淺談計算機病毒的檢測技術

廣西廣播電視信息網(wǎng)絡股份有限公司南丹分公司 廣西河池南丹 547200

摘要：計算機病毒的研究是當前計算機安全研究的重要組成部分，隨著計算機互聯(lián)網(wǎng)的快速發(fā)展，計算機病毒勢必對計算機用戶產生更大的影響。本文主要結合文獻資料，總結了計算機傳統(tǒng)的病毒檢測方法，并分析了缺點，針對免疫法的計算機病毒檢測技術做了分析和闡述。

關鍵詞：計算機病毒；檢測；免疫法

引言

計算機病毒是惡意的計算機程序。病毒通過各種傳播媒介不斷擴散，一旦發(fā)作就給正常系統(tǒng)產生“不良”影響。計算機病毒的程序代碼包含一套特殊的指令，與其他的程序不同的是它不需要人們的介入就能通過程序或系統(tǒng)傳播到其它計算機。當計算機病毒執(zhí)行時，通過把自己復制在一個沒有被感染的程序或文檔里，當這個程序或文檔執(zhí)行任何指令時，計算機病毒就會將自身傳播到其它的計算機系統(tǒng)和程序里。

1 計算機病毒特征

計算機病毒可以通過發(fā)送電子郵件、文件共享、從網(wǎng)絡上下載資源等不同的途徑傳播到還沒有感染該病毒的計算機中，并且不斷地盜取連接在網(wǎng)絡系統(tǒng)上的主機內存儲的信息，破壞網(wǎng)絡系統(tǒng)。有些計算機病毒也可以使系統(tǒng)不能正常運行，最后使系統(tǒng)崩潰。

大多數(shù)的計算機病毒也具有這一特性，它們感染存儲在計算機內的文件以后，能夠長期潛伏在這些被感染的文件中并不發(fā)作，只是不停的復制自身，感染相鄰的文件，直到某一時刻達到了該病毒發(fā)作的條件，病毒就會把它的破壞性表現(xiàn)出來。

計算機病毒的破壞性主要表現(xiàn)為：某一類型的程序不能正常執(zhí)行；存儲在系統(tǒng)中的數(shù)據(jù)、信息不斷地被盜取、篡改，甚至被刪除；不停的占用系統(tǒng)資源，使計算機出現(xiàn)死機等現(xiàn)象。

計算機病毒的源程序也可以用一些高級編程語言來實現(xiàn)，通過一些介質，比如優(yōu)盤、電子郵件等進入計算機后，潛伏在計算機系統(tǒng)中。

2 傳統(tǒng)的計算機病毒檢測方法

2.1 特征代碼法

如果發(fā)現(xiàn)病毒特征代碼，由于特征代碼與病毒一一對應，便可以斷定，被查文件中患有 何種病毒。采用病毒特征代碼法的檢測工具，面對不斷出現(xiàn)的新病毒，必須不斷更新版本，否則檢測工具便會老化，逐漸失去實用價值。病毒特征代碼法對從未見過的新病毒，自然無法知道其特征代碼，因而無法去檢測這些新病毒。

特征代碼法的缺點是：不能檢測未知病毒、搜集已知病毒的特征代碼，費用開銷大、在網(wǎng)絡上效率低（在網(wǎng)絡服務器上，因長時間檢索會使整個網(wǎng)絡性能變壞）。

2.2 校驗和法

將正常文件的內容，計算其校驗和，將該校驗和寫入文件中或寫入別的文件中保存。在文件使用過程中，定期地或每次使用文件前，檢查文件現(xiàn)在內容算出的校驗和與原來保存的校驗和是否一致，因而可以發(fā)現(xiàn)文件是否感染，這種方法叫校驗和法，它既可發(fā)現(xiàn)已知病毒又可發(fā)現(xiàn)未知病毒。

校驗和法的缺點是：它不能識別病毒類，不能報出病毒名稱。由于病毒感染并非文件內容改變的唯一的非他性原因，文件內容的改變有可能是正常程序引起的，所以校驗和法常常誤報警。而且此種方法也會影響文件的運行速度。

2.3 行為監(jiān)測法

利用病毒的特有行為特征性來監(jiān)測病毒的方法，稱為行為監(jiān)測法。通過對病毒多年的觀察、研究，有一些行為是病毒的共同行為，而且比較特殊。在正常程序中，這些行為比較罕見。當程序運行時，監(jiān)視其行為，如果發(fā)現(xiàn)了病毒行為，立即報警。

行為監(jiān)測法的缺點是：可能誤報警、不能識別病毒名稱、實現(xiàn)時有一定難度。

2.4 軟件模擬法

軟件模擬法針對多態(tài)性病毒，通過模擬和分析程序的運行，并跟蹤病毒的運行，從而破獲病毒的加密引擎，再通過特征代碼進行掃描。這種方法進而演化為虛擬機，以及啟發(fā)式查毒技術。

一般情況下軟件模擬方法與特征代碼掃描方法配合使用：首先特征代碼法檢測病毒，如果發(fā)現(xiàn)隱蔽性病毒或多態(tài)性病毒嫌疑時，啟動軟件模擬模塊，監(jiān)視病毒的運行，待病毒自身的密碼譯碼以后，再運用特征代碼法來識別病毒的種類。

3 免疫法的計算機病毒檢測技術

基于免疫原理的計算機病毒檢測模型借鑒了生物免疫系統(tǒng)的基本原理，能夠識別或檢測到形式變化多樣的計算機病毒，并且采取相應的措施做出反應。這種病毒檢測模型適應性更好，更具有普遍性，它能夠通過其自身具有的學習和自適應能力來改變傳統(tǒng)的被動式病毒防御策略。

如何構造一個檢測器群是該技術的核心。檢測器能夠識別或預防危險的異常行為，然后消除這些異常行為；它還能夠記憶已經(jīng)遇到過的病毒，識別新的病毒，保持系統(tǒng)的多樣性，保護免疫系統(tǒng)本身不遭受攻擊。大批量的單個檢測器形成檢測器群，一代又一代地隨著病毒的不斷入侵而演化，檢測器群演化的最終目的是能夠盡量覆蓋狀態(tài)空間，以實現(xiàn)免疫系統(tǒng)的多樣性、適應性以及動態(tài)覆蓋性等。

計算機病毒檢測技術的發(fā)展與計算機病毒的發(fā)展相比要慢的多。由于計算機病毒在病毒傳播方式、感染文件的方式和病毒隱藏方面的變化層出不窮，導致了計算機病毒檢測技術始終處于被動地位。為了保障網(wǎng)絡和連接到網(wǎng)絡上的計算機的安全，病毒檢測技術需要有一個大的發(fā)展。生物免疫系統(tǒng)正好給出了一個新思路，即構造基于生物免疫原理的計算機病毒檢測系統(tǒng)。這種新思路以生物免疫系統(tǒng)和計算機病毒檢測系統(tǒng)在功能方面的相似性為基礎。

計算機病毒檢測系統(tǒng)和生物免疫系統(tǒng)存在很多的相似性，但是他們也存在許多的區(qū)別。不同的計算機中存儲的文件內容不同、大小也不同，自體集相對的不固定，而且現(xiàn)在認為是安全的程序在將來也許就會變成惡意代碼。整個計算機系統(tǒng)就是一個動態(tài)的、不穩(wěn)定的整體。所以計算機病毒檢測系統(tǒng)的自體集和非自體集也是動態(tài)的，并不是永恒不變的。

免疫法計算機病毒檢測系統(tǒng)的主要特性包括：

（1）分布性。多個計算實體相互協(xié)調合作完成檢測。在病毒檢測系統(tǒng)中，檢測器分布在不同的節(jié)點運行分布式地執(zhí)行檢測，并且可以在節(jié)點間游動檢測。

（2）多樣性。檢測器具有隨機檢測能力。這將給系統(tǒng)帶來一定的不可預知性，好處是可以提高系統(tǒng)的容錯能力和健壯性。

（3）高效性。檢測應該給正常系統(tǒng)附加盡可能少的計算負擔。但是必要的CPU時間和存儲消耗不可避免。

（4）低錯誤率和高成功率。檢測系統(tǒng)的錯誤分兩種：錯誤肯定和錯誤否定。錯誤肯定是指將正常系統(tǒng)行為識別為異常，錯誤否定是將異常行為識別為正常。相對而言錯誤肯定更為嚴重，因為將正常行為過多標識為異常，可能導致用戶最終關掉檢測系統(tǒng)。而錯誤否定將放過病毒，后果也是嚴重的。

（5）檢測未知病毒。未知病毒檢測不需要預先知道病毒的特征信息，基于異常檢驗技術可以具備這一特性。免疫系統(tǒng)中自體耐受過程和否定選擇算法使得系統(tǒng)學習正常行為，再由此識別異常行為，包括未知病毒的感染。

結語

計算機病毒檢測系統(tǒng)主要被用于防止病毒對計算機中文件的破壞和盜取計算機中的信息，保證計算機系統(tǒng)正常工作，使計算機免受侵害。計算機病毒檢測系統(tǒng)和生物免疫系統(tǒng)對各自存在的系統(tǒng)的作用是相似的。正是基于這種功能的相似性，把生物免疫系統(tǒng)的基本原理引入計算機病毒檢測技術成為了一種新的保證計算機安全的研究方向。

參考文獻：

[1]陳桓，劉曉潔，宋程，梁可心.一種基于免疫的計算機病毒檢測方法.計算機應用研究.2005年9期

[2]張景龍，王愛松，張春生，姜靜清，奇金寶.計算機病毒免疫的初步研究內蒙古民族大學學報：自然科學版2012年4期

[3]彭梅，李傳東，何興.基于直接免疫的SEIR計算機病毒傳播模型.重慶師范大學學報（自然科學版）.2013年1期