廣西廣播電視信息網(wǎng)絡(luò)股份有限公司南丹分公司 廣西河池南丹 547200

摘要：計(jì)算機(jī)病毒的研究是當(dāng)前計(jì)算機(jī)安全研究的重要組成部分，隨著計(jì)算機(jī)互聯(lián)網(wǎng)的快速發(fā)展，計(jì)算機(jī)病毒勢(shì)必對(duì)計(jì)算機(jī)用戶(hù)產(chǎn)生更大的影響。本文主要結(jié)合文獻(xiàn)資料，總結(jié)了計(jì)算機(jī)傳統(tǒng)的病毒檢測(cè)方法，并分析了缺點(diǎn)，針對(duì)免疫法的計(jì)算機(jī)病毒檢測(cè)技術(shù)做了分析和闡述。

關(guān)鍵詞：計(jì)算機(jī)病毒；檢測(cè)；免疫法

引言

計(jì)算機(jī)病毒是惡意的計(jì)算機(jī)程序。病毒通過(guò)各種傳播媒介不斷擴(kuò)散，一旦發(fā)作就給正常系統(tǒng)產(chǎn)生“不良”影響。計(jì)算機(jī)病毒的程序代碼包含一套特殊的指令，與其他的程序不同的是它不需要人們的介入就能通過(guò)程序或系統(tǒng)傳播到其它計(jì)算機(jī)。當(dāng)計(jì)算機(jī)病毒執(zhí)行時(shí)，通過(guò)把自己復(fù)制在一個(gè)沒(méi)有被感染的程序或文檔里，當(dāng)這個(gè)程序或文檔執(zhí)行任何指令時(shí)，計(jì)算機(jī)病毒就會(huì)將自身傳播到其它的計(jì)算機(jī)系統(tǒng)和程序里。

1 計(jì)算機(jī)病毒特征

計(jì)算機(jī)病毒可以通過(guò)發(fā)送電子郵件、文件共享、從網(wǎng)絡(luò)上下載資源等不同的途徑傳播到還沒(méi)有感染該病毒的計(jì)算機(jī)中，并且不斷地盜取連接在網(wǎng)絡(luò)系統(tǒng)上的主機(jī)內(nèi)存儲(chǔ)的信息，破壞網(wǎng)絡(luò)系統(tǒng)。有些計(jì)算機(jī)病毒也可以使系統(tǒng)不能正常運(yùn)行，最后使系統(tǒng)崩潰。

大多數(shù)的計(jì)算機(jī)病毒也具有這一特性，它們感染存儲(chǔ)在計(jì)算機(jī)內(nèi)的文件以后，能夠長(zhǎng)期潛伏在這些被感染的文件中并不發(fā)作，只是不停的復(fù)制自身，感染相鄰的文件，直到某一時(shí)刻達(dá)到了該病毒發(fā)作的條件，病毒就會(huì)把它的破壞性表現(xiàn)出來(lái)。

計(jì)算機(jī)病毒的破壞性主要表現(xiàn)為：某一類(lèi)型的程序不能正常執(zhí)行；存儲(chǔ)在系統(tǒng)中的數(shù)據(jù)、信息不斷地被盜取、篡改，甚至被刪除；不停的占用系統(tǒng)資源，使計(jì)算機(jī)出現(xiàn)死機(jī)等現(xiàn)象。

計(jì)算機(jī)病毒的源程序也可以用一些高級(jí)編程語(yǔ)言來(lái)實(shí)現(xiàn)，通過(guò)一些介質(zhì)，比如優(yōu)盤(pán)、電子郵件等進(jìn)入計(jì)算機(jī)后，潛伏在計(jì)算機(jī)系統(tǒng)中。

2 傳統(tǒng)的計(jì)算機(jī)病毒檢測(cè)方法

2.1 特征代碼法

如果發(fā)現(xiàn)病毒特征代碼，由于特征代碼與病毒一一對(duì)應(yīng)，便可以斷定，被查文件中患有 何種病毒。采用病毒特征代碼法的檢測(cè)工具，面對(duì)不斷出現(xiàn)的新病毒，必須不斷更新版本，否則檢測(cè)工具便會(huì)老化，逐漸失去實(shí)用價(jià)值。病毒特征代碼法對(duì)從未見(jiàn)過(guò)的新病毒，自然無(wú)法知道其特征代碼，因而無(wú)法去檢測(cè)這些新病毒。

特征代碼法的缺點(diǎn)是：不能檢測(cè)未知病毒、搜集已知病毒的特征代碼，費(fèi)用開(kāi)銷(xiāo)大、在網(wǎng)絡(luò)上效率低（在網(wǎng)絡(luò)服務(wù)器上，因長(zhǎng)時(shí)間檢索會(huì)使整個(gè)網(wǎng)絡(luò)性能變壞）。

2.2 校驗(yàn)和法

將正常文件的內(nèi)容，計(jì)算其校驗(yàn)和，將該校驗(yàn)和寫(xiě)入文件中或?qū)懭雱e的文件中保存。在文件使用過(guò)程中，定期地或每次使用文件前，檢查文件現(xiàn)在內(nèi)容算出的校驗(yàn)和與原來(lái)保存的校驗(yàn)和是否一致，因而可以發(fā)現(xiàn)文件是否感染，這種方法叫校驗(yàn)和法，它既可發(fā)現(xiàn)已知病毒又可發(fā)現(xiàn)未知病毒。

校驗(yàn)和法的缺點(diǎn)是：它不能識(shí)別病毒類(lèi)，不能報(bào)出病毒名稱(chēng)。由于病毒感染并非文件內(nèi)容改變的唯一的非他性原因，文件內(nèi)容的改變有可能是正常程序引起的，所以校驗(yàn)和法常常誤報(bào)警。而且此種方法也會(huì)影響文件的運(yùn)行速度。

2.3 行為監(jiān)測(cè)法

利用病毒的特有行為特征性來(lái)監(jiān)測(cè)病毒的方法，稱(chēng)為行為監(jiān)測(cè)法。通過(guò)對(duì)病毒多年的觀察、研究，有一些行為是病毒的共同行為，而且比較特殊。在正常程序中，這些行為比較罕見(jiàn)。當(dāng)程序運(yùn)行時(shí)，監(jiān)視其行為，如果發(fā)現(xiàn)了病毒行為，立即報(bào)警。

行為監(jiān)測(cè)法的缺點(diǎn)是：可能誤報(bào)警、不能識(shí)別病毒名稱(chēng)、實(shí)現(xiàn)時(shí)有一定難度。

2.4 軟件模擬法

軟件模擬法針對(duì)多態(tài)性病毒，通過(guò)模擬和分析程序的運(yùn)行，并跟蹤病毒的運(yùn)行，從而破獲病毒的加密引擎，再通過(guò)特征代碼進(jìn)行掃描。這種方法進(jìn)而演化為虛擬機(jī)，以及啟發(fā)式查毒技術(shù)。

一般情況下軟件模擬方法與特征代碼掃描方法配合使用：首先特征代碼法檢測(cè)病毒，如果發(fā)現(xiàn)隱蔽性病毒或多態(tài)性病毒嫌疑時(shí)，啟動(dòng)軟件模擬模塊，監(jiān)視病毒的運(yùn)行，待病毒自身的密碼譯碼以后，再運(yùn)用特征代碼法來(lái)識(shí)別病毒的種類(lèi)。

3 免疫法的計(jì)算機(jī)病毒檢測(cè)技術(shù)

基于免疫原理的計(jì)算機(jī)病毒檢測(cè)模型借鑒了生物免疫系統(tǒng)的基本原理，能夠識(shí)別或檢測(cè)到形式變化多樣的計(jì)算機(jī)病毒，并且采取相應(yīng)的措施做出反應(yīng)。這種病毒檢測(cè)模型適應(yīng)性更好，更具有普遍性，它能夠通過(guò)其自身具有的學(xué)習(xí)和自適應(yīng)能力來(lái)改變傳統(tǒng)的被動(dòng)式病毒防御策略。

如何構(gòu)造一個(gè)檢測(cè)器群是該技術(shù)的核心。檢測(cè)器能夠識(shí)別或預(yù)防危險(xiǎn)的異常行為，然后消除這些異常行為；它還能夠記憶已經(jīng)遇到過(guò)的病毒，識(shí)別新的病毒，保持系統(tǒng)的多樣性，保護(hù)免疫系統(tǒng)本身不遭受攻擊。大批量的單個(gè)檢測(cè)器形成檢測(cè)器群，一代又一代地隨著病毒的不斷入侵而演化，檢測(cè)器群演化的最終目的是能夠盡量覆蓋狀態(tài)空間，以實(shí)現(xiàn)免疫系統(tǒng)的多樣性、適應(yīng)性以及動(dòng)態(tài)覆蓋性等。

計(jì)算機(jī)病毒檢測(cè)技術(shù)的發(fā)展與計(jì)算機(jī)病毒的發(fā)展相比要慢的多。由于計(jì)算機(jī)病毒在病毒傳播方式、感染文件的方式和病毒隱藏方面的變化層出不窮，導(dǎo)致了計(jì)算機(jī)病毒檢測(cè)技術(shù)始終處于被動(dòng)地位。為了保障網(wǎng)絡(luò)和連接到網(wǎng)絡(luò)上的計(jì)算機(jī)的安全，病毒檢測(cè)技術(shù)需要有一個(gè)大的發(fā)展。生物免疫系統(tǒng)正好給出了一個(gè)新思路，即構(gòu)造基于生物免疫原理的計(jì)算機(jī)病毒檢測(cè)系統(tǒng)。這種新思路以生物免疫系統(tǒng)和計(jì)算機(jī)病毒檢測(cè)系統(tǒng)在功能方面的相似性為基礎(chǔ)。

計(jì)算機(jī)病毒檢測(cè)系統(tǒng)和生物免疫系統(tǒng)存在很多的相似性，但是他們也存在許多的區(qū)別。不同的計(jì)算機(jī)中存儲(chǔ)的文件內(nèi)容不同、大小也不同，自體集相對(duì)的不固定，而且現(xiàn)在認(rèn)為是安全的程序在將來(lái)也許就會(huì)變成惡意代碼。整個(gè)計(jì)算機(jī)系統(tǒng)就是一個(gè)動(dòng)態(tài)的、不穩(wěn)定的整體。所以計(jì)算機(jī)病毒檢測(cè)系統(tǒng)的自體集和非自體集也是動(dòng)態(tài)的，并不是永恒不變的。

免疫法計(jì)算機(jī)病毒檢測(cè)系統(tǒng)的主要特性包括：

（1）分布性。多個(gè)計(jì)算實(shí)體相互協(xié)調(diào)合作完成檢測(cè)。在病毒檢測(cè)系統(tǒng)中，檢測(cè)器分布在不同的節(jié)點(diǎn)運(yùn)行分布式地執(zhí)行檢測(cè)，并且可以在節(jié)點(diǎn)間游動(dòng)檢測(cè)。

（2）多樣性。檢測(cè)器具有隨機(jī)檢測(cè)能力。這將給系統(tǒng)帶來(lái)一定的不可預(yù)知性，好處是可以提高系統(tǒng)的容錯(cuò)能力和健壯性。

（3）高效性。檢測(cè)應(yīng)該給正常系統(tǒng)附加盡可能少的計(jì)算負(fù)擔(dān)。但是必要的CPU時(shí)間和存儲(chǔ)消耗不可避免。

（4）低錯(cuò)誤率和高成功率。檢測(cè)系統(tǒng)的錯(cuò)誤分兩種：錯(cuò)誤肯定和錯(cuò)誤否定。錯(cuò)誤肯定是指將正常系統(tǒng)行為識(shí)別為異常，錯(cuò)誤否定是將異常行為識(shí)別為正常。相對(duì)而言錯(cuò)誤肯定更為嚴(yán)重，因?yàn)閷⒄Ｐ袨檫^(guò)多標(biāo)識(shí)為異常，可能導(dǎo)致用戶(hù)最終關(guān)掉檢測(cè)系統(tǒng)。而錯(cuò)誤否定將放過(guò)病毒，后果也是嚴(yán)重的。

（5）檢測(cè)未知病毒。未知病毒檢測(cè)不需要預(yù)先知道病毒的特征信息，基于異常檢驗(yàn)技術(shù)可以具備這一特性。免疫系統(tǒng)中自體耐受過(guò)程和否定選擇算法使得系統(tǒng)學(xué)習(xí)正常行為，再由此識(shí)別異常行為，包括未知病毒的感染。

結(jié)語(yǔ)

計(jì)算機(jī)病毒檢測(cè)系統(tǒng)主要被用于防止病毒對(duì)計(jì)算機(jī)中文件的破壞和盜取計(jì)算機(jī)中的信息，保證計(jì)算機(jī)系統(tǒng)正常工作，使計(jì)算機(jī)免受侵害。計(jì)算機(jī)病毒檢測(cè)系統(tǒng)和生物免疫系統(tǒng)對(duì)各自存在的系統(tǒng)的作用是相似的。正是基于這種功能的相似性，把生物免疫系統(tǒng)的基本原理引入計(jì)算機(jī)病毒檢測(cè)技術(shù)成為了一種新的保證計(jì)算機(jī)安全的研究方向。

參考文獻(xiàn)：

[1]陳桓，劉曉潔，宋程，梁可心.一種基于免疫的計(jì)算機(jī)病毒檢測(cè)方法.計(jì)算機(jī)應(yīng)用研究.2005年9期

[2]張景龍，王愛(ài)松，張春生，姜靜清，奇金寶.計(jì)算機(jī)病毒免疫的初步研究?jī)?nèi)蒙古民族大學(xué)學(xué)報(bào)：自然科學(xué)版2012年4期

[3]彭梅，李傳東，何興.基于直接免疫的SEIR計(jì)算機(jī)病毒傳播模型.重慶師范大學(xué)學(xué)報(bào)（自然科學(xué)版）.2013年1期