基于信息安全的計算機主動防御反病毒技術研究

吳曉東 武警北京指揮學院

基于信息安全的計算機主動防御反病毒技術研究

吳曉東 武警北京指揮學院

隨著計算機網絡互聯互通，我們有必要強化計算機通信網絡安全防范措施，防止商業企業機密泄露、以及防范遭到破壞或竊取，以保護計算機通訊系統和通信網絡中的大量信息資源免遭不同種類型的威脅、干擾與破壞。

信息安全 計算機主動防御反病毒 木馬病毒

近年來，隨著我國互聯網的快速普和全面應用，我國的信息化發展迅速。信息安全越來越受到關注，只有信息安全得到保護，信息化才可以健康有序的發展。信息安全的保護主義是實現對信息的保密性、真實性、完整性、未授權拷貝、系統的安全性方面。要想杜絕網絡病毒入侵電腦，就要先對病毒的傳播方式方法有個大體的了解。只有知道了病毒的入侵，才能采取一系列的反病毒方法。

1 病毒傳播形式

當前比較熱門的病毒，主要是木馬病毒和蠕蟲病毒。木馬病毒其實是一類后門啟動程序，他的入侵主要是隱藏在計算機的操作系統里對用戶資料進行竊取。竊取用戶的QQ密碼、網上銀行賬戶密碼、電子郵箱密碼以及游戲賬戶密碼等信息。蠕蟲病毒相比木馬病毒更高級，具有檢查計算機電腦有沒有系統及軟件漏洞的模塊，假設檢查到某臺電腦存在漏洞，就會立刻啟動傳播程序，通過操作系統和軟件程序的漏洞給予主動攻擊，傳播途徑十分廣泛，危害性比木馬病毒大，假設其中一臺電腦感染了蠕蟲病毒后，其局域網里面的另外電腦也會迅速被感染蠕蟲病毒，然后電腦就會不斷的被接受蠕蟲病毒發送的數據包，被感染蠕蟲病毒的電腦由于過多的無關數據發送來，就會降低了電腦的運行速度，同時還會造成CPU內存占用率過高而出現卡住死機發生。

病毒的傳播途徑也是多種多樣，當前比較主流的病毒傳播主要有漏洞型病毒傳播和郵件型病毒傳播。郵件類病毒是借助于網絡電子郵件傳播，這類病毒在傳播前會先隱藏在郵件的附件中，并偽裝成用戶易點擊的虛假信息，如果用戶一旦點擊，打開含有病毒信息的附件時，這類病毒就會迅速擴散傳播。除了借助郵件傳播外，還有借助用戶瀏覽器的軟件漏洞進行入侵。主要是用戶在查看自己的郵件時，瀏覽器存在漏洞，就造成了郵件病毒的傳播。漏洞型病毒傳播主要是利用微軟windows操作系統的漏洞造成漏洞型病毒趁虛而入，攻占你的計算機。

2 計算機主動防御反病毒技術分析

2.1 建立病毒防火墻技術

病毒防火墻能很好的阻止威脅計算機的用戶和其數據，杜絕黑客利用病毒程序訪問自己的電腦網絡，防止一些不安全因素擴散到電腦所在的局域網絡里。病毒防火墻是近幾年出來的一個新概念，是從信息安全防火墻中擴展出來的，具有實時殺毒的功能，可以達到對系統實現實時監控，系統數據的流入以及流出可能包含病毒代碼過濾器等方面的作用。病毒防火墻的優勢是可以很好地防止病毒從網絡到本地計算機系統，這也突破傳統殺毒軟件的智能化靜態清除病毒是在網絡上被感染的文件，用于實時通信的網絡但是卻不殺。其次是實時性，假設一旦病毒侵入系統或從系統中的其他資源的感染，病毒防火墻就會自動檢測，并且進行去掉，能夠實現這樣最大可能地避免病毒的資源破壞的作用。

2.2 采用特征碼技術和虛擬機技術

特征碼技術主要是用于對已知病毒的分析查殺，是病毒診斷方法中的一種。具體就是對被檢測的對象進行掃描，假設發現被檢測對象內部發現了一種特定病毒碼，就說明發現了該病毒碼所代表的病毒。對于提取特征碼的過程往往是自動的，少數時就需要反病毒學者進行人工干預。但是描述特征碼無法用到所有的病毒，許多的病毒是特征碼根本無法描述不出來的。在使用特征碼技術時一定要使用一些補充功能，如，壓縮包和壓縮可執行性文件的自動查殺技術。虛擬機技術的出現是對沒有出現過的，未知的病毒查殺的一種新的反病毒技術，也就是在特征碼技術對沒出現過的病毒的一種補充查殺技術。虛擬機技術的使用必須要有一個虛擬計算機系統的建立，虛擬機完全就像一個真實的計算機，可以工作，比如安裝操作系統、安裝應用程序、訪問網絡資源等。雖然它只是一個在你的物理計算機上運行的應用程序，其實它是一個真正的計算機在虛擬機中運行的應用程序。所以當評估軟件在虛擬機中，系統可能會崩潰，即使系統崩潰，但只是一個虛擬機操作系統，并不是一個物理的計算機操作系統，并使用虛擬機撤消功能，可以立即將虛擬機恢復到狀態之前的軟件安裝。也就是說假設程序文件真的含有病毒，那么我們就可以采用還原虛擬計算機的環境來阻斷病毒運行，計算機的系統也不會受到影響，虛擬機技術存在的不足是會過多的占用系統的使用資源，這樣計算機系統就不會出現死機現象。

2.3 啟發式反病毒技術

啟發式代碼掃描技術具有自我發現的能力，具有發現新病毒，做到防御未知病毒，具有區分正常程序和不正常程序的能力。啟發式技術不同于傳統的反病毒技術，傳統的反病毒掃描技術是在文件中查找已知病毒的特征碼來鑒別有沒有染毒，是一種靜態的過程，僅能查出已知的病毒。對于啟發式掃描，能夠根據某些規則職能地分析程序的代碼，從而有可能找到未知的病毒。啟發式技術通過對比一個運行程序文件的指令執行順序和正常的程序文件運行指令執行順序，做出那些是正常程序，哪些是不正常程序的判斷，當檢測到指令中還要可疑的指令動作時，做出病毒程序判斷并對其進行攔截處理。一個運用啟發式掃描技術的病毒檢測軟件，實際上就是以特定方式實現的動態高度器或反編譯器，通過對有關指令序列的反編譯逐步理解和確定其蘊藏的真正動機。

[1]計算機病毒檢測技術研究與實現[J].段曉陽.電子技術與軟件工程.2015(21)

[2]計算機反病毒技術的發展現狀與展望[J].趙仲飚.產業與科技論壇.2015(05)