計(jì)算機(jī)病毒原理及防范技術(shù) 王路群 第8章 計(jì)算機(jī)病毒理論模型新

Virus計(jì)算機(jī)病毒原理及理論 第八章 計(jì)算機(jī)病毒理論模型 2018/8/9 1第八章 計(jì)算機(jī)病毒理論模型8.3 蠕蟲傳播模型8.2 基于遞歸函數(shù)的病毒模型8.1 基于圖靈機(jī)的病毒模型本章學(xué)習(xí)導(dǎo)讀本章小結(jié)2本章學(xué)習(xí)導(dǎo)讀本章主要講解計(jì)算機(jī)病毒的各種理論模型，這些模型有利于進(jìn)一步深入理解計(jì)算機(jī)病毒、研究計(jì)算機(jī)病毒的各種機(jī)制。首先講解圖靈機(jī)的概念以及基于圖靈機(jī)的 5種病毒模型；然后講解基于遞歸函數(shù)的病毒模型；最后講解 3種蠕蟲傳播模型及其仿真。38.1 基于圖靈機(jī)的病毒模型8.1.4 RASPM_ABS模型和基于此的病毒8.1.3 圖靈機(jī)模型8.1.2 RASPM模型8.1.1 RAM模型8.1.5 操作系統(tǒng)模型48.1 基于圖靈機(jī)的病毒模型vCohen在 1984年為計(jì)算機(jī)病毒提出了一個(gè)形式化的數(shù)學(xué)模型，這個(gè)模型使用圖靈機(jī)。實(shí)際上， Cohen的計(jì)算機(jī)病毒的形式化數(shù)學(xué)模型與 Neumann的自我復(fù)制細(xì)胞自動(dòng)機(jī)是十分相似的。v這個(gè)數(shù)學(xué)模型為解決計(jì)算機(jī)病毒問題奠定了重要的理論基礎(chǔ)。 58.1.1 RAM模型 v隨機(jī)訪問計(jì)算機(jī)（ Random Access Machine， RAM）模型是一種帶有累加器的計(jì)算機(jī)模型，并且在該計(jì)算機(jī)中指令不能修改自身。vRAM由一個(gè)只讀輸入帶、一個(gè)只寫輸出帶以及一個(gè)程序和一臺(tái)存儲(chǔ)器所構(gòu)成。68.1.1 RAM模型圖 8. 1隨機(jī)訪問計(jì)算機(jī)（ RAM ）78.1.2 RASPM模型v在 RAM模型中，由于程序并不是存儲(chǔ)在RAM的存儲(chǔ)器中，因此它不能自我修改，當(dāng)然，也不可能被計(jì)算機(jī)病毒感染?，F(xiàn)在，來考慮隨機(jī)訪問存儲(chǔ)計(jì)算機(jī)模型（Random Access Stored Program Machine ， RASPM）。 88.1.2 RASPM模型圖 8.2隨機(jī)訪問存儲(chǔ)程序計(jì)算機(jī)（ RASPM ） 98.1.3 圖靈機(jī)模型v圖靈機(jī)（英語： Turing Machine，又稱確定型圖靈機(jī)）是英國數(shù)學(xué)家阿蘭 圖靈于 1936年提出的一種抽象計(jì)算模型，其更抽象的意義為一種數(shù)學(xué)邏輯機(jī)，可以看作等價(jià)于任何有限邏輯數(shù)學(xué)過程的終極強(qiáng)大邏輯機(jī)器。 108.1.3 圖靈機(jī)模型圖 8.3 基本圖靈機(jī) 118.1.4 RASPM_ABS模型和基于此的病毒 v 包含后臺(tái)存儲(chǔ)帶的隨機(jī)訪問存儲(chǔ)程序計(jì)算機(jī) (The Random Access Stored Program Machine with Attached Background Storage, RASPM_ABS)vRASPM_ABS有一個(gè)輸入帶、一個(gè)輸出帶以及一個(gè)后臺(tái)存儲(chǔ)帶，它們都具有無限的長(zhǎng)度。輸入帶只能被用來讀取信息，輸出帶只能被用來寫信息，而后臺(tái)存儲(chǔ)帶既可以讀又可以寫。可以通過讀 /寫頭來訪問這些帶。當(dāng)讀或?qū)懶畔r(shí)，相應(yīng)的頭會(huì)向右移動(dòng)一步。在后臺(tái)存儲(chǔ)情況下，有可能發(fā)生讀 /寫頭的直接移動(dòng)。 128.1.4 RASPM_ABS模型和基于此的病毒圖 8. 4包含后臺(tái)存儲(chǔ)帶的隨機(jī)訪問存儲(chǔ)程序計(jì)算機(jī)（ RASPM_ABS） 138.1.4 RASPM_ABS模型和基于此的病毒v基于 RASPM_ABS的病毒v計(jì)算機(jī)病毒被定義成程序的一部分，該程序附著在某個(gè)程序上并能將自身鏈接到其他程序上。當(dāng)病毒所附著的程序被執(zhí)行時(shí)，計(jì)算機(jī)病毒的代碼也跟著被執(zhí)行。148.1.4 RASPM_ABS模型和基于此的病毒v1.病毒的傳播模型 如果病毒利用了計(jì)算機(jī)的一些典型特征或服務(wù)，那么病毒的這種傳播方式被稱作專用計(jì)算機(jī)的傳播方式。如果病毒在傳播時(shí)沒有利用計(jì)算機(jī)的服務(wù)，那么此傳播方式被稱為獨(dú)立于計(jì)算機(jī)的傳播方式。 PC中，引導(dǎo)型病毒就具有專用計(jì)算機(jī)的傳播方式 感染 C源文件的病毒就是具有獨(dú)立計(jì)算機(jī)的傳播方式158.1.4 RASPM_ABS模型和基于此的病毒v2.少態(tài)型病毒和多態(tài)型病毒 當(dāng)有兩個(gè)程序被同樣的病毒以指定傳播方式感染，并且病毒程序的代碼順序不同時(shí)，這種傳播方式稱為多形態(tài)的。 當(dāng)有兩個(gè)程序被同樣的病毒以指定傳播方式感染，并且病毒程序的代碼順相同但至少有一部分病毒代碼被使用不同的密鑰加密時(shí)，這種傳播方式稱為少形態(tài)的。168.1.4 RASPM_ABS模型和基于此的病毒v 多態(tài)型病毒的實(shí)現(xiàn)要比少態(tài)型病毒的實(shí)現(xiàn)復(fù)雜得多，它們能改變自身的譯碼部分。例如，通過從準(zhǔn)備好的集合中任意選取譯碼程序。該方法也能通過在傳播期間隨即產(chǎn)生程序指令來完成。例如，可以通過如下的方法來實(shí)現(xiàn)： 改變譯碼程序的順序； 處理器能夠通過一個(gè)以上的指令（序列）來執(zhí)行同樣的操作； 向譯碼程序中隨機(jī)地放入啞命令（ Dummy Command）。178.1.4 RASPM_ABS模型和基于此的病毒v3.病毒檢測(cè)（ 1）病毒檢測(cè)的一般問題 如果存在著某一能夠解決病毒檢測(cè)問題的算法，那么就能通過建立圖靈機(jī)來執(zhí)行相應(yīng)的算法。不幸的是，即使在最簡(jiǎn)單的情況下，我們也不可能制造出這樣的圖靈機(jī)。 定理：不可能制造出一個(gè)圖靈機(jī)，利用該計(jì)算機(jī)，我們能夠判斷 RASPM_ABS中的可執(zhí)行文件是否含有病毒。188.1.4 RASPM_ABS模型和基于此的病毒（ 2）病毒檢測(cè)方法 如果我們只涉及一些已知病毒的問題，那么就可能簡(jiǎn)化病毒檢測(cè)問題。在此情況下，可以將已知病毒用在檢測(cè)算法上。 我們從每個(gè)已知病毒提取一系列代碼，當(dāng)病毒進(jìn)行傳播時(shí)，它們就會(huì)在每個(gè)被感染了的文件中顯示出來。我們將這一系列代碼成為序列。病毒檢測(cè)程序的任務(wù)就是在程序中搜尋這些序列。 198.1.5 操作系統(tǒng)模型v操作系統(tǒng)被定義成如下的程序系統(tǒng)，該程序系統(tǒng)能夠處理分離的程序或數(shù)據(jù)文件，并能使指定的程序代碼運(yùn)行。vRASPM_ABS和實(shí)際計(jì)算機(jī)系統(tǒng)間的相似性：它們都有一個(gè)后臺(tái)存儲(chǔ)器，用戶可以將分離的數(shù)據(jù)和程序存儲(chǔ)在該存儲(chǔ)器中，而且，它們都包含能夠處理這些文件的操作系統(tǒng)。 208.2 基于遞歸函數(shù)的病毒模型8.2.2 Adleman病毒模型解析8.2.1 Adleman病毒模型218.2.1 Adleman病毒模型 vAdlemen給出的計(jì)算機(jī)病毒形式定義：v （ 1） S表示所有自然數(shù)有窮序列的集合。v （ 2） e表示一個(gè)從 SS到 N的可計(jì)算的入射函數(shù)，它具有可計(jì)算的逆函數(shù)。v （ 3）對(duì)所有的 s,t S,用 表示 e（ s,t）。v （ 4）對(duì)所有部分函數(shù) f： NN及所有 s,t S,用f(s,t)表示 f()。v （ 5） e表示一個(gè)從 NN到 N的可計(jì)算的入射函數(shù)，它具有可計(jì)算的逆函數(shù)，并且對(duì)所有 i,j N， e(i,j)i。228.2.1 Adleman病毒模型v（ 6）對(duì)所有 i,j N， 表示 e(i,j)。v（ 7）對(duì)所有部分函數(shù) f： NN及所有i,j N,f(i,j)表示 f()。v（ 8）對(duì)所有部分函數(shù) f： NN及所有n N,f(n)表示 f(n)是有定義的。v（ 9）對(duì)所有部分函數(shù) f： NN及所有n N,f(n)表示 f(n)是未定義的。238.2.2 Adleman病毒模型解析vAdlemen病毒模型有如下缺陷：v 計(jì)算機(jī)病毒的面太廣。 v 定義并沒有反映出病毒的傳染特性。v 定義不能體現(xiàn)出病毒傳染的傳遞特性。v “破壞 ”的定義不合適。248.3 蠕蟲傳播模型v8.3.4 SI模型的仿真8.3.3 蠕蟲在網(wǎng)絡(luò)中的傳播方式8.3.2 SIR模型8.3.1 SIS模型和 SI模型8.3.5 SIS模型的仿真8.3.6 SIR模型的仿真258.3 蠕蟲傳播模型v蠕蟲這個(gè)生物學(xué)名詞在 1982年由 Xerox PARC的 John F.Shoch等人最早引入計(jì)算機(jī)領(lǐng)域，并給出了計(jì)算機(jī)蠕蟲的兩個(gè)最基本特征： “可以從一臺(tái)計(jì)算機(jī)移動(dòng)到另一臺(tái)計(jì)算機(jī) ”和 “可以自我復(fù)制 ”。268.3.1 SIS模型和 SI模型v 某種群中不存在流行病時(shí)，其種群（ N）的生長(zhǎng)服從微分系統(tǒng)。 其中 表示 t時(shí)刻該環(huán)境中總種群的個(gè)體數(shù)量， 表示種群中單位個(gè)體的生育率， d表示單位個(gè)體的自然死亡率。 278.3.1 SIS模型和 SI模型v 有疾病傳播時(shí)的模型 S， I分別表示易感者類和染病者類 表示一個(gè)染病者所具有的最大傳染力 表示自然死亡率和額外死亡率 288.3.1 SIS模型和 SI模型v流行病的傳播服從雙線形傳染率的 SIS模型v總種群的生長(zhǎng)為：在 SIS模型中，當(dāng) r=0時(shí)，該模型變?yōu)?SI模型。298.3.2 SIR模型 vSIR模型 兩個(gè)假設(shè)： 已被病毒感染的文