计算机病毒传播模型介绍
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
3.1 模型的提出
• • 计算机病毒有不同于生物病毒的根本之处,具体表现在以下4个方面: (1) 生物病毒的传播是通过一个地域内的传播主体的物理接触,其传播速度取决于人口的 流动状况,这种人口流动状况是相对稳定的;而网络病毒的传播则是通过计算机系统间的连 接,这种连接是一种逻辑上的连接而不是物理的接触(当然这种连接需要物理上的连通), 它几乎不受地域的限制,并且这种逻辑上的连接是动态的、它是随时间而变化的,甚至还有 一定的周期。 (2) 作为生物病毒传播载体的生物宿主,在同一种群内的生物体之间的区别是很小的,也 就是它们在病毒的传播上几乎不加区别,而仅以感染者的数量作为分析的对象;但作为计算 机病毒传播载体的计算机系统,它们间的区别是很大的。如一台PC机和一个热门的大型网站, 它们对病毒的传播几乎天壤之别。如果一个大型网站被感染,它对于病毒的传播几乎是爆炸 式的。 (3) 生物病毒会导致传播主体的死亡,从而结束该个体的传播功能,这也是减少染病者数 目的原因之一;但计算机病毒几乎不会导致计算机系统的真正减少。 (4) 生物病毒的感染者一旦被治愈,一般来讲对该病毒都会具有免疫力;但计算机系统被 治愈后,严格意义上的免疫还不具备,也就是说被治愈者仍可能被重复感染,然后它还会感 染别的计算机。
dI (t ) dt I (t )(N I (t )) I (t ) dS(t ) S (t )(N S (t )) ( N S (t )) dt
(1.3)
假设方程(1.3)的初始条件为:表示区域内计算机感染者最初的数量为 I0 。那么由分离变量法可以解出方程(1.3)具有如下形式的解:
• •
2.2 计算机病毒与生物病毒在传播特征上的主要差异
• • • •
2.2.1传播中的感染者接触方式差异 2.2.2 感染者的个体差异 2.2.3感染者的结局差异 2.2.4治愈率差异
3网络环境下一个通用病毒的传播模型
• • • •
3.1 模型的提出 3.2 传播模型的建立 3.3 传播模型的解 3.4问题
(1.1)
8.1 主要的生物病毒传播模型
• 上述模型并没有考虑由于生物体被感染而导致的死亡和获得“免疫”的部分,而 死亡和“免疫”会结束该生物体所可能带来的感染。于是Kermack-Mckendrick 又 给出了另一模型,这也就是所谓的SIR模型 :
dI (t ) dt I (t ) S (t ) I (t ) dS(t ) S (t ) I (t ) dt dR(t ) I (t ) dt I (0) I , S (0) S , R(0) R 0 0 0
• 解决病毒攻击的理想办法是对病毒进行预 防,即阻止病毒的入侵,但由于受工作环 境和具体技术的制约,预防的办法很难实 现,也就是说,当前对计算机病毒的防治 还仅仅是以检测、清除为主。
8.1病毒防治的主要手段
• • (1)反病毒的软件采用单纯的特征值检测技术,将病毒从染病文件中消 除。这种方式的可靠性很高,但随着病毒技术的发展,特别是加密和变 形技术的运用,使得这种静态的扫描技术正在逐渐失去作用。 (2)反毒软件采用一般的启发式扫描技术、特征值检测技术和行为监测 技术。这种方式可以更多地检测出变形病毒,也可以实现动态检测,但 另一方面误报率也提高了,尤其是采用不严格的启发式知识判定技术, 使得清除病毒存在很大的风险。 (3)在第二代清毒软件的基础上,采用虚拟机技术,将查找病毒和清除 合二为一,以常驻内存的形式对病毒进行防、查、杀等必要手段。 (4)在第三代反毒技术之上,结合人工智能的研究成果,实现启发式动 态,智能的查毒技术,它综合采用CRC检验,扫描机理,启发式智能代码 分析模块,动态数据还原模块(能查出隐蔽性极好的压缩加密文件中的 病毒),内存解毒模块以及自身免疫模块等技术。
• •
不足之处
• 抗病毒软件大都是针对某一类或某几类病毒,虽然我们 也希望能够研制出较为通用的防毒软件,使之能清除更 多种病毒,然而究竟能够清除哪些病毒,还要看实际输 入的参数和样本,在未知的病毒特征没有弄清之前检测 和清除都是不现实的。 • 当前的技术性防毒措施有很大的局限性,它是一种被动 的防治技术。保证100%对抗所有病毒的清毒软件是不存 在的。Fred Cohen 博士也证明了病毒的不可判定性,因 此,从理论上讲与病毒的斗争将是长期的 .
8.1 主要的生物病毒传播模型
• 1975年一大批数学家研究了生物种群内生物病毒的传播规律。他们将一定区域内 的人口分为两类,一类是已感染病毒的患者,一类是没有感染病毒的易感染者。 I(t),S(t)分别表示t时刻感染者人数和易感染者人数。
dI (t ) dt I (t ) S (t ) I (t ) dS(t ) I (t ) S (t ) dt I ( 0) I 0 , S ( 0) S 0
•
• •
3.1 模型的提出
• 正是这种不同之处才导致了计算机病毒具有不同于生物病毒的传 播特征,从而应具有不同于生物病毒的传播模型。正如上面的分 析,影响病毒传播的关键因素是计算机系统间的这种逻辑的、动 态的、有方向的连接,如果把计算机系统间的这种连接率作为它 们影响病毒传播的一个基本特征,那么将会更有效地反映计算机 病毒的传播规律。这不仅能刻画出病毒的传播速度受整个网络连 接率变化的影响,而且还能刻画出不同的计算机系统由于其连接 率的不同,它们对病毒的传播也应有很大的不同。当然计算机系 统的这种连接率是可以量化的,比如计算机系统上网时的点击率 和数据流量等,就是最直接有效的反映。当然无论是点击率还是 计算机在上网时的数据流量都必须与具体的病毒相关。
dI (t ) dt I (t ) S (t ) I (t ) dS(t ) S (t ) I (t ) R (t ) dt dR(t ) I (t ) R (t ) dt
(1.6)
1.3 计算机病毒传播模型中的问题
• • • (1)传播速度 模型的预测速度要比大多数的病毒传播速度慢得多。 (2)传播的规模 与传播速度截然相反,大多数病毒的传播规模要比现有模型的预测规模小的多,这也是 令大多数人感到困域的地方。 (3)门限值问题 从前面的叙述中可以看出,与大多数的生物病毒传播模型一样,现有的一些网络病毒传 播模型,也都给出了它们自己模型的门限值。然而实际的网络病毒传播数据表明,大多 数的网络病毒并不具有这一传播特征,它们大都不具备唯一的极值,而是反复跳跃,呈 现出反复感染、重复传播的情况。比如CIH病毒在每月的26日,就会重复发作。2004年 4~5月间爆发的震荡波病毒,即使在初始爆发阶段,它的统计数据也呈现反复攀升的模 式。因此人们不仅要问计算机病毒模型是否具备门限值呢? (4)病毒的消亡问题 大多数的生物病毒传播都有结束的时候,这与生物病毒传播模型是相吻合的。故计算机 病毒的传播模型对任何病毒的传播预测也都应该有结束的时候。然而实际上大多数的计 算机病毒,并没有像预测的那样消亡。 (5)传染的机制不再单一 现有的计算机病毒传播模型大都是对传播类型单一的病毒建立的,它们的预测结果也大 都是对局部的、某一类型的计算机系统的感染情况进行预测。而实际上越来越多的计算 机病毒尤其是一些智能型病毒,它们的传播目标类型不再单一,而感染的对象也不再局 限于某一地域或某一类网络。
3.2 wenku.baidu.com播模型的建立
3.2 传播模型的建立
dI (t ) I (t ) c(t )( N 1) 1 I (t ) (t ) I (t ) dt N
当N比较大时,N≈N-1,所以上式可化为:
(3.1)
dI (t ) ( N c(t ) (t )) I (t ) c(t ) I 2 (t ) dt
)。
dI (t ) dt I (t ) S (t ) I (t ) dS(t ) S (t ) I (t ) dt dR(t ) I (t ) dt
(1.5)
8.2 当前计算机病毒传播模型
• Romualdo Pastor-Satorras考虑到更一般的情况,哪些由于感染病毒而获得“免疫” 的结点或者死亡的结点,又以某一生还比率变成了易感染者,换言之部分由于感 染而失去的结点在时间t时,又加入到易感染者行列,这就是SIRS模型:
•
•
2计算机病毒与生物病毒
• 2.1 计算机病毒与生物病毒的相似性 • 2.2 计算机病毒与生物病毒在传播特征上的 主要差异
2.1 计算机病毒与生物病毒的相似性
• 和生物病毒一样,计算机病毒是在正常的计算机程序中插入的破坏计算机正常功 能或毁坏数据的一组计算机指令或程序的一段代码,计算机病毒的独特复制功能 使得计算机病毒可以很快地蔓延,又常常难以根除。为了便于隐藏,它们的“个 体”比一般的正常程序都要小。它们能把自已附在特定文件上,当文件被复制或 从一个用户传送到另一用户时,计算机病毒也就随着这些文件蔓延开来。 计算机病毒和生物病毒都具有循环复制的功能,这也是它们的最大相似之处,因 为循环复制是传染性的基础。 在编码方式上,计算机病毒早期采用机器语言编写,而后来,尤其是近年来的病 毒大都采用高级语言编写。这些病毒程序通过一定的感染途径,进入宿主计算机 后,大多以物理(磁)储存的方式,潜伏于计算机的存储介质中; 类似地生物病毒, 大都采用核酸编码,也有采用甲氨基酸编码,其高级的细胞语言也是编制生物病 毒的一种选择。所谓细胞语言是指比较低级的核酸编码,它借助细胞外进行信息 交流。当然无论是低级语言的核酸还是高级语言的氨基酸,这些序列都可以固化 的形式存在,也可以物理存储的方式存在于细胞的物理存储单元核小体中。它们 的破坏机制也都是循环执行。
8.2 当前计算机病毒传播模型
I 0 ( N ) I (t ) I 0 (N I 0 )e ( N )t
(1.4)
8.2 当前计算机病毒传播模型
• 同样地Jonghyun Kim等人依据Kermack-Mckendrick SIR模型给出了计算机病毒传播的 SIR模型,在计算机病毒的SIR模型中,区域内的计算机也被划分为3个状态,易感 染状态(Susceptible)、感染状态(Infectious)和被删除状态(Removed
(1.2)
这些模型为流行病的传播预测和防御提供了有利的工具。比如早在 2005年初,传染病学家们就准确地预测到2005年底到2006年初的 禽流感的爆发。
8.2 当前计算机病毒传播模型
• 大约在1990初,Kephart和White依据生物上流行病的传播模型(1.1)提出了计算 机的病毒的传播模型,也就是SIS模型[56]。该模型给出了计算机病毒传播中的一 些定性因素,较好地帮助人们理解计算机病毒传播中的一些规律,它也为后来其 他的计算机病毒模型奠定了基础。在SIS模型中,所有的计算机只能处在两个不同 的状态,易感者(Susceptible)和感染者(Infectious):
(3.2)
3.2 传播模型的建立
• 这就是我们以普通的网络环境为基础建立的病毒的 传播模型,称它为GSM(General Spreading Model) 模型。从上面的建立过程来看,病毒的传播需要借 助计算机间的连接,而计算机间的连接又需要某主 动方来发起连接。这意味着该微分方程所刻画的病 毒并不包含那些主动寻址传播的蠕虫,除此之外的 邮件类病毒、QQ类病毒、FTP病毒还有大量的仅借助 文档传播的宏病毒和早期病毒等等,这些被动传播 病毒都可以用GSM模型来刻画。
8计算机病毒传播模型
• • • • • • • 1 生物病毒病毒传播模型 2当前计算机病毒传播模型 3 网络环境下一个通用病毒的传播模型 4 模型中的门限值和单结点的作用 5 有限网络中病毒传播的离散模型 6 计算机病毒的逻辑模型 7 网络环境下病毒的求源
8.1当前计算机病毒防治的主要手段及不足之处