概述(下)

病毒的基本原理

病毒的描述
只有具有受限傳遞性、受限共享的系統(tǒng),或者不提供共享的系統(tǒng),或者不具備一般信息解釋能力的系統(tǒng),才能夠具有潛在的防范病毒的能力
病毒通過檢查目標程序首部是否包含"感染標志"來判斷目標是否被感染過。
病毒集(Viral set,VS)
VS是一類特殊的(machine,tape-set)序偶的集合,VS集合中的元素可以通過集合運算產(chǎn)生新的VS元素,體現(xiàn)進化性
如果VS中的某個元素能夠在圖靈機磁帶上產(chǎn)生一個新的VS元素v',并且v'和v,在磁帶上的位置不同,則元素可認為是病毒

  1. 任意病毒集的并仍然是病毒集。
  2. 最大病毒集是所在機器的所有VS的并集
  3. 任何能夠復制自身的符號序列都是病毒,即凡是病毒都具有自復制特性。
  4. 最小病毒集是單元素集,其唯一元素能夠?qū)ψ陨磉M行復制。

形式化模型中的關鍵問題
判定性:是否可以通過圖靈程序在有限時間內(nèi),判斷一個給定的符號序列對給定的圖靈機來說是一個病毒
進化性:是否可以通過圖靈程序在有限時間內(nèi),判斷一個給定的符號序列,對于給定圖靈機能產(chǎn)生另一個給定的符號序列
可計算性:如何判斷能進化成病毒的某一類符號序列

通用圖靈機(Universal Turing Machine,UTM)
UTM是一個特殊的圖靈機,它可以接收任意一個圖靈機M的編碼,然后
模擬M的運作。

病毒是一個特殊的TM的描述,它能夠被UTM模擬,并導致在磁帶上產(chǎn)生另一個病毒TM的描述。該模型下最簡單的病毒就是能夠在磁帶上進行自我復制的TM,它運行在空白的磁帶上,其描述只包含有效的移動。病毒在進化過程中能夠使用磁帶的初始內(nèi)容作為輸入?yún)?shù)。

傳播模型

傳播模型\begin{cases}易感-感染-易感模型\\ 易感-感染-移除模型\\ 易感-暴露-感染-移除模型\\ 易感-感染-檢測-移除模型\end{cases}

  1. 易感-感染-易感模型:易感節(jié)點被病毒感染后成為感染節(jié)點,感染節(jié)點被治愈后又成為易感節(jié)點
  2. 易感-感染-移除模型:易感染節(jié)點被病毒感染后進入感染狀態(tài),并且有可能將病毒傳播給其他節(jié)點,病毒被清除后,該節(jié)點對病毒具有抵抗能力,不會再感染同一種病毒
  3. 易感-暴露-感染-移除模型:在易感-感染-移除模型的基礎上增加一個"暴露狀態(tài)",用于描述用于描述那些已經(jīng)接收到病毒代碼但尚未顯現(xiàn)出病毒特征的個體。
  4. 易感-感染-檢測-移除模型:用于描述病毒的傳播和清除的模型,在反病毒程序出現(xiàn)之前,實際上就是個易感-感染-易感模型;在反病毒程序出現(xiàn)之后,感染節(jié)點和易感節(jié)點都有可能接收到疫苗成為免疫節(jié)點,在這個階段網(wǎng)絡中既存在病毒的傳播又存在疫苗(反病毒程序)的傳播。

安全模型

隔離策略:基于信息的傳遞性將用戶劃分為不同閉集,從而實現(xiàn)系統(tǒng)隔離。采用多級安全保護,最小特權(quán)原則。
訪問控制策略:
第一種是Bell-LaPadula(B-LP)模型:不上讀,不下寫,保證數(shù)據(jù)的機密性
第二種是Biba模型:不下讀,不上寫,保證數(shù)據(jù)的完整性,即從信息流向的定義方面,不允許級別低的進程到級別高的進程,也就是說用戶只能向比自己安全級別低的個體寫入信息,而不能從比自己級別低的個體讀入信息。

隔離模型

內(nèi)網(wǎng)安全等級比外網(wǎng)的安全等級高,在外網(wǎng)信息流向內(nèi)網(wǎng)時需要經(jīng)過下面三個隔離設備:

  1. 防火墻,相當于是內(nèi)網(wǎng)的一個“城門”,對流入內(nèi)網(wǎng)的信息進行“安檢”,但是不支持應用層的識別,難以識別隱藏在應用中的木馬和病毒。
  2. 網(wǎng)關,一般需要設置多重網(wǎng)關,基于惡意代碼特征庫進行隔離,但是難以識別利用正常通訊,分散迂回進入的攻擊,一旦“混入”,暢通無阻。
  3. 網(wǎng)閘,是一種物理隔離的產(chǎn)品,在內(nèi)網(wǎng)和外網(wǎng)建立一個緩沖區(qū),對數(shù)據(jù)進行一個擺渡,相當于先將“城門”堵上,然后根據(jù)城內(nèi)的需要,開通“特殊通道”。

信息流模型

可以通過直接限制信息的傳播范圍來限制病毒的傳播范圍
流距離(Flow Distance)策略:所謂流距離就是信息流動的距離(這是一個共享數(shù),即信息自身的一個屬性)的測量。然后主機通過設置距離門限值,使信息超過這個門限值后將不再可用,從而提供對信息的保護。

但是由于信息流模型在部署的時候需要很大的開銷,所以其實用性并不強

病毒的特征

計算機病毒的生命周期:
開發(fā)期→傳染期→潛伏期→發(fā)作期→發(fā)現(xiàn)期→消化期→消亡期
計算機病毒的主要特點:
\begin{cases}感染性(基本特征)\\ 非授權(quán)可執(zhí)行性\\ 隱蔽性\\ 條件可觸發(fā)性\\ 進化性(也可能因為文件在傳播過程中的損壞而出現(xiàn)退化的情況)\\ 不可判定性\\ 潛伏性\\ 表現(xiàn)型或破壞性\end{cases}

計算機病毒的命名規(guī)則

<malware-type>:代碼類型
<platform>:依賴的環(huán)境
<group_name>:病毒族
<infective_length>:感染長度
<variant>:變種號
<devolution>:進化標識

?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請聯(lián)系作者
【社區(qū)內(nèi)容提示】社區(qū)部分內(nèi)容疑似由AI輔助生成,瀏覽時請結(jié)合常識與多方信息審慎甄別。
平臺聲明:文章內(nèi)容(如有圖片或視頻亦包括在內(nèi))由作者上傳并發(fā)布,文章內(nèi)容僅代表作者本人觀點,簡書系信息發(fā)布平臺,僅提供信息存儲服務。

友情鏈接更多精彩內(nèi)容