計(jì)算機(jī)病毒的行為特征及檢驗(yàn)方法

于洪涓++李曄

摘 要：在對(duì)計(jì)算機(jī)病毒進(jìn)行研究之前，先對(duì)被研究病毒的行為特征進(jìn)行全面了解，將會(huì)對(duì)后期的反匯編代碼分析以及病毒查殺工作產(chǎn)生重大幫助。該文先是闡述了計(jì)算機(jī)病毒的行為特征，進(jìn)而探究出一種基于程序行為的計(jì)算機(jī)病毒檢測(cè)方法，以此用來(lái)計(jì)算機(jī)使用過(guò)程中產(chǎn)生的未知病毒。

關(guān)鍵詞：計(jì)算機(jī)病毒 行為特征 病毒檢測(cè) 語(yǔ)義網(wǎng)絡(luò)

中圖分類號(hào)：TP393.08 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1674-098X（2014）04（a）-0032-01

隨著計(jì)算和網(wǎng)絡(luò)技術(shù)的普及，在未來(lái)人們必將迎來(lái)全球化通訊網(wǎng)絡(luò)時(shí)代。雖說(shuō)網(wǎng)絡(luò)給人們的生產(chǎn)生活帶來(lái)巨大的便利性，但是一定程度上它也存在安全隱患與危害性，其中危害影響最為嚴(yán)重的就屬計(jì)算機(jī)病毒。伴隨著網(wǎng)絡(luò)寬帶的升級(jí)，計(jì)算機(jī)病毒的傳播速度和變種速度也越來(lái)越快，產(chǎn)生問(wèn)題也就愈發(fā)增多，人們對(duì)此也是關(guān)注不已，所以，如何提高計(jì)算機(jī)安全性能已經(jīng)成為計(jì)算機(jī)領(lǐng)域重點(diǎn)研究的課題。面對(duì)計(jì)算機(jī)病毒變種日益加快的現(xiàn)象，人們必須要研究出新型性的檢測(cè)方法來(lái)查找計(jì)算機(jī)存在的未知病毒。

1 計(jì)算機(jī)病毒的行為特征

1.1 傳染性

計(jì)算機(jī)病毒最主要的特征莫過(guò)于傳染性，同時(shí)，計(jì)算機(jī)病毒的傳染性特征還可以用來(lái)判斷某一段程序是否成為計(jì)算機(jī)病毒的載體。事實(shí)上，計(jì)算機(jī)病毒只是認(rèn)為編寫的一段計(jì)算機(jī)程序代碼，一旦將其植入計(jì)算機(jī)中展開(kāi)運(yùn)行操作，它便會(huì)自動(dòng)搜尋符合其傳染條件的其他程序或者存儲(chǔ)載體，認(rèn)準(zhǔn)目標(biāo)后再將自身代碼植入其中，從而形成自我的“繁殖與生長(zhǎng)”。并且一直循環(huán)往復(fù)下去。

1.2 非授權(quán)性

計(jì)算機(jī)病毒潛藏在合乎法律規(guī)范的程序中，它們會(huì)利用用戶操作運(yùn)行合法程序的空隙偷竊到控制系統(tǒng)的權(quán)利，在合法程序之前就開(kāi)始操作運(yùn)行，無(wú)論病毒的行為，還是病毒的目的，對(duì)于用戶來(lái)說(shuō)都一無(wú)所知，其是在嗎沒(méi)有經(jīng)過(guò)用戶同意就開(kāi)始自行操作運(yùn)行的。

1.3 不可預(yù)見(jiàn)性

從病毒檢測(cè)角度來(lái)說(shuō)，計(jì)算機(jī)病毒還具備不可預(yù)見(jiàn)性的特征。病毒的種類不同，其所對(duì)應(yīng)的代碼也就不同。雖然現(xiàn)在已經(jīng)研發(fā)出一定的反病毒技術(shù)，但是對(duì)于龐大的計(jì)算機(jī)病毒群體來(lái)說(shuō)，這只是冰山一角，反病毒技術(shù)仍舊有待提高，只有在一定的病毒出現(xiàn)后，才會(huì)生成對(duì)應(yīng)的反病毒技術(shù)。

1.4 可觸發(fā)性

通常計(jì)算機(jī)病毒都會(huì)具備一種或者多種觸發(fā)條件。一旦達(dá)到其觸發(fā)條件的要求，其便被激活，并進(jìn)行自我復(fù)制傳染，給其它正常程序帶來(lái)不利的影響，同時(shí)，計(jì)算機(jī)病毒的傳染性受到觸發(fā)條件的限制，觸發(fā)條件越多，計(jì)算機(jī)病毒的傳染程度就越大。

1.5 破壞性

計(jì)算機(jī)病毒主要包括良性病毒和惡性病毒兩種。良性病毒是編程者出于惡作劇編寫出來(lái)程序這類病毒不會(huì)對(duì)文件、數(shù)據(jù)產(chǎn)生破壞性，不過(guò)會(huì)造成系統(tǒng)資源的浪費(fèi)。而惡性病毒則會(huì)對(duì)系統(tǒng)產(chǎn)生重大危害，可能會(huì)導(dǎo)致程序無(wú)法正常運(yùn)行，或者將計(jì)算機(jī)內(nèi)部文件進(jìn)行刪除，亦或者受文件和數(shù)據(jù)受到不同程度的破壞等等。

1.6 潛伏性

絕大數(shù)的計(jì)算機(jī)病毒在傳染系統(tǒng)后不會(huì)立刻發(fā)作，因此，它可能會(huì)在磁盤上等上幾天，甚至幾年，一般要時(shí)機(jī)成熟它便會(huì)爆發(fā)，四處繁殖擴(kuò)散，危害系統(tǒng)。比如黑色星期五病毒，不到預(yù)定時(shí)間一定不易察覺(jué)出來(lái)，等到條件具備了便會(huì)立馬爆炸開(kāi)來(lái)，對(duì)系統(tǒng)進(jìn)行破壞。

1.7 隱蔽性

計(jì)算機(jī)病毒通常都為編程技術(shù)較高的程序，其個(gè)體較小，往往依附在合法程序之中，有時(shí)也會(huì)有少許的病毒出現(xiàn)在隱含文件之中，用戶是很難發(fā)現(xiàn)這些小個(gè)體的。也就是說(shuō)，不通過(guò)代碼分析，是很難將計(jì)算機(jī)病毒與合法程序分辨出來(lái)的。

2 計(jì)算機(jī)病毒傳染行為的語(yǔ)義網(wǎng)絡(luò)表示以及檢測(cè)方法

2.1 語(yǔ)義網(wǎng)絡(luò)的闡釋

語(yǔ)義網(wǎng)絡(luò)是一個(gè)向圖形式，是由一組節(jié)點(diǎn)和若干條連接節(jié)點(diǎn)的弧構(gòu)成，其中節(jié)點(diǎn)代表事物、行為或者對(duì)象等，弧則指各個(gè)節(jié)點(diǎn)之間存在的關(guān)系。語(yǔ)義網(wǎng)絡(luò)表示行為存在著一定的優(yōu)勢(shì)：一是語(yǔ)義網(wǎng)絡(luò)表示中存在父節(jié)點(diǎn)與子節(jié)點(diǎn)、虛節(jié)點(diǎn)與實(shí)節(jié)點(diǎn)，有助于面向?qū)ο蠹夹g(shù)的實(shí)現(xiàn)；二是各節(jié)點(diǎn)之間形成一定的網(wǎng)狀結(jié)構(gòu)，便于理清各種復(fù)雜關(guān)系；三是其搜索效果較為明顯，具備強(qiáng)大聯(lián)想式推理作用。

2.2 計(jì)算機(jī)病毒傳染行為中語(yǔ)義網(wǎng)絡(luò)的表示

根據(jù)上文語(yǔ)義網(wǎng)絡(luò)的闡述，在計(jì)算機(jī)病毒傳染行為模式的語(yǔ)義網(wǎng)絡(luò)表示中，節(jié)點(diǎn)代表著計(jì)算機(jī)的程序行為，將每條鏈上的結(jié)尾部的節(jié)點(diǎn)稱為值節(jié)點(diǎn)，該節(jié)點(diǎn)上的值表示某種程序所具有的行為特性以及該行為特性所擁有的權(quán)值。例如，在整個(gè)語(yǔ)義網(wǎng)絡(luò)中存在著“系統(tǒng)漏洞傳播”的這一部分，節(jié)點(diǎn)通過(guò)這一部分又劃分成“漏洞掃描”、“攻擊模塊”、以及“自我復(fù)制”三個(gè)子部分，分別代表某種程序在執(zhí)行過(guò)程中漏洞掃描行為、攻擊行為以及自我復(fù)制的行為。并且這三個(gè)子部分都有其自身的一個(gè)權(quán)值，其中權(quán)值的大小主要取決于行為所依據(jù)病毒的特征性。以此類推，語(yǔ)義網(wǎng)絡(luò)中的其他值節(jié)點(diǎn)也是這樣分層的。每一條弧線上的分析關(guān)系意味著這類行為特征并不是所有病毒程序都具備的，在檢測(cè)過(guò)程中只要檢測(cè)到其中一種就要加上與之對(duì)應(yīng)的權(quán)值。該種表示方式有助于實(shí)現(xiàn)面向?qū)ο蠹夹g(shù)，把每一個(gè)惡意代碼看作是一個(gè)對(duì)象，將不同種類的病毒程序及其典型性的傳染行為整合起來(lái)，并按照對(duì)象之間的關(guān)系將它們聯(lián)系性和結(jié)構(gòu)性表示出來(lái)。在此構(gòu)圖中，惡意代碼單獨(dú)歸為一類，該類中的具體對(duì)象就指代表著各種各樣的病毒程序，每一種病毒程序的典型性的傳染行為就作為事物的特性。在這種行為表示方法中形成的行為模式庫(kù)很容易進(jìn)行維護(hù)，并且產(chǎn)生的檢測(cè)效果也很顯著，值得推廣使用。

2.3 未知病毒的檢測(cè)方法

檢測(cè)引擎在未知病毒的檢測(cè)系統(tǒng)中起到舉足輕重的作用，文中所提出的檢測(cè)方法主要是以計(jì)算機(jī)病毒的行為特征作為準(zhǔn)則，在此過(guò)程中的行為模式庫(kù)是采用層次化的語(yǔ)義網(wǎng)絡(luò)結(jié)構(gòu)。檢測(cè)引擎的工作流程是按照如下安排：先輸入一組固定的病毒發(fā)現(xiàn)門檻值、檢測(cè)值，用一個(gè)字符數(shù)組來(lái)貯存被檢測(cè)文件所具備的病毒行為特征，隨后導(dǎo)入檢測(cè)文件進(jìn)行病毒檢測(cè)，檢測(cè)系統(tǒng)要對(duì)文件內(nèi)容進(jìn)行檢查，將檢查到的內(nèi)容與行為模式庫(kù)中各種行為模式進(jìn)行參照對(duì)比，如果被檢文件符合計(jì)算機(jī)病毒的某種行為特征，就需在檢測(cè)總值上加上此種行為特征的權(quán)值，并將其特征描述貯存到字符數(shù)組中。如果其檢測(cè)值大于門檻值，就說(shuō)明該文件內(nèi)存在惡意代碼，這時(shí)系統(tǒng)便會(huì)發(fā)出警告表示這一文件存在惡意行為，并指導(dǎo)用戶進(jìn)行文件刪除或者殺毒的操作，最后檢測(cè)結(jié)束；反之則說(shuō)明文件不含有未知病毒，檢測(cè)結(jié)束。

通過(guò)總結(jié)計(jì)算機(jī)病毒不同行為特征，并在此基礎(chǔ)上形成的病毒檢測(cè)方法產(chǎn)生效果更加明顯，對(duì)用戶進(jìn)行未知病毒檢測(cè)的幫助也就更大。

參考文獻(xiàn)

[1] 程勝利，談冉，熊文龍.計(jì)算機(jī)病毒及其防治技術(shù)[M].北京：清華大學(xué)出版社，2004.

[2] 山秀明，李昊，焦健.網(wǎng)絡(luò)病毒行為模式分析[J].中國(guó)工程科學(xué)，2003（12）.

[3] 彭國(guó)軍，傅建明，張煥國(guó).淺析反病毒技術(shù)現(xiàn)狀挑戰(zhàn)及發(fā)展趨勢(shì)[J].信息網(wǎng)絡(luò)安全，2009（9）.endprint