（应用数学专业论文）计算机病毒传播模型研究.pdf

东北太学硕士学位论文 计算机病毒传播模型研究 摘要 计算机病毒的频繁爆发给整个社会带来了巨大的经济损失，而病毒防御技术远远跟 不上病毒技术的发展。2 0 0 4 年5 月至2 0 0 5 年5 月，在我国由计算机病毒造成的网络安 全事件占到了整个网络安全事件的8 3 “3 。为了更好的进行计算机病毒的防治，有必要 进行计算机病毒理论的研究，其中病毒传播模型的研究具有重要的理论意义和现实意 义。一个合理的病毒传播模型不仅能够准确地预梗4 病毒带来的危害，而且能够帮助我们 找到病毒传播过程中存在的薄弱环节，从而找到更好的防御病毒的办法。本文在讨论病 毒各种传播机制的基础上，讨论了不同传播机制的病毒传播模型，针对传染病学模型的 缺点给出了一个离散的计算机病毒传播模型，并且利用我们的模型讨论了n i m d a ，w i t t y 两种蠕虫病毒的传播过程。主要内容包括： 通过对病毒历史的回颞，总结了病毒的类型及其基本特征。分析了计算机病毒的传 播途径，对于现今比较流行的和理论上的加快病毒传播的技术都进行了描述。 给出了e m a i l 网络的生成算法，讨论了不同传播机制的病毒传播模型，对于现存的 大多数的模型进行了描述，分析了它们的优缺点，探讨了我们今后的努力方向。 在分析了现存模型的优缺点，病毒感染机器所需的时间以及易感主机和已感主机 “补丁率”不同的基础上，给出了选择性随机扫描的蠕虫( s e l e c t i v e - r a n d o ms c a n n i n g w o r l l s ) 传播模型，分析了模型中各个因素对于病毒传播过程的影响，从而发现易感机器 的免疫率对于病毒的传播过程影响最大。通过与w e a v e r 的模拟数据进行比较，可以发 现模型较好的反映了病毒的传播过程。在忽略病毒感染机器所需时间的基础上，证明了 我们的模型与s m p 模型的等价性。最后用我们的模型讨论了w i t t yw o r l n 和n i m d aw o r m 的传播过程。 文章最后给出了e m a i l 网络生成算法的c 语言源程序。 关键词；计算机病毒；传播机制：e m a i l 网络；传播模型；选择性随机 墨些垄兰堡主兰堡垒墨 坐坚 r e s e a r c ho bc o m p u t e rv i r u s p r o p a g a t i o n m o d e l a b s t r a c t t h ef r e q u e n tb r e a k o u t so f c o m p u t e rv i d i sr e s u l ti nt r e m e n d o u se c o n o l n i cd e s t r u c t i o n ，b u t a n t i - v i r u st e c h n o l o g i e sl a gf a rb e h i n dd e m a n do fc o m p u t e rv i r u s f r o mm a y2 0 0 4t om a y 2 0 0 5 ，t h ei n c i d e n c e sc a u s e db yc o m p u t e rv i r u sa r r i v e da t8 3 o f a l ln e t w o r ki n c i d e n c e s i n o r d e rt oq u a r a n t i n et h ep r o p a g a t i o no fc o m p u t e rv i r u se f f e c t i v e l y , i ti sn e c e s s a r yt or e s e a r c h t h et h e o r yo fc o m p u t e rv i r u s ，a n dt h er e s e a r c ho fc o m p u t e rv i r u sp r o p a g a t i o nm o d e l si sa n e v e n to fs i g n i f i c a n c ei nt h e o r ya n dr e a l i t y ar e a s o n a b l ep r o p a g a t i o nm o d e ln o to n l yc a n f o r e c a s tt h eh a z a r dc a u s e db yc o m p u t e rv i r u sb u ta l s oh e l pl l sf i n dt h ew e a k n e s so fc o m p u t e r v i _ t - u sp r o p a g a t i o np r o c e s s ；t h e r e b yw ec a nf i n dm o r er e a s o n a b l em e t h o d st od e f e n da g a i n s t c o m p u t e rv i r u s b a s e do na n a l y s i so fc o m p u t e rv i r u sp r o p g a g a t i o nm e c h a n i s m ，w eg i v em o s t o fa l l c o m p u t e rv i r u sp r o p a g a t i o nm o d e l s c o n q u e r i n gt h ed i s a d v a n t a g e so fb i o l o g i c a l e p i d e m i o l o g y , w eg i v e ad i c r e t ec o m p u t e rv i r u s p r o p a g a t i o nm o d e la n dd i s c u s s t h e p r o p g a g a f i o np r o c e s s e so f n i m d aa n dw i t t yw o r mb a s e do nt h em o d e l t h em a i nc o n t e n t so f t h i sd i s s e r t a t i o na r ea sf o l l o w s ： f i r s t , w eh a v ear e v i e wo f c o m p u t e rv i r u sh i s t o r ya n dd i s c u s st h e 帅e sa n dc h a r a c t e r so f c o m p u t e rv i r u s c o m p u t e rv i r u sp r o p a g a t i o nc h a n n e l sa r ea n a l y z e d t h ep r a c t i c a la n d t h e o r e t i c t e e l m o l o g i e s w h i c h q u i c k e n t h es p r e a d o f c o m p u t e r v i r u s a r e p r o p o s e d ， s e c o n d ，t h ea r i t h m e t i co fe m a l ln e t w o r ki sg i v e n c o m p u t e rv i r u sp r o p a g a t i o nm o d e l s b a s e do nd i f f e r e n tp r o p a g a t i o ns t r a t e g i e sa r ed i s c u s s e d m o s to fa l l c o m p u t e rv i r u s p r o p a g a t i o nm o d e l sa r ed e s c r i b e da n dt h e i ra d v a n t a g e sa n dd i s a d v a n t a g e sa r ea n a l y z e d ， b a s e do nt h ea n a l y s i so fe x i s t e n tm o d e l s a d v a n t a g e s ，d i s a d v a n t a g e sa n dt i m en e e d e dt o i n f e c tah o s ta n dt h ed i f f e r e n c eo fp a t c h i n gr a t eb e t w e e ni n f e c t i o u sa n di n f e c t e d ，an e w s e l e c t i v e - r a n d o ms c a n n i n gw o i t l lp r o p a g a t i o nm o d e li sp r e s e n t e d w ea n a l y s eh o wt h ef a c t o r s o ft h em o d e l sa f f e c tt h es p r e a do fc o m p u t e rv i r u sa n df i n dr e m o v a lr a t eo fi n f e c t i o u sh o s t s a f f e c t st h es p r e a do fc o m p u t e rv i r u sg r e a t l y c o m p a r e do u rm o d e lw i t hw e a v e r ss i m u l a t i o n d a t a , w ef i n dt h a to u rm o d e la f f e c tt h ec o m p u t e rv i r u sp r o p a g a t i o np r o c e s sa c c u r a t e l y 。 东北大学硕士学位论文a b s t r a c t n e g l e c t i n g t h et i m en e e d e dt oi n f e c tah o s t ，w ev e r i f yt h a to u rm o d e la n ds m pm o d e la r e i d e n t i c a l a tl a s t , w ed i s c u s st h ep r o p a g a t i o nm o d e lo f w i t t yw o r ma n dn i m d aw o i t f l i na p p e n d i x ，w eg i v et h ec p r o g 譬m ao f g e n e r a t o r o f e m a l ln e t w o r k k e yw o r d s ic o m p u t e rv i r u s ；m e c h a n i s m so fc o m p u t e rv i r u sp r o p a g a t i o n ；e m a i ln e t w o r k ； p r o p a g a t i o nm o d e l ；s e l e c t i v e - r a n d o m 独创性声明 本人声明，所呈交的学位论文是在导师的指导下完成的。论文中取得 的研究成果除加以标注和致谢的地方外，不包含其他人己经发表或撰写过 的研究成果，也不包括本人为获得其他学位而使用过的材料。与我一同工 作的同志对本研究所做的任何贡献均己在论文中作了明确的说明并表示谢 意。 学位论文作者签名：丁参龟 日 期：户j 学位论文版权使用授权书 本学位论文作者和指导教师完全了解东北大学有关保留、使用学位论 文的规定：即学校有权保留并向国家有关部门或机构送交论文的复印件和 磁盘，允许论文被查阅和借阅。本人同意东北大学可以将学位论文的全部 或部分内容编入有关数据库进行检索、交流。 ( 如作者和导师不同意网上交流，请在下方签名；否则视为同意。) 学位论文作者签名：j 君亟， 导师签名 签字日期：卜矿 弓v 签字日期： 东北大学硕士学位论文 笫一章绪论 1 1 引言 第一章绪论 计算机病毒的防治是信息安全领域的重要课题之一。已有文献论证了冯诺伊曼( y o n n e u m a n n ) 体系计算机上病毒存在的原理，只要我们仍然使用冯诺伊曼体系计算机，计 算机病毒就不会因为操作系统的更改和计算机机型的改变面消失。继d o s 下的数千种 病毒之后，目前w i n d o w s 系统下的病毒泛滥就是一个很好的证明。同时，由于计算机 网络的广泛使用，计算机病毒在网络上的传播比单机闻传播的速度更快、影响面更大。 因此，计算机病毒的防治将是一个长期的复杂的过程。 计算机病毒自从诞生以来，给整个社会带来了巨大的经济损失。特别是最近几年来， 计算机病毒更是无时无刻不在威胁着互联网的安全。这些安全威胁给整个社会带来了巨 大的经济损失，美国r a d i c a t i 集团日前发表一项调查报告表明，2 0 0 3 年病毒造成的经 济损失超过了2 8 0 亿美元，2 0 0 7 年则将超过7 5 0 亿美元。从图1 1 中我们可以看出，计 算机病毒造成的经济损失几乎成线性增长，可见对于计算机病毒的研究已经到了刻不容 缓的地步。 计算机病毒造成的损失 1 r 蛮 芷 图1 。1 计算机病毒造成的经济损失 f i g i 1e c o n o m i cd a m a g ec a u s e db y c o m p u t e rv i r u s 东北大学硕士学位论文 第一章绪论 1 2 计算机病毒的历史 早在1 9 4 9 年，电脑的先驱者冯- 诺伊曼在他的一篇文章复杂自动装置的理论及组 织的行为中就提出了一种会自我繁殖的程序的可能，但没引起注意。十年之后，在贝 尔实验室中，这个概念在一个电子游戏中形成了，逸个电子游戏叫“c o r nw f 。这个游 戏由三个年轻的工程师完成，道格拉斯麦耀莱、维特+ 维索斯基和罗伯特莫里斯( 后来编 写蠕虫痣毒的莫里斯的父亲) 。 w a r 的玩法如下：双方各编写一套程序，输入同一部电脑中，这两套程序在计算机 内存中运行，并相互追杀。有时它们会放下些关卡，有时会停下来修复被对方破坏的 指令。当它们被困时，可以自己复制自己，逃离险境。因为它们都在电脑的内存( 以前 是用c o r c 做内存的) 游走，因此叫c o r e 。 这个游戏的特点，在于双方的穗序进入电脑之后，玩游戏的人只能看着屏幕上显示 的战况，而不能做任何更改，一直捌某一方的程式被另一方的程式完全“吃掉”为止。这 个游戏分成好几种，麦耀莱所写的叫“达尔文”，包含了“物竟天择，适者生存”的意思。 游戏双方用汇编语言( a s s e m b l yl a n g u a g e ) 各写一套程式，叫有机体( o r g a n i s m ) 。这两个有 机体在电脑里争斗不休，直到一方把另一方杀掉丽取代之，便算分出胜负。 另外有个叫爬行者( c r e e p e r ) 的程序，每一次把它读出时，它便自己复制一个副本。 此外，它也会从一部电脑“爬刭另一部耜它相连的电脑，很快的电脑中原有资料便被这 些爬行者挤掉了爬行者的唯一生存疑的是繁殖。为了对付爬行眷，有人便写出了“收 割者( r e a p e r ) ”，它的唯一生存目的便是找到爬行者j 把它们毁灭掉。当所有爬行者都被 收割掉之后，收割者便执行程式中最后一项指令毁灭自己，从电脑中消失。 “侏儒g ) w a r o ”并没有达尔文等程式聪明，却是个极端危险人物。它在内存中迈进， 每到第五个地址( a d d r e s s ) 便把那里储存的东西变为零，这会使得原来的程序停止。 上面的程序虽然还没有明确的命名为病毒，但是很明显它们已经具有了病毒的某些 特征。 1 9 8 3 年，k e nt h o m p s o n 当年一项杰出电脑奖得主，在颁奖典礼上，他作了一个演 讲，不但公开的证实了电臆病毒的存在，而且还告诉所有听众怎样去写自己的病毒程序。 1 9 8 3 年1 1 月3 日，f r e d 、c o h e n 博士研制出一种在运行过程中可以复制自身的破坏 性程序l e na d l e m a n ，将它命名为计算机病毒( c o m p l l l e rv i r u s ) 并在每周一次的计算机安 全讨论会上正式提出，8 小时后专家们在v a x i l h 5 0 计算机系统上运行，第一个病毒 实验成功，一周后又获准进行5 个实验的演示，从而在实验中验证了计算机病毒的存在。 圭些垄茎堡主兰! 堑垒查 一 一一一j 受二主! 茎堡 1 9 8 4 年，科学美国人( s c i e n t i f i ca m e r i c a n ) 的专栏作家a k d e w d n e y 在五月写 了第一篇讨论- c o r ew a r 的文章， 并且只要寄上两美金，任何读者都可以收到有关程 序的纲领，在自己家中的电脑中开辟战场。 在1 9 8 5 年3 月份的科学美国人里，a k d e w d n e y 再次讨论“c o r e w a r ”和病 毒。在文章的开头他便说：“当去年五月有关c o r ew a r 的文章印出来时，我并没有想 过我所谈论的是那么严重的题目”文中还第一次提到“病毒”这个名称”。他提到说， 意大利的r o b e r t oc e r r u f i 和m a r c o m o r o c u t t i 发明了一种破坏软件的方法，他们想用病毒， 而不是蠕虫，来使得苹果二号电脑受感染。c e r r u t i 写了一封信给d e w d n e y ，信内说： t m o r o c u u 想写一个像病毒一样的程式，可以从一部苹果电脑传染到另一部苹果电脑， 使其受到感染。可是我们没法这样做，直到我想到这个病毒要先使软盘受到感染，而电 脑只是媒介。这样，病毒就可以从一张软盘传染到另一软盘了。” 1 9 8 6 年初，在巴基斯坦的l a h o r e ，b a s i t 和a m j a d 两兄弟经营着一家i b m - p c 机及 其兼容机的小商店。他们编写了p a k i s t a n 病毒，即b r a i n 。在一年内流传到了世界各地。 1 9 8 8 年3 月2 日，一种苹果机的病毒发作，这天受感染的苹果机停止工作，只显示 “向所有苹粜电脑的使用者宣布和平的信息”，以庆祝苹果机生日。 1 9 8 8 年1 1 月2 日，美国六千多台计算机被病毒感染，造成i n t e r a c t 不能正常运行。 这是一次非常典型的计算机病毒入侵计算机网络的事件，迫使美国政府立即做出反应， 国防部成立了计算机应急行动小组。这次事件中遭受攻击的包括5 个计算机中心和1 2 个地区结点，连接着政府、大学、研究所和拥有政府合同的2 5 0 ，0 0 0 台计算机。这次 病毒事件，计算机系统直接经济损失达9 6 0 0 万美元。这个病毒程序设计者是r o b e r tt m o r r i s ，当年2 3 岁，是在康乃尔( c o r n e l 0 大学攻读学位的研究生。罗伯特莫里斯设计 的病毒程序利用了系统存在的弱点。由于r o b e r tt m o r r i s 是成功的入侵a r p a n e t 网 的最大的电子入侵者，而获准参加康乃尔大学的毕业设计，并获得哈佛大学a i k e n 中心 超级用户的特权。他也因此被判3 年缓刑，罚款1 万美元，他还被命令进行4 0 0 小时的 新区服务。 1 9 8 8 年底，我国统计部门发现小球病毒，这也是在我国发现的首例计算机病毒【2 】。 1 3 计算机病毒的定义及其分类 f r e dc o h e n 博士是对计算机病毒进行研究比较早的专家之一。他为计算机病毒的行 为建立了一个理论的数学模型，并且利用它来测试病毒传播的各种假设。其中f r e d c o h e n 博士对计算机病毒的一个非正式的定义为：“计算机病毒是一种计算机程序。这 东北大学硕士学位论文 第一章绪论 种程序通过修改其它的计算机程序，将其自身的一份拷贝( 也可能是演化后的拷g t ) 加载 到那些程序中，从而感染那些程序”。注意，按照此定义，将某一种程序归结为“病毒” 类时，该程序不一定必须导致直接的破坏( 如删豫数据，破坏文件等) 研。 1 9 9 4 年2 月1 8 日，我国正式颁布实施了中华人民共和国计算机信息系统安全保 护条例，在条铡第- - + 八条中明确指出【】：“计算机病毒，是指编制或者在计算 机程序中插入的破坏计算机功能或者毁坏数据，影嚼计算机使用，并能自我复制的一组 计算机指令或者程序代码。”此定义具有法律性、权威性。通过这个定义可以看出， 计算机病毒不仅包括平时所说的病毒，还应包括媛虫( w o r m ) 等恶意程序。 尽管病毒的数量非常多，表现形式也多种多样，但是通过适当的标准可以把它们分 f - j n 类地归纳成几种类型，从而更好地来了解和掌握它们。根据计算机病毒的特点和特 性，计算机病毒有多种分类方法，例如按照攻击的系统分类、按照病毒的破坏情况分类、 按照病毒的寄生部位或感染对象分类、按照病毒的激活时间分类等，根据不同的分类标 准，一种病毒可缆有多种叫法，锎如一种病毒可能有攻击w i a d o w s 系统的病毒、外壳 型病毒、恶性计算机病毒、可执行程序传染的计算机病毒等多个称谓。但一般情况下， 人们习惯按照病毒的载体来分类。按照病毒存在的载体分类，一般的可分为四类【s 】：引 导扇区病毒，文件形病毒，蠕虫病毒和混合型病毒。 1 、引导区病毒：此类病毒存放在软盘引导区，硬盘主引导区移引导区。由于病毒在操 作系统启动前就加载到内存中，具有操作系统无关性，可以感染所有的x 8 6 类计算机。 因此这类病毒将长期存在。 2 、文件型病毒，此类病毒以文件形式存在，是目前流行的主要形式。其中根据操作系 统不同，又分很多类，如d o s 类病毒、w i n d o w s 类病毒、l i n u x 类病毒等等。这些病毒 跟操作系统紧密相关。d o s 类瘸毒在d o s 下面传播的很i 鸷猛，但在w i n d o w s 平台上已 经很少了，最新的w m d o w s6 4 已经不再支持1 6 位程序了，这类病毒已经走到了尽头。 3 、蠕虫病毒：以网络为载体，如去年流行的s q l 杀手。当然，纯粹网络蠕虫病毒比较 少。 4 、混台型病毒t 病毒分类没有完全清晰的划分，很多病毒为了达鳓广泛传播的目的， 通常采用更多的方式。如3 7 8 3 病毒，可以感染戮导区、d o s 程序、w m d o w s 程净；丙 w m u x 病毒则可以感染w i n d o w s ，也可以感染l i a e x ；大部分网络蠕虫病毒也是文件型 病毒。 生些查兰璺主堂壁垒圭一苎二主! ! 鱼 1 4 计算机病毒的基本特征 计算机病毒一般具有以下特性： 1 非授权可执行性。用户通常调用执行一个程序时，把系统控制权交给这个程序，并 分配给他相应系统资源，如内存，从而使之能够运行完成用户的需求。因此程序执 行的过程对用户是透明的。而计算机病毒是非法程序，正常用户是不会明知是病毒 程序，而故意调用执行。但由于计算机病毒具有正常程序的一切特性：可存储性、 可执行性。它隐藏在合法的程序或数据中，当用户运行正常程序时，病毒伺机窃取 到系统的控制权，得以抢先运行，然而此时用户还认为在执行正常程序。 2 隐蔽性。计算机病毒是一种具有很高编程技巧、短小精悍的可执行程序。它通常粘 附在正常程序之中或磁盘引导扇区中，或者磁盘上标为坏簇的扇区中，以及一些空 闲概率较大的扇区中，这是它的非法可存储性。病毒想方设法隐藏自身，就是为了 防止用户察觉。 3 传染性。传染性是计算机病毒最重要的特征，是判断一段程序代码是否为计算机病 毒的依据。病毒程序一旦侵入计算机系统就开始搜索可以传染的程序或者磁介质， 然后通过自我复制迅速传播。由于目前计算机网络日益发达，计算机病毒可以在极 短的时间内，通过互联网传遍整个世界。 4 潜伏性。计算机病毒具有依附于其他媒体而寄生的能力，这种媒体我们称之为计算 机病毒的宿主。依靠病毒的寄生能力，病毒传染合法的程序和系统后，不立即发作， 而是悄悄隐藏起来，然后在用户不觉察的情况下进行传染。这样，病毒的潜伏性越 好，它在系统中存在的时间也就越长，病毒传染的范围也越广，其危害性也就越大。 5 表现性或破坏性。无论何种病毒程序一旦侵入系统都会对操作系统的运行造成不同 程度的影响。即使不直接产生破坏作用的病毒程序也要占用系统资源( 如占用内存 空间，占用磁盘存储空间以及系统运行时间等) 。而绝大多数病毒程序要显示一些 文字或图像，影响系统的正常运行，还有一些病毒程序删除文件，加密磁盘中的数 据，甚至摧毁整个系统和数据，使之无法恢复，造成无可挽回的损失。因此，病毒 程序的副作用轻者降低系统工作效率，重者导致系统崩溃、数据丢失。病毒程序的 表现性或破坏性体现了病毒设计者的真正意图。 6 可触发性。计算机病毒一般都有一个或者几个触发条件。如果满足其触发条件或者 激活其传染机制，那么其便进行传染或者激活病毒的表现部分。触发的实质是种 条件的控制，病毒程序可以依据设计者的要求，在一定条件下实施攻击。这个条件 条件的控制，病毒程序可以依据设计者的要求，在一定条件下实施攻击。这个条件 东北大学硕士学位论文 第一章绪论 可以是敲入特定字符，使用特定文件，某个特定日期或特定时刻，或者是瘸毒由置 的计数器达到一定次数等。 1 5 计算机病毒的研究现状 为了更好的对计算机病毒进行防治，我们有必要进计算机病毒理论的研究。其中计 算机病毒传播模型的研究具有重要的理论和现实意义。在1 9 8 3 年f r e dc o h e a 搏士适实 了计算机病毒的存在。1 9 8 6 年产生了第一个真正意义上的计算机病毒b r a i n 后，人们就 开始了对计算机病毒的研究。1 9 8 7 年f r e dc o h e n 搏对病毒进行了黎形式描述i1 9 8 8 年爆发的m o r r i s 蠕虫病毒吸引了一批研究人员对m o r r i s 做了分析讨论，以e u g e n eh s p a f f o r d 等人为代表给出了m d m i s 筒详尽分析蹲删。在这之后由于没有大规模的病毒辣 发，计算机病毒的研究也就陷入了低潮。1 9 9 3 年k e p h a r tj o w h i t es ，硅根据生物传 染病学模型建立了第一个完整的计算机病毒传播模型m “。这时虽然建立了计算机病毒 的传摄模型，但是对予计算机病毒的研究并没有引起足够毋勺重视。近年来，由于计算机 病毒的大面积爆发( 1 9 9 9 年m o u i s a ，2 0 0 0 年i l o v e y o u ，2 0 0 1 年c o & r e d ，2 0 0 2 年n i m d a ， 2 0 0 3 年s q l ，s l a m _ m e ，2 0 0 4 年w o r m s a s s e r ) 计算机病毒的研究逐渐的成了人们研究的 热点问题。 1 9 9 7 年k e p h a r tj 0 和s o r k i ng b ，等人给出了个计算机免疫系统的初步的模型 i t 2 。并且在实验室中实现了其部分的功能。1 9 9 8 年s t e v ej 乙w 呼吁加大对于蠕虫病毒的 研究f 1 3 1 ，他指出目前的研究部是针对文件系统的，对于蠕虫病毒不再适用。2 0 0 0 年融m 开展了i a nw h a l l o y 项目【1 4 1 ，目的是开发一个针对所有利用网络传播的病毒的检测和分 析的软硬件环境。与此同时s t e p h a n i e f o r r e s t 等人根据生物免疫的恩想，提出了“自我” 和“非我”辨别法，来研究计算机免疫系统【肌埘。 2 0 0 1 年s t a n i f o r d 等人根据c o d e r e d 爆发时的数据，利用传撂病学模型建立了一个 病毒传播模型i 墟】，这个模型反映了病毒传播初期帕情况。桩这个模型的基础上考虑了一 些人为的因素对子病毒传播过程越影响，z o u c c 鳃长誊l 戆人提出了双因襄( 蛔口f a c t o r s ) 模型 1 9 0 。另外，z o u c c ，t a k e s h io l 蝴n o 恤等人还考虑了l m a i l 病毒的传播过穰，给出 了e m a i l 病毒的传播模型t a a - 2 q 。g i 璐e p 弦等人在考惠了两始中存在瘸络堵塞褐情况给 出了基于分组的病毒传播模型( e o m p a r t n 硇e n t - b a s e d t i ( 成耵1 。上述模型都是连续模型， c h e nz 等人还给出了个离散承病毒传播横型牡3 l ， 根据这些传播模型，人们提出了不同的防御病毒的方法。z o uc c 等人提出了主机 隔离的方法l 。根据主机在感染了病毒君擎无效的连接”会增加的特点，s h i g a n gc h e n 垒! ! 垄兰堡主兰堡垒墨 一! 二! 燮 等人提出了一种减少机器的连接数的办法，以此来减缓病毒的传播速度【2 5 1 。另外，根据 e m a i l 网络的特点，z o uc c 等人还提出了特点节点的免疫法【2 。j 。 国内对于计算机病毒理论的研究比较少。文伟平，卿斯汉等人给出了一个蠕虫病毒 的进展情况的综述 2 6 1 。另外，武汉大学的梁意文等人提出了基于用户行为的计算机免疫 系统唧。虽然目前国内对于病毒的研究比较少，但是随着病毒带来的危害越来越大，我 想今后会有越来越多的人加入到计算机病毒的研究行列。 1 6 本文的章节安排 第一章绪论，介绍了计算机病毒研究的必要性，计算机病毒的历史、计算机病毒的 定义，计算机病毒的基本特征以及计算机病毒领域的研究现状。 第二章计算机病毒的传播机制，在这章中我们介绍了计算机病毒的传播途径，传播 机制，以及一些加快病毒传播速度的方法。 第三章计算机病毒的传播模型，介绍了e m a i l 网络的生成算法，在此基础上进一步 研究了e m a i l 病毒的传播模型；介绍了基于随机扫描的蠕虫病毒的传播模型，并且对它 们的优缺点进行了分析。 第四章基于随机扫描的病毒传播模型，在克服了现有模型的缺点的基础上，给出了 一个离散的病毒传播模型。通过与实际的数据进行比较发现我们的模型较好的模拟了病 毒传播过程，进一步的分析了模型中各个因素对于病毒传播过程的影响。另外，我们还 对模型做了进一步的推广，用来考虑基于选择性随机扫描传播的病毒的传播模型，通过 与w e a v e r 模拟的数据进行比较可以发现，我们的模型较好的模拟了这类病毒的传播过 程。最后，用我们的模型讨论了w i 竹w o r m 的传播过程。 第五章结束语，对全文做了总结，指出了本文的创新点。讨论了进一步的研究方向。 东北大学硕士学位论文 第二章计算机病毒的传播机制 第二章计算机病毒的传播机制 2 1 计算机病毒的传播途径 通过第一章的介绍我们知道计算机病毒的基本特征之一就是具有极强的传染性，然 而病毒是如何从一台机器传染到另一台机器上的呢? 每采上计算机病毒都主要是通过 以下三种途径传播【2 8 】：1 通过磁盘、u 盘、移动硬盘等可以移动的存储介质传搔。当 一个移动的存储介质在一台已感染机器上使用时，该介质就会被病毒感染，当该介质在 另一台易感机器上使用时，易感机器就会被感染，这样就完成了一个传染过程。2 利 用现今广泛使用的互联网进行传播，现今的计算机病毒主要利用互联网进行传播，所以 互联网病毒将是我们讨论的重点。3 利用无线电等无线通讯介质进行转播。虽然这种 病毒现今还不多，但是已经出现端倪，比如手机病毒。c a b i r ”，就是利用了手机中的蓝 牙技术进行传播【2 9 】。 2 2 计算机病毒的传播机制 同样是利用互联网进行传播“i l o v oy c l u ”与“c o d er e d ”有仟么区别昵? 为什么 “c o d er e d ”的传播速廉要比“il o v ey o u ”快昵p o 】? 这是由它们所利用的传播机制决 定的。同样是利用互联网进行￥章播，雠其利用的传播机制基本上可吐分为四类p l ；1 利 用随机扫描进行传播 2 利用局域鼹中的管理员的谈、写权限进行传播3 利用邮箱 中的地址列表进行传播；4 利用两个自g 箱之间的通讯信息进行传播。 互联f 5 蕈上的每台：主机都有一个3 2 位的i p 地址，并且在理论上讲每两台主枫之间都 是可以通信的，第一种传播机制就是利用了这一牦点进行传播的。病毒可以随机的产生 i p 地址，并试着连接该毋地址黻机，如果连接成写k 就可以感染该主枫了。有许多 的蠕虫病毒都利用了这种传撰机确，比较有名的有n i m 4 晚s q l s l a m m e r 等。 第二种传播机制是由于大部分的局域网中都允许有一个管理员，并且允许管理员进 幸亍磁盘的读写等操作。如果瘸毒能够获褥管理员的读写极限，黪么它就可以把自，身从一 个磁盘复期到另一个磁盘，选样该管理贯所管辎的所有主枫都会被感染。n i m d a 、b t t g b e a r 就可以甩这种方式进行传播。 第三种传播机制的传播过程如下：如果一个邮箱辫表中有另外一个邮箱的地址；麟 表明这两个邮箱之间可以通揎。这样瘸毒就可以秘用这种通信从一个邮箱传播到另外一 8 - 东北大学硕士学位论文 第二章计算机病毒的传播机制 个邮箱，比如“il o v ey o u ”等。第四种传播机制和第三种类似，只有当两个邮箱在最 近的一段时间有过信息的往来才能够相互通信。k l e z e 等病毒就利用这种传播方式。 虽然我们给出了四种不同的传播机制，但是需要指出的是，为了加快病毒的传播速 度，大部分的病毒都不是单纯的利用一种传播机制来传播，而是综合利用了不同的传播 机制。比如在2 0 0 1 爆发的n i m d a 病毒就利用了至少三种传播方式1 3 2 1 ：1 通过电子邮 件进传播：2 随机的产生p 地址来传播； 3 通过一些网络共享来传播，如果在某些 局域网中不能够阻止一些非法的进入，那么病毒就会趁机进入，感染该网络中的机器。 这样，即便是在某些环境下，某种传播方式的条件不存在了，仍可以利用别的传播方式 进行传播，这样就大大地加快了传播速度。 2 3 病毒的扫描策略 通过上面的介绍我们知道蠕虫病毒的一种主要的传播机制是随机扫描，但是蠕虫的 扫描策略都有哪些呢? 蠕虫利用系统漏洞进行传播首先要进行主机探测。 c m pp i n g 包 和t c p ，s y n ，f i n ，r s t 及a c k 包均可用来进行探测【3 3 1 。良好的扫描策略能够加速 蠕虫传播，理想化的扫描策略能够使蠕虫在最短时间内找到互联网上全部可以感染的主 机。按照蠕虫对目标地址空间的选择方式进行分类，扫描策略包括：选择性随机扫描、 顺序扫描、基于目标列表的扫描、分治扫描、基于路由的扫描、基于d n s 扫描等闭。 2 4 几种加快病毒传播速度的技术 1 已经实现的二种技术 在本部分我们将结合c o d er e d 和n i m d a 两种病毒来谈一下已经实现的两种加快病 毒传播速度的技术。 1 ) 选择性随机扫描 c o d er e di i 蠕虫病毒是2 0 0 1 年的8 月4 号释放到i n t e r n e t 网上的，并且迅速的传播 开来。它会感染运行了m i e r o s o ri i 的w i n d o w s2 0 0 0 系统，而对于那些运行亍m i c r o s o t r i i 的w i n d o w sn t 系统，将会造成系统的崩溃【瑚。 该病毒就是利用随机的产生i p 地址进行传播的。但是在其随机的产生i p 地址过程 中，却是选择性的随机 1 司：在3 8 的时间产生的i p 地址的前1 6 位与病毒所在主机的m 地址的前1 6 位相同，在1 2 的时间产生的地址的前8 位与所在主机的i p 地址的前8 位相同，只有l 8 的时间产生的m 地址才是真正的随机。 事实证明这种传播策略是成功的，一般的在同一个p 段内的主机其空间距离也很 东北大学硕士学位论文 第二章计算机病毒的传播机制 近，而且大部分运行着相同的软件，这样当一台主机被感染后，周围的其它主机也很快 的被感染。这种策略对于防火墙也具有抵制作用，由于它优先选择本地的主机，那么一 台主机被感染后，大部分时间产生的i p 地址就会在同一防火墙内，这样在传送病毒副 本时就没有璺要绕过防火墙，极大的加快了传播的速度，而且也不会引起人们的注意， 增加了隐蔽性。 2 ) 多种传播方式的混合 一种病毒可以运用多种传播途径进行传播，从而增加人们“查杀”的难度，延长其 在网上活动的时间。通过2 2 节的介绍知n i m d a 病毒就至少利用了4 种传播方式。 通过图2 1 可以看出，n j l n d a 病毒扫描的速度增长的如此之快，从一开始传播到达到 1 0 0 次每秒的速度仅仅用了一个半小时。为了避免与c o d e r e d 产生a n t p 连接相互混淆， 在收集数据时只有确认是从感染了n i m d a 病毒主机发出的连接才会计算在内。这样虽然 保证了数据的可靠性，但是却有许多n i m d a 病毒发出的h t i p 连接未被计算在内，后来证 明事实上的扫描数是得到的数据的3 倍还多 图2 1 在l a w r e n c eb e r k e l e yn a t i o n a ll a b o r a t o r y 实验室密察到的数据l l l i 。其中横坐标表示 观察的时间2 0 0 1 年的9 月1 8 号的6 点到3 点，纵坐标表示每秒观察到的h r r p 的连接数 f i g 2 1h t t p c o m 日o n sp c rs e n d s n 址t k “m b e r k e l e y n a t i o n m l a b o r a t o 帮, r i s i n g d u e t o t h e o n s e t o f n i m d a , s c p t e m l k r l 8 目前一般的防火墙对于e m 面i 不鲤过检蠢就允许通道，朊以e m a i l 的安全就依赖于 e m a i l 服务商的安全检滔，但是且嚣勖嘲枷l 务商豹检涓魄镪| 还是依赖于“特征码”，这 样在病毒开始传播时通过e m 8 i i 这一方法很容茹的绕过了糖火墙的陂拦到达了局域鼹韵 内部。 2 理论上的几种技术 东北大学硕士学位论文 第二章计算机病毒的传播机制 除了前面已经实现了的两种技术外，还有几种目前没有实现，但是从理论上已经得 到证实了的技术，这几种技术同样也可以大大的加快病毒的传播速度或者增加传播过程 的隐蔽性。除了比较明显的找到更多的安全漏洞和增加扫描率外，还有下面的四种方法 可供我们使用 1 8 i ：1 h i t - l i s ts c a n n i n g ：2 p e r m u t a t i o ns c a n n i n g ；3 t o p o l o g i c a l l ya w a l - e w o l - l l l b ：4 i n t e m e ts c a l eh i t - l i s t 。这几种方法同样也可以加快病毒的传播速度。 如果人们更好的利用多线程技术和网络传输协议，可以很容易的使得病毒的扫描速 度加快。在目前的网络情况下，很容易使病毒的扫描速度达到每秒1 0 0 次。这样每单位 时间找到的易感机器数就会变大，使得病毒传播速度加快。如果人们可以找到使用更广 泛的软件的安全漏洞，利用其来传播同样可以增加病毒的传播速度。这是因为每次扫描 “击中”易感机器的概率大大的增加了，所以加快了病毒传播的速度。 2 5 结论 本章介绍了计算机病毒的传播途径、传播机制、扫描策略以及加快计算机病毒传播 的几种技术。通过这几个方面的介绍，我们已经了解了病毒的传播过程及其传播机制。 从理论上讲病毒可以在3 0 秒内感染互联网中的全部易感主机【1 8 】，目前比较成熟的“特 征码”法杀毒，显然对于这种病毒不能够起到什么大的作用，这就要求我们找到更好的 预防病毒的方法，在下一章我们将重点的介绍几种病毒的传播模型，并且分析一下这些 模型的优缺点，从而帮助我们找到更能准确反映病毒传播过程的模型。 东北天学硕士学位论文 第三章计算机病毒传播模型 3 1 引言 第三章计算机病毒传播檩型 一个理想的模型不仅能够准确的预测病毒造成的危害而且能够帮助我们找出病毒 在传播过程中存在的薄弱环节，以便于找到更好盼防治病毒的办法。第一个完整的计算 机病毒传播模型是由k e p h a r tj ，0 ，w h i t es r 建立【9 l 。这个模型的基本假设，目前仍在深 涤地影响着人们建立的模型。 传染病学模型中把个体分为了以下三种状态：“易感态( s u s c e p t i b l e ) ”，“已感态 ( i n f e c t e d ) ”，“免疫态( r e c o v e r e d ) ”。通常一个模型的类型是由该模型中个体状态的变化 决定的。比如在一个模型中个侉是有s u s c c p t i b l e 到i n f e c t e d 再到r e e o i v e r c d ，那么这 个模型就称为一个s i r 模型，盎睁果在一个模型中主杌是由s u s e e p t i b l o 到i n f e c t e d 再到 s