計算機網絡病毒防御技術方案設計

文/岳茹

1 計算機網絡病毒的傳播特性

1.1 多元化

相比于傳統計算機網絡病毒而言，現代化網絡病毒可以通過各個端口與介質來實現傳播，攻擊對象從個體PC拓展為帶有網絡協議的工作站或是大型服務器，造成網絡癱瘓或是擁堵問題，阻礙和影響大量用戶網絡訪問行為，極具破壞性。

1.2 多樣化

傳統計算機網絡病毒主要通過C語言進行編寫，而在網絡技術發展下，Jave、VB等腳本語言編寫方式逐漸問世，病毒數量與種類逐漸增多，使得病毒變種多樣化，增加計算機網絡殺毒與防御難度。

1.3 隱蔽化

在計算機網絡技術趨于成熟下，病毒技術得到快速更新，形成隱形技術、自我保護技術以及自變異技術等，實踐到計算機網絡病毒中，大大提高了計算機網絡病毒的隱蔽性與智能化，傳統病毒防御策略無法達到網絡安全的要求。

2 新型計算機網絡病毒診斷防御技術

2.1 虛擬機技術

虛擬機主要用于查毒工作中，在實際應用中，無法為可執行程序創設虛擬化執行環境，實際設計難度大。從本質上看，虛擬機也就是虛擬CPU，即為解密器，這就直接反映出虛擬機查毒本質，虛擬機技術中可以模擬CPU，模擬CPU的指令獲取、譯碼、執行等功能，并模糊某一代碼在CPU上運行得到的結果，直接反映出程序的全部動態，若把計算機網絡病毒置于虛擬機中執行，可以直接反映出計算機網絡病毒自身的傳染、破壞等特征動作。

2.2 啟發式代碼掃描技術

計算機網絡病毒與正常程序間存在較多區別，正常的應用程序會自動檢查命令行輸入是否存在參數項，并執行清屏操作，對原有屏幕顯示信息進行自動保存。但病毒不會進行此操作，病毒程度最初指令是執行解碼執行而開展寫盤操作，或是搜索特定路徑下的可執行程序操作指令序列。而啟發式代碼掃描技術可以將這些區別經驗和知識直接輸入到反病毒軟件程序中，通過病毒檢測軟件，利用特定方式來達到反編譯器和動態解碼器的效果，逐步分析和檢測隱藏的指令序列，快速檢測出未知病毒，控制誤報或是漏報情況，和傳統殺毒技術進行融合，進而實現計算機網絡病毒的檢測和消除。

3 計算機網絡病毒防御技術方案設計

3.1 隔離墻設計

在計算機網絡病毒防御中，要以感染節點隔離問題、治愈率為重點，特別是在無法治愈的情況下，必須考慮隔離技術的引入，預防網絡病毒的進一步擴散。在隔離墻設計中，根據隔離墻的定義，即為疫區與易感區連接兩元關系集合（IW），針對不同網絡連接來進行不同隔離方式的應用。確定感染區與易感區后，結合隔離位置，存在以下三種方式設計連接類隔離墻：

（1）設計接受端隔離墻，病毒傳染類型是T（bi），則拒絕（vj，vi）∈IW中所有Vj的T（bi）連接，不限制其他連接，隔離接收端以保證接受者的安全，可以應用到普通網絡用戶中。

（2）設計發送端隔離，針對病毒傳播類型 T（bi），則拒絕（vi，vj）∈IW中vi與vj的連接，這種發送端隔離墻設計主要傾向于發送者責任，可以廣泛應用到大型網站的網絡病毒防御中。

（3）中途路徑隔離墻設計，利用監督網絡中得數據包，符合（vi，vj）∈IW的連接都禁止中轉，這種隔離方式傾向于網絡管理者的公共安全責任。

3.2 檢測與防御模型服務端設計

在主機病毒檢測中，以比較法與校驗和法為主，這種兩種傳統的病毒檢測方式，主要檢測已知病毒，比較法即為特征碼掃描，搜集病毒特征，并輸入到病毒特征庫中進行比對，以供殺毒軟件將網絡病毒與病毒庫進行對比，繼而加以處理。

3.3 檢測與防御模型客戶端設計

3.3.1 客戶端管理策略

在計算機安全中，管理至關重要，其管理對象主要是策略、技術、人，基于策略的管理包括策略制定、策略選擇以及策略改進，基于技術的管理是利用策略管理開展，將技術整合成一個整體，保證系統防護能力的提升；基于人的管理主要是通過對用戶宣傳安全政策與制度，樹立安全意識，進而提高計算機網絡病毒防御體系的安全性。

3.3.2 客戶端監控與分析

在檢測與防御模型客戶端設計中，要從監控和分析入手，監控文件、程序進程、內存、注冊表以及移動設備，文件監控就是主機對文件系統的訪問操作，記錄重要文件修改與刪除，一般用戶主要利用文件驅動處理磁盤文件訪問，文件驅動信息來源于I/O管理器，借助內核操作實現監控目的。進程監控是監控程序進程的創建，檢測到進程異常行為；內存監控是監控內存具體分配與釋放，包括虛擬內存同步或是異常操作等。

4 結束語

綜上所述，在計算機網絡病毒防御技術方案設計中，要深入分析計算機網絡病毒傳播的根源與規律，借鑒當前最新的計算機網絡病毒診斷防御技術，明確利弊，以此為依據，設計最佳的計算機網絡病毒防御技術方案，從隔離墻設計、服務端設計、客戶端設計等方面入手，構建完整的計算機網絡病毒防御體系，及時發現并消除網絡病毒，進而提高計算機網絡系統的安全性和可靠性。