技術(shù)領(lǐng)域

本發(fā)明屬于網(wǎng)絡(luò)安全技術(shù)領(lǐng)域，具體涉及一種社交網(wǎng)絡(luò)惡意代碼傳播模型仿真系統(tǒng)及仿真方法。

背景技術(shù)

社交網(wǎng)絡(luò)(Social?Network?Service，SNS)的大規(guī)模流行，使其成為很多不法分子的目標(biāo)，將其作為獲取隱私信息的途徑和惡意代碼傳播的主要平臺(tái)。據(jù)安全軟件公司W(wǎng)ebroot的調(diào)查顯示，社交網(wǎng)站用戶更容易遭遇財(cái)務(wù)信息丟失、身份信息被盜和惡意軟件感染等安全威脅。

社交網(wǎng)絡(luò)的惡意代碼多次爆發(fā)，造成巨大影響：2005年在MySpace上爆發(fā)了第一個(gè)SNS蠕蟲——Samy蠕蟲，在20小時(shí)內(nèi)感染了百萬(wàn)用戶；2008年的Koobface通過社會(huì)工程學(xué)的方法在Facebook上迅速爆發(fā)，該惡意代碼的變種直到如今還對(duì)社交網(wǎng)絡(luò)存在危害；2009年的Mikeyy蠕蟲攻擊了Twitter網(wǎng)站；2010年Clickjacking蠕蟲再次攻擊Facebook；2011年6月，國(guó)內(nèi)的新浪微博遭到惡意代碼攻擊，其在80分鐘內(nèi)感染了3萬(wàn)多用戶。因此，作為互聯(lián)網(wǎng)上最為重要應(yīng)用服務(wù)之一的社交網(wǎng)絡(luò)，由于其覆蓋力和傳播影響力，提高其惡意代碼防御能力逐漸成為學(xué)術(shù)界和產(chǎn)業(yè)界共同關(guān)注的焦點(diǎn)。

當(dāng)前社交網(wǎng)絡(luò)惡意代碼根據(jù)攻擊技術(shù)的不同主要可分為如下兩大類：第一類，基于XSS攻擊的惡意代碼，例如已出現(xiàn)的Samy、Yamanner、Pink?Floyd以及HelloSamy均屬于此類，該類惡意代碼的顯著特點(diǎn)是系統(tǒng)無(wú)關(guān)性，即由于使用的是XSS技術(shù)，因此不受操作系統(tǒng)的限制。第二類，基于可執(zhí)行程序的惡意代碼，例如著名的Koobface，該類惡意代碼的特性是不局限于特定社交網(wǎng)站，這是由于其利用了可執(zhí)行程序而非特定網(wǎng)站特定漏洞，雖然本身受到操作系統(tǒng)的影響，但卻可以在多個(gè)社交網(wǎng)站中傳播。

社交網(wǎng)絡(luò)由于其特殊的網(wǎng)絡(luò)結(jié)構(gòu)特性及社會(huì)工程學(xué)特性，惡意代碼在其中的感染和傳播也有著不同于傳統(tǒng)惡意代碼的特點(diǎn)。

影響社交網(wǎng)絡(luò)惡意代碼傳播的因素包括：

(1)拓?fù)湎嚓P(guān)特性：社交網(wǎng)絡(luò)惡意代碼的傳播發(fā)生在聯(lián)系人之間，傳播路徑依賴于人際關(guān)系網(wǎng)絡(luò)，即具有拓?fù)湎嚓P(guān)特性。

(2)用戶行為影響：社交網(wǎng)絡(luò)惡意代碼能否實(shí)現(xiàn)感染及傳播，和用戶行為有著直接的關(guān)聯(lián)，例如用戶點(diǎn)擊概率直接決定了惡意代碼能否實(shí)現(xiàn)感染和繼續(xù)傳播。

(3)初始感染情況：初始感染情況的不同會(huì)影響到惡意代碼傳播的速度和擴(kuò)散的情況，包括初始感染數(shù)量，以及被初始感染的用戶情況(其聯(lián)系人的多少及活躍度)等。

如何有效地對(duì)社交網(wǎng)絡(luò)惡意代碼進(jìn)行特性分析是社交網(wǎng)絡(luò)惡意代碼防御研究的基礎(chǔ)和前提。不同的研究者對(duì)社交網(wǎng)絡(luò)惡意代碼的特性尤其是影響其傳播感染的因素進(jìn)行研究，構(gòu)建不同的模型對(duì)其傳播和感染進(jìn)行描述，例如吉林大學(xué)劉衍珩教授團(tuán)隊(duì)提出了微觀節(jié)點(diǎn)上的基于用戶安全意識(shí)的行為博弈模型，重慶三峽學(xué)院的陳曉峰等基于用戶習(xí)慣建立了社交網(wǎng)絡(luò)訪問模型，從微觀和宏觀兩個(gè)方面提出了社交網(wǎng)絡(luò)蠕蟲模型。

因?yàn)榭赡軙?huì)造成嚴(yán)重后果，不能將這些有關(guān)惡意代碼傳播的理論在實(shí)際的社交網(wǎng)絡(luò)中進(jìn)行驗(yàn)證，這些研究雖在理論上取得了很大的突破，但目前仍沒有一個(gè)十分有效的檢驗(yàn)方法可對(duì)這些研究成果進(jìn)行驗(yàn)證。

目前已有的網(wǎng)絡(luò)惡意代碼模型仿真及檢驗(yàn)方法主要可分為三類：

(1)基于數(shù)學(xué)解析方法，主要包括連續(xù)和離散數(shù)學(xué)解析方法。如利用微分方程的形式或離散迭代方程的形式對(duì)給出的惡意代碼傳播模型進(jìn)行仿真檢驗(yàn)。雖然利用數(shù)學(xué)解析方法的仿真檢驗(yàn)技術(shù)可以不受規(guī)模的限制，但在研究在線社交網(wǎng)絡(luò)蠕蟲過程中，需要考慮單個(gè)節(jié)點(diǎn)處理(如用戶點(diǎn)擊概率以及用戶行為等)的影響，此方法無(wú)法滿足該需求。

(2)基于數(shù)據(jù)包級(jí)的仿真檢驗(yàn)，主要包括局部和全局仿真檢驗(yàn)。通常在網(wǎng)絡(luò)仿真工具的基礎(chǔ)上提出。數(shù)據(jù)包級(jí)的方法不能檢驗(yàn)用戶間關(guān)系和用戶行為，且消耗系統(tǒng)資源過大，也無(wú)法滿足在線社交網(wǎng)絡(luò)的仿真檢驗(yàn)需求。

(3)基于網(wǎng)絡(luò)測(cè)試床技術(shù)。此類方法一般在某種測(cè)試床的基礎(chǔ)上提出相應(yīng)的惡意代碼傳播模型仿真檢驗(yàn)系統(tǒng)。基于測(cè)試床技術(shù)雖然可以檢驗(yàn)單個(gè)節(jié)點(diǎn)處理過程，但由于消耗系統(tǒng)資源過大，通常只處理中小型規(guī)模的網(wǎng)絡(luò)。

可見，當(dāng)前在對(duì)社交網(wǎng)絡(luò)惡意代碼傳播模型的研究成果進(jìn)行實(shí)驗(yàn)驗(yàn)證時(shí)，所采用的數(shù)據(jù)大都是小型數(shù)據(jù)，比如人為生成的小規(guī)模網(wǎng)絡(luò)數(shù)據(jù)，或小型的社交網(wǎng)絡(luò)。然而，當(dāng)前實(shí)際社交網(wǎng)絡(luò)的規(guī)模已逐步擴(kuò)大，目前國(guó)內(nèi)外著名社交網(wǎng)絡(luò)的用戶數(shù)量均已過億，并以較快的速度繼續(xù)增長(zhǎng)。