淺析計算機病毒的自動化檢測及預(yù)防

武雪飛

河鋼宣鋼物流公司 河北張家口 0 7 5 1 0 0

要想對病毒攻擊進行有效應(yīng)對，其中最理想的途徑為避免病毒在網(wǎng)絡(luò)里面大范圍傳播。不過網(wǎng)絡(luò)自身運行技術(shù)相當(dāng)復(fù)雜，因此仍然難以預(yù)防病毒。目前，計算機病毒的預(yù)防和控制僅基于檢測和清除。防病毒的常見類型主要包括兩大類，其一為以網(wǎng)絡(luò)作為基礎(chǔ)的防病毒手策略，另一種則為以主機作為基礎(chǔ)的防病毒策略。

1 計算機病毒的特征和侵入模式

計算機病毒的特征：自我復(fù)制力極強，傳染速度快以及隱蔽效果較佳等。計算機病毒的侵入模式：第一，代碼取代式侵入模式。此病毒應(yīng)用其本身的病毒代碼而取代某項入侵程序模塊，能夠?qū)μ囟ǖ某绦虍a(chǎn)生攻擊，針對性較強，因為不容易被察覺，所以極難消除。第二，源代碼嵌入式侵入模式。此類型的病毒在侵入程序時所選擇的目標(biāo)即為計算機高級語言的源程序，在編程前將病毒代碼嵌入其中，之后兩者共同被編譯到程序中，產(chǎn)生相應(yīng)的病毒文件。第三，附加外殼式侵入模式。此類型的病毒在嵌入時均會在計算機程序的前部以及尾部進行操作，類似于程序增添了病毒的外殼，當(dāng)程序啟動時，病毒會隨之啟動。第四，修改系統(tǒng)式侵入模式。此類型的病毒會使計算機的程序發(fā)生變化，導(dǎo)致工程結(jié)構(gòu)發(fā)生改變?，F(xiàn)階段，此病毒的侵入模式比較多見，能夠?qū)τ嬎銠C的運行操作產(chǎn)生影響[1]。

2 計算機網(wǎng)絡(luò)病毒自動化檢測技術(shù)

2.1 加密通信流量的分析

對于受感染的機器，無論主機操作系統(tǒng)類型如何，它都需要使用網(wǎng)絡(luò)與攻擊者通信，而且為了躲避檢測往往采用加密通信手段。病毒在動態(tài)執(zhí)行過程中的網(wǎng)絡(luò)流量數(shù)據(jù)將會保存成pcap文件，從pcap文件中可以分析病毒使用的HTTPS等加密通信協(xié)議。通過分析加密通信流量，可以獲得病毒外部連接的控制端或代理中轉(zhuǎn)節(jié)點的IP地址。對于簡單的加密通信方式，可以嘗試對流量還原。對于高強度的加密方式，即使還原流量難度很大，也可以在獲得通信IP地址的基礎(chǔ)上，借助防火墻產(chǎn)品對木馬及僵尸網(wǎng)絡(luò)等進行及時有效阻斷，降低用戶信息丟失的風(fēng)險及各種危害[2]。

2.2 校驗病毒技術(shù)

大部分病毒往往會依附在文檔或者程序中。一旦文檔或者程序感染了病毒，其存儲大小必然會發(fā)生改變，修改日期也發(fā)生改變。防病毒軟件裝上后會記錄下硬盤中所有的資料，并對正常文件的內(nèi)容進行計算、校驗、記錄和保存。啟動殺毒軟件進行殺毒，殺毒軟件就會把檢測到的情況與原來保存的情況進行對比，如果兩者不一致，表明計算機感染了病毒，否則就表明計算機是安全的。因為特征代碼技術(shù)的本質(zhì)就是把被檢測系統(tǒng)的特征與已有的病毒代碼庫中的病毒特征進行對比，所以特征代碼技術(shù)不會發(fā)現(xiàn)沒有出現(xiàn)過的病毒。而校驗病毒技術(shù)則是把看待檢測的計算機系統(tǒng)是否發(fā)生改變，以此來判斷系統(tǒng)是否被感染。因此，校驗病毒技術(shù)可以檢測出從來沒出現(xiàn)過的新病毒，不過并不能分析出該病毒的種類及名字。另外，由于校驗病毒技術(shù)誤報幾率比較高，檢測不出具有隱蔽特征的病毒。

2.3 定期更新系統(tǒng)，給計算機系統(tǒng)打補丁

第一，借助計算機程序自帶的安全軟件對系統(tǒng)進行更新。第二，安裝并及時更新安全防護軟件。殺毒軟件是目前防止計算機病毒的有效手段，借助殺毒軟件及時檢查計算機，可以有效防止病毒的入侵。第三，不瀏覽非法網(wǎng)站，不下載非法內(nèi)容。很多病毒都潛藏在非法內(nèi)容中，很容易導(dǎo)致計算機感染病毒。第四，要注重文件的保密和備份。重要文件應(yīng)當(dāng)進行加密處理。為了降低病毒感染帶來的損失，要對重要的內(nèi)容進行備份。第五，在下載和安裝文件時要留心觀察，不要輕易下載各類插件和安裝程序，防止病毒的入侵。第六，不要輕易打開文件。有很多病毒都儲存在文件中，一旦文件被打開，病毒就會被激活并感染計算機[3]。

2.4 訪問控制技術(shù)

惡意代碼一定要潛入計算機系統(tǒng)內(nèi)部才具有相應(yīng)的操作權(quán)限，并對計算機帶來損壞。矜持如果能夠?qū)ο到y(tǒng)程序?qū)?yīng)的權(quán)限進行正確操控，這些系統(tǒng)則具備執(zhí)行任務(wù)最低范圍的權(quán)限。即便在系統(tǒng)里面嵌入了惡意代碼，也無法銷毀。病毒檢測可以對異常程序代碼以及指令進行檢測并甄別，同時對系統(tǒng)安全級別展開有效排序，結(jié)合病毒代碼自身特性對權(quán)重進行合理分配。一旦序列加權(quán)值總和與規(guī)定的閉合著相比更高，可以斷定程序里面已存在病毒[4]。

3 結(jié)語

隨著現(xiàn)代科學(xué)技術(shù)的出現(xiàn)，特別是隨著近年來互聯(lián)網(wǎng)的出現(xiàn)，計算機病毒的未來越來越受歡迎。本文重點研究計算機病毒的預(yù)防和預(yù)防策略，重點關(guān)注計算機病毒的類型和模式。宗旨在幫助人們更好地了解計算機病毒的傳播，并采取有效措施減少計算機病毒。為人們的社交生活創(chuàng)造健康安全的網(wǎng)絡(luò)環(huán)境。然而，隨著物聯(lián)網(wǎng)的發(fā)展和網(wǎng)絡(luò)的快速發(fā)展，計算機病毒的傳播將不可避免地給結(jié)構(gòu)帶來新的復(fù)雜性。研究計算機病毒的研究人員也需要共同努力克服困難，最大限度地減少和預(yù)防計算機病毒。