论文部分内容阅读
广西广播电视信息网络股份有限公司南丹分公司 广西河池南丹 547200
摘要:计算机病毒的研究是当前计算机安全研究的重要组成部分,随着计算机互联网的快速发展,计算机病毒势必对计算机用户产生更大的影响。本文主要结合文献资料,总结了计算机传统的病毒检测方法,并分析了缺点,针对免疫法的计算机病毒检测技术做了分析和阐述。
关键词:计算机病毒;检测;免疫法
引言
计算机病毒是恶意的计算机程序。病毒通过各种传播媒介不断扩散,一旦发作就给正常系统产生“不良”影响。计算机病毒的程序代码包含一套特殊的指令,与其他的程序不同的是它不需要人们的介入就能通过程序或系统传播到其它计算机。当计算机病毒执行时,通过把自己复制在一个没有被感染的程序或文档里,当这个程序或文档执行任何指令时,计算机病毒就会将自身传播到其它的计算机系统和程序里。
1 计算机病毒特征
计算机病毒可以通过发送电子邮件、文件共享、从网络上下载资源等不同的途径传播到还没有感染该病毒的计算机中,并且不断地盗取连接在网络系统上的主机内存储的信息,破坏网络系统。有些计算机病毒也可以使系统不能正常运行,最后使系统崩溃。
大多数的计算机病毒也具有这一特性,它们感染存储在计算机内的文件以后,能够长期潜伏在这些被感染的文件中并不发作,只是不停的复制自身,感染相邻的文件,直到某一时刻达到了该病毒发作的条件,病毒就会把它的破坏性表现出来。
计算机病毒的破坏性主要表现为:某一类型的程序不能正常执行;存储在系统中的数据、信息不断地被盗取、篡改,甚至被删除;不停的占用系统资源,使计算机出现死机等现象。
计算机病毒的源程序也可以用一些高级编程语言来实现,通过一些介质,比如优盘、电子邮件等进入计算机后,潜伏在计算机系统中。
2 传统的计算机病毒检测方法
2.1 特征代码法
如果发现病毒特征代码,由于特征代碼与病毒一一对应,便可以断定,被查文件中患有 何种病毒。采用病毒特征代码法的检测工具,面对不断出现的新病毒,必须不断更新版本,否则检测工具便会老化,逐渐失去实用价值。病毒特征代码法对从未见过的新病毒,自然无法知道其特征代码,因而无法去检测这些新病毒。
特征代码法的缺点是:不能检测未知病毒、搜集已知病毒的特征代码,费用开销大、在网络上效率低(在网络服务器上,因长时间检索会使整个网络性能变坏)。
2.2 校验和法
将正常文件的内容,计算其校验和,将该校验和写入文件中或写入别的文件中保存。在文件使用过程中,定期地或每次使用文件前,检查文件现在内容算出的校验和与原来保存的校验和是否一致,因而可以发现文件是否感染,这种方法叫校验和法,它既可发现已知病毒又可发现未知病毒。
校验和法的缺点是:它不能识别病毒类,不能报出病毒名称。由于病毒感染并非文件内容改变的唯一的非他性原因,文件内容的改变有可能是正常程序引起的,所以校验和法常常误报警。而且此种方法也会影响文件的运行速度。
2.3 行为监测法
利用病毒的特有行为特征性来监测病毒的方法,称为行为监测法。通过对病毒多年的观察、研究,有一些行为是病毒的共同行为,而且比较特殊。在正常程序中,这些行为比较罕见。当程序运行时,监视其行为,如果发现了病毒行为,立即报警。
行为监测法的缺点是:可能误报警、不能识别病毒名称、实现时有一定难度。
2.4 软件模拟法
软件模拟法针对多态性病毒,通过模拟和分析程序的运行,并跟踪病毒的运行,从而破获病毒的加密引擎,再通过特征代码进行扫描。这种方法进而演化为虚拟机,以及启发式查毒技术。
一般情况下软件模拟方法与特征代码扫描方法配合使用:首先特征代码法检测病毒,如果发现隐蔽性病毒或多态性病毒嫌疑时,启动软件模拟模块,监视病毒的运行,待病毒自身的密码译码以后,再运用特征代码法来识别病毒的种类。
3 免疫法的计算机病毒检测技术
基于免疫原理的计算机病毒检测模型借鉴了生物免疫系统的基本原理,能够识别或检测到形式变化多样的计算机病毒,并且采取相应的措施做出反应。这种病毒检测模型适应性更好,更具有普遍性,它能够通过其自身具有的学习和自适应能力来改变传统的被动式病毒防御策略。
如何构造一个检测器群是该技术的核心。检测器能够识别或预防危险的异常行为,然后消除这些异常行为;它还能够记忆已经遇到过的病毒,识别新的病毒,保持系统的多样性,保护免疫系统本身不遭受攻击。大批量的单个检测器形成检测器群,一代又一代地随着病毒的不断入侵而演化,检测器群演化的最终目的是能够尽量覆盖状态空间,以实现免疫系统的多样性、适应性以及动态覆盖性等。
计算机病毒检测技术的发展与计算机病毒的发展相比要慢的多。由于计算机病毒在病毒传播方式、感染文件的方式和病毒隐藏方面的变化层出不穷,导致了计算机病毒检测技术始终处于被动地位。为了保障网络和连接到网络上的计算机的安全,病毒检测技术需要有一个大的发展。生物免疫系统正好给出了一个新思路,即构造基于生物免疫原理的计算机病毒检测系统。这种新思路以生物免疫系统和计算机病毒检测系统在功能方面的相似性为基础。
计算机病毒检测系统和生物免疫系统存在很多的相似性,但是他们也存在许多的区别。不同的计算机中存储的文件内容不同、大小也不同,自体集相对的不固定,而且现在认为是安全的程序在将来也许就会变成恶意代码。整个计算机系统就是一个动态的、不稳定的整体。所以计算机病毒检测系统的自体集和非自体集也是动态的,并不是永恒不变的。
免疫法计算机病毒检测系统的主要特性包括:
(1)分布性。多个计算实体相互协调合作完成检测。在病毒检测系统中,检测器分布在不同的节点运行分布式地执行检测,并且可以在节点间游动检测。
(2)多样性。检测器具有随机检测能力。这将给系统带来一定的不可预知性,好处是可以提高系统的容错能力和健壮性。
(3)高效性。检测应该给正常系统附加尽可能少的计算负担。但是必要的CPU时间和存储消耗不可避免。
(4)低错误率和高成功率。检测系统的错误分两种:错误肯定和错误否定。错误肯定是指将正常系统行为识别为异常,错误否定是将异常行为识别为正常。相对而言错误肯定更为严重,因为将正常行为过多标识为异常,可能导致用户最终关掉检测系统。而错误否定将放过病毒,后果也是严重的。
(5)检测未知病毒。未知病毒检测不需要预先知道病毒的特征信息,基于异常检验技术可以具备这一特性。免疫系统中自体耐受过程和否定选择算法使得系统学习正常行为,再由此识别异常行为,包括未知病毒的感染。
结语
计算机病毒检测系统主要被用于防止病毒对计算机中文件的破坏和盗取计算机中的信息,保证计算机系统正常工作,使计算机免受侵害。计算机病毒检测系统和生物免疫系统对各自存在的系统的作用是相似的。正是基于这种功能的相似性,把生物免疫系统的基本原理引入计算机病毒检测技术成为了一种新的保证计算机安全的研究方向。
参考文献:
[1]陈桓,刘晓洁,宋程,梁可心.一种基于免疫的计算机病毒检测方法.计算机应用研究.2005年9期
[2]张景龙,王爱松,张春生,姜静清,奇金宝.计算机病毒免疫的初步研究内蒙古民族大学学报:自然科学版2012年4期
[3]彭梅,李传东,何兴.基于直接免疫的SEIR计算机病毒传播模型.重庆师范大学学报(自然科学版).2013年1期
摘要:计算机病毒的研究是当前计算机安全研究的重要组成部分,随着计算机互联网的快速发展,计算机病毒势必对计算机用户产生更大的影响。本文主要结合文献资料,总结了计算机传统的病毒检测方法,并分析了缺点,针对免疫法的计算机病毒检测技术做了分析和阐述。
关键词:计算机病毒;检测;免疫法
引言
计算机病毒是恶意的计算机程序。病毒通过各种传播媒介不断扩散,一旦发作就给正常系统产生“不良”影响。计算机病毒的程序代码包含一套特殊的指令,与其他的程序不同的是它不需要人们的介入就能通过程序或系统传播到其它计算机。当计算机病毒执行时,通过把自己复制在一个没有被感染的程序或文档里,当这个程序或文档执行任何指令时,计算机病毒就会将自身传播到其它的计算机系统和程序里。
1 计算机病毒特征
计算机病毒可以通过发送电子邮件、文件共享、从网络上下载资源等不同的途径传播到还没有感染该病毒的计算机中,并且不断地盗取连接在网络系统上的主机内存储的信息,破坏网络系统。有些计算机病毒也可以使系统不能正常运行,最后使系统崩溃。
大多数的计算机病毒也具有这一特性,它们感染存储在计算机内的文件以后,能够长期潜伏在这些被感染的文件中并不发作,只是不停的复制自身,感染相邻的文件,直到某一时刻达到了该病毒发作的条件,病毒就会把它的破坏性表现出来。
计算机病毒的破坏性主要表现为:某一类型的程序不能正常执行;存储在系统中的数据、信息不断地被盗取、篡改,甚至被删除;不停的占用系统资源,使计算机出现死机等现象。
计算机病毒的源程序也可以用一些高级编程语言来实现,通过一些介质,比如优盘、电子邮件等进入计算机后,潜伏在计算机系统中。
2 传统的计算机病毒检测方法
2.1 特征代码法
如果发现病毒特征代码,由于特征代碼与病毒一一对应,便可以断定,被查文件中患有 何种病毒。采用病毒特征代码法的检测工具,面对不断出现的新病毒,必须不断更新版本,否则检测工具便会老化,逐渐失去实用价值。病毒特征代码法对从未见过的新病毒,自然无法知道其特征代码,因而无法去检测这些新病毒。
特征代码法的缺点是:不能检测未知病毒、搜集已知病毒的特征代码,费用开销大、在网络上效率低(在网络服务器上,因长时间检索会使整个网络性能变坏)。
2.2 校验和法
将正常文件的内容,计算其校验和,将该校验和写入文件中或写入别的文件中保存。在文件使用过程中,定期地或每次使用文件前,检查文件现在内容算出的校验和与原来保存的校验和是否一致,因而可以发现文件是否感染,这种方法叫校验和法,它既可发现已知病毒又可发现未知病毒。
校验和法的缺点是:它不能识别病毒类,不能报出病毒名称。由于病毒感染并非文件内容改变的唯一的非他性原因,文件内容的改变有可能是正常程序引起的,所以校验和法常常误报警。而且此种方法也会影响文件的运行速度。
2.3 行为监测法
利用病毒的特有行为特征性来监测病毒的方法,称为行为监测法。通过对病毒多年的观察、研究,有一些行为是病毒的共同行为,而且比较特殊。在正常程序中,这些行为比较罕见。当程序运行时,监视其行为,如果发现了病毒行为,立即报警。
行为监测法的缺点是:可能误报警、不能识别病毒名称、实现时有一定难度。
2.4 软件模拟法
软件模拟法针对多态性病毒,通过模拟和分析程序的运行,并跟踪病毒的运行,从而破获病毒的加密引擎,再通过特征代码进行扫描。这种方法进而演化为虚拟机,以及启发式查毒技术。
一般情况下软件模拟方法与特征代码扫描方法配合使用:首先特征代码法检测病毒,如果发现隐蔽性病毒或多态性病毒嫌疑时,启动软件模拟模块,监视病毒的运行,待病毒自身的密码译码以后,再运用特征代码法来识别病毒的种类。
3 免疫法的计算机病毒检测技术
基于免疫原理的计算机病毒检测模型借鉴了生物免疫系统的基本原理,能够识别或检测到形式变化多样的计算机病毒,并且采取相应的措施做出反应。这种病毒检测模型适应性更好,更具有普遍性,它能够通过其自身具有的学习和自适应能力来改变传统的被动式病毒防御策略。
如何构造一个检测器群是该技术的核心。检测器能够识别或预防危险的异常行为,然后消除这些异常行为;它还能够记忆已经遇到过的病毒,识别新的病毒,保持系统的多样性,保护免疫系统本身不遭受攻击。大批量的单个检测器形成检测器群,一代又一代地随着病毒的不断入侵而演化,检测器群演化的最终目的是能够尽量覆盖状态空间,以实现免疫系统的多样性、适应性以及动态覆盖性等。
计算机病毒检测技术的发展与计算机病毒的发展相比要慢的多。由于计算机病毒在病毒传播方式、感染文件的方式和病毒隐藏方面的变化层出不穷,导致了计算机病毒检测技术始终处于被动地位。为了保障网络和连接到网络上的计算机的安全,病毒检测技术需要有一个大的发展。生物免疫系统正好给出了一个新思路,即构造基于生物免疫原理的计算机病毒检测系统。这种新思路以生物免疫系统和计算机病毒检测系统在功能方面的相似性为基础。
计算机病毒检测系统和生物免疫系统存在很多的相似性,但是他们也存在许多的区别。不同的计算机中存储的文件内容不同、大小也不同,自体集相对的不固定,而且现在认为是安全的程序在将来也许就会变成恶意代码。整个计算机系统就是一个动态的、不稳定的整体。所以计算机病毒检测系统的自体集和非自体集也是动态的,并不是永恒不变的。
免疫法计算机病毒检测系统的主要特性包括:
(1)分布性。多个计算实体相互协调合作完成检测。在病毒检测系统中,检测器分布在不同的节点运行分布式地执行检测,并且可以在节点间游动检测。
(2)多样性。检测器具有随机检测能力。这将给系统带来一定的不可预知性,好处是可以提高系统的容错能力和健壮性。
(3)高效性。检测应该给正常系统附加尽可能少的计算负担。但是必要的CPU时间和存储消耗不可避免。
(4)低错误率和高成功率。检测系统的错误分两种:错误肯定和错误否定。错误肯定是指将正常系统行为识别为异常,错误否定是将异常行为识别为正常。相对而言错误肯定更为严重,因为将正常行为过多标识为异常,可能导致用户最终关掉检测系统。而错误否定将放过病毒,后果也是严重的。
(5)检测未知病毒。未知病毒检测不需要预先知道病毒的特征信息,基于异常检验技术可以具备这一特性。免疫系统中自体耐受过程和否定选择算法使得系统学习正常行为,再由此识别异常行为,包括未知病毒的感染。
结语
计算机病毒检测系统主要被用于防止病毒对计算机中文件的破坏和盗取计算机中的信息,保证计算机系统正常工作,使计算机免受侵害。计算机病毒检测系统和生物免疫系统对各自存在的系统的作用是相似的。正是基于这种功能的相似性,把生物免疫系统的基本原理引入计算机病毒检测技术成为了一种新的保证计算机安全的研究方向。
参考文献:
[1]陈桓,刘晓洁,宋程,梁可心.一种基于免疫的计算机病毒检测方法.计算机应用研究.2005年9期
[2]张景龙,王爱松,张春生,姜静清,奇金宝.计算机病毒免疫的初步研究内蒙古民族大学学报:自然科学版2012年4期
[3]彭梅,李传东,何兴.基于直接免疫的SEIR计算机病毒传播模型.重庆师范大学学报(自然科学版).2013年1期