随着智能手机的普及,新的手机病毒开始泛滥。本篇计算机论文以WAP网关和WAP网关所管辖的手机移动终端作为一个模型对手机病毒传播进行研究,以破解手机病毒传播渠道,达到保护手
4006-054-001 立即咨询发布时间:2022-10-05 21:43 热度:
随着智能手机的普及,新的手机病毒开始泛滥。本篇计算机论文以WAP网关和WAP网关所管辖的手机移动终端作为一个模型对手机病毒传播进行研究,以破解手机病毒传播渠道,达到保护手机安全的目的。《》 是非核心期刊 电子论文期刊,杂志是信息安全类科技期刊之一,2001年在北京市创刊并持续发行,报道国家信息化安全建设项目,择优刊发学术论文。杂志以成为信息安全主管部门的喉舌、应用部门的参谋、科研生产部门的向导和技术与管理人员的阵地为办刊宗旨。
摘要:随着手机业务迅速发展与手机终端处理能力的不断增强,手机已经越来越像一个小型计算机,可以安装并执行程序。因此,作为一种新的网络犯罪模式,在计算机中传播的病毒也不可避免地渗透到手机通讯中,移动业务的安全问题逐渐凸显。本文以SIR模型为基础,推演出更符合手机病毒传播特点的模型,以便更好地对移动网络安全问题进行分析和研究。
关键词:手机病毒传播;WAP网络协议;病毒感染状态转换;
近年来,由于计算机和互联网使用的普及,我们对计算机病毒已经比较熟悉,那么,对于手机病毒的发作和传播原理,可以用比照计算机病毒的方式去理解。手机病毒是以手机为感染对象,以手机WAP网络、蓝牙局域网以及相关的计算机网络为平台,通过病毒彩信、病毒程序、挂马WAP网站等方式,对手机进行攻击,从而造成手机异常的一种新型病毒。与通常的www协议相比,移动通信协议增加了WAP网关,移动终端正是通过这个WAP网关实现与Internet 网络的信息交换。而这个WAP网关的作用就是将有线通信的HTTP/HTML/SSL安全协议转化为无线通信的WAP/WML/WTLS安全协议。正是 WAP网关的特殊位置,本文对于手机病毒传播模型的研究将会以WAP网关作为中心。由于手机终端的运算能力有限,不能保证每一个终端都能定期进行全面彻底的病毒查杀,对于大多数已感染手机病毒的手机只能人工进行病毒专杀并打上补丁。因此,我们只能将病毒查杀的任务部署在“上游”,也就是WAP网关和 Internet网络服务器。但是,作为“上游”的Internet网络服务器,虽然拥有较为强大性能,但是它所使用的有线协议与移动通信协议不同,不能与手机终端进行直接通信,起作用很难影响到手机终端。如果手机病毒仅在WAP网关及其管辖收集范围内这两层进行传播,“上游”的Internet网络服务器是很难察觉的。
因此,我们将以WAP网关和WAP网关所管辖的手机移动终端作为一个模型进行研究。
1 SIR模型
以WAP网关为巾心进行手机病毒传播模型研究时,我们可以暂时排除该WAP网关以外的其他WAP网关及网络服务器,把该WAP网关及其范围内的手机终端作为一个封闭环境。在某一时间内,该范围内的手机总数量不变。该WAP网关尚未配置病毒检测和定时查杀功能,病毒文件可以在该封闭网络内任意传播,但是,人们可以通过其他方式发现手机病毒,并采取相应的清除防范措施,例如,用户通过观察手机短信,通话记录,手机资费的异常,操作系统连续重启等手机病毒特征察觉手机已经中毒,并通过下载专杀工具,手动清除,重装软件等方式进行杀毒。在清除病毒后,一般有两种结果,一种是手机用户并未对该手机病毒进行任何防御措施,只是简单的删除文件,卸载应用程序,重装系统或是终止服务,手机仍有重新感染该病毒的可能性,另一种是,用户采取了相应的防御措施,使该手机在今后永久地免疫该手机病毒。于是,我们就能利用医学中的传染病SIR模型,初步建立一个手机病毒SIR模型。
在这个模型中,我们将某一时刻该范围内手机终端的状态分为三种:易感染手机终端( Susceptihle),已感染手机病毒的手机终端( Infectious),已具备抵抗某种手机病毒的手机终端( Removed)。那么,这一时刻用t表示,在一个封闭环境中,这三种手机终端的数目分别用S(t),I(t),R(t)表示,其手机总数量用N表示。在这个封闭环境内,并非所有手机都会立刻感染病毒,随着通话,短消息,浏览WAP网站等信息交换的进行,会以概率α的可能性进行传播。而人们也会以概率β的可能性发现病毒,清除病毒并防止手机再次感染病毒。
于是,根据SIR数学模型的定义,我们可以得出手机病毒传播的SIR模型,三种状态手机数量的变化率为:
其中,α,β表示概率,都是正常数。
通过这个SIR模型,我们得到了这个微分方程组,包括在医学工程上的传染病模型也是依据这个微分方程组建立起来的。但是,我们会发现,这个方程组将病毒感染状态描述为,首先是易感染状态,然后感染病毒后,进入已感染状态,得到有效治愈后则是免疫状态。显然,在医学工程中,这是一个较为实用的模型,但是,作为研究手机网络的病毒传播模型,SIR模型却有一些尚未考虑的因素,存在着不足之处。其不足之处就在于,对于一台手机个体感染病毒状态的描述。我们可以用一个有穷状态自动机来描述SIR模型的病毒状态转换。我们对这个有穷状态自动机的各状态做出如下设置:易感染病毒的状态( Susceptible)设置为初始状态qo,已感染病毒的状态( Infectious)设置为中间状态qi,清除后对该病毒免疫的状态( Removed)设置为终止状态q2。
那么,SIR病毒传播模型中,手机个体感染病毒的状态转移图,如图1所示:
我们可以看出,在SIR模型中,手机首先是处于易感染病毒状态qo,之后,以一定的概率感染了某种手机病毒,则进入已感染状态q1。之后,经过查杀,就会进入消除此病毒并永久对该病毒免疫的状态q2,此状态为终止状态。
2 SIRC模型
然而,实际上用户在将病毒清除后,并不是全部手机都将进入了清除后永久免疫的终止状态q2,而是安装了相应防御措施的手机能够进入永久免疫状态q2,另外其他未安装防御措施的手机,重新又成为了会感染病毒的初始状态q2,即易感染状态。
用户在清理完病毒之后,一部分手机并未对该病毒永久免疫,而是回归到了初始状态qo,这样的结果会导致手机重新感染病毒,又将回到已感染状态q1,从而又将进入新的循环,我们将这种新的模型命名为SIRC模型。
对比两种状态转换模型,我们会发现,中间状态qi已经不是单向的状态转换,而是会返回初始状态形成环(Cycle)。
由此,对原先的SIR模型做出改进,其手机个体感染病毒的状态转移也应做出改讲.如图2所示:
在原SIR模型中,人们也会以概率β的可能性发现病毒。在新的SIRC模型定义中,“清除病毒并防止手机再次感染病毒”需要改为“人们也会以概率 β的可能性发现病毒之后,或者以概率μ的可能性清除病毒,但不安装防范该病毒的补丁或其他防御措施,使其重新回到感染前状态,或者以概率ν的可能性清除病毒之后,进一步安装防范该病毒的补丁或其他防御补丁使其永久免疫该病毒。”由此定义得出,/3=,u+v。概率μ表示在状态q1时,发生ql—q1状态转化的概率,概率μ表示在状态ql时,发生ql- qo状态转化的概率。因此,由新的SIRC模型所建立的微分方程组形成:
3 A-SIRC(Anti-virus SIRC)模型
虽然新的SIRC模型在病毒感染与清除方面更符合手机网络的实际情况,但是SIRC模型仍然存在其他实际问题。在通常情况下,我们不是只在发现病毒时才开始清理病毒并采取相应的防护措施,我们可以通过上网,电视,与其他用户的交流中得知,某种手机病毒正在流行。于是,在我们的手机还尚未感染病毒时,就开始安装杀毒软件、监控软件、修补漏洞或采取其他防病毒措施,使之“防患于未然”。刚刚得出的SIRC模型并未包含对于此种情况的模型,因此,SIRC模型还应该加入另一个因素,即“反病毒措施的传播”。
如何分析以上所说的“反病毒措施的传播”呢?其实,我们可以把它与“病毒的传播”进行比较就会发现,“反病毒措施的传播”在一定程度上,很类似于 “病毒的传播”。病毒是通过与周围手机进行信息交换时传播的,而我们的反病毒信息也经常是通过与其他已经掌握了病毒防护措施的人或信息媒介进行信息交换时获得的。所以,这种反病毒信息的传播也是按照一定的概率进行传播,这个概率我们称为免疫率λ。
同样,我们可以通过对前面所得出的有穷状态自动机进行改进,得出一个新的有穷状态自动机,这个新的有穷状态自动机添加了“反病毒措施的传播”这一因素,它可以用来描述这个新的A-SIRC( Anti-virus SIRC)模型。
如图3所示:
我们之前用R(t)来表示在某个手机网络中,在时刻t进入“永久免疫”状态的手机数量。而在新的A-SIRC模型中,我们用Rs(t)来表示在时刻t,由易感染状态qo直接转化为清除后永久免疫的状态q2的手机数量,用RI(t)来表示在时刻t,由已感染状态qi转化为清除后永久免疫的状态q2的手机数量,于是,R(t)=Rs(t)+RI(t)。其变化率如果用微分方程的形式来表示就是:
当然,这仅仅是针对某一种或某一类病毒而讨论。例如,虽然某部手机经过安装系统补丁的措施永久免疫了病毒VBS.Timofonica,成为了免疫群体。但是,其对于完全不同的另一类病毒Hack.smsflood来说,仍是易感染群体。
由以上讨论的新情况,我们得到一个微分方程组:
4 SIRC模型、A-SIRC模型与Sapphire类型病毒攻击实例的对比
首先,我们需要对手机网络中手机个体的总数量N进行假设:N=1000000。然后,在初始状态t=0的情况下,设手机感染某种病毒的数量为1 台,即l(0)=1.此时,病毒尚未被认识,并没有进免疫状态的手机,即RI(0)=Rs(0)=0。则处于易感染状态的手机数量S(O)=N-l。另外,在病感染与清除的概率方面,设感染率a=0.8/N。 在A-SIRC( Anti-virusSIRC)模型中,感染后清除并免疫的概率ν=0.03,而感染后清除但不免疫的概率μ=0.015;在SIR模型中,认为所有清除病毒后的手机都会免疫此种病毒,则β=μ+ν=0.015+0.03=0.045。在易感染状态下,直接安装反病毒措施而进入免疫状态的概率 λ=0.005。在某一时间内,感染病毒手机的总数量用M(t)表示。在A-SIRC模型中M(t)=I(t)+RI(t)。我们使用MATLAB 7.0将以上假设代入,得出的结果如图4所示。
我们比较直观的看出,两个模型在预测被病毒感染手机数量上的差异。
两个模型究竟哪一个比较可靠呢?我们可以通过以下实验的实例进行对比。这个实验的数据和图表均来源于互联网数据分析联盟网站( www.caida.org)。该网站是在全球范围内,网络实验数据最为权威的网站之一,其中的绝大多数实验数据都为IEEE所引用,尤其在信息安全网络攻防领域的数据,是普遍得到认可的。
Sapphire类型的病毒所使用的攻击和传播策略是通过随机扫描技术,对有安全缺陷端口进行攻击。例如,在因特网中,这类病毒会通过扫描IP地址,寻找攻击目标。而在手机网络中,“卡比尔”病毒就是利用这种攻击策略对WAP网络中其他的手机个体进行攻击,经过长时间的随机扫描,他会寻找出WAP 网络中所有存在安全缺陷的手机个体,即我们之前所说的处于“易感染状态”的手机个体,将他们确立为攻击目标,并进行攻击,直到该WAP网络内所有处于“易感染状态”的手机个体都被攻陷。这种攻击策略被认为是最快的攻击和传播策略之一。该实验所使用名为“Code Red”的病毒就是基于这种攻击策略。
共有遍布于全世界的250000个端口参与该实验,在这250000个端口中,某些端口尚未进行任何安全保护,某些端口已经具备了反病毒攻击能力,并且这种反病毒攻击措施能够传递给其他端口。同样,病毒也具有快速传播的能力。每个端口都有探测工具,用来检测该端口是否处于被感染状态,并定时报告给主机。
摘要:虚拟参考站的出现是GPS定位的有一项突破,它标志着GPS的发展进入了一个新阶段,它不仅使GPS提高了精度,同时扩大了...
20世纪70年代功能翻译理论在德国蓬勃发展。1971年卡塔琳娜·赖斯 (KatharinaReiss) 在《翻译批评的可能性与局限性》( Possibiliti...
近年来,包括我国在内的世界各国先后发布限时停售传统燃油车的政策。预计10年后,在我国销售的增量新车中,将没有内燃...
结合某项目的太阳能光伏照明设计,具体阐述并网发电系统的构成及功能,并对光伏发电的效益做一定的分析...
随着信息时代的到来,数字化技术被广泛应用。数字化技术在飞机装配中的应用显示了许多优势,使我国航空产品的开发发生...
本文简要介绍了通过AutoCAD的DXF数据格式与MAPGIS的MPJ数据格式直接转换在地质工作中存在的一些不足之处,重点阐述了AutoCAD的...