Malware Propagations in Wireless Ad Hoc Networks.md

title	date	tags	categories	mathjax
Malware Propagations in Wireless Ad Hoc Networks	2018-12-09 10:52:14 -0800	论文	论文	true

无线Ad hoc网络中恶意软件传播研究。

摘要

无线自组织网络（WANET）中的恶意软件传播建模代表了一个基础和开放的研究问题，它显示了由于复杂的接入竞争，严重的信道干扰和动态连接而带来的显着挑战。为了解决这个问题，我们在本文中分别研究了在扩展模式和通信模式下两种传播方案（包括单播和广播）下的恶意软件传播。根据之前的文献，我们以三个方面突出我们的贡献。首先，通过应用无线网络容量理论，提供每个方案的恶意软件感染率的界限。其次，研究了移动性对恶意软件传播的影响。第三，讨论了不同方案和实际应用之间的关系。数值模拟和详细的性能分析表明，对于WANET中的恶意软件传播速度而言，具有扩展模式的广播方案是最危险的，并且移动性将进一步大大增加风险。本文所取得的成果不仅可以提供有关WANET中恶意软件传播特性的见解，还可以作为设计防御方案的基本指导原则。

介绍

随着网络的发展，恶意软件，包括蠕虫和病毒，已经成为了最大的安全威胁。例如，Code Red[1]感染了数十万台主机并造成了的损失超过数十亿美元。最近几年，许多新型恶意软件的目标移向了移动终端。他们能在设备之间通过无线网络通信传播，这给无线网络的应用带来了许多安全挑战。

互联网的恶意软件攻击长期以来一直是广泛研究的主题[2] [3]。大多数相关工作是基于流行病传播。在这个框架下，恶意软件传播模型是根据每个节点的状态转换构造，包括，易感/传染(SI)模型[4]，易感染-易感染(SIS)模型[5]和易感染恢复(SIR)模型[6]。

在基本的SI框架中，每个节点只有两种可能的状态：易感或传染。 基于简单而有效的模型，已经做了大量的工作[7]，[8]，[9]，[10]，[11]，用于研究基于扫描和基于拓扑的蠕虫的传播。这些工作还提供了一种全面的方法，可以研究恶意软件爆发的基本传播模式。

无线网络中没有集中控制，以及它的节点移动性，使得恶意攻击传播的风险更大，而这在有限网络中没有参照物。研究无线网络中的恶意软件传播模型非常有限。Nekovee调查了无线自组织网络（WANET）[12]和车载自组织网络（VANET）[13]中蠕虫流行病的爆发。 Mishra等人。 [14]和De等人[15]研究了蠕虫在无线传感器网络中的传播行为。 Yan等人[16]研究了蓝牙网络中的蠕虫传播。这些研究非常鼓舞人心，但总体而言，对无线网络中恶意软件传播的系统调查仍处于起步阶段。

此外，与其潜在的好处相反，上面列出的大多数现有文献未能提供有关无线网络中恶意软件传播的全面研究，该研究应回答以下两个开放性问题：

• 在无线覆盖和终端移动性的前提下，恶意软件传播功能将是什么？
• 无线ad hoc网络中最危险的恶意软件传播方案是什么

我们之前的一篇会议论文[17]讨论了移动性对恶意软件传播的影响，但它仅基于统一扫描传播方案，不能完全揭示无线信道的功能。

在本文中，我们使用图1所示的WANET基础框架来研究恶意软件在无线环境下的传播。WANETs[18]，[19]是由无线设备彼此直接通信形成的分布式网络。 WANET技术在提供无处不在的无线互联网接入，物联网（IoT）和无线传感器网络（WSN）方面具有重要的应用。 因此，对WANET的研究可以揭示其他类型的无线网络。

通过结合传统的流行病模型和无线网络的传输理论，我们可以更全面地了解WANET中的传播特性。我们的主要贡献如下：

• 我们分别在两种不同的网络模式下研究了两种可能的恶意软件传播方案。 在考虑同步传输之间的干扰的同时分析这四种情况下的传播特征。 据我们所知，这是第一次系统的分析在一般WANET框架下恶意软件传播问题，并结合了流行病理论和无线网络容量理论。
• 我们评估移动性对恶意软件传播的影响，并将其与具有固定节点的WANET方案中的模型进行比较。 在模拟中使用实用的媒体访问控制和移动模型来验证我们的理论。
• 我们介绍了如何在实际应用中使用这些方案以及对策是什么。

本文的其余部分安排如下。 第2节列出了相关工作。 第3节详细介绍了系统模型，包括假设和基本符号。 第4节介绍了传播方案的数学分析，包括不同条件下恶意软件感染率的界限。 性能分析和广泛的数值模拟在第5节中给出。最后，第6节给出了关于本文的结论，并提出了我们未来的工作。

相关工作

WANET中恶意软件传播的主题涉及两个研究领域：1）恶意软件传播的流行特征; 2）无线网络的信号传播特性。 以下部分总结了这两个领域的相关文献。

恶意软件传播的流行特征

早期工作对恶意软件传播的研究是以有线网络为基础。根据流行病理论[4]构建模型，并且连续微分方程被广泛用于呈现基于扫描的蠕虫的传播。 后来的工作通过考虑更复杂的病例，例如移除感染节点[1]，免疫防御[20]或拓扑网络[7]，继续改进模型。 Kesidis等人[21]提出了随机扫描和带宽饱和互联网蠕虫传播的确定性数学模型。 除了无线网络中的带宽饱和与传输范围高度相关之外，带宽饱和特性与无线信道具有一些共同特征。

在2006年左右，无线网络的恶意软件传播的研究开始。蓝牙恶意软件传播在[16,22,23,24]中被研究，其中几个模型被提出。这些模型是基于蓝牙协议范围小的特征；短波无线电通信协议，用于创建移动设备的小范围个人区域网络。Hu等人[25]描述了病毒在城市地区的一组重叠无线LAN上的传播。由于他们实际上认为攻击来自路由器连接的互联网端，并且需要与Wi-Fi网络本身上的客户端进行交互，因此结果不能直接用于其他无线方案。Nekovee主要基于模拟研究了VANET [12]和WANET [13]中蠕虫流行病的爆发。 虽然鼓舞人心，但这些作品缺乏系统的理论分析。 在[14]和[15]中也研究了蠕虫在无线传感器网络中的传播行为，但无线信道干扰和接入竞争的影响并未被考虑。

无线网络的信号传播与容量理论

另一方面，无线信号传播和网络容量理论也是无线恶意软件传播模型的重要基础。Gupta和Kumar[26]提出了一种固定网络容量分析模型，该模型已成为设计无线工作的指南，也是许多后期工作的基础。 Tavli[27]提出了任意ad hoc无线网络广播容量的上限，这是对端到端传输的前一种结果的有用补充。 Tse[28]等人研究了移动性和扩展了Gupta的结果对移动网络的影响。 在[29]中，Xue和Kumar找到了必要的邻居数，它确保了具有n个节点的网络渐近连接。 以上论文以及其他一些相关工作已经解决了无线网络中的基本信息理论问题。

我们的工作结合了上述两个研究领域，以研究广义的WANET框架中的恶意软件传播问题，该框架可以提供有关恶意软件传播属性的基本见解。 一方面，由于恶意软件也是网络中的数据有效负载，因此容量分析可以帮助我们找到WANET中恶意软件传播速度的限制和界限。 另一方面，考虑到恶意软件传播的流行特征，重新审视无线网络协议可以帮助揭示和弥补网络安全意义上的弱点。

系统模型

在本节中，我们概述了WANET的随机网络模型，无线传输的协议模型以及流行病传播模型。

随机网络模型

首先，我们在本文中考虑具有以下设定和符号的随机网络模型：

• WANET由n个节点组成，这些节点随机位于单位区域中。
• 每个节点选择相同的传输范围r或功率电平p。
• $X_i$表示节点i的位置。
• 无线信道的总带宽为$W(Hz)$，可以将其分为M个子信道，并且每个节点可以在任意m个信道上以每秒$W_m$比特进行传送，其中$1 \leq m \leq M$, 并且$\sum_{m=1}^{M}=W$。

无线传送协议模型

在WANET中，具有重叠范围的并发传输导致冲突和传输失败。 因此，我们需要在其预期目标成功接收传输时对条件进行建模。 [26]中定义了两种可能的模型。 协议模型使用节点之间的距离来判断传输是否成功，物理模型使用物理层索引信号干扰比（SIR）作为标准。 这两个模型略有不同，但在计算网络容量或传输速率范围时，它们会导致相同的结果顺序。 在本文中，采用了协议模型，但如果使用物理模型，则可以获得类似的结果。

在协议模型中，如果满足以下条件，则可以通过$X_j$成功接收来自节点$X_i$的传输：

• $X_i$和$X_j$之间的距离小于$r$:

• 对于任何其他节点$X_k$同时传输：

其中$\Delta > 0$表示保护区，可以防止节点$X_k$在同时在同一信道上传送。

流行病传播模型

经典简单流行病模型[4]是SI模型。 在该模型中，网络中的任何节点只有两种状态：易感（S）和传染（I）。 此外，一旦节点被恶意软件感染，节点将永远保持在传染状态。

在我们展示模型之前，我们首先列出一些重要的符号，这些符号将在本文的其余部分中使用。

• $n$：WANET中节点数量
• $\delta$:一个非常小的时间间隔
• $I(t)$：在t时刻，被感染的节点数量
• $n-I(t)$：在时刻t，易感染（未传染）节点数量
• $beta$: 流行病学研究中的感染率，表示在单位时间内网络中所有节点中感染节点与易感节点的感染率。
• $T_n$:网络感染的时间

使用以上的符号，在时间间隔$[t, t+\delta]$内，一个传染节点平均可以感染$[n-I(t)]\beta \delta$个易感染节点。当$\delta$足够小，在在时间间隔$[t, t+\delta]$内，两个传染节点感染同一易感染节点的概率可以忽略不计。因此，在$\delta$时间间隔内，最新被感染的节点数量等于$I(t)[n-I(t)]\beta \delta$，$t+\delta$时刻的传染节点数量为：

当$\delta \rightarrow 0$，有限总体的经典简单流行病模型可以用以下微分方程表示：

$t=0$的开始时刻，$I(0)$节点时易感染的，其他所有$n-I(0)$节点是易感染的。然而 ，在给定t时刻，传染节点数量可以通过求解等式(4)得到[30]：

更为甚者，如果恶意软件攻击需要时间T来感染$I(t)$个节点，根据等式5，可以得到：

具体说，我们将$T_n$定义为网络感染时刻，即网络中的所有节点都具有高概率的传染性$I(T_n) \rightarrow n$。

经典简单流行病模型是最简单和流行的微分方程模型。 它将作为本文其余部分的基本传播模型。

无线AD HOC网络中的恶意软件传播模型

在本节中，提供了WANET中恶意软件传播的理论模型，这些模型基于经典的SI流行病传播模型[4]。 主要工作将集中在通过考虑节点之间的争用和干扰来识别具有不同传播方案的感染率$\beta$。

首先，我们给出了两种不同恶意软件传播方案和两种网络模型。

恶意软件传播方案I-单播：恶意软件通过单播消息传播，这意味着它可以一次感染其中一个邻居。

恶意软件传播方案II-广播：恶意软件旨在通过广播消息传播，这意味着它可以同时感染所有邻居。

网络模式I-传播模式：只有网络中的传染性节点竞争传输，并且所有易受感染的节点都不竞争传输。 这是当网络中的通信负载很轻并且节点不经常彼此通信时的情况的近似模型。

网络模式II-通信模式：网络中的所有节点都处于通信状态，同时竞争传输。

因此，当涉及传播方案和网络模式时，WANET中的恶意软件传播将有四种不同的条件，如表1所列。

在无线网络容量理论中，通常假设网络中的所有节点都相等并且竞争共享无线信道。 因此，我们将首先分析两种传播方案在通信模式下的性能，然后讨论传播模式的情况。

通信模式下的单播方案

假设，每个传染节点在其覆盖范围内择一个随机节点传播恶意病毒，其传送的速率为$\lambda_{uni-comm}(bits/second)$。例如，正如图2所示，给定时刻t，网络中的三个编号为1，2，3的染节点随机选择三个对应的目标节点4，7，9传播恶意软件。

假设恶意软件的大小为$V(bits)$，一个传染节点可以在时间间隔$\delta$内传播恶意软件$\lambda_{uni-commn}\delta/\V$，每次都瞄准一个邻居节点。假设邻居节点的平均数量为$n_0$，在时间间隔$\delta$之前，一个节点的邻居节点中易感染节点的比例为$[n_0-I_{n_0}(t)]/{n_0}$，然后在$t+\delta$时刻，传染节点的数量为：

由于难以获得每个节点的邻居传染性节点的数量，我们使用整个网络的平均值，这可以得到：

其中：

当$\delta \rightarrow 0$，我们可以将这个模型转换为连续时间传播模型：

在等式(10)中的关键因是传输速率$\lambda_{uni_comm}$。在无线网络中，与恶意软件的数量相比，传输速率可能非常快，因此通常不予考虑。然而，在WANETs中，由于媒体共享，$\lambda_{uni_comm}$是的上限是每个节点的吞吐量。因此，WANET中传输速率的上限比有线网络低得多。基于无线容量理论[26]，我们证明在随机无线网络中，当节点只需要使用单播方案与其邻居通信时,每节点吞吐量不超过:。详细证明见附录A，可以在计算机协会数字图书馆找到：https://www.computer.org/csdl/trans/tq/2018/06/07792126-abs.html。

使用统一的流行传播方程，我们用单播方案重写传播模型：

其中，$\beta_{uni-comm} = \frac{\lambda_{nuni-comm}}{nV}$是单播方案的感染，并且：

1.下面符号将在本文中使用，给定非负函数$f(n)$和$g(n)$:

通信模式下的广播方案

在WANET中传播恶意软件的另一种可能方案是每个传染性节点试图将恶意软件传输到其所有邻居节点。 这是可行的，因为广播到邻居的想法已经在WANET中以各种协议采用，例如在节点之间建立连接[31]。 此“邻居发现”方法也可用于传播恶意软件。

图3给出了广播方案的图示。 当前被感染的节点1,2和3可以分别将恶意软件传播到它们的邻居，而不会对其他节点的传输产生干扰。同样，我们在附录A中证明了，每个节点的吞吐量可以通过广播方案实现:。

假设平均邻居节点数量为$n_0$，在时间$\delta$间隔内，一个传染节点可以传播恶意软件到平均$\lambda_{broad-comm}\delta n_0/V$个节点，其中在时间间隔$delta$之前，为传染的节点比例仍为$[n_0-I_0(t)]/n_0$。随后，在时刻$t+\delta$的感染节点书晒为：

同样，取代整个网络的平均感染节点数量，可以得到：

当$\delta \rightarrow 0$，我们可以将此模型转换为连续时间传播模型：

另外，根据[29]，WANETs连接所需的邻居数量为$\Theta(n\log{n})$。代入

和：

到等式(15),我们可以得到广播方案的统一传播方程：

其中：

比较等式(19)和等式(12)，结论是恶意软件使用广播方案比单播方案传播得更快。 而且，随着网络规模的增加（即，n变大），广播的危害变得更大。 表2简要介绍了两种不同方案的主要特征。

扩散模式下的恶意软件传播

上面的通信模式分析让我们了解了在繁忙的网络场景中恶意软件如何在所有节点竞争无线信道的情况下传播。另一种可能的网络方案是只有少数节点尝试同时使用共享介质。在这种情况下，我们假设存在恶意软件传播期，在此期间只有传染性节点竞争传播。因此，在计算每节点吞吐量时，只应考虑$I(t)$“活动”节点。例如，对于单播方案，我们现在有：

和

同样，我们可以用广播方案获得结果：

和：

因为$I(n) \leq n$，我们可以得到：$\beta_{uni-spread}(t) \geq \beta_{uni-comm}(t)$和$\beta_{broad-spread}(t) \geq \beta_{broad-comm}(t)$。因此，因此，扩散模式的感染率始终不低于通信模式的感染率，这意味着恶意软件传播的速度更快。 数值结果将在下一节中介绍，以便为上述现象提供更清晰的解释。

流动性增加感染率

我们已经在WANET中研究了两种不同传播方案的传播模型。 我们可以得出结论，通常，数据传输速率和后续感染率随着不同的传输策略而变化，即单播或广播。它还显示了与有线网络中不同的传播属性。 不同之处在于无线信道共享具有有限带宽的公共传输介质（频谱），并且传输半径是有限的。因此，WANET中的受感染节点倾向于将附近的节点定为目标，而不是像在有线网络中那样扫描整个网络。

WANET中的通信往往发生在邻居之间，这一事实对我们在4.1和4.2节中的结果产生了偏见。当我们重新回到用$[n-I(t)]/n$取代$[n_0-I_{n_0}(t)]/n_0$的过程，值得注意的是，有：

的概率很大。因为，当节点是静态的，恶意软件趋向于在源节点周围传播。

一种使$[n_0-I_{n_0}(t)]/n_0$接近$[n-I(t)]/n$的方法是移动性。图4用来说明移动性如何增加恶意软件传播的可能性。

正如图4所示，是$t_1$时刻，节点1，2和3是传染的。它们分别通过广播方式向邻居节点传播恶意软件。然后，在$t_2$时刻，由于移动性，恶意软件在两种可能情况下蔓延的可能性增加：

• 节点5在时间$t_1$被节点1感染。 由于它没有节点1以外的邻居，因此如果网络是静态的，它就没有机会传播恶意软件来感染任何新节点。 相反，如果节点5在时间$t_2$移动到另一个易感节点6的邻域，则它可以感染易感节点。
• 节点3在时间$t_1$感染了节点9和10。 如果它保持静止，则周围没有新的易受影响的节点。 然而，如果节点3在时间$t_2$移动到新位置，则它具有作为节点11的新目标。

由于难以准确估计移动性对恶意软件传播的影响程度，我们将在下一节通过模拟对其进行评估。

性能分析和讨论

仿真初始化

为了揭示WANET中恶意软件传播的功能，我们开展了全面的模拟活动并分析了不同参数的影响。 为了便于模拟，我们使用NumPy / SciPy / Networkx软件包开发了一个专用的Python模拟程序。 所有模拟结果均在100次运行中取平均值。 模拟的关键特征描述如下。

网络模型。 随机网络模型由二维随机几何图形（RGG）[32]呈现，其最近已用于建模WANET[12]。 在我们的模拟中，它是通过首先在单位平方$[0,1]$中生成具有随机位置的节点，然后在彼此的传输范围内的任意两个节点之间创建边来构造的。

临界传输范围。临界传输范围$r_c$是每个通信节点以最小功耗和通信干扰实现连接网络的传输半径。Ajorloo等[33]给出了关于临界传输范围的一些数值结果。 例如，如果RGG的单位平方中有100个节点，则连接网络的概率为95％的临界传输范围约为0.21。 我们将使用这些结果来确保在模拟过程中网络的连通性

媒体访问控制。 在诸如WiFi的实际WANET中，节点对可用通信信道的访问由媒体访问控制（MAC）协议控制，其功能是确保网络中数据分组的无干扰无线传输。基于WiFi的无线设备使用的MAC协议遵循具有冲突避免的载波侦听多路访问（CSMA-CA）方案，该方案指定一组规则，使得附近的设备能够以分布式方式协调其传输。CSMA-CA使用请求发送/清除发送（RTS / CTS）方案，以保证在通信节点对的范围内没有其他节点同时发送，这满足了3.2节中我们协议模型的要求。

另外，在模拟中，系统时间被分成时隙。节点对之间的恶意软件传播在一个时隙内完成。在每个时隙的开始，生成网络中所有竞争节点的随机排序列表。然后，列表上的第一节点$i$可以访问无线信道，并且允许在该时隙期间发送到其目标节点$j$.节点$i$的传输范围内的所有其他节点（CSMA-CA中的RTS的功能）和$j$（CSMA-CA中的CTS的功能）从列表中消除，因为它们的传输可能对该通信造成干扰。对列表中的其余节点重复此过程。随后，如果通信对中的源节点在传输之前是传染性的，则目标节点在传输之后也被感染。 此外，如果广播方案用于传播，则目标是多个节点。

性能分析

首先，我们比较了节点固定时四种不同条件下的恶意软件传播特性。 从图5中可以看出，在具有固定节点的WANET中，广播比单播更危险。平均而言，广播需要大约1/4的单播时间来感染通信模式和传播模式中相同数量的节点，对于给定参数。

图6中的网络快照给出了一个关于不同传播方案的恶意软件传播速度的更直接的示例。同时，与通信模式相比，传播模式更有效，因为当仅受感染的节点竞争传输时，干扰较少。

有一些参数会影响恶意软件的传播，包括网络中的节点数量，传输范围和移动性。 它们的影响将在以下部分详细分析。

网络中节点数量。平均网络感染时间如图7所示，节点数n分别设置为25,100和250。 并且相应的临界传输范围0.4,0.21和0.14用于确保网络连接。 说明网络感染时间不随节点数的增加而线性增加。实际上，通过分别用等式(12)(19)代替等式(6)，我们可以得到单播方案的网络感染时间为$\Theta(\log{n})^2$,广播方案的网络感染时间为$\Theta(\log{n})$。它非常符合模拟结果。

传输范围。 然后我们将节点数固定为$n = 100$并研究传输范围$r(n)$的影响。 图8示出当$r(n)$从0.21（临界传输范围）上升到0.6时，单播方案的网络感染时间比广播方案的网络感染时间更快。 尽管两种方案中的并发传输与$r^2(n)$成反比，如在线补充材料中可获得的附录A中所示，但是当$r(n)$增加时，广播方案的传播速度由更大的平均邻居数补偿。

移动。 我们引入随机游走模型[35]来模拟网络中节点的移动性。 假设节点在发送时不移动，但是在发送之间的标准化时间间隔$t=1$内以速度V改变它们的位置，并且V遵循$[0,V_{max}]$均匀分布。对于每个新的间隔$t$，每个节点随机均匀地从$(0,2\pi]$选择其新方向$\theta(t)$。因此，在时间间隔$t$期间，节点以速度矢量$[v(t)\cos{(\theta),v(t) \sin{(\theta)}}]$移动。

此外，我们研究了两种移动性清形：1）只有初始感染节点在移动（在我们的模拟中被视为标记为“移动一体”的有意传染源）; 2）网络中的所有节点都在移动（移动ad hoc网络情况，标记为“Mobile All”。

图9比较了当最大移动速度设置为$V_{max}=1$时静态和移动网络中的恶意软件传播特性。从图9中可以看出，对于单播方案，无论在传播模式下还是通信模式下，它们都会大大加速恶意软件的传播。 但是，对于广播来说，移动性的影响并不明显，特别是在通信模式下。 当网络中的大多数节点被感染并且干扰变得更加严重时，传播速度变慢。

我们进一步研究不同移动速度的影响。 如图10所示，当$V_{max}$的值超过临界传输范围时（例如，对于$n = 100$，为0.21），平均网络感染时间明显减少。 因为节点可以在一个时隙内从单跳范围移动到新位置这一事实可以显着改善移动性带来的多样性。

讨论

有线网络和WANET之间的区别

通过以上对WANET中恶意软件传播特性的分析，我们可以得出结论，恶意软件攻击的传播速度高度依赖于传输速率，传输速率由传播方案，网络模式和节点移动性决定。 这与有线网络的情况有很大不同，其中恶意软件传播的时间主要由覆盖所有节点的策略决定。 在恶意软件传播意义上的无线网络和有线网络（主要是指互联网）之间的不同特征总结如下：

• 互联网研究相关的设置中的节点数量很大，通常在$10^4$或$10^5$的数量级，而无线网络的规模要小得多（通常小于100）。
• 因特网中有线链路的带宽通常是足够的，特别是对于恶意软件传输，因此并发传输不会导致冲突。 相反，无线信道使用具有有限带宽的共享传输频谱。由于引起的干扰，并发传输的数量受到限制。
• 节点的平台（PC中的操作系统）在Internet上更为成熟，而传感器等无线网络中的节点更容易受到恶意软件攻击。

这些差异提醒我们要注意WANET中恶意软件传播的特殊特性，而不是直接使用有线对应的结果。

恶意软件类型，传播方案和实际应用中的移动性

当前恶意软件的两个主要类别是蠕虫和病毒。 一般而言，病毒是通过将自身的副本插入并成为另一个程序的一部分而传播的恶意软件的类型。 与需要传播受感染主机文件的病毒相比，蠕虫是独立软件，不需要主机程序或人工帮助进行传播。 因此，蠕虫更易于使用我们定义的Spread模式传播，而病毒很容易进入通信模式。 因此，在可能的传输速度意义上，蠕虫比无线网络中的病毒更危险。

关于传播方案，第5.2节中的结果表明，广播方案在用于恶意软件传播时更有害。 在实际的无线网络中，广播传输通常发生在网络初始化阶段，例如，MAC层中的邻居发现协议。 恶意软件可以通过访问节点的MAC层信息或附加到邻居发现协议的多播分组来开始传播。 它提醒我们要特别注意WANET中的MAC层协议（警惕可能附着的病毒）。 此外，应仔细研究不在正常初始化阶段的任何广播包（可能的蠕虫）。

我们在论文中使用最广泛接受的随机移动模型来模拟WANET中移动节点的移动。 虽然在我们讨论的一般WANET框架中分析移动性的影响已足够，但实际场景的移动性特征可能更复杂。 还有一些其他具有独特特征的移动模型，如时间依赖性，空间依赖性或地理限制[35]，可用于未来更具体应用中的恶意软件传播研究。 无论如何，由于移动性大大增加了恶意软件传播的速度，因此应严格限制WANET中任何受感染节点的移动。

不同应用程序中的恶意软件传播风险

基于上述结果和讨论，我们能够在两个典型应用中研究恶意软件传播问题。

第一个应用是VANET，它显示出高移动性功能。 可以预测，此应用程序中的风险将高于具有固定节点的风险。 此外，如果我们将范围扩展到更通用的移动ad hoc网络（MANET），风险会变得更高。 因为VANET中的车辆被限制在道路范围内移动，而在MANET中，节点的移动性可以变得更随机。

另一个广泛使用的WANET应用是WSN。 其主要组件是一些传感器节点，负责收集数据并通过无线链路相互连接。 在大多数现实生活应用中，例如环境监测，传感器分散在相对较大的区域，并且没有很多邻居。 另外，它们不经常相互通信。 因此，WSN中的恶意软件传播风险不如WANET中的情况那么高。 然而，可能存在一些传感器节点，其具有从其他传感器节点接收，处理和存储数据的特定任务。 它们通常被称为接收器或簇头[36]，可以提前指向或动态选择。 如果这些关键节点被感染，则会提高整个网络的风险等级。

防恶意软件措施

最后，对恶意软件传播的分析也提供了对WANET保护的见解。 例如，修补整个网络的一个好方法是让所有节点停止正常通信（进入扩展模式），通过广播方案进行修补，并使具有修补能力的网络节点在网络中移动。

结论和未来工作

在本文中，我们研究了WANET中的恶意软件传播问题。 考虑到无线干扰和终端移动性的特点，研究了广义的WANET结构用于传播模型分析。 首先，我们研究了两种具有两种不同网络模式的恶意软件传播方案，并分别提供了它们的感染率界限。 详细的性能分析表明，在四种不同的条件下，具有传播模式的广播方案是最危险的。 此外，还评估了移动性对恶意软件传播的影响。 基于这些分析，我们讨论了实际应用中的恶意软件传播问题以及可能的对策。

未来的工作有几个有趣的方向。 首先，我们可以考虑具有节点集群的网络模型，这意味着网络中的节点不相等。 其次，在某些特定应用中可以考虑具有诸如时间依赖性，空间依赖性或地理限制的独特特征的其他移动性模型。 第三，可以添加硬件和软件平台等因素，为不同系统提供更全面的风险评估。 最后，进一步研究不同传播模型的相应防御策略也很有趣。

参考文献：

• [1] C. C. Zou, W. Gong, and D. Towsley, “Code red worm propagation modeling and analysis,” in Proc. 9th ACM Conf. Comput. Commun. Secur., 2002, pp. 138–147.
• [2] Y. Wang, S. Wen, Y. Xiang, and W. Zhou, “Modeling the propagation of worms in networks: A survey,” IEEE Commun. Surveys Tutorials, vol. 16, no. 2, pp. 942–960, Apr.–Jun. 2014.
• [3] K. Yang, K. Zhang, J. Ren, and X. Shen, “Security and privacy inmobile crowdsourcing networks: Challenges and opportunities,”IEEE Commun. Mag., vol. 53, no. 8, pp. 75–81, Aug. 2015.
• [4] M. G. Roberts and J. A. P. Heesterbeek, “Mathematical models inepidemiology,” Encyclopedia Life Support Syst. (EOLSS), 2003.
• [5] R. Pastor-Satorras and A. Vespignani, “Epidemic spreading inscale-free networks,” Physical Rev. Lett., vol. 86, no. 14, 2001,Art. no. 3200.
• [6] Y. Moreno, J. B. Gomez, and A. F. Pacheco, “Epidemic incidence STX in correlated complex networks,” Physical Rev. E, vol. 68, no. 3, 2003, Art. no. 035103.
• [7] C. C. Zou, D. Towsley, and W. Gong, “Modeling and simulation study of the propagation and defense of internet e-mail worms,” IEEE Trans. Dependable Secure Comput., vol. 4, no. 2, pp. 105–118, Apr.–Jun. 2007.
• [8] Z. Chen and C. Ji, “Importance-scanning worm using vulnerablehost distribution,” in Proc. IEEE GLOBECOM, 2005, Art. no. 6.
• [9] Z. Chen and C. Chen, “A closed-form expression for static wormscanning strategies,” in Proc. IEEE Int. Conf. Commun., 2008,pp. 1573–1577.
• [10] Q. Wang, Z. Chen, C. Chen, and N. Pissinou, “On the robustnessof the botnet topology formed by worm infection,” in Proc. IEEEGLOBECOM, 2010, pp. 1–6.
• [11] W. Yu, X. Wang, P. Calyam, D. Xuan, and W. Zhao, “Modeling and detection of camouflaging worm,” IEEE Trans. Dependable Secure Comput., vol. 8, no. 3, pp. 377–390, May–Jun. 2011.

具体见论文