基于信息安全的計(jì)算機(jī)主動(dòng)防御反病毒技術(shù)研究

吳曉東 武警北京指揮學(xué)院

基于信息安全的計(jì)算機(jī)主動(dòng)防御反病毒技術(shù)研究

吳曉東 武警北京指揮學(xué)院

隨著計(jì)算機(jī)網(wǎng)絡(luò)互聯(lián)互通，我們有必要強(qiáng)化計(jì)算機(jī)通信網(wǎng)絡(luò)安全防范措施，防止商業(yè)企業(yè)機(jī)密泄露、以及防范遭到破壞或竊取，以保護(hù)計(jì)算機(jī)通訊系統(tǒng)和通信網(wǎng)絡(luò)中的大量信息資源免遭不同種類型的威脅、干擾與破壞。

信息安全 計(jì)算機(jī)主動(dòng)防御反病毒 木馬病毒

近年來，隨著我國(guó)互聯(lián)網(wǎng)的快速普和全面應(yīng)用，我國(guó)的信息化發(fā)展迅速。信息安全越來越受到關(guān)注，只有信息安全得到保護(hù)，信息化才可以健康有序的發(fā)展。信息安全的保護(hù)主義是實(shí)現(xiàn)對(duì)信息的保密性、真實(shí)性、完整性、未授權(quán)拷貝、系統(tǒng)的安全性方面。要想杜絕網(wǎng)絡(luò)病毒入侵電腦，就要先對(duì)病毒的傳播方式方法有個(gè)大體的了解。只有知道了病毒的入侵，才能采取一系列的反病毒方法。

1 病毒傳播形式

當(dāng)前比較熱門的病毒，主要是木馬病毒和蠕蟲病毒。木馬病毒其實(shí)是一類后門啟動(dòng)程序，他的入侵主要是隱藏在計(jì)算機(jī)的操作系統(tǒng)里對(duì)用戶資料進(jìn)行竊取。竊取用戶的QQ密碼、網(wǎng)上銀行賬戶密碼、電子郵箱密碼以及游戲賬戶密碼等信息。蠕蟲病毒相比木馬病毒更高級(jí)，具有檢查計(jì)算機(jī)電腦有沒有系統(tǒng)及軟件漏洞的模塊，假設(shè)檢查到某臺(tái)電腦存在漏洞，就會(huì)立刻啟動(dòng)傳播程序，通過操作系統(tǒng)和軟件程序的漏洞給予主動(dòng)攻擊，傳播途徑十分廣泛，危害性比木馬病毒大，假設(shè)其中一臺(tái)電腦感染了蠕蟲病毒后，其局域網(wǎng)里面的另外電腦也會(huì)迅速被感染蠕蟲病毒，然后電腦就會(huì)不斷的被接受蠕蟲病毒發(fā)送的數(shù)據(jù)包，被感染蠕蟲病毒的電腦由于過多的無關(guān)數(shù)據(jù)發(fā)送來，就會(huì)降低了電腦的運(yùn)行速度，同時(shí)還會(huì)造成CPU內(nèi)存占用率過高而出現(xiàn)卡住死機(jī)發(fā)生。

病毒的傳播途徑也是多種多樣，當(dāng)前比較主流的病毒傳播主要有漏洞型病毒傳播和郵件型病毒傳播。郵件類病毒是借助于網(wǎng)絡(luò)電子郵件傳播，這類病毒在傳播前會(huì)先隱藏在郵件的附件中，并偽裝成用戶易點(diǎn)擊的虛假信息，如果用戶一旦點(diǎn)擊，打開含有病毒信息的附件時(shí)，這類病毒就會(huì)迅速擴(kuò)散傳播。除了借助郵件傳播外，還有借助用戶瀏覽器的軟件漏洞進(jìn)行入侵。主要是用戶在查看自己的郵件時(shí)，瀏覽器存在漏洞，就造成了郵件病毒的傳播。漏洞型病毒傳播主要是利用微軟windows操作系統(tǒng)的漏洞造成漏洞型病毒趁虛而入，攻占你的計(jì)算機(jī)。

2 計(jì)算機(jī)主動(dòng)防御反病毒技術(shù)分析

2.1 建立病毒防火墻技術(shù)

病毒防火墻能很好的阻止威脅計(jì)算機(jī)的用戶和其數(shù)據(jù)，杜絕黑客利用病毒程序訪問自己的電腦網(wǎng)絡(luò)，防止一些不安全因素?cái)U(kuò)散到電腦所在的局域網(wǎng)絡(luò)里。病毒防火墻是近幾年出來的一個(gè)新概念，是從信息安全防火墻中擴(kuò)展出來的，具有實(shí)時(shí)殺毒的功能，可以達(dá)到對(duì)系統(tǒng)實(shí)現(xiàn)實(shí)時(shí)監(jiān)控，系統(tǒng)數(shù)據(jù)的流入以及流出可能包含病毒代碼過濾器等方面的作用。病毒防火墻的優(yōu)勢(shì)是可以很好地防止病毒從網(wǎng)絡(luò)到本地計(jì)算機(jī)系統(tǒng)，這也突破傳統(tǒng)殺毒軟件的智能化靜態(tài)清除病毒是在網(wǎng)絡(luò)上被感染的文件，用于實(shí)時(shí)通信的網(wǎng)絡(luò)但是卻不殺。其次是實(shí)時(shí)性，假設(shè)一旦病毒侵入系統(tǒng)或從系統(tǒng)中的其他資源的感染，病毒防火墻就會(huì)自動(dòng)檢測(cè)，并且進(jìn)行去掉，能夠?qū)崿F(xiàn)這樣最大可能地避免病毒的資源破壞的作用。

2.2 采用特征碼技術(shù)和虛擬機(jī)技術(shù)

特征碼技術(shù)主要是用于對(duì)已知病毒的分析查殺，是病毒診斷方法中的一種。具體就是對(duì)被檢測(cè)的對(duì)象進(jìn)行掃描，假設(shè)發(fā)現(xiàn)被檢測(cè)對(duì)象內(nèi)部發(fā)現(xiàn)了一種特定病毒碼，就說明發(fā)現(xiàn)了該病毒碼所代表的病毒。對(duì)于提取特征碼的過程往往是自動(dòng)的，少數(shù)時(shí)就需要反病毒學(xué)者進(jìn)行人工干預(yù)。但是描述特征碼無法用到所有的病毒，許多的病毒是特征碼根本無法描述不出來的。在使用特征碼技術(shù)時(shí)一定要使用一些補(bǔ)充功能，如，壓縮包和壓縮可執(zhí)行性文件的自動(dòng)查殺技術(shù)。虛擬機(jī)技術(shù)的出現(xiàn)是對(duì)沒有出現(xiàn)過的，未知的病毒查殺的一種新的反病毒技術(shù)，也就是在特征碼技術(shù)對(duì)沒出現(xiàn)過的病毒的一種補(bǔ)充查殺技術(shù)。虛擬機(jī)技術(shù)的使用必須要有一個(gè)虛擬計(jì)算機(jī)系統(tǒng)的建立，虛擬機(jī)完全就像一個(gè)真實(shí)的計(jì)算機(jī)，可以工作，比如安裝操作系統(tǒng)、安裝應(yīng)用程序、訪問網(wǎng)絡(luò)資源等。雖然它只是一個(gè)在你的物理計(jì)算機(jī)上運(yùn)行的應(yīng)用程序，其實(shí)它是一個(gè)真正的計(jì)算機(jī)在虛擬機(jī)中運(yùn)行的應(yīng)用程序。所以當(dāng)評(píng)估軟件在虛擬機(jī)中，系統(tǒng)可能會(huì)崩潰，即使系統(tǒng)崩潰，但只是一個(gè)虛擬機(jī)操作系統(tǒng)，并不是一個(gè)物理的計(jì)算機(jī)操作系統(tǒng)，并使用虛擬機(jī)撤消功能，可以立即將虛擬機(jī)恢復(fù)到狀態(tài)之前的軟件安裝。也就是說假設(shè)程序文件真的含有病毒，那么我們就可以采用還原虛擬計(jì)算機(jī)的環(huán)境來阻斷病毒運(yùn)行，計(jì)算機(jī)的系統(tǒng)也不會(huì)受到影響，虛擬機(jī)技術(shù)存在的不足是會(huì)過多的占用系統(tǒng)的使用資源，這樣計(jì)算機(jī)系統(tǒng)就不會(huì)出現(xiàn)死機(jī)現(xiàn)象。

2.3 啟發(fā)式反病毒技術(shù)

啟發(fā)式代碼掃描技術(shù)具有自我發(fā)現(xiàn)的能力，具有發(fā)現(xiàn)新病毒，做到防御未知病毒，具有區(qū)分正常程序和不正常程序的能力。啟發(fā)式技術(shù)不同于傳統(tǒng)的反病毒技術(shù)，傳統(tǒng)的反病毒掃描技術(shù)是在文件中查找已知病毒的特征碼來鑒別有沒有染毒，是一種靜態(tài)的過程，僅能查出已知的病毒。對(duì)于啟發(fā)式掃描，能夠根據(jù)某些規(guī)則職能地分析程序的代碼，從而有可能找到未知的病毒。啟發(fā)式技術(shù)通過對(duì)比一個(gè)運(yùn)行程序文件的指令執(zhí)行順序和正常的程序文件運(yùn)行指令執(zhí)行順序，做出那些是正常程序，哪些是不正常程序的判斷，當(dāng)檢測(cè)到指令中還要可疑的指令動(dòng)作時(shí)，做出病毒程序判斷并對(duì)其進(jìn)行攔截處理。一個(gè)運(yùn)用啟發(fā)式掃描技術(shù)的病毒檢測(cè)軟件，實(shí)際上就是以特定方式實(shí)現(xiàn)的動(dòng)態(tài)高度器或反編譯器，通過對(duì)有關(guān)指令序列的反編譯逐步理解和確定其蘊(yùn)藏的真正動(dòng)機(jī)。

[1]計(jì)算機(jī)病毒檢測(cè)技術(shù)研究與實(shí)現(xiàn)[J].段曉陽.電子技術(shù)與軟件工程.2015(21)

[2]計(jì)算機(jī)反病毒技術(shù)的發(fā)展現(xiàn)狀與展望[J].趙仲飚.產(chǎn)業(yè)與科技論壇.2015(05)