芻議新局勢下計算機病毒防御技術

李昌菊

摘 要 伴隨著網(wǎng)絡技術的不斷發(fā)展，網(wǎng)絡安全問題逐漸暴露出來，對于計算機的使用者來說，科學地檢測和防御計算機病毒顯得尤為重要。本文首先分析了計算機病毒的特征，然后分析了計算機的病毒診斷和防御模型，希望能夠有效的防控計算機病毒。

關鍵詞 計算機病毒 檢測 防御

中圖分類號：TP393.08 文獻標識碼：A

當今時代是一個網(wǎng)絡技術迅速發(fā)展的時代，在人們的日常交流中扮演著重要的角色，但是計算機病毒的出現(xiàn)制約著網(wǎng)絡的長遠發(fā)展，伴隨著人們網(wǎng)絡交易數(shù)量的不斷增加，怎樣確保個人信息、財產(chǎn)的安全，防控計算機病毒的破壞是目前急需解決的首要問題。

所謂的計算機病毒，通常是指能夠自我復制的一段程序或一段可執(zhí)行代碼，能夠制約計算機的正常運行，還可以破壞計算機內(nèi)部儲存的信息。計算機病毒可以分為三種，一種是引導性病毒，一種是文件性病毒，還有一種是混合性病毒。

1計算機病毒的特征及其類別

通過相關的研究我們發(fā)現(xiàn)，計算機病毒在不斷演變升級，計算機病毒的傳播方式也在逐漸變化，由此我們可以得出計算機病毒的發(fā)展特征及趨勢：

首先，計算機病毒的傳播途徑越來越多元化。以往的計算機病毒傳播途徑主要是依靠存儲，升級后的計算機病毒主要是依靠互聯(lián)網(wǎng)為傳播媒介，伴隨著互聯(lián)網(wǎng)技術的普遍應用，計算機病毒有了更為廣泛的傳播平臺。

其次，蠕蟲有可能成為破壞力最強的計算機病毒，這主要是因為蠕蟲的傳播速度快，并且其傳播范圍較廣，蠕蟲病毒可以利用系統(tǒng)的漏洞完成傳播，對計算機造成致命的危害。

第三，計算機病毒的隱藏技術越來越好，一般情況下，計算機病毒的隱藏技術可以分為兩種，即真隱藏和偽隱藏，前者主要是依靠其他程序達到進倉的目的，后者雖然有相應的病毒進程，但是在任務管理器中搜索不到，另外，現(xiàn)在大部分的病毒都采用了加密技術來提升隱藏技術。

第四，計算機病毒和木馬黑客技術融合起來，形成危害性更高的病毒，病毒越簡單對計算機的危害越小，木馬和黑客對計算機的危害較大，三者結合起來就會給計算機帶來巨大的破壞。

要想更加細致地了解計算機病毒，首先需要把它們進行分類，比較普通的一種分類方式是依據(jù)計算機病毒的寄生對象及駐留方式來劃分的。

總而言之，現(xiàn)在的計算機病毒對計算機的危害越來越大，病毒技術水平越來越高，況且我國的病毒制造已經(jīng)發(fā)展成為一種潛在的地下產(chǎn)業(yè)。計算機病毒嚴重危害人們的正常學習、工作、生活，因此防控計算機病毒工作迫在眉睫。

2計算機病毒診斷及防御模型設計

計算機病毒的診斷技術主要可以分為兩種，一種是虛擬機技術，這種技術其實就是通過一種模擬的CPU進行解密，虛擬CPU與真的CPU有許多相似之處，二者都能夠進行取指、譯碼、執(zhí)行，也可以模擬代碼在CPU 中運行的結果。當病毒侵入虛擬 CPU 時，病毒的特點（自我復制、傳染等）就會被反映出來，虛擬機的作用就是能反映任何的程序動態(tài)。但是虛擬機執(zhí)行程序時速度太慢，所以只能部分執(zhí)行程序代碼，這樣可能就會漏掉病毒代碼。另一種是啟發(fā)式代碼掃描技術。病毒不會像正常程序一樣檢查命令行是否有參數(shù)項、執(zhí)行清屏操作后保持屏幕原來的顯示內(nèi)容，病毒的指令通常是直接執(zhí)行解碼指令，進行寫操作或者搜索特別路徑下的可執(zhí)行程序的操作指令序列。啟發(fā)式代碼掃描技術就是在具體的反病毒軟件中接入病毒特征的經(jīng)驗，就能及時檢測出和消除病毒。

3網(wǎng)絡病毒的防御模型

3.1 已有的網(wǎng)絡病毒防御技術

自從計算機病毒出現(xiàn)后，人們一直沒有放棄對計算機病毒防御技術的研究，網(wǎng)絡防控技術有很多種，一種是在病毒傳播過程中進行防御，還有一種是病毒進入主機后的防御。據(jù)統(tǒng)計，病毒通過網(wǎng)絡傳播的概率大約為 80%，所以第一種病毒防御措施更有效。網(wǎng)絡病毒的實時防御措施主要有誤用檢測技術和校驗技術。

現(xiàn)在使用較為普遍的病毒防御模型是殺毒軟件商通過搜集、分析、發(fā)布數(shù)據(jù)實現(xiàn)防御，用戶客戶端接收數(shù)據(jù)之后，殺毒軟件對程序進行特征碼掃描、流量監(jiān)控、實時監(jiān)控、病毒隔離等。但是此模型的缺點是：經(jīng)常要更新病毒庫數(shù)據(jù)，占用用戶的系統(tǒng)資源；特征碼增長過快；對未知的病毒沒有主動防御。

3.2 NVDDM模型

通過分析普通病毒防御模型的缺點，我們提出了NVDDM（Network Virus Detection And Defense Model）即網(wǎng)絡病毒檢測和防御模型。這種模型以局域網(wǎng)為平臺，把基于主機和基于網(wǎng)絡的兩類防御方法結合在一起。模型分為三部分：殺毒軟件廠商、網(wǎng)絡病毒檢測和防御模型的服務端即 NVDDM-SS、網(wǎng)絡病毒檢測和防御客戶端即 NVDDM-CS。三者是互相聯(lián)系的統(tǒng)一的整體。三者作用分別為：

殺毒軟件廠商：發(fā)布 NVDDM 服務端和NVDDM 客戶端，同時收集、分析、整理和發(fā)布數(shù)據(jù)。

NVDDM 服務端：負責網(wǎng)絡數(shù)據(jù)安全、監(jiān)控和數(shù)據(jù)收集。

NVDDM 客戶端：實時監(jiān)控和主動防御，并對可疑程序上傳數(shù)據(jù)資料給殺毒軟件廠商。

綜上所述，NVDDM服務端有義務保護用戶的安全，但是如果由于用戶自身的操作失誤引發(fā)的安全風險就另當別論了，因此需要科學嚴謹?shù)膶徲媮泶_認安全風險的引發(fā)原因。也就是要隨機進行計算機數(shù)據(jù)的分析處理，科學評價主機在網(wǎng)絡中的安全性能，發(fā)現(xiàn)問題及時報警。

NVDDM 服務端應用誤用檢測法對來自網(wǎng)絡的數(shù)據(jù)請求進行檢測，如果是病毒就及時查殺；非病毒就及時放行，使申請該數(shù)據(jù)的主機得到。因為 80% 的病毒來自網(wǎng)絡，所以對來自主機的請求數(shù)據(jù)，NVDDM 服務端會對數(shù)據(jù)進行檢測，NVDDM客戶端不對其進行檢測，而是監(jiān)控主機實時狀態(tài)，通過計算某個程序的權值來達到主動防御的目的。

綜上所述，計算機病毒嚴重威脅著人們的正常生活、工作和學習，因此我們要不斷提升計算機病毒的檢測及防御技術，本文首先闡述了病毒的特征及類別，然后在此基礎上提出了較為完善的計算機病毒防御模型，希望能夠提升計算機的安全性。

參考文獻

[1] 李鳳梅.網(wǎng)絡環(huán)境下的計算機病毒及其防范技術[J].科技創(chuàng)新論壇，2009.

[2] 張仁斌，李剛，侯整風.計算機病毒和反病毒技術[M].北京：清華大學出版社，2006.