计算机病毒智能检测技术研究

王立达
摘要:随着网络的不断延伸以及人们对计算机的依赖程度的加深,计算机病毒的危害程度也呈现几何倍数增长,信息系统安全受到了严重的挑战。因此,剖析计算机病毒的基本原理并研究相应的检测技术,保障计算机系统的安全和可靠性是很有必要的。
关键字:计算机病毒检测技术
1 概述
“计算机病毒”一词最早用来表达此意是在弗雷德·科恩(Fred Cohen)1984年的论文《电脑病毒实验》中,随着网络的不断延伸以及人们对计算机的依赖程度的加深,计算机病毒的危害程度也呈现几何倍数增长。1999年的“Melissa”、2000年的“I love you ”、2003年的“冲击波Blaster”,以及我国2006年著名的“熊猫烧香病毒”,其造成的经济损失都是上亿美元。伴随着病毒攻击和破坏行为的日益普遍化和多样化,信息系统安全受到了严重的挑战,因此,剖析计算机病毒的基本原理并研究相应的防治技术,保障计算机系统的安全和可靠性是很有必要的。
2 计算机病毒的分类和特点
按照我国1994年2月18日颁布实施的《中华人民共和国计算机信息系统安全保护条例》第二十八条的定义,“计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码”。
2.1 计算机病毒的功能结构 计算机病毒主要由感染机制、载荷机制、触发机制组成,三个机制间相互关联,感染机制通过一定的载荷,寻找目标空间,开启触发机制进行病毒的破坏动作。
感染模块是病毒进行感染时的动作部分,通过感染模块,病毒首先寻找到一个可执行文件,然后检测该文件是否有感染标记,若没有,则将病毒代码写入宿主程序,进行目标感染。
触发模块则是按照预先设置好的条件,控制病毒的感染或破坏动作。触发条件中包含病毒的感染或破坏动作的频率,以及病毒的状体是隐蔽还是直接进行文件或系统的感染或破坏。病毒的触发条件的形势包括时间、日期、感染的次数、发现特定程序、特定中断的调用次数等等。
病毒的破坏模块主要负责实现病毒破坏动作,模块内部是实现病毒编写者预定破坏动作的代码。破坏动作可能是破坏文件、数据,也可能是破坏计算机的时间效率和空间效率或者使机器崩溃。
2.2 计算机病毒的分类 计算机病毒的分类标准有很多,可按攻击的系统、机型或是病毒的链结方式、破坏情况、寄生部位或传染对象以及激活时间等标准分类。
按照病毒的链接方式,病毒主要分为源码型病毒、嵌入型病毒、外壳型病毒、操作系统型病毒四类。源码型病毒主要攻击高级语言编写的程序,在程序编译前将病毒程序插入到源程序中,使源程序与病毒程序经编译后成为一体;嵌入型病毒主要是将自身嵌入到现有程序源码中,以插入的方式将计算机病毒的主体程序与其攻击的对象链接;外壳型病毒主要将其自身包围在主程序周围,不修改源程序;操作系统病毒主要是通过病毒运行将病毒逻辑部分取代操作系统的合法程序,导致整个系统的瘫痪或效率降低。典型的操作系统型病毒有圆点病毒和大麻病毒。
另外按照病毒传染对象可分为磁盘引导区传染的计算机病毒、操作系统传染的计算机病毒、可执行程序传染的计算机病毒等,按照寄生方式和传染途径可分为引导型病毒、文件型病毒等。
2.3 计算机网络病毒的特点 计算机病毒主要有以下特点:①寄生性,可以寄生在正常程序中,可以跟随正常程序一起运行,但是病毒在运行之前不易被发现。②传染性,可以通过种种途径传播。③潜伏性,计算机病毒的作者可以让病毒在莫一时间自动运行。(统一的,在莫一时间大规模的爆发)④隐蔽性,不易被发现。⑤破坏性,可以破坏电脑,造成电脑运行速度变慢.死机.蓝屏等问题。⑥可触发行,病毒可以在条件成熟时运行,这样就大大增加的病毒的隐蔽性和破坏性。
3 计算机病毒检测方法
根据检测的原理不同、检测所需的开销不同、检测的范围不同,计算机网络病毒的检测方法也存在区别,常见的方法有长度检测法、病毒签名检测法、特征代码检测法、校验和法、行为监测法、感染实验法、生物免疫法、人工智能方法等。
3.1 长度检测法。当程序感染病毒时,最明显的症状就是起宿主程序增长,一般增长几百字节。长度检测法就是通过定期的监视文件长度的变化,从而获取文件长度的非法增长信息,以此来判定病毒程序的存在。通过长度增加的多少,与病毒库文件大小进行对比,就可以判断病毒的种类和类型。但有时文件的长度是合法的,而且源程序在不知情情况下的修改也可能造成长度的变化,或是在不同版本的操作系统性也会引起文件长度的变化,因此,長度检测法不能识别保持宿主程序长度不变的病毒。
3.2 病毒签名检测法。有些病毒感染宿主程序时,会在宿主程序中的不同位置放入特殊感染标记。因此,通过病毒样本剖析,可以了解部分病毒签名的内容和位置,然后通过对可疑程序的特定位置搜索病毒签名的方式,来获取病毒感染信息。并通过与病毒签名库的对比,获取相应的病毒种类和类型。该法的局限性在于:首先必须通过剖析病毒,把握各种病毒的签名,预先知道病毒签名的内容和位置;其次,由于正常程序在特定位置具有和病毒签名完全相同的代码,可能存在虚假报警。
3.3 特征代码检测法。有些病毒在判断宿主程序是否受到感染时,是以宿主程序中是否含有某些可执行代码段做为判断依据的。因此,通过,采集已知病毒样本;在病毒样本中,抽取特征代码;将特征代码纳入病毒数据库;在被打开被检测文件中,搜索、检查文件中是否含病毒特征代码;若发现病毒特征代码,通过与病毒数据库比对,就可以查出文件中患有何种病毒。该法检测准确、快速、误报率低,同时可判断病毒种类和类型。
3.4 校验和法。对正常文件的内容,计算其校验和,将该校验和写入文件中或写入别的文件中保存。在文件使用过程中,定期地或每次使用文件前,检查文件现在内容算出的校验和与原来保存的校验和是否一致,因而可以发现文件是否感染,该法称为叫校验和法。该法优点在于既能发现已知病毒又可发现未知病毒。但缺点是无法发现病毒的种类和具体名称,存在误报警,对隐蔽性病毒该方法无效。
3.5 行为监测法。该法主要是利用病毒的特有行为特性来查找病毒程序。该方法的优点是可以发现未知病毒,并且可以对未知的多数病毒进行相当准确地预报;但该方法的短处存在可能误报警,病毒名称不能识别,在具体的操作时有一定难度。
3.6 软件模拟法。该法是为了检测多态性病毒而研发的新的病毒检测方法。主要思想是用软件方法来模拟和分析程序的运行。
3.7 感染实验法。该方法的原理就是利用所有病毒都会进行感染的特征。一旦感知系统存在异常,而最新的病毒检测工具也无法检测出病毒时,可以先运行可疑系统中的程序,然后运行确定不带毒的安全程序,观察正常程序的文件名长度或是校验和是否发生变化,如果正常程序被感染而发现异常,则可断定系统中存在病毒。
3.8 基于生物免疫系统的计算机病毒检测方法。该方法能够快速、自动地检测出已知和未知的病毒。该方法主要由以下几个部分组成:首先对已知的病毒进行分析,提取这些病毒的基本特征信息,将这些信息以类似疫苗的形式注入病毒检测系统中,通过接种疫苗和免疫检测来实现对计算机病毒的检测。
4 结论
由于计算机网络病毒危害性、多样性和复杂性的同步增长,目前,病毒已成为计算机系统安全性的最大威胁。因此,研究计算机病毒的智能检测技术,病毒检测与清除、病毒传播抑制、漏洞修复、病毒代码的行为阻断等多种防范措施,保障计算机系统的安全是一项很有必要和具有重要意义的工作。
参考文献:
[1]田畅,郑少仁.计算机病毒计算模型的研究.计算机学报,2001,24(2):158-163
[2]祝恩,殷建平,蔡志平等.计算机病毒自动变形机理的分析.计算机工程与科学,2002,24(6):14-17.
[3]文伟平.恶意代码机理与防范技术研究.博士学位论文,北京:中国科学院软件研究所,2004.
相关文章!
  • 核电厂运行人员防人因的失误管

    田春丽中图分类号:C931.3 文献标识:A 文章编号:1674-1145(2019)5-120-01摘 要 为减少核电厂安全生产事故的发生,人因失误的管理就是必

  • “互联网+ ”环境下我国电子文件

    沙洲摘要:“互联网+”战略使我国的电子文件服务迈上了新台阶。本文在概述电子文件服务方式的基础上,分析了“互联网+”环境下我国电子文件

  • 《意见》热点问题解析

    建立差别化落户政策《意见》提出要建立差别化落户政策,在制定河南省具体的落户政策时,全省划分为建制镇和小城市、中等城市、大城市和省会