状态，并综合考虑了三元关联迭代算法和影响力量化方法。该模型不仅能发现恶意软件在网络中的传播态势，同时，还能挖掘到恶意软件、传播路径和用户节点三元素之间的关联关系及其对传播态势的影响。

S6、根据传播模型的计算结果，对下一时刻的恶意软件传播路径进行截断，对用户节点进行隔离。

在一个可实现方式中，本发明的检测方法还包括服务器和控制端；将检测到的即将对传播产生重要影响的用户节点、传播路径和传播趋势通过API接口模块发送至服务器，控制端实时调用服务器的数据信息，对监控到的用户节点、传播路径和传播趋势进行干预，包括采用限流、引流以及审核等方式对下一时刻的恶意软件传播路径树进行截断以及对用户节点进行隔离，具体的控制方式还可参考任意相关的现有技术。

另外，本实施例的一种基于三元关联图检测的恶意软件传播控制装置，包括：

数据源信息获取模块，用于获取恶意软件、用户节点和传播路径的数据源信息；

传播网络构建模块，用于根据恶意软件、用户节点和传播路径的数据源信息建立三元关联图网络；

评分模块，用于对恶意软件、传播路径和用户节点评分；

多元线性构造模块，用于根据评分按照多元线性回归方法计算出用户节点的影响力；

传染病模型传播模块，用于根据计算出的影响力，建立传染病SIHR传播模型，计算出恶意软件在网络中的传播趋势；

传播控制模块，用于根据计算出的传播趋势，将下一时刻的恶意软件传播路径进行截断，对用户节点进行隔离。

进一步的，所述传播控制模块包括信息广播单元，所述信息广播单元用于将恶意软件的传播路径在用户节点中广播推送。

在一个优选实施例中，所述传播控制模块还包括信息监控单元，用于对所述恶意软件的传播行为进行监控。

本领域普通技术人员可以理解上述实施例的各种方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成，该程序可以存储于一计算机可读存储介质中，存储介质可以包括：ROM、RAM、磁盘或光盘等。

以上所举实施例，对本发明的目的、技术方案和优点进行了进一步的详细说明，所应理解的是，以上所举实施例仅为本发明的优选实施方式而已，并不用以限制本发明，凡在本发明的精神和原则之内对本发明所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims (7)

1.一种基于三元关联图检测的恶意软件传播控制方法，其特征在于，包括：

S1、获取恶意软件、用户节点和传播路径的数据源信息，并进行预处理；

S2、建立以用户节点向量、恶意软件向量以及传播路径向量构成的三元关联图；

S3、建立三元关联图中边的权重矩阵，按照交叉迭代评分机制计算出恶意软件、传播路径和用户节点评分；

对各个向量交替进行正向迭代和逆向迭代，迭代计算出对应的恶意软件评分值、传播路径评分值以及用户节点评分值；其中，正向迭代包括恶意软件通过权重矩阵传递给传播路径而产生的传播路径评分，再由传播路径通过权重矩阵传递给用户节点而产生的用户节点评分；逆向迭代包括用户节点通过权重矩阵传递给传播路径产生传播路径评分，再由传播路径通过权重矩阵传递给恶意软件产生恶意软件评分；

各个权重矩阵的计算公式分别为：

其中，

表示恶意软件传递给传播路径的权重矩阵；M表示恶意软件向量，代表恶意软件在网络中的流行度；P表示传播路径向量，代表传播路径在网络中的重要程度；k∈K，t∈T，K表示恶意软件向量中恶意软件的个数，T表示传播路径向量中传播路径的条数；n_k,t表示恶意软件m_k中通过传播路径p_t进行传播的轨迹数量；如果恶意软件m_k通过传播路径p_t进行传播，则

矩阵中k行，t列元素E(k,t)≠0，否则E(k,t)＝0；

表示传播路径传递给用户节点的权重矩阵；V表示传播中用户节点向量，代表用户节点对网络产生的影响力；n_t,i表示传播路径p_t中通过用户节点v_i进行传播的轨迹数量；Q_i表示用户节点v_i的传播驱动力，i表示用户节点v_i的索引，i∈I，I表示用户节点向量中用户节点的个数；如果传播路径p_t通过用户节点v_i进行传播，则

中t行，i列元素F(t,i)≠0，否则F(t,i)＝0；

表示传播路径传递给恶意软件的权重矩阵，上标T表示转置；

表示用户节点传递给传播路径的权重矩阵；

S4、使用多元线性回归对恶意软件、传播路径和用户节点评分进行统一的量化，计算出用户节点的影响力；

S5、基于三元关联图的评分值和热点感染驱动机制，建立传染病SIHR传播模型，计算出驱动因素对传播状态和传播趋势；

所述步骤S5包括将用户节点分为易感染用户、免疫用户、普通感染用户和热点感染用户；易感染用户分别以感染率λ₁、λ₂成为普通感染用户和热点感染用户，λ₁,λ₂∈[0,1]；当感染用户检测到恶意软件并成功移除时，普通感染用户或热点感染用户将分别以恢复率μ₁、μ₂获得免疫，μ₁,μ₂∈[0,1]；基于任意状态下的用户中b个邻居用户的状态发生改变的概率符合二项分布的规律，计算得到易感染用户成为普通感染用户的概率u₁(t)和热点感染用户的概率u₂(t)；建立出传染病SIHR传播模型：

其中，u₁(t)表示用户节点在某一时刻t从易感状态S转为普通感染状态I的概率；S(t)表示用户在某一时刻t处于状态S的占比，S表示用户处于易感状态，即还未接触过恶意软件；I(t)表示用户在某一时刻t处于状态I的占比，I表示用户处于普通感染状态，用户已经接触了恶意软件且相信恶意软件；u₂(t)表示用户节点在某一时刻t从易感状态S转为热点感染状态I的概率；H(t)表示用户在某一时刻t处于状态H的占比，H表示用户处于热点感染状态，即用户已经接触了恶意软件且相信恶意软件；R(t)表示用户在某一时刻t处于状态R的占比，R表示用户处于免疫状态，即用户已经接触过恶意软件且不相信恶意软件；γ表示处于状态R的用户转变为状态S的概率；

S6、根据传播模型的计算结果，对下一时刻的恶意软件传播路径进行截断，对用户节点进行隔离。

2.根据权利要求1所述的一种基于三元关联图检测的恶意软件传播控制方法，其特征在于，所述三元关联图包括由起始节点用户创建的恶意软件，按照传播路径传输到其余用户节点。

3.根据权利要求1所述的一种基于三元关联图检测的恶意软件传播控制方法，其特征在于，迭代终止条件为当本次迭代评分和上次迭代评分差值小于阈值ε时，迭代终止；且在每次迭代后，均对更新后的各个评分值进行了归一化。

4.根据权利要求1所述的一种基于三元关联图检测的恶意软件传播控制方法，其特征在于，步骤S4所计算的用户节点的影响力包括：

inf(v_i)＝γ₀+γ₁HotValue(v_i)+γ₂Mal(v_i)+γ₃Path(v_i)+γ₄V(v_i)

其中，inf(v_i)表示用户v_i的影响力，γ₀,γ₁,γ₂,γ₃,γ₄均为偏回归系数；HotValue(v_i)表示用户的热点值；Mal(v_i)表示用户参与传播恶意软件评分均值；Path(v_i)用户参与传播路径评分均值；V(v_i)表示用户节点的自身评分值。

5.根据权利要求1所述的一种基于三元关联图检测的恶意软件传播控制方法，其特征在于，

其中，inf_nor(v_i)表示普通感染用户v_i的影响力，k表示某状态下的用户节点v_i具有的邻居个数；b表示用户节点v_i的邻居节点状态发生改变的个数；inf_hot(v_i)表示热点感染用户v_i的影响力。

6.应用于如权利要求1～5任一所述的一种基于三元关联图检测的恶意软件传播控制方法的装置，其特征在于，包括：

数据源信息获取模块，用于获取恶意软件、用户节点和传播路径的数据源信息；

传播网络构建模块，用于根据恶意软件、用户节点和传播路径的数据源信息建立三元关联图网络；

评分模块，用于对恶意软件、传播路径和用户节点评分；

多元线性构造模块，用于根据评分按照多元线性回归方法计算出用户节点的影响力；

传染病模型传播模块，用于根据计算出的影响力，建立传染病SIHR传播模型，计算出恶意软件在网络中的传播趋势；

传播控制模块，用于根据计算出的传播趋势，将下一时刻的恶意软件传播路径进行截断，对用户节点进行隔离。

7.根据权利要求6所述的装置，其特征在于，所述传播控制模块包括信息广播单元，所述信息广播单元用于将恶意软件的传播路径在用户节点中广播推送。

Images