（计算机软件与理论专业论文）一种新的计算机病毒免疫模型.pdf

一种新的计算机病毒免疫模型 专业计算机软什与理论 研究生陈桓指导教师李涛 7 7 9 0 9 7 而t e r n e t 的快速发展使计算机病毒的数量急剧增加，传播更加便捷和迅速。 传统的病毒检测技术无法适应这些新变化，有效地防御病毒。对计算机病毒， 特别是未知病毒的实时防御是现在急需解决的问题。模拟使用生物免疫机制的 人i ：免疫系统( 爿瓜ja r t f 触抽f 慨m u n es y s t e m ) 是解决该问题的一个方向。1 9 9 4 午，人工免疫系统研究的奠基者s f o r e s t 首次将免疫机制应用于计算机病毒检 测，在这之后计算机病毒免疫系统( c v i s ：c t 0 m p u t e r 所r 淞砌m u n e s 坩御”) 研究 取得篷勃发展，s h o m e y r 、j 0 k e p h a n 、e h a r m e r 、t o k m n o t o 等人先后提出了 一系列计算机病毒免疫模型。但是，这些现有的c 并没有取得广泛的实际应 用，其丰要原因是现有的c v i s 几乎均缺乏严格的定量描述，并且存在自体庞大、 成熟检测器生成效率较低等缺陷。 针对现有c 嚣中存在的缺陷，本文提出一种新的计算机病毒免疫模型。建 立了模型的定量描述。给出了自体、非自体的动态演化模型，解决的自体、非 自体的动态描述问题，有效地降低了自体集合的大小。引入了针对病毒检测问 题的基因进化和编码机制，提高了成熟检测器的牛成效率，降低了系统的时间 开销，同时确保不完备的自体集合下较低的错误甭定率和错瀑肯定率。 具体来说，本文的主要贞献有： 建立了一个定量动态模型，给出了自体集合，抗体基因库，未成熟检测 器，成熟检测器，心| 乙检测器的动态演化模型； 建立了白体、非自体的动态演化模型，解决了计算机病毒检测中的自体、 f 自体的动态描述问题： 引入了针对病毒检测问题的基因进化和编码机制提高了成熟检测器的 ，上成效率，降低了系统的时间丌销，同时确保小完备的白体集合卜较低 的错误否定率和错误肯定率。 关键词：计算机病毒人t 免疫克隆选择否定选择免疫记忆免疫应答 an e wi m m u n em o d e lf o rc o m p u t e rv i r u s e s m a j o rc o m p u t e rs o f t w a r e t h e o r y s t u d e n tc h e nh u g ha d v i s o rl it a o c o m p u t e rv i r u s e sa n dw o r m sa r ea ni n c r e a s i n gp r o b l e mt h r o u g h o u tt h ew o r l d b e c a u s eo ft h e i rn e we v o l u t i o nt r e n d si n c l u d e sg r o w i n gb i r t hr a t ea n dv e r yr a p i d s p r e a d i n gs p e e d t r a d i t i o n a ld e t e c t i o nt e c h n i q u e sa r ef a i l e dt od e f e a ts u c hc o m p u t e r v i r u s e se f f e c t i v e l y a ne m e r g e n tp r o b l e mt o d a yi st of i n dar e a l t i m es t r a t e g yt od e f e a t c o m p u t e rv i r u s e s ，e s p e c i a l l yn e w v i r u s e s t h ea r t i f i c i a lh m n u n es y s t e m ( a s ) w h i c h s t i m u l a t e st h eb i o l o g yi m m u n es y s t e m ( b s ) i sa ni n v e s t i g a t i v eh o t s p o tb e c a u s eo fi t s p o t e n t i a lc a p a b i l i t yt o s o l v et h i s p r o b l e m m a n yr e s e a r c h e r s s u c ha ss f o r r e s t s h o m e y r , k e p h a r t ，a r ei n v o l v e di n t ot h i s f i e l da n db r i n gu pas e r i e so fc o m p u t e r v i r u sh n m u n es y s t e m s ( c v l s ) h o w e v e r ，s o m el i m i t a t i o n s ，s u c ha st o oh u g es e l f u n i v e r s ea n dl o wg e n e r a t i n ge f f i c i e n c yo f m a t u r ed e t e c t o r s ，m a k ei th a r dt op u tc u r r e n t c v i si n t op r a c t i c e i no m e rt of e t c hu pt h e s el i m i t a t i o n s ，an e wi m m m l em o d e lf o rc o m p u t e rv i r u s i n s p i r e db yb i o l o g yi m m u n es y s t e mi sp r o p o s e di nt h i sp a p e r q u a n t i t a t i v ed e s c r i p t i o n o ft h em o d e li s g i v e n t h ep r o b l e mo fd y n a m i ce v o l u t i o no fs e l fa n dn o n s e l fa r e s o l v e dw h i c hr e d u c e st h es i z eo fs e l fu n i v e r s ee f f e c l i v e l y m o r e o v e r , an e wm e t h o d f o ri r m n a t u md e t e c t o rg e n e r a t i o ni s p r o p o s e db yu s i n ge v o l u t i v eg e n el i b r a r y i t i m p r o v e st h eg e n e r a t i n ge f f i c i e n c yo fm a t u r ed e t e c t o ra n dk e e p sf a l s e n e g a t i v ea n d f a l s e p o s i t i v ea tar e a s o n a b l el e v e l s p e c i f i c a l l y , t h ec o n t r i b u t i o no ft h ed i s s e r t a t i o ni n c l u d e s ： e s t a b l i s h i n gad y n a m i ca n dq u a n t i t a t i v em o d e l ； g i v i n gad y n a m i cm o d e lo fs e l ft os l o v et h ep r o b l e mo ft h ed y n a m i c r e p r e s e n t a t i o no fs e l fi nar e a l - t i m ee n v i r o n m e n t ； p r o p o s i n gan e wm e t h o d f o ri m m a t u r ed e t e c t o rg e n e r a t i o nb yu s i n g e v o l u t i v eg e n el i b r a r y i ti m p r o v e st h eg e n e r a t i o ne f f i c i e n c yo fm a t u r e d e t e c t o ra n d k e e p sf a l s e n e g a t i v e r a t ea n d f a l s e p o s i t i v e r a t e a ta r e a s o n a b l e1 e v e l k e y w o r d s ：c o m p u t e rv i r u s ，a r t i f i c i a li m m u n es y s t e m ，c l o n es e l e c t i o n ，n e g a t i v es e l e c t i o n ， i m m u n em e m o r y , i m m u n er e s p o n s e p u 川大学硕十学位论文 1 绪论 本章首先介绍了本课题的背景和国内外的研究状况，然后介绍了本文的课 题来源和主要工作，最后给出了本论文的结构和安排。 1 1背景和研究状况 随着计算机应用的普及以及i n t e r n e t 的快速发展，计算机病毒的数量急剧增 加i l j ，传播更加便捷和迅速，例如，s s t a n i f o r d 描述了一种能够在3 0 秒感染整 个i n t e r n e t 网的蠕虫病毒【2 j ，这就要求对计算机病毒，特别是未知病毒实施实时 的防御，而传统的病毒检测技术f 3 ，4 j 】无法有效地解决该问题。为解决这个问题， 近年来，一些研究者通过研究网络拓扑结构以及病毒在网络上传播机制1 6 7 ，e ， 提出一些限制病毒传播的方法1 0 , 1 1 , 1 2 , 1 3 , 1 4 ，这些方法能够降低病毒的传播速度， 为防御病毒争取时间，但是它们只能限制而无法阻止病毒传播【l ，在网络节点 ( 单个主机) 上对未知病毒实施实时防御的问题依然没有解决。 计算机病毒检测中遇到的问题与生物免疫系统( b 1 s ：b i o l o g i c a li m m u n e s y s t e m ) 遇到的问题极为相似，b 1 s 使用一系列免疫机制l l 5 】有效解决了该问题， 所以模拟使用免疫机制的人工免疫系统( a r t i f i c i a li m m u n es y s t e m ：a 1 s ) 1 6 j 7 , 1 8 , 1 9 是解决该问题的一个方向，成为近年的研究热点。s f o r r e s t 是人工免疫系统研究 的奠基者，在九十年代做了许多丌创性的研究丁作 2 0 , 2 1 , 2 2 , 2 3 , 2 4 1 ，1 9 9 4 年她提出一 种使用免疫否定选择机制的计算机病毒检测方法【2 ”，首次将免疫机制应用于病 毒检测，在这之后计算机病毒免疫系统( c v l s ：c o m p u t e rv i r u s l m m u n e s y s t e m ) 研究取得蓬勃发展，其中最重要的工作是s h o m e y r 的a r t i s 通用架构【2 犯n ”1 和 i b m 实验室j o k e p h a r t 等人提出的计算机病毒免疫模型【2 8 ，2 9 - 3 叫。a r t i s 是对 s f o r r e s t 早期工作的发展，b i s 有关概念和机制在该模型中都得到很好的体现， 例如白体、非自体、检测器( 检测器) 、自体耐受、克隆选择、自体耐受以及协 同刺激等。大多数后来发布的c v i s 的设计思想均源于a r t l s ，比如t o k a m o t o 与y 1 s h i d a 的计算机病毒检测系统 3 1 , 3 2 j ，e h a r m e r 和g b l a m o u t 的结合a g e n t 技术的计算机病毒免疫架构 3 4 , 3 5 1 以及r u n es c h m i d tj e n s e n 的结合h m m 技术 3 6 , 3 7 的计算机病毒免疫模型【3 8 1 。而i b m 实验室的计算机病毒免疫模型与a r t i s 四川大学硕士学位论文 不同，基于时问效率及实际应用方面的考虑，它采用一些生物免疫机制但是没 有完全模拟b i s ，同时在其中结合使用了陷阱技术口0 1 和特征码自动分析2 9 1 等技 术。 虽然c v l s 的研究取得的很大的发展，并取得了一定的实际应用，但是由于 现有c v i s 系统还存在一些缺陷，从而阻碍了c v i s 的进一步应用，其中最主要 的就是系统的时间效率和检测率、错误率( 错误否定和错误肯定) 之间的矛盾： 由于c v i s 中自体库过于庞大，并且成熟检测器的训练代价与自体集合的大小呈 指数关系1 2 “，从而直接造成了时间效率低下，而如果减少自体库的大小那么就 会造成系统的检测率下降、错误肯定率上升。在a r t l s 的应用系统l i s y f f t 3 9 的实 验过程中，s h o f m e y r 等人在5 0 天的时间内就收集了2 3 0 多万个自体，从而使 耐受工作变得不可行。迫不得已，l s y s 实验仅仅对7 中网络攻击进行检测，并 经过分类最终选定了3 9 0 0 多个自体进行耐受处理。这实际上就是牺牲系统的识 别能力来换取时间效率，如果增加检测对象，自体集合将会急剧增加，从而使 实际应用不可行。而在i b m 实验室的病毒免疫系统中，由于耐受处理的时间代 价过高，不得不改变原来进行分布式防御的初衷1 4 0 1 ，将耐受处理和训练放在一 个固定的分析中心中进行，这使系统有效可行，但是这种方法实际上使客户机 对未知病毒的反应延迟，更为严重的是，一旦分析中心崩溃或者分析中心和客 户机失去联系就客户机就无法对未知病毒进行防御。 另外在现有的这些模型中的自体、非自体的描述是静态的，一旦定义就很 少变化。而实际的计算机软件系统是不断变化的，并且自体和非自体之间经常 发生角色互换( s h o m e y r 也认为这是a r t l s 模型存在的缺陷 2 7 1 ，但是没有给出 具体的解决策略) 。因此需要随着时间的变化来调整自体的定义。静态自体和非 自体的描述模型，不能适应真实环境下计算机病毒检测的需要，缺乏较好的适 应性。 1 2课题来源 本课题足计算机学院李涛教授主持的国家自然科学基金( n o 6 0 3 7 3 1 1 0 ) 、教 育部博士点基金( n o 2 0 0 3 0 6 1 0 0 0 3 ) 课题“大规模网络入侵动态取证、实时风险 检测与控制技术”的子课题，也是四川大学计算机网络与安全研究所( n i s e c ) 的众 多课题之一，n i s e c 长期致力于计算机网络与安全、电子商务电子政务、智能 一2 一 旧川i 大学硕上学位论文 信息系统等领域的理论与技术的研究。 1 3 论文的主要工作 本文提出一种新的计算机病毒免疫模型。主要工作如下： 1 )阐述了国内外计算机病毒免疫系统的研究现状： 2 ) 给出了模型的定量描述。建立了自体、非自体的动态演化模型，解决 的自体、非自体的动态描述问题，有效地降低了自体集合的大小。 3 )引入了针对病毒检测问题的基因进化和编码机制来提高的成熟检测器 的生成效率，降低了系统的时间开销，并确保在不完备的自体集合下 较低的错误否定率和错误肯定率。对模型性能进行了理论分析，讨论 了模型中使用的参数对模型性能的影响； 4 )对模型进行仿真，测试了模型的检测能力、错误率并与现在常用模型 a r t l s 模型进行了比较。给出了实验的目的以及实验环境的设定，并 对实验结果进行了详细的分析：讨论实验结果的合理性、产生该结果 的原因并与前面的理论分析进行比较。分析和比较结果表明，与传统 模型相比较，本模型具有更好的适应性； 5 )讨论了模型的主要特性，给出现在模型中一些还没有解决的问题，论 述了本模型可能的其它应用领域。并讨论了现阶段免疫机制不能非常 有效地在实际应用中取得成功的深层次原因，在此基础上对可能的研 究工作进行了展望。 1 。4 论文结构 本文首先介绍了计算机病毒及其检测技术；然后给出了现代病毒检测中急 需解决的问题，阐述了能够解决这些问题的免疫机制，并给出了免疫机制在病 毒检测中的应用状况；接着针对现有计算机病毒免疫系统中的缺陷提出了一个 新的计算机病毒免疫模型；最后通过实验和分析论证了模型的特性。具体结构 如下： 第一章，( 即本章) 讲述课题背景、课题来源及本文工作。 第二章，介绍了计算机病毒及其检测技术。 3 四川大学硕士学位论文 第三章， 第四章， 第五章， 第六章， 介绍了免疫机制及其在计算机病毒检测中的应用。 设计了本文提出的计算机病毒免疫模型。 对模型进行实现并对结果进行分析。 全文的总结和讨论。 4 删川大学硕士学位论文 2 计算机病毒和病毒检测 本章介绍了计算机病毒和传统病毒检测技术。首先在2 1 节给出了计算机病 毒的定义1 3 a i i ，发展历史1 4 2 _ 3 1 ，分类i ”a 4 , 4 5 i ，基本原理 3 , 4 3 , 4 6 1 ，特点以及发展趋势 4 3 a 7 , 4 8 1 。紧接着在2 2 节中给出了目前还在广泛使用的传统病毒检测技术：特征 码扫描 4 3 , 4 9 , 5 0 , 5 1 1 ，校验和1 4 3 5 2 , 5 3 , 5 4 ，行为监控 4 3 , 5 5 , 5 6 , 5 7 1 以及其它一些高级技术 5 8 , 5 9 6 0 , 6 1 6 2 , 6 3 1 。并且在2 2 节开头给出了病毒检测问题的一些理论研究成果 舯l ，4 6 ，6 4 ，6 5 ，6 6 ，6 7 ，6 8 ，6 9 1 2 1 计算机病毒 2 1 1 定义 虽然计算机病毒从计算机诞生开始就有了雏形，但是直到1 9 8 8 年的“m o r r i s 蠕虫”事件1 7 叫之后才引起学术界的广泛的关注。第一个比较权威并且被许多专 家认可的定义是f r e dc o h e n 给出的【3 一l 】：计算机病毒是一种程序，它能够通过修 改其它程序并在其中加入病毒的演化版本的方法传染其它程序。 在国内，中华人民共和国计算机信息系统安伞保护条例1 7 l 】中将计算机定 义为：计算机病毒指编制或者在计算机程序中插入的破坏计算机功能或者毁坏 数据，影响计算机使用，并能够自我复制的一组计算机指令或者程序代码。该 定义是目前国内对计算机病毒的权威定义。 与计算机病毒相近的是特洛伊木马f 7 2 】和网络蠕虫 7 2 , 7 3 。特洛伊木马是一种 有一个明显的功能，同时又有一个隐含的功能的程序。而蠕虫是一种能够自我 复制并能够主动传播的程序。木马与病毒的主要区别是前者不具有传染性，不 能自动传播。而蠕虫与病毒的主要区别是蠕虫没有宿主是一个独立的能够主动 传播到其它机器。除此之外还有其它一些恶意程序h “。在后面的章节中，由于 这些恶意程序的检测技术大体相同，都统称为计算机病毒。 一5 四川大学硕士学位论文 2 1 2 历史 虽然最早的计算机病毒是7 0 年代早期的时候出现在i b m 3 6 0 3 7 0 上的，但 是计算机病毒的思想却可以追述到4 0 年代计算机刚诞生的时候。1 9 4 9 年j o l i n v o n n e u m a n n l 7 4 , 7 5 , 7 6 就提出了自我复制的数学自动机模型，并于1 9 5 1 年给出了一 种实现它的一种方法。1 9 5 9 年英国科学家l i o n e lp e n r o s e 【7 7 】提出了另外一种自我 复制机器，它具有活性，能够繁殖，变异和攻击，这是计算机病毒的数学模型。 文章发表不久f r e d e r i c kgs t a h l t7 2 就用i b m 6 5 0 的机器语言实现了该模型。1 9 6 2 年美国贝尔实验室的vv y s s o t s k y , gm c l l r o y 和r o b e r tm o r r i s 编写了一个名为 “磁芯大战”【7 2 j 的游戏程序，这是计算机病毒的雏形。 7 0 年代丌始零星地出现一些计算机病毒。比如，7 0 年代早期流行在美国军 方网络a r p a n e t 的c r e e p e r 病毒，1 9 7 2 年出现在i b m 3 6 0 3 7 0 上的“c h r i s t m a s t r e e ”病毒以及1 9 7 4 年的“r a b b i t ”病毒等，但是并没有引起公众的注意。 8 0 年代计算机的普及以及网络的发展给病毒的产生和传播提供了便利的条 件。这段时间里出现了首例u n i x 病毒，首例d o s 病毒。并且f r e dc o h e n 4 1j 以 及他的导师l e na d l e m a n 首次给出了计算机病毒的定义。8 0 年代中后期计算机 病毒的产生速度明显加快，并开始真正引起社会的广泛关注；1 9 8 6 年出现的 “b r a i n ”病毒( 同年我国公安部成立了第一个计算机病毒研究小组) ；1 9 8 7 年出 现了攻击不同计算机系统，针对不同文件类型的病毒，比较著名的“v i e n a ”系 列病毒，“s u r i v ”系列病毒，“j e r u s a l e m ”系列病毒等；1 9 8 8 年的“m o r r i s ”蠕 虫事件【7 “，使病毒开始在全世界传播；1 9 8 9 年我国发现了首例病毒攻击事件。 病毒发展的一个直接的结果是发病毒研究的兴起以及反病毒公司的成立。 9 0 年代是计算机病毒技术与发病毒技术蓬勃发展的年代。1 9 9 0 年产生了首 例多态性病毒“c h a m e l e o n ”，采用新型隐蔽技术的“f r o d o ”、“w h a l e ”病毒， 同时还出现了第一个病毒自动生成工具软件，使病毒的编写成为普遍的行为。 1 9 9 1 年美国的海湾战争中使用“a f 9 1 ”病毒瘫痪了伊拉克防空系统的5 0 的 打印机和显示器，计算机病毒作为一一种武器登上了战争的舞台。1 9 9 5 年首次发 现了宏病毒。9 6 9 7 年问随着微软w i n d o w s 软件的发布，针对该系统的病毒开 始出现，出现了第一个攻击硬件的“u n c l e a rm a c r o ”病毒，第一个常驻内存的 病毒“p u n c h ”，第一个l i n u x 环境下的病毒“b l i s s ”以及第一个使用f t p 进行传 播的病毒“h o m e r ”。在9 6 - - 9 7 年间病毒技术从1 6 走上了3 2 位。大量新的病毒 一6 一 四j i l 大学硕士学位论文 技术在这段时间内出现，之后针对m sw i n d o w s 、m so f f i c e 以及网络应用程序 的病毒急剧增加。各种新的病毒技术被采用，开始出现了木马程序。也就在这 一年中国台湾大同理工学院的学生陈盈豪编制了c i h 病毒，它至今为止出现的 危害最大，影响最大的病毒之一。1 9 9 9 年出现了危害最大的十个病毒之一 “h a p p y 9 9 ”，它使用电子邮件进行自动传播，这是病毒技术历史上的又一个里 程碑，计算机病毒进入了网络病毒时代。 进入新世纪，随着网络的不断普及，网络应用的不断增加。计算机病毒数 量呈爆炸性增加，它的传播速度不断加快，造成的破坏越来多，传统病毒开始 减少，蠕虫成为计算机病毒的主力军。e m a i l 成为传播病毒的最有效的途径，据 k a s p e r s k y 实验室统计2 0 0 0 年8 5 的病毒事件是通过e m a i l 传播的。同时在这一 年中针对l i n u x 系统的病毒开始增加，宏病毒和脚本病毒成为主要的危害病毒。 同时针对手机的病毒也在2 0 0 0 年出现。2 0 0 1 年病毒技术也取得了巨大的发展， 其中最重要就是利用系统漏洞进行攻击的病毒的出现，比如“c o d e r e d ”、 “n i m d a ”、“a l i z ”和“b a d t r a n s l i ”等。在这一年通过e m a i l 进行传播的病毒达 到总病毒事件的9 0 0 ，蠕虫成为攻击w i n d o w s 系统的主要病毒。2 0 0 1 年一个使 人惊奇的病毒新技术是，不需使用文件，仅仅在内存中存在的蠕虫的出现。在 2 0 0 2 年发生了1 2 起严重病毒事件以及3 4 起一般的事件。脚本病毒以及许多传 统病毒开始消失，蠕虫病毒成了主导病毒，并且技术进一步发展，出现了快速 传播的蠕虫病毒。2 0 0 3 - - 2 0 0 4 年发生了多起有史以来的最大的计算机病毒攻击 事件：攻击s q l 服务器的“s l a m m e r ”病毒，“l o v e r s a n ”病毒以及“b l a s t e r ” 冲击波病毒。网络蠕虫仍旧是主要的病毒，还包括一些宏病毒和特洛伊木马。 网络蠕虫成为了目前和将来一段时间内的主要的威胁。 2 1 3 分类 2 1 3 1按传染方式分类 按照计算病毒的传染方式分可以分成引导型病毒、文件型病毒和混合型病 毒，其中文件型病毒中包括宏病毒和脚本病毒。 引导型病毒 4 3 , 7 2 感染磁盘的引导扇区或者主引导记录( m b r ) 。它在系统引 导时出现，先于操作系统，使用b i o s 中断服务程序，待病毒程序被执行后， 堕型查兰堡主兰堡丝三兰； r 执行实际的引导区程序。引导型病毒按其寄生对象的不同又可分为两类，即 m b r ( 主引导区) 病毒、b r ( 引导区) 病毒。m b r 病毒也称为分区病毒，将 病毒寄生在硬盘分区主引导程序所占据的硬盘0 头0 柱面第1 个扇区中。典型 的病毒有大麻( s t o n e d ) 、2 7 0 8 等。b r 病毒是将病毒寄生在硬盘逻辑0 扇区或 软盘逻辑0 扇区( 即0 面0 道第1 个扇区) 。典型的病毒有b r a i n 、小球病毒等。 文件型病毒1 4 3 , 7 2 是利用文件系统进行传染的一类病毒。主要传染文件扩展名 为c o m 、e x e 和o v l 的可执行程序。大多数的文件型病毒都会把它们自己的代码 复制到其宿主的开头或结尾处。也有部分病毒是直接改写“受害文件”的程序 码。9 0 年代中后期出现的宏病毒 4 3 , 7 2 1 和脚本病毒1 4 3 , 7 2 1 是两种特殊的文件病毒。 宏病毒是使用宏语言编写的程序，可以在一些数据处理系统中运行，利用宏语 言的功能将自己复制并且繁殖到其他数据文档里。宏病毒的传染都是通过宏语 言本身的功能实现的：通过在正常的宏中增加一些额外的宏来实现。脚本病毒 在1 9 9 9 年以后已经成为最主要的病毒类型之一。脚本病毒类似于宏病毒，但是 它的执行环境不再局限于w o r d 、e x c e l 等微软o f f i c e 应用程序，可以在所 有使用脚本语言的地方存在。 混合型病毒 4 3 , 7 2 综合系统型和文件型病毒的特性，它能同时传染文件和磁盘 引导扇区，并且般具有更复杂的算法。这种病毒透过这两种方式柬传染，更 增加了病毒的传染性以及存活率。不管以哪种方式传染，只要中毒就会经开机 或执行程序而传染其他的磁盘或文件，此种病毒也是最难杀灭的。1 9 9 1 年出现 的t e q u i l a 病毒、a m o e b a 病毒就是这类病毒。 2 1 3 2按连接方法分类 按照计算机病毒的连接方法可以将病毒分成操作系统型病毒、外壳性病毒、 嵌入式病毒、源码型病毒。 操作系统型病毒通过将它自身部分加入或取代部分操作系统进行工作，主 要针对引导扇区，有的还可以攻击文件分配表( f a t ) ，具有很强的破坏力，可以 导致整个系统的瘫痪。比如b o u n c i n gb a l l 病毒、s t o n e d 病毒、p a k i s t a nb r a i n 病 毒等就是这类病毒。 外壳性病毒在实施传染的时候不改变宿主程序，而是将病毒的自身依附于 宿主的头部或者尾部。属于这类病毒的有j e r u s a l e m 病毒、d b a s e 病毒、c h i n e s e 四川大学硕十学位论文 b o m b 病毒等。 嵌入式病毒将自身嵌入到现有程序中，把计算机病毒的主体程序与其攻击 的对象以插入的方式链接。这种计算机病毒一旦侵入程序体后也较难消除。如 果同时采用多态性病毒技术，超级病毒技术和隐蔽性病毒技术，将给当前的反 病毒技术带来严峻的挑战。1 9 9 1 年就发现了首例子传染c o r n 文件的这类病毒。 源码型病毒攻击高级语言编写的程序，在高级语言所编写的程序编译前插 入到原程序中，经编译成为合法程序的部分。比如传染汇编语言程序的 w i n 3 2 w i n u x 病毒，传染c 语言和p a s c a l 语言的s r e v i r 病毒。以及传染其它高 级语言和脚本语言的病毒。 2 1 3 3按危害程度分类 按计算机病毒的危害程度可以将病毒分为良心计算机病毒和恶性计算机病 毒。 良性计算机病毒是指其不包含有立即对计算机系统产生直接破坏作用的代 码。这类病毒为了表现其存在，只是不停地进行扩散，从一台计算机传染到另 一台，并不破坏计算机内的数据。良性计算机病毒仅消耗系统资源，破坏作用 相对较低。 恶性计算机病毒是指在其代码中包含有损伤和破坏计算机系统的操作，在 其传染或发作时会对系统产生直接的破坏作用。这类病毒是很多的，如米开朗 基罗病毒。当米氏病毒发作时，硬盘的前1 7 个扇区将被彻底破坏，使整个硬盘 上的数据无法被恢复，造成的损失是无法挽回的。这类恶性病毒是很危险的， 造成的损失也最大。 2 1 3 4 其它分类方法 除了上面的几种分法外，还存在许多按其它标准的分法。比如按传播方式 分可以分成单机病毒和网络病毒：单机病毒仅仅在一台机器内传染其它文件， 而网络病毒能够通过网络进行传播；按计算机病毒的攻击对象的机型分可以分 成攻击微型计算机、小型计算机、中大型计算机的病毒；按照攻击的操作系统 可以分成攻击m a c i n t o s h 系统，d o s 系统，w i n d o w s 系统、u n i x l i n u x 系统 四j i 人学硕士学位论文 以及0 s 2 系统的病毒 2 1 4 原理 2 1 4 。1基本结构 虽然计算机病毒数量、种类繁多，但是它们都要实现一些相同的功能，寻 找宿主，传染宿主，并对宿主系统( 染有病毒的计算机系统) 进行破坏，这决 定了计算机病毒程序具有基本类似的结构。病毒程序一般都是由引导模块、传 染模块和发作模块这三个基本的功能模块组成 3 , 4 1 , 4 3 】。其中，传染模块又由传染 条件的判断部分与传染功能的实施部分构成；破坏表现模块又由发作条件的判 断部分和发作功能的实旋部分构成。计算机病毒的基本结构如图2 1 所示。 图2 1 计算机病毒基本结构 引导模块完成病毒加载的功能。引导型病毒在使用带毒的软盘或者硬盘启 动系统的时候被加载。文件型病毒在执行它的宿主程序的时候被加载。加载之 后病毒获取操作系统控制，执行病毒引导模块，病毒由静态变成动态。该模块 一般要完成一下功能：病毒体定位和驻留；完成初始化：加载原程序。 传染模块是病毒进行传染的动作部分。在这个部分中计算机病毒寻找对应 的文件对象，判断传染条件是否成立( 一般是为了防止重复传染) ，如果成立就 一1 0 吲川人学硕上学位论义 实施传染过程。 发作模块完成病毒对计算机系统的破坏。在这个模块中计算机病毒判断破 坏条件是否成立，如果所有的条件都满足那么病毒就实施破坏功能。 计算机病毒程序的伪码表示如图2 2 所示。需要特别注意的是并不是所有的 病毒都有引导、传染和发作部分。比如v i e n n a 病毒就只有传染和发作模块而没 有加载模块。而b r a i n 病毒只有引导和传染模块却没有发作模块。 m a i n 0 调用引导功能模块； f o r ( 所有可能的目标文什) f i f ( 传染条什满足) 调用传染模块； i f ( 发作条件满足) 啕崩发作模块； 运行宿主程序； 图2 2 计算机病毒的伪码程序 2 1 4 2 加载和引导机制 病毒程序的加载主要分成两个部分：其一是系统装载过程，其二是病毒附 加的加载过程。系统加载过程主要读入病毒程序的引导部分，并将系统控锖权 交给计算机病毒。病毒引导程序是病毒的附加加载过程，主要完成对病毒体的 完整读入和重组。病毒程序选择的加载点多是计算机病毒固有的弱点和软件系 统的输入节点。 计算机病毒的加载受到操作系统的制约，都是通过操作系统的功能调用或 者r o m b i o s 来实现的。一般情况下病毒程序有三种加载方法：参与系统启动 过程( 引导型病毒) ；依附j 下常文件加载方式( 文件型病毒) ：用户的输入方式 ( 用户运行病毒文件，现在的许多木马和蠕虫就采用这种方法激活) 。 四川大学顽十学位论文 2 1 4 3 传染和传播机制 计算机病毒的传染是指计算机病毒在单个系统的不同宿主文件中传染，可 以分成主动和被动两种传染方式：主动传染是指在病毒处于激活的状态下，只 要传染条件满足，能主动地传染到另一个宿主；被动传染是用户在进行拷贝时， 把一个病毒由一个宿主复制到另一个宿主上。 计算机病毒的传播是指计算机病毒在从一个计算机系统传播到另外一个计 算机系统的过程。主要有以下四种途径：通过不可移动的硬件设备传播，通过 移动存储设备来传播，通过计算机网络进行传播。通过点对点通信系统和无线 通道传播。 2 1 4 4触发机制 计算机病毒在传染和发作之前，往往要判断某些特定条件是否满足，满足 则传染或发作，否则不传染或不发作或只传染不发作，这个条件就是计算机病 毒的触发条件。触发条件需要兼顾杀伤力和潜伏性：过于苛刻的触发条件，可 能使病毒有好的潜伏性，但不易传播：而过于宽松的触发条件将导致病毒频繁 传染与破坏，容易暴露。 实际上病毒采用的触发条件花样繁多【4 引。目前病毒采用的触发条件主要包 括：日期触发( c i h 病毒) 、时间触发( p i n g p o n g 病毒) 、键盘触发( d e v i l d a n c e 病毒) 、感染触发( b l a c km o n d a y 病毒) 、启动触发( t e l e c o m 病毒) 、访问磁盘 次数触发( p r i ms c r e e n 病毒) 、调用中断功能触发( p e o m 病毒) 、c p u 型号主 板型号触发( v i o l a t o r 病毒) 、打开邮件触发( “求职信”病毒) 、利用系统或者 工具软件的漏洞触发( “c o d er e d ”系列病毒) 。 被计算机病毒使用的触发条件是往往不只是单个条件，而是使用由多个条 件组合起来的触发条件。大多数病毒的组合触发条件是基于时间的，再辅以读、 写盘操作，按键操作以及其他条件。如“侵略者”病毒的激发时间是开机后机 器运行时间和病毒传染个数成某个比例时，恰好按c t r l + a l t + d e l 组合键试 图重新启动系统则病毒发作。 1 2 四”i 大学硕上学位论立 2 1 4 5高级编制策略 计算机编制中常用的技术包括变形技术1 7 8 , 7 9 1 、掩蔽技术 8 0 , 8 q 以及超级病毒技 术【7 2 1 。 采用变形技术的病毒是多态性病毒：在不同的时候和环境中产生不同的病 毒代码。常见的多态性技术有两种：其一是使用不固定的密钥或者随机数加密 病毒代码：其二是在病毒运行的过程中改变病毒代码。除了这两种主要的方式 外，还有的病毒，例如“炸弹人”( b o m b e r ) 通过一些奇怪的指令序列等方法可 以实现多态性。根据病毒使用多态技术的复杂程度，我们可以将多态病毒划分 成下面几个级别：半多态，病毒拥有一组解密算法，感染的时候从中间随机的 选择一种算法进行加密和感染；具有不动点的多态，病毒有一条或者几条语句 是不变的( 我们把这些不变的语句叫做不动点) ，其他病毒指令都是可变的：带 有填充物的多态，解密代码中包含一些没有实际用途的代码来干扰分析者的视 线；算法固定的多态，解密代码所使用的算法是固定的，但是实现这个算法的 指令和指令的次序是可变的；算法可变的多态，使用了上述所有的技术，同时 解密的算法也是可以部分或者全部改变的；完全多态，算法多态，同时病毒体 可以随机的分布在感染文件的各个位置，但是在运行的时候能够进行拼装，并 且可以正常工作。对于前面3 种多态病毒，使用病毒特征码或者改进后的病毒 特征码是可以发现病毒的( 所谓的改进后的特征码，就是包括一些非比较字节 的特征串) ，对于第4 种多态病毒，由于代码的变化是有限的，所以通过增加多 种情况的改进后的特征码，应该也可以处理。至于第5 和第6 种多态病毒，依 靠传统的特征码技术是完全无能为力的。 计算机病毒采用隐形技术来躲避反病毒软件的检验。引导型病毒和文件型 病毒采用不同的隐形技术。引导型病毒有两种基本的隐形方法：其一是改变基 本输入输出系统( b o s ) 中断1 3 h 的入口地址使其指向病毒代码，一旦发现调 用中断1 3 h 读扇区，就将原来的没有被感染过的内容返回给调用的程序；另外 一种更高明的方法直接针对杀毒软件，在加载程序的时候制造假象，一旦发现 系统启动了新程序( 主要是反病毒程序) ，就修改d o s 执行程序的中断功能， 把被病毒感染的扇区恢复原样，这样即使反病毒程序采用直接磁盘访问也只能 看到正常的磁盘扇区，当程序执行完成后再重新感染。文件型病毒的隐藏技术 和引导型病毒使用的技术非常类似，同样是替换d o s 或者基本输入输出系统 一1 3 - 四川大学硕士学位论文 ( b i o s ) 的文件系统相关调用，在打开文件的时候将文件的内容恢复未感染的 状态，在关闭文件的时候重新进行感染。一个完整的隐藏技术应该改包括掩藏 病毒扇区、列目录时显示j 下常文件大小、读文件时显示正常文件内容、执行或 者搜索病毒时掩藏病毒、在支持长文件名的系统中掩藏自身等方面。一般的文 件型病毒仅仅使用其中的一部分隐藏技术，最常见的是对列目录进行隐藏。而 宏病毒的隐藏技术只要在w o r d e x c e l 中禁止某些菜单就可以隐藏病毒了。 超级病毒技术用于对抗病毒检测技术，其思想是在计算机病毒进行感染、 破坏时，使反病毒工具根本无法获取运行的机会，从而使病毒的感染、破坏过 程可以顺利完成：一般的反病毒软件都是在d o s 中设置许多陷阱，病毒一碰陷 饼，便被抓获。超级病毒完全不借助于d o s 系统的系统调用，完全依靠病毒内 部代码来攻击计算机，所以不会碰触d o s 系统调用，不会掉入反病毒陷饼，极 难捕获。 2 1 5 特点和危害 2 1 5 _ 1病毒的特点 计算机病毒本质上是一段程序。虽然在某些情况下计算机病毒和j 下常程序 之间的区别非常模糊，但是大多数情况下，它们之间存在明显的区别【55 。计算 机病毒一般具备以下一些特定，有些是病毒程度独有的，有些是所有程序都具 备的： ( 1 ) 程序性，由计算机病毒的定义，计算机病毒是一段具有特定功能 的程序；程序性是计算机病毒的基本特征，也是计算机病毒的最 基本的一种表现形式。 ( 2 ) 传染性，即自我复制，是计算机病毒最本质的特性，也是衡量某 个程序是不是计算机病毒的最重要的依据之一。 ( 3 ) 潜伏和触发性，如同生物病毒一样，计算机病毒进入计算机之后， 一般情况下不会马上发作，而是在定地条件满足的时候才发 作。这样病毒就有足够的时间来传播和传染，并增加病毒检测的 难度。 ( 4 ) 干扰和破坏性，所有计算机病毒就具有破坏性，只是破坏的程度 一1 4 川川大学颀士学位论文 不同而已，实际上良性病毒也至少消耗的系统资源( 而这种消耗 达到定程度时就成了最让人头疼的破坏，比如网络上的d o s 攻击，专门消耗计算机或者网络资源) 。 ( 5 ) 衍生性，计算机病毒可以被方便地修改而成为一种新地计算机病 毒，通常称为“变体”。这种衍生性可以是人工修改的结果，也 可以是程序自动修改的结果，如果是程序自动修改就成了最让人 头痛的多态性病毒。 ( 6 ) 不可预见性，不同种类的计算机病毒千差万别，新的病毒编制技 术不断涌现，很难对未知病毒进行预测。 另外反病毒技术的发展同时也促进了病毒技术的发展，这些新特性主要是 针对反病毒技术的，主要包括：抗分析性，抗分析性指病毒通过加密技术和反 跟踪技术对抗病毒检测程序；掩蔽性，掩蔽性指通过把病毒伪装为诈常程序， 置于掩蔽的地方，以及驻留在高端内存来躲避病毒检测：欺骗性，这种方法与 掩蔽性相反，通过显示病毒特性，并诱惑用户触发病毒；传播技术的多样性和 广泛性，网络的发展给病毒提供了多样的传播技术，只要存在这数据连接，病 毒就可以通过这种连接进行传播；变性性，通过不断的改变病毒代码来逃避病 毒检测( 主要是针对特征码检测技术) ：攻击对象和攻击技术的综合性，从原来 单一正对某种系统，文件，到正对各种文件，从单一的破坏到多种破坏手段； 多态性，通过特殊的加密技术来逃避病毒检测。 2 1 5 2病毒的危害 计算机病毒从诞生开始就不断地危害信息系统。随着网络的不断普及以及 人类对信息系统的依赖性不断增强，这种破坏作用越来越明显。调查统计，计 算机病毒在2 0 0 0