计算机病毒传播模型介绍

3.1 模型的提出
• • 计算机病毒有不同于生物病毒的根本之处，具体表现在以下4个方面： （1） 生物病毒的传播是通过一个地域内的传播主体的物理接触，其传播速度取决于人口的 流动状况，这种人口流动状况是相对稳定的；而网络病毒的传播则是通过计算机系统间的连 接，这种连接是一种逻辑上的连接而不是物理的接触（当然这种连接需要物理上的连通）， 它几乎不受地域的限制，并且这种逻辑上的连接是动态的、它是随时间而变化的，甚至还有 一定的周期。 （2） 作为生物病毒传播载体的生物宿主，在同一种群内的生物体之间的区别是很小的，也 就是它们在病毒的传播上几乎不加区别，而仅以感染者的数量作为分析的对象；但作为计算 机病毒传播载体的计算机系统，它们间的区别是很大的。如一台PC机和一个热门的大型网站， 它们对病毒的传播几乎天壤之别。如果一个大型网站被感染，它对于病毒的传播几乎是爆炸 式的。 （3） 生物病毒会导致传播主体的死亡，从而结束该个体的传播功能，这也是减少染病者数 目的原因之一；但计算机病毒几乎不会导致计算机系统的真正减少。 （4） 生物病毒的感染者一旦被治愈，一般来讲对该病毒都会具有免疫力；但计算机系统被 治愈后，严格意义上的免疫还不具备，也就是说被治愈者仍可能被重复感染，然后它还会感 染别的计算机。
dI (t ) dt I (t )(N I (t )) I (t ) dS(t ) S (t )(N S (t )) ( N S (t )) dt
(1.3)
假设方程（1.3）的初始条件为：表示区域内计算机感染者最初的数量为 I0 。那么由分离变量法可以解出方程（1.3）具有如下形式的解：
• •
2.2 计算机病毒与生物病毒在传播特征上的主要差异
• • • •
2.2.1传播中的感染者接触方式差异 2.2.2 感染者的个体差异 2.2.3感染者的结局差异 2.2.4治愈率差异
3网络环境下一个通用病毒的传播模型
• • • •
3.1 模型的提出 3.2 传播模型的建立 3.3 传播模型的解 3.4问题
(1.1)
8.1 主要的生物病毒传播模型
• 上述模型并没有考虑由于生物体被感染而导致的死亡和获得“免疫”的部分，而 死亡和“免疫”会结束该生物体所可能带来的感染。于是Kermack-Mckendrick 又 给出了另一模型，这也就是所谓的SIR模型 :
dI (t ) dt I (t ) S (t ) I (t ) dS(t ) S (t ) I (t ) dt dR(t ) I (t ) dt I (0) I , S (0) S , R(0) R 0 0 0
• 解决病毒攻击的理想办法是对病毒进行预 防，即阻止病毒的入侵，但由于受工作环 境和具体技术的制约，预防的办法很难实 现，也就是说，当前对计算机病毒的防治 还仅仅是以检测、清除为主。
8.1病毒防治的主要手段
• • （1）反病毒的软件采用单纯的特征值检测技术，将病毒从染病文件中消 除。这种方式的可靠性很高，但随着病毒技术的发展，特别是加密和变 形技术的运用，使得这种静态的扫描技术正在逐渐失去作用。 （2）反毒软件采用一般的启发式扫描技术、特征值检测技术和行为监测 技术。这种方式可以更多地检测出变形病毒，也可以实现动态检测，但 另一方面误报率也提高了，尤其是采用不严格的启发式知识判定技术， 使得清除病毒存在很大的风险。 （3）在第二代清毒软件的基础上，采用虚拟机技术，将查找病毒和清除 合二为一，以常驻内存的形式对病毒进行防、查、杀等必要手段。 （4）在第三代反毒技术之上，结合人工智能的研究成果，实现启发式动 态，智能的查毒技术，它综合采用CRC检验，扫描机理，启发式智能代码 分析模块，动态数据还原模块（能查出隐蔽性极好的压缩加密文件中的 病毒），内存解毒模块以及自身免疫模块等技术。
• •
不足之处
• 抗病毒软件大都是针对某一类或某几类病毒，虽然我们 也希望能够研制出较为通用的防毒软件，使之能清除更 多种病毒，然而究竟能够清除哪些病毒，还要看实际输 入的参数和样本，在未知的病毒特征没有弄清之前检测 和清除都是不现实的。 • 当前的技术性防毒措施有很大的局限性，它是一种被动 的防治技术。保证100%对抗所有病毒的清毒软件是不存 在的。Fred Cohen 博士也证明了病毒的不可判定性，因 此，从理论上讲与病毒的斗争将是长期的 .
8.1 主要的生物病毒传播模型
• 1975年一大批数学家研究了生物种群内生物病毒的传播规律。他们将一定区域内 的人口分为两类，一类是已感染病毒的患者，一类是没有感染病毒的易感染者。 I(t),S(t)分别表示t时刻感染者人数和易感染者人数。
dI (t ) dt I (t ) S (t ) I (t ) dS(t ) I (t ) S (t ) dt I ( 0) I 0 , S ( 0) S 0
•
• •
3.1 模型的提出
• 正是这种不同之处才导致了计算机病毒具有不同于生物病毒的传 播特征，从而应具有不同于生物病毒的传播模型。正如上面的分 析，影响病毒传播的关键因素是计算机系统间的这种逻辑的、动 态的、有方向的连接，如果把计算机系统间的这种连接率作为它 们影响病毒传播的一个基本特征，那么将会更有效地反映计算机 病毒的传播规律。这不仅能刻画出病毒的传播速度受整个网络连 接率变化的影响，而且还能刻画出不同的计算机系统由于其连接 率的不同，它们对病毒的传播也应有很大的不同。当然计算机系 统的这种连接率是可以量化的，比如计算机系统上网时的点击率 和数据流量等，就是最直接有效的反映。当然无论是点击率还是 计算机在上网时的数据流量都必须与具体的病毒相关。
dI (t ) dt I (t ) S (t ) I (t ) dS(t ) S (t ) I (t ) R (t ) dt dR(t ) I (t ) R (t ) dt
(1.6)
1.3 计算机病毒传播模型中的问题
• • • （1）传播速度 模型的预测速度要比大多数的病毒传播速度慢得多。 （2）传播的规模 与传播速度截然相反，大多数病毒的传播规模要比现有模型的预测规模小的多，这也是 令大多数人感到困域的地方。 （3）门限值问题 从前面的叙述中可以看出，与大多数的生物病毒传播模型一样，现有的一些网络病毒传 播模型，也都给出了它们自己模型的门限值。然而实际的网络病毒传播数据表明，大多 数的网络病毒并不具有这一传播特征，它们大都不具备唯一的极值，而是反复跳跃，呈 现出反复感染、重复传播的情况。比如CIH病毒在每月的26日，就会重复发作。2004年 4~5月间爆发的震荡波病毒，即使在初始爆发阶段，它的统计数据也呈现反复攀升的模 式。因此人们不仅要问计算机病毒模型是否具备门限值呢？ （4）病毒的消亡问题 大多数的生物病毒传播都有结束的时候，这与生物病毒传播模型是相吻合的。故计算机 病毒的传播模型对任何病毒的传播预测也都应该有结束的时候。然而实际上大多数的计 算机病毒，并没有像预测的那样消亡。 （5）传染的机制不再单一 现有的计算机病毒传播模型大都是对传播类型单一的病毒建立的，它们的预测结果也大 都是对局部的、某一类型的计算机系统的感染情况进行预测。而实际上越来越多的计算 机病毒尤其是一些智能型病毒，它们的传播目标类型不再单一，而感染的对象也不再局 限于某一地域或某一类网络。
3.2 wenku.baidu.com播模型的建立
3.2 传播模型的建立
dI (t ) I (t ) c(t )( N 1) 1 I (t ) (t ) I (t ) dt N
当N比较大时,N≈N-1,所以上式可化为:
(3.1)
dI (t ) ( N c(t ) (t )) I (t ) c(t ) I 2 (t ) dt
）。
dI (t ) dt I (t ) S (t ) I (t ) dS(t ) S (t ) I (t ) dt dR(t ) I (t ) dt
(1.5)
8.2 当前计算机病毒传播模型
• Romualdo Pastor-Satorras考虑到更一般的情况，哪些由于感染病毒而获得“免疫” 的结点或者死亡的结点，又以某一生还比率变成了易感染者，换言之部分由于感 染而失去的结点在时间t时，又加入到易感染者行列，这就是SIRS模型:
•
•
2计算机病毒与生物病毒
• 2.1 计算机病毒与生物病毒的相似性 • 2.2 计算机病毒与生物病毒在传播特征上的 主要差异
2.1 计算机病毒与生物病毒的相似性
• 和生物病毒一样，计算机病毒是在正常的计算机程序中插入的破坏计算机正常功 能或毁坏数据的一组计算机指令或程序的一段代码，计算机病毒的独特复制功能 使得计算机病毒可以很快地蔓延，又常常难以根除。为了便于隐藏，它们的“个 体”比一般的正常程序都要小。它们能把自已附在特定文件上，当文件被复制或 从一个用户传送到另一用户时，计算机病毒也就随着这些文件蔓延开来。 计算机病毒和生物病毒都具有循环复制的功能，这也是它们的最大相似之处，因 为循环复制是传染性的基础。 在编码方式上，计算机病毒早期采用机器语言编写，而后来，尤其是近年来的病 毒大都采用高级语言编写。这些病毒程序通过一定的感染途径，进入宿主计算机 后，大多以物理（磁）储存的方式，潜伏于计算机的存储介质中; 类似地生物病毒， 大都采用核酸编码，也有采用甲氨基酸编码，其高级的细胞语言也是编制生物病 毒的一种选择。所谓细胞语言是指比较低级的核酸编码，它借助细胞外进行信息 交流。当然无论是低级语言的核酸还是高级语言的氨基酸，这些序列都可以固化 的形式存在，也可以物理存储的方式存在于细胞的物理存储单元核小体中。它们 的破坏机制也都是循环执行。
8.2 当前计算机病毒传播模型
I 0 ( N ) I (t ) I 0 (N I 0 )e ( N )t
(1.4)
8.2 当前计算机病毒传播模型
• 同样地Jonghyun Kim等人依据Kermack-Mckendrick SIR模型给出了计算机病毒传播的 SIR模型，在计算机病毒的SIR模型中，区域内的计算机也被划分为3个状态，易感 染状态（Susceptible）、感染状态（Infectious）和被删除状态（Removed
(1.2)
这些模型为流行病的传播预测和防御提供了有利的工具。比如早在 2005年初，传染病学家们就准确地预测到2005年底到2006年初的 禽流感的爆发。
8.2 当前计算机病毒传播模型
• 大约在1990初，Kephart和White依据生物上流行病的传播模型（1.1）提出了计算 机的病毒的传播模型，也就是SIS模型[56]。该模型给出了计算机病毒传播中的一 些定性因素，较好地帮助人们理解计算机病毒传播中的一些规律，它也为后来其 他的计算机病毒模型奠定了基础。在SIS模型中，所有的计算机只能处在两个不同 的状态，易感者（Susceptible）和感染者（Infectious）:
(3.2)
3.2 传播模型的建立
• 这就是我们以普通的网络环境为基础建立的病毒的 传播模型，称它为GSM（General Spreading Model） 模型。从上面的建立过程来看，病毒的传播需要借 助计算机间的连接，而计算机间的连接又需要某主 动方来发起连接。这意味着该微分方程所刻画的病 毒并不包含那些主动寻址传播的蠕虫，除此之外的 邮件类病毒、QQ类病毒、FTP病毒还有大量的仅借助 文档传播的宏病毒和早期病毒等等，这些被动传播 病毒都可以用GSM模型来刻画。
8计算机病毒传播模型
• • • • • • • 1 生物病毒病毒传播模型 2当前计算机病毒传播模型 3 网络环境下一个通用病毒的传播模型 4 模型中的门限值和单结点的作用 5 有限网络中病毒传播的离散模型 6 计算机病毒的逻辑模型 7 网络环境下病毒的求源
8.1当前计算机病毒防治的主要手段及不足之处