（计算机应用技术专业论文）计算机病毒传播模型及检测研究.pdfVIP

r e s e a r c h e so np r o p a g a t i o nm o d e lo f c o m p u t e r v i r u s e sa n dd e t e c t i o nt e c h n o l o g y at h e s i s s u b m i t t e di np a r t i a lf u l f i l l m e n to ft h er e q u i r e m e n t f o rt h em s d e g r e ei nc o m p u t e rs c i e n c e b y w a n gx i a o y a n p o s t g r a d u a t ep r o g r a m d e p a r t m e n t o f c o m p u t e rs c i e n c e c e n t r a lc h i n an o r m a lu n i v e r s i t y s u p e r v i s o r ：j i nc o n g a c a d e m i ct i t l e ：p r o f e s s 。r s i g n a t u r e 三星堑垫 a p p r o v e d m a y ，2 0 11 硕士学位论文 m a s t e r st h e s l $ 华中师范大学学位论文原创性声明和使用授权说明 原创性声明 本人郑重声明：所呈交的学位论文，是本人在导师指导下，独立进行研究工作 所取得的研究成果。除文中已经标明引用的内容外，本论文不包含任何其他个人或 集体已经发表或撰写过的研究成果。对本文的研究做出贡献的个人和集体，均已在 文中以明确方式标明。本声明的法律结果由本人承担。 作者签名：王啦蕊日期：。7 f 年月7 日 学位论文版权使用授权书 本学位论文作者完全了解学校有关保留、使用学位论文的规定，即：学校有权 保留并向国家有关部门或机构送交论文的复印件和电子版，允许论文被查阅和借 阅。本人授权华中师范大学可以将本学位论文的全部或部分内容编入有关数据库进 行检索，可以采用影印、缩印或扫描等复制手段保存和汇编本学位论文。同时授权 中国科学技术信息研究所将本学位论文收录到中国学位论文全文数据库，并通 过网络向社会公众提供信息服务。 作者签名：王瞄巍 日瓤2 口l 年f 月1 日 导师签名： 日期：卅f 年月1 日 本人已经认真阅读“c a l i s 高校学位论文全文数据库发布章程”，同意将本人 的学位论文提交“c a l i s 高校学位论文全文数据库 中全文发布，并可按“章程 中的规定享受相关权益。园意途塞握变蜃进蜃；旦圭生；旦= 生i 旦三生发查。 作者签名：王晓缘 日期：20 l f 年c 月1 日 导师叛白妒 日期：，2 卅f 年6 月日 硕士学位论文 m a s t e r st h e s i s 摘要 在信息化高度发展的现代社会，各个领域对计算机信息系统的依赖度越来越 高。然而，计算机系统并不是绝对安全的，其不安全因素有计算机信息系统自身的， 也有人为的，计算机病毒的高度隐藏性、快速传播性和严重的破坏性使其成为影响 计算机系统使用的最不安全的因素。要设计出更好的抗病毒方案，一方面需要充分 了解计算机病毒的传播过程，另一方面需要设计出高效的检测方法。因此，研究计 算机病毒的传播模型及检测技术成为反病毒工作的重要任务。通过移动存储介质传 播的计算机病毒传播模型研究还处于初始阶段，本文称此类病毒为u 盘病毒，针对 u 盘病毒提出新型传播模型，并在模型分析基础上设计出基于异常检测的u 盘病毒 预防策略。另一方面针对未知病毒难检测问题提出有效的未知病毒检测方案。 首先，本文对计算机病毒的研究背景、意义、现状及发展趋势做了概括。对现 有病毒传播模型进行了分析比较，且详细介绍了现有的计算机病毒防御检测技术。 其次，详细分析了u 盘病毒的传播过程及影响因素，将u 盘状态加入到模型 的研究中，定义了两个方向上新的感染率函数，从而得出u 盘病毒的传播模型 u s e i r 。研究了模型的稳定性、u 盘病毒传播的高潮时刻及各因素对病毒传播的影 响。从理论和实验的角度分析了控制病毒传播的条件。并且，针对u 盘病毒两个方 向上感染率不同这一情况，设计出两个方向上的u 盘病毒检测方案，从而快速有效 的预防u 盘病毒的传播。 再次，支持向量机检测未知病毒具有速度快，所需样本少的优点。本文针对支 持向量机检测未知病毒时样本不完整的缺陷，经深入分析计算机病毒对w i n 3 2 a p i 函数的使用后，定义出a p i 函数的危险等级。利用危险等级计算弥补支持向量机样 本不完整的缺点，从而达到检测时间短和准确率高兼具的检测效果。 最后，针对原始攻击树对检测木马的优点及不能动态调整的缺点，提出一种基 于动态攻击树的木马检测方法。对木马常用a p i 函数进行了深入分析，分类并总结 其规律后建模攻击树，用攻击树对木马进行识别，并设计词汇分析法分解a p i 函数 来实现攻击树的动态添加。该方法能够检测未知木马和已知木马的变种，符合当前 反病毒技术的发展需要。 关键词：计算机病毒；感染率；u 盘病毒；木马；支持向量机；攻击树 一 硕士学位论文 l 吐a s t e r st h e s i s a b s t r a c t i nt h em o d e mi n f o r m a t i o ns o c i e t y ，v a r i o u sf i e l d sd e p e n do nc o m p u t e ri n f o r m a t i o n s y s t e m ss e r i o u s l y h o w e v e r , t h ec o m p u t e rs y s t e mi s n o ta b s o l u t e l ys a f e ，t h es o m e i n s e c u r i t yf a c t o r sb e l o n gt oc o m p u t e rs y s t e m s ，a n dt h eo t h e r sb e l o n gt oh u m a nb e h a v i o r i nt h e s ef a c t o r s ，c o m p u t e rv i r u s e sa r et h em o s ti n s e c u r i t yf a c t o rf o rt h e i rc h a r a c t e r so f l i g l ld e g r e eo fh i d d e n , r a p i dp r o p a g a t i o ns p e e da n dd e v a s t a t i n gd a m a g et oc o m p u t e r s y s t e m t od e s i g nb e t t e ra n t i v i r u ss c h e m e sn o to n l ys h o u l df u l l yu n d e r s t a n dt h e p r o p a g a t i o nc h a r a c t e r so fc o m p u t e rv i r u s e s ，b u ta l s on e e dd e s i g ne f f e c t i v em e t h o do f d e t e c t i o n t h e r e f o r e ，t h es t u d yo fc o m p u t e rp r o p a g a t i o nm o d e l sa n dv i r u sd e t e c t i o n t e c h n o l o g yb e c o m e sp r i m a r yt a s kf o ra n t i - v i r u sw o r k e r s b e c a u s et h es t u d yo fc o m p u t e r v i r u sp r o p a g a t i o nm o d e lw h i c hs p r e a db ym o b i l es t o r a g em e d i ai ss t i l li no r i g i n a ls t a g e ， t h i st h e s i sp r o p o s e dan e wp r o p a g a t i o nm o d e la c c o r d i n gt oud i s kv i r u sp r o p e a i e s ，a n d d e s i g n e da n o m a l y b a s e dp r e v e n t i o nd e t e c t i o ns t r a t e g yo fud i s kv i r u sb a s e do nm o d e l a n a l y s i s o nt h eo t h e rh a n d ，p r o p o s e da ne f f e c t i v eu n k n o w nc o m p u t e rv i r u sd e t e c t i o n m e t h o da c c o r d i n gt ot h ed e f e c t si nd e t e c t i n gu n k n o w nc o m p u t e rv i r u s f i r s t l y ，t h er e s e a r c hb a c k g r o u n d , s i g n i f i c a n c ea n dd e v e l o p m e n tt r e n do fc o m p u t e r v i r u sw e r ei n t r o d u c e d t h e na n a l y z e da n dc o m p a r e dt h e e x i s t i n gc o m p u t e rv i r u s p r o p a g a t i o nm o d e l ，a n di n t r o d u c e de x i s t i n gd e t e c t i o nt e c h n i q u e so fc o m p u t e rv i r u s s e c o n d l y ，a n a l y z e dp r o p a g a t i o np r o c e s sa n di n f l u e n c i n gf a c t o r so fud i s kv i r u si n d e t a i l ，t h eud i s ks t a t e sw e r ea d d e dt on e wm o d e l ，t w on e wi n f e c t i o nr a t ef u n c t i o n so n b o n ld i r e c t i o n sw e r ed e f i n e d ，ud i s kv i r u sp r o p a g a t i o nm o d e lu - s e i rw a r ep r o p o s e do n t h e s ew o r k s t h es t a b i l i t yo fu - s e i r , b r e a k o u tt i m ea n di n f l u e n c i n gf a c t o r so fud i s k v i r u s p r o p a g a t i o nw e r ea n a l y z e d f r o mt h e o r e t i c a la n de x p e r i m e n t a lp e r s p e c t i v e a n a l y z e dt h ec o n d i t i o n st oc o n t r o lt h es p r e a d m o r e o v e r , w ed e s i g n e dd e t e c t i o ns c h e m e i nt w od i r e c t i o n sa c c o r d i n gt od i f f e r e n ti n f e c t i o nr a t ef u n c t i o ni nb o t hd i r e c t i o n s ，t o p r e v e n tud i s kv i r u sp r o p a g a t i o nr a p i d l ya n de f f e c t i v e l y t h e n , s u p p o r tv e c t o rm a c h i n eh a sh i 曲s p e e da n dn e e d sf e w e rs a m p l e sw h e ni ti s a p p l i e di nd e t e c t i n gu n k n o w nc o m p u t e rv i r u s ，b u th a st h ed i s a d v a n t a g et h a tt h es a m p l ei s i n c o m p l e t e t h eu s eo fw i n 3 2a p ib yc o m p u t e rv i r u sw a sa n a l y z e dd e e p ，a n dt h er i s k l e v e ld e g r e eo fa p if u n c t i o n sw a sd e f i n e d t os o l v et h ed i f f i c u l t yo fu n k n o w nc o m p u t e r d e t e c t i o na n ds a m p l ei si n c o m p l e t e ，t h i st h e s i su s er i s kd e g r e ec a l c u l a t i o nt om a k eu pf o r t h e s es h o r t c o m i n g s ，t oa c h i e v et h eh i g h e rd e t e c t i o nr a t ea n dl e s st i m ec o n s u m p t i o n f i n a l l y ，a t t a c kt r e eh a sa d v a n t a g et h a te a s yt om o d e la n dd i s a d v a n t a g e st h a tc a nn o t a d j u s td y n a m i c a l l yw h e n i ti sa p p l i e di nt r o j a nh o r s ed e t e c t i o n ar r o j a nh o r s ed e t e c t i o n m e t h o db a s e do nd y n a m i ca t t a c kt r e ew a sp r o p o s e d t h ea p if u n c t i o n sw h i c ht r o j a n o f t e nu s e dw e r ea n a l y z e d ，c l a s s e d ，a n ds u m m a r i z e d ，t h e nu s et h e mt oc r e a t ea t t a c kt r e e m o d e l t h ea t t a c kt r e ew a su s e dt od e t e c tt h et r o j a nh o r s e t h em e t h o do fv o c a b u l a r y a n a l y s i sw a sp r e s e n t e d , u s e dt od e c o m p o s ea p if u n c t i o ni n t ow o r d s ，t oa c h i e v e d d y n a m i ca d d e dt oa t t a c kt r e e t h em e t h o dn o to n l yc a nd e t e c tk n o w nt r o j a n s ，b u ta l s o u n k n o w nt r o j a no rv a r i a n t s ，s oi tc a nm e e tt h en e e d so fc u r r e n ta n t i - v i r u st e c h n o l o g y d e v e l o p m e n t k e yw o r d s ：c o m p u t e rv i r u s ；i n f e c t i v er a t e ；ud i s kv i r u s ；t r o j a nh o r s e ；s u p p o r tv e c t o r m a c h i n e ( s v m ) ；a t t a c kt r e e 硕士学位论文 m a s t e r st h e s i s 摘要。 a b s t r a c t 目录 第一章绪论 1 1 课题背景分析及研究意义l 1 1 1 计算机病毒的概念1 1 1 2 计算机病毒的危害2 1 2 国内外研究现状。2 1 3 计算机病毒的未来发展趋势4 1 4 本文的主要工作5 第二章计算机病毒的传播与防御。 2 1 计算机病毒的传播途径6 2 1 1 基于可移动存储介质的病毒传播模式6 2 1 2 基于网络的病毒传播模式6 2 2 几个经典的计算机病毒传播模型7 2 2 1s i s 模型7 2 2 2s i r 模型。7 2 2 3s e i r 模型8 2 3 计算机病毒防御检测策略9 2 3 1 基于主机的防御检测策略9 2 3 2 基于网络的检测策略1 0 2 4 本章小结1 0 第三章u 盘病毒动态传播模型 1 2 3 1u 盘病毒的传播1 2 3 2u 盘病毒的动态传播模型u s e i r 1 3 硕士学位论文 m a s t e r st h e s l s 3 3 稳定性分析1 6 3 3 1 基本再生数1 7 3 3 2 系统无病毒平衡点及其稳定性。18 3 3 3 系统病毒传播平衡点及其稳定性。2 0 3 4u 盘病毒传播影响因素分析2 1 3 5 仿真实验2 3 3 5 1 凡控制下的病毒传播2 3 3 5 2 p 职对病毒传播的影响2 4 3 5 3 瓯对病毒传播的影响2 6 3 5 4 凡和芦乙的关系2 7 3 6 基于异常检测的u 盘病毒防治方案2 9 3 6 1 现有u 盘病毒检测策略的不足2 9 3 6 2 基于异常检测的防治方案模型2 9 3 6 3u 盘插拔检测3 0 3 6 4u c 检测模块31 3 6 5c u 检测模块31 3 7 本章小结3 3 第四章基于w i n 3 2 a p i 和s v m 的未知病毒检测 3 5 4 1 模型结构3 5 4 2 计算机病毒特征的提取3 6 4 2 1p e 文件结构3 6 4 2 2 特征提取3 7 4 3 基于w i n 3 2 a p i 和s v m 的未知病毒检测3 8 4 3 1 支持向量机s v m 3 8 4 - 3 2 病毒检测模型3 9 4 4 实验分析4 2 硕士擘位论文 m a s t e r st h e s i s 4 5 本章小结4 6 第五章基于动态攻击树的木马检测方法 4 7 5 1 木马及其特点：4 7 5 2 扩展攻击树模型。4 7 5 2 1 模型定义4 7 5 2 2 扩展攻击树的构建4 8 5 3 基于扩展攻击树的木马检测方法5 0 5 3 1 基于扩展攻击树的匹配过程5 0 5 3 2 扩展攻击树的动态调整过程51 5 4 实验分析5 2 5 5 本章小结。5 4 第六章结论 5 5 6 1 总结5 5 6 2 进一步的研究工作5 6 参考文献 在校期间发表的论文、科研成果 致谢 5 7 6 0 6 1 第一章绪论 随着信息技术的飞速发展，计算机已经走进社会的各个领域，成为信息传播的 重要媒介。在为人们提供便利的同时，随之而来的是计算机犯罪的频繁发生，计算 机病毒是计算机犯罪的一种重要的衍化形式，成为计算机信息安全最主要的威胁。 任何一台通过网络或可移动存储介质与外界联系的计算机随时都有可能感染上病 毒。因此，分析计算机病毒的传播特性，提出有效的预防及检测方案已成为反病毒 领域的紧迫任务。 1 1 课题背景分析及研究意义 1 1 1 计算机病毒的概念 在生物学中，病毒是指侵入动物或植物等有机生命体中的具有感染性、潜伏性 和破坏性的微生物。“计算机病毒 一词是人们联想到破坏计算机系统的“病原体 与生物学中的病毒具有相似的特征，借用生物学而使用的计算机术语。 1 9 8 3 年11 月，计算机病毒首次在计算机领域被确认。美国计算机安全专家雷 德科恩( f r e d e r i c kc o n h e n ) 在u n i x 系统下，设计出一个具有破坏性的程序，3 0 分钟就能使系统瘫痪，由此通过实验证明了病毒的存在，并认识到计算机病毒对计 算机系统的破坏性【l 】。他也被称为“计算机病毒之父 。 1 9 8 7 年出现的由巴基斯坦人巴斯特( b a s i t ) 和阿姆捷特( a m j a d ) 编写的c - b r a n 病毒是世界上公认的第一个计算机病毒。该病毒程序的最初目的是为了防止他们的 软件被随意复制。该病毒程序被放到销售的软件中，如果软件被别人复制，c b r a n 就会被激活。 随之，世界各地的计算机用户几乎都发现了各种各样的计算机病毒，如大麻、 黑色星期五等。面对计算机病毒的突然袭击，大多用户甚至专业人员都悚手无策。 计算机病毒有过多种定义，直到1 9 9 4 年2 月，正式颁布实施的中华人民共 和国计算机安全保护条例第二十八条明确对计算机病毒进行定义为“计算机病毒， 是指在计算机程序中插入的，破坏计算机功能或者毁坏数据、影响计算机的使用并 能够自我复制的一组计算机指令或者程序代码。除与其它程序一样可以存储与运 行外，其自身具有感染性、潜伏性、可触发性、破坏性及衍生性等特点。 1 1 2 计算机病毒的危害 计算机病毒设计者的目的和水平决定了计算机病毒的破坏性。如果设计者的目 的是破坏计算机系统的正常运行，那么它可以删除或者修改系统内部或全部的数据 文件。计算机病毒的破坏性主要体现在以下几个方面。 ( 1 ) 破坏系统数据 计算机病毒通过对系统文件或用户文件进行内容替换、改名、删除、内容颠倒、 变碎片等操作破坏系统重要数据。破坏系统文件，会使系统运行受到影响，破坏用 户文件，会使用户重要信息丢失。 ( 2 ) 抢占系统资源 大多数病毒在动态下都是常驻内存的，消耗和占用内存资源或者禁止分配内存 等；干扰内部命令执行、使内部栈溢出、占用特殊数据区；抢占磁盘空间，攻击磁 盘数据；干扰打印机、键盘、鼠标等i o 设备的正常运行。有的病毒能够进入c m o s 区进行写操作，破坏其中的数据。 ( 3 ) 干扰系统运行 病毒还能干扰系统的正常运行。如扰乱内部命令的执行、使文件打不开、造成 内部栈溢出、死机、重新启动等。甚至有的病毒在时钟里纳入了时间的循环计数， 强制使计算机空转，使得计算机系统的速度明显下降。 ( 4 ) 破坏计算机硬件 以前出现的各种病毒最多只能毁坏计算机硬盘上的数据，c i h 病毒却能够侵入 主板的f l a s hb i o s ，破坏其内容甚至导致主板报废。还有一些硬件很容易或者已经 遭到病毒的破坏，例如，支持“软跳线 的主板、内存、c p u 等( “软跳线一指 在b i o s 中就能改动c p u 的倍频、外频和电压) 。计算机病毒可以修改b i o s 的参 数，加高c p u 的电压或提高其外频，导致内存、c p u 等超负荷工作而过热烧坏。 此外，计算机病毒还能导致打印机、硬盘、光驱等超负荷工作而严重缩短使用寿命。 1 2 国内外研究现状 反病毒技术的研究主要分为两大方向：计算机病毒的传播和计算机病毒的预防 及检测。前者是基础，一个合理的病毒传播模型不仅能够准确地预测病毒带来的危 害，而且能够帮助研究人员找到病毒传播过程中存在的薄弱环节，从而设计出更好 的防御和检测病毒的办法。 计算机病毒的传播途径有两种：网络和可移动存储介质。通过网络传播的病毒， 2 硕士学位论文 m a s t e r st h e s l s 称为网络病毒，如邮件病毒、蠕虫等。通过移动存储介质传播的计算机病毒，如早 期的通过软盘传播到后来的通过光盘、硬盘传播的计算机病毒。现如今常见的移动 设备都可以传播病毒。存储量超大的优点，逐渐使u 盘成为使用最广泛、最频繁的 存储介质，为病毒的寄生提供了更好的场所，成为移动存储设备中传播病毒的代表， 故本文称通过移动存储介质传播的计算机病毒为u 盘病毒。 目前关于计算机病毒传播模型的研究，主要是在生物学病毒传播模型的启发 下，通过联系比较建立起来的模型。1 9 9 0 年初，k e p h a r t 和w h i t e 根据生物学上流 行病的传播模型提出了计算机病毒的第一个传播模型，也就是s i s 模型。一些学者 在此模型的基础上提出了更为精准的模型，如b i m a lk u m a rm i s h r a ，d i n e s hs a i n i 根 据信息在网络中的传输延迟，提出s e i r s 模型【2 j 。j o s er c p i q u e i r a ，a d o l f oa d e v a s c o n c e l o s 等分析了s i r 、a i r 、s a i 模型，并提出动态的s a i c 模型1 3 。f a n g w e iw a n g ， y u n k a iz h a n g ，c h a n g g u a n gw a n g 等人根据蠕虫传播特性提出s e i q v 模型1 4 j 。h u a y u a n ，g u o q i n gc h e n 等人考虑了网络中点到组的信息传播情况，提出一个扩展的 s e i r 模型，即e s e i r ，且利用l y a p 岫o v 函数对该模型的稳定性进行了分析f 5 j 。 计算机病毒的检测是反病毒技术的关键，传播模型的研究就是为病毒的预防及 检测服务。张波云，殷建平等人把支持向量机技术应用到未知病毒检测中1 6 j ；李涛 把免疫理论应用到计算机病毒的动态检测，通过基因进化和编码机制降低错误率【7 1 ； 郑重，王志英等人把行为序列运用到未知计算机病毒的检测t s j 。r o b e r t op e r d i s c i ， a n d r e al a n z i ，w e n k el e e 用支持向量机对打包文件进行分析检测例。 然而，计算机病毒的传播还受到其它许多人为因素和客观原因的影响，使得计 算机病毒的传播和预防检测研究尚存在一些难解决的问题。现有的传播模型及预防 检测研究的不足有以下几个方面： 1 忽略了通过可移动存储介质传播的病毒传播模型的研究。目前，越来越多 的病毒同时通过两种途径进行传播，而对病毒传播的研究却集中在网络病毒传播特 点，忽略了对移动存储介质途径特点的研究。 在研究网络病毒时，网络的一些硬件可以省略，因为一台计算机通过口地址 可以访问网内的任何一台计算机，然而在研究u 盘病毒的传播时，u 盘的使用范围 是有限的，并且病毒从计算机向u 盘感染和u 盘上的病毒向计算机传播这两个感 染率是不样的。所以单纯的以上模型不能描绘u 盘病毒的传播过程。目前对于通 过中介设备传播的计算机病毒传播模型的研究还较少，不能为u 盘病毒的预防提出 更有效的参数和策略。例如，左黎明，刘二根等人提出了u 盘病毒随机传播模型， 该模型假设主机不具有免疫功能，并且传播服从二项分布【l o 】；朱卫未，陈文惠等人 硕士学位论文 m a s t e r st l - i e s i s 用一个简单的差分方程来表示u 盘病毒的传播过程【1 1 1 。这些模型都存在明显的缺 点，一是模型太简单，不能概括传播过程中主机的所有状态，二是感染率简单，没 有考虑u 盘接口等因素对病毒感染率的影响。 2 对未知病毒的检测误报率高。目前，病毒检测技术主要基于特征检测法， 在检测病毒时，在病毒特征库中查找匹配病毒特征。此办法只能检测出已知病毒， 而不能检测出未知病毒。一些杀毒软件依靠检查常规内存数，实时监控法等技术来 预防和检测病毒，然而这些技术远远抵御不了新病毒的进攻。并且现有的病毒检测 方法都存在需要分析大量病毒样本，对未知病毒误报率高，检测模型不能及时更新 等问题。如何才能准确高效的检测出未知病毒，是反病毒技术人员目前研究的重点。 3 目前，木马猖獗，对未知木马的检测研究不足。“2 0 0 9 年全国信息网络安全 状况与计算机病毒疫情调查分析报告 显示，在我国最流行的前十种计算机病毒 中木马占了8 0 ，其中“灰鸽子 ，“网游大盗及变种等多年来一直广泛流行， 且利用木马技术的网上侵财活动仍呈快速增加趋势。目前，一般的杀毒软件对木马 的检测效率不高，而专门的木马查杀软件只能检测已知木马，不能检测未知木马。 本文正是着眼于上述的不足，建立新颖的u 盘病毒传播模型，并在模型分析基 础上提出防御策略，且设计出有效的未知病毒及木马检测方案。 1 3 计算机病毒的未来发展趋势 通过分析，可以发现近来计算机病毒的特点和新的发展趋势。 ( 1 ) 新计算机病毒不断涌现，数量急剧增加 根据计算机安全协会( i n t e r n a t i o n a lc o m p u t e rs e c u r i t ya s s o c i a t i o n ，i c s a ) 统计， 目前每天都会有超过2 0 种新的计算机病毒出现，以至于每年至少有8 0 0 0 种新病毒 涌现出来。由此可见，计算机病毒对于计算机信息系统的威胁越来越大。 ( 2 ) 计算机病毒传播方式的多样化 最初的计算机病毒主要通过硬盘、软盘等途径传播，随着新科技的发展，现在 的计算机病毒已能够通过所有的可移动数据载体( 光盘、硬盘、闪盘、手机、掌上 电脑等) 、局域网、远程管理以及i n t e m e t 等多种方式传播，并且i n t e m e t 的传播方 式就包括w w w 浏览、即时通信工具、f t p 下载及各种论坛等。 ( 3 ) 木马病毒的危害日益凸显 木马一般不具有普通计算机病毒自我繁殖的特点，但习惯上把它纳入广义的病 毒。普通的计算机病毒的破坏性表现在直接对主机的感染，木马主要目的是像间谍 一样潜入用户的主机中，获取主机控制权和窃取重要信息，如窃取用户输入的各种 4 密码等，使用户损失惨重。在我国流行的恶意代码中木马占了绝大多数，并且利用 木马技术的网上侵财活动仍呈快速增加趋势。 ( 4 ) 混合性特征加强 一些计算机病毒具有混合性特点，即同时具有文件感染、木马、蠕虫、黑客技 术，如熊猫烧香、机器狗等。还有某些病毒运行后既可以网络传播，又可以通过移 动存储设备传播，大大加强了病毒的感染性。更甚至有些病毒可以对抗杀毒软件。 1 4 本文的主要工作 本文主要研究计算机病毒的传播模型及预防检测策略。通过分析病毒的传播特 性及行为特征，提出新的u 盘病毒传播模型，并在所提模型的基础上，提出有效的 u 盘病毒防御策略。针对计算机病毒检测研究中存在的不足，提出有效的未知病毒 及木马检测方案。全文安排如下t 第一章，简要介绍计算机病毒的基本概念及其危害，指出本文研究的意义所在。 概述当前国内外研究现状及不足，并且简要介绍未来计算机病毒的发展趋势。 第二章，简要介绍了计算机病毒传播的两种方式，概述了目前的几种计算机病 毒传播模型及防御策略。为后续章节的研究奠定理论基础。 第三章，分析生物学中s e i r 模型，根据u 盘病毒传播各阶段的特性加入新的 状态和参数，提出新颖的u 盘病毒传播模型，从理论和实验的角度分析其稳定性， 进行各阶段的参数分析，为控制和消灭u 盘病毒的传播提供有价值的参考数据。在 所提模型基础上，提出u 盘病毒防御策略，检测插入系统的u 盘是否含有病毒， 并阻止u 盘上的病毒向计算机传播及已感染的计算机把病毒传染给u 盘。 第四章，针对s v m 利用a p i 短序列检测未知病毒时正常样本不完备及没考虑 a p i 及参数危险程度的缺陷，将互信息用于衡量a p i 和类别属性之间的统计关联程 度，作为危险度计算和s v m 检测结果融合的依据，研究出更有效的s v m 检测系统。 第五章，针对木马变形快，未知木马难检测的问题，分析并总结木马的行为特 征及a p i 函数调用规律，提出一个有效的未知木马检测方法。并根据检测结果，通 过词汇分析法动态调整攻击树，提高对未知木马的检测能力。 第六章，总结本文的研究工作，分析计算机病毒传播模型及预防检测下一步的 研究方向和研究重点。 5 第二章计算机病毒的传播与防御 2 1 计算机病毒的传播途径 传染性是计算机病毒最基本的特性，是否具有传染性更是判断一个程序是否为 病毒的首要条件。传染也是病毒生存期中重要的环节，从计算机病毒产生到现在， 病毒的传播途径有两种：可移动存储介质和网络。有些病毒能同时利用这两种途径， 传播速度更快，危害更严重。 2 1 1 基于可移动存储介质的病毒传播模式 早在网络还没有普及的时候，软盘、光盘是广泛使用且移动较频繁的存储介质， 是计算机病毒主要传播的载体。由于光盘容量较大，计算机病毒也可依赖盗版光盘 上存储的软件或游戏进行传播。 随着新科技的发展，u 盘、移动硬盘、m p 3 、存储卡、数码相机等各类移动设 备也成为计算机病毒攻击的对象。存储量超大的优点，使u 盘成为人们最常用的存 储设备，由于u 盘自身不会防毒，众多用户通过u 盘与电脑进行数据交换时，没 有进行扫描病毒的习惯，病毒很容易就能感染u 盘，为病毒的传播提供了更好的条 件。病毒“u 盘寄生虫一出现就以高感染率常居病毒榜前三名中，“能猫烧香 等重大计算机病毒纷纷把u 盘作为主要传播途径，很多木马、病毒的原始发源地都 是u 盘，其藏毒率已接近8 0 。 2 1 2 基于网络的病毒传播模式 目前，网络在世界内讯速发展，随着上网用户的增加，网络病毒的传播速度更 快，危害范围更广。它利用计算机网络的各种协议或命令、系统及网络漏洞等传播， 常见的方式有w w w 浏览、e m a i l 、即时通信工具、f t p 下载以及各种论坛。 近几年来的网络病毒严重影响了人们的生活。2 0 0 5 年出现的“灰鸽子 、“传奇 木马”、“狐狸王”和“性感烤鸡 等网络病毒给计算机用户造成了直接的经济损失； 2 0 0 6 年爆发的“敲诈者 、“熊猫烧香等病毒，使数百万用户深恶痛绝。2 0 0 7 年 的“威金”病毒在短短5 个月时间内就产生了1 8 8 个变种，感染了多达1 5 万余台 计算机，令人防不胜防；2 0 0 8 年“扫荡波”成为最强蠕虫病毒，它运行后遍历局域 网内所有计算机，扫描其漏洞并发起攻击，令数十万电脑网络崩溃。 6 硕士学位论炙 m a s t e r st h e s i s 2 2 几个经典的计算机病毒传播模型 计算机病毒之所以被称之为病毒，是因为它与生物病毒具有许多相似之处，如： 传染性、复制性、寄生性、破坏性等。学者们经过研究，借助生物学上成熟的理论 模型建立了计算机病毒的传播模型，如：s i s 模型、s i r 模型、s e i r 模型等。 2 2 1s i s 模型 s i s ( s u s c e p t i b l e i n f e c t e d s u s c e p t i b l e ) 模型将节点划分为两种状态：易感染状 态( s ) 及感染状态( i ) p 2 】。易感染状态( s ) 的节点上没有感染病毒，如果接触 已感染的节点，可能被病毒感染，感染状态( i ) 的节点已经感染上了某种病毒，且 试图向外传播病毒，即感染其它节点，是病毒的传播者。当s 态节点被病毒感染后 就成为i 态节点，一个i 态节点被治愈后又成为s 态节点。由于病毒清除后的节点 还有被新的病毒感染的可能，因此病毒很有可能在传播范围内反复存在。传播模型 如图2 1 所示。 8 ， 图2 1s i s 传播模型 s i s 传播模型可用微分方程表述如下： 鼍一阻七曩 一d i ：f l s z 一归 d t s ( o ) = n - i o ，( o ) = 厶 ( 2 1 ) 参数表示病毒感染率，脚表示s 态节点转化为i 态节点的增量，表示病 毒的清除率，矽代表单位时间内被清除病毒的i 态节点的数量。为所考虑的节点 总数，厶代表初始时刻被感染的主机数量。s i s 传播模型研究个体病毒的传播规律 并不太适合，因对特定的病毒来说，总是可以找到对其免疫的方法使得节点治愈之 后不会再被感染。 2 2 2s i r 模型 s i r ( s u s c e p t i b l e i n f e c t e d r e m o v e ) 模型【1 3 】把节点状态划分为：易感染状态( s ) ， 7 硕士学位论文 m a s t e r st h e s i s 感染状态( i ) 和免疫状态( r ) ，处于r 态的节点对特定的病毒具有免疫能力，即 不会被此病毒感染。传播模型如图2 2 所示。 图2 2s i r 传播模型 s i r 传播模型可用微分方程表述如下： 塑：一8 s i d t 面d = p s , 一矽 ( 2 2 ) d r ， 百2 s ( o ) = n 1 0 ，( o ) = i o ，r ( o ) = 0 参数y 代表病毒的清除率。s i s 传播模型和s i r 传播模型是生物学上两个主要 的流行病传播模型，如果直接利用它们研究计算机病毒的传播，会有一些不合理的 地方，如s i s 模型和s i r 模型不考虑外界因素对病毒传播的影响，而认为节点的状 态转换过程仅与常量和门旨关系。 2 2 3s e i r 模型 s e i r ( s u s c e p t i b l e e x p o s e d i n f e c t e d r e m o v e d ) 模型1 1 4 1 增加了一个潜伏状态( e ) ， 表示已经被潜入病毒代码但尚未显现出病毒特征，即尚未被激活的节点。s e i r 模 型认为病毒在传播过程中存在着感染延迟，即一个i 态节点将病毒代码传染给s 态 节点后，并不立即出现感染征兆，而是潜伏在个体主机中等待被激活，这时个体并 不能意识到已经携带病毒，当病毒被激活后转化为