【摘 ?要】計算機(jī)病毒是攻擊者為了破壞計算機(jī)功能或數(shù)據(jù)而插入的一組計算機(jī)指令或程序代碼。近年來，計算機(jī)病毒數(shù)量不斷增長，傳輸媒介變化和互聯(lián)網(wǎng)的廣泛應(yīng)用，導(dǎo)致計算機(jī)病毒感染的對象發(fā)生改變，病毒類型也由文件型向網(wǎng)絡(luò)蠕蟲型轉(zhuǎn)變?；诖耍饕榻B了計算機(jī)病毒的概念、特征、傳播途徑、病毒防御技術(shù)和策略，幫助讀者進(jìn)一步熟悉計算機(jī)病毒的危害，提高安全防御意識。

【關(guān)鍵詞】計算機(jī)病毒;傳播途徑;病毒防御

引言

計算機(jī)病毒是攻擊者為了破壞計算機(jī)功能或數(shù)據(jù)而插入的一組計算機(jī)指令或程序代碼。這些指令或程序代碼會影響計算機(jī)的使用和復(fù)制。隨著計算機(jī)信息技術(shù)的快速發(fā)展，計算機(jī)病毒也越來越受到重視，研究計算機(jī)病毒就顯得越來越重要。

一、計算機(jī)病毒的特征

第一，繁殖性。計算機(jī)病毒可以如腫瘤細(xì)胞般繁殖。病毒運行時，會不停復(fù)制本身。當(dāng)發(fā)現(xiàn)計算機(jī)中的未知程序具有繁殖和感染特征時，代表計算機(jī)已中病毒。第二，破壞性。計算機(jī)病毒，可以使計算機(jī)系統(tǒng)受到不同程度的破壞，常見的有計算機(jī)藍(lán)屏、CPU大量被占用、文件被刪除或鎖定等。第三，傳染性。計算機(jī)病毒可以通過感染其他程序，將變體或自身傳染給其他正常程序。計算機(jī)系統(tǒng)的一部分或程序都是它的目標(biāo)。第四，潛伏性。計算機(jī)病毒可以依附在計算機(jī)的軟件或其他程序中，很難被發(fā)現(xiàn)。侵入計算機(jī)后，病毒在條件成熟前不會攻擊，一旦爆發(fā)，會使計算機(jī)受到較明顯的影響。第五，隱蔽性。計算機(jī)病毒可以是一串代碼組成的程序，一般只有幾十Kb大小，且其通常附著在正常程序或電腦磁盤中，很難被發(fā)現(xiàn)。第六，可觸發(fā)性。計算機(jī)病毒可觸發(fā)性指這類編制計算機(jī)病毒的人會通過一定的觸發(fā)條件啟動計算機(jī)病毒，例如運行系統(tǒng)中的某個程序或瀏覽某個指定鏈接等。一旦被觸發(fā)，計算機(jī)病毒就可以破壞計算機(jī)系統(tǒng)。

二、計算機(jī)病毒的傳播方式

1、利用郵件傳播

郵件病毒具有傳染迅速、擴(kuò)散面廣、傳播形式多樣和破壞性大等特點，是網(wǎng)絡(luò)病毒傳播的主要方式。其主要有兩種方式，一種是在電子郵件中直接添加惡意代碼，另一種是插入惡意代碼URL。通過電子郵件傳播病毒的過程如下。第一，獲取郵箱地址。計算機(jī)病毒可以在被感染的主機(jī)中自動打開電子郵件的地址簿、歷史記錄，或在計算機(jī)磁盤中搜索可用的電子郵件地址。例如，用戶計算機(jī)中安裝了Outlook Express等電子郵件軟件，若被感染，病毒會自動打開Outlook Express的地址薄，并從上面獲取每一個電子郵箱的地址。第二，復(fù)制本身并傳播。當(dāng)病毒找到可用的電子郵箱地址后，會自動復(fù)制自身病毒，并通過被感染用戶的電子郵箱發(fā)送到目標(biāo)電子郵箱。一些高級病毒，不僅自身非常隱蔽，而且會感染用戶的信紙，修改系統(tǒng)設(shè)置，用戶發(fā)送郵件時，病毒將悄無聲息感染郵件正文，傳染給目標(biāo)郵箱。

2、通過掃描系統(tǒng)漏洞傳播

網(wǎng)絡(luò)蠕蟲是可自主運行的獨立程序，不嵌入任何主機(jī)文件。其傳輸過程是利用互聯(lián)網(wǎng)隨機(jī)對計算機(jī)進(jìn)行遠(yuǎn)程掃描，找到存在漏洞的計算機(jī)，并利用漏洞獲得部分或全部控制權(quán)進(jìn)行傳播。蠕蟲取得系統(tǒng)權(quán)限的方法主要有以下幾種。第一，利用系統(tǒng)漏洞。此類蠕蟲主要通過Microsoft Windows操作系統(tǒng)或應(yīng)用程序中的一些漏洞進(jìn)行傳播。例如，紅色代碼（W32.Codered.Worm）利用計算機(jī)一個緩沖區(qū)溢出漏洞進(jìn)行傳播，將其當(dāng)作代碼運行，并通過此漏洞繼續(xù)感染其他服務(wù)器。第二，利用局域網(wǎng)傳播。此類蠕蟲利用一些局域網(wǎng)管理員的不當(dāng)操作，讓計算機(jī)上的系統(tǒng)文件夾可被遠(yuǎn)程寫入。蠕蟲可以直接將自身復(fù)制到LAN中的可寫啟動目錄，利用打開的局域網(wǎng)共享資源進(jìn)行傳播。第三，利用即時通信軟件傳播。即時通信軟件也稱為網(wǎng)絡(luò)蠕蟲病毒傳播的載體，例如世界首例通過MSN聊天工具進(jìn)行大規(guī)模傳播的GFleming蠕蟲病毒。其通過用戶安裝并登錄的MSN的對話窗口，向所有聯(lián)系人發(fā)送含有該病毒的信息。

3、通過無線網(wǎng)絡(luò)的方式傳播

目前，新型病毒可以通過無線網(wǎng)絡(luò)傳輸?shù)綄Ψ降碾娮酉到y(tǒng)。公共WiFi中，可能存在帶有病毒的WiFi熱點。這種病毒會將自身偽裝成WiFi熱點或者將名稱改為一些大型商場、公司的免費WiFi，一旦連接到該WiFi，就可能遭到病毒攻擊，轉(zhuǎn)向木馬網(wǎng)站后臺自動下載木馬，或重定向到一些流量網(wǎng)站、非法網(wǎng)站，竊取用戶個人身份信息。隨著新技術(shù)的應(yīng)用，利用釣魚網(wǎng)站、二維碼傳播病毒的新型機(jī)制大量出現(xiàn)。

三、計算機(jī)病毒防御技術(shù)和策略

計算機(jī)病毒防御技術(shù)隨著計算機(jī)病毒的不斷進(jìn)化而日益成熟，下面簡要介紹計算機(jī)病毒防御技術(shù)和策略。

1、基于Host的檢測策略

簽名匹配、權(quán)限控制和完整性驗證是常見的基于Host的檢測技術(shù)。簽名匹配算法首先構(gòu)建各種已知病毒的特征代碼串，計算Hash值組成特征庫，將進(jìn)入系統(tǒng)的程序代碼與特征庫中的簽名進(jìn)行匹配，以確定該代碼是否為惡意。只要是同一個病毒，通過簽名匹配特征庫就能匹配成功，但簽名匹配的特征庫必須不斷更新，以應(yīng)對新出現(xiàn)的病毒。雖然這種方法基于簽名特征庫，具有一定的滯后性，但是準(zhǔn)確性較高，誤報概率低。權(quán)限控制技術(shù)中，采用訪問控制策略，基于完成正常任務(wù)的最小特權(quán)原則，任何進(jìn)入系統(tǒng)的程序代碼都只分配完成任務(wù)的最小特權(quán)，嚴(yán)格控制操作權(quán)限。實現(xiàn)過程中，該算法按照安全級別排序代碼序列，根據(jù)特性分配不同權(quán)重，綜合計算代碼指令的權(quán)值，并設(shè)定正常閾值。如果代碼序列超過閾值，則判斷為可疑程序。

2、基于Network的檢測策略

基于Network的病毒檢測技術(shù)主要有異常檢測和誤用檢測。異常檢測基于統(tǒng)計分析的方法，設(shè)定正確的訪問方式。病毒傳播過程中，通常有許多網(wǎng)絡(luò)檢測包，如果超過正常訪問的統(tǒng)計頻率，則認(rèn)定異常。雖然基于異常檢測的反病毒策略能夠快速檢測異常，發(fā)現(xiàn)未知病毒，檢測已知病毒，但是誤報概率較大。誤用檢測基于已知病毒的特征構(gòu)建特征庫，通過比較待檢測的數(shù)據(jù)流與已知特征庫，判斷是否存在病毒。常用于檢測的簽名規(guī)則主要基于字符串匹配、數(shù)據(jù)包長度、協(xié)議類型和端口號等。這種策略可用于檢測特定的病毒類型，但不能檢測未知病毒，需要及時更新特征庫。

3、構(gòu)建計算機(jī)病毒防護(hù)體系

計算機(jī)病毒防御體系一般由檢測層、清除層、系統(tǒng)恢復(fù)層和訪問控制層組成，各層在硬件和軟件支持下運行。其中，硬件閉合是保護(hù)計算機(jī)的重要條件。此外，信息系統(tǒng)要嚴(yán)格按照國家安全規(guī)定執(zhí)行，如遵守等級保護(hù)制度，提高安全產(chǎn)品的研發(fā)和使用。

4、加強(qiáng)個人信息安全意識培養(yǎng)

近年來，勒索病毒攻擊事件越來越多，加強(qiáng)個人信息安全意識培養(yǎng)刻不容緩。個人防范計算病毒的方法包括加固個人操作系統(tǒng)、不輕易訪問不正規(guī)網(wǎng)站與論壇、不點擊不明鏈接、使用殺毒軟件查殺U盤與光盤、做好重要文件的加密與備份、關(guān)閉系統(tǒng)高危端口以及安裝個人防火墻與殺毒軟件等。利用無線網(wǎng)絡(luò)上網(wǎng)時，可對無線路由器進(jìn)行安全加固，更新無線路由器最新補(bǔ)丁包，加強(qiáng)口令設(shè)置，一般包含字母、數(shù)字、特殊字符和隱藏SSID（服務(wù)集合標(biāo)識符）等。另外，不隨意連接公共WiFi，在公共場合上網(wǎng)時，不連接未知的WiFi熱點。

四、結(jié)語

未來，計算機(jī)病毒將日益猖獗，勒索病毒、手機(jī)病毒等新型病毒越來越多。本文介紹了計算機(jī)病毒的概念、傳播機(jī)制，總結(jié)了常見病毒的防御策略。從理論上分析計算機(jī)病毒的傳播機(jī)制，從宏觀上尋找預(yù)防和控制計算機(jī)病毒傳播的策略，研究基于深度學(xué)習(xí)、博弈論等高級算法在病毒傳播、檢測和防御方面的應(yīng)用，對維護(hù)網(wǎng)絡(luò)安全、凈化網(wǎng)絡(luò)環(huán)境具有重要意義。

作者簡介：

胡波，出生年月：1997.12.10，性別：男，民族：土家族，籍貫（精確到市）：貴州省岑鞏縣羊橋鄉(xiāng)，學(xué)歷：本科，研究方向：計算機(jī)技術(shù)。

（作者單位：荊楚理工學(xué)院）