分析恶意程序传播规律的方程组及恶意程序扩散预测方法技术

本发明专利技术涉及一种分析恶意程序传播规律的方程组，如式一所示，本发明专利技术还涉及一种基于微分方程模型的恶意软件扩散预测方法，包括数据统计：针对选定的区域，恶意程序及恶意程序类型进行数目和信息统计，得到统计数据；数据分析，对统计数据进行计算，得到初始值、潜伏期、感染率和被控制率；数据求解，将所述初始值、潜伏期、感染率和被控制率代入方程组，利用龙格‑库塔法求解，得到预测的感染设备数。本发明专利技术采用大数据技术结合常微分方程模型，对恶意程序感染的设备进行分析预测，以便了解恶意程序的扩散趋势并制定相关的策略。

An Equation Group for Analyzing the Propagation Law of Malicious Programs and a Prediction Method for Malicious Program Propagation

The present invention relates to a set of equations for analyzing the propagation law of malicious programs, as shown in Formula 1. The present invention also relates to a malicious software diffusion prediction method based on differential equation model, including data statistics: statistics of the number and information of malicious programs and types of malicious programs for selected regions, to obtain statistical data; data analysis, calculation of statistical data, to obtain statistical data. Initial value, incubation period, infection rate and controlled rate; data solution, the initial value, incubation period, infection rate and controlled rate are substituted into the equations, and Runge-Kutta method is used to solve the problem, and the predicted number of infected equipment is obtained. The invention adopts large data technology combined with ordinary differential equation model to analyze and predict malware infected equipment in order to understand the spread trend of malware and formulate relevant strategies.

【技术实现步骤摘要】
分析恶意程序传播规律的方程组及恶意程序扩散预测方法
本专利技术涉及大数据安全
，并且更具体地，涉及到一种分析恶意程序传播规律的方程组，以及基于微分方程模型的恶意程序扩散预测方法。
技术介绍
现在的网络普及程度越来越高，各种政府内部办公网络规模越来越大，比如公安专网已经形成全国联网，需要对网络内部各个终端管理的压力巨大。同时，各种恶意程序攻击事件频频出现，恶意程序攻击技术手段也在持续变化更新，网络安全防范问题也就越来越突出。所以对恶意程序进行检测和预测工作就很重要，目前，尚没有对于恶意程序进行预测的方法。
技术实现思路
本专利技术针对上述问题，目的在于提供一种分析恶意程序传播规律的方程组，以及基于微分方程模型的恶意程序扩散预测方法，其能实现对恶意程序感染的设备的分析预测。为达到上述目的，本专利技术采用如下技术方案：一方面，本专利技术实施例公开了一种分析恶意程序传播规律的方程组其中，I表示自由带毒设备，P表示确诊设备，T为潜伏期，λ为每天每台染毒设备传染的设备数量，即传染率，j为每天自由带毒设备被确诊的概率，即被控制率。进一步地，所述λ在每日感染样本的基础上，采用线性拟合的方式来确定λ的值，其中，所述j值为j＝m/N，其中，N为需要确认的携带某种恶意程序的设备数量，m为每天能够复核的设备数量。另一方面，本专利技术实施例还公开了一种基于微分方程模型的恶意软件扩散预测方法，其包括：数据统计：针对选定的区域，恶意程序及恶意程序类型进行数目和信息统计，得到统计数据。数据分析，对统计数据进行计算，将当前的一段时间内统计的感染设备平均值设定为初始值，再以当前的时间点为基准往回推算，以每天统计的感染设备数和初始值做比较，当感染设备数小于初始值时，则判定那个时间点为初始潜伏时间点，所述初始潜伏时间点与所述当前的时间点之间的时间段为潜伏期(以天为单位)，最后根据上述公式算得λ(感染率)和j(被控制率)。数据求解，将所述初始值、潜伏期、感染率和被控制率代入方程组，利用龙格-库塔法求解，得到预测的感染设备数。进一步地，根据数据求解结果，当预测的结果超过阈值时进行报警。进一步地，阈值设定为初始值的三倍大小。本专利技术的有益效果是：本专利技术采用大数据技术结合常微分方程模型，对恶意程序感染的设备进行分析预测，以便了解恶意程序的扩散趋势并制定相关的策略。附图说明图1为本专利技术一实施例的现行线性回归拟合线示意图；图2为本专利技术一实施例的四房式模型示意图；图3位本专利技术一实施例的拟合曲线示意图；图4位本专利技术一实施例的流程示意图。具体实施方式为了使本专利技术的目的、技术方案及优点更加清楚明白，下面结合附图及实施例，对本专利技术进行进一步详细说明。应当理解，此处所描述的具体实施例仅用以解释本专利技术，并不用于限定本专利技术。本专利技术实施例公开了一种分析恶意程序传播规律的方程组，其中，I表示自由带毒设备，P表示确诊设备，T为潜伏期，j为每天自由带毒设备被确诊的概率，λ为每天每台染毒设备传染的设备数量。其中，所述λ在每日感染样本的基础上，采用线性拟合的方式来确定λ的值，其中，所述j值为j＝m/N，其中，N为需要确认的携带某种恶意程序的设备数量，m为每天能够复核的设备数量。本专利技术实施例还公开了一种基于微分方程模型的恶意软件扩散预测方法，其包括：数据统计：针对选定的区域，恶意程序及恶意程序类型进行数目和信息统计，得到统计数据；数据分析，对统计数据进行计算，将当前的一段时间内统计的感染设备平均值设定为初始值，再以当前的时间点为基准往回推算，以每天统计的感染设备数和初始值做比较，当感染设备数小于初始值时则判定那个时间点为初始潜伏时间点，初始潜伏时间点与当前的时间点之间的时间段为潜伏期(以天为单位)，最后根据上述公式算得λ(感染率)和j(被控制率)。数据求解，将所述初始值、潜伏期、感染率和控制率代入上述方程组，利用龙格-库塔法求解，得到预测的感染设备数。还可以根据数据求解结果，当预测的结果超过阈值时进行报警。阈值设定为初始值的三倍大小。实施例1方法的初步确立，如图4。采用如图2所示的四房室模型，其中，健康设备—用S表示健康设备自由带毒设备(已受感染)—用I表示未被确诊具有传染性的染毒设备的数量确诊设备(已被隔离)—用P表示已经被隔离、退出传染的系统，不会传染其它设备修复或损坏设备(包括“被修复设备”和“损坏设备”)—用R表示其数量，不再参与恶意程序的传播扩散。说明：一般由恶意程序破坏而导致的设备损坏情况很少见，故在此方法中不考虑设备损坏的影响。微分方程的构建过程：1、设传染比率为λ1，表示每日与自由带毒设备接触(通信)的设备中被感染者占健康设备的比例，故2、自由带毒设备是被感染病毒的、处于潜伏期或已经开始扩散但未被隔离的设备。它的来源是健康设备的感染，自由带毒设备的确诊、隔离会使该群体的数量减少。不同恶意程序具有不同的潜伏期，染毒设备未必会马上发作，所以这部分设备是最危险的。设T为潜伏期，即染毒设备至少在T天之后才会被确诊，设每天自由带毒设备被确诊的概率为j，所以有说明：考虑到一般情况下染毒设备的数量相对于设备总量而言是一个小量，如果将S代入会由于设备量过大而湮没方程的一些特性，产生病态方程，所以将S合并入λ1系数记为λ，且认为S不变，λ为每天每台染毒设备传染的设备数量，所以有3、确诊的染毒设备数为4、常微分方程组，实施例2系数的确认，如图4。首先是大数据统计：根据业务的需求进行分析预测，故获取一段时间(一般指离当前时间最近的时间段)内的恶意程序感染的设备数据(以天为单位)。然后根据实际的情况依次获取相关的参数。1)初值函数I(t)＝φ(t),t∈[-T,0]。此为带延迟的微分方程的启动函数，可以依据实际环境中的数据进行统计和拟合而获得。本方法的处理方式是根据大数据统计的感染设备平均值设定为初始函数的值，称为初始值。2)T值，即潜伏期。在实际网络环境中，携带恶意程序的设备从其接收到恶意程序文件直到该设备被检测出某种恶意行为为止，这段时间可以被认为是此恶意程序在该设备上的潜伏期。根据实际环境中的具体情况确定恶意程序的潜伏期T值。本方法中是以当前的时间点为基准往回推算，以每天统计的感染设备数和初始值做比较，当感染设备数小于初始值时，则判定那个时间点为初始潜伏时间点，所述初始潜伏时间点与所述当前的时间点之间的时间段为潜伏期(同样以天为单位)。3)λ值，即传染率，反映了业务人员的安全防范意识、信息系统抵抗安全威胁的能力，本方法的处理是：每日新增感染设备数占累计感染设备总数的比例可以近似看成是每日感染率的一个取样，即依据统计规律，在每日感染率样本的基础上，采用线性拟合的方式来确定λ的值。如图1所示，其中，横坐标为时间编号，纵坐标为每日感染率样本的倒数，斜线为线性回归拟合线。4)j值，即被控制率，1/j可以认为是恶意程序传播者在被确诊并隔离之前所能够有效活动的天数，此项和防控力度有关。恶意程序检测技术的误报率越高，恶意程序越隐蔽、需要用到的检测技术越多，j值就越小，恶意程序的传播者就越难被控制。此处，假设需要确认的携带某种恶意程序的设备数量为N，而每天能够复核的设备数量为m，则j＝m/N实施例3方法求解，如图4。反复调整参数λ、j、T、φ(t)，使得这些参数能够符合实际数据的统计特征，使理论值与实际值本文档来自技高网...

【技术保护点】
1.一种分析恶意程序传播规律的简化方程组，其特征在于

【技术特征摘要】
1.一种分析恶意程序传播规律的简化方程组，其特征在于其中，I表示自由带毒设备，P表示确诊设备，T为潜伏期，λ为每天每台染毒设备传染的设备数量，j为每天自由带毒设备被确诊的概率。2.根据权利要求1所述的方程组，其特征在于，所述λ在每日感染样本的基础上，采用线性拟合的方式来确定λ的值，其中，所述j值为j＝m/N，其中，N为需要确认的携带某种恶意程序的设备数量，m为每天能够复核的设备数量。3.一种基于微分方程模型的恶意软件扩散预测方法，其特征在于，包括：数据统计：针对选定的区域，对恶意程序及恶意程序类型进行数目和信息统计，得到统计数据。数据分析，对所述统计数据进行计算，将当前的一段时间内统计的感染...

【专利技术属性】
技术研发人员：林皓，吴小景，胡建斌，
申请(专利权)人：北京北信源信息安全技术有限公司，
类型：发明
国别省市：北京,11