CN115051825A

CN115051825A - 一种针对物联网异构设备的恶意软件传播防御方法

Info

Publication number: CN115051825A
Application number: CN202210355717.2A
Authority: CN
Inventors: 黄杰; 朱雪金
Original assignee: Southeast University
Current assignee: Southeast University
Priority date: 2022-04-06
Filing date: 2022-04-06
Publication date: 2022-09-13
Anticipated expiration: 2042-04-06
Also published as: CN115051825B

Abstract

本发明公开了一种针对物联网异构设备的恶意软件传播防御方法，包括设备状态转换关系的建立、恶意软件传播模型的建立、传播条件的获得、最优控制模型建立及防御方法选择，将物联网设备状态分为易感、潜伏、传播与恢复四种，建立不同状态间的转换关系；基于流行病学理论建立针对物联网异构设备的恶意软件传播模型；通过计算得到恶意软件的传播阈值以及不同种类设备的平衡点，提出了动态恢复率最优防御策略，选择相应的防御方法，根据实际物联网场景建立一种合理的恶意软件传播模型，揭示其传播规律，并利用最优动态恢复率策略抑制物联网中恶意软件的传播，有效反映恶意软件在多种异构物联网设备中的传播动态，相对于静态策略所达到的综合效果更好。

Description

一种针对物联网异构设备的恶意软件传播防御方法

技术领域

本发明属于网络空间安全的技术领域，尤其涉及一种针对物联网异构设备的恶意软件传播防御方法。

背景技术

随着物联网技术的快速发展，物联网设备规模以指数级快速增长，同时物联网设备类型也多种多样。然而，物联网设备存在的安全问题也逐渐暴露出来。物联网设备大多是面向普通个人用户的，因此制造商重视低成本和易于部署而不是安全性，从而忽略了关键的安全功能，生产了大量不安全的物联网设备，如网络摄像头、智能路由器、可穿戴设备等。这些安全漏洞通常是由固有的计算能力限制、默认凭证和不安全通信协议的使用所衍生的，这为攻击者提供了良好的攻击条件。此外，大多数物联网设备部署运行在开放环境，并且可能没有定期安全维护，提高了被恶意软件感染和控制的风险。在如此大规模且安全防护能力较低的联网设备中，极易发生病毒、僵尸网络等恶意软件的传播。攻击者只需要成功感染少数几种物联网设备类型，都将会形成大规模的感染范围，从而利用捕获到的这些设备进行其他的恶意攻击操作，比如向某个服务器发起DDoS攻击。

因此，物联网安全问题引起了学术界和产业界的广泛关注，特别是物联网的恶意软件大规模传播问题。然而，目前的大多数方法是针对物联网恶意软件的检测以及僵尸网络的建模分析，缺少对恶意软件传播规律的研究。从物联网恶意软件防御的角度分析其传播方式和传播特征，对降低恶意软件传播的风险和危害具有重要意义。在传统的互联网场景中，流行病学模型被广泛用于研究恶意软件的传播，并且已经提出许多针对计算机网络的恶意软件传播模型。然而，由于IoT网络具有设备异构性、节点计算能力有限、节点规模大的特点，IoT恶意软件传播机制与传统互联网场景明显不同，面向物联网场景的恶意软件传播研究要比传统网络更具难度与挑战性。因此，设计一种适合物联网异构设备场景下的恶意软件传播及防御方法对物联网安全极其重要。

发明内容

本发明正是针对现有技术在实际应用中存在的问题，提供一种针对物联网异构设备的恶意软件传播防御方法，包括设备状态转换关系的建立、恶意软件传播模型的建立、传播条件的获得、最优控制模型建立及防御方法选择，根据实际物联网场景建立一种合理的恶意软件传播模型，揭示其传播规律，并利用最优动态恢复率策略抑制物联网中恶意软件的传播。

为了实现上述目的，本发明采取的技术方案是：一种针对物联网异构设备的恶意软件传播防御方法，包括如下步骤：

S1，设备状态转换关系的建立：将物联网设备分为易感、潜伏、传播与恢复四种状态，并建立状态之间的转换关系，所述转换关系至少包括：

当某一台设备被成功感染时，该感染设备为第i种类型的概率为

则单位时间内有

个第i种设备被感染进入潜伏状态L_i，其中，S表示易感群体个数；m表示设备类型总数；L₁,L₂,...,L_m表示不同设备类型的潜伏群体个数；P₁,P₂,...,P_m表示不同设备类型的传播群体个数；β₁,β₂,...,β_m表示每种设备类型对应的感染率；

系统中对于第i种类型设备，单位时间内有α₁L_i个潜伏设备转换为传播状态，有α₂P_i个传播设备转换为潜伏设备，其中α₁表示潜伏设备向传播设备的转换率，α₂表示传播设备向潜伏设备的转换率；

S2，恶意软件传播模型的建立：根据不同状态之间的转换关系，构造基于微分方程组的异构设备恶意软件传播模型，所述模型为：

其中，R表示恢复群体个数；μ表示物联网设备更新率；N表示系统中设备总数；γ₁,γ₂,...,γ_m表示每种设备类型对应的恢复率；

S3，大规模传播阈值的获得：恶意软件大规模传播阈值即为基本再生率R₀：

S4，最优控制模型建立：最优控制模型的目标是低成本下维持感染设备的低比例，得到系统的最优恢复率，所述最优恢复率函数为：

其中，

为对于第i种类型设备，系统所有恢复措施所能达到的最大恢复率；ω_i为第i种类型设备基于控制效果和控制成本的权衡因子；λ_2i为最优控制模型的伴随函数；p_i为第i种类型设备中的感染设备比例

S5，防御方法选择：根据最优恢复率，选择具体的防御恢复措施。

作为本发明的一种改进，所述步骤S1中：系统中对于第i种类型设备，单位时间内有γ_iL_i个设备成功恢复到健康状态并免疫，其中γ₁,γ₂,...,γ_m表示不同设备类型的恢复率。

作为本发明的一种改进，所述步骤S3中当传播阈值R₀小于1时，系统将最终稳定于无病平衡点E₀(N,0,0,...,0)；

当传播阈值R₀大于1时，系统将最终稳定于地方病平衡点，且地方病平衡点

由以下公式所决定：

作为本发明的另一种改进，所述步骤S4中最优控制模型的性能指标泛函为：

其中，δp_i为感染比例的加权项，δ≥0δ>0为的加权系数，表示设计者对感染比例的重视成本，T表示最优控制模型的截止时间ω_i。

作为本发明的又一种改进，所述步骤S4中权衡因子ω_i计算公式为：

其中，c_ij表示第i中设备类型的第j种恢复措施的成本(c_i1<c_i2<…<c_id)，r_ij表示第i中设备类型的第j种恢复措施的最大恢复比例。

作为本案更进一步的改进，所述步骤S5中的防御恢复措施，以成本最低为目标，当成本最低却无法达到最优恢复率时，按照成本大小的顺序依次选择。

与现有技术相比：本发明改进了现有的互联网恶意软件传播模型，传统的互联网场景中感染设备主要是个人计算机单一设备类型，而在物联网中存在着多种类型的异构设备。不同的设备类型具有不同的计算存储能力，这导致不同设备被感染后，传播恶意软件的能力有所不同；同时，不同类型设备的恢复手段以及恢复难度也不尽相同。因此，当利用流行病学理论研究物联网恶意软件传播模型时，本发明考虑了多种物联网类型设备的感染率与恢复率，将潜伏群体和传播群体细分为若干个子群体，从而使模型更好的反映物联网场景下恶意软件传播的时间动态。

附图说明

图1为本发明提供的针对物联网异构设备的恶意软件传播防御方法的流程示意图；

图2为本发明中物联网设备状态转换关系图。

具体实施方式

下面结合附图和具体实施方式，进一步阐明本发明，应理解下述具体实施方式仅用于说明本发明而不用于限制本发明的范围。

实施例1

一种针对物联网异构设备的恶意软件传播防御方法，如图1所示，该方法包括如下步骤：

步骤S1：将物联网设备分为易感、潜伏、传播与恢复四种状态，并建立状态之间的转换关系。

易感状态(S)：易感状态的设备处于健康状态，但由于自身存在安全漏洞，比如设有弱密码登录。因此易感设备一旦被其他感染设备扫描到，则很容易被恶意软件感染。在本文提出的模型中，系统中所有设备的基础状态都为易感状态，即系统中不包括那些不存在物联网安全漏洞的设备。

潜伏状态(L)：当设备被成功爆破并从攻击者文件服务器下载恶意软件后，即进入潜伏状态，处于该状态的设备虽然已经被感染，但由于暂时没有接收到C&C服务器的传播命令，因此不具有传播能力。此外，当处于传播状态的设备接收到C&C服务器的停止传播命令后，将会转换为潜伏状态。

传播状态(P)：当处于潜伏状态的设备接收到攻击者C&C服务器的传播命令后，设备状态变为传播状态。传播状态的设备利用恶意软件中的IP扫描器模块对全网进行随机扫描，寻找存在安全漏洞的设备，即易感设备。如果成功爆破其他物联网设备，则传播成功。在接收到C&C服务器停止传播命令之前，设备将一直处在传播状态并进行而恶意软件传播操作。

恢复状态(R):当传播状态的设备通过恶意软件检测和漏洞修补等安全措施恢复到健康状态并获得了免疫，并且不会再次被恶意软件感染。潜伏状态的节点由于不会进行任何攻击操作，因此恶意软件很难被检测发现并恢复。因此本文提出的模型合理假设只有传播状态的设备才能被恢复，而潜伏状态无法恢复。

根据物联网恶意软件传播的特点，本发明将以上四种群体之间构造状态转换图如图2所示。对于不同的设备类型，计算能力的不同导致感染设备的传播能力是不同的，本实施例中将感染群体和感染群体个数分别表示为L₁,L₂,...,L_m以及P₁,P₂,...,P_m，其中m表示设备类型总数。每种设备类型对应的感染率分别为β₁,β₂,...,β_m。当某一台设备被成功感染时，该感染设备为第i种类型的概率为

则单位时间内有

个第i种设备被感染进入潜伏状态L_i。被感染的物联网潜伏设备根据接受到C&C服务器命令，在潜伏状态和传播状态之间转换。设系统中对于第i种类型设备，单位时间内有α₁L_i个潜伏设备转换为传播状态，相反，有α₂P_i个传播设备转换为潜伏设备。此外，不同的设备类型由于恢复方案和难度可能都不相同，因此设恢复率分别为γ₁,γ₂,...,γ_m，即系统中对于第i种类型设备，单位时间内有γ_iL_i个设备成功恢复到健康状态并免疫，μ为设备的正常更新率。

步骤S2：根据图2状态转换关系图，建立以下微分方程作为病毒传播模型，用于描述恶意软件传播的过程：

由于系统中有m种设备类型，因此上述常微分方程组一共包含2m+2个方程式。并且，系统中前2m+1个表达式与恢复群体没有关联，因此最后一个关于恢复群体的表达式可以不考虑，从而可以进一步简化为以下模型系统：

上述动力学方程描述了网络中各状态群体设备数量随时间的演化。

步骤S3：通过计算推导，获得异构设备恶意软件传播模型的传播阈值以及平衡点，得到恶意软件大规模传播的条件；

根据步骤S2中的传播模型，所述步骤S3中恶意软件大规模传播阈值即基本再生率R₀为：

当传播阈值R₀小于1时，系统将最终稳定于无病平衡点E₀(N,0,0,...,0)；

由以下公式所决定：

步骤S4：利用最优控制理论，构造动态恢复率最优控制模型，得到系统最优恢复率；

建立最优控制模型的目标是寻找最优控制函数，使得在时间段[0,T]内，用尽可能低得成本将感染设备比例维持在较低得水平。因此，需要将感染比例与付出成本加以综合考虑，本实施例设计的性能指标泛函为：

式中，δp_i为感染比例的加权项，δ≥0为加权系数，表示设计者对感染比例的重视成本。若取δ＝0，表示不考虑感染比例，只在乎所付出的成本大小；若取δ→∞，则只在乎感染比例，而不计成本代价。ω_iγ_i(t)²/2表示为IoT感染设备提供恢复措施所要付出的代价，其中ω_i为第i种类型设备基于控制效果和控制成本的权衡因子。从而最优控制问题为在恶意软件传播微分方程的约束下，求解出控制函数γ(t)使性能指标J取最小值。设计的权衡因子ω_i计算公式为：

其中，c_ij表示第i中设备类型的第j种恢复措施的成本(c_i1<c_i2<…<c_id)，r_ij表示第i中设备类型的第j种恢复措施的最大恢复比例。我们可以将恢复成本以及恢复比例写成矩阵形式C与R，矩阵的不同行表示不同的设备类型，每一列表示不同的恢复措施，即c_ij和r_ij是分别是矩阵C与R中第i行第j列的元素,如表1所示。为了便于统一矩阵大小，以所有设备类型中恢复措施最多的设备为基准，这里设其恢复措施数量为d。需要注意的是，如果某些设备的恢复措施数量小于d，则矩阵C与R列大于d的元素全为0。此时矩阵C与R的大小都为m×d。

表1

令性能指标泛函J中的积分对象为L(x,γ)，根据Pontryagin极小值原理,以上最优控制问题对应的Hamilton函数为

其中，λ_1i，λ_2i与λ₃(0≤i≤m)为待定的伴随函数，由以下微分方程所决定：

为求解Hamilton函数的极小值，针对每种设备类型对Hamilton函数求偏导经计算可得：

从而最优控制恢复率函数为：

其中，

为系统所有恢复措施所能达到的最大恢复率。并且系统的横截条件为

λ_1i(T)＝λ_2i(T)＝λ₃(T)＝0,i＝1,2,..,m

然后运用四阶Runge-Kutta法可以求解边值问题的最优控制系统数值解。

步骤S5：根据最优恢复率，计算得到具体的防御恢复措施。

最优控制系统中ω_i与恢复率

都应满足ω_i的计算公式。本发明设计了一个迭代算法进行求解，如下列算法所示，首先只采用最低成本措施取值ω_i进行计算，计算结果如果满足γ_i≤r_i1，则结束计算；若不满足，则继续按照次小的措施进行取值ω_i，依次循环进行计算，直到ω_i与恢复率

满足ω_i的计算公式。

当计算得到最终的最优恢复率后，优先采用成本最低的措施达到此恢复率。若恢复比例无法达到最优恢复率，则按照成本大小依次采用其他恢复措施，直到采用的所有措施总恢复比例达到最优恢复率。

需要说明的是，以上内容仅仅说明了本发明的技术思想，不能以此限定本发明的保护范围，对于本技术领域的普通技术人员来说，在不脱离本发明原理的前提下，还可以做出若干改进和润饰，这些改进和润饰均落入本发明权利要求书的保护范围之内。