計算機病毒理論模型.ppt

第二章 計算機病毒理論模型,本章學習目標,掌握計算機病毒的抽象描述 掌握基于圖靈機的計算機病毒模型 掌握基于遞歸函數(shù)的計算機病毒模型 掌握網(wǎng)絡蠕蟲傳播模型 掌握計算機病毒預防理論模型,虛擬案例,一個文本編輯程序被病毒感染了。每當使用文本編輯程序時，它總是先進行感染工作并執(zhí)行編輯任務，其間，它將搜索合適文件以進行感染。每一個新被感染的程序都將執(zhí)行原有的任務，并且也搜索合適的程序進行感染。這種過程反復進行。當這些被感染的程序跨系統(tǒng)傳播，被銷售，或者送給其他人時，將產生病毒擴散的新機會。最終，在1990年1月1日以后，被感染的程序終止了先前的活動?，F(xiàn)在，每當這樣的一個程序執(zhí)行時，它將刪除所有文件。,計算機病毒偽代碼,main:= call injure; call submain; call infect; injure:= if condition then whatever damage is to be done and halt; infect:= if condition then infect files; ,案例病毒的偽代碼,main:= call injure; call submain; call infect; injure:= if date= jan. 1,1990 then while file != 0 file = get-random-file; delete file; halt; ,infect:= if true then file = get-random-executable-file; rename main routine submain; prepend self to file; ,精簡后的偽代碼,main:= call injure; decompress compressed part of program; call submain; call infect; injure:= if false then halt; ,infect:= if executable != 0 then file = get-random-executable-file; rename main routine submain; compress file; prepend self to file; ,病毒的性質,1對于每個程序，都存在該程序相應的感染形式。也就是，可以把病毒看作是一個程序到一個被感染程序的映射。 2每一個被感染程序在每個輸入（這里的輸入是指可訪問信息，例如，用戶輸入，系統(tǒng)時鐘，數(shù)據(jù)或程序文件等）上做形成如下3個選擇：,破壞(injure)：不執(zhí)行原先的功能，而去完成其它功能。何種輸入導致破壞以及破壞的形式都與被感染的程序無關，而只與病毒本身有關。 傳染(infect)：執(zhí)行原先的功能，并且，如果程序能終止，則傳染程序。對于除程序以外的其它可訪問信息（如時鐘、用戶/程序間的通信）的處理，同感染前的原程序一樣。另外，不管被感染的程序其原先功能如何（文本編輯或編譯器等），它傳染其它程序時，其結果是一樣的。也就是說，一個程序被感染的形式與感染它的程序無關。 模仿(imitate)：既不破壞也不傳染，不加修改地執(zhí)行原先的功能。這也可看作是傳染的一個特例，其中被傳染的程序的個數(shù)為零。,基于圖靈機的計算機病毒的計算模型,隨機訪問計算機（random access machine ram）,隨機訪問存儲程序計算機（ramdom access stored program machine,raspm）,基本圖靈機(tm),包含后臺存儲帶的隨機訪問存儲程序計算機(the random access stored program machine with attached background storage, raspm_abs),基于raspm_abs的病毒 計算機病毒被定義成程序的一部分，該程序附著在某個程序上并能將自身鏈接到其他程序上。當病毒所附著的程序被執(zhí)行時，計算機病毒的代碼也跟著被執(zhí)行。,1.病毒的傳播模型 如果病毒利用了計算機的一些典型特征或服務，那么病毒的這種傳播方式被稱作專用計算機的傳播方式。如果病毒在傳播時沒有利用計算機的服務，那么此傳播方式被稱為獨立于計算機的傳播方式。 pc中，引導型病毒就具有專用計算機的傳播方式 感染c源文件的病毒就是具有獨立計算機的傳播方式,2.少態(tài)型病毒和多態(tài)型病毒 當有兩個程序被同樣的病毒以指定傳播方式感染，并且病毒程序的代碼順序不同時，這種傳播方式稱為多形態(tài)的。 當有兩個程序被同樣的病毒以指定傳播方式感染，并且病毒程序的代碼順相同但至少有一部分病毒代碼被使用不同的密鑰加密時，這種傳播方式稱為少形態(tài)的。,多態(tài)型病毒的實現(xiàn)要比少態(tài)型病毒的實現(xiàn)復雜得多，它們能改變自身的譯碼部分。例如，通過從準備好的集合中任意選取譯碼程序。該方法也能通過在傳播期間隨即產生程序指令來完成。例如，可以通過如下的方法來實現(xiàn)： 改變譯碼程序的順序； 處理器能夠通過一個以上的指令（序列）來執(zhí)行同樣的操作； 向譯碼程序中隨機地放入啞命令（dummy command）。,3.病毒檢測的一般問題 如果存在著某一能夠解決病毒檢測問題的算法，那么就能通過建立圖靈機來執(zhí)行相應的算法。不幸的是，即使在最簡單的情況下，我們也不可能制造出這樣的圖靈機。 定理：不可能制造出一個圖靈機，利用該計算機，我們能夠判斷raspm_abs中的可執(zhí)行文件是否含有病毒。,4.病毒檢測方法 如果我們只涉及一些已知病毒的問題，那么就可能簡化病毒檢測問題。在此情況下，可以將已知病毒用在檢測算法上。 我們從每個已知病毒提取一系列代碼，當病毒進行傳播時，它們就會在每個被感染了的文件中顯示出來。我們將這一系列代碼成為序列。病毒檢測程序的任務就是在程序中搜尋這些序列。,基于遞歸函數(shù)的計算機病毒的數(shù)學模型,adlemen給出的計算機病毒形式定義： （1）s表示所有自然數(shù)有窮序列的集合。 （2）e表示一個從ss到n的可計算的入射函數(shù)，它具有可計算的逆函數(shù)。 （3）對所有的s,ts,用表示e（s,t）。 （4）對所有部分函數(shù)f：nn及所有s,ts,用f(s,t)表示f()。 （5）e表示一個從nn到n的可計算的入射函數(shù)，它具有可計算的逆函數(shù)，并且對所有i,jn，e(i,j)i。,（6）對所有i,jn，表示e(i,j)。 （7）對所有部分函數(shù)f：nn及所有i,jn,f(i,j)表示f()。 （8）對所有部分函數(shù)f：nn及所有nn,f(n)表示f(n)是有定義的。 （9）對所有部分函數(shù)f：nn及所有nn,f(n)表示f(n)是未定義的。,adlemen病毒模型有如下缺陷：,計算機病毒的面太廣。 定義并沒有反映出病毒的傳染特性。 定義不能體現(xiàn)出病毒傳染的傳遞特性。 “破壞”的定義不合適。,internet蠕蟲傳播模型,si(susceptible-infected) sis(susceptible-infected-susceptible) sir(susceptible-infected-removed),sis模型和si模型,某種群中不存在流行病時，其種群（n）的生長服從微分系統(tǒng)。 其中 表示t時刻該環(huán)境中總種群的個體數(shù)量， 表示種群中單位個體的生育率， d表示單位個體的自然死亡率。,有疾病傳播時的模型 s，i分別表示易感者類和染病者類 表示一個染病者所具有的最大傳染力 表示自然死亡率和額外死亡率,流行病的傳播服從雙線形傳染率的sis模型 總種群的生長為：,在sis模型中，當r=0時，該模型變?yōu)閟i模型。,sir模型 兩個假設： 已被病毒感染的文件（檔）具有免疫力。 病毒的潛伏期很短，近似地認為等于零。 把系統(tǒng)中可執(zhí)行程序分為三種： 是被傳播對象即尚未感染病毒的可執(zhí)行程序，用s(t)表示第類的數(shù)目。 是帶菌者即已感染病毒的可執(zhí)行程序，用p(t)表示第類的數(shù)目。 是被感染后具有免疫力的可執(zhí)行程序，也包括被傳播后在一定時間內不會運行的可執(zhí)行程序（相當患病者死去），用r(t)表示第類的數(shù)目。,表示傳播（感染）速度； 表示每個時間段接觸次數(shù)；表示第類程序變成第類程序的速度； 公式的解釋： s(t)的變