（计算机科学与技术专业论文）计算机病毒智能检测技术研究.pdf

国防科学技术大学研究生院博士学位论文 摘要 日益泛滥的病毒问题已成为信息安全的最严重威胁之一。由于加密和变形病 毒的出现使得传统的特征扫描法不再有效，研究新的反病毒方法刻不容缓。本文 以统计学习理论为指导，对病毒的自动检测技术进行了深入研究，取得了以下几 个方面的研究成果： 1 提出了基于多重朴素贝叶斯算法的病毒动态检测框架。检测系统在虚拟机 中对可疑程序的行为进行监控，记录程序在运行时与操作系统交互过程中所调用 的a p i 函数相关信息，从中抽取特征输入检测器，检测器对样本集进行学习后即 可用于对可疑程序进行自动检测，该法能有效地检测目前日益流行的变形病毒。 2 提出了基于模糊模式识别的病毒动态检测新思路。检测系统用定义在特征 域上的模糊集来描述正常程序和病毒程序，然后采用“择近原则”进行模式分类。 通过使用模糊智能学习技术，系统检测准确率达到9 1 9 3 。 3 提出了基于支持向量机的病毒动态检测方法。注意到正常程序的a p i 调用 序列具有局部连续性的性质，受此启发探讨了以a p i 函数调用短序为特征空间的 病毒自动检测方法。将支持向量机应用到病毒检测中，可以保证在先验知识不足 的情况下，仍然有较好的分类正确率，这在较难获得大量病毒样本的情况下十分 有利。实验表明基于支持向量机的病毒动态检测模型能有效地将正常和异常程序 区分开来，只需要较少的病毒样本数据做训练，就能得到较高的检测精确率。由 于检测过程中提取的是程序的行为信息，故而可以有效地检测采用了加密、迷惑 化和动态库加载技术的病毒。 4 在借鉴传统特征扫描技术的基础上，提出了病毒静态分析检测方法。检测 系统以程序中静态抽取的n g r a m 信息为特征，根据特征的信息增益值进行特征选 择，应用粗糙集理论对所抽取的特征进行约简，消除冗余特征。检测系统通过统 计方法找出正常程序与病毒程序的差异性，病毒检测过程中不需人工事先提取病 毒的特征码。重点研究了基于核的属性约简方法，优化后的约简算法时间开销远 小于经典属性约简算法。 5 深入研究了集成神经网络作为模式识别器在病毒静态检测中的应用。在 b a g g i n g 算法的基础上，提出了i g b a g g i n g 集成方法。i g b a g g i n g 方法将基于信 息增益的特征选择技术引入集成神经网络的构建中，同时扰动训练数据和扰动输 入属性，使得生成的个体网络差异度大。实验结果表明，i g b a g g i n g 的泛化能力 比b a g g i n g 方法强，与a t t r i b u t eb a g g i n g 方法相当，但其效率远优于a t t r i b u t e b a g g i n g 方法。 6 提出了基于d s 证据理论的病毒动态检测与静态检测相融合的新方法。检 第i 页 国防科学技术大学研究生院博士学位论文 测系统采用支持向量机作为成员分类器对病毒的动态行为建模，使用概率神经网 络作为成员分类器对病毒的静态行为建模，最后将各成员分类器的检测结果用d s 证据理论融合。应用d s 证据理论进行信息融合的一个最重要的环节就是证据信 度值的确定。注意到相对某分类器，在对实际问题建模时都要尽力扩大类之间的 距离，其类可分性强，则其分类结果越好，据此提出了基于类间距离测度的证据 信度分配新方法。一般情形下d e m p s t e r 组合规则的复杂度为p c o m p l e t e ，在本文 的研究环境下，证明可以得到一种计算时间代价为d ( ) 的计算方法，说明提出的 病毒检测方法符合高性能需求。通过应用d s 证据理论组合异构分类器，提高了 集成病毒检测器的准确率，实验测试和结果分析表明该方法对未知和变形病毒均 具有良好的检测效果，且性能优于流行的商用反病毒工具软件。 主题词：信息安全计算机病毒统计学习理论模糊模式识别粗糙集理论 d s 证据理论 第i i 页 国防科学技术大学研究生院博士学位论文 a b s t r a c t c o m p u t e rv i r u s e sh a v eb e e no n eo ft h em o s ts e r i o u st h r e a t st oi n f o r m a t i o n s e c u r i t yd u et ot h es i g n i f i c a n td a m a g ea n dt h ef a s ts p r e a do ft h e m a sv i r u sb e c o m e m o r ec o m p l e xa n ds o p h i s t i c a t e d ，t h ec l a s s i c a ls c a n n i n gd e t e c t i o nm e t h o di sn ol o n g e r a b l et od e t e c tv a r i o u sf o r m so fv i r u sc o d ee f f e c t i v e l y i ti sc r u c i a lt o d e v e l o pn e w m e t h o d sf o rd e f e n d i n gv i r u s e s i nt h i sd i s s e r t a t i o n ，w ee x p l o r et h ei n t e l l i g e n tm e t h o d so f a u t o m a t i c a l l yd e t e c t i n gv i r u s e s b a s e do ns t a t i s t i c a l l e a r n i n gt h e o r y t h em a i n c o n t r i b u t i o n so ft h ed i s s e r t a t i o na r es u m m a r i z e da sf o l l o w i n g ： f i r s t l y ，am u l t i n o i v eb a y e sa l g o r i t h mt od e t e c tc o m p u t e rv i r u s e sa u t o m a t i c a l l yi s p r e s e n t e d t h i sm o d e lm o n i t o r sp r o g r a m si nt h ev i r t u a lm a c h i n et ol e a r nt h e i rb e h a v i o r a sp r o g r a mi n t e r a c t sw i t ho p e r a t i n gs y s t e ma tr u n t i m e ，t h em o s tr e l e v a n ta p ic a l l sa l e e x t r a c t e da sf e a t u r ev e c t o ri nd e t e c t i o ne n g i n e a f t e rb e i n gt r a i n e d ，t h em u l t i n a j f v e b a y e sc l a s s i f i e rc o u l db eu s e dt oc h e c km a l i c i o u sf i l e i ti sa l le f f i c i e n tm e t h o df o r d e t e c t i n gt h ep o l y m o r p h i cv i r u s e s s e c o n d l y ，u s i n gt h em e t h o db a s e do nf u z z yp a t t e r nr e c o g n i t i o na l g o r i t h m ，a n i n t e l l i g e n ts y s t e mt od e t e c tt h ec o m p u t e rv i r u s e si sp r o p o s e d i nt h i sm e t h o dt h e p r o g r a mf i l e sc o u l db ee x p r e s s e da sf u z z ys e t s t h e nt h ep r i n c i p l eo ff u z z yc l o s e n e s s o p t i m i z a t i o nt oc l a s s i f i c a t i o no fs a m p l e si sa p p l i e d e x p e r i m e n t a lr e s u l t ss h o wt h a tt h e m e t h o dc o u l dd e t e c tk n o w na n du n k n o w nv i r u s e sb ya n a l y z i n gt h e i rb e h a v i o r 。t h e a c c u r a c yo ft h ed e t e c t i o nm e t h o di s9 1 9 3 t h i r d l y ，am e t h o db a s e do ns u p p o r tv e c t o rm a c h i n e ( s v m ) i sp r o p o s e df o r d e t e c t i n gt h ec o m p u t e rv i r u s b yu t i l i z i n gs v m ，t h eg e n e r a l i z i n ga b i l i t yo fv i r u s d e t e c t i o ns y s t e mi ss t i l lg o o de v e nt h es a m p l ed a t a s e ts i z ei ss m a l l a ne x p e r i m e n tu s i n g s y s t e ma p if u n c t i o nc a l lt r a c ei sg i v e nt oi l l u s t r a t et h ep e r f o r m a n c eo ft h i sm o d e l i ti s f o u n dt h a tt h ed e t e c t i o ns y s t e mb a s e do ns v mn e e d sl e s sp r i o r ik n o w l e d g et h a no t h e r m e t h o d sa n dc a ns h o r t e nt h et r a i n i n gt i m eu n d e rt h es a m ed e t e c t i o np e r f o r m a n c e c o n d i t i o n t h ee n c r y p t e dv i r u s ，t h eo b f u s c a t e dv i r u sa n dt h ed y n a m i cl o a dl i b r a r yv i r u s c a l lb ed e t e c t e db ya n a l y z i n gt h eb e h a v i o ri n f o r m a t i o no ft h ep r o g r a m s j f o u r t h l y ，m o t i v a t e db yt h es t a n d a r ds i g n a t u r e b a s e dt e c h n i q u ef o rd e t e c t i n gv i r u s e s ， w ee x p l o r et h ei d e ao fa u t o m a t i c a l l yd e t e c t i n gv i r u s e sb yu s eo ft h en - g r a ma n a l y s i s t h eo r i g i n a ls a m p l ed a t ai sp r e p r o c e s s e dw i t ht h ek n o w l e d g er e d u c t i o na l g o r i t h mo f r o u g hs e tt h e o r y ，a n dt h er e d u n d a n tf e a t u r e sa r ee l i m i n a t e df r o mt h ew o r k i n gs a m p l e d a t a s e tt or e d u c es p a c ed i m e n s i o no fs a m p l ed a t a t h ed e t e c t i o ns y s t e mc a t e g o r i z e sa p r o g r a ma se i t h e rn o r m a lo ra b n o r m a lb yt h es t a t i s t i c a lm e t h o d i th a sn ou s ef o r e x t r a c t i n g t h ec h a r a c t e r i s t i cc o d eo fv i r u s e sb e f o r ed e t e c t i o n a ne f f i c i e n t i m p l e m e n t a t i o n t oc a l c u l a t er e l a t i v ec o r e ，b a s e do np o s i t i v er e g i o nd e f i n i t i o ni s p r e s e n t e d 第i i i 页 国防科学技术大学研究生院博士学位论文 f i f t h l y ，w eg e n e r a l i z et h ep r o b l e mo fn e u r a ln e t w o r ke n s e m b l eb yu s eo ft h e m o d i f i e db a g g i n gm e t h o dt od e t e c tp r e v i o u s l yu n k n o w nv i r u s e s a f t e rs e l e c t i n gf e a t u r e s b a s e do ni n f o r m a t i o ng a i n ，t h ep r o b a b i l i s t i cn e u r a ln e t w o r ki su s e di nt h ep r o c e s so f b u i l d i n ga n dt e s t i n gt h ep r o p o s e de n s e m b l es y s t e m e x p e r i m e n t a lr e s u l t sp r o d u c e db y t h ep r o p o s e dd e t e c t i o ne n g i n es h o wt h ei m p r o v e m e n to ft h eg e n e r a l i z a t i o nc o m p a r e dt o t h ec l a s s i c a lb a g g i n gm e t h o d a n dt h ea p p r o a c hy i e l d sg r e a te f f i c i e n c yc o m p a r e dt ot h e a t t r i b u t eb a g g i n gm e t h o d 。 l a s t ，w ep r e s e n tav i r u sd e t e c t i o ns y s t e mb a s e do nt h ed st h e o r yo fe v i d e n c e ，i n w h i c ht h ed y n a m i ca n ds t a t i c a n a l y s i sm e t h o d sa r ec o m b i n e d t h ed e t e c t i o ne n g i n e a p p l i e st w ot y p e so fc l a s s i f i e r , s u p p o r tv e c t o rm a c h i n ea n dp r o b a b i l i s t i cn e u r a ln e t w o r k t od e t e c tt h ev i r u s f o rs v mc l a s s i f i e r ，w ee x t r a c tt h ef e a t u r ev e c t o rb ym o n i t o r i n gt h e s a m p l e s a n dt h es t a t i cf e a t u r eo fs a m p l e si su s e di nt h ep r o b a b i l i s t i cn e u r a ln e t w o r k c l a s s i f i e r f i n a l l y ，t h ed - st h e o r yo fe v i d e n c ei su s e dt oc o m b i n et h ec o n t r i b u t i o no f e a c hi n d i v i d u a lc l a s s i f i e rt og i v et h ef i n a ld e c i s i o n t h ea p p r o a c ho ft h eb e l i e fe s t i m a t i o ni st h ek e yo fd st h e o r y w ep r o p o s ean e w m e t h o db a s e do ns t a t i s t i c a lm e a s u r eo ft h ei n d i v i d u a lc l a s s i f i e r i nag e n e r a lw a y ，t h e m a i na i mo fac l a s s i f i e ri st oe n l a r g et h ei n t e rc l a s sd i s t a n c e s ，h o w e v e rn om a r e rw h a t t h et h e o r yb e h i n di ti s t h a ti ss a yt h em o r eac l a s s i f i e ri sa b l et od i s c r i m i n a t eb e t w e e n t h ec l a s s e s ，t h eb e t t e rt h ec l a s s i f i c a t i o nr e s u l t si s b a s e do nt h i so b s e r v a t i o n ，w eu s ei n t e r c l a s sd i s t a n c e sa sa ne v i d e n c eo fo u rb e l i e f a sw ek n o wt h ec o m p l e x i t yo fd e m p s t e r sc o m b i n a t i o nr u l ei sp - c o m p l e t e b u ti n t h ed o m a i no fv i r u sd e t e c t i o n ，w ep r o v et h a ti t st i m ec o m p l e x i t yi so ( n ) i nt h er e s t r i c t e d s i t u a t i o n t h i ss h o w st h ep r e s e n t e dm e t h o di se f f i c i e n tf o rt h ed e t e c t i o no fv i r u s e s c o m p a r i s o ne x p e r i m e n t so np o l y m o r p h i cv i r u s e ss h o wt h a tt h ep e r f o r m a n c eo fo u r m e t h o di sb e t t e rt h a nt h a to ft h ec o m m e r c i a l g r a d ea n t i v i r u st o o l s k e yw o r d s ： in f o r m a t i o ns e c ur i t y ；c o m p u t e rv i r u s e s ；s t a t i s t i c a ll e a r n i n g t h e o r y ；f u z z yp a t t e r nr e c o g n i t i o n ；r o u g hs e tt h e o r y ；d e m p s t e r - s h a f e rt h e o r y o fe v i d e n c e 第i v 页 国防科学技术大学研究生院博士学位论文 图目录 图1 1c e r t c c 安全事件报告1 图1 2c e r l y c c 安全弱点报告2 图1 3 计算机病毒造成的全球经济损失情况3 图1 4f b i ，c s i 报道美国2 0 0 6 年安全事件造成的经济损失3 图1 5f b i c s i 报道美国不同安全事件发生的比例4 图1 6 中国计算机病毒感染率4 图1 7 中国计算机病毒发作造成破坏的情况5 图1 82 0 0 6 年度中国大陆地区电脑病毒疫情5 图1 9 病毒发展历程6 图1 1 0 基于生物免疫系统的病毒检测算法2 2 图1 1 1 基于生物免疫系统的病毒识别算法2 2 图1 1 2 本文研究内容关系图2 9 图2 1 基于多重朴素贝叶斯算法的病毒检测系统拓朴结构3 4 图2 2 基于多重朴素贝叶斯算法的病毒检测系统逻辑流程3 5 图2 3 应用g a t e k e e p e ri i 监控a p i 函数调用4 0 图2 4 分类器性能评价指标和混淆矩阵4 l 图2 5 错误率与样本数量的关系。4 2 图3 1 基于模糊模式识别的病毒检测系统逻辑流程4 6 图4 1a p i 函数调用短序获取5 3 图4 2r e l i e f 方法示意图5 5 图4 3 最优分类面5 7 图4 4 非线性映射图示5 9 图4 5 基于s v m 的病毒检测系统流程5 9 图5 1 滑动窗口方法( 窗口大小3b ”e ) 6 3 图5 2 基于粗糙集属性约简的病毒静态检测流程7 1 图5 3k n n 分类性能：。7 3 图5 4s 分类性能7 3 图5 5q u i c k r e d u c t 算法与基于核的约简算法时间开销比较7 4 图6 1b a g g i n g 集成技术的思路7 8 图6 2b o o s t i n g 集成示意图。8 0 图6 3 概率神经网络结构- 8 1 图6 4 应用i g - b a g g i n g 进行n e u r a ln e t w o r k 集成8 3 第v i i 页 国防科学技术大学研究生院博士学位论文 图6 5i g b a g g i n g 与a t t r i b u t eb a g g i n g 集成检测器的r o c 图8 4 图6 6i g - b a g g i n g 与b a g g i n g 集成检测器的r o c 图8 5 图6 7i g b a g g i n g 集成检测器与非集成p n n 检测器的r o c 图8 5 图6 8 文献 3 7 1 5 h 不同分类器的r o c 图8 6 图7 1 基于d s 证据理论的病毒检测系统框图9 0 图7 2s 形传递函数l o g i s t i cf u n c t i o n 9 4 图7 3 基于类间距离测度的信度分配算法流程9 5 图7 4 文献 1 8 7 提出的集成检测器与集成p n n 和s v m 的r o c 图9 8 图7 5 修正后的d s 集成检测器与集成p n n 和s v m 的r o c 图9 8 图7 6 基于距离测度的d s 集成检测器与集成p n n 和s v m 的r o c 图9 9 图7 7 不同集成方式的病毒检测系统r o c 图9 9 第v m 页 国防科学技术大学研究生院博士学位论文 表目录 表1 12 0 0 6c s i f b i 计算机犯罪与安全调查2 表1 2 病毒发展史上的里程碑事件7 表1 3 主要恶意代码11 表1 4 病毒的功能结构1 4 表2 1 基于a p i 函数调用的特征向量列表3 7 表2 2 贝叶斯算法发现的分类规则示例3 8 表2 3 基于多重贝叶斯分类的病毒检测算法3 9 表2 4g a t e k e e p e r 记录的a p i 函数调用信息4 0 表2 5m n b 与n b 的分类精确度比较( ) 4 2 表2 6 显著水平0 0 5 时m n b n b 双边t 检验的结果4 2 表3 1 基于模糊模式识别的病毒检测算法4 8 表3 2f p r 与m n b 的分类精确度比较( ) 4 9 表3 3 显著水平0 0 5 时f p r m n b 双边t 检验的结果。4 9 表4 1r e l i e f 算法5 4 表4 2r e l i e f f 算法5 5 表4 3 数据集中的进程和a p i 短序( 长度k = 7 ) 分布情况6 0 表4 4 选择不同核函数时s v m 的分类性能6 0 表4 5 不同( c ， r ) 条件下s v m 分类性能6 1 表4 6 显著水平0 0 5 时s 、礓直f p r 及s v m m n b 双边t 检验的结果6 1 表5 1 特征频率分布矩阵( n - 2 ) 6 4 表5 2 特征的信息增益值( ，l = 2 ) 6 5 表5 3q u i c k r e d u c t 算法6 8 表5 4 求核算法6 9 表5 5 基于核的属性约简算法7 0 表5 6 基于r s t 属性约简的病毒检测系统性能7 2 表5 7q u i c k r e d u c t 属性约简算法与基于核的属性约简算法性能比较7 4 表6 1b a g g i n g 算法7 8 表6 2i g - b a g g i n g 算法8 2 表6 3i g b a g g i n g 与其他集成方法性能比较8 4 表7 1d - sb a g g i n g 算法9 1 表7 2 不同集成分类器的检测结果9 7 表7 3 不同检测器对变形病毒的检测结果1 0 0 第v 页 国防科学技术大学研究生院博士学位论文 表8 1 本文不同检测方法性能比较1 0 3 第v i 页 独创性声明 本人声明所呈交的学位论文是我本人在导师指导下进行的研究工作及取得的研 究成果。尽我所知，除了文中特别加以标注和致谢的地方外，论文中不包含其他人已 经发表和撰写过的研究成果，也不包含为获得国防科学技术大学或其它教育机构的学 位或证书而使用过的材料。与我一同工作的同志对本研究所做的任何贡献均已在论文 中作了明确的说明并表示谢意。 学位论文题目： 盐篁扭痘盔童能拴型挞：苤盟窒 学位论文作者始虹 魄呷年p 月z 日 学位论文版权使用授权书 本人完全了解国防科学技术大学有关保留、使用学位论文的规定。本人授权国 防科学技术大学可以保留并向国家有关部门或机构送交论文的复印件和电子文档，允 许论文被查阅和借阅；可以将学位论文的全部或部分内容编入有关数据库进行检索， 可以采用影印缩印或扫描等复制手段保存汇编学位论文。 ( 保密学位论文在解密后适用本授权书。) 学位论文作者签名：逊鱼 一 作者指导教师签名：脚 日期：加吵年p 月2 日 喊岬年￥月z 日 国防科学技术大学研究生院博士学位论文 第一章绪论 1 1 引言 i n t e r n e t 改变了人们生活方式和工作方式，改变了全球的经济结构、社会结构， i n t e m e t 越来越成为人类物质社会的最重要组成部分，成为2 0 世纪最杰出的研究成 果。但是，在互联网高速发展的同时，网络安全问题也日益严重【卜引。 据c e r t c c ( c o m p u t e re m e r g e n c yr e s p o n s et e a m c o o r d i n a t i o nc e n t e r ，c e r t ) 报道【4 】，自1 9 9 8 年以来，i n t e r n e t 安全威胁事件逐年上升，近年来的增长态势变得 尤为迅猛，从1 9 9 8 年到2 0 0 3 年，平均年增长幅度达5 0 左右，如图1 1 所示。 1 9 8 81 9 9 01 9 9 21 9 9 41 9 9 61 9 9 82 0 0 02 0 0 2 图1 1c e r t c c 安全事件报告 导致这些安全事件的主要因素是系统和网络安全脆弱性( v u l n e r a b i l i t y ) 层出不 穷，从1 9 9 5 年到2 0 0 3 年c e r t 各年度接到的脆弱性报告数逐年增多，如图1 2 所 示。这些安全威胁事件给i n t e m e t 带来了巨大的经济损失。由于攻击数量如此之多， 因此无法仅从安全事件的数量得到有关攻击范围和影响的更为有效的信息，从 2 0 0 4 年开始，c e r t c c 更为重视专门的安全事件报告【5 】。 在所有安全事件中，计算机病毒的攻击占有最大的比例。计算机病毒数量不 断增多，传播日益广泛，给世界各国带来了巨大的经济损失。根据c o m p u t e r e c o n o m i c s 的报告哺3 ，从1 9 9 9 年以来，全球每一年因病毒而造成的生产效率降低、 清理被感染的计算机和恢复破坏所需总费用都在1 0 0 亿美元以上，图1 3 列出了 1 9 9 5 年至2 0 0 5 年间计算机病毒造成的全球经济损失情况。如果按照攻击者试图攻 击网络的次数的平均数来计算，平均用来清理每个病毒事件的费用为2 2 0 0 0 美元。 第1 页 o o o 0 o o o 0 0 0 o o o o 0 o o o o o o o o o o o o o 0 0 o o o 8 4 2 o 8 6 4 2 国防科学技术大学研究生院博士学位论文 1 9 9 51 9 9 61 9 9 71 9 9 81 9 9 92 0 0 02 0 0 12 0 0 22 0 0 3 图1 2c e r t c c 安全弱点报告 美国联邦调查局( f b i ) 和计算机安全协会( c s i ) 最近发布的研究报告( ( 2 0 0 6 c s i f b ic o m p u t e rc r i m ea n ds e c u r i t ys i j l 王v e y r 7 】指出，2 0 0 6 年美国 i n t e m e t 安全事件中，病毒造成的直接经济损失占有最大的比例，为1 5 ，6 9 1 , 4 5 0 美 元，如表1 1 、图1 4 所示。报告显示，自2 0 0 0 年以来，病毒攻击事件发生次数在 计算机系统安全攻击事件排名中一直高居榜首，如图1 5 所示。 表l - 12 0 0 6c s i f b i 计算机犯罪与安全调查 s o m eo ft h ek e yf i n d i n g sf r o mt h ep a r t i c i p a n t si nt h i sy e a r ss u r v e y a r es u m m a r i z e db e l o w ： 口v i r u sa t t a c k sc o n t i n u et ob et h es o u r c eo ft h eg r e a t e s tf i n a n c i a l l o s s e s u n a u t h o r i z e da c c e s sc o n t i n u e st ob et h es e c o n d - g r e a t e s ts o u r c eo f f i n a n c i a ll o s s f i n a n c i a ll o s s e sr e l a t e dt ol a p t o p s1 0 rm o b i l eh a r d w a r e ) a n dt h 啦o f p r o p r i e t a r yi n f o r m a t i o ni i e i n t e l l e c t u a lp r o p e r t y ) a r et h i r d a n d f o u r t h t h e s ef o u rc a t e g o r i e sa c c o u n tf o rm o r et h a n7 4p e r c e n to f f i n a n c i a ll o s s e s 同样，在国内病毒造成的破坏也不容忽视。我国公安部公共信息网络安全监 察局发布的2 0 0 6 年全国信息网络安全状况与计算机病毒疫情调查分析报告【8 】 显示：2 0 0 5 年5 月至2 0 0 6 年5 月，5 4 的被调查单位发生过信息网络安全事件， 其中发生过3 次以上的占2 2 。感染计算机病毒、蠕虫和木马程序仍然是最突出 的网络安全情况，占发生安全事件总数的8 4 。调查结果显示，全年计算机病毒 感染率为7 4 ，多次感染病毒的比率为5 2 。计算机病毒发作造成损失的比例为 6 2 。如图1 6 、1 7 所示。 第2 页 o 钙们筋加坫加5 国防科学技术大学研究生院博士学位论文 f i n a n c i a li m p a c to fv i r u sa t t a c k s19 9 5 - - 2 0 0 5 2 3 c 5 2 0 0 4 2 0 c 3 趵0 2 2 3 c 1 约o o 1 3 9 9 1 9 9 8 19 3 ， 1 9 蛹 1 9 s s s ，：；呵oc o ，p c u r o re ；g n c 汀1 l c 车，2 6 s 1421 3 1 1i e 1 17 5b i l l i o n 1 3o 融l i o n t 1 1 翰l i o n 32bj l i o r 7 e 套l lj o n 130b ii i o n 61b i l b n f f 331 3 1 ii c 1 18b i i i 明 0 0 ”i “o r 图1 3 计算机病毒造成的全球经济损失情况 惭鼻田n 1 4 1 n y ；o n u n 诤o 捌j 韩蹦们i q i d m f ：口“ _ j ：do r 劬i eh l r - j w a r z h c p t i e t ：fp r d ：r m l a r ll 丌f d 邗eo n 口朋i ! ja l 艟n e e l q n l n c , a l | f i t u d h 瓠d nj l u s e 一tl c ：叠sn 咖引 州e ：q t i5 u d 3 阢l ：，n 一幽酷l 一柏n 。ear 譬酽i ，：o n s 弘 亡“砷1 扩甜站ni l ，o ：i n 酣 p h i ；n n gi - w h c h n 0 矿j ：弘 l l l 2 l ! f 1 d uj e n l br l l ；i ! ! e 州叫, i s * n d ： b 。霹口1wr ej c 茹n c ： n 。k i n s l a n lm 啷瑚i ! u 5 p 蛳s u s p f 口t i kw e aa c p lc ra _ 抽b r 如e d i c l 口r 舵聃硝h w 曲i t ed 酽l c ! 开p ： p a s mr df 黼n g x l _ o e 旷炉u ra i ；a n7 a l i ：n 。1 k s5 e ! f 朗h # t 0 0 筻b t ：5 5 0 ) s 2 刮 p ， j l ：m ：3 3 ： i 一妣 一s o * 一 一“ = = ：明 矬叫日 _ = j = r m3 1 9 1 二1 0 ：搠姗 卜洲) ) i e - c z j 卜e 1 “ u 、z 嫩j u 图1 4f b i c s i 报道美国2 0 0 6 年安全事件造成的经济损失 第3 页 国防科学技术大学研究生院博士学位论文 一 0 o 、八 i o | 一- o o 刃 t ：i j ) 【( 歹+ l y i ) j v j + 1 1 ，i ) 歹i 】 吼( t ，j 3 ，( f ，j + 1 1 ，i 1 ) = v q a 【( 3 t 3 t t “ f ，和单元7 使得 ( 1 5 ) 单元远离病毒， ( 1 6 ) 带上单元从，开始包含病毒， ( 1 7 ) 并且存在一个t 和f 之间的时刻t ”，病毒1 ，被肘写在带上。 口 为了简洁，表达式口j c 用来表示以上定义中从第( 1 2 ) 行开始的部分，其 中a , b ，c 分别是1 ，m y 的特定的实例，即 第9 页 国防科学技术大学研究生院博士学位论文 v ( b ，c ) 【( b ，c ) 刃j 厂 口 i 【c c ，】 【召m i ( v a ec ) 【口j cl lj 以上的定义在所有图灵机上定义了谓词y 。这个定义使得病毒集的一个给定 元素可以产生任意数目的该集合的其他元素( 依赖于带上的其他部分