计算机病毒及防御策略探究

摘　要：

关键词：
　　互联网的安全问题一直是一个备受关注的社会热点问题。日益泛滥的网络病毒给人们的生活造成了巨大的经济损失和心理影响。构建一个安全、健康的网络环境是反病毒专家孜孜不倦的追求，也是所有网络用户的美好愿望。为了能够设计出更好的病毒对抗方案，首先需要对病毒在网络中的传播过程有一个充分正确的了解，并积极寻求防御策略。
　　1计算机病毒及其相关原理
　　通过网络，人们可以方便、快捷地进行信息的交流。然而，网络在给人们的生活带来便利的同时也为计算机病毒的传播开辟了新的途径。当前，利用网络进行传播的病毒已成为互联网最主要的威胁。任何一台连入互联网的计算机随时都有可能感染病毒。因此，分析计算机病毒的传播特性，进而提出相应的防御策略已成为网络信息安全领域一个首要而紧迫的任务。
　　计算机病毒（Computer Virus）是指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据、影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。计算机病毒有独特的复制能力，它隐蔽在其他可执行的程序之中，既有破坏性、又有传染性和潜伏性。
　　1.1病毒的触发原理
　　可触发性是病毒的攻击性和潜伏性之间的调整杠杆，可以控制病毒感染和破坏的频度，兼顾杀伤力和潜伏性。计算机病毒在传染和发作之前，往往要判断某些特定条件是否满足，满足则传染或发作，否则不传染或不发作、或者只传染不发作，这个条件就是计算机病毒的触发条件。
　　1.2病毒的引导机制
　　在反病毒研究中，病毒的引导机制是很重要的。只要了解了计算机病毒的寄生对象、寄生方式以及引导过程，就可以采取相应的措施清除病毒。
　　1.3病毒的入侵方式
　　要真正地识别病毒，及时地进行反病毒，有必要对病毒进行详细了解，而且越详细越好。为此，必须了解计算机病毒的入侵方式。
　　（1）源代码嵌入攻击型。这类病毒入侵的主要是高级语言的源程序，病毒是在源程序编译之前插入病毒代码，最后随源程序一起被编译成可执行文件，这样刚生成的文件就是带毒文件。
　　（2）代码取代攻击型。这类病毒主要是用它自身的病毒代码取代某个入侵程序的整个或部分模块。这类病毒比较少见，它主要是攻击特定的程序，针对性较强，但是不易被发现，清除起来较困难。
　　（3）系统修改型。这类病毒主要是用自身程序覆盖或修改系统中的某些文件来达到调用或替代操作系统中的部分功能，由于是直接感染系统，危害较大，也是最为多见的一种病毒类型，多为文件型病毒。
　　（4）外壳附加型。这类病毒通常是将其病毒附加在正常程序的头部或尾部，相当于给程序添加了一个外壳，在被感染的程序执行时，病毒代码先被执行，然后才将正常程序调入内存。目前大多数文件型的病毒属于这一类。
　　2计算机病毒防御策略
　　解决病毒攻击的理想办法是对病毒进行预防，即抑制病毒在网络中的传播，但由于受网络复杂性和具体技术的制约，预防病毒仍很难实现。当前，对计算机病毒的防治还仅仅是以检测和清除为主。目前的病毒防御措施主要有两种：基于主机的病毒防治策略和基于网络的病毒防治策略。
　　2.1基于主机的检测策略
　　基于主机的病毒防治策略主要有：特征码匹配技术、权限控制技术和完整性验证技术三大类。
　　(l)特征码匹配：通过对到达主机的代码进行扫描，并与病毒特征库中的特征码进行匹配以判断该代码是否是恶意的。特征码扫描技术认为“同一种病毒或同类病毒具有部分相同的代码”。也就是说，如果病毒及其变种具有某种共性，则可以将这种共性描述为“特征码’，，并通过比较程序体和“特征码”来查找病毒。采用病毒特征码扫描法的检测工具，对于出现的新病毒，必须不断进行更新，否则检测就会失去价值。病毒特征码扫描法不认识新病毒的特征代码，自然也就无法检测出新病毒。
　　(2)权限控制技术：恶意代码进入计算机系统后必须具有运行权限才能造成破坏。因此，如果能够恰当控制计算机系统中程序的权限，使其仅仅具备完成正常任务的最小权限，那么即使恶意代码嵌入到某程序中也不能实施破坏。这种病毒检测技术要能够探测并识别可疑程序代码指令序列，对其安全级别进行排序，并依据病毒代码的特点赋予不同的加权值。如果一个程序指令序列的加权值的总和超过一个许可的闭值，就说明该程序中存在病毒。
　　(3)完整性技术：通常大多数的病毒代码都不是独立存在的，而是嵌入或依附在其它文档程序中的，一旦文件或程序被病毒感染，其完整性就会遭到破坏。在使用文件的过程中，定期地或每次使用文件前，检查文件内容是否与原来保存的一致，就可以发现文件是否被感染。文件完整性检测技术主要检查文件两次使用过程中的变化情况。病毒要想成功感染一个文件而不做任何改动是非常难的，所以完整性验证技术是一个十分有效的检测手段。
　　基于主机的防治策略要求所有用户的机器上都要安装相应的防毒软件，并且要求用户能够及时更新防毒软件。因此，存在着可管理性差、成本高的缺点。
　　2.2基于网络的检测策略
　　基于网络的病毒检测技术主要有异常检测和误用检测两大类：
　　(1)异常检测：病毒在传播时通常发送大量的网络扫描探测包，导致网络流量明显增加。因此，检测病毒的异常行为进而采取相应的控制措施是一种有效的反病毒策略。异常检测具有如下优点：能够迅速发现网络流量的异常，进而采取措施，避免大规模的网络拥塞和恶意代码的传播;不仅能够检测出己知的病毒，而且也能够检测到未知病毒。缺点在于误报率较高。
　　(2)误用检测：该技术也是基于特征码的。误用检测通过比较待检测数据流与特征库中的特征码，分析待测数据流中是否存在病毒。用于检测的特征码规则主要有协议类型、特征串、数据包长度、端口号等。该策略的优点在于检测比较准确，能够检测出具体的病毒类型。缺点是不能检测出未知的病毒，且需要花费大量的时间和精力去管理病毒特征库。
　　基于网络的防治策略能够从宏观上控制病毒的传播，并且易于实现和维护。