SIDR模型是對病毒傳播以及病毒清除過程的描述。在此模型中,節點被統分爲四類狀態:Susceptible代表節點已經收到病毒感染;Infections代表幾點不僅被感染並且會進一步的傳播;Detected代表節點雖然被感染,但是其存在的病毒已經有效的檢測出來並且並不會向外傳播;Removed代表節點本身具有抗病毒能力。這一模型考慮到了免疫延遲的情況,它將整個病毒進行傳播的過程分爲兩個階段:在沒有反病毒程序前,網絡內的病毒會傳播並且疫苗不會傳播,在此作用下易感染節點會變爲感染節點;當具有反病毒程序後,易感染節點以及感染節點都具有接受疫苗而變成免疫節點的可能性。
雙基因模型對感染率變化以及病毒對抗措施介入對病毒傳播所造成的影響進行了考慮。在病毒傳播的過程中,計算機用戶可能會發現病毒病採取措施來對抗病毒,如對病毒庫的更新、對病毒的查殺、對系統補丁的完善等,這些方法能夠有效地的使病毒感染率降低。
1主機檢測策略
基於主機的檢測策略主要包括權限控制技術、完整性驗證技術和特徵碼匹配技術三類。特徵碼匹配技術可以透過對主機代碼的掃描來確定這些代碼的特徵是否與病毒庫中的惡意代碼相同來判定計算機中是否存在惡意程序。其中同種及同類病毒具有相同代碼的理論是特徵碼掃描技術的基礎,特徵碼匹配技術需要不斷的對其病毒庫進行更新,不然將會不能識別新的病毒代碼,這種技術在這種情況下也自然會失去價值;權限控制技術是透過對計算機中程序權限的選定來避免惡意程序和代碼對計算機進行破壞,這是因爲惡意程序和代碼只有在執行狀態下來能夠對計算機進行破壞;完整性檢測是基於病毒代碼需要依附和嵌入程序文檔來執行,它們並不是獨立存在的,而一旦程序或者文檔遭到感染,其本身的完整性也就會被破壞,所以對程序和文檔的完整性進行檢驗能夠有效地防止病毒的感染。基於主機的檢測策略需要計算機用戶能夠在計算機中安裝防毒軟件並對軟件進行及時更新,而這種要求也使主機檢測策略具有了成本較高以及管理型較差的.劣勢。
2網絡檢測策略
基於網絡的檢測策略主要包括異常檢測以及誤用檢測兩類。病毒在植入和傳播的過程中會發送探測包,這種行爲會使網絡中的流量增加,對病毒本身的異常行爲進行檢測並採取有效措施進行控制是十分必要的,異常檢測可以及時的發現計算機網絡流量的變化,當其變化異常是會採取措施來避免惡意程序和代碼的進一步傳播,這種方法不僅對已知病毒的檢測有效,同時也能夠檢測出新的未知的病毒,但是其本身存在較高的誤報率;誤用檢測技術以特徵碼爲基礎。透過誤用檢測,可以實現特徵庫內特徵碼與待檢測數據的比較,從而判定待檢測數據流內是否存在惡意病毒。在此技術中,主要的特徵碼規則有特徵串、端口號、協議類型和數據包長度等,相比較異常檢測而言,這種策略更加的準確,但是對未知病毒的檢測卻不能勝任。與機遇主機的檢測策略相比,網絡檢測策略更加的容易維護和實現,並且能夠有效的從宏觀上對病毒的傳播進行控制。