第2章 計算機病毒理論模型

1、計算機病毒理論模型計算機病毒理論模型本章學(xué)習(xí)目標本章學(xué)習(xí)目標掌握計算機病毒的抽象描述掌握基于圖靈機的計算機病毒模型掌握基于遞歸函數(shù)的計算機病毒模型掌握網(wǎng)絡(luò)蠕蟲傳播模型掌握計算機病毒預(yù)防理論模型 虛擬案例虛擬案例一個文本編輯程序被病毒感染了。每當(dāng)使用文本編輯程序時，它總是先進行感染工作并執(zhí)行編輯任務(wù)，其間，它將搜索合適文件以進行感染。每一個新被感染的程序都將執(zhí)行原有的任務(wù)，并且也搜索合適的程序進行感染。這種過程反復(fù)進行。當(dāng)這些被感染的程序跨系統(tǒng)傳播，被銷售，或者送給其他人時，將產(chǎn)生病毒擴散的新機會。最終，在1990年1月1日以后，被感染的程序終止了先前的活動?，F(xiàn)在，每當(dāng)這樣的一個程序執(zhí)行時，它將

2、刪除所有文件。計算機病毒偽代碼計算機病毒偽代碼 main:=Call injure;Call submain;Call infect;injure:=If condition then whatever damage is to be done and halt;infect:=If condition then infect files;案例病毒的偽代碼案例病毒的偽代碼main:=Call injure;Call submain;Call infect;injure:=If date= Jan. 1,1990 thenWhile file != 0File = get-random-file

3、;Delete file;Halt; infect:=If true thenFile = get-random-executable-file;Rename main routine submain;Prepend self to file;精簡后的偽代碼精簡后的偽代碼(壓縮或變型壓縮或變型)main:=Call injure;Decompress compressed part of program;Call submain;Call infect;injure:=If false then halt;infect:=If executable != 0 thenFile = get-ra

4、ndom-executable-file;Rename main routine submain;Compress file;Prepend self to file; 病毒偽代碼的共同性質(zhì)病毒偽代碼的共同性質(zhì)1對于每個程序，都存在該程序相應(yīng)的感染形式。也就是，可以把病毒看作是一個程序到一個被感染程序的映射。 2每一個被感染程序在每個輸入（輸入是指可訪問信息，例如，用戶輸入，系統(tǒng)時鐘，數(shù)據(jù)或程序文件等）上形成如下3個選擇： 破壞(Injure)：不執(zhí)行原先的功能，而去完成其它功能。何種輸入導(dǎo)致破壞以及破壞的形式都與被感染的程序無關(guān)，而只與病毒本身有關(guān)。傳染(Infect)：執(zhí)行原先的功能，并且

5、，如果程序能終止，則傳染程序。對于除程序以外的其它可訪問信息（如時鐘、用戶/程序間的通信）的處理，同感染前的原程序一樣。另外，不管被感染的程序其原先功能如何（文本編輯或編譯器等），它傳染其它程序時，其結(jié)果是一樣的。也就是說，一個程序被感染的形式與感染它的程序無關(guān)。模仿(Imitate)：既不破壞也不傳染，不加修改地執(zhí)行原先的功能。這也可看作是傳染的一個特例，其中被傳染的程序的個數(shù)為零。基于圖靈機的計算機病毒的計算模型基本圖靈機(TM)圖靈機的經(jīng)典問題： 圖靈機停機問題 圖靈機存在不可計算數(shù)隨機訪問計算機（Random Access Machine RAM） 隨機訪問存儲程序計算機（Ramdom

6、 Access Stored Program Machine,RASPM）包含后臺存儲帶的隨機訪問存儲程序計算機(The Random Access Stored Program Machine with Attached Background Storage, RASPM_ABS) 基于基于RASPM_ABS的病毒的病毒 計算機病毒被定義成程序的一部分，該程序附著在某個程序上并能將自身鏈接到其他程序上。當(dāng)病毒所附著的程序被執(zhí)行時，計算機病毒的代碼也跟著被執(zhí)行。1.病毒的傳播模型 如果病毒利用了計算機的一些典型特征或服務(wù)，那么病毒的這種傳播方式被稱作專用計算機的傳播方式。如果病毒在傳播時沒有利

7、用計算機的服務(wù)，那么此傳播方式被稱為獨立于計算機的傳播方式。 PC中，引導(dǎo)型病毒就具有專用計算機的傳播方式 感染C源文件的病毒就是具有獨立計算機的傳播方式2.少態(tài)型病毒和多態(tài)型病毒 當(dāng)有兩個程序被同樣的病毒以指定傳播方式感染，并且病毒程序的代碼順序不同時，這種傳播方式稱為少形態(tài)的。 當(dāng)有兩個程序被同樣的病毒以指定傳播方式感染，并且病毒程序的代碼順相同但至少有一部分病毒代碼被使用不同的密鑰加密時，這種傳播方式稱為多形態(tài)的。 多態(tài)型病毒的實現(xiàn)要比少態(tài)型病毒的實現(xiàn)復(fù)雜得多，它們能改變自身的譯碼部分。例如，通過從準備好的集合中任意選取譯碼程序。該方法也能通過在傳播期間隨即產(chǎn)生程序指令來完成。例如，可以

8、通過如下的方法來實現(xiàn)： 改變譯碼程序的順序； 處理器能夠通過一個以上的指令（序列）來執(zhí)行同樣的操作； 向譯碼程序中隨機地放入啞命令（Dummy Command）。3.病毒檢測的一般問題 如果存在著某一能夠解決病毒檢測問題的算法，那么就能通過建立圖靈機來執(zhí)行相應(yīng)的算法。不幸的是，即使在最簡單的情況下，我們也不可能制造出這樣的圖靈機。 定理：不可能制造出一個圖靈機，利用該計算機，我們能夠判斷RASPM_ABS中的可執(zhí)行文件是否含有病毒。 4.病毒檢測方法 如果我們只涉及一些已知病毒的問題，那么就可能簡化病毒檢測問題。在此情況下，可以將已知病毒用在檢測算法上。 我們從每個已知病毒提取一系列代碼，當(dāng)病

9、毒進行傳播時，它們就會在每個被感染了的文件中顯示出來。我們將這一系列代碼成為序列。病毒檢測程序的任務(wù)就是在程序中搜尋這些序列。 檢測多態(tài)型病毒的難點 不能確定多態(tài)型病毒是否含有某些序列，能夠通過這些序列可以檢測病毒的所有變異。 當(dāng)發(fā)現(xiàn)序列是隨機的時，不知道發(fā)生錯誤報警的概率。發(fā)現(xiàn)任意序列的概率：N表示一個序列的長度；M表示序列的總個數(shù)；用L(LN)表示被檢測文件的總長度；n是字符集大小（對應(yīng)二進制為16） 該采用什么樣的費用標準來衡量序列搜尋算法的實現(xiàn)。1NPLMn 基于遞歸函數(shù)的計算機病毒的數(shù)學(xué)模型Adlemen給出的計算機病毒形式定義：（1）S表示所有自然數(shù)有窮序列的集合。（2）e表示一個

10、從SS到N的可計算的入射函數(shù)，它具有可計算的逆函數(shù)。（3）對所有的s,tS,用表示e（s,t）。（4）對所有部分函數(shù)f：NN及所有s,tS,用f(s,t)表示f()。（5）e表示一個從NN到N的可計算的入射函數(shù)，它具有可計算的逆函數(shù)，并且對所有i,jN，e(i,j)i。（6）對所有i,jN，表示e(i,j)。（7）對所有部分函數(shù)f：NN及所有i,jN,f(i,j)表示f()。（8）對所有部分函數(shù)f：NN及所有nN,f(n)表示f(n)是有定義的。（9）對所有部分函數(shù)f：NN及所有nN,f(n)表示f(n)是未定義的。 Adlemen病毒模型有如下缺陷：計算機病毒的面太廣。 不具傳染性的也當(dāng)作病

11、毒定義并沒有反映出病毒的傳染特性。定義不能體現(xiàn)出病毒傳染的傳遞特性?！捌茐摹钡亩x不合適。 原程序功能保留不明確Internet蠕蟲傳播模型蠕蟲傳播模型SI(Susceptible易受感染的-Infected)SIS(Susceptible-Infected-Susceptible)SIR(Susceptible-Infected-Removed) SIS模型和SI模型某種群中不存在流行病時，其種群（N）的生長服從微分系統(tǒng)。 其中 表示t時刻該環(huán)境中總種群的個體數(shù)量， 表示種群中單位個體的生育率， d表示單位個體的自然死亡率。 NNbeNdN ( )NN tNbe有疾病傳播時的模型 S，I分別

12、表示易感者類和染病者類 表示一個染病者所具有的最大傳染力 r表示疾病的恢復(fù)力 d表示自然死亡率 a表示額外死亡率 流行病的傳播服從雙線形傳染率的SIS模型總種群的生長為：()NSbeNSI dS rIISId a r I NNbeNdNI ( )( )( )N tS tI t在SIS模型中，當(dāng)a=0時，該模型變?yōu)镾I模型。SIR模型 兩個假設(shè)： 已被病毒感染的文件（檔）具有免疫力。 病毒的潛伏期很短，近似地認為等于零。 把系統(tǒng)中可執(zhí)行程序分為三種： 被傳播對象，即尚未感染病毒的可執(zhí)行程序，用S(t)表示其數(shù)目。 帶菌者，即已感染病毒的可執(zhí)行程序，用p(t)表示其數(shù)目。 被感染后具有免疫力的可執(zhí)

13、行程序，也包括被傳播后在一定時間內(nèi)不會運行的可執(zhí)行程序（相當(dāng)患病者死去），用R(t)表示其數(shù)目。表示傳播（感染）速度； 表示每個時間段接觸次數(shù)；表示第類程序變成第類程序的速度；公式的解釋： S(t)的變化率即經(jīng)第類程序變成第類程序的變化率，它與傳染者和被傳染者之間的接觸次數(shù)有關(guān)，并且正比于這兩類文件的乘積。 R(t)的變化率即第類程序變成第類程序的變化率，與當(dāng)時第類的可執(zhí)行程序數(shù)目成正比。 在考慮的時間間隔內(nèi)，系統(tǒng)內(nèi)可執(zhí)行程序的總數(shù)變化不大，并且假設(shè)它恒等于常數(shù)（即沒有文件被撤消，也沒有外面的新文件進來），從而可執(zhí)行程序總數(shù)的變化率為零。 dSkpSdtdRpdt k( )( )( )S tt

14、R tNddSdRdtdtdt dSk Sdtdk SdtdRdt 預(yù)防理論模型預(yù)防理論模型Fred.Cohen”四模型”理論 (1) 基本隔離模型 該模型的主要思想是取消信息共享，將系統(tǒng)隔離開來，使得計算機病毒既不能從外部入侵進來，也不可能把系統(tǒng)內(nèi)部的病毒擴散出去。 (2) 分隔模型 將用戶群分割為不可能互相傳遞信息的若干封閉子集。由于信息處理流的控制，使得這些子集可被看作是系統(tǒng)被分割成的相互獨立的子系統(tǒng)，使得計算機病毒只能感染整個系統(tǒng)中的某個子系統(tǒng)，而不會在子系統(tǒng)之間進行相互傳播。 (3) 流模型 對共享的信息流通過的距離設(shè)定一個閥值，使得一定量的信息處理只能在一定的區(qū)域內(nèi)流動，若該信息的使用超過設(shè)定的閥值，則可能存在某種危險。(4) 限制解釋模型 即限制兼容，采用固定的解釋模式，就有可能不被計算機病毒感染。 類類IPM模型