[发明专利]基于三元关联图检测的恶意软件传播控制方法及装置

权利要求书

1.一种基于三元关联图检测的恶意软件传播控制方法，其特征在于，包括：

S1、获取恶意软件、用户节点和传播路径的数据源信息，并进行预处理；

S2、建立以用户节点向量、恶意软件向量以及传播路径向量构成的三元关联图；

S3、建立三元关联图中边的权重矩阵，按照交叉迭代评分机制计算出恶意软件、传播路径和用户节点评分；

对各个向量交替进行正向迭代和逆向迭代，迭代计算出对应的恶意软件评分值、传播路径评分值以及用户节点评分值；其中，正向迭代包括恶意软件通过权重矩阵传递给传播路径而产生的传播路径评分，再由传播路径通过权重矩阵传递给用户节点而产生的用户节点评分；逆向迭代包括用户节点通过权重矩阵传递给传播路径产生传播路径评分，再由传播路径通过权重矩阵传递给恶意软件产生恶意软件评分；

各个权重矩阵的计算公式分别为：

其中，表示恶意软件传递给传播路径的权重矩阵；M表示恶意软件向量，代表恶意软件在网络中的流行度；P表示传播路径向量，代表传播路径在网络中的重要程度；k∈K，t∈T，K表示恶意软件向量中恶意软件的个数，T表示传播路径向量中传播路径的条数；n_k,t表示恶意软件m_k中通过传播路径p_t进行传播的轨迹数量；如果恶意软件m_k通过传播路径p_t进行传播，则矩阵中k行，t列元素E(k,t)≠0，否则E(k,t)＝0；表示传播路径传递给用户节点的权重矩阵；V表示传播中用户节点向量，代表用户节点对网络产生的影响力；n_t,i表示传播路径p_t中通过用户节点v_i进行传播的轨迹数量；Q_i表示用户节点v_i的传播驱动力，i表示用户节点v_i的索引，i∈I，I表示用户节点向量中用户节点的个数；如果传播路径p_t通过用户节点v_i进行传播，则中t行，i列元素F(t,i)≠0，否则F(t,i)＝0；表示传播路径传递给恶意软件的权重矩阵，上标T表示转置；表示用户节点传递给传播路径的权重矩阵；

S4、使用多元线性回归对恶意软件、传播路径和用户节点评分进行统一的量化，计算出用户节点的影响力；

S5、基于三元关联图的评分值和热点感染驱动机制，建立传染病SIHR传播模型，计算出驱动因素对传播状态和传播趋势；

所述步骤S5包括将用户节点分为易感染用户、免疫用户、普通感染用户和热点感染用户；易感染用户分别以感染率λ₁、λ₂成为普通感染用户和热点感染用户，λ₁,λ₂∈[0,1]；当感染用户检测到恶意软件并成功移除时，普通感染用户或热点感染用户将分别以恢复率μ₁、μ₂获得免疫，μ₁,μ₂∈[0,1]；基于任意状态下的用户中b个邻居用户的状态发生改变的概率符合二项分布的规律，计算得到易感染用户成为普通感染用户的概率u₁(t)和热点感染用户的概率u₂(t)；建立出传染病SIHR传播模型：

其中，u₁(t)表示用户节点在某一时刻t从易感状态S转为普通感染状态I的概率；S(t)表示用户在某一时刻t处于状态S的占比，S表示用户处于易感状态，即还未接触过恶意软件；I(t)表示用户在某一时刻t处于状态I的占比，I表示用户处于普通感染状态，用户已经接触了恶意软件且相信恶意软件；u₂(t)表示用户节点在某一时刻t从易感状态S转为热点感染状态I的概率；H(t)表示用户在某一时刻t处于状态H的占比，H表示用户处于热点感染状态，即用户已经接触了恶意软件且相信恶意软件；R(t)表示用户在某一时刻t处于状态R的占比，R表示用户处于免疫状态，即用户已经接触过恶意软件且不相信恶意软件；γ表示处于状态R的用户转变为状态S的概率；

S6、根据传播模型的计算结果，对下一时刻的恶意软件传播路径进行截断，对用户节点进行隔离。