计算机病毒传播模型

8计算机病毒传播模型,1生物病毒病毒传播模型2当前计算机病毒传播模型3网络环境下一个通用病毒的传播模型4模型中的门限值和单结点的作用5有限网络中病毒传播的离散模型6计算机病毒的逻辑模型7网络环境下病毒的求源,8.1当前计算机病毒防治的主要手段及不足之处,解决病毒攻击的理想办法是对病毒进行预防，即阻止病毒的入侵，但由于受工作环境和具体技术的制约，预防的办法很难实现，也就是说，当前对计算机病毒的防治还仅仅是以检测、清除为主。,8.1病毒防治的主要手段,（1）反病毒的软件采用单纯的特征值检测技术，将病毒从染病文件中消除。这种方式的可靠性很高，但随着病毒技术的发展，特别是加密和变形技术的运用，使得这种静态的扫描技术正在逐渐失去作用。（2）反毒软件采用一般的启发式扫描技术、特征值检测技术和行为监测技术。这种方式可以更多地检测出变形病毒，也可以实现动态检测，但另一方面误报率也提高了，尤其是采用不严格的启发式知识判定技术，使得清除病毒存在很大的风险。（3）在第二代清毒软件的基础上，采用虚拟机技术，将查找病毒和清除合二为一，以常驻内存的形式对病毒进行防、查、杀等必要手段。（4）在第三代反毒技术之上，结合人工智能的研究成果，实现启发式动态，智能的查毒技术，它综合采用CRC检验，扫描机理，启发式智能代码分析模块，动态数据还原模块（能查出隐蔽性极好的压缩加密文件中的病毒），内存解毒模块以及自身免疫模块等技术。,不足之处,抗病毒软件大都是针对某一类或某几类病毒，虽然我们也希望能够研制出较为通用的防毒软件，使之能清除更多种病毒，然而究竟能够清除哪些病毒，还要看实际输入的参数和样本，在未知的病毒特征没有弄清之前检测和清除都是不现实的。当前的技术性防毒措施有很大的局限性，它是一种被动的防治技术。保证100%对抗所有病毒的清毒软件是不存在的。FredCohen博士也证明了病毒的不可判定性，因此，从理论上讲与病毒的斗争将是长期的.,8.1主要的生物病毒传播模型,1975年一大批数学家研究了生物种群内生物病毒的传播规律。他们将一定区域内的人口分为两类，一类是已感染病毒的患者，一类是没有感染病毒的易感染者。I(t),S(t)分别表示t时刻感染者人数和易感染者人数。,(1.1),8.1主要的生物病毒传播模型,上述模型并没有考虑由于生物体被感染而导致的死亡和获得“免疫”的部分，而死亡和“免疫”会结束该生物体所可能带来的感染。于是Kermack-Mckendrick又给出了另一模型，这也就是所谓的SIR模型:,(1.2),这些模型为流行病的传播预测和防御提供了有利的工具。比如早在2005年初，传染病学家们就准确地预测到2005年底到2006年初的禽流感的爆发。,8.2当前计算机病毒传播模型,大约在1990初，Kephart和White依据生物上流行病的传播模型（1.1）提出了计算机的病毒的传播模型，也就是SIS模型56。该模型给出了计算机病毒传播中的一些定性因素，较好地帮助人们理解计算机病毒传播中的一些规律，它也为后来其他的计算机病毒模型奠定了基础。在SIS模型中，所有的计算机只能处在两个不同的状态，易感者（Susceptible）和感染者（Infectious）:,(1.3),假设方程（1.3）的初始条件为：表示区域内计算机感染者最初的数量为I0。那么由分离变量法可以解出方程（1.3）具有如下形式的解：,8.2当前计算机病毒传播模型,(1.4),8.2当前计算机病毒传播模型,同样地JonghyunKim等人依据Kermack-MckendrickSIR模型给出了计算机病毒传播的SIR模型，在计算机病毒的SIR模型中，区域内的计算机也被划分为3个状态，易感染状态（Susceptible）、感染状态（Infectious）和被删除状态（Removed）。,(1.5),8.2当前计算机病毒传播模型,RomualdoPastor-Satorras考虑到更一般的情况，哪些由于感染病毒而获得“免疫”的结点或者死亡的结点，又以某一生还比率变成了易感染者，换言之部分由于感染而失去的结点在时间t时，又加入到易感染者行列，这就是SIRS模型:,(1.6),1.3计算机病毒传播模型中的问题,（1）传播速度模型的预测速度要比大多数的病毒传播速度慢得多。（2）传播的规模与传播速度截然相反，大多数病毒的传播规模要比现有模型的预测规模小的多，这也是令大多数人感到困域的地方。（3）门限值问题从前面的叙述中可以看出，与大多数的生物病毒传播模型一样，现有的一些网络病毒传播模型，也都给出了它们自己模型的门限值。然而实际的网络病毒传播数据表明，大多数的网络病毒并不具有这一传播特征，它们大都不具备唯一的极值，而是反复跳跃，呈现出反复感染、重复传播的情况。比如CIH病毒在每月的26日，就会重复发作。2004年45月间爆发的震荡波病毒，即使在初始爆发阶段，它的统计数据也呈现反复攀升的模式。因此人们不仅要问计算机病毒模型是否具备门限值呢？（4）病毒的消亡问题大多数的生物病毒传播都有结束的时候，这与生物病毒传播模型是相吻合的。故计算机病毒的传播模型对任何病毒的传播预测也都应该有结束的时候。然而实际上大多数的计算机病毒，并没有像预测的那样消亡。（5）传染的机制不再单一现有的计算机病毒传播模型大都是对传播类型单一的病毒建立的，它们的预测结果也大都是对局部的、某一类型的计算机系统的感染情况进行预测。而实际上越来越多的计算机病毒尤其是一些智能型病毒，它们的传播目标类型不再单一，而感染的对象也不再局限于某一地域或某一类网络。,2计算机病毒与生物病毒,2.1计算机病毒与生物病毒的相似性2.2计算机病毒与生物病毒在传播特征上的主要差异,2.1计算机病毒与生物病毒的相似性,和生物病毒一样，计算机病毒是在正常的计算机程序中插入的破坏计算机正常功能或毁坏数据的一组计算机指令或程序的一段代码，计算机病毒的独特复制功能使得计算机病毒可以很快地蔓延，又常常难以根除。为了便于隐藏，它们的“个体”比一般的正常程序都要小。它们能把自已附在特定文件上，当文件被复制或从一个用户传送到另一用户时，计算机病毒也就随着这些文件蔓延开来。计算机病毒和生物病毒都具有循环复制的功能，这也是它们的最大相似之处，因为循环复制是传染性的基础。在编码方式上，计算机病毒早期采用机器语言编写，而后来，尤其是近年来的病毒大都采用高级语言编写。这些病毒程序通过一定的感染途径，进入宿主计算机后，大多以物理（磁）储存的方式，潜伏于计算机的存储介质中;类似地生物病毒，大都采用核酸编码，也有采用甲氨基酸编码，其高级的细胞语言也是编制生物病毒的一种选择。所谓细胞语言是指比较低级的核酸编码，它借助细胞外进行信息交流。当然无论是低级语言的核酸还是高级语言的氨基酸，这些序列都可以固化的形式存在，也可以物理存储的方式存在于细胞的物理存储单元核小体中。它们的破坏机制也都是循环执行。,2.2计算机病毒与生物病毒在传播特征上的主要差异,2.2.1传播中的感染者接触方式差异2.2.2感染者的个体差异2.2.3感染者的结局差异2.2.4治愈率差异,3网络环境下一个通用病毒的传播模型,3.1模型的提出3.2传播模型的建立3.3传播模型的解3.4问题,3.1模型的提出,计算机病毒有不同于生物病毒的根本之处，具体表现在以下4个方面：（1）生物病毒的传播是通过一个地域内的传播主体的物理接触，其传播速度取决于人口的流动状况，这种人口流动状况是相对稳定的；而网络病毒的传播则是通过计算机系统间的连接，这种连接是一种逻辑上的连接而不是物理的接触（当然这种连接需要物理上的连通），它几乎不受地域的限制，并且这种逻辑上的连接是动态的、它是随时间而变化的，甚至还有一定的周期。（2）作为生物病毒传播载体的生物宿主，在同一种群内的生物体之间的区别是很小的，也就是它们在病毒的传播上几乎不加区别，而仅以感染者的数量作为分析的对象；但作为计算机病毒传播载体的计算机系统，它们间的区别是很大的。如一台PC机和一个热门的大型网站，它们对病毒的传播几乎天壤之别。如果一个大型网站被感染，它对于病毒的传播几乎是爆炸式的。（3）生物病毒会导致传播主体的死亡，从而结束该个体的传播功能，这也是减少染病者数目的原因之一；但计算机病毒几乎不会导致计算机系统的真正减少。（4）生物病毒的感染者一旦被治愈，一般来讲对该病毒都会具有免疫力；但计算机系统被治愈后，严格意义上的免疫还不具备，也就是说被治愈者仍可能被重复感染，然后它还会感染别的计算机。,3.1模型的提出,正是这种不同之处才导致了计算机病毒具有不同于生物病毒的传播特征，从而应具有不同于生物病毒的传播模型。正如上面的分析，影响病毒传播的关键因素是计算机系统间的这种逻辑的、动态的、有方向的连接，如果把计算机系统间的这种连接率作为它们影响病毒传播的一个基本特征，那么将会更有效地反映计算机病毒的传播规律。这不仅能刻画出病毒的传播速度受整个网络连接率变化的影响，而且还能刻画出不同的计算机系统由于其连接率的不同，它们对病毒的传播也应有很大的不同。当然计算机系统的这种连接率是可以量化的，比如计算机系统上网时的点击率和数据流量等，就是最直接有效的反映。当然无论是点击率还是计算机在上网时的数据流量都必须与具体的病毒相关。,3.2传播模型的建立,3.2传播模型的建立,(3.2),(3.1),当N比较大时,NN-1,所以上式可化为:,3.2传播模型的建立,这就是我们以普通的网络环境为基础建立的病毒的传播模型，称它为GSM（GeneralSpreadingModel）模型。从上面的建立过程来看，病毒的传播需要借助计算机间的连接，而计算机间的连接又需要某主动方来发起连接。这意味着该微分方程所刻画的病毒并不包含那些主动寻址传播的蠕虫，除此之外的邮件类病毒、QQ类病毒、FTP病毒还有大量的仅借助文档传播的宏病毒和早期病毒等等，这些被动传播病毒都可以用GSM模型来刻画。,3.3传播模型的解,3.3传播模型的解,这是一个一阶线性非齐次的常微分方程，所以可知其解:,由（3.3）可得到（3.1）在初值（3.2）下的解为：,(3.4),3.3传播模型的解,考虑到后面将要讨论的几种实际情况,我们可以将解依如下形式来进一步讨论:,(3.5),3.3.1第一种情况,3.3.1第一种情况,图3.1计算机病毒Gaobot.gen和Briss.A的传播数据统计图,3.3.2第二种情况,取c(t)=c,得解为如下形式:,3.3.2第二种情况,这里主要是为了强调治愈率的变化对染病率的影响，所以重在它们间的定性讨论，鉴于的表达式仍比较烦琐，并不容易看清它们间的依赖关系，我们选择上的5个点的值，并将其代入的表达式，然后借由Matlab软件工具，以插值的方法得到的变化曲线如图3.3。,3.2治愈率的变化3.3I(t)对治于愈率的依赖,3.3.3第三种情况,令,为一周期函数:,3.4c(t)的变化,3.5I(t)对c(t)的依赖,总结,这里也会得到一些启示，比如当某一新病毒爆发时，人们可以通过各种办法发出警告，得到警告后，人们就会尽量避免网络连接率高峰时上网或减少上网的时间。当然也不能一概而论，现在的病毒成千上万，人们不可能一得到有病毒的消息就不上网。针对具体的网络病毒，依据它们对具体网络连接率的依赖，给出具体的警告，人们只要避免这一类连接就可以了。比如仅借助邮件传播的病毒，人们上网时只要不接收邮件就可以避免被传染。也就是说影响某一类病毒的连接率就会下降，那么上升的速度就会下降；若考虑到可能还会上升，则的会进一步下降。这里虽然没有给出定量分析，但已不难理解文献85中SteveR.White提出的，为什么染病率没有达到J.O.KephartandS.R.White中所预期的峰值就提前下降了。下一章会给出更具体的解释和证明。,4模型中的门限值和单结点的作用,病毒传播中的门限值是大部分传播模型中都要讨论的一个问题，因为它是病毒传播过程中的一个分界点，越过该分界点预示病毒的传播规模将会缩小直到消亡。可是前面已经指出在计算机病毒传播中影响门限值的两个因素是变化的、时间的函数，这预示计算机病毒在网络环境下，传播模型的门限值是不确定的；同样网络环境下计算机间的连接率相差甚远，单个结点的作用也会不同。在上一章所建新模型的基础上，本章重点讨论这两个问题。,4模型中的门限值和单结点的作用,4.1门限值问题的相关背景4.2门限值的缺失4.3单结点对病毒传播的作用4.4小结,4.1门限值的背景,依据生物模型建立起来的计算机病毒传播模型都有门限值.其实，大量的网络病毒统计数据表明，病毒的传播规模远小于这些模型的门限值。另一个与此相关的问题是，为什么绝大多数的病毒在越过这些模型的门限值后并没有消亡，而是一直小规模存在，但却没有再爆发。这些明显而令人困惑的矛盾预示：现有的病毒传播模型并不能如实反映实际的网络病毒的传播，人们不禁怀疑：网络病毒的门限值是否一定存在？,4.2门限值不存在的证明,4.2门限值不存在的证明,插值求解如下图:,图4.1网络内感染结点数对连接率的依赖,4.2门限值不存在的证明,图4.2计算机病毒netsky.p的传播数据,问题,现在可以解释前面SteveR.White提出的两个问题：问题1，对许多病毒来讲，由于总有一些人因各种原因而没有杀毒，因此将趋于常数，但仍保持，所以这些病毒的感染者数目也将趋于常数0。这意味着这些病毒仍然藏于某些结点。如果这些结点还能上网，那么它们还可能感染其他结点，但由于此时的较高，因此这些病毒不会大规模爆发。这也就是为什么一些早期的网络病毒至今还危害着某些用户，但却没有再次爆发。问题2，当新的病毒出现时，很自然地人们会减少上网时间。依据表达式(4.5)可知：当c(t)下降时，I(t)的上升速度会降低。如果再考虑到的上升因素，那么将比传统模型的预测下降快的多。实际上在传统模型中极值是一个常数且唯一，但在我们的通用模型中是依赖一个随t0变化的值，这样的t0不一定唯一，那么I(t)就不一定唯一。,4.3单结点对病毒传播的作用,在前面教材就已经指出，某一区域内，不同的计算机系统的连接率是不同的，也就是它们对于病毒的传播后果是不一样的，比如一个热门的网站和一个个人电脑，由于它们的点击率（与连接率正相关）差别很大，它们被感染后，对病毒的传播后果肯定有很大悬殊。在前面的分析中，我们知道点击率即可以作为连接率的一个量化的标志，又可以作为单个计算机系统的特征，而且是可以统计的，所以这里就以点击率来标志连接率，进而讨论单个结点对病毒传播的不同影响。这对于刚刚起步的计算机病毒在网络环境中的免疫系统的研究具有非常重要的参考意义，因为免疫就要对结点进行选择，选择的依据将影响到免役的效率。显然这里讨论的单个结点在病毒传播中的不同作用将提供这种依据。,4.3单结点对病毒传播的作用,依据前面的讨论，我们假定ci(t)为i结点在时间t时的平均点击率，很显然i结点只能感染t时与它邻接的且还没有染病的那些结点，故由它在时间t时引起的感染增量为：,当N的值较大时，N=N-1，所以上式可简化：,若令Ni(t)表示i结点在时段t0到t内感染的结点数，则:,4.3单结点对病毒传播的作用,例子:,总结,已有的计算机病毒传播模型忽略了实际网络中连接率的变化，所以它们的病毒传播模型都存在门限值，也就是说他们的模型所预测的病毒感染者的数目都存在唯一的极大值，单个结点在病毒传播中的作用也不加区分，而这与实际网络环境中病毒的传播并不相符。本章在上一章建立的模型基础上，本章重点讨论了门限值问题和单结点在病毒传播中的不同作用。教材依据新模型的一个普通解的表达式，利用连续函数极值存在的充分条件证明了网络内病毒感染者数目的极大值是不唯一的，也就是说实际网络环境下，如果病毒的传播紧密地依赖网络的连接率,而它们的治愈率又相对较小,那么这类病毒的门限值是不存在的。该结论符合实际网络中病毒传播的统计数据，也很好地解释了为什么实际的计算机病毒传播不存在门限值的原因。教材分析了单结点在病毒传播中的不同作用并给出了响应的估算公式。,5有限网络中病毒传播的离散模型,依据邮件病毒为例子5.1邮件病毒的相关背景5.2邮件病毒传播模型的建立5.3邮件病毒消亡的条件5.4单个用户在邮件病毒传播中的作用5.5实验验证5.6小结,5.1邮件病毒的相关背景,在前面的分析中提到，网络环境下计算机病毒的传播要比生物病毒的传播复杂的多，尤其是影响病毒传播的主要因素：网络的连接率是变化的、结点不同连接率也不同，那么如何刻画这一复杂的特征呢？第3章中给出了一个提示：要有效地把握这一特征，对网络或病毒分类是一个有效的途径，基于这一考虑，本章就以邮件病毒为一特例，在刻画出不同结点拥有的不同连接率后，建立邮件病毒的传播模型。,5.1邮件病毒的相关背景,基于邮件传播的病毒已构成计算机病毒的一个重要组成部分。相互拥有邮件地址的用户群形成一个邮件群组，该群组中所有用户的通讯地址列表界定了一个逻辑的网络结构。这种群组网络是相对独立和稳定的，它也是邮件病毒传播的基本单位。因而刻画邮件病毒在群组中的传播是了解邮件病毒在整个Internet网中传播的第一步。邮件群组的稳定性不仅表现在群组的成员数目稳定，还表现在每个用户的邮件对象及他们相互通信的频率也相对稳定。根据yahoo网站对邮件群组规模的统计，大部分的邮件群组的成员都在50以下91，也正是由于邮件群组的规模不大，因而只要能统计出如下三大因素，邮件病毒在群组中的传播就能得到估计：,5.1邮件病毒的相关背景,1两两用户间的通信频率。两两用户间的通信频率如果得到准确的刻画，那么影响邮件病毒传播的连接率也就能够被准确地把握，这包括群组内的所有用户，也就是群组的通讯频率矩阵。2影响病毒传播的每个用户的个人信息要得到记录，如每个用户染毒后的杀毒状况，这实际上对应病毒的治愈率，进而决定群组的治愈率。3每个用户看到可疑邮件后的反映，它决定病毒的传播感染是否成功，也就是病毒的传播几率或出生率。如果我们把握了上述三大要素，那么依据邮件传播的病毒在群组中的传播也就能得到比较准确刻画。,5.2邮件病毒传播模型的建立,5.2邮件病毒传播模型的建立,5.2邮件病毒传播模型的建立,（5.1）,将（5.1）扩充到整个群组中，便得到整个群组的病毒感染率变迁方程：,(5.2),，,其中:,5.2邮件病毒传播模型的建立,若将,记为E，称其为群组的变迁矩阵，,若假设群组的初始染毒状态为:,则我们可得任一时间t时群组的感染变迁方程：,则（5.2）式可简化为:,(,(5.3),5.2邮件病毒传播模型的建立,对于一个相对稳定的邮件群组，每个用户的杀毒率、每个用户打开可疑附件的概率和群组中用户间的通信频率都可以由统计数据给出，只要给出群组的初始向量P0和具体病毒的感染系数，依据变迁方程（5.3）我们就可以预测出该病毒在群组中的感染变化趋势。后面的模拟实验图5.1与模型的预测是一致的。,5.3邮件病毒消亡的条件,从离散模型（5.3）式中不难看出，邮件病毒的传播也是时间的幂函数，这与传统的微分方程模型是一致的。下面重点讨论该模型中病毒消亡的条件，并由此为防御病毒提供理论的支持。本章给出如下定理：定理假设某病毒在邮件群组中的传播满足：，其中P0表示群组的初始感染向量，E表示群组的系统变迁矩阵，则该病毒在群组中消亡的充要条件为，其中表示群组的系统矩阵E的谱半径。,5.3邮件病毒消亡的条件,5.3邮件病毒消亡的条件,则得到,（i=1,2,.s）。由,（其中,为,的小量），故得到,的充要条件为每个Ji的特征值满足,（其中,为,模）。依据谱半径的定义，,为E的最大特征值的模，故得:,证毕。,5.3邮件病毒消亡的条件,5.4实验验证,为方便实验的控制，我们的邮件群组由参与毕业设计的14名同学共建立的25个邮箱组成。为保证该邮件群组的相对独立，每位参与者都各自开辟1到2个新邮箱在实验群组中使用，并尽量不告诉群组外的用户自己的实验邮箱。依据平时的通信状况和个人的习惯，我们可以得到该群组中用户间的通信频率、每个用户的杀毒频率和各自打开可疑附件的概率。我们选择病毒的感染系数为=0.32，设定群组的初始感染向量为：。时间以天（24小时）为单位。每组实验期限为10天。,5.4实验验证,图5.1为模型的预测值与实验模拟值的比较，从图中可以看出，除了在实验的最后阶段模拟实验与预测有一点出入外，整体的走向基本一致。,5.4实验验证,图5.2为不同的杀毒率对邮件病毒的传播影响，为协调由于杀毒率的不同对坐标面造成的不适，我们调整了模拟的初始感染向量。从图中可以看出，杀毒率越高感染率下降的越快。,5.4实验验证,图5.3为打开可疑附件的概率不同对邮件病毒传播的影响，从图中可以看出打开可疑附件的概率越低，感染率下降越快，反之，下降越慢。,5.4实验验证,图5.4中令第三个用户从不杀毒其他数据不变，然后再与模拟实验1的比较。从图中不难看出，由于3=0，使得群组的谱半径不再小于1，故整个群组的感染率不趋于0。而另外一个曲线在第8天时就基本上消失了，可是在后续的实验中，感染率也明显地出现了反复的情况。,5.5单结点在病毒传播中的作用,略,总结,现有的计算机病毒传播模型并不能准确地反映实际的病毒传播规律，其主要原因是快速发展的动态网络中有许多人们还没有把握的规律，而这些规律与传统的流行病传播规律是不同的，比如网络环境下单个使用者的传播作用差别很大，必须得到考虑。当前行之有效的办法是对病毒或网络进行分类研究，这样影响某一类病毒的因素就比较容易把握。因此本章在分析了影响邮件病毒传播的主要因素后，建立了一个离散的邮件病毒传播模型，在特定的邮件群组中用户间的通讯频率、每个用户的杀毒率和用户打开可疑附件的概率是不同的，这些都可以经统计数据给出较准确的估计，一旦得到具体邮件病毒的传播率，那么依据该离散模型就可以对病毒在该邮件群组中的传播给出较准确的估计。,6网络环境下病毒的求源与追踪,6.1病毒求源的背景6.2求源建模6.3求源方程的解6.4求源的几点结论6.5实验验证,6.1病毒求源的背景,6.1.1病毒源的定义6.1.2生物病毒源的困境6.1.3网络病毒求源的可能性6.1.4反问题的相关知识,6.1.1病毒源的定义,病毒源:单机环境下病毒源的定义.网络环境下病毒源的定义及意义:防御并制止病毒是非常必要的，但寻找病毒的传播路径并进而求得病毒的源点，对于打击病毒的植入者、防御并制止病毒的传播也已成为必要的课题。然而令人遗憾的是，当前探测病毒源的工作只集中在技术层面，比如根据病毒的特征、背景判断病毒的来源，安全部门依据对网民的长期监督、统计、甚至审问、侦察来判断病毒的可能源头。所以网络病毒的查源至今还没有形成成熟的理论。,6.1.2生物病毒源的困境,生物病毒源的相关知识:网络病毒与生物病毒有一定的相似性，很多计算机病毒传播模型也是依据生物病毒的传播模型建立的，而生物病毒的求源具有很多不确定的因素，比如，人们并不真正了解具体病毒在感染某生物体后的变化，换句话讲，病毒在它的传播过程中是否会挈带上它已感染过的生物体的信息？生物体感染病毒后的具体发展变化是否可以跟踪？也就是能否依据病毒在感染某生物体后的状态来反推病毒感染的具体路径和时间等。由于人们至今还不清楚这些信息，所以在传染源不确定的情况下，人们无法判别病毒究竟是来自哪个传染源。这也是网络病毒求源至今未能行成理论的原因之一。,6.1.3网络病毒求源的可能性,事实上，正如在前面的讨论中指出的网络病毒具有不同于生物病毒的传播特征。更重要的是计算机病毒和网络都是人们制造出来的，人们很清楚它们的功能和联系。网络病毒作为一种应用程序，它在借助网络传播的过程中，很多传播信息是可以被记录的，病毒对计算机系统中各类文件的感染也是可被记录的。这为人们能够寻找到网络病毒的源头提供了有利依据。,6.1.3网络病毒求源的可能性,在前面的分析中，教材已指出计算机病毒在网络中的传播是逻辑的、动态的、跨地域的，因此要在整个Internet网建立求源模型是不合适的。我们知道网络病毒作为一个应用程序，依据其传播特性，一般都是在一个逻辑的子网中传播的，比如基于邮件传播的病毒是在相互拥有邮件地址的邮件组网中传播，该子网常常由亲朋好友或有业务往来的企业组成，它在一定的时间内是相对稳定的。在寻找网络病毒源头时采用分划的办法，先在一定的逻辑子网中求源。等找到该子网中的病毒源头时，再来判断它是否是最初的源头；若是就结束；若不是那么它必然由另一子网传来，就上朔到另一个子网再求源。严格来讲，子网的数目和子网中的结点的数目都是有限的，所以总会在有限步内的找到源头。,6.1.4反问题的相关知识,简单地说，网络病毒的求源是病毒传播的逆过程，也可算作是一类反问题，而反问题的求解也是非常的复杂，并且有些反问题还是无解的。我们注意到网络病毒的求源并不像严格意义上的反问题。首先，它并没有反问题中那样严格的定解条件。其次，它的传播媒介并非连续，而是离散的、逻辑的通讯网。第三，反问题中的有些“扩散媒介”的性质甚至至今还不确定，而网络病毒的传播是靠数字媒介，其路线是可记录的。所以这种逆过程是客观的存在、唯一的，也就是说这类“反问题”的解是存在的。,6.2求源建模,(6.1),(6.2),(6.3),子网对vi的状态的影响可用（6.1）式表示：,考虑在t到t+1时vi的状态改变量则为：,考虑到整个子网中所有结点的状态在时间t到t+1时的变化，即为:,简化为:,6.2求源建模,6.3求源方程的解,6.3求源方程的解,6.3求源方程的解,6.3求源方程的解,6.3求源方程的解,它对应实际网络中两个结点在同一时间段相互发送数据并且在该时段结束后都已染毒，我们称其为环态。从理论上讲满足环态的解有3组：,但实际的病毒传播只能是其中之一。若在实际工作中出现了这种情况，它意味着在t时段起，直到开始追踪该病毒的那一刻，这些结点的状态没有因为清毒而改变。换句话说，也就是这些结点在此时段内没有清毒，那么我们就可以对这些结点查杀病毒，由于清毒工具可以记录计算机系统对于病毒的感染信息，比如感染的文件和感染时间等。于是就可以得到这些结点在t时刻的状态，从而解决此问题。,6.4求源的几点结论,值得一提的是，上述病毒的求源工作还能提供另外的一些有用的信息，这些信息在病毒的防御工作中有很好的借鉴作用;为计算机病毒的“免疫”提供依据;获取感染路径:如果将一感染结点与它的前染结点组成一个二元组，那么求解状态变迁方程的过程便是确定子网内所有被感染结点与其前染点二元关系的过程。将这些“首”“尾”相同的二元组排列起来，便得到一个求源路径;获取感染源:如果子网内所有被感染的结点的求源路径收敛于一点，那么即为该子网内病毒的唯一源点。如果子网内所有被感染的结点的求源路径不收敛于一点，那么该子网的病毒源点是不唯一的。,6.5实验验证,通过Email附件传播的VBS脚本病毒主要代码(仅用于实验没有危害)Functionmail_virus_test()Onerrorresumenextwscript.echoSetoutlookApp=CreateObject(“Outlook.Application”)/创建一个outlook应/用对象IfoutlookApp=“Outlook”ThenSetmapiObj=outlookApp.GetnameSpace(“MAPI”)/获取MAPI的名字空间SetaddiList=mapiObj.AddressLists/获取地址表的个数ForEachaddrInaddrListIfaddr.AddressEntries.Coun0ThenAddrEntCount=addr.AddressEntries.Count/获取每个地址表的Email/记录ForaddrEntIndex=1ToaddrEntCountSetitem=outlookApp.CreatItem(0)/遍历地址表的Email地址SetaddrEnt=addr.AddressEnties(addrEntIndex)/获取具体Email地址,6.5实验验证,item.To=addr.Address/填入收件人地址item.Subject=“邮件病毒传播实验”/写入邮件标题item.Body=“收到此信不要担心，这仅是实验，对电脑没有危害”/真正病毒的破坏部分，这里仅是/感染标记Setattachments=item.Attachment/定义附件Attachments.AddfileSysObj.GetSpecialFolder(0)同时我们定义为数据的集合;计算机病毒是一种特殊的程序，它通过修改其他程序来达到传染的目的。一个程序是计算机病毒，当且仅当它具有传染性。,7.2.3田畅2定义网络的状态,状态要刻画结点有毒与无毒的区别,状态必须能刻画结点间病毒传播的行为和网络感染的程度;3初始状态和结束状态是否有必要?,8总结与未来工作,8.1总结8.2存在的问题8.3解决的办法,8.1总结,教材首先分析了计算机病毒和生物病毒的主要特征，对比了计算机病毒与生物病毒的相似之处，指出了计算机病毒不同于生物病毒的传播特征，从而为建立新的计算机病毒模型奠定了基础。教材选择了一个普通的网络环境，建立了计算机病毒在网络环境下传播的数学模型。分别讨论了网络的连接率和病毒的治愈率的变化对病毒传播的影响。门限值是病毒传播中的转折点，生物病毒的传播模型都存在门限值。在新模型的基础上教材进一步讨论网络环境下病毒传播的门限值问题和单结点在病毒传播中的不同作用。这也为刚刚起步的网络免疫系统中结点的选择提供了依据。教材的第四部分选择了一个较为具体的邮件类病毒，建立了一个可以迭代的离散模型。教材研究了病毒的求源问题并建立了求源模型。教材列举了现有的计算机病毒的逻辑模型,通过逻辑模型的分析,进一步从更抽象的角度把握病毒的机制.,8.2存在的问题,教材的第一部分分析了生物病毒和计算机病毒在传播中的不同特征，指出这些不同特征的目的是为了说明计算机病毒应该具有自己的传播模型。毕竟由于对生物病毒知识的不足，相信除了教材中指出的不同外，两者还有其他的区别。这些区别并不是不重要，而是人们对生物病毒的认识还有很多不足之处。当人们对生物病毒的传播彻底了解之后，计算机病毒的传播自然就有了明确的对比。传播模型的建立也就不再含糊。比如计算机病毒的传播中对符合传播条件的计算机感染是非常明确