（计算机应用技术专业论文）校园网病毒传播机理分析与预防.pdf

独创性声明 本人声明所呈交的论文是我个人在导师指导下进行的研究工作及取得的研 究成果。尽我所知，除了文中特别加以标注和致谢的地方外，论文中不包含其 他人已经发表或撰写过的研究成果，也不包含为获得北京工业大学或其它教育 机构的学位或证书而使用过的材料。与我一同工作的同志对本研究所做的任何 贡献均已在论文中作了明确的说明并表示了谢意。 签名：缘盔 关于论文使用授权的说明 本人完全了解北京工业大学有关保留、使用学位论文的规定，即：学校有 权保留送交论文的复印件，允许论文被查阅和借阅；学校可以公布论文的全部 或部分内容，可以采用影印、缩印或其他复制手段保存论文。 ( 保密的论文在解密后应遵守此规定) 签名：j 玺垄盔导师签名： 摘要 摘要 校园网时刻受到来自校园内、外病毒的威胁，包括已知病毒和未知病毒的 威胁。认识和掌握病毒发生、发展的规律，将有助于在校园网内采取有效的防 御措施，有助于建立比较安全的防御体系。 可以从不同的角度，采用不同的手段分析和认识病毒的发生、发展规律， 但目的都是一致的。本文以广泛收集校园网的一手资料为基础，对部分资料加 以整理、分析，从对病毒建立数学模型，分析其传播机理的角度作了初步的探 索。本文分析了a r p 病毒在校园网中的传播机理，从建立数学模型，到对模型 推导结果，给出了校园网中预防a r p 病毒的有效措施。其意义在于从理论上对 今后校园网的管理工作给予支持，以期在校园网中，更好的预防和清除病毒。 本文首先对国内外有关复杂网络病毒建模和校园网防杀病毒方面的研究现 状作了细致的了解和跟踪。对计算机病毒的种类、本质和特征加以分析，阐述 了在实际校园网管理中，为维护校园网安全所做的一系列工作，并且建立了目 前校园网中比较行之有效的安全防护体系。运用复杂网络中针对病毒建模的研 究方法，分析建立了对校园网病毒建立数学模型的一般方法。定义了计算机与 病毒之间关系的三种状态，阐述了三种状态之间的相互转换关系，以及病毒传 播的一般模式。 本文运用现有的校园网设备和软件，广泛的收集校园网管理中的一手资料， 特别是针对近两年来校园网内频繁出现的a r p 病毒，有针对性的整理了a r p 病毒的资料，分析了a r p 病毒的表现和攻击原理。在此基础上，运用数学建模 的知识和常微分方程的知识，对采集的部分数据进行了数学模型的建立和结果 的推导、分析。 本文基本数据来自于真实的校园网环境，可操作性强。在充分认知复杂网 络和病毒基本知识的前提下，运用已经掌握的常微分方程的知识，分别建立了 在无防御措施之下电脑感染病毒的数学模型和安装赛门铁克实时更新防杀病毒 软件之后的数学模型并对其进行了推导和求解。同时分析和验证了数学模型的 推导结果与校园网实际采取措施的一致性。在分析了病毒的数学模型之后，进 一步提出了整治校园网中a r p 病毒的具体措施，以期未来变校园网被动防毒为 主动防毒。 关键词复杂网络；校园网；病毒；数学模型；传播机理 i i a b s t r a c t a b s t r a c t w ek n o wt h a tt h ev i r u s e st h r e a tt h ec a m p u sn e t w o r kb yt h et i m e ，i n c l u d i n gb o m k n o w na n du n k n o w nv i r u s u n d e r s t a n d i n ga n dm a s t e r i n gt h ev i r u so c c u r r e d ，i tw i l l c o n t r i b u t et ot a k ee f f e c t i v ed e f e n s ei nt h ec a m p u sn e t w o r k i tw i l lb u i l dm o r es e c u r e d e f e n s es y s t e m e v e r y o n ec a l lu n d e r s t a n dt h ev i r u sf r o md i f f e r e n ta n g l e s 1w o r ki nn e t w o r k c e n t e ro fu n i v e r s i t y t h e nic a ng e ts o m ei n f o r m a t i o na b o u tc a m p u sn e t w o r k ic a l l a n a l y s i st h e s ei n f o r m a t i o n it r yt oe s t a b l i s ht h ev i r u sm a t h e m a t i c a lm o d e l sa n d a n a l y s i st h ev i r u sp r o p a g a t i o nm e c h a n i s m t h ec r e a t i v i t yi sm a i n l yf r o mt h e p e r s p e c t i v eo ft h ev i r u sm a t h e m a t i c a lm o d e lt oa n a l y z et h ea r p v i r u si nt h ec a m p u s n e t w o r ka n dp r o p a g a t i o nm e c h a n i s m ，a sw e l la sf r o mt h em a t h e m a t i c a lm o d e lo fa f o r m u l ad e r i v e dr e s u l t sa r eg i v e nt op r e v e n tc a m p u sn e t w o r ki nt h ea r pe f f e c t i v e m e a s u r e s t h ef u t u r eo ft h ec a m p u sn e t w o r km a n a g e m e n tw o r ki nt h e o r yw a s s u p p o r t e dw i t ha v i e wt ot h ef u t u r eo ft h ec a m p u sn e t w o r km a n a g e m e n t i ti sb e t t e r p r e v e n t i o na n dr e m o v a lo f t h en e wv i r u s f i r s t l y , iu n d e r s t a n da n dt r a c kt h ei n f o r m a t i o na b o u tc o m p l e xn e t w o r ka n dv i r u s m a t h e m a t i c a lm o d e l so fd o m e s t i ca n df o r e i g n u n d e r s t a n d i n gt h ec h a r a c t e r so fv i r u s e x p r e s s i n gt h ew o r kf o rt h es e c u r eo fc a m p u sn e t w o r k e s t a b l i s h i n gt h es e c u r i t y s y s t e mi nt h ec u r r e n tc a m p u sn e t w o r k e x p r e s s i n gt h eg e n e r a la p p r o a c hf o rt h e e s t a b l i s h m e n to fv i r u sm a t h e m a t i c a lm o d e l si nt h ec o m p l e xn e t w o r k d e f i n i t i n gt h e t h r e es t a t e so fb e t w e e nt h ec a m p u sn e t w o r ka n dv i r u s d e s c r i p t i n gt h ec o n v e r s i o no f t h r e es t a t e s ，a sw e l la st h eg e n e r a lm o d eo ft h ev i r u st r a n s m i s s i o n s e c o n d l y , u s i n gt h ec a m p u sn e t w o r ke q u i p m e n ta n ds o r w a r e ，s u c ha s ：s w i t c h e s ， f l o wm o n i t o r i n ge q u i p m e n t ，b i l l i n gs y s t e m ，s y m a n t e ca n t i - a n t i v i r u ss o r w a r ea n d f i r e w a l l ，c o l l e c t i n gt h ef i r s t - h a n di n f o r m a t i o no ft h ec a m p u sn e t w o r k e s p e c i a l l y c o l l e c t i n gt h ei n f o r m a t i o na b o u ta n a l y s i s i n gt h ea r p v i r u sa t t a c k sp r i n c i p l e o nt h i s b a s i s ，e s t a b l i s h i n gt h em a t h e m a t i c a lm o d e l s o fo r d i n a r y d i f f e r e n t i a l e q u a t i o n s a n a l y s i s i n gt h ee q u a t i o n sa n di t sr e s u l t s i nt h i sp a p e r , t h et h e o r e t i c a la n dp r a c t i c a ls i g n i f i c a n c ei s ：b a s i cd a t af r o mt h e r e a l c a m p u sn e t w o r k e n v i r o n m e n t i tc a nb eh i g h l yw o r k a b l e w h i l ef u l l y u n d e r s t a n d i n gc o m p l e xn e t w o r k sa n db a s i ck n o w l e d g eo ft h ev i r u s ，u n d e rt h e p r e m i s eo ft h eu s eo fo r d i n a r yd i f f e r e n t i a le q u a t i o n s ih a v ea l r e a d ym a s t e r e dt h e k n o w l e d g e t ob u i l dan o n d e f e n s i v em e a s u r e su n d e rt h ei n f e c t e d c o m p u t e r i i i 北京工业大学工学硕士学位论文 m a t h e m a t i c a lm o d e l s a f t e rr e a l - t i m eu p d a t e st oi n s t a l ls y m a n t e cs o f t w a r e t h e m a t h e m a t i c a lm o d e la n dt h ed e r i v a t i o na n di t ss o l u t i o n a tt h es m r n et i m e ，a n d v e r i f i c a t i o no fam a t h e m a t i c a lm o d e lo ft h ec a m p u sn e t w o r kd e r i v e dr e s u l t sa n d p r a c t i c a lm e a s u r e so fc o n s i s t e n c y k e y w o r d sc o m p l e xn e t w o r k s ；c a m p u sn e t w o r k ；v i r u s ；m a t h e m a t i c a lm o d e l ； p r o p a g a t i o nm e c h a n i s m i v 目录 目录 捐要、 a b s t r a c t 1ii 第1 章绪论1 1 1 项目背景及其意义l 1 2 病毒传播机理和预防研究现状3 1 2 1 国内研究现状。3 1 2 2 国外研究现状4 1 3 本课题的研究工作及组织。4 1 3 1 本课题的研究工作4 1 3 2 文章的组织情况5 第2 章复杂网络、病毒和校园网防护体系7 2 1 复杂网络研究简史和内容7 2 1 1 复杂网络研究简史7 2 1 2 复杂网络研究的内容8 2 2 网络的图表示8 2 3 计算机病毒定义及其特征9 2 3 1 计算机病毒的概念9 2 3 2 计算机病毒的由来9 2 3 3 计算机病毒的特征9 2 3 4 计算机病毒的工作机制1 0 2 4 计算机病毒的分类、破坏方式及一般症状1 1 2 4 1 计算机病毒的分类1 1 2 4 2 计算机病毒的破坏方式1 2 2 4 3 计算机病毒的一般症状1 3 2 5 现在校园网的安全防护体系1 4 2 5 1 校园网1 4 2 5 2 校园网的安全隐患1 5 2 5 3 安全防护体系的建立1 5 2 6 本章小结1 8 第3 章病毒的数学模型和计算机的三种状态1 9 3 1 数学模型1 9 3 1 1 数学模型的概念1 9 3 1 2 建立数学模型的一般方法和步骤1 9 3 2 计算机病毒数学模型的建立2 0 3 3 病毒的数学模型和计算机的三种状态2 l 3 4 建立计算机病毒数学模型的意义2 2 3 5 本章小结2 3 。v 北京工业大学工学硕七学位论文 第4 章校园网中病毒的资料收集和分析2 5 4 1 校园网内的a r p 病毒2 5 4 2 校园网内a r p 病毒爆发的时间特点2 8 4 3a r p 地址解析协议分析2 8 4 4j 哪攻击原理2 9 4 4 1 对内网i p m a c 的欺骗2 9 4 4 2 交换机的c a m 欺骗3 0 4 4 3d h c p 服务的攻击3 l 4 5a r p 病毒分析。31 4 6 本章小结31 第5 章a r p 病毒传播机理的分析和预防措施3 3 5 1a r p 病毒数学模型的建立3 3 5 1 1 无防御措施阶段，电脑感染病毒的数学模型的建立与分析3 4 5 1 2 病毒库更新前后阶段的数学模型的建立和分析。3 7 5 2 网络流量与a r p 病毒传播的关系4 0 5 3 校园网上的免疫策略4 0 5 4 在校园网中采取的防御措施4 1 5 4 1 应急措施4 1 5 4 2 定期防御4 2 5 5 本章小结4 3 结论。4 5 参考文献4 7 攻读学位期间发表的学术论文5 1 致 射5 3 第l 章绪论 1 1 项目背景及其意义 第1 章绪论 2 0 世纪9 0 年代以来，以i n t e r n c t 为代表的信息技术的迅猛发展使人类 社会大步迈入了网络时代。从i n t e r n c t 到w w w ，从大型电力网络到全球交 通网络，从生物体中的大脑到各种新陈代谢网络，从科研合作网络到各种 经济、政治、社会关系网络等等，可以说，人们已经生活在一个充满着各 种各样的复杂网络的世界中。 什么是复杂网络? 钱学森给出了一个严格的定义：具有自组织、自相 似、吸引子、小世界、无标度中部分或全部性质的网络称为复杂网络。复 杂网络就是具有复杂拓扑结构和动力学行为的大规模网络，它是由大量的 节点通过边的相互连接而构成的。在生活中存在大量的复杂网络，例如 i n t e r n e t 、w w w 、电力网络、高速公路网络等，因此研究这些复杂网络的 行为是特别有意义的i l j 。 当然，人类社会的网络化是一把“双刃剑”：它既给人类社会生产与生 活带来了极大的便利，提高了人类生产效率和生活质量，但也给人类社会 生活带来了一定的负面冲击，如传染病和计算机病毒的快速传播，大面积 的停电事故，海底光缆折断等。因此，人类社会的日益网络化需要我们对 各种复杂网络的行为有更好的认识。 近年来，计算机病毒的种类越来越多，破坏性日益剧烈，对网络的安 全构成极大威胁。面对如此严峻的形势，人们进行了大量的研究工作，提 出了许多防病毒、反病毒、查杀病毒的技术和策略。遗憾的是，就像没有 任何一种药可以治疗所有的疾病一样，在网络世界也没有种杀毒软件可 以查杀所有可能出现的计算机病毒，没有一种防护措施可以将所有的病毒 都拒之门外。为了增强互联网抵御病毒袭击的能力，更有效地对抗计算机 病毒，有必要深刻理解计算机病毒在互联网中的传播机理。 据江民科技反病毒中心统计，从2 0 0 7 年1 月1 日到2 0 0 7 年6 月3 0 日， 反病毒中心共截获新病毒7 3 9 7 2 种，较去年同期增长了2 2 1 。江民k v 病 毒预警中心显示，1 至6 月全国共有1 4 0 8 1 8 9 5 台计算机感染了病毒。十大 病毒中，“a n i 病毒”凭借新的挂马方式，以传播范围广破坏力强，高居病 毒排行榜首位，成为上半年的“毒王”，现在一半以上挂马网页都使用了这 种方式。“u 盘寄生虫”病毒位居排行榜第二，该病毒利用u 盘等移动设备 进行传播，短短一周就感染了5 5 6 5 台计算机。位居第三的是“威金系列病 毒，最出名的当属“熊猫烧香”，在1 月3 月期间尤其猖獗。此外，a r p 类 北京工业大学工学硕士学位论文 病毒采取一种欺骗技术，这半年来被越来越多的病毒所使用，是病毒发展 的一个新趋势，这类病毒目前在排行榜中名列第四。而位居第五、第六位 的“代理木马”和“网游大盗”都是具有盗窃特征的木马，前者可以偷取计算 机用户机密信息，后者可盗取网络游戏玩家帐号密码。位居第七、八、九 位的“鞋匠”病毒、“广告泡泡”、“埃德罗”虽然这些病毒编写的方法原理不 同，但他们都属于广告程序，中毒后计算机的特征之一就是都会自动弹出 广告页面。“i s t b a r 脚本”是一个木马脚本类病毒，中毒后计算机也会出现主 页被修改，和自动弹出广告的症状，位居排行榜第十。( 资料来自于江民 科技网站) 其具体统计结果是： 表1 12 0 0 7 年上半年病毒报告汇总 t a b l e1 - 1t h ev i r u sr e p o r t si nt h ef i r s th a l f o f 2 0 0 7 感染病毒种类感染电脑台数所占比例 木马病毒 9 4 8 9 6 4 96 7 - 3 8 广告程序 1 8 5 9 1 6 51 3 2 0 后门程序9 2 8 2 9 46 5 9 蠕虫病毒 7 8 2 3 8 05 5 5 漏洞攻击 3 5 9 7 7 22 5 5 脚本病毒 4 2 3 4 60 3 0 2 0 0 5 年以来，a r p 病毒在我校校园网中是时有发现，是近年来对校园 网危害最大的病毒。一方面，在a r p 病毒发作的区域，其他网络用户受到 严重的干扰，甚至无法上网；另一方面，由于a r p 病毒的特点和破坏性， 从实际的控制效果看，并没有做到对其根治，彻底消灭，到目前为止，校 园网中时有出现，对校园网管理者网络中心的形象也有一定的负面影响。 分析计算机病毒在校园网上的传播机理，正是建立在充分认知校园网 的复杂网络特性基础之上的，建立其病毒的数学模型并分析其传播机理， 已成为计算机病毒研究的一个重要组成部分。基于此，做为北京工业大学 计算机学院高校教师硕士研究生的毕业论文，同时，借助于自己在北京物 资学院网络中心多年管理校园网的工作经验，将围绕计算机病毒在校园网 中的传播机理这一主题，研究给出校园网中a r p 病毒的改进传播模型，并 根据实际管理中收集的数据分析其传播机理，以及分析在校园网中采取的 防御措施与数学模型的一致性。 就本课题而言，我的主要任务是分析整理在校园网采集的数据，分析 病毒数学模型并对其加以改进，对其进行求解分析，使其更加适合在校园 2 第l 章绪论 网络环境下的分析状况，对比校园网中收集的a r p 数据，从理论上验证校 园网预防措施的正确性，并对今后校园网的安全给以理论上的指导。 1 2 病毒传播机理和预防研究现状 1 2 1 国内研究现状 从2 0 0 4 年开始，国内每年都举行复杂系统的专题研讨会。 目前国内的武汉大学、上海交通大学、上海理工大学、香港城市大学 等都处于复杂系统研究的前沿。北京工业大学生命学院的赵芳翠老师也在 运用复杂系统的理论研究生命科学问题。 科学地理解网络的复杂性和实际应用已成为网络时代复杂性科学研究 中极具挑战性的课题。 2 0 0 6 年1 2 月1 1 日1 3 日，在中国高等科学技术中心( c c a s t ) 与国 家自然科学基金会( n s f c ) 联合支持下，国家自然科学基金重点项目“非 线性网络的复杂性研究”联合研究组( 中国原子能科学研究院、上海交通大 学、北京师范大学) 在北京发起组织召开了“第三届全国复杂动态网络学术 论坛”。这应该是国内复杂网络研究最高的学术会议了。复杂网络的交叉性， 吸引了诸如物理、数学、生物、电子工程、计算机、经济、管理等不同学 科领域的专家和学者。 目前，国内有关复杂网络的研究已由初始阶段进入相对稳步发展的时 期，不同交叉领域已有相当一批有价值的研究成果。这些成果说明复杂网 络的研究是学术界关注的热点之一，同时也提出了大量具有挑战性的问题。 复杂网络注重理论研究，不足之处是与实践相结合的可操作性要差一些。 我作为校园网络的管理者，力图将校园网的具体实践和复杂网络的理论相 结合，做到理论联系实际。 目前国内有关复杂网络研究的热点问题是【2 j ： 复杂网络的数学模型及其理论研究进展； 复杂网络的动力学复杂性及其主要表现形式； 非线性网络的混沌动力学，混沌控制与同步； 非线性网络的权重对拓扑特性与动力学复杂性的影响； 与应用有关的复杂网络问题； 复杂网络未来的研究方向与挑战等等。 就复杂网络上病毒传播机理及其数学模型的建立而言，国内基本是沿 用国外的成果和理论，早期已知病毒的模型基本建立，新病毒的模型会随 北京工业大学t 学硕士学位论文 时间的推移以及掌握的资料情况，会逐步建立。针对校园网中a r p 病毒数 学模型的建立和分析，目前国内还没有这方面的论文【3 1 。 对校园网病毒预防的研究，国内主要集中在以下几个方面：防火墙技 术的研究，统一身份认证，端点准入防御，网络安全检测及分析，杀毒产 品的完善，备份机制等。由于病毒变化的特点，校园网病毒的预防是长期 的、不断完善但总也不能完善的工作。 1 2 2 国外研究现状 1 9 9 8 年发表的“小世界”网络的集体动力学和1 9 9 9 年发表的随 机网络中标度的涌现，这两篇文章分别揭示了复杂网络的小世界特征和 无标度性质，并建立了相应的模型以阐述这些特性的产生机理。这两篇文 章的发表，可以看作是复杂网络研究新纪元开始的标志。 就复杂网络上病毒传播机理及其数学模型的建立而言，国外已经取得 了下面的成果【1j ： 均匀网络的传播临界值理论； 无标度网络的传播临界值理论； b a 无标度网络的传播临界值理论； 有限规模无标度网络的传播临界值理论； 关联网络的传播临界值理论等。 红色代码蠕虫的随机常数传播模型； 蠕虫的间隔模型； 电子邮件病毒的传播模型等。 针对于校园网病毒的预防措施，国内外的防御技术没有本质的差别，只是所 依赖的产品属于不同的公司。我们的校园网已经融入了国际社会，各校所采取的 措施在技术上没有多少差别。 1 3 本课题的研究工作及组织 1 3 1 本课题的研究工作 利用复杂网络的病毒传播模型结合高等数学、计算机网络分析研究近期出现 在i n t e m e t 上的新病毒一a r p 病毒的传播机理并初步建立a r p 病毒的传播模型。 作为北京物资学院的网络管理员，可以广泛收集校园网管理中的资料，并加以整 理，做到理论研究与具体实践相结合，为校园网的管理，特别是a r p 病毒的预 4 第1 章绪论 防工作，提供切实可行的理论依据。 本课题的研究得到了北京市市级教育单位引导性科研公用经费3 万元 的资助，今后可以纳入北京市重点建设学科“管理科学与工程”的科研项目。 1 3 2 文章的组织情况 第l 章介绍本文的研究背景、意义和与本课题相关的国内外研究现状。 第2 章介绍复杂网络，及有关病毒方面的基本知识；分析介绍在校园网现 有防护体系的建立中所做的工作。 第3 章阐述建立病毒数学模型的理论基础，定义了计算机与病毒之间关系 的三种状态。 第4 章结合本课题的分析内容，以及校园网的管理工作，阐述校园网中a r p 病毒的状况并且对收集到的相关数据进行分析。 第5 章a r p 病毒在校园网中传播机理的分析，针对病毒建立数学模型，并 对其推导和分析。总结论文研究成果，展望后续的分析研究工作。 5 6 第2 章复杂网络、病毒和校园网防护体系 第2 章复杂网络、病毒和校园网防护体系 2 1 复杂网络研究简史和内容 2 1 1 复杂网络研究简史 实际网络的图表示方法可以追溯到1 8 世纪伟大的数学家欧拉( e u l e r ) 对著名的“k o n i g s b e r g 七桥问题”的研究。欧拉对七桥问题的抽象和论证思 想，开创了数学中的一个分支图论( g r a p ht h e o r y ) 。复杂网络的研究 与欧拉关于七桥问题的研究在某种程度上是一脉相承的，即网络结构与网 络性质密切相关。 2 0 世纪6 0 年代以来，随机图理论在将近4 0 年的时间里一直是研究复 杂网络结构的基本理论，但绝大多数实际的复杂网络结构并不是完全随机 的。例如i n t e r n e t 中两个路由器之间是否有光纤连接，w w w 上两个页面之 间是否有超文本链接等都不是完全随机的。 2 0 世纪末人们开始考虑节点数量众多、连接结构复杂的实际网络的整 体特性，在从物理学到生物学的众多学科中掀起了研究复杂网络的热潮， 甚至于被称为“网络的新科学”。 有两篇开创性的文章可以看作是复杂网络研究新纪元开始的标志：一 篇是美国康奈尔( c o r n e l l ) 大学理论和应用力学系的博士生w a t t s 及其导师、 非线性动力学专家s t r o g a t z 教授于1 9 9 8 年6 月在n a t u r e 杂志上发表的题为 “小世界”网络的集体动力学( c o l l e c t i v ed y n a m i c so f s m a l l - w o r l d n e t w o r k s ) 的文章；另一篇是美国n o t r ed a m e 大学物理系的b a r a b 矗s i 教授及 其博土生a l b e r t 于1 9 9 9 年1 0 月在s c i e n c e 杂志上发表的题为随机网络 中标度的涌现( e m e r g e n c eo f s c a l i n gi nr a n d o mn e t w o r k s ) 的文章。这两篇 文章分别揭示了复杂网络的小世界特征和无标度性质，并建立了相应的模 型以阐述这些特性的产生机理。 复杂网络研究取得突破性进展的主要原因包括： ( 1 ) 越来越强大的计算设备和迅猛发展的i n t e r n e t ，使得人们开始能 够收集和处理规模巨大且种类不同的实际网络数据。 ( 2 ) 学科之间的相互交叉使得研究人员可以广泛比较各种不同类型的 网络数据，从而揭示复杂网络的共性。 ( 3 ) 以还原论和整体论相结合为重要特色的复杂性科学的兴起，也促 使人们开始从整体上研究网络的结构与性能之间的关系【l 】。 7 北京工业大学工学硕士学位论文 2 1 2 复杂网络研究的内容 ( 1 ) 发现：揭示刻画网络系统结构的统计性质，以及度量这些性质的 合适方法。 ( 2 ) 建模： 与产生机理。 ( 3 ) 分析： 络的行为。 建立合适的网络模型以帮助人们理解这些统计性质的意义 基于单个节点的特性和整个网络的结构性质分析与预测网 ( 4 ) 控制：提出改善已有网络性能和设计新的网络的有效方法，特别 是稳定性，同步和数据流通等方面【3 1 。 2 2 网络的图表示 要研究各种不同的复杂网络在结构上的共性，首先需要有一种描述网 络的统一工具。这种工具在数学上称为图( g r a p h ) 。任何一个网络都可以看 作是由一些节点按某种方式连接在一起而构成的一个系统。具体网络的抽 象图表示，就是用抽象的点表示具体网络中的节点，并用节点之间的连线 来表示具体网络中节点之间的连接关系。 一个具体网络可抽象为一个由点集矿和边集e 组成的图g = ( y ，e ) 。节 点数记为= 州，边数记为m = i e i 。e 中每条边都有y 中一对点与之相对 应。如果任意点对( f ，) 与u ，f ) 对应同一条边，则该网络称为无向网络 ( u n d i r e c t e dn e t w o r k ) ，否则称为有向网络( d i r e c t e dn e t w o r k ) 。如果给每条边 都赋予相应的权值，那么该网络就称为加权网络( w e i g h t e dn e t w o r k ) ，否则 称为无权网络( u n w e i g h t e dn e t w o r k ) 。当然，无权网络也可看作是每条边的 权值都为l 的等权网络。此外，一个网络中还可能包含多种不同类型的节 点。例如，在社会关系网络中可以用权表示两个人的熟悉程度，而不同类 型的节点可以代表具有不同国籍、地区、年龄、性别和收入的人。本论文 采用的是无向无权网络，并且假设没有重边和自环( 即任意两个节点之间至 多只有一条边，且没有以同一个节点为起点和终点的边) 。我们讨论的校 园网可以用无向无权网络来表示【4 】。 8 第2 章复杂网络、病毒和校园网防护体系 2 3 计算机病毒定义及其特征 2 3 1 计算机病毒的概念 在中华人民共和国计算机信息系统安全保护条例中对计算机病毒 的定义描述为：“计算机病毒是指编制或者在计算机程序中插入的破坏计算 机功能或者破坏数据，影响计算机使用并且能够自我复制的计算机指令或 者代码【5 】 。 2 3 2 计算机病毒的由来 2 0 世纪6 0 年代初，在美国贝尔实验室里，有几个程序员编写了一个 名为“滋心大战”的游戏，游戏中通过复制自身来摆脱对方的控制，这就是 计算机病毒的第一个雏形。 7 0 年代，美国作家雷恩在其出版的p i 的青春一书中构思了一种能 够自我复制的基督教程序，并第一次称之为“计算机病毒”。1 9 8 3 年计算机 专家将病毒程序在计算机上进行了实验，第一个计算机病毒诞生在实验室。 8 0 年代后期，巴基斯坦的两个兄弟为了打击盗版软件的使用者，设计 了一个名为“巴基斯坦智囊”的病毒程序，这是最早在世界上流行的真正病 毒。 9 0 年代中期前，多数病毒是基于d o s 系统的，后期开始在w i n d o w s 中传染。随互联网的广泛应用，j a v a 恶意代码病毒也出现了。o f f i c e 软件 的广泛使用，又出现了近万种w o r d ( m a c r o ) 病毒，并以迅猛的势头发展。 计算机病毒层出不穷，但有众多的病毒其“遗传基因”却是相同的，也 就是说它们是“同族”病毒。大量具有相同“遗传基因”的“同族”病毒涌现，其 实都是使用“病毒生产机”自动生产出来的“同族”新病毒。 互联网传播病毒的出现标志着病毒将利用互联网的优势，快速进行大 规模的传播，从而使病毒在极短时间内遍布全球。1 9 9 9 年2 月，m e l i s s a 病毒席卷欧美大陆，这是世界上最大的网络蠕虫爆发。之后几年，诸如爱 虫、s i r c a m 等网络病毒相继爆发。病毒往往同时具有两个以上的传播方式 和攻击手段，一经爆发即在网络上迅速传播。 2 3 3 计算机病毒的特征 ( 1 ) 传染性：计算机病毒具有强再生机制和智能作用，能主动将自身 9 北京工业大学1 = 学硕士学位论文 或其变体通过媒体传播到其他无毒对象上。这些对象可以是一个程序，也 可以是系统中的某一部位。同时使被传染的计算机程序、计算机、计算机 网络成为计算机病毒的生存环境及新的传染源。 ( 2 ) 破坏性：当计算机病毒发作时，都具有一定的破坏性。计算机病 毒的破坏性主要有两个方面：一是占用系统的时间、空间资源；二是干扰 或破坏计算机系统的正常工作，修改或删除数据，严重的破坏系统，甚至 使系统瘫痪。 ( 3 ) 寄生性：计算机病毒可以将自己嵌入到其他文件内部，依附于其 他文件而存在，这样还不易被发现。 ( 4 ) 可触发性：一个编制巧妙的计算机病毒可以在文件中潜伏很长时 间，传染条件满足前，病毒可能在系统没有表现症状，不影响系统的正常 运行，在一定的条件下，激活了它的传染机制后，才进行传染，在另外的 条件下，则可能激活它的破坏机制，进行破坏。这些条件包括指定的某个 日期或时间、特定的用户标志的出现、特定文件的出现和使用、特定的安 全保密等级，或文件使用达到一定次数等。 ( 5 ) 不可预见性：从对病毒的检测方面来看，病毒还有不可预见性。 不同种类的病毒，它们的代码千差万别，隐藏方式掩蔽，有些病毒有一定 的潜伏期，因此很难预见。 2 3 4 计算机病毒的工作机制 计算机病毒的工作机制为四个阶段： ( 1 ) 感染阶段：计算机病毒通过多种方式入侵计算机系统。病毒主要 的传播途径是下载和拷贝有病毒的文件、应用程序、游戏软件，将病毒带 入计算机系统。电子邮件是最常见的病毒感染渠道。另一类病毒则是通过 计算机操作系统的漏洞而被其他感染了病毒的计算机送入并潜伏进来的。 感染的病毒或者附着在其它文件以及应用程序中，或者成可运行文件隐藏 在计算机的磁盘中。 ( 2 ) 繁殖阶段：计算机病毒自我复制，将完全相同的副本放入其他文 件或程序中。计算机用这种方法感染其他文件和运行程序，大量克隆自身， 通过繁殖向整个计算机扩散。 ( 3 ) 触发阶段：因为某个事件，病毒程序被触发而运行，实施破坏行 为。常见的触发事件如系统启动、特定日期、执行某个程序等。 ( 4 ) 执行阶段：在这个阶段，病毒程序运行并实施破坏，如破坏系统 引导区、文件、应用程序、向网络中其他计算机发起渗透等。 l o 第2 章复杂网络、病毒和校园网防护体系 2 4 计算机病毒的分类、破坏方式及一般症状 2 4 1 计算机病毒的分类 从不同的角度可以分为不同的种类。 ( 1 ) 按病毒产生的后果，计算机病毒可以分为良性病毒和恶性病毒。 良性病毒，是指只有传染机制和表现机制，不具有破坏性。恶性病毒， 是指既具有传染和表现机制，又具有破坏性的病毒。当恶性病毒发作时， 会造成系统中的有效数据丢失，磁盘可能会被格式化，文件分配表会出现 混乱等，系统也有可能无法正常启动，外设工作异常等。 ( 2 ) 按病毒的寄生方式，计算机病毒可以分为引导型病毒、文件型病 毒和混合型病毒。 引导型病毒是指寄生在磁盘引导扇区中的病毒，当计算机从带毒的磁 盘引导时，该病毒就被激活。 文件型病毒是指寄生在c o m 或e x e 等可执行文件中的病毒。病毒寄 生在可执行程序体内，当系统运行染有病毒的可执行文件时，病毒被激活。 病毒程序会首先被执行，并将自身驻留在内存，然后设置触发条件，进行 传染。 混合型病毒是指既寄生于可执行文件，又寄生于引导扇区中的病毒。 ( 3 ) 按病毒传播途径，计算机病毒可分为传统单机病毒和现代网络病 毒。 在i n t e r n e t 普及以前，病毒攻击的主要对象是单机环境下的计算机系 统，一般通过软盘、光盘等可移动存储介质来传播，病毒程序大都寄生在 文件内，这种传统的单机病毒现在仍然存在。 随着网络的出现和i n t e r n e t 的迅速普及，计算机病毒也呈现出新的特 点，在网络环境下病毒主要通过计算机网络来传播，病毒程序一般利用了 操作系统中存在的漏洞，通过电子邮件附件和恶意网页浏览等方式来传播。 主要有蠕虫病毒和木马病毒。 蠕虫病毒 1 9 8 8 年1 1 月，美国康奈尔大学的学生r o b e r tm o r r i s 编写的“莫里斯蠕 虫”病毒蔓延，造成数千台计算机停机，蠕虫病毒开始现身于网络。蠕虫病 毒以计算机为载体，以网络为攻击对象，利用网络的通信功能将自身不断 地从一个结点发送到另一个结点，并且能够自动地启动病毒程序，这样不 仅消耗了大量的本机资源，而且大量的占用了网络的带宽，导致网络阻塞 而使网络服务拒绝，最终造成整个网络系统的瘫痪。 北京工业大学工学硕：l ：学位论文 h a p p y9 9 网络蠕虫病毒利用e m a i l 系统上的安全漏洞，通过电子邮件 把病毒本身发给网络上的其他计算机，从而破坏计算机的数据和网络的通 信。“冲击波( w o r m m s b l a s t ) ”病毒利用w i n d o w s 远程调用协议r p c 中 存在的系统漏洞，向远端系统上的r p c 系统服务所监听的端口发送攻击代 码，从而达到传播的目的。感染病毒的机器会莫名其妙地死机或重新启动 计算机，i e 浏览器不能正常地打开链接，不能进行复制和粘贴操作，有时 还会出现应用程序异常( 如w o r d 无法正常使用) ，上网速度变慢，在任 务管理器中可以找到一个“m s b l a s t e x e ”的程序在运行。 木马病毒 木马病毒是指在正常访问的程序、邮件附件或网页中包含了可以控制 用户计算机的程序，它表面上完成一种功能，而实际上隐藏的程序却非法 入侵并监控用户的计算机，窃取用户的帐号和密码等机密信息。 木马病毒一般通过电子邮件、即时通信工具和恶意网页等方式感染用 户的计算机，多数都是利用了操作系统中存在的漏洞。如“q q 木马”，该病 毒隐藏在用户的系统中，发作时寻找q q 窗口，给在线上的q q 好友发送 诸如“快去看看，里面有好东西”之类的假消息，诱惑用户点击一个网 站，如果有人信以为真点击该链接的话，就会被病毒感染，然后成为毒源， 继续传播。 现在有少数木马病毒加入了蠕虫病毒的功能，这使得其破坏性更强。 如“高波病毒( b a c