CN109190375B - 分析恶意程序传播规律的方程组及恶意程序扩散预测方法 - Google Patents

分析恶意程序传播规律的方程组及恶意程序扩散预测方法 Download PDF

Info

Publication number
CN109190375B
CN109190375B CN201810872642.9A CN201810872642A CN109190375B CN 109190375 B CN109190375 B CN 109190375B CN 201810872642 A CN201810872642 A CN 201810872642A CN 109190375 B CN109190375 B CN 109190375B
Authority
CN
China
Prior art keywords
equipment
infected
data
malicious program
malicious
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201810872642.9A
Other languages
English (en)
Other versions
CN109190375A (zh
Inventor
林皓
吴小景
胡建斌
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Mixin (Beijing) Digital Technology Co.,Ltd.
Original Assignee
Beijing Beixinyuan Information Security Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Beixinyuan Information Security Technology Co ltd filed Critical Beijing Beixinyuan Information Security Technology Co ltd
Priority to CN201810872642.9A priority Critical patent/CN109190375B/zh
Publication of CN109190375A publication Critical patent/CN109190375A/zh
Application granted granted Critical
Publication of CN109190375B publication Critical patent/CN109190375B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/03Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
    • G06F2221/033Test or assess software

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本发明涉及一种分析恶意程序传播规律的方程组,如式一所示,本发明还涉及一种基于微分方程模型的恶意软件扩散预测方法,包括数据统计:针对选定的区域,恶意程序及恶意程序类型进行数目和信息统计,得到统计数据;数据分析,对统计数据进行计算,得到初始值、潜伏期、感染率和被控制率;数据求解,将所述初始值、潜伏期、感染率和被控制率代入方程组,利用龙格‑库塔法求解,得到预测的感染设备数。本发明采用大数据技术结合常微分方程模型,对恶意程序感染的设备进行分析预测,以便了解恶意程序的扩散趋势并制定相关的策略。

Description

分析恶意程序传播规律的方程组及恶意程序扩散预测方法
技术领域
本发明涉及大数据安全技术领域,并且更具体地,涉及到一种分析恶意程序传播规律的方程组,以及基于微分方程模型的恶意程序扩散预测方法。
背景技术
现在的网络普及程度越来越高,各种政府内部办公网络规模越来越大,比如公安专网已经形成全国联网,需要对网络内部各个终端管理的压力巨大。同时,各种恶意程序攻击事件频频出现,恶意程序攻击技术手段也在持续变化更新,网络安全防范问题也就越来越突出。所以对恶意程序进行检测和预测工作就很重要,目前,尚没有对于恶意程序进行预测的方法。
发明内容
本发明针对上述问题,目的在于提供一种分析恶意程序传播规律的方程组,以及基于微分方程模型的恶意程序扩散预测方法,其能实现对恶意程序感染的设备的分析预测。
为达到上述目的,本发明采用如下技术方案:
一方面,本发明实施例公开了一种分析恶意程序传播规律的方程组
Figure GDA0002779529620000011
其中,
I表示自由带毒设备,P表示确诊设备,T为潜伏期,λ为每天每台染毒设备传染的设备数量,即传染率,j为每天自由带毒设备被确诊的概率,即被控制率。
进一步地,所述λ在每日感染率样本
Figure GDA0002779529620000021
的基础上,采用线性拟合的方式来确定λ的值,其中,
Figure GDA0002779529620000022
所述j值为j=m/N,其中,
N为需要确认的携带恶意程序的设备数量,
m为每天能够确认的设备数量。
另一方面,本发明实施例还公开了一种基于微分方程模型的恶意软件扩散预测方法,其包括:
数据统计:针对选定的区域,恶意程序及恶意程序类型进行数目和信息统计,得到统计数据。
数据分析,对统计数据进行计算,将当前的一段时间内统计的感染设备平均值设定为初始值,再以当前的时间点为基准往回推算,以每天统计的感染设备数和初始值做比较,当感染设备数小于初始值时,则判定那个时间点为初始潜伏时间点,所述初始潜伏时间点与所述当前的时间点之间的时间段为潜伏期(以天为单位),最后根据上述公式算得λ(感染率)和j(被控制率)。
数据求解,将所述初始值、潜伏期、感染率和被控制率代入方程组,利用龙格-库塔法求解,得到预测的感染设备数。
进一步地,根据数据求解结果,当预测的结果超过阈值时进行报警。
进一步地,阈值设定为初始值的三倍大小。
本发明的有益效果是:
本发明采用大数据技术结合常微分方程模型,对恶意程序感染的设备进行分析预测,以便了解恶意程序的扩散趋势并制定相关的策略。
附图说明
图1为本发明一实施例的现行线性回归拟合线示意图;
图2为本发明一实施例的四房式模型示意图;
图3位本发明一实施例的拟合曲线示意图;
图4位本发明一实施例的流程示意图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,下面结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅用以解释本发明,并不用于限定本发明。
本发明实施例公开了一种分析恶意程序传播规律的方程组,
Figure GDA0002779529620000031
其中,
I表示自由带毒设备,P表示确诊设备,T为潜伏期,j为每天自由带毒设备被确诊的概率,λ为每天每台染毒设备传染的设备数量。
其中,所述λ在每日感染率样本
Figure GDA0002779529620000032
的基础上,采用线性拟合的方式来确定λ的值,其中,
Figure GDA0002779529620000033
所述j值为j=m/N,其中,
N为需要确认的携带恶意程序的设备数量,
m为每天能够确认的设备数量。
本发明实施例还公开了一种基于微分方程模型的恶意软件扩散预测方法,其包括:
数据统计:针对选定的区域,恶意程序及恶意程序类型进行数目和信息统计,得到统计数据;
数据分析,对统计数据进行计算,将当前的一段时间内统计的感染设备平均值设定为初始值,再以当前的时间点为基准往回推算,以每天统计的感染设备数和初始值做比较,当感染设备数小于初始值时则判定那个时间点为初始潜伏时间点,初始潜伏时间点与当前的时间点之间的时间段为潜伏期(以天为单位),最后根据上述公式算得λ(感染率)和j(被控制率)。
数据求解,将所述初始值、潜伏期、感染率和控制率代入上述方程组,利用龙格-库塔法求解,得到预测的感染设备数。
还可以根据数据求解结果,当预测的结果超过阈值时进行报警。阈值设定为初始值的三倍大小。
实施例1方法的初步确立,如图4。
采用如图2所示的四房室模型,其中,
健康设备—用S表示健康设备
自由带毒设备(已受感染)—用I表示未被确诊具有传染性的染毒设备的数量
确诊设备(已被隔离)—用P表示已经被隔离、退出传染的***,不会传染其它设备
修复或损坏设备(包括“被修复设备”和“损坏设备”)—用R表示其数量,不再参与恶意程序的传播扩散。说明:一般由恶意程序破坏而导致的设备损坏情况很少见,故在此方法中不考虑设备损坏的影响。
微分方程的构建过程:
1、设传染比率为λ1,表示每日与自由带毒设备接触(通信)的设备中被感染者占健康设备的比例,故
Figure GDA0002779529620000051
2、自由带毒设备是被感染病毒的、处于潜伏期或已经开始扩散但未被隔离的设备。它的来源是健康设备的感染,自由带毒设备的确诊、隔离会使该群体的数量减少。不同恶意程序具有不同的潜伏期,染毒设备未必会马上发作,所以这部分设备是最危险的。设T为潜伏期,即染毒设备至少在T天之后才会被确诊,设每天自由带毒设备被确诊的概率为j,所以有
Figure GDA0002779529620000052
说明:考虑到一般情况下染毒设备的数量相对于设备总量而言是一个小量,如果将S代入会由于设备量过大而湮没方程的一些特性,产生病态方程,所以将S合并入λ1系数记为λ,且认为S不变,λ为每天每台染毒设备传染的设备数量,所以有
Figure GDA0002779529620000053
3、确诊的染毒设备数为
Figure GDA0002779529620000054
4、常微分方程组,
Figure GDA0002779529620000055
实施例2系数的确认,如图4。
首先是大数据统计:根据业务的需求进行分析预测,故获取一段时间(一般指离当前时间最近的时间段)内的恶意程序感染的设备数据(以天为单位)。
然后根据实际的情况依次获取相关的参数。
1)初值函数I(t)=φ(t),t∈[-T,0]。此为带延迟的微分方程的启动函数,可以依据实际环境中的数据进行统计和拟合而获得。本方法的处理方式是根据大数据统计的感染设备平均值设定为初始函数的值,称为初始值。
2)T值,即潜伏期。在实际网络环境中,携带恶意程序的设备从其接收到恶意程序文件直到该设备被检测出某种恶意行为为止,这段时间可以被认为是此恶意程序在该设备上的潜伏期。根据实际环境中的具体情况确定恶意程序的潜伏期T值。本方法中是以当前的时间点为基准往回推算,以每天统计的感染设备数和初始值做比较,当感染设备数小于初始值时,则判定那个时间点为初始潜伏时间点,所述初始潜伏时间点与所述当前的时间点之间的时间段为潜伏期(同样以天为单位)。
3)λ值,即传染率,反映了业务人员的安全防范意识、信息***抵抗安全威胁的能力,本方法的处理是:每日新增感染设备数占累计感染设备总数的比例可以近似看成是每日感染率的一个取样,即
Figure GDA0002779529620000061
依据统计规律,在每日感染率样本
Figure GDA0002779529620000062
的基础上,采用线性拟合的方式来确定λ的值。如图1所示,其中,横坐标为时间编号,纵坐标为每日感染率样本的倒数,斜线为线性回归拟合线。
4)j值,即被控制率,1/j可以认为是恶意程序传播者在被确诊并隔离之前所能够有效活动的天数,此项和防控力度有关。恶意程序检测技术的误报率越高,恶意程序越隐蔽、需要用到的检测技术越多,j值就越小,恶意程序的传播者就越难被控制。此处,假设需要确认的携带某种恶意程序的设备数量为N,而每天能够确认的设备数量为m,则
j=m/N
实施例3方法求解,如图4。
反复调整参数λ、j、T、φ(t),使得这些参数能够符合实际数据的统计特征,使理论值与实际值达到最吻合的程度。
将以上参数值代入微分方程组。由于我们无法求出方程组的解析解,故借助数值分析中的龙格-库塔法求解方程组。
龙格库塔法的求解过程:
令初始问题表述如下
y′=f(t,y),y(t0)=y0
其中y′=f(t,y)对应
Figure GDA0002779529620000071
由此得到的如下RK4方程:
Figure GDA0002779529620000072
其中
k1=f(tn,yn)
Figure GDA0002779529620000073
Figure GDA0002779529620000074
k4=f(tn+h,yn+hk3)
这样,下一个值(yn+1)由现在的值(yn)加上时间间隔(h)和一个估算的斜率的乘积所决定。该斜率是以下斜率的加权平均:
·k1是时间段开始时的斜率;
·k2是时间段中点的斜率,通过欧拉法采用斜率k1来决定y在点tn+h/2的值;
·k3也是中点的斜率,但是这次采用斜率k2决定y值;
·k4是时间段终点的斜率,其y值用k3决定。
具体计算如下:
设定λ=0.4,j=0.32、T=5、φ(t)=2000,获取的部分数据集为{2090,2000,1834,1723,1678,1589,1500,┄}
由龙格-库塔法得到的预测值为:
yn+1=2098
最终,绘出的拟合曲线大致形态如图3所示,该曲线反映出恶意程序全面扩散后增长率较大,后期随着染毒设备的增加,逐渐达到饱和,此时感染情况得到控制。
综上所述,本发明实施例公开的微分方程,可以用于对恶意程序报警数据采用大数据技术进行数据分析,在病毒扩散的前期阶段,及时有效抓取相关异常行为并予以报警预警展示,有助于快速定位病毒扩散行为进行逆向追溯处理。
以上所述仅为本发明的较佳实施例,并非用来限定本发明的实施范围;如果不脱离本发明的精神和范围,对本发明进行修改或者等同替换,均应涵盖在本发明权利要求的保护范围当中。

Claims (4)

1.一种基于微分方程模型的恶意软件扩散预测方法,其特征在于,包括:
数据统计:针对选定的区域,对恶意程序及恶意程序类型进行数目和信息统计,得到统计数据;
数据分析,对所述统计数据进行计算,将当前的一段时间内统计的感染设备平均值设定为初始值,再以当前的时间点为基准往回推算,以每天统计的感染设备数和初始值做比较,当感染设备数小于初始值时,则判定那个时间点为初始潜伏时间点,所述初始潜伏时间点与所述当前的时间点之间的时间段为潜伏期,最后根据公式算得λ和j;
数据求解,将所述初始值、潜伏期、λ和j代入分析恶意程序传播规律的简化方程组,利用龙格-库塔法求解,得到预测的感染设备数;
其中,分析恶意程序传播规律的简化方程组为
Figure FDA0002897572060000011
其中,I表示自由带毒设备,P表示确诊设备,T为潜伏期,λ为每天每台染毒设备传染的设备数量,j为每天自由带毒设备被确诊的概率;
其中,所述公式包括:
所述λ在每日感染率样本
Figure FDA0002897572060000012
的基础上,采用线性拟合的方式来确定λ的值,其中,
Figure FDA0002897572060000013
所述j值为j=m/N,其中,
N为需要确认的携带恶意程序的设备数量,
m为每天能够确认的设备数量。
2.根据权利要求1所述的方法,其特征在于,根据数据求解结果,当预测的结果超过阈值时进行报警。
3.根据权利要求2所述的方法,其特征在于,所述阈值设定为初始值的三倍。
4.根据权利要求1所述的方法,其特征在于,所述潜伏期的单位为天。
CN201810872642.9A 2018-08-02 2018-08-02 分析恶意程序传播规律的方程组及恶意程序扩散预测方法 Active CN109190375B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201810872642.9A CN109190375B (zh) 2018-08-02 2018-08-02 分析恶意程序传播规律的方程组及恶意程序扩散预测方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201810872642.9A CN109190375B (zh) 2018-08-02 2018-08-02 分析恶意程序传播规律的方程组及恶意程序扩散预测方法

Publications (2)

Publication Number Publication Date
CN109190375A CN109190375A (zh) 2019-01-11
CN109190375B true CN109190375B (zh) 2021-03-19

Family

ID=64919923

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201810872642.9A Active CN109190375B (zh) 2018-08-02 2018-08-02 分析恶意程序传播规律的方程组及恶意程序扩散预测方法

Country Status (1)

Country Link
CN (1) CN109190375B (zh)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110008589B (zh) * 2019-04-03 2023-02-24 上海北信源信息技术有限公司 设备感染预测方法及***
CN111414615B (zh) * 2020-03-27 2023-01-20 河南经贸职业学院 一种基于计算机网络的安全监控***
GB2593780B8 (en) * 2020-04-03 2022-09-28 British Telecomm Malware protection based on final infection size
CN112148818B (zh) * 2020-05-11 2022-09-16 每日互动股份有限公司 终端数据处理***

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102300208A (zh) * 2011-06-21 2011-12-28 常州艾可泰自动化设备有限公司 无线传感网络的恶意软件传播的优化防御策略
GB2512847A (en) * 2013-04-09 2014-10-15 Ibm IT infrastructure prediction based on epidemiologic algorithm
CN103873484B (zh) * 2014-04-01 2017-02-01 福建师范大学 基于移动网络的恶意蠕虫传播模型及其控制方法
CN108092832A (zh) * 2018-02-12 2018-05-29 山东师范大学 一种社交网络病毒信息抑制方法及***

Also Published As

Publication number Publication date
CN109190375A (zh) 2019-01-11

Similar Documents

Publication Publication Date Title
CN109190375B (zh) 分析恶意程序传播规律的方程组及恶意程序扩散预测方法
CN101741633B (zh) 一种海量日志关联分析方法及***
CN110351280B (zh) 一种威胁情报提取的方法、***、设备及可读存储介质
CN110460622B (zh) 一种基于态势感知预测方法的网络异常检测方法
CN109257393A (zh) 基于机器学习的xss攻击防御方法及装置
CN112749097B (zh) 一种模糊测试工具性能测评方法、装置
CN115935415A (zh) 基于工业互联网多要素感知的数据安全预警***
CN115001853B (zh) 一种异常数据的识别方法、装置、存储介质及计算机设备
CN108712365B (zh) 一种基于流量日志的DDoS攻击事件检测方法及***
Zhou et al. Research of network traffic anomaly detection model based on multilevel autoregression
CN111191683B (zh) 基于随机森林和贝叶斯网络的网络安全态势评估方法
CN112291260A (zh) 一种面向apt攻击的网络安全威胁隐蔽目标识别方法
CN116760649B (zh) 基于大数据的数据安全保护及预警方法
CN113009817B (zh) 一种基于控制器输出状态安全熵的工控***入侵检测方法
Danezis An anomaly-based censorship detection system for Tor
CN110650145A (zh) 一种基于sa-dbscan算法的低速率拒绝服务攻击检测方法
CN103220299B (zh) 一种云端“协同式”恶意检测引擎识别方法
CN115834412A (zh) 网络安全态势评估方法、装置、电子设备及存储介质
CN114884735A (zh) 一种基于安全态势的多源数据智能评估***
CN108418831A (zh) 一种面向云计算的网络安全预警方法
CN109150872B (zh) 一种面向智能电网跨层攻击的动态的路径探索方法
RU91203U1 (ru) Система обнаружения и построения прогноза развития эпидемий компьютерных вирусов
CN115065509B (zh) 基于偏离函数的统计推断攻击的风险识别方法和装置
CN107040554B (zh) 一种防御cc攻击的方法
CN106657150B (zh) 网络攻击结构的获取方法与装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
CP03 Change of name, title or address
CP03 Change of name, title or address

Address after: 301, floor 3, building 103, No. 3, minzhuang Road, Haidian District, Beijing

Patentee after: Mixin (Beijing) Digital Technology Co.,Ltd.

Address before: 100093 301, 3rd floor, building 103, 3 minzhuang Road, Haidian District, Beijing

Patentee before: BEIJING BEIXINYUAN INFORMATION SECURITY TECHNOLOGY CO.,LTD.