《計算機(jī)病毒原理及防范技術(shù)》課件第8章 計算機(jī)病毒理論模型

計算機(jī)病毒原理及理論 第八章計算機(jī)病毒理論模型第八章計算機(jī)病毒理論模型8.3蠕蟲傳播模型8.2基于遞歸函數(shù)的病毒模型8.1基于圖靈機(jī)的病毒模型本章學(xué)習(xí)導(dǎo)讀本章小結(jié)本章學(xué)習(xí)導(dǎo)讀本章主要講解計算機(jī)病毒的各種理論模型，這些模型有利于進(jìn)一步深入理解計算機(jī)病毒、研究計算機(jī)病毒的各種機(jī)制。首先講解圖靈機(jī)的概念以及基于圖靈機(jī)的5種病毒模型；然后講解基于遞歸函數(shù)的病毒模型；最后講解3種蠕蟲傳播模型及其仿真。8.1基于圖靈機(jī)的病毒模型8.1.4RASPM_ABS模型和基于此的病毒8.1.3圖靈機(jī)模型8.1.2RASPM模型8.1.1RAM模型8.1.5操作系統(tǒng)模型8.1基于圖靈機(jī)的病毒模型Cohen在1984年為計算機(jī)病毒提出了一個形式化的數(shù)學(xué)模型，這個模型使用圖靈機(jī)。實際上，Cohen的計算機(jī)病毒的形式化數(shù)學(xué)模型與Neumann的自我復(fù)制細(xì)胞自動機(jī)是十分相似的。這個數(shù)學(xué)模型為解決計算機(jī)病毒問題奠定了重要的理論基礎(chǔ)。8.1.1RAM模型隨機(jī)訪問計算機(jī)（RandomAccessMachine，RAM）模型是一種帶有累加器的計算機(jī)模型，并且在該計算機(jī)中指令不能修改自身。RAM由一個只讀輸入帶、一個只寫輸出帶以及一個程序和一臺存儲器所構(gòu)成。8.1.1RAM模型圖8.1隨機(jī)訪問計算機(jī)（RAM）8.1.2RASPM模型在RAM模型中，由于程序并不是存儲在RAM的存儲器中，因此它不能自我修改，當(dāng)然，也不可能被計算機(jī)病毒感染?，F(xiàn)在，來考慮隨機(jī)訪問存儲計算機(jī)模型（RandomAccessStoredProgramMachine，RASPM）。8.1.2RASPM模型圖8.2隨機(jī)訪問存儲程序計算機(jī)（RASPM）

8.1.3圖靈機(jī)模型圖靈機(jī)（英語：TuringMachine，又稱確定型圖靈機(jī)）是英國數(shù)學(xué)家阿蘭·圖靈于1936年提出的一種抽象計算模型，其更抽象的意義為一種數(shù)學(xué)邏輯機(jī)，可以看作等價于任何有限邏輯數(shù)學(xué)過程的終極強(qiáng)大邏輯機(jī)器。8.1.3圖靈機(jī)模型圖8.3基本圖靈機(jī)8.1.4RASPM_ABS模型和基于此的病毒包含后臺存儲帶的隨機(jī)訪問存儲程序計算機(jī)(TheRandomAccessStoredProgramMachinewithAttachedBackgroundStorage,RASPM_ABS)RASPM_ABS有一個輸入帶、一個輸出帶以及一個后臺存儲帶，它們都具有無限的長度。輸入帶只能被用來讀取信息，輸出帶只能被用來寫信息，而后臺存儲帶既可以讀又可以寫?？梢酝ㄟ^讀/寫頭來訪問這些帶。當(dāng)讀或?qū)懶畔r，相應(yīng)的頭會向右移動一步。在后臺存儲情況下，有可能發(fā)生讀/寫頭的直接移動。8.1.4RASPM_ABS模型和基于此的病毒圖8.4包含后臺存儲帶的隨機(jī)訪問存儲程序計算機(jī)（RASPM_ABS）

8.1.4RASPM_ABS模型和基于此的病毒基于RASPM_ABS的病毒計算機(jī)病毒被定義成程序的一部分，該程序附著在某個程序上并能將自身鏈接到其他程序上。當(dāng)病毒所附著的程序被執(zhí)行時，計算機(jī)病毒的代碼也跟著被執(zhí)行。8.1.4RASPM_ABS模型和基于此的病毒1.病毒的傳播模型如果病毒利用了計算機(jī)的一些典型特征或服務(wù)，那么病毒的這種傳播方式被稱作專用計算機(jī)的傳播方式。如果病毒在傳播時沒有利用計算機(jī)的服務(wù)，那么此傳播方式被稱為獨立于計算機(jī)的傳播方式。PC中，引導(dǎo)型病毒就具有專用計算機(jī)的傳播方式感染C源文件的病毒就是具有獨立計算機(jī)的傳播方式8.1.4RASPM_ABS模型和基于此的病毒2.少態(tài)型病毒和多態(tài)型病毒當(dāng)有兩個程序被同樣的病毒以指定傳播方式感染，并且病毒程序的代碼順序不同時，這種傳播方式稱為多形態(tài)的。當(dāng)有兩個程序被同樣的病毒以指定傳播方式感染，并且病毒程序的代碼順相同但至少有一部分病毒代碼被使用不同的密鑰加密時，這種傳播方式稱為少形態(tài)的。8.1.4RASPM_ABS模型和基于此的病毒多態(tài)型病毒的實現(xiàn)要比少態(tài)型病毒的實現(xiàn)復(fù)雜得多，它們能改變自身的譯碼部分。例如，通過從準(zhǔn)備好的集合中任意選取譯碼程序。該方法也能通過在傳播期間隨即產(chǎn)生程序指令來完成。例如，可以通過如下的方法來實現(xiàn)：改變譯碼程序的順序；處理器能夠通過一個以上的指令（序列）來執(zhí)行同樣的操作；向譯碼程序中隨機(jī)地放入啞命令（DummyCommand）。8.1.4RASPM_ABS模型和基于此的病毒3.病毒檢測（1）病毒檢測的一般問題如果存在著某一能夠解決病毒檢測問題的算法，那么就能通過建立圖靈機(jī)來執(zhí)行相應(yīng)的算法。不幸的是，即使在最簡單的情況下，我們也不可能制造出這樣的圖靈機(jī)。定理：不可能制造出一個圖靈機(jī)，利用該計算機(jī)，我們能夠判斷RASPM_ABS中的可執(zhí)行文件是否含有病毒。8.1.4RASPM_ABS模型和基于此的病毒（2）病毒檢測方法如果我們只涉及一些已知病毒的問題，那么就可能簡化病毒檢測問題。在此情況下，可以將已知病毒用在檢測算法上。我們從每個已知病毒提取一系列代碼，當(dāng)病毒進(jìn)行傳播時，它們就會在每個被感染了的文件中顯示出來。我們將這一系列代碼成為序列。病毒檢測程序的任務(wù)就是在程序中搜尋這些序列。8.1.5操作系統(tǒng)模型操作系統(tǒng)被定義成如下的程序系統(tǒng)，該程序系統(tǒng)能夠處理分離的程序或數(shù)據(jù)文件，并能使指定的程序代碼運行。RASPM_ABS和實際計算機(jī)系統(tǒng)間的相似性：它們都有一個后臺存儲器，用戶可以將分離的數(shù)據(jù)和程序存儲在該存儲器中，而且，它們都包含能夠處理這些文件的操作系統(tǒng)。8.2基于遞歸函數(shù)的病毒模型8.2.2Adleman病毒模型解析8.2.1Adleman病毒模型8.2.1Adleman病毒模型Adlemen給出的計算機(jī)病毒形式定義：（1）S表示所有自然數(shù)有窮序列的集合。（2）e表示一個從S╳S到N的可計算的入射函數(shù)，它具有可計算的逆函數(shù)。（3）對所有的s,t∈S,用<s,t>表示e（s,t）。（4）對所有部分函數(shù)f：N→N及所有s,t∈S,用f(s,t)表示f(<s,t>)。（5）e′表示一個從N╳N到N的可計算的入射函數(shù)，它具有可計算的逆函數(shù)，并且對所有i,j∈N，e′(i,j)≥i。8.2.1Adleman病毒模型（6）對所有i,j∈N，<i,j>表示e′(i,j)。（7）對所有部分函數(shù)f：N→N及所有i,j∈N,f(i,j)表示f(<i,j>)。（8）對所有部分函數(shù)f：N→N及所有n∈N,f(n)↓表示f(n)是有定義的。（9）對所有部分函數(shù)f：N→N及所有n∈N,f(n)↑表示f(n)是未定義的。8.2.2Adleman病毒模型解析Adlemen病毒模型有如下缺陷：⑴計算機(jī)病毒的面太廣。⑵定義并沒有反映出病毒的傳染特性。⑶定義不能體現(xiàn)出病毒傳染的傳遞特性。⑷“破壞”的定義不合適。8.3蠕蟲傳播模型8.3.4SI模型的仿真8.3.3蠕蟲在網(wǎng)絡(luò)中的傳播方式8.3.2SIR模型8.3.1SIS模型和SI模型8.3.5SIS模型的仿真8.3.6SIR模型的仿真8.3蠕蟲傳播模型蠕蟲這個生物學(xué)名詞在1982年由XeroxPARC的JohnF.Shoch等人最早引入計算機(jī)領(lǐng)域，并給出了計算機(jī)蠕蟲的兩個最基本特征：“可以從一臺計算機(jī)移動到另一臺計算機(jī)”和“可以自我復(fù)制”。8.3.1SIS模型和SI模型某種群中不存在流行病時，其種群（N）的生長服從微分系統(tǒng)。其中表示t時刻該環(huán)境中總種群的個體數(shù)量，表示種群中單位個體的生育率，d表示單位個體的自然死亡率。8.3.1SIS模型和SI模型有疾病傳播時的模型S，I分別表示易感者類和染病者類β表示一個染病者所具有的最大傳染力α表示自然死亡率和額外死亡率8.3.1SIS模型和SI模型流行病的傳播服從雙線形傳染率的SIS模型總種群的生長為：在SIS模型中，當(dāng)r=0時，該模型變?yōu)镾I模型。8.3.2SIR模型SIR模型兩個假設(shè)：已被病毒感染的文件（檔）具有免疫力。病毒的潛伏期很短，近似地認(rèn)為等于零。把系統(tǒng)中可執(zhí)行程序分為三種：Ⅰ是被傳播對象即尚未感染病毒的可執(zhí)行程序，用S(t)表示第Ⅰ類的數(shù)目。Ⅱ是帶菌者即已感染病毒的可執(zhí)行程序，用p(t)表示第Ⅱ類的數(shù)目。Ⅲ是被感染后具有免疫力的可執(zhí)行程序，也包括被傳播后在一定時間內(nèi)不會運行的可執(zhí)行程序（相當(dāng)患病者死去），用R(t)表示第Ⅲ類的數(shù)目。8.3.2SIR模型λ表示傳播（感染）速度；表示每個時間段接觸次數(shù)；ｕ表示第Ⅱ類程序變成第Ⅲ類程序的速度；8.3.2SIR模型公式的解釋：⑴S(t)的變化率即經(jīng)第Ⅰ類程序變成第Ⅱ類程序的變化率，它與傳染者和被傳染者之間的接觸次數(shù)有關(guān)，并且正比于這兩類文件的乘積。 ⑵R(t)的變化率即第Ⅱ類程序變成第Ⅲ類程序的變化率，與當(dāng)時第Ⅱ類的可執(zhí)行程序數(shù)目成正比。⑶在考慮的時間間隔內(nèi)，系統(tǒng)內(nèi)可執(zhí)行程序的總數(shù)變化不大，并且假設(shè)它恒等于常數(shù)（即沒有文件被撤消，也沒有外面的新文件進(jìn)來），從而可執(zhí)行程序總數(shù)的變化率為零。8.3.2SIR模型8.3.3蠕蟲在網(wǎng)絡(luò)中的傳播方式1.選擇性隨機(jī)掃描2.順序掃描3.基于目標(biāo)列表的掃描4.基于路由的掃描5.基于DNS掃描6.分治掃描8.3.3蠕蟲在網(wǎng)絡(luò)中的傳播方式網(wǎng)絡(luò)蠕蟲傳播速度的關(guān)鍵影響因素有4個：目標(biāo)地址空間選擇是否采用多線程搜索易感染主機(jī)是否有易感染主機(jī)列表傳播途徑的多樣化。各種掃描策略的差異主要在于目標(biāo)地址空間的選擇。8.3.4SI模型的仿真1.SI傳播模型中蠕蟲的傳播趨勢2.敏感時刻3.敏感時刻二與蠕蟲繁殖副本數(shù)量m的關(guān)系4.SI模型中敏感時刻與網(wǎng)絡(luò)節(jié)點總數(shù)N的關(guān)系8.3.5S