淺析計算機病毒與防范研究

【摘 ?要】計算機病毒是攻擊者為了破壞計算機功能或數據而插入的一組計算機指令或程序代碼。近年來，計算機病毒數量不斷增長，傳輸媒介變化和互聯網的廣泛應用，導致計算機病毒感染的對象發生改變，病毒類型也由文件型向網絡蠕蟲型轉變。基于此，主要介紹了計算機病毒的概念、特征、傳播途徑、病毒防御技術和策略，幫助讀者進一步熟悉計算機病毒的危害，提高安全防御意識。

【關鍵詞】計算機病毒;傳播途徑;病毒防御

引言

計算機病毒是攻擊者為了破壞計算機功能或數據而插入的一組計算機指令或程序代碼。這些指令或程序代碼會影響計算機的使用和復制。隨著計算機信息技術的快速發展，計算機病毒也越來越受到重視，研究計算機病毒就顯得越來越重要。

一、計算機病毒的特征

第一，繁殖性。計算機病毒可以如腫瘤細胞般繁殖。病毒運行時，會不停復制本身。當發現計算機中的未知程序具有繁殖和感染特征時，代表計算機已中病毒。第二，破壞性。計算機病毒，可以使計算機系統受到不同程度的破壞，常見的有計算機藍屏、CPU大量被占用、文件被刪除或鎖定等。第三，傳染性。計算機病毒可以通過感染其他程序，將變體或自身傳染給其他正常程序。計算機系統的一部分或程序都是它的目標。第四，潛伏性。計算機病毒可以依附在計算機的軟件或其他程序中，很難被發現。侵入計算機后，病毒在條件成熟前不會攻擊，一旦爆發，會使計算機受到較明顯的影響。第五，隱蔽性。計算機病毒可以是一串代碼組成的程序，一般只有幾十Kb大小，且其通常附著在正常程序或電腦磁盤中，很難被發現。第六，可觸發性。計算機病毒可觸發性指這類編制計算機病毒的人會通過一定的觸發條件啟動計算機病毒，例如運行系統中的某個程序或瀏覽某個指定鏈接等。一旦被觸發，計算機病毒就可以破壞計算機系統。

二、計算機病毒的傳播方式

1、利用郵件傳播

郵件病毒具有傳染迅速、擴散面廣、傳播形式多樣和破壞性大等特點，是網絡病毒傳播的主要方式。其主要有兩種方式，一種是在電子郵件中直接添加惡意代碼，另一種是插入惡意代碼URL。通過電子郵件傳播病毒的過程如下。第一，獲取郵箱地址。計算機病毒可以在被感染的主機中自動打開電子郵件的地址簿、歷史記錄，或在計算機磁盤中搜索可用的電子郵件地址。例如，用戶計算機中安裝了Outlook Express等電子郵件軟件，若被感染，病毒會自動打開Outlook Express的地址薄，并從上面獲取每一個電子郵箱的地址。第二，復制本身并傳播。當病毒找到可用的電子郵箱地址后，會自動復制自身病毒，并通過被感染用戶的電子郵箱發送到目標電子郵箱。一些高級病毒，不僅自身非常隱蔽，而且會感染用戶的信紙，修改系統設置，用戶發送郵件時，病毒將悄無聲息感染郵件正文，傳染給目標郵箱。

2、通過掃描系統漏洞傳播

網絡蠕蟲是可自主運行的獨立程序，不嵌入任何主機文件。其傳輸過程是利用互聯網隨機對計算機進行遠程掃描，找到存在漏洞的計算機，并利用漏洞獲得部分或全部控制權進行傳播。蠕蟲取得系統權限的方法主要有以下幾種。第一，利用系統漏洞。此類蠕蟲主要通過Microsoft Windows操作系統或應用程序中的一些漏洞進行傳播。例如，紅色代碼（W32.Codered.Worm）利用計算機一個緩沖區溢出漏洞進行傳播，將其當作代碼運行，并通過此漏洞繼續感染其他服務器。第二，利用局域網傳播。此類蠕蟲利用一些局域網管理員的不當操作，讓計算機上的系統文件夾可被遠程寫入。蠕蟲可以直接將自身復制到LAN中的可寫啟動目錄，利用打開的局域網共享資源進行傳播。第三，利用即時通信軟件傳播。即時通信軟件也稱為網絡蠕蟲病毒傳播的載體，例如世界首例通過MSN聊天工具進行大規模傳播的GFleming蠕蟲病毒。其通過用戶安裝并登錄的MSN的對話窗口，向所有聯系人發送含有該病毒的信息。

3、通過無線網絡的方式傳播

目前，新型病毒可以通過無線網絡傳輸到對方的電子系統。公共WiFi中，可能存在帶有病毒的WiFi熱點。這種病毒會將自身偽裝成WiFi熱點或者將名稱改為一些大型商場、公司的免費WiFi，一旦連接到該WiFi，就可能遭到病毒攻擊，轉向木馬網站后臺自動下載木馬，或重定向到一些流量網站、非法網站，竊取用戶個人身份信息。隨著新技術的應用，利用釣魚網站、二維碼傳播病毒的新型機制大量出現。

三、計算機病毒防御技術和策略

計算機病毒防御技術隨著計算機病毒的不斷進化而日益成熟，下面簡要介紹計算機病毒防御技術和策略。

1、基于Host的檢測策略

簽名匹配、權限控制和完整性驗證是常見的基于Host的檢測技術。簽名匹配算法首先構建各種已知病毒的特征代碼串，計算Hash值組成特征庫，將進入系統的程序代碼與特征庫中的簽名進行匹配，以確定該代碼是否為惡意。只要是同一個病毒，通過簽名匹配特征庫就能匹配成功，但簽名匹配的特征庫必須不斷更新，以應對新出現的病毒。雖然這種方法基于簽名特征庫，具有一定的滯后性，但是準確性較高，誤報概率低。權限控制技術中，采用訪問控制策略，基于完成正常任務的最小特權原則，任何進入系統的程序代碼都只分配完成任務的最小特權，嚴格控制操作權限。實現過程中，該算法按照安全級別排序代碼序列，根據特性分配不同權重，綜合計算代碼指令的權值，并設定正常閾值。如果代碼序列超過閾值，則判斷為可疑程序。

2、基于Network的檢測策略

基于Network的病毒檢測技術主要有異常檢測和誤用檢測。異常檢測基于統計分析的方法，設定正確的訪問方式。病毒傳播過程中，通常有許多網絡檢測包，如果超過正常訪問的統計頻率，則認定異常。雖然基于異常檢測的反病毒策略能夠快速檢測異常，發現未知病毒，檢測已知病毒，但是誤報概率較大。誤用檢測基于已知病毒的特征構建特征庫，通過比較待檢測的數據流與已知特征庫，判斷是否存在病毒。常用于檢測的簽名規則主要基于字符串匹配、數據包長度、協議類型和端口號等。這種策略可用于檢測特定的病毒類型，但不能檢測未知病毒，需要及時更新特征庫。

3、構建計算機病毒防護體系

計算機病毒防御體系一般由檢測層、清除層、系統恢復層和訪問控制層組成，各層在硬件和軟件支持下運行。其中，硬件閉合是保護計算機的重要條件。此外，信息系統要嚴格按照國家安全規定執行，如遵守等級保護制度，提高安全產品的研發和使用。

4、加強個人信息安全意識培養

近年來，勒索病毒攻擊事件越來越多，加強個人信息安全意識培養刻不容緩。個人防范計算病毒的方法包括加固個人操作系統、不輕易訪問不正規網站與論壇、不點擊不明鏈接、使用殺毒軟件查殺U盤與光盤、做好重要文件的加密與備份、關閉系統高危端口以及安裝個人防火墻與殺毒軟件等。利用無線網絡上網時，可對無線路由器進行安全加固，更新無線路由器最新補丁包，加強口令設置，一般包含字母、數字、特殊字符和隱藏SSID（服務集合標識符）等。另外，不隨意連接公共WiFi，在公共場合上網時，不連接未知的WiFi熱點。

四、結語

未來，計算機病毒將日益猖獗，勒索病毒、手機病毒等新型病毒越來越多。本文介紹了計算機病毒的概念、傳播機制，總結了常見病毒的防御策略。從理論上分析計算機病毒的傳播機制，從宏觀上尋找預防和控制計算機病毒傳播的策略，研究基于深度學習、博弈論等高級算法在病毒傳播、檢測和防御方面的應用，對維護網絡安全、凈化網絡環境具有重要意義。

作者簡介：

胡波，出生年月：1997.12.10，性別：男，民族：土家族，籍貫（精確到市）：貴州省岑鞏縣羊橋鄉，學歷：本科，研究方向：計算機技術。

（作者單位：荊楚理工學院）