（计算机应用技术专业论文）计算机病毒传播模型及防御策略研究.pdf

摘要 互联网的安全问题一直是一个备受关注的社会热点问题。曰益泛滥的网络病毒 给人们的生活造成了巨大的经济损失和心理影响。构建一个安全、健康的网络环境 是反病毒专家孜孜不倦的追求，也是所有网络用户的美好愿望。为了能够设计出更 好的病毒对抗方案，首先需要对病毒在网络中的传播过程有一个充分正确的了解。 因此，研究计算机病毒的传播模型就成为一个首要而迫切的任务了。本文专门针对 电子邮件病毒和网络蠕虫提出相应的传播模型，并在此基础上，设计了一种基于邮 件异常行为的病毒检测策略。 首先，本文对计算机病毒研究课题的背景、意义、研究现状及发展趋势作了介 绍。分析比较了现有传播模型的优点及不足，并对现有的计算机病毒防御技术作了 简要概括。 其次，详细分析了电子邮件病毒的传播过程及其影响因素，将各种人为因素的 影响纳入到模型的研究当中，给出了新的感染率函数，继而得到邮件病毒的传播模 型。本文还分析了邮件病毒传播高潮到来的时刻及其对病毒控制的影响，从理论和 实验的角度分析了病毒传播的消亡条件。 再次，针对网络蠕虫传播后期受带宽限制较大这一实际情况，定义了随时间变 化的动态感染率函数：基于用户免疫的动态性，给出了随时间变化的免疫率函数； 并且考虑了两类免疫措施对蠕虫传播的影响，从而提出了蠕虫传播的动态模型。 最后，本文摒弃了传统的基于特征码扫描的反病毒技术，提出了一种新颖的基 于异常检测的邮件病毒防治方案。通过分析病毒邮件的异常行为，评定其可能存在 的风险性，并给出用户相应的风险提示，从而达到阻止病毒进一步传播的目的。该 策略能够检测出层出不穷的新病毒和已有病毒的变种，符合当前反病毒技术的发展 要求 关键字：计算机病毒；动态感染率；邮件病毒；网络蠕虫；异常检测 硕士学位论丈 m a s t e r st h e s i s a b s t r a c t i n t e m e ts e c u r i t yh a sa l w a y sb e e nt h eh o t s p o to fs o c i a la t t e n t i o n t h ei n c r e a s i n g l y r a m p a n tn e t w o r kv i r u s e sh a v ec a u s e de n o r m o u se c o n o m i cl o s sa n dp s y c h o l o g i c a l i n f l u e n c et op e o p l e sl i f e t ob u i l das a f ea n dh e a l t h yi n t e m e te n v i r o n m e n ti st h e r e m o r s e l e s sp u r s u i to ft h ee x p e r t so fa n t i v i r u s ，a l s ot h en i c ew i s h e so fa l lt h ei n t e r n e t u s e r s i no r d e rt od e s i g nah i g h l y - e f f i c i e n ts c h e m et oc o n f r o n tt h ev i r u s e s ，t h ef i r s ts t e pi s t ou n d e r s t a n dt h es p r e a d i n gp r o c e s so fv i r u sa d e q u a t e l y c o n s e q u e n t l y , r e s e a r c h e so nt h e p r o p a g a t i o nm o d e lo fv i r u sh a v eb e c o m ep r i m a r ya n de x i g e n t i nt h i sp a p e r , t o w p r o p a g a t i o nm o d e l sh a v eb e e np r e s e n tb a s e do nt h ee m a i lv i r u sa n dw o r mr e s p e c t i v e l y f u r t h e r m o r e ，ap r o m i s i n gd e t e c t e ds c h e m ei sp r o p o s e dw h i c hd e t e c t e dv i r u s e sb a s e do n t h ea b n o r m a lb e h a v i o r so fv i r a le m a i l s f i r s t l y , t h er e s e a r c hb a c k g r o u n d , r e s e a r c hm e a n i n g ，r e s e a r c hs i t u a t i o na n dt h e d e v e l o p m e n tt r e n do fc o m p u t e rv i r u sw e r ei n t r o d u c e di nt h ef i r s tc h a p t e r t h ea n a l y s i s a n dc o m p a r i s o no ft h ee x i s t i n gm o d e l sw a sf o l l o w e d s u b s e q u e n t l y , t h ed e f e n d i n g t e c h n o l o g i e so fc o m p u t e rv i r u sw e r ea l s oi n t r o d u c e db r i e f l y s e c o n d l y , t h i sp a p e rp r o p o s e dan e wp r e v a l e n c em o d e lo fe m a i lv i r u sb ya n a l y z i n gt h e c h a r a c t e r i s t i c sa n dt h ei n f l u e n c ef a c t o r so fe m a i lv i r u ss p r e a d i n g ，a n dt h ei n f e c t i o nr a t eo f e m a i lv i r u si sd e f i n e da saf u n c t i o na b o u tm a n yh u m a nf a c t o r s b a s e do nt h ep r o p o s e d m o d e l ，t h em o m e n tt h a tt h ev i r u sp r o p a g a t i o nc u l m i n a t e sa n di t se f f e c t so nc o n t r o l l i n g v i r u sw e r es t u d i e d t h ec o n d i t i o ni nw h i c he m a i lv i r u sp r o p a g a t i o ns t o p sa f t e rt h e a p p e a r a n c eo fa n t i - v i r u sp r o g r a mi s d e d u c e df r o mt h et h e o r e t i c a la n dp r a c t i c a l p e r s p e c t i v e f o l l o w i n g ，ad y n a m i cm o d e lo fw o r m i sp r e s e n t e d ，w h i c hr e g a r dt h ei n f e c t i o nr a t ea n d i m m u n i z a t i o nr a t ea saf u n c t i o na b o u tt i m e i ti sw e l lk n o wt h a tt h es p r e a d i n go fw o r mi s l i m i t e db yt h eb a n d w i d t h t h e r e f o r e ，t h ei n f e c t i o nr a t ew o u l db ev a r i o u sw i t ht i m e b a s e d o nt h ed y n a m i cp r o p e r t yo fi m m u n i z a t i o n , t h ei m m u n i z a t i o nr a t ew a sa l s oc h a n g ew i t h t i m e i na d d i t i o n , t h i sp a p e rt a k et o wk i n d so fi m m u n i z a t i o ni n t oc o n s i d e r , i l l u s t r a t et h e r e e f f e c t so nt h ep r e v a l e n c eo fw o r m f i n a l l y , an o v e ld e t e c t e ds c h e m eb a s e do nt h ea b n o r m a lb e h a v i o r so fv i r a lc m a i l s r a t h e rt h a nt h ep a t t e r no fv i n l si sd e s i g n e d t h i ss c h e m es t o pt h ed i f f u s i o no fe m a i l 硕士学位论文 m a s t e r st h e s i s v i l a l s e $ b yd e t e c t i n gt h eb e h a v i o ro fa b n o r m a le l l l a i l ，a r l a l y z i n gt h ed e g r e eo fr i s k , a n d t h e ng i v ee m a i lu s e r st h er i s kh i n to ft h er e c e i v i n ge m a i l s t h es c h e m ei sa v a i l a b l et o d e t e c t t h en e wv i r u s e sa n dv a r i a t i o n , w h i c hi sa c c o r d i n g 、析t ht h ed e v e l o p i n gr e q u i r e m e n t o fa n t i v i r u st e c h n o l o g y k e yw o r d s ：c o m p u t e rv i r u s ；d y n a m i ci n f e c t i v er a t e ；e m a i lv i r u s ；n e t w o r kw o r m ； a b n o r m a ld e t e c t i o n n i 华中师范大学学位论文原创性声明和使用授权说明 原创性声明 本人郑重声明：所呈交的学位论文，是本人在导师指导下；独立进行研究工作 所取得的研究成果。除文中已经标明引用的内容外，本论文不包含任何其他个人或 集体已经发表或撰写过的研究成果。对本文的研究做出贡献的个人和集体，均已在 文中以明确方式标明。本声明的法律结果由本人承担。 作者签名：孓f ；遗彳日鼽冲年月，o 日 学位论文版权使用授权书 本学位论文作者完全了解学校有关保留、使用学位论文的规定，即：学校有权 保留并向国家有关部门或机构送交论文的复印件和电子版，允许论文被查阅和借 阅。本人授权华中师范大学可以将本学位论文的全部或部分内容编入有关数据库进 行检索，可以采用影印、缩印或扫描等复制手段保存和汇编本学位论文。同时授权 中国科学技术信息研究所将本学位论文收录到 中国学位论文全文数据库，并通 过网络向社会公众提供信息服务。 作者签名：即请卑 日期砷年占月l o a 导师签名：奄磁 喊7 年占月c o 日 本人已经认真阅读“c a l i s 高校学位论文全文数据库发布章程 ，同意将本人的 学位论文提交“c a l i s 高校学位论文全文数据库一中全文发布，并可按“章程一中 的规定享受相关权益。回意i 金塞埕变厦澄卮! 旦坐生；旦二生；旦三生蕴查! 一 作者签名：吁请竿 日期：胖月加日 ， 导师鞔拿褥 眺7 年彳月，o 日 硕士学位论文 m a s t e r st h e s i s 第一章绪论 随着网络通讯技术的飞速发展，计算机网络已逐渐渗透到人们社会生活的各个 领域，并成为信息传播的重要媒介。通过网络，人们可以方便、快捷地进行信息的 交流。然而，网络在给人们的生活带来便利的同时也为计算机病毒的传播开辟了新 的途径。当前，利用网络进行传播的病毒已成为互联网最主要的威胁。任何一台连 入互联网的计算机随时都有可能感染病毒。因此，分析计算机病毒的传播特性，进 而提出相应的防御策略已成为网络信息安全领域一个首要而紧迫的任务。 1 1 计算机病毒的概念及危害 1 1 1 计算机病毒的概念 计算机病毒( c o m p u t e r r u s ) 是一种人为编制能够对计算机正常程序的执行或 数据文件造成破坏，并且能够自我复制的一组指令程序代码。其特点是计算机病毒 具有复制性、感染性、潜伏性、触发性和破坏性。 计算机病毒的概念其实很早就出现了。现有记载的最早涉及计算机病毒概念的 是计算机之父冯诺伊曼( v o nn e u m a n n ，j o h n ) 。他在1 9 4 9 年发表的一篇名为复 杂自动装置的理论及组织的进行的论文中第一次给出了病毒程序的框架晗1 。他 认为，病毒是一种能够实现自我复制的自动机。这一说法的提出令当时的许多计算 机专家都感到惊讶。人们万万没有想到这一说法在十余年后就得到了验证。 1 9 6 0 年，程序的自我复制技术首次在美国人约翰康维编写的游戏程序中实现 这个被叫做“生命游戏 程序运行时，屏幕上会出现许多运动变化的“生命元素一 图案。这些元素能够自我复制并进行传播。它们对生存的环境要求十分苛刻。这些 元素太过拥挤或太过稀疏都会导致死亡。这个程序验证了冯诺伊曼关于计算机病 毒的构想。 著名的“磁芯大战 ( c o r e w a r ) 游戏是在美国电报电话公司的贝尔实验室中实 现的，它的作者是该实验室的三个工作人员麦耀莱、维索斯基以及莫里斯。这个对 后来计算机病毒的发展产生重大影响的游戏程序的出现是非常偶然的。它是作者为 打发时间而即兴编制的一个游戏。游戏规则如下：玩游戏的双方各自撰写出一个程 硕士学位论文 m a s t e r st h e s i s 序来相互作战，双方的作战程序在指令的控制下以消灭对方为目的，陷入困境的一 方程序可以通过复制自身来获得逃离1 。这个游戏体现了计算机病毒具有感染性的 特点。 1 9 8 3 年1 1 月，弗雷德科恩( f r e dc o h e n ) 写出了一个具有破坏性的程序。 这个程序是在u n i x 操作系统的环境下实现的。该程序一旦运行就会引起系统死机 n 3 。科恩将该程序以论文的形式发表出来后，引起了很大的轰动。具有破坏性的计 算机病毒程序第一次走进人们的视线中。从此，一发不可收拾。 1 9 8 7 年，一对巴基斯坦兄弟巴斯特( b a s i t ) 和阿姆捷特( a m j a d ) 编写了一个 名为“巴基斯坦智囊刀的病毒。他们编写该程序的初衷仅仅是为了防止他们销售的 软件被随意拷贝。他们将病毒程序放到其销售的软件中，如果这些软件被拷贝，那 么“巴基斯坦智囊”病毒就会被激活，从而将拷贝者的磁盘空间全部吃掉。这个程 序具备了计算机病毒的所有特性，因此，被公认为世界上第一个计算机病毒。 1 1 2 计算机病毒的危害 计算机病毒通过窃取机密信息、破坏文件系统、修改注册表或系统指令等手段 给用户的工作和生活造成了严重的危害。特别是近几年，破坏性大的大规模爆发病 毒屡见不鲜。日益猖獗的计算机病毒已经严重威胁了我国互联网的应用和发展。几 乎每一个使用计算机的用户都曾被计算机病毒感染过。计算机病毒自诞生之日起就 从未停止过其丑恶行为，且愈演愈烈。 1 9 9 9 年的爆发的“梅丽莎 病毒第一天就感染了超过6 0 0 0 台计算机。据统计， 该病毒造成的损失超过8 0 0 0 万美元。其作者史密斯也为其行为付出了惨重的代价。 2 0 0 0 年5 月份爆发了通过o u t l o o k 进行传播的。爱虫”病毒。该病毒传播速度 之快，传播范围之广是前所未有的，给全球用户造成了1 0 0 多亿美元的损失，影响 了包括金融、媒体、技术公司及大学在内的多种机构。 2 0 0 1 年出现了两个破坏力极强的蠕虫病毒c o d er e d 和n i m d a 。其中，n i m d a 只用了半小时的时间就波及了世界的每一个角落。 2 0 0 3 年是计算机病毒出现异常频繁的一年。其中，最为严重的要数8 月份全球 爆发的“冲击波 病毒。搿冲击波一病毒袭击了整个互联网，造成了几十亿美元的 经济损失，感染了超过1 0 0 万台的计算机。 2 0 0 4 年搿五一一期间爆发的“震荡波一病毒以极高的速度在十几天内发生了6 次变种，席卷了数千万台电脑。 2 项士学位论文 m a s t e r st h e s i s 2 0 0 5 年的计算机病毒疫情较去年相比，似乎缓和了许多。但是，互联网却并不 宁静。这一年爆发的“灰鸽子 、“传奇木马 和“性感烤鸡 等网络病毒还是给用 户造成了很大的影响。 2 0 0 6 年底到2 0 0 7 年初爆发的“熊猫烧香 病毒，至今还让人心惊胆战。“熊猫 烧香 病毒令广大网络用户深受其害，造成了难以估量的损失。 2 0 0 7 年最厉害的病毒“a v 终结者 采用多种方式对抗发病毒软件，破坏电脑 的安全系统，然后随意窃取用户帐号和密码。“a v 终结者”病毒来势汹涌，感染网 络用户数超过十万。 2 0 0 8 年最大的蠕虫病毒“扫荡波”通过遍历局域网进行攻击和传播，令大量的 局域网崩溃。2 0 0 8 年中国电脑病毒疫情及互联网安全报告指出，目前，中国计算机 病毒、蠕虫、木马的数量呈爆炸式增长，总数量已突破千万。 1 2 国内外研究现状及不足 当前关于计算机病毒传播模型的研究主要是受生物学病毒传播模型的启发而 建立起来的。当前的研究主要是丰富已有的传播模型，将影响病毒传播的外界因素、 反病毒措施等对病毒传播的影响考虑进来，力求建立更能准确描述病毒传播特性的 模型。其研究角度主要包括：建立符合实际的病毒传播状态转换过程，分析病毒在 不同网络拓扑环境下的传播：定义动态的病毒转换概率，研究病毒传播的临界值； 研究病毒与反病毒措施的对抗传播过程，分析各种免疫措施对病毒传播的影响等。 如：c l i f f c z o ud o nt o w s l e y ，w e i b og o n g 等人在文献 4 中分析了网络拓扑结构、 初始感染节点度的大小、检查电子邮件的时间间