三．SIR传播模型

3.1. 蠕虫的工作方式：

　　通过前面的分析，可以把蠕虫的工作方式归纳如下：

　　1） 随机产生一个IP 地址；
　　2） 判断对应此IP 地址的机器是否可被感染；
　　3） 如果可被感染，则感染之。
　　4） 重复1～3 共m 次，m 为蠕虫产生的繁殖副本数量。

3.2 SIR传播模型

　　在传统的对计算机病毒的传播机制研究中，常常借用已有的传染病数学模型，但由于计算机病毒的攻击对象是文件系统，所以传统计算机病毒研究中把计算机作为传播个体并不合适。同计算机病毒不同，Internet 蠕虫具有主动攻击特征，不需要计算机使用者的参与，并且蠕虫的攻击对象是计算机系统，这两个条件正好同传染病模型的假设条件相符。在蠕虫的SIR模型中，假设在一台主机内蠕虫传播经过了如下的三个步骤：

Susceptible -〉Infective –〉Recovered
主机存在漏洞->主机被感染->漏洞被修复，蠕虫被清除。

　　根据此模型产生的蠕虫在网络上的传播速度图如下图所示。蠕虫的传播经历了开始的缓慢传播，接下来的快速传播和最后的缓慢消失三个阶段。因此能否在蠕虫的缓慢传播阶段实现对蠕虫的检测和防治成为有效防治蠕虫的关键。

蠕虫的传播模型（点击放大）