蘇霞

摘 要：計(jì)算機(jī)技術(shù)現(xiàn)在已經(jīng)被廣泛的應(yīng)用到各個(gè)領(lǐng)域中，是提高生產(chǎn)生活水平的重要措施，尤其是近年來技術(shù)水平不斷提高，在解決各類問題上取得了良好的效果?；谟?jì)算機(jī)運(yùn)行環(huán)境的特殊性，受病毒威脅較大，如果檢測(cè)和處理不當(dāng)，會(huì)造成文件數(shù)據(jù)損壞，嚴(yán)重影響系統(tǒng)運(yùn)行安全性。針對(duì)計(jì)算機(jī)病毒特點(diǎn)，采取有效檢測(cè)技術(shù)進(jìn)行確定，從根本上來避免病毒對(duì)系統(tǒng)運(yùn)行的影響，本文對(duì)此進(jìn)行了簡(jiǎn)單分析。

關(guān)鍵詞：計(jì)算機(jī)；病毒；檢測(cè)技術(shù)

病毒是威脅計(jì)算機(jī)運(yùn)行安全的主要因素，基于計(jì)算機(jī)運(yùn)行環(huán)境特殊性，病毒發(fā)展與變種速度驚人，并且計(jì)算機(jī)病毒預(yù)防與檢測(cè)技術(shù)很大程度上處于被動(dòng)狀態(tài)，并不能完全避免病毒對(duì)計(jì)算機(jī)防御系統(tǒng)的攻擊。因此必須要加強(qiáng)對(duì)病毒檢測(cè)技術(shù)的研究，基于病毒的危害，來采取相應(yīng)技術(shù)進(jìn)行防護(hù)，避免病毒對(duì)計(jì)算機(jī)系統(tǒng)造成感染，提高系統(tǒng)運(yùn)行安全性與可靠性。

一、計(jì)算機(jī)病毒分析

現(xiàn)在已經(jīng)進(jìn)入到了信息化時(shí)代，計(jì)算機(jī)病毒不僅傳播感染速度快，并且容易發(fā)生變種，對(duì)檢測(cè)、預(yù)防以及處理技術(shù)的落實(shí)效果均出了更高要求。現(xiàn)在病毒可以經(jīng)過多重形式進(jìn)行傳播，完全可以通過兩個(gè)或者兩個(gè)以往系統(tǒng)漏洞與應(yīng)用軟件漏洞綜合傳播。還存在部分病毒具有類似黑客程序，在入侵到計(jì)算機(jī)系統(tǒng)后，可以控制并竊取計(jì)算機(jī)內(nèi)保存的信息，甚至能夠進(jìn)行遠(yuǎn)程操控[1]。在病毒入侵到計(jì)算機(jī)系統(tǒng)內(nèi)部以后，經(jīng)過變種會(huì)主動(dòng)利用電子郵件等方式進(jìn)行再次傳播，造成更惡劣的影響。在針對(duì)計(jì)算機(jī)病毒檢測(cè)技術(shù)進(jìn)行分析時(shí)，需要針對(duì)病毒特點(diǎn)以及傳播類型來采取有效措施進(jìn)行處理，降低其對(duì)計(jì)算機(jī)運(yùn)行效果的影響。

二、計(jì)算機(jī)病毒傳播分析

1.傳播方式

1.1移動(dòng)存儲(chǔ)介質(zhì)

軟盤、光盤為最早的移動(dòng)存儲(chǔ)介質(zhì)，同時(shí)也是計(jì)算機(jī)病毒主要傳播載體，現(xiàn)在逐漸發(fā)展出了U盤、存儲(chǔ)卡、移動(dòng)硬盤以及數(shù)碼相機(jī)等移動(dòng)和設(shè)備，因?yàn)槿萘勘容^大，計(jì)算機(jī)病毒可以依賴內(nèi)部存儲(chǔ)的軟件與文件進(jìn)行傳播。對(duì)于移動(dòng)存儲(chǔ)介質(zhì)來說，其不具備防毒功能，在通過其進(jìn)行電腦數(shù)據(jù)交換時(shí)，未對(duì)其進(jìn)行病毒掃描，便會(huì)造成病毒感染，例如最為常見的木馬，藏毒率已經(jīng)達(dá)到80%[2]。

1.2網(wǎng)絡(luò)病毒傳播

計(jì)算機(jī)網(wǎng)絡(luò)現(xiàn)在已經(jīng)融入到生產(chǎn)生活的各個(gè)細(xì)節(jié)之中，隨著用戶的不斷增多，網(wǎng)絡(luò)病毒傳播速度也在不斷加快，危害范圍更大。此種傳播方法主要利用了網(wǎng)絡(luò)內(nèi)各種協(xié)議與命令，以及系統(tǒng)自身的漏洞等，例如郵件、WWW瀏覽、FTP下載、即時(shí)通信工具等。此種傳播方式，可以對(duì)網(wǎng)絡(luò)內(nèi)所有計(jì)算機(jī)進(jìn)行感染，掃描系統(tǒng)漏洞并發(fā)起攻擊，影響電腦系統(tǒng)正常運(yùn)行。

2.傳播模型

2.1 SIS模型

SIS模型將節(jié)點(diǎn)劃分為易感染（S）與感染（I）兩種狀態(tài)，并且兩者狀態(tài)可以相互轉(zhuǎn)換。即易感染狀態(tài)節(jié)點(diǎn)上沒有感染病毒，在接觸到已經(jīng)感染節(jié)點(diǎn)后，可能會(huì)造成自身感染；而感染狀態(tài)節(jié)點(diǎn)已經(jīng)感染病毒，并且試圖感染其他節(jié)點(diǎn)，為病毒的傳播者[3]。即便是對(duì)計(jì)算機(jī)系統(tǒng)內(nèi)存在的病毒進(jìn)行清除后，節(jié)點(diǎn)仍然存在被感染的可能，存在很大可能在傳播范圍內(nèi)反復(fù)存在。傳播模型如圖1所示：

其中，參數(shù)β表示病毒感染率；βBI表示S態(tài)節(jié)點(diǎn)轉(zhuǎn)化為I態(tài)節(jié)點(diǎn)的增量；r表示病毒清除率；yl表示單位時(shí)間內(nèi)被清除病毒I態(tài)節(jié)點(diǎn)數(shù)量；N表示考慮節(jié)點(diǎn)總數(shù)；Io表示初始階段被感染主機(jī)數(shù)量。

2.2 SIR模型

SIR模型主要將節(jié)點(diǎn)劃分為易感染（S）、感染（I）以及免疫狀態(tài)（R），其中處于R態(tài)的節(jié)點(diǎn)可以對(duì)特定病毒具有免疫能力，不會(huì)再次被感染。圖2為SIR傳播模型：

其中，參數(shù)r表示病毒清除率。SIS與SIR兩種傳播模型為生物學(xué)主要流行病傳播模型，將其用于計(jì)算機(jī)病毒傳播分析，不對(duì)外界干擾因素進(jìn)行分析，認(rèn)為節(jié)點(diǎn)狀態(tài)轉(zhuǎn)換主要受常量β與r影響。

2.3 SEIR模型

對(duì)比上述兩個(gè)模型，SEIR模型增加了一個(gè)潛伏狀態(tài)（E），即已經(jīng)潛入病毒代碼單未顯示病毒特征，表示未激活節(jié)點(diǎn)。此種模型確定病毒傳播工程中存在感染延遲現(xiàn)象，即I態(tài)節(jié)點(diǎn)將病毒傳染給S態(tài)節(jié)點(diǎn)后，不立即顯示感染狀態(tài)，而是潛伏在個(gè)體主機(jī)內(nèi)等待被激活，此時(shí)個(gè)體無法確定自身攜帶病毒，只有被激活后才會(huì)轉(zhuǎn)化成I態(tài)[4]。I態(tài)節(jié)點(diǎn)病毒被清除后，可轉(zhuǎn)化為R態(tài)節(jié)點(diǎn)，或者再次轉(zhuǎn)化為S態(tài)節(jié)點(diǎn)。圖3為傳播模型：

三、計(jì)算機(jī)病毒檢測(cè)技術(shù)

1.主機(jī)防御檢測(cè)策略

1.1外觀檢測(cè)法

計(jì)算機(jī)系統(tǒng)感染病毒后，會(huì)出現(xiàn)顯示屏異常、運(yùn)行速度異常、鍵盤與鼠標(biāo)異常以及USB接口異常等，文件無法正常使用，甚至?xí)霈F(xiàn)死機(jī)現(xiàn)象。例如“大麻”病毒會(huì)造成系統(tǒng)蜂鳴器出現(xiàn)異常聲響，還會(huì)占用硬盤主導(dǎo)扇區(qū)，無法正常運(yùn)行；Halloechen病毒，鍵盤輸入符號(hào)轉(zhuǎn)換為雜亂符號(hào)，這樣便可直接通過觀察確定是否被感染。

1.2特征代碼法

計(jì)算機(jī)病毒程序基本上均具有特征代碼，可作為病毒感染標(biāo)記，例如XqR病毒特征代碼為“EB 68 90 07 BA ED 0B C3”。對(duì)于同一種病毒，在被感染的文件與計(jì)算機(jī)內(nèi)，均可找到相應(yīng)特征代碼，然后與病毒特征庫進(jìn)行匹配，便可確定是否存在惡意代碼，并掌握病毒類型。此種檢測(cè)方法應(yīng)用速度快、準(zhǔn)確率高且可確定病毒類型，但是在遇到較大特征碼時(shí)，所需檢測(cè)時(shí)間長(zhǎng)，且僅針對(duì)于已知病毒，對(duì)未知病毒沒有作用。

2.網(wǎng)絡(luò)病毒檢測(cè)策略

2.1異常檢測(cè)

假設(shè)攻擊者活動(dòng)與正常主體活動(dòng)為相異狀態(tài)，提前建立主體正常活動(dòng)“活動(dòng)檔案”，并與檢測(cè)主體狀態(tài)進(jìn)行對(duì)比，如果與統(tǒng)計(jì)規(guī)律相反，則判斷異常。對(duì)于網(wǎng)絡(luò)病毒來說，傳播過程中會(huì)發(fā)送大量探測(cè)包，造成網(wǎng)絡(luò)流量增加出現(xiàn)異常，根據(jù)此特點(diǎn)便可確定是否存在病毒感染問題。

2.2誤用檢測(cè)

主要是通過比較待檢測(cè)數(shù)據(jù)以及可靠用戶活動(dòng)，判斷是否存在病毒感染問題，如比較常用的端口號(hào)、數(shù)據(jù)包長(zhǎng)度、協(xié)議類型等均為判斷特征。

3.常用病毒檢測(cè)技術(shù)

3.1集成神經(jīng)網(wǎng)絡(luò)

即將集成神經(jīng)網(wǎng)絡(luò)作為模式識(shí)別器，對(duì)計(jì)算機(jī)病毒進(jìn)行檢測(cè)?？梢愿鶕?jù)Baggin算法得到IG-Bagging集成方法，即利用信息增益特征選擇技術(shù)引入到集成神經(jīng)網(wǎng)絡(luò)內(nèi)，然后通過擾動(dòng)訓(xùn)練數(shù)據(jù)和輸入屬性，對(duì)個(gè)體網(wǎng)絡(luò)差異度進(jìn)行放大處理。

3.2模糊識(shí)別技術(shù)

應(yīng)用模糊識(shí)別技術(shù)來進(jìn)行病毒動(dòng)態(tài)監(jiān)測(cè)，即利用符合某些特征域上的模糊集來對(duì)正常程序和病毒程序進(jìn)行有效區(qū)別，一般可選擇應(yīng)用“擇近原則”進(jìn)行特征分類。

此種檢測(cè)技術(shù)，病毒檢測(cè)準(zhǔn)確率可以達(dá)到90%以上。

結(jié)束語：

計(jì)算機(jī)病毒的存在，對(duì)系統(tǒng)運(yùn)行安全性與可靠性具有嚴(yán)重威脅，需要基于病毒傳播與感染特點(diǎn)，采取有效檢測(cè)技術(shù)進(jìn)行確定是否存在感染，并及時(shí)處理，降低病毒對(duì)系統(tǒng)運(yùn)行的影響。

參考文獻(xiàn)：

[1] 沈繼濤.計(jì)算機(jī)病毒檢測(cè)技術(shù)的現(xiàn)狀與發(fā)展[J].電子技術(shù)與軟件工程，2017，（01）：220.

[2] 孫婉婷.基于P2P網(wǎng)絡(luò)的人工免疫病毒檢測(cè)技術(shù)研究[D].哈爾濱理工大學(xué)，2015.

[3] 張文杰.基于混沌免疫算法的計(jì)算機(jī)病毒檢測(cè)方法研究[D].太原理工大學(xué)，2011.

[4] 王曉燕.計(jì)算機(jī)病毒傳播模型及檢測(cè)研究[D].華中師范大學(xué)，2011.