安全通论课件-计算机病毒的行为分析.pptxVIP

第14章---计算机病毒的行为分析第14章 计算机病毒的行为分析在网络空间安全领域，黑客四处“点火”；红客则疲于奔命，忙于“救火”。由于始终被动，所以，红客笃信：远水救不了近火。但是，事实并非如此。本章便从遥远的生物医学领域，带来传染病动力学之“远水”，试图来救病毒式恶意代码这盆“近火”。将传染性疾病防控的一些经典思想和理念，引入网络空间安全保障体系建设之中。第14章 计算机病毒的行为分析1. 计算机病毒与生物病毒2. 死亡型病毒的动力学分析3. 康复型病毒的动力学分析4. 免疫型病毒的动力学分析5.开机和关机对免疫型病毒的影响6.预防措施的效果分析7.有潜伏期的恶意病毒态势8.它山石的启示14.1 计算机病毒与生物病毒人类一直与各类疾病（特别是瘟疫等传染病）作斗争；三百多年前，徐光启就将数学手段引入了生物统计。从外观和形态上来看，网络空间安全与人体疾病很相似。安全界的很多名词，比如，病毒、免疫力、传染等都是从医学中借用过来的。如今，动力学理论这一数学分支，已被广泛应用于国内外生物医学领域。14.1 计算机病毒与生物病毒恶意代码的基础知识恶意代码是最头痛的安全问题之一，它甚至是整个软件安全的核心。虽然单独对付某台设备上的指定恶意代码并不难，但是，网上各种各样的海量恶意代码，却像癌细胞一样，危害着安全，而且，既杀之不绝，又严重消耗正常体能。在过去，安全专家在对付恶意代码的微观手段方面，做了大量卓有成效的工作；可是，在宏观手段方面，成效甚少，这时就需要将网络空间安全领域和生物医学领域结合起来。14.1 计算机病毒与生物病毒狭义上说，恶意代码是指故意编制或设置的、会产生威胁或潜在威胁的计算机代码（软件）。最常见的恶意代码有计算机病毒、特洛伊木马、计算机蠕虫、后门、逻辑炸弹等。广义上说，恶意代码还指那些没有作用却会带来危险的代码，比如，流氓软件和广告推送等。本章重点考虑狭义恶意代码。14.1 计算机病毒与生物病毒恶意代码的微观破坏行为，表现在许多不同的方面，比如，口令破解、嗅探器、键盘输入记录，远程特洛伊和间谍软件等等。黑客利用恶意代码便可能获取口令，侦察网络通信，记录私人通信，暗地接收和传递远程主机的非授权命令，在防火墙上打开漏洞等。恶意代码的入侵手段主要有三类：利用软件漏洞、利用用户的误操作、前两者的混合。有些恶意代码是自启动的蠕虫和嵌入脚本，本身就是软件，它们对人的活动没有要求。而像特洛伊木马、电子邮件蠕虫等恶意代码，则是利用受害者的心理，操纵他们执行不安全的代码，或者是哄骗用户关闭保护措施来安装恶意代码等。14.1 计算机病毒与生物病毒恶意代码的主要传播方式是病毒式传播，即，某台设备被恶意代码击中后，该受害设备又将再去危害其它设备。恶意代码也像病菌一样，千变万化不断升级，其演化趋势表现在：种类更模糊、混合传播模式越来越常见、平台更加多样化、欺诈手段（包括销售技术等）更普遍、更加智能化、同时攻击服务器和客户端、对操作系统（特别是Windows）的杀伤力更大、类型变化越来越复杂等。14.1 计算机病毒与生物病毒本章所说的恶意代码，都已经暗含病毒式传播的假设。本章的思路、方法和结果，对与病毒式恶意代码类似的所有破坏行为都是有效的。本章只关注宏观行为，所以，恶意代码的微观变种可以忽略不计。本章所有分析，都基于这样一个已知的数学事实：一切随空间和时间变化的量的数学，都属于偏微分方程领域！14.2 死亡型病毒的动力学分析考虑这样一类恶意代码：它给你造成不可挽回的损失（比如，获取了你的银行卡密码并取走你的钱等）后，再以你的身份去诱骗你的亲朋好友；如此不断为害下去。由于它们造成的损失不可弥补，所以，称其为“死亡型”。这相当于某人染SARS病毒死亡后，会继续传染身边人员一样。14.2 死亡型病毒的动力学分析设网络的用户数为N，在t时刻，已经受害的用户数为T(t)，暂未受害的用户数为S(t)，那么，有恒等式S(t)+T(t)=N。再令f(S,T)为在“已有T人受害，S人暂未受害”条件下，受害事件发生率，于是，有下面两个微分方程 dT(t)/dt=f(S,T) 和 dS(t)/dt=-f(S,T)14.2 死亡型病毒的动力学分析在生物医学的流行病学中，有一个可借鉴的概念是传染力λ(T)，它表示在已有T台设备中毒的情况下，暂未中毒的设备与中毒者相连接的概率，所以，f(S,T)=λ(T)S；另一个概念是传染率β，它表示一个未中毒设备在连接到中毒者后，被传染的概率；所以，λ(T)=βT。于是，f(S,T)=λ(T)S=βTS，即，它是一个双线性函数。14.2 死亡型病毒的动力学分析此种近似，已经过医学中的长期实际数据检验，准确度足够高；而对比病毒式恶意代码和人类疾病的传播，它们的传染特性并没有明显差别，所以，我们得到如下微分方程dT(t)/dt=βT