您当前所在位置:首页 > 论文 > 计算机论文 > asp论文

关于计算机病毒传播模型的分析

编辑:sx_zhangjh

2014-10-10

关于计算机病毒传播模型的分析

下面是精品学习网小编收集的计算机病毒传播模型的分析,欢迎阅读!

1 综 述

随着计算机广泛的应用,人们开始关注与计算机有关的信息安全问题。在威胁计算机安全的众多技术之中有一种特殊的计算机程序实现技术一病毒,它对计算机系统的潜在危害性十分巨大。计算机病毒的出现并不是偶然的,而是在计算机实现技术的脆弱性和特殊的政治、军事Et的等多种因素共同作用下产生的。

计算机病毒的概念第一次出现是在美国作家Thomas.J.Ryan 1977年的科幻小说((Adolescence of Pl》中。而将幻想变成现实是在1983年l1月,Fred Co—hen在Len Adelman的指导下所完成的计算机病毒实例。最早的实战病毒是1986年1月的“巴基斯坦”病毒,但由于其传播的范围较小,并没有引起人们的注意。在此后一年内,计算机病毒肆虐欧美的大部分地方,人们才开始注意到计算机病毒所具有的巨大危害性。而我国从1987年也开始不断遭受到计算机病毒的侵袭。

计算机病毒的数量每年都在以指数级增长,而且由于近几年传输媒质的改变和Intemet的广泛应用,导致病毒感染的对象开始由工作站(终端)向网络部件(代理、防护和服务设置等)转变如图1所示,病毒类型也由文件型向网络蠕虫型改变。本文将计算机病毒(Computer Virus)解释为是一种可以实现某种特定功能的计算机指令或代码的集合,同时还具有传染、隐藏和破坏的特点。研究人员用生物学的名词“病毒”来对这类程序进行命名,是因为它具有生物病毒的一些特征,如需要依赖一定的生存(激活)条件和寄生体(主机或文件等)。所以,我们归纳出计算机病毒的三大特性:传染性、隐蔽性、破坏性。此外,不同的病毒还存在个体特征,如寄生性、潜伏性等。但由于它们不具有代表性,就不再对其进行详细说明。

2 计算机病毒分析

设有一种生物性病毒,它有100%的传染性,每当生物体有交往时就传播,并在某个特定的时刻会立即杀死所有被感染的生物,在此之前是没有任何可觉察到的边界效应。若从引入这个病毒到它起作用将持续一周的时间,这样恐怕只有少数边远的乡村还会有遗留下的生命,而现代化城市可能会被扫荡一空。

若将这类计算机病毒在世界范围内的网络进行传播,将会给整个世界造成无法估计的灾难 3。

2.1 病毒的概念及特征计算机程序是由一些具有数据和操作相关性的符号序列组成的。而本文所提到的病毒也是一个由符号序列组成的程序,并且这些符号序列在具有行为能力后会引起其他符号序列的“演变或病变”。如CIH病毒、猴子病毒、小球病毒等。

下面引用Fred Cohen提出的病毒模型来说明病毒在一般情况下的运作原理HJ。

病毒体程序:={标志:iamvirus;传染子程序:={循环:从文件中随机地找到一个可执行文件;若该文件的第一行是标志iamvims则返回到循环开始;将病毒体程序附着在文件之中;} 破坏子程序:={进行相关的破坏功能;}激活子程序:={当达到某种条件后则返回真值;}主程序体:={执行传染部分;若激活部分为真则执行破坏部分;执行正常程序体;}病毒的传染部分(又称再生部分),是病毒的重要组成部分。它可使病毒自身在一个系统中的各文件之间或一个网络中的各系统之间,随意移动和感染。病毒传染的方式是多种多样的,如利用执行文件(文件型病毒)、数据文件(宏病毒)、网页或邮件(蠕虫病毒)等。

病毒的隐蔽部分主要作用是保护病毒自身的安全。为了防止被查杀,通过各种相关技术(如分段技术、常驻内存技术、动态隐藏技术等)对其自身进行防护处理。

病毒的破坏部分是病毒的表征部分。不同病毒在不同环境下,所产生的破坏行为可能不同。但它们都是利用一些恶意性的代码段(如格式化磁盘和修改文件数据等)来实现的。

我们发现,现今的病毒都是建立在这三个部分的基础上,只是实现的位置和功能的多少不同。

我们称一个程序为病毒,是因为它能把其所寄生的程序演变成病毒的特性。病毒可以包含或嵌入到其它的程序中。被感染的程序正常运行时,基本上具有程序原有的功能和行为,但当所染病毒发作时,就会具有与其寄主程序不同的功能和行为 J。如CIH病毒就是感染WIN PE可执行文件,并将其自身根据需要分裂成几个部分后,分别放人这些执行文件的“空隙”中。因此,被感染的文件长度并不会增加,而且在CIH不发作的时候,被感染文件没有任何异常,但当其发作时就会出现覆盖硬盘数据等操作。病毒利用它的传染能力造成了病毒传播的“浪花”效应。

本文中,我们将病毒的传染性定义为第一特性。下面。用抽象的概念来描述病毒的传染性。病毒的传染能力是由程序本身的“毒性”来决定的。“毒性”是指病毒可感染除自身外的其他程序并产生“毒集”的能力。不同的病毒程序所产生的病毒元素是不同的(这里的病毒元素,我们可以理解为病毒代码)L4 J。病毒必须能产生固定集中的一个元素序列L4J,而固定集就是“毒集”,它是指一个病毒元素所能产生出与其相关联的其他元素的集合。“毒集”允许程序体中的一个元素产生该集合内的其它元素,这也就是“演化”的概念。演化是从一个毒集的元素产生该集合中的另一个元素的过程。因此,病毒传染是根据病毒的“毒性”产生出“毒集”,并利用该集合中的元素序列“演化”出另一个元素序列的过程。

2.2 病毒传播模型随着病毒技术的发展,其传播方式也在改变。早期的病毒主要是利用感染磁盘中的文件来在多台计算机之间传播。现今的病毒主要是依赖网络,通过扫描目标系统查找相应的漏洞,并利用该漏洞来进行传播,如冲击波、红色代码、蠕虫王、尼姆达病毒等都是利用这种方式进行传播的。通过对几种常见病毒的分析,发现病毒的基本传播模型是相似的。因此,下面就给出病毒传播的一般模型 J。

假设一个由N台计算机组成的网络,它受到病毒v的威胁并且网内有数据交互的关系。数值N表明该病毒所能感染的计算机最大数目。N台计算机分别为:cl,C2,?,cN。构成集合C={Cl,C2,^cⅣ}。定义c上的二元关系Dc={

为得出病毒的传染模型,做出如下的假设和简化:

(1)病毒流行期间,流入和迁出该网的计算机数目可以忽略,病毒只在由这N台计算机组成的封闭系统内传播;

(2)在单位时间内,N台计算机之间发生M次数据通信(1 M N/2),且参与通信的源机器和目标机器都是随机的,在N中均匀分布;

(3)研究从病毒进入系统的时刻(n=0)开始,此时N台机器中有一台带毒,设其编号为Cl;

(4)一台计算机Ci(j≠1)染上病毒的条件是:

3 反病毒技术现有的反病毒技术包括特征码过滤技术、驻留式查询技术、虚拟机技术、启发扫描技术和病毒疫苗(类免疫系统)等。其中最常用的是特征值过滤查询法,它是在获取病毒样本后,取出其特征码(如stone病毒中的“your pc is stoned!”),然后利用此码对系统中的文件和内存进行扫描,来判定是否感染。但由于加密技术在病毒中的应用,使病毒特征码的提取变得十分困难。因此,又提出了虚拟机技术,它是通过病毒在虚拟的模拟系统环境下运行,来提取其特征码。

此外,还有病毒疫苗技术,利用它可建立起一个抗病毒的类免疫系统。通常,病毒在感染了一个系统或文件之后,会在做上相应的感染标记,用来避免同类病毒的重复感染(如美丽莎病毒在感染系统后,会修改注册表中的“HKEY—cI『RREN.I'usER areMi—crosoftOfice”表项)。根据这个特征,若在没有感染病毒的系统上预先设立病毒的感染标记,则当真病毒在对此系统进行感染前的判定时,就会认为该系统已被感染,这样就达到了病毒的免疫目的。这与生物学中的免疫理论十分相近。

下面,根据Fred Cohen研究的基础提出一种反病毒的概念结构。若系统中用户之间可以共享信息,则必有信息传递路径,这样信息才会从一个用户向另一个用户流动。共享信息的能力是可传递的,设有从用户A到用户B的路径,从用户B到用户C的路径,则在用户B有意或无意的合作之下会产生出从A到c的传递路径。同时,我们知道在数据信息和程序信息之间并不存在基本的差别,信息仅在被解释时才会有意义。这样在信息可被解释为程序的系统中,这种解释就产生了传染。若存在共享,传染便可通过共享信息的解释进行扩散。因此,共享路径、信息流的传递性和解释的一般性决定了病毒的传染。这就指出反病毒技术最终要达到“隔离”状态或使用“隔离技术”的必然性[5] 5。那么,表明具有潜在防御病毒攻击能力的系统是具有有限的传递性和有限共享的系统,或是没有共享的系统和没有信息的一般翻译能力的系统[3l。

4 结束语

由于计算机系统的脆弱性与Intemet的开放性,想彻底消灭病毒是很困难的。而且,计算机病毒的自身结构开始向对抗反病毒技术的变形病毒方向和利用网络黑客技术的网络病毒方向发展【6] 6。另外,随着技术和产品的垄断,造成了潜在的不安全性。因此,紧跟病毒技术的发展并加强自身的抗病毒技术研究,对于我国建立起自己的信息安全长城具有积极重要的意义。

上文就是精品学习网给您带来的计算机病毒传播模型的分析,希望可以更好的帮助到您!!

标签:asp论文

免责声明

精品学习网(51edu.com)在建设过程中引用了互联网上的一些信息资源并对有明确来源的信息注明了出处,版权归原作者及原网站所有,如果您对本站信息资源版权的归属问题存有异议,请您致信qinquan#51edu.com(将#换成@),我们会立即做出答复并及时解决。如果您认为本站有侵犯您权益的行为,请通知我们,我们一定根据实际情况及时处理。