計算機網絡病毒檢測系統設計與實現研究

田志

【關鍵詞】計算機 網絡病毒 檢測系統 設計

隨著計算機網絡的不斷應用和發展，網絡因開放性而衍生出了較多的安全問題，計算機病毒算是其中一個。病毒入侵問題更是對計算機系統的正常運行造成了較大的影響，也在很大程度上威脅到了計算機的使用安全。計算機經過這么多年的發展，系統設計也趨向于成熟，為了確保計算機系統的安全運行，人們開始積極設計計算機病毒檢測系統，以保障計算機應用安全。

1.病毒檢測的方法

1.1 異常檢測法

異常檢測方法主要是用戶檢測計算機資源的異常使用以及計算機用戶的異常行為，應用異常檢測法首先需要建立起用戶互動模型和目標系統，然后通過用戶活動模型來檢測計算機用戶和計算機系統的相應行為，從而有效的判斷計算機用戶的行為是否對計算機系統和網絡有相應的攻擊性[1]。異常檢測方法具有良好的應用適應性，且能夠檢測到未知的入侵能力，但是此種檢測方法還是具有一定的缺點，那就是檢測準確性有所偏差，因此導致此種檢測方法在應用過程中還是受到了一定的限制。

1.2 混合檢測法

混合檢測法主要是綜合濫用檢測法和異常檢測法的優勢，并進行整合利用。由于這兩種檢測方法在實際應用過程中存在一定補充關系，因此有效結合能達到互相彌補的目的，讓檢測效果更佳，也能夠有效的提升病毒檢測的效率和質量。

2.計算機網絡病毒入侵檢測系統的設計實現

此次計算機網絡病毒入侵檢測系統設計中，設計的主要設計流程包含系統結構設計、系統功能模塊設計、主機病毒檢測系統設計、網絡病毒檢測系統設計。

2.1 系統結構設計

在進行計算機網絡病毒入侵檢測系統的設計中，主要包含三部分內容，即應用程序、反病毒引擎以及病毒庫。對此，可以構建三層體系結構的設計模式。這三個部分的設計中，應用程序層主要作用是對用戶接口進行控制;病毒引擎層的功能是對系統中的病毒進行查殺，屬于技術核心部分;病毒層為病毒識別好預防提供特征識別信息，為系統病毒升級提供技術支持。這三者之間，應用程序的運行需要以病毒引擎為基礎，病毒引擎的實現需要以病毒庫為支撐，三者之間相互依賴，相輔相成。

就系統結構中的這三個部分重要功能實現來看，應用程序通過將掃描對象供應給引擎實現病毒掃描，提供病毒預防和用戶交互的對應接口。具體的掃描對象包含磁盤對象以及內存對象。引擎的主要功能是對應用程序進行掃描并對格式進行分析和傳輸，把掃描結果通過程序調回接口反映給應用程序，并對返回結果實施處理。病毒庫則是容納了多種病毒信息和病毒名稱以及病毒特征的數據庫，這是掃描后的匹配依據。此外，引擎自身也需要對病毒庫進行加載、管理和卸載等操作。

2.2 系統功能模塊

如下圖1 所示，為此次計算機網絡病毒入侵檢測系統的主要設計結構：

圖1 計算機網絡病毒入侵檢測系統的主要設計結構

這個防病毒系統的主要工作可以這樣描述，在系統啟動后，用戶可按照自己的需求來選擇掃描磁盤和進程，設置相應的參數，完成設置后可以選定對象來進行掃描處理。最后返回搭配掃描結果環節。在參數設置中，包含對象是目錄還是文件、感染文件處理和操作、刪除還是隔離;通過對于相關格式文件的過濾處理，設置病毒庫的自動升級時間;還包含日志文件保存功能，對于文件大小以及層數限制進行約束。此外，該系統設計中，還能夠滿足用戶的自動升級和掃描管理，進行日志信息升級和幫助等。這一系統設計中通過引擎內部技術的實現，確保系統功能設置簡單，且對于用戶設備的要求不高，適用于單機版。

這一系統中應用分布式就地的保護和測量、控制、通信設備，借助現場總線來對于設備的通信接口進行連接，形成相應病毒檢測系統。系統結構設計中，通過以太網連接，實現設備對于數據庫服務器、電氣運行工作站、維護工程師站等組網工程病毒監控管理的控制系統。

2.3 主機病毒檢測系統的設計

計算機主機病毒檢測系統的數據源主要包括系統日志、程序日志等，而病毒檢測系統主要是通過匹配攻擊內容和審計記錄文件的內容，從而來判斷病毒入侵情況。若是兩者內容相匹配，病毒檢測系統則會在第一時間向計算機網絡管理員發出相應的提醒，同時系統會自動做出相應的保護行為;若是兩者內容不相匹配，則說明入侵對象對計算機沒有攻擊性行為。計算機審計數據中主要記錄的是計算機用戶的行為信息，在計算機系統運行過程中，需要保護這些信息不受到泄露或更改。當計算機系統遭受到病毒的攻擊時，這些數據很有可能就已經被泄露、更改了[2]。因此計算機主機病毒檢測系統設計中必須要具備一項功能，那就是病毒檢測系統在完全被病毒所控制之前，需要盡快分析審計數據，并及時做出相應的防護手段。計算機主機病毒檢測系統需要準備判斷攻擊行為是否屬于病毒入侵，并針對不同的入侵特點判斷出病毒入侵的實際情況。

2.4 網絡病毒檢測系統的設計

在計算機網絡中安裝網絡病毒檢測系統，并使用計算機數據源來詳細的分析計算機入侵的對象。在實際的網絡病毒檢測系統的設計過程中，只需要使用一個網絡適配器來有效分析和監控網絡中傳輸的數據。針對計算機數據采集模塊，在設計過程中要配置網絡接口引擎、探測器、過濾器等器件，而此模塊主要需要實現以下功能，參照具體的網絡協議，從而獲取與病毒入侵事件有關的信息，然后將獲取到的信息輸送到病毒檢測系統分析模塊，并全面、詳細的分析信息的安全性，隨后判斷信息是否對計算機系統具有攻擊性。病毒分析引擎模塊功能主要如下，結合計算機網絡安全數據庫，全面分析數據采集模塊中的數據信息的安全性，并將最后的分析結果輸送到配置管理模塊[3]。而配置管理模塊功能如下，主要管理其他功能模塊的配置工作，然后從病毒分析引擎模塊中輸送過來的安全信息結果告知給計算機網絡管理員，從而讓計算機管理員快速對病毒入侵情況做出相應的處理措施。當網絡病毒檢測系統受到外界的攻擊之后，計算機相應的功能模塊便會立即做出相應的反應，比如中斷連接、報警等，向用戶和管理員發出相應的警告信息。