計算機病毒的行為特征及檢驗方法

于洪涓++李曄

摘 要：在對計算機病毒進行研究之前，先對被研究病毒的行為特征進行全面了解，將會對后期的反匯編代碼分析以及病毒查殺工作產生重大幫助。該文先是闡述了計算機病毒的行為特征，進而探究出一種基于程序行為的計算機病毒檢測方法，以此用來計算機使用過程中產生的未知病毒。

關鍵詞：計算機病毒 行為特征 病毒檢測 語義網絡

中圖分類號：TP393.08 文獻標識碼：A 文章編號：1674-098X（2014）04（a）-0032-01

隨著計算和網絡技術的普及，在未來人們必將迎來全球化通訊網絡時代。雖說網絡給人們的生產生活帶來巨大的便利性，但是一定程度上它也存在安全隱患與危害性，其中危害影響最為嚴重的就屬計算機病毒。伴隨著網絡寬帶的升級，計算機病毒的傳播速度和變種速度也越來越快，產生問題也就愈發增多，人們對此也是關注不已，所以，如何提高計算機安全性能已經成為計算機領域重點研究的課題。面對計算機病毒變種日益加快的現象，人們必須要研究出新型性的檢測方法來查找計算機存在的未知病毒。

1 計算機病毒的行為特征

1.1 傳染性

計算機病毒最主要的特征莫過于傳染性，同時，計算機病毒的傳染性特征還可以用來判斷某一段程序是否成為計算機病毒的載體。事實上，計算機病毒只是認為編寫的一段計算機程序代碼，一旦將其植入計算機中展開運行操作，它便會自動搜尋符合其傳染條件的其他程序或者存儲載體，認準目標后再將自身代碼植入其中，從而形成自我的“繁殖與生長”。并且一直循環往復下去。

1.2 非授權性

計算機病毒潛藏在合乎法律規范的程序中，它們會利用用戶操作運行合法程序的空隙偷竊到控制系統的權利，在合法程序之前就開始操作運行，無論病毒的行為，還是病毒的目的，對于用戶來說都一無所知，其是在嗎沒有經過用戶同意就開始自行操作運行的。

1.3 不可預見性

從病毒檢測角度來說，計算機病毒還具備不可預見性的特征。病毒的種類不同，其所對應的代碼也就不同。雖然現在已經研發出一定的反病毒技術，但是對于龐大的計算機病毒群體來說，這只是冰山一角，反病毒技術仍舊有待提高，只有在一定的病毒出現后，才會生成對應的反病毒技術。

1.4 可觸發性

通常計算機病毒都會具備一種或者多種觸發條件。一旦達到其觸發條件的要求，其便被激活，并進行自我復制傳染，給其它正常程序帶來不利的影響，同時，計算機病毒的傳染性受到觸發條件的限制，觸發條件越多，計算機病毒的傳染程度就越大。

1.5 破壞性

計算機病毒主要包括良性病毒和惡性病毒兩種。良性病毒是編程者出于惡作劇編寫出來程序這類病毒不會對文件、數據產生破壞性，不過會造成系統資源的浪費。而惡性病毒則會對系統產生重大危害，可能會導致程序無法正常運行，或者將計算機內部文件進行刪除，亦或者受文件和數據受到不同程度的破壞等等。

1.6 潛伏性

絕大數的計算機病毒在傳染系統后不會立刻發作，因此，它可能會在磁盤上等上幾天，甚至幾年，一般要時機成熟它便會爆發，四處繁殖擴散，危害系統。比如黑色星期五病毒，不到預定時間一定不易察覺出來，等到條件具備了便會立馬爆炸開來，對系統進行破壞。

1.7 隱蔽性

計算機病毒通常都為編程技術較高的程序，其個體較小，往往依附在合法程序之中，有時也會有少許的病毒出現在隱含文件之中，用戶是很難發現這些小個體的。也就是說，不通過代碼分析，是很難將計算機病毒與合法程序分辨出來的。

2 計算機病毒傳染行為的語義網絡表示以及檢測方法

2.1 語義網絡的闡釋

語義網絡是一個向圖形式，是由一組節點和若干條連接節點的弧構成，其中節點代表事物、行為或者對象等，弧則指各個節點之間存在的關系。語義網絡表示行為存在著一定的優勢：一是語義網絡表示中存在父節點與子節點、虛節點與實節點，有助于面向對象技術的實現；二是各節點之間形成一定的網狀結構，便于理清各種復雜關系；三是其搜索效果較為明顯，具備強大聯想式推理作用。

2.2 計算機病毒傳染行為中語義網絡的表示

根據上文語義網絡的闡述，在計算機病毒傳染行為模式的語義網絡表示中，節點代表著計算機的程序行為，將每條鏈上的結尾部的節點稱為值節點，該節點上的值表示某種程序所具有的行為特性以及該行為特性所擁有的權值。例如，在整個語義網絡中存在著“系統漏洞傳播”的這一部分，節點通過這一部分又劃分成“漏洞掃描”、“攻擊模塊”、以及“自我復制”三個子部分，分別代表某種程序在執行過程中漏洞掃描行為、攻擊行為以及自我復制的行為。并且這三個子部分都有其自身的一個權值，其中權值的大小主要取決于行為所依據病毒的特征性。以此類推，語義網絡中的其他值節點也是這樣分層的。每一條弧線上的分析關系意味著這類行為特征并不是所有病毒程序都具備的，在檢測過程中只要檢測到其中一種就要加上與之對應的權值。該種表示方式有助于實現面向對象技術，把每一個惡意代碼看作是一個對象，將不同種類的病毒程序及其典型性的傳染行為整合起來，并按照對象之間的關系將它們聯系性和結構性表示出來。在此構圖中，惡意代碼單獨歸為一類，該類中的具體對象就指代表著各種各樣的病毒程序，每一種病毒程序的典型性的傳染行為就作為事物的特性。在這種行為表示方法中形成的行為模式庫很容易進行維護，并且產生的檢測效果也很顯著，值得推廣使用。

2.3 未知病毒的檢測方法

檢測引擎在未知病毒的檢測系統中起到舉足輕重的作用，文中所提出的檢測方法主要是以計算機病毒的行為特征作為準則，在此過程中的行為模式庫是采用層次化的語義網絡結構。檢測引擎的工作流程是按照如下安排：先輸入一組固定的病毒發現門檻值、檢測值，用一個字符數組來貯存被檢測文件所具備的病毒行為特征，隨后導入檢測文件進行病毒檢測，檢測系統要對文件內容進行檢查，將檢查到的內容與行為模式庫中各種行為模式進行參照對比，如果被檢文件符合計算機病毒的某種行為特征，就需在檢測總值上加上此種行為特征的權值，并將其特征描述貯存到字符數組中。如果其檢測值大于門檻值，就說明該文件內存在惡意代碼，這時系統便會發出警告表示這一文件存在惡意行為，并指導用戶進行文件刪除或者殺毒的操作，最后檢測結束；反之則說明文件不含有未知病毒，檢測結束。

通過總結計算機病毒不同行為特征，并在此基礎上形成的病毒檢測方法產生效果更加明顯，對用戶進行未知病毒檢測的幫助也就更大。

參考文獻

[1] 程勝利，談冉，熊文龍.計算機病毒及其防治技術[M].北京：清華大學出版社，2004.

[2] 山秀明，李昊，焦健.網絡病毒行為模式分析[J].中國工程科學，2003（12）.

[3] 彭國軍，傅建明，張煥國.淺析反病毒技術現狀挑戰及發展趨勢[J].信息網絡安全，2009（9）.endprint