J应用统计。2022; 49(4):858–883。
计算机恶意软件在网络空间传播动力学的统计建模
,一 ,b条 ,c(c) ,d日 ,一和e(电子)
自建房
一中国科技大学统计与金融系,合肥,中华人民共和国
彭昭
b条中国徐州江苏师范大学江苏省教育大数据科学与工程重点实验室数学与统计学院和数学科学研究院
徐茂超
c(c)美国伊利诺伊州伊利诺伊州立大学数学系
徐寿怀
d日美国德克萨斯州圣安东尼奥市德克萨斯大学计算机科学系
胡太忠
一中国科技大学统计与金融系,合肥,中华人民共和国
兴芳
e(电子)美国伊利诺伊州伊利诺伊州立大学信息技术学院
一中国科技大学统计与金融系,合肥,中华人民共和国
b条中国徐州江苏师范大学江苏省教育大数据科学与工程重点实验室数学与统计学院和数学科学研究院
c(c)美国伊利诺伊州伊利诺伊州立大学数学系
d日美国德克萨斯州圣安东尼奥市德克萨斯大学计算机科学系
e(电子)美国伊利诺伊州伊利诺伊州立大学信息技术学院
版权©2020 Informa UK Limited,作为Taylor&Francis Group交易 摘要
网络威胁建模,如计算机恶意软件在网络空间的传播动力学,是一个重要的研究问题,因为模型可以加深我们对动态网络威胁的理解。本文研究了动态网络攻击宏观层面演变的统计模型。具体而言,我们提出了一种贝叶斯结构时间序列方法,用于建模计算机恶意软件在网络空间中的传播动力学。我们的模型不仅具有简约性(即使用很少的模型参数),而且可以通过调节不确定性来提供动力学的预测分布。我们的仿真研究表明,该模型能够准确地拟合和预测计算机恶意软件的传播动力学,而不需要了解底层攻击防御交互机制和底层网络拓扑的信息。我们使用该模型研究了两种特殊计算机恶意软件的传播,即Conficker和Code Red蠕虫,并表明我们的模型具有非常令人满意的拟合和预测精度。
关键词:贝叶斯时间序列、网络威胁、MCMC、SIS、SIR
1 介绍
计算机恶意软件(恶意软件),如计算机蠕虫,是可以复制自身以在计算机网络中传播的恶意计算机程序。例如,2008年11月首次出现的Conficker蠕虫在互联网上迅速传播,并在短时间内感染了数百万台互联网计算机。此恶意软件利用了Windows操作系统中的漏洞,并使用了许多高级技术,例如域生成算法、自卫机制、通过Web和对等(P2P)网络进行更新以及有效的本地传播。另一个众所周知的恶意软件是Code Red蠕虫,它于2001年7月首次被发现。该恶意软件利用缓冲区溢出漏洞,迅速感染了互联网上数百万台计算机。这些事件只是许多计算机恶意软件在网络空间传播的两个例子,激发了理解其传播动态的重要性。
理解计算机恶意软件传播动力学的重要性激发了许多研究,这些研究可分为两大类。第一组研究旨在为微水准仪发生在计算机网络之上的攻击防御交互,导致网络安全动态的一般概念(参见[34]以及其中的参考)。这些模型适用于广泛研究的网络流行病模型,如敏感感染-易感(SIS)和敏感感染-恢复(SIR)及其扩展[1,8,24,26,31,43],作为特殊情况。最近,Zhao等人。[44]研究了一个模型,该模型包含一个中心节点和一个具有补丁传播网络层和计算机恶意软件传播网络层的多路网络。本研究考虑了对中心节点容量和网络链路带宽的限制。这项基于模拟的研究调查了计算机恶意软件传播和补丁传播之间的相互作用,它们相互竞争。值得一提的是,这种发生在计算机网络之上的竞争动力学在年早些时候进行了研究[22,37,38,46]. Feng等人。[14]研究了一种描述无线传感器网络中蠕虫传播的时空动态的敏感-传染-恢复-敏感(SIRS)模型。Srivastava等人。[30]研究了用于描述无线传感器网络中蠕虫传播动力学的敏感-暴露-感染-隔离-恢复(SEIQR)模型。Xia等人。[33]研究了社交物联网中僵尸网络的传播,并利用平均场方程理论分析了僵尸网络传播的动力学。Zhen等人。[45]研究了由两类攻击和两类防御之间的交互作用引起的一种特殊的网络安全动态。这项研究解决了一个开放了一年的研究问题,证明了特定类型的动力学在模型的整个参数宇宙中是全局收敛的。这一结果在年得到了进一步扩展[21]表明一类更广泛的网络安全动力学模型在模型的整个参数范围内仍然是全局收敛的。Han等人。[16]最近证明,一类更为普遍的网络安全动力学具有全球吸引力,但可能不是全球收敛的,这表明收敛于平衡点的网络安全动态模型与收敛于轨迹的网络安全动力模型之间存在固有边界。这一系列模型的研究可以表征如下:(i)它们经常使用高维和高度非线性的微分方程来对潜在的微观层面的攻击-防御相互作用进行建模;(ii)他们经常做出一些假设,例如某些事件之间的独立性,尽管削弱这种独立性假设已经引起了应有的关注[10,35]; (iii)这些模型尚未通过真实世界的数据进行评估,因为很难收集到微观级别的攻击防御交互活动,而保护此类交互的隐私的需要使这种情况更加恶化;(iv)这些模型能够分析渐近的长期动态行为(即时间)尽管这种动态可能呈指数收敛;并且(v)这些模型需要有关底层攻击防御交互机制、底层网络拓扑和网络安全策略的完整信息(用于推导所谓的攻击防御结构[34]).
第二类研究旨在模拟计算机恶意软件在宏观层而不考虑微观层次的攻击防御交互。这些研究是数据驱动的,例如那些建模动态网络攻击率的研究,即攻击者尝试攻击次数的单变量或多变量时间序列[三,9,27,28,36,39,41,42]. 本研究属于这一系列研究,但与动态网络攻击率不同,因为计算机恶意软件传播动力学对应于受感染计算机数量演变的时间序列(即成功攻击,而非尝试攻击)。更具体地说,我们的研究是基于以下迄今为止尚未调查的问题:仅给出描述宏观计算机恶意软件传播动态的数据(即没有关于底层攻击防御交互的信息,没有关于底层网络拓扑的信息,也没有关于网络安全策略的信息),我们如何使用尽可能少的参数建模计算机恶意软件传播动力学,并预测(或预测)动力学的瞬态行为,同时调节数据中的潜在不确定性。回答这个问题将提供对计算机恶意软件传播动力学的深入理解。对网络安全领域外流行病传播建模的统计研究也证明了这个问题的重要性[11,17,20,25]。
在本文中,我们通过建议使用贝叶斯结构时间序列(BSTS)模型来研究数据驱动的计算机恶意软件在网络空间中的传播动力学来回答上述问题。我们建议使用贝叶斯局部线性趋势(BLLT)模型来调查网络空间中由于计算机恶意软件传播而受到危害(或感染)的计算机数量的动态。我们表明,通过使用合成数据和真实恶意软件传播数据,我们的简约BLLT模型可以有效地描述动态,并达到令人满意的预测精度。该模式具有明确的网络安全解释。我们还讨论了该模型如何在预测中考虑不确定性。更具体地说,我们的模型可以描述如下:(i)它属于统计建模方法,与上述微分方程方法相反;(ii)它是数据驱动的,因此可以使用真实世界的数据进行评估;(iii)它描述并预测了计算机恶意软件传播动力学的瞬态行为,这与上述渐近行为相反;并且(iv)它是一个部分信息模型,这意味着它不需要关于底层攻击防御交互机制、底层网络拓扑和网络安全策略的完整信息。总之,我们的模型对网络空间中计算机恶意软件传播模型动力学的文献做出了特殊贡献,因为它在宏观层面上具有简约性和贝叶斯性质。
论文的其余部分组织如下。章节2描述了实际工作中两种特定计算机恶意软件(称为Conficker和Code Red蠕虫)传播动力学的数据集,并分析了它们的基本统计属性。章节三描述了所提出的BSTS模型,并阐述了其网络安全相关性。章节4在随机网络和接触网络上生成计算机恶意软件传播动态的合成数据,并使用合成数据评估所提模型的有效性。章节5使用该模型研究Conficker和Code Red蠕虫传播动力学数据集。章节6最后总结了本文的研究方向。
2 Conficker和编码红色蠕虫
在本节中,我们首先描述计算机恶意软件传播动力学的两个真实世界数据集,然后对它们进行探索性数据分析。
2.1. 数据描述和预处理
2.1.0.1. Conficker蠕虫
这种蠕虫是一种特殊的计算机恶意软件。该数据集是由网络望远镜应用互联网数据分析中心(CAIDA)[6]. CAIDA望远镜被动监测a/8网络(即。Internet IP地址),不与Internet服务关联,但仅设置为接收(不响应)传入连接[2,40]. 望远镜可以识别Conficker的探测数据包,因为它们以目标端口号为445的传输控制协议(TCP)为目标,这是Confickerworm可以利用的易受攻击的服务。为了滤除背景辐射,2008年11月19日望远镜监测的最后一小时数据(即11:00pm-12:00am)被用作过滤器,以便丢弃望远镜在这一小时内收到的数据包。
每个Conficker蠕虫探测数据包都包含时间戳和源IP地址。数据集中总共有1410742个唯一IP地址。为了分析传播动力学的演变,即受感染计算机总数的演变,我们将数据聚合到20秒的时间窗口中,得出1800个时间窗口。当望远镜观察到来自计算机的第一个Conficker探测数据包时,计算机被视为感染了蠕虫;当望远镜观察数据收集周期结束前来自计算机的最后一个探测数据包,被感染的计算机被视为由感染恢复。最后30分钟用作观察窗口,用于确定受感染的计算机是否恢复。也就是说,如果望远镜在最后30分钟内没有观察到一台先前被感染的计算机发出探测数据包,那么这台计算机就被视为已经从感染中恢复,因为蠕虫是为了传播自己而设计的。时间窗口中受感染的计算机总数t吨,表示为,通过在时间步长结束时从唯一IP的累积数量中删除恢复的计算机数量来计算t吨。这导致总共1710个观察结果,即.
2.1.0.2. 红色蠕虫代码
红色代码蠕虫攻击了运行Microsoft IIS web服务器的计算机,并于2001年7月15日首次发现。本文分析的数据来自三个来源:从CAIDA/8网络望远镜收集的数据包头、劳伦斯伯克利实验室2/16网络接收到的TCP SYN数据包中的时间戳/IP地址对,以及从CAIDA的/8网络望远镜的路由器上游流量中采样的网络流。数据是在2001年7月18日19:00 UTC和2001年7月20日2:10 UTC之间收集的。该预处理数据由CAIDA提供,其中包含用于传输蠕虫的IP地址的时间戳[6]. 为了进行分析,我们将数据汇总到1分钟的窗口中,并记录时间窗口中受感染的计算机数量,从而得出总计1812个观察值,表示为.
2.2. 探索性数据分析
Conficker蠕虫感染的计算机总数的时间序列图如图所示(a) ●●●●。据观察,受感染的计算机总数在最初阶段迅速增加,然后呈稳定增长趋势。达到峰值后,受感染的计算机数量呈下降趋势。图中显示了Code Red蠕虫感染的计算机总数的时间序列图(b) ●●●●。据观察,受感染的计算机总数在最初阶段缓慢增加,然后迅速增加。在达到峰值后,受感染的计算机数量呈稳定趋势。有趣的是,红色代码蠕虫感染的动力学与Conficker蠕虫不同。
Conficker和Code Red蠕虫的传播动力学。(a):Conficker蠕虫。(b):红色代码蠕虫。
图中显示了Conficker和Code Red蠕虫感染计算机数量的箱线图对于Conficker蠕虫,受感染计算机的平均数量为179481台,中位数为192607台。从图中可以看出,这表明受感染计算机的数量非常不平衡。样本标准偏差为44295.61,这表明受感染计算机的数量存在很大的变异性。感染红色代码蠕虫病毒的计算机数量平均为158157台,中位数为56539台。可以看出,平均值远大于中位数,这表明数据也非常倾斜。样本标准偏差为161143.73,表明受感染计算机的数量存在很大的变异性。如图所示,与受Conficker蠕虫感染的计算机数量相比,感染Code Red蠕虫的计算机数量在左尾端有更多的观察结果,这与Code Red蠕虫在初始阶段缓慢增长的模式相吻合。
Conficker和Code Red蠕虫感染计算机数量的箱线图。
为了在现实世界中建模计算机恶意软件传播动态,必须适应网络噪音和/或错误识别的网络流量可能引起的不确定性。这可能是因为,例如,正常流量可能被错误地识别为恶意流量(即误报)和/或恶意流量可能被误报为正常流量(即漏报)。由于贝叶斯模型非常适合适应不确定性,可以提供直观且有意义的推断[15]这促使我们使用贝叶斯方法来建模蠕虫传播动力学。
三。 模型和理由
在本节中,我们将介绍BLLT模型并讨论其网络安全相关性。
3.1. 贝叶斯局部线性趋势模型
BLLT模型是一个带有贝叶斯组件的状态空间模型。让是在时间上的观察结果(即在计算机恶意软件传播动态的背景下,观察到的受感染计算机的数量)t吨,其中模型描述如下:
哪里是当时趋势的水平值t吨,是预期的增长μ之间t吨和t吨 + 1,可作为边坡处理t吨、和,和是反映固有不确定性和/或测量误差的噪声。直观地,方程式(1),配音观察方程,将观测数据关联起来到未观察到的潜在状态、和方程式(2)以及(三),配音状态转换方程,描述潜在空间中的演化。
BLLT模型有几个吸引人的特性。首先,它允许人们推断出未观察到的潜在状态从观测数据到时间,表示为简而言之。让是当时的推断向量t吨处于潜伏状态。利用卡尔曼滤波和卡尔曼平滑器可以实现推理。在较高水平上,卡尔曼滤波器递归计算预测分布通过合并和以某种方式;卡尔曼平滑器然后更新卡尔曼滤波器的输出以进行计算每个值t吨(请参见[4,13]). 其次,它很节俭,因为它只有三个参数;这是一个重要的属性,因为在统计学中,节约型模型总是首选的。第三,它很灵活,因为它可以快速适应局部变化,这使得它能够进行短期预测[29]. 第四,它可以适应复杂的现象,如非平稳性和结构断裂(例如不同的均值或方差[4]),并且可以扩展以适应协变量和季节趋势[29]. 由于它本质上是贝叶斯的,因此它可以提供分布预测而不是点预测,从而在预测中获得更丰富的信息。
BLLT模型的一个特殊情况被称为贝叶斯局部线性(BLL)模型[4],可通过设置获得在方程式中(2)这意味着没有坡度(即潜在空间没有增加或减少)。也就是说,BLL模型是:
为了观察BLLT模型是否可以被更简单的模型取代,还研究了BLL模型。
当将BLLT模型投射到计算机恶意软件传播动力学的上下文中时,我们提出了以下对BLLT模型的网络安全性解释。第一,可以解释为观察到的受感染计算机的数量t吨,这与地面实数不同由于一系列因素(例如网络望远镜的大小、假阳性和/或假阴性引起的观测误差),在实践中只对受感染的计算机进行了部分观察。第二,是由固有不确定性或测量误差引起的噪声。第三,是增加(或减少)随时间间隔,并与之前的更改量相关带有随机噪声第四,噪音在里面吗,这可能是由于(例如)网络拥塞时攻击数据包丢失引起的[7]。
3.2. 处理BLLT模型的先验分布
使用贝叶斯模型时,需要处理先验分布问题。对于BLLT模型,我们有模型方差参数向量
和推断的向量,其中.就是这样,
分别是模型参数序列和推断状态序列。因此,我们需要指定一个优先分布关于模型参数和分发关于初始向量模型参数下.对于参数,假设逆方差的先验分布为以下Gamma分布,
哪里是预期的伽马分布一/b条这意味着b条/一是对方差的后验分布是逆伽马分布[13,29]. 迄今为止观察到的时间序列的样本方差用作方差的先验估计。
参数的初始值和假设遵循正态分布。平均值的初始值设置为因为平均值的初始值与第一次观测值直接相关,可以用作初始估计。我们进一步设置平均值的初始值成为因为上次观察结果的差异和第一次观察反映了数据中的变化趋势,因此反映了平均差异粗略地传达斜率信息。
3.3. 计算BLLT模型的后验分布
为了计算后验分布,使用吉布斯采样器模拟序列,来自平稳分布的马尔可夫链.采样算法分为两部分:第一部分采样导出α和第二部分样品导出θ.
使用吉布斯采样器模拟序列,我们使用Durbin和Koopman中描述的算法[12]因为它简单且计算效率高。具体来说,给定初始参数和以及初始先验密度,其中是的平均矢量和是的协方差矩阵,算法1用于采样和.
使用后验预测分布进行预测(即预测),如下所示。(i) 后向分布在模拟模型参数后随时可用.(ii)可以基于提议的BLLT模型进行估计。(iii)预测的是
哪里.
4 模拟研究
在本节中,我们进行了一项模拟研究,以检查BLLT模型在不同场景下的拟合和预测性能(即准确性)。特别地,我们将BLLT模型的性能与发生在随机网络和接触网络之上的传播动力学的经典SIS和SIR模型的性能进行了比较。这使我们能够研究BLLT模型是否能够描述计算机恶意软件传播动力学。比较了BLLT模型和BLL模型的拟合和预测精度。此外,还对BLLT模型应用于包含观测误差(由误分类引起)的数据时的性能进行了检查。
4.1. 基准模型
让表示网络的安全状态向量N个节点,其中是易受感染的节点数,是受感染节点的数量,并且是不再受感染的已恢复节点数。在经典SIS模型中,蠕虫传播动力学由两个微分方程描述:
哪里β被称为感染率γ称为回收率。请注意对于任何t吨在经典SIR模型中,蠕虫传播动力学由三个微分方程描述:
请注意对于任何t吨这些模型在文献中被广泛用于流行病动力学建模[34]因此,它们被用作本研究的基准模型。
4.2. 模拟网络上的传播动力学
在下文中,我们模拟了随机网络和接触网络上的传播动力学。
4.2.0.3. a) 生成合成数据集通过在随机网络上模拟SIS动力学
对于我们的实验,随机网络(即图形)G公司具有1000个节点和独立的边缘概率生成(即每对节点以独立概率连接). 生成网络后,我们随机选择50个节点作为感染节点,并设置参数和.
模拟感染时间序列数据,表示为,聚合了500多个时间点。图(a) 绘制一段时间内受感染节点的数量。我们观察到,在初始时间段内,受感染节点的数量迅速增加,然后变得相对稳定,这与更一般设置下的理论结果一致[21,45]. 汇总统计数据显示,一段时间内感染节点的平均数量为783.5个,感染节点的中位数为950个。这表明感染数据存在偏差,如图所示.感染节点数的标准偏差为291.27,这表明感染节点数之间存在较大的变异性。这可以解释为初始阶段受感染的节点数量较少,但之后受感染的站点数量较多。
随机网络上受感染节点的模拟数量。(a)SIS(b)SIR.
4.2.0.4. b) 生成合成数据集通过模拟随机网络上的SIR动态
我们在a)中使用相同的网络为SIR模型生成数据集。初始感染节点设置为1。感染参数设置为恢复参数设置为.R包记录仪[23]用于生成感染数据。然后,我们将超过500个时间步长的受感染节点数进行聚合。让表示感染节点的数量随时间变化的时间序列。图(b) 绘制一段时间内受感染节点的数量。我们观察到,感染节点的数量在开始时增加,然后达到峰值并持续一段短时间,最后减少到零。这与a)中的SIS模拟不同,因为恢复的节点不再受感染。汇总统计显示,一段时间内感染节点的平均数量为278.7,感染节点的中位数为300。感染节点数的标准偏差为135.19。同样,数据也表现出很大的可变性。
4.2.0.5. c) 生成合成数据集通过在接触网上模拟SIS动力学
我们使用R包EpiModel公司[19]用接触网模拟SIS模型中的数据。该模型有三个参数:单位时间内每个节点的平均可传播行为数α; 易感节点和受感染节点之间每次传播行为的感染概率β; 平均免疫恢复率γ。我们将这些参数设置为,、和假设接触网有1000个节点。受感染节点的初始数量设置为50,因此敏感节点的初始数目为950,时间步长设置为500。让表示感染节点数的时间序列。图(a) 绘制一段时间内受感染节点的数量。我们观察到,该曲线与上述随机网络上SIS模型的模拟曲线相似:它在开始时迅速增加,然后达到稳定状态,这与更一般设置下的理论结果一致[21,45]. 不同之处在于,图中受感染节点的数量波动较大(a) 与图相比(a) ●●●●。感染节点的平均数和中位数分别为483.5和572.0,感染节点的标准差为168.27。同样,数据显示出很大的可变性。
接触网络上受感染节点的模拟数量。(a)SIS(b)SIR.
4.2.0.6. d) 生成合成数据集通过模拟接触网上的SIR动态
我们使用与c)中相同的参数,通过使用R包从带有接触网络的SIR模型生成感染数据EpiModel公司不同之处在于,对于SIR模型,恢复的节点不受感染。让表示感染节点数的时间序列。图(b) 绘制一段时间内受感染节点的数量。我们观察到,该曲线与上述随机网络SIR模型的模拟曲线相似:感染节点开始增加,然后达到峰值,最后降至零。不同的是,感染节点数在达到峰值后直接减少,并且减少的趋势比图中的慢(b) ●●●●。感染节点的平均数和中位数分别为83.44和51.50,感染节点数的标准差为83.46。同样,我们从数据中观察到了很大的变化。
4.3. 模型评估
在本节中,我们将讨论所提出的BLLT模型的拟合和预测性能。出于评估目的,,其中我 = 1、2、3、4分为两个评估期:和,其中的大小模型拟合为80,其余数据为用于预测评估。预测性能是基于滚动预测进行评估的,即当新的观测值可用时更新模型。算法3显示了滚动预测过程。为了进行贝叶斯估计,MCMC步骤设置为10000,燃烧周期设置为8000。我们使用标准度量来评估拟合和预测精度:MSE(均方误差)、MAD(平均绝对偏差)、MAPD(平均绝百分比偏差)和SMAPE(对称平均绝百分比误差)[18]。
4.3.0.7. 数据
我们很适合通过使用基准模型,即SIS模型和提出的贝叶斯方法。对于贝叶斯模型,我们检查BLLT和BLL以进行比较。拟合结果如图所示观察到所有模型都具有良好的拟合性能。
不同模型的拟合和预测.(a)配件(b)预测.
预测评估执行于,如图所示(b) ●●●●。可以看出,基准模型过高估计了受感染节点的数量。BLLT和BLL模型很好地预测了感染。为了进一步比较,我们计算了表中的预测评估指标发现基准SIS模型的MSE值非常大,为171.3291,而BLL和BLLT模型的MSE值要小得多。特别是,BLLT模型的最小MSE值为5.7267。同样,基准SIS模型的MAD值最大,为11.4579,而BLLT模型的MAD值最小,为1.9533。此外,基于MAPD和SMAPE的BLLT模型的最大预测准确率为99.78%,而基于MAPD度量的BLL模型的预测准确率是99.70%,基于SMAPE度量的预测准确度是99.64%。基准SIS模型在MAPD(98.74%)和SMAPE(98.23%)方面的预测精算师都较低。
表1。
韵律学 | MSE公司 | 摩洛哥迪拉姆 | 地图 | SMAPE公司 | MSE公司 | 摩洛哥迪拉姆 | 地图 | SMAPE公司 |
---|
|
|
|
基准 | 171.3291 | 11.4579 | 0.0126 | 0.0127 | 11406.29 | 98.7111 | 0.3146 | 0.3848 |
BLL公司 | 15.2713 | 2.7344 | 0.0030 | 0.0036 | 8.7482 | 2.4983 | 0.0080 | 0.0177 |
BLLT公司 | 5.7267 | 1.9533 | 0.0022 | 0.0022 | 3.7661 | 1.5910 | 0.0051 | 0.0072 |
|
|
|
基准 | 14727.59 | 88.5749 | 0.1610 | 0.1373 | 15.9323 | 2.7154 | 0.0366 | 0.1226 |
BLL公司 | 25.9844 | 4.0308 | 0.0073 | 0.0077 | 3.4728 | 1.1506 | 0.0155 | 0.0274 |
BLLT公司 | 26.0779 | 4.0572 | 0.0074 | 0.0075 | 2.9264 | 1.0853 | 0.0146 | 0.0316 |
总之,基于所有指标,所提出的BLLT模型显著优于其他模型。
4.3.0.8. 数据
对于,我们适合并将其与BLL和BLLT模型的拟合性能进行比较。拟合结果如图所示(a) ●●●●。可以看出,基准模型的拟合性能很差,而贝叶斯模型的拟合效果要好得多。基准模型无法很好地拟合数据,因为即使从一个受感染的节点开始,实际感染也会快速增加,但基准模型无法跟上这种快速增长,这导致基准模型对受感染节点数量的预测严重不足,如图所示(b) ●●●●。BLLT模型可以快速适应数据,并具有非常好的拟合和预测性能。
不同模型的拟合和预测.(a)配件(b)预测.
对于上的预测准确度指标,表结果表明,基准模型的MSE(11406.29)和MAD(98.7111)非常大,而BLLT模型的值最小(MSE为3.7661,MAD为1.5910)。就准确度百分比而言,基准模型在MAPD中只能达到68.54%的准确度,在SMAPE中只能达到61.52%的准确度。BLLT模型可以显著提高MAPD和SMAPE的预测准确率,分别达到99.49%和99.28%。
总之,BLLT模型对.
4.3.0.9. 数据
这个通过基准SIS模型和提出的贝叶斯模型进行拟合。拟合结果如图所示(a) ●●●●。一般来说,这三种模型都具有良好的拟合性能,这与预测结果如图所示(b) ●●●●。可以观察到,尽管基准SIS模型具有良好的拟合性能,但它对受感染节点的数量的预测明显过高这主要是由于其适应变化的快速适应能力较弱。BLL和BLLT模型都能很好地预测蠕虫的探测。
不同模型的拟合和预测.(a)配件(b)预测.
表显示了所有模型的预测指标。可以看出,BLL模型的预测性能与BLLT模型相当。这两种模型具有相似的预测性能,并且比基准模型要好得多。
4.3.0.10. 数据
我们很适合通过使用基准SIR模型和提出的贝叶斯模型。拟合结果如图所示(a) ●●●●。可以看出,基准模型通常可以跟随增长趋势,并且两个贝叶斯模型都非常适合。将拟合性能与通过基准模型。基准模型的改进拟合性能可以归因于最初的感染人数。对于,初始感染节点数为50,与这也是基准模型能够捕捉到.
不同模型的拟合和预测.(a)配件(b)预测.
的预测性能如图所示(b) 和表可以看出,尽管三个模型可以很好地预测,但基于MSE、MAD和MAPD度量,BLLT模型仍然优于其他模型。BLL模型的SMAPE略小于BLLT模型。特别是,BLLT模型的预测精度最高在MAPD中。
4.3.0.11. 错误分类流量的数据
由于传播动力学数据可能包括错误分类的流量,即实际中的误报和漏报,因此我们基于上述数据研究模型性能这是在存在观测误差的情况下,用随机网络模拟SIS模型得到的。我们假设误分类流量的数量遵循平均值为0、标准偏差为10的高斯分布,这意味着误分类包括假阳性和假阴性。图(a) 绘制了感染节点的地面真实数和观察到的感染节点数,并表明由于假阳性和假阴性,观察到的受感染节点数具有很大的可变性。
使用不同的模型进行拟合和预测在假阳性和假阴性的情况下,蓝色曲线表示95%预测区间的上下限。(a) 配件错误分类。(b) 预测错误分类。
对于装配精度,图(a) 结果表明,拟合的BLLT和BLL模型总体上遵循地面真实度的增加趋势,但由于观测误差,可能会出现振荡。用于预测以下方面的准确性带观测误差,图(b) 结果表明,由于假阳性和假阴性,观察到的受感染计算机数量具有很大的变异性。
表报告了预测准确性指标,并表明BLLT模型在这些指标方面优于BLL模型。通过比较表中报告的预测精度结果,我们看到假阳性和假阴性会导致预测结果的准确性大大降低。从预测精度来看,BLLT模型比BLL模型更稳健。作为贝叶斯建模方法的一个优点,可以很容易地提供预测区间。在图中,我们显示BLLT模型的预测区间。可以观察到,地面地形落入预测区间。
表2。
预测精度在存在假阳性和假阴性观察误差的情况下。
| MSE公司 | 摩洛哥迪拉姆 | 地图 | SMAPE公司 |
---|
BLL公司 | 167.6308 | 10.4146 | 0.0115 | 0.0119 |
BLLT公司 | 145.0861 | 9.6581 | 0.0106 | 0.0108 |
总之,所提出的BLLT模型在基于合成数据的恶意软件传播动力学方面具有良好的拟合和预测性能。它可以很快适应动力学中的局部(瞬态)变化,并产生高精度的预测,而基准SIS和SIR模型的缺点是无法适应数据显示的变化。此外,BLLT模型比BLL模型更稳健。如果传播动力学数据包含错误分类,则所提出的BLLT模型可以通过提供预测区间来适应不确定性。
5 应用
在本节中,我们研究了所提出的BLLT模型对Conficker和Code Red蠕虫传播的拟合和预测性能。将所提出的BLLT模型与其他常用模型的性能进行了比较。我们进一步讨论了如何在实践中使用所提出的BLLT模型。
5.1. Conficker蠕虫
对于Conficker蠕虫,前300个观测值用于模型拟合,其余1410个观测值用来评估预测性能。在评估模型拟合和预测精度之前,验证了MCMC链在拟合过程中的收敛性,以确认可以使用贝叶斯方法。Gelman-Rubin方法用于确定收敛性[5]. 当链收敛时,Gelman-Rubin统计应接近1。我们测试了五条尺寸为10000的链条,参数的初始值不同相应的Gelman-Rubin统计分别为1.0103、1.0124、1.0399,均小于1.1。这表明MCMC方法适用于Conficker蠕虫数据。
BLLT模型的拟合曲线如图所示(a) ●●●●。为了进行比较,还显示BLL模型的拟合。结果表明,这两种模型都能很好地拟合蠕虫传播数据。通过算法3的滚动方法进行预测,并绘制在图中(b) ●●●●。结果表明,这两种模型都具有很好的预测性能。预测准确度指标如表所示可以看出,BLLT模型的MSE和MAD比BLL模型的MSE和MAD小得多。此外,BLLT模型可以实现与BLL模型在MAPD方面的准确性,以及准确性与aSMAPE方面的准确性。
对Conficker蠕虫传播数据的不同模型进行拟合和预测。(a) 配件。(b) 预测。
表3。
| MSE公司 | 摩洛哥迪拉姆 | 地图 | SMAPE公司 |
---|
BLL公司 | 30291.29 | 127.0138 | 0.0006 | 0.0007 |
BLLT公司 | 5609.875 | 45.74324 | 0.0002 | 0.0002 |
在图中,Conficker蠕虫的预测间隔为和将显示级别。图(a) 显示了总体预测间隔,图(b) 显示预测的缩放部分。可以观察到,在这两个预测水平上,预测区间都非常窄。
Conficker蠕虫在级别上的预测间隔和(a)预测区间。(b) 缩放预测间隔。
5.1.0.12. 模型比较
我们比较了BLLT模型对Conficker蠕虫的拟合和预测性能,以及文献中提出的统计模型,包括自回归综合移动平均(ARIMA)模型[32,41]广义自回归条件异方差(GARCH)模型[42]和贝叶斯负二项(BNB)模型[三]。
对前300个观测值进行模型拟合。为了开发ARIMA模型,ADF测试用于确定单位根在Conficker蠕虫数据中的位置。这个第页-ADF测试值小于0.01,这表明对Conficker蠕虫数据建模不需要差异。AIC表明ARIMA(1,0,1)模型足以用于建模目的。对于GARCH模型,还使用AIC来选择模型,这意味着平均部分可以建模为ARMA(1,1),而变异部分可以建模成GARCH(1,1)。BNB模型[三]也用于拟合Conficker蠕虫数据。不同模型的拟合性能如图所示(a) ●●●●。可以看出,与BLLT模型相比,ARIMA模型也具有良好的拟合性能;GARCH模型对前几个观测值的拟合性能较差,然后对其余观测值显示出良好的拟合性能;BNB模型的拟合性能非常差,这表明Conficker蠕虫数据不遵循负二项分布。基于剩余1410个观测值的滚动预测,我们进一步比较了ARIMA和GARCH模型与BLLT模型的预测性能。三种模型的预测如图所示(b) 结果表明,所有模型都具有良好的预测性能。
比较基于Conficker蠕虫传播数据的不同模型的拟合和预测性能。(a) 配件。(b) 预测。
表给出了预测精度指标。可以观察到,就所有指标而言,BLLT模型优于其他模型。特别是,BLLT模型在MSE和MAD指标方面显著优于其他模型。
表4。
| 毫秒 | 摩洛哥迪拉姆 | 地图 | SMAPE公司 |
---|
ARIMA公司 | 16285.51 | 92.0162 | 0.0005 | 0.0005 |
加奇 | 12737.8 | 71.0670 | 0.0004 | 0.0004 |
BLLT公司 | 5609.875 | 45.74324 | 0.0002 | 0.0002 |
5.2. 红色蠕虫代码
与前一小节类似,前300个观测值用于模型拟合,其余1512个观测值用来评估预测性能。Gelman-Rubin统计量也用于确定收敛性。我们测试了五条尺寸为10000的链条,参数的初始值不同相应的Gelman-Rubin统计分别为1.0018、1.0374、1.008,均小于1.1。这表明MCMC方法适用于红色代码蠕虫数据。
BLLT模型的拟合图如图所示(a) ●●●●。为了进行比较,还显示了BLL模型的拟合。我们再次看到,这两个模型都能很好地拟合蠕虫数据。预测如图所示(b) 结果表明,这两种模型都具有很好的预测性能。预测准确度指标如表所示可以看出,BLLT模型的MSE和MAD值远小于BLL模型。BLLT模型可以使用精确度,与BLL模型在MAPD方面的准确性(或与。SMAPE方面的准确性)。
对Code Red蠕虫传播数据的不同模型进行拟合和预测。(a) 装配。(b) 预测。
表5。
对Code Red蠕虫传播数据的不同模型进行预测评估。
| MSE公司 | 摩洛哥迪拉姆 | 地图 | SMAPE公司 |
---|
BLL公司 | 377225.7 | 282.9071 | 0.0015 | 0.0041 |
BLLT公司 | 77339.74 | 59.9474 | 0.0003 | 0.0007 |
对于Code Red蠕虫传播数据,预测间隔如图所示在两个和水平。图(a) 显示了总体预测间隔,图(b) 显示预测的缩放部分。同样,可以观察到,两个级别的预测区间都非常窄。
代码红色蠕虫的预测间隔和水平。(a) 预测间隔。(b) 缩放预测间隔。
总之,我们得出结论,BLLT模型可以很好地预测红色代码蠕虫的传播动力学。
5.2.0.13. 模型比较
与Conficker蠕虫类似,我们执行以下模型比较。AIC建议ARIMA(0,1,2)模型适用于对红色代码蠕虫数据进行建模。对于GARCH模型,AIC建议使用ARMA(1,1)+GARCH(1,1”模型。对于拟合,发现BLLT和ARIMA模型都具有良好的拟合性能,而GARCH和BNB模型的拟合性能较差。此观察结果与Conficker蠕虫数据的情况类似。预测结果见表,其基于其余1512个观测值的滚动预测。再次观察到,BLLT模型显著优于其他模型。
表6。
对Code Red蠕虫传播数据的不同模型进行预测评估。
| MSE公司 | 摩洛哥迪拉姆 | 地图绘制 | SMAPE公司 |
---|
ARIMA公司 | 132476 | 108.9276 | 0.0006 | 0.0014 |
加奇 | 146288.3 | 148.5909 | 0.0008 | 0.0021 |
BLLT公司 | 77339.74 | 59.9474 | 0.0003 | 0.0007 |
5.3. 在实践中使用BLLT
我们提出以下三步程序,用于使用BLLT模型预测实际中的恶意软件传播。
数据收集。对于建模真实世界的恶意软件传播,第一步是收集数据,然后将数据聚合到所需时间单位(例如秒、分钟或小时)的时间窗口中。
建模。使用算法1生成BLLT模型的大量模拟参数序列(例如10000)。
预测。使用算法3预测未来值的分布并计算感兴趣的预测量。
例如,对于Conficker蠕虫数据,可以预测上一次观察的分布。预测感染的直方图如图所示。最后一个观察值是176155,对应于预测分布的百分位数。实际上,可以创建预测间隔,如表所示,这对从业者来说更容易使用。从表,可以看出,最后一次观测落在区间内,发生概率为0.2765。
Conficker蠕虫预测感染计算机数量的直方图,其中垂直线表示实际观察结果。
表7。
Conficker蠕虫感染的计算机数量的预测间隔。
间隔 | 探针 |
---|
[175600,175800) | 0.0021 |
[175800,176000) | 0.0509 |
[176000,176200) | 0.2765 |
[176200,176400) | 0.4369 |
[176400,176600) | 0.2051 |
[176600,176800) | 0.0265 |
[176800,177000) | 0.002 |
总之,所提出的BLLT模型对真实世界的Conficker和Code Red蠕虫传播数据具有非常满意的拟合和预测性能。由于它是一个贝叶斯模型,它可以通过提供预测分布来自然地处理数据中的噪声。
6 结论
我们建议使用BLLT模型来建模网络空间中数据驱动的宏观层面的计算机恶意软件传播动态,而不需要关于微观层面的攻击-防御交互的各种信息。该模型不仅具有简约性(即仅使用三个参数),还可以提供预测分布(即调节实践中经常遇到的不确定性)。仿真和实证研究均表明,该贝叶斯方法具有令人满意的拟合和预测精度。与传统的时间序列模型相比,该方法具有更高的预测精度。对于Conficker蠕虫传播动力学,该方法的预测精度为高于ARIMA模型和高于GARCH模型,均采用MSE度量;对于Code Red蠕虫传播动力学,该方法的预测精度为高于ARIMA模型和高于GARCH模型,均采用MSE度量。我们希望这项研究将激发更多关于统计方法的研究,以模拟计算机恶意软件在网络空间中的传播动力学。
未来的研究包括调查具有复杂传播模式的计算机恶意软件传播动力学。例如,当传播动力学的附加信息可用时(例如网络流量信息),可调整或扩展所提议的模型以适应协变量,以提高拟合和预测精度。
致谢
作者感谢AE和匿名审稿人提出的富有洞察力和建设性的意见,这些意见指导了他们修改和改进论文。
资金筹措表
徐寿怀部分获得了国家自然科学基金会(NSF)拨款1814825和1736209以及陆军研究办公室(ARO)拨款W911NF-17-1-0566的支持。论文中表达的观点是作者的观点,在任何意义上都不反映资助机构的政策。赵鹏获国家自然科学基金(11871252)和江苏省高校重点学科发展项目资助。胡太忠获得安徽应用数学中心的支持。
工具书类
1Andersson H.和Britton T。,随机流行病模型及其统计分析,卷。151《施普林格科学与商业媒体》,纽约,2012年。[谷歌学者] 2Bailey M.、Cooke E.、Jahanian F.、Myrick A.和Sinha S。,实际暗网测量。信息科学与系统,2006年第40届年会2006年3月,第1496–1501页。
三。Bakdash J.Z.、Hutchinson S.、Zaroukian E.G.、Marusich L.R.、Thirumuruganathan S.、样品C.、Hoffman B.和Das G。,未来的恶意软件?网络事件分析检测的预测,J.网络安全
4(2018),第1-10页。[谷歌学者] 4Brodersen K.H.、Gallusser F.、Koehler J.、Remy N.和Scott S.L。,使用贝叶斯结构时间序列模型推断因果影响,附录申请。斯达。
9(2015),第247-274页。[谷歌学者] 5Brooks S.P.和Gelman A。,监测迭代模拟收敛性的一般方法,J.计算。图表。斯达。
7(1998年),第434-455页。[谷歌学者] 7长春邹C.、高L.、龚伟和托斯利D.F。,互联网蠕虫监测与预警,2003年CCS第十届ACM计算机和通信安全会议记录2003年10月27日至30日,美国华盛顿特区,第190页至第199页。
8长春邹C.、龚W.和托斯利D。,代码红虫传播建模与分析,第九届ACM计算机和通信安全会议记录ACM,2002年,第138-147页。
9陈永中、黄志刚、徐S.、赖永中。,网络攻击的时空模式和可预测性,公共科学图书馆。一个。
10(2015),第e0124472页。[PMC免费文章][公共医学][谷歌学者] 10Da G.、Xu M.和Xu S。,一种新的网络系统安全建模与分析方法,2014年安全科学研讨会论文集(HotSoS’14)2014年,第6:1–6:12页。
11Dukic V.、Lopes H.F.和Polson N.G。,利用谷歌流感趋势数据和国家空间seir模型跟踪疫情,美国统计协会。
107(2012),第1410-1426页。[谷歌学者] 12Durbin J.和Koopman S.J。,一种简单高效的状态空间时间序列分析仿真平滑器,生物特征
89(2002),第603-616页。[谷歌学者] 13Durbin J.和Koopman S.J。,状态空间方法的时间序列分析,卷。38,牛津大学出版社,牛津,2012年。[谷歌学者] 14冯磊、宋磊、赵琦、王浩。,无线传感器网络中蠕虫传播的建模与稳定性分析,数学。问题。工程师。
2015(2015),文章编号129598。[谷歌学者] 15Gelman A.、Stern H.S.、Carlin J.B.、Dunson D.B.、Vehtari A.和Rubin D.B。,贝叶斯数据分析查普曼和霍尔/CRC,佛罗里达州博卡拉顿,2013年。[谷歌学者] 16韩毅、陆伟、徐S。,具有遍历时间相关参数的预防性和反应性网络防御动力学具有全球吸引力,CoRR公司,abs/2001.079582020。
17Held L.、Hens N.、O'Neill P.D和Wallinga J。,传染病数据分析手册,查普曼和霍尔/CRC,佛罗里达州博卡拉顿,2019年。[谷歌学者] 18Hyndman R.J.和Koehler A.B。,再看一下预测准确性的衡量标准,国际期刊预测。
22(2006年),第679-688页。[谷歌学者] 19Jenness S.M.、Goodreau S.M.和Morris M。,Epimodel:网络传染病数学建模的r包,J.统计软件。
84(2018),第8条。[PMC免费文章][公共医学][谷歌学者] 20Koepke A.A.、Longini Jr I.M.、Halloran M.E.、Wakefield J.和Minin V.N。,孟加拉国霍乱疫情预测模型,附录申请。斯达。
10(2016),第575-595页。[PMC免费文章][公共医学][谷歌学者] 21林政、陆伟、徐S。,统一的预防性和反应性网络防御动态仍在全球范围内趋同,电气与电子工程师协会。ACM公司。事务处理。Netw公司。
27(2019年),第1098-1111页。[谷歌学者] 22Lu W.、Xu S.和Yi X。,优化主动网络防御动态,第四届国际安全决策与博弈论会议记录(GameSec’13)2013年,第206-225页。
23维修人员Gábor Csárdi。包装igraph,2018。
24Märtens M.、Asghari H.、van Eeten M.和van Mieghem P。,一种与时间相关的计算机蠕虫长期进化sis-模型,通信和网络安全(CNS),2016年IEEE会议IEEE,2016年,第207-215页。
25奥斯托斯·D、阿提克·J、普里霍尔斯基·R和德尔·瓦莱·S·Y。,美国分层差异的动态贝叶斯流感预测(附讨论),贝叶斯分析。
14(2019年),第261-312页。[谷歌学者] 26Pastor-Satorras R.和Vespignani A。,流行病在无标度网络中的传播,物理学。修订版Lett。
86(2001),第3200-3203页。[公共医学][谷歌学者] 27彭C.、徐M.、徐S.、胡涛。,通过标记点过程建模和预测极端网络攻击率,J.应用。斯达。
44(2017),第2534–2563页。[谷歌学者] 28彭C.、徐M.、徐S.、胡涛。,多元网络安全风险建模,J.应用。斯达。
45(2018),第2718–2740页。[谷歌学者] 29Scott S.L.和Varian H.R。,用贝叶斯结构时间序列预测当前,国际数学杂志。模型。最佳方案。
5(2014),第4–23页。[谷歌学者] 30Srivastava P.K.、Ojha R.P.、Sharma K.、Awasthi S.和Sanyal G。,隔离和恢复对无线传感器网络中感染节点的影响,Int.J.传感器无线通信。控制
8(2018),第26-36页。[谷歌学者] 31王毅、文S.、项毅、周伟。,蠕虫在网络中传播的建模:综述,IEEE通信。调查与教程
16(2013),第942-960页。[谷歌学者] 32Werner G.、Yang S.和McConky K。,网络攻击强度的时间序列预测,第十二届网络和信息安全研究年会会议记录ACM,2017年,第18页。
33夏浩、李磊、程欣、程欣和邱涛。,社交物联网中僵尸网络传播的建模与分析,IEEE物联网J。
7(2020年),第7470–7481页。[谷歌学者] 34徐S。,网络安全动力学:网络安全科学的基础,施普林格国际出版社,商会,2019年,第1-31页。[谷歌学者] 35徐明、大庚、徐斯。,具有相关性的网络传染病模型,互联网。数学。
11(2014),第62-92页。[谷歌学者] 36徐明、华立、徐S。,网络防御预警有效性预测的藤蔓连接模型,技术计量学
59(2017),第508-520页。[谷歌学者] 37徐S.、陆伟、李海。,主动网络防御动力学的一个随机模型,互联网数学。
11(2015),第23-61页。[谷歌学者] 38徐慎、陆伟、詹姿。,多病毒动力学的随机模型,电气与电子工程师协会。事务处理。可靠的。安全。计算。
9(2012),第30-45页。[谷歌学者] 39Xu M.、Schweitzer K.M.、Bateman R.M.和Xu S。,建模和预测网络黑客攻击,IEEE传输。通知。法医安全。
13(2018),第2856–2871页。[谷歌学者] 40Yegneswaran V.、Barford P.和Plonka D。,网络漏洞监测中网络汇的设计与使用,入侵检测的最新进展斯普林格出版社,2004年,第146-165页。
41Zhan Z.、Xu M.和Xu S。,蜜罐式网络攻击特征:统计框架和案例研究,IEEE传输。通知。法医安全。
8(2013),第1775-1789页。[谷歌学者] 42詹政、徐明、徐斯。,用极值预测网络攻击率,IEEE传输。通知。法医安全。
10(2015),第1666–1677页。[谷歌学者] 43Zhang C.、Zhou S.和Chain B.M。,混合流行病学——以计算机蠕虫conficker为例,《公共科学图书馆·综合》。
10(2015),第e0127478页。[PMC免费文章][公共医学][谷歌学者] 44赵D.、王磊、王姿、小刚。,多重网络中的病毒传播和补丁分布:建模、分析和优化分配,IEEE传输。通知。法医学安全。
14(2018),第1755-1767页。[谷歌学者] 45郑瑞、陆伟、徐S。,预防性和反应性网络防御动态在全球保持稳定,IEEE传输。Netw公司。科学。工程师。
5(2018),第156-170页。[谷歌学者] 46郑瑞、陆伟、徐S。,显示丰富现象的主动网络防御动态,2015年安全科学研讨会论文集ACM,2015年,第2页。