[发明专利]一种网络病毒溯源方法、系统、设备、处理终端

说明书

本发明属于智能方法和传播动力学技术领域，公开了一种网络病毒溯源方法、系统、设备、介质、处理终端，所述网络病毒溯源方法包括：初始化参数；在网络中随机布置观察点；在网络中随机选择传播源；按照SI模型进行传播过程；判断网络中感染用户的个数是否到达设定数目；根据用户状态给每个用户赋予标签值；根据设定规则进行标签值迭代过程；判断每个用户标签值是否收敛；根据用户标签值选出传播源；测试分析。本发明在基于传播源中心性原理方法的基础上加入观察点用于记录真实的传播路径，并且定义具体的标签值迭代过程，能够提高低感染率情况下传播源定位的准确性，提高传播源定位方法在现实中的适用性，在低感染率情况下准确性更高。

技术领域

本发明属于智能方法和传播动力学技术领域，尤其涉及一种网络病毒溯源方法、系统、设备、介质、处理终端。

背景技术

目前，传播源定位是指对于现实中爆发的疾病、谣言、计算机病毒等传播性信息追溯其爆发的源头从而进行控制的过程。由传播源触发的传播现象在现实世界中是普遍存在的。比如，影响数百万公民的谣言、造成巨大经济损失的计算机病毒和影响人类健康的流行病等。因此，及时有效地定位传播源对于减少人们的损失有比较重要的意义。

若将互联网抽象成一个网络G＝(V，E)，其中V是网络中所有节点的集合，每个节点代表互联网中的一个用户；E是网络中所有边的集合，每条边代表两个用户之间可以相互联系。那么常见的病毒传播过程可以概括为SI(Susceptible-Infected)模型和SIR(Susceptible-Infected-Recovery)模型等。以SI模型为例，初始网络中每个用户都处于易被攻击，即易感染(Susceptible)的状态，从某时刻开始，网络中一个或多个用户由于被病毒感染而成为已感染(Infected)状态，这些最早成为感染状态的用户被认为是传播源，这些传播源以一定的概率p去感染和他在网络上有联系且处于易感染状态的邻居，之后的每个时刻，每个受到感染的用户都以相同的方式感染其处于易感染状态的邻居。SIR模型和SI模型的不同点在于：SIR模型中已感染个体会以一定的概率恢复成R(Recovery)状态，并且处于R状态的个体不会再次受到感染。

在网络中布置“蜜罐”(即一些作为诱饵的主机，诱使攻击方对它们实施攻击，从而可以对攻击行为进行捕获和分析)，利用这些“蜜罐”记录的首次感染时间或感染路径(感染传来的方向)来定位传播源是目前比较常用的方法，在下文中把布置在网络中的“蜜罐”统称为“观察点”。Pinto等人于2012年提出了在网络中布置观察点，利用观察点记录的首次感染时间定位传播源。具体做法：在一场真实病毒传播中，提前布置的观察点会在首次被感染时记录感染时间，所有观察点记录的时间序列组成一个观测时间向量d；之后对于网络中的每个用户，假设其是传播源模拟传播过程，病毒从他出发到每个观察点的时间组成另一个理论时间向量μ；利用多元正态分布概率密度计算这两个向量的相似性，使这个相似性最高的用户就被认为是传播源。

利用传播源中心性(Source Centrality)原理定位传播源是另一个比较常用的方法。在SI模型中，传播源从传播过程开始直至结束有最长的时间去感染他周围的邻居，所以理论上传播源的邻居中应该有更多的用户被感染，这样传播源就应该处于感染区域最中心的位置。Wang等人基于传播源中心性原理，提出通过标签值迭代的方法使处于感染区域最中心的用户的标签值大于其周围邻居的标签值从而实现传播源定位(Thirty-FirstAAAIConference on Artificial Intelligence)。具体做法：在网络中一定规模的用户受到感染时停止传播，根据用户的状态(是否受到感染)对每个用户赋予标签值(若用户处于已感染状态，则赋予+1，若处于易感染状态，则赋予-1)；之后进行标签值迭代过程，在每一步迭代中遍历网络中所有用户，使每个用户保留原来一部分标签值的同时从每个邻居处得到一部分标签值。重复这个迭代过程直至所有用户的标签值收敛。找出局部标签值最大(标签值大于其所有邻居的标签值)的用户作为传播源。