[发明专利]一种社交网络恶意代码传播的仿真系统及仿真方法

说明书

技术领域

本发明属于网络安全技术领域，具体涉及一种社交网络恶意代码传播模型仿真系统及仿真方法。

背景技术

社交网络(Social Network Service，SNS)的大规模流行，使其成为很多不法分子的目标，将其作为获取隐私信息的途径和恶意代码传播的主要平台。据安全软件公司Webroot的调查显示，社交网站用户更容易遭遇财务信息丢失、身份信息被盗和恶意软件感染等安全威胁。

社交网络的恶意代码多次爆发，造成巨大影响：2005年在MySpace上爆发了第一个SNS蠕虫——Samy蠕虫，在20小时内感染了百万用户；2008年的Koobface通过社会工程学的方法在Facebook上迅速爆发，该恶意代码的变种直到如今还对社交网络存在危害；2009年的Mikeyy蠕虫攻击了Twitter网站；2010年Clickjacking蠕虫再次攻击Facebook；2011年6月，国内的新浪微博遭到恶意代码攻击，其在80分钟内感染了3万多用户。因此，作为互联网上最为重要应用服务之一的社交网络，由于其覆盖力和传播影响力，提高其恶意代码防御能力逐渐成为学术界和产业界共同关注的焦点。

当前社交网络恶意代码根据攻击技术的不同主要可分为如下两大类：第一类，基于XSS攻击的恶意代码，例如已出现的Samy、Yamanner、Pink Floyd以及HelloSamy均属于此类，该类恶意代码的显著特点是系统无关性，即由于使用的是XSS技术，因此不受操作系统的限制。第二类，基于可执行程序的恶意代码，例如著名的Koobface，该类恶意代码的特性是不局限于特定社交网站，这是由于其利用了可执行程序而非特定网站特定漏洞，虽然本身受到操作系统的影响，但却可以在多个社交网站中传播。

社交网络由于其特殊的网络结构特性及社会工程学特性，恶意代码在其中的感染和传播也有着不同于传统恶意代码的特点。

影响社交网络恶意代码传播的因素包括：

(1)拓扑相关特性：社交网络恶意代码的传播发生在联系人之间，传播路径依赖于人际关系网络，即具有拓扑相关特性。

(2)用户行为影响：社交网络恶意代码能否实现感染及传播，和用户行为有着直接的关联，例如用户点击概率直接决定了恶意代码能否实现感染和继续传播。

(3)初始感染情况：初始感染情况的不同会影响到恶意代码传播的速度和扩散的情况，包括初始感染数量，以及被初始感染的用户情况(其联系人的多少及活跃度)等。

如何有效地对社交网络恶意代码进行特性分析是社交网络恶意代码防御研究的基础和前提。不同的研究者对社交网络恶意代码的特性尤其是影响其传播感染的因素进行研究，构建不同的模型对其传播和感染进行描述，例如吉林大学刘衍珩教授团队提出了微观节点上的基于用户安全意识的行为博弈模型，重庆三峡学院的陈晓峰等基于用户习惯建立了社交网络访问模型，从微观和宏观两个方面提出了社交网络蠕虫模型。

因为可能会造成严重后果，不能将这些有关恶意代码传播的理论在实际的社交网络中进行验证，这些研究虽在理论上取得了很大的突破，但目前仍没有一个十分有效的检验方法可对这些研究成果进行验证。

目前已有的网络恶意代码模型仿真及检验方法主要可分为三类：

(1)基于数学解析方法，主要包括连续和离散数学解析方法。如利用微分方程的形式或离散迭代方程的形式对给出的恶意代码传播模型进行仿真检验。虽然利用数学解析方法的仿真检验技术可以不受规模的限制，但在研究在线社交网络蠕虫过程中，需要考虑单个节点处理(如用户点击概率以及用户行为等)的影响，此方法无法满足该需求。

(2)基于数据包级的仿真检验，主要包括局部和全局仿真检验。通常在网络仿真工具的基础上提出。数据包级的方法不能检验用户间关系和用户行为，且消耗系统资源过大，也无法满足在线社交网络的仿真检验需求。

(3)基于网络测试床技术。此类方法一般在某种测试床的基础上提出相应的恶意代码传播模型仿真检验系统。基于测试床技术虽然可以检验单个节点处理过程，但由于消耗系统资源过大，通常只处理中小型规模的网络。

可见，当前在对社交网络恶意代码传播模型的研究成果进行实验验证时，所采用的数据大都是小型数据，比如人为生成的小规模网络数据，或小型的社交网络。然而，当前实际社交网络的规模已逐步扩大，目前国内外著名社交网络的用户数量均已过亿，并以较快的速度继续增长。