計(jì)算機(jī)網(wǎng)絡(luò)病毒防御技術(shù)分析與研究

姜金智 譚坤

中海油信息科技有限公司 天津 300452

1 計(jì)算機(jī)網(wǎng)絡(luò)病毒及傳播特性

1.1 網(wǎng)絡(luò)病毒

網(wǎng)絡(luò)病毒實(shí)質(zhì)上是一種代碼程序，它通過網(wǎng)絡(luò)傳播，對(duì)計(jì)算機(jī)系統(tǒng)具有極大的破壞性。因特網(wǎng)病毒的作用有兩種分別是木馬病毒和蠕蟲病毒。這兩種屬于后門程序，它能夠長(zhǎng)期潛伏在計(jì)算機(jī)中，竊取用戶的重要信息，利用系統(tǒng)的漏洞對(duì)計(jì)算機(jī)進(jìn)行攻擊，從而造成更大的危害。

1.2 病毒傳播特性

因?yàn)榫W(wǎng)絡(luò)病毒不僅破壞系統(tǒng)程序，盜取信息，而且與病毒的擴(kuò)展性密切相關(guān)，所以它給網(wǎng)絡(luò)中的計(jì)算機(jī)系統(tǒng)帶來了巨大的危害，其具體表現(xiàn)為：傳播范圍廣，感染對(duì)象多。可以通過頁(yè)面、E-mail、端口等快速傳播。①攻擊對(duì)象是所有電子計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備。②伴隨著網(wǎng)絡(luò)病毒的不斷發(fā)展，其危害也越來越大。一些病毒可能導(dǎo)致網(wǎng)絡(luò)癱瘓，竊取重要數(shù)據(jù)，給用戶造成巨大損失。③有多種方式可成為網(wǎng)絡(luò)病毒的載體，如電子郵件、網(wǎng)站、網(wǎng)絡(luò)程序等等，從而使該病毒更易傳播。④更隱蔽，由于用戶對(duì)計(jì)算機(jī)網(wǎng)絡(luò)安全越來越重視，各種安全措施被引入到計(jì)算機(jī)系統(tǒng)中，使得一些常見病毒無法達(dá)到入侵目的，出現(xiàn)了一些隱蔽的病毒[1]。

2 計(jì)算機(jī)網(wǎng)絡(luò)病毒防御技術(shù)的應(yīng)用

2.1 病毒檢測(cè)技術(shù)

（1）特征碼。將病毒的基本特征代碼從64字節(jié)或更少的病毒特征代碼中提取出來。從檢測(cè)方法看，編碼采用十六進(jìn)制，簽名碼功能簡(jiǎn)單。通過這種技術(shù)，病毒代碼可以被分解并存儲(chǔ)到相應(yīng)的數(shù)據(jù)庫(kù)中。如果需要進(jìn)行病毒識(shí)別和殺毒，只要打開反病毒程序，簽名碼就會(huì)被掃描，并且收到的內(nèi)容與存儲(chǔ)在數(shù)據(jù)庫(kù)中的內(nèi)容進(jìn)行比較。

（2）文件校驗(yàn)。盡管病毒很難以自己的形式存在，但一旦病毒進(jìn)入到計(jì)算機(jī)系統(tǒng)的某些文件中，就必須通過存儲(chǔ)器將其存儲(chǔ)在計(jì)算機(jī)系統(tǒng)的某些文件中，使文件在系統(tǒng)中占據(jù)更多空間，并修改文件的日期。如果出現(xiàn)上述情況，計(jì)算機(jī)系統(tǒng)中的安全軟件會(huì)自動(dòng)啟動(dòng)清單文件，為常規(guī)軟件編寫驗(yàn)證文件并保存。在安全軟件被激活之后，正常軟件會(huì)被重新測(cè)試。如第二次檢測(cè)結(jié)果不同，說明軟件已感染病毒，這是進(jìn)行文檔檢測(cè)的基礎(chǔ)。可以通過以下方法使用此技術(shù)檢測(cè)：

防毒軟件，就是在計(jì)算機(jī)系統(tǒng)維護(hù)過程中，對(duì)文件進(jìn)行檢查，使之成為一種有效防止病毒入侵的手段。病毒的檢測(cè)與消滅采用常規(guī)的比較方法。當(dāng)程序正常啟動(dòng)時(shí)，它被視為一個(gè)完整的檢測(cè)程序，它被直接寫到計(jì)算機(jī)系統(tǒng)中。在激活之后，檢查程序可以被識(shí)別，并進(jìn)行文件驗(yàn)證，這樣就可以同時(shí)檢測(cè)到已知和未知病毒。

（3）行為檢測(cè)。盡管病毒種類繁多，但每一種都有自己的特點(diǎn)。該行為檢測(cè)的目的是針對(duì)特定病毒，以便病毒一旦進(jìn)入網(wǎng)絡(luò)，能夠在網(wǎng)絡(luò)中搜索到能夠以最快速度入侵計(jì)算機(jī)。病毒一旦被成功運(yùn)行，就開始破壞計(jì)算機(jī)系統(tǒng)，接收重要信息。通過分析它的表現(xiàn)，我們可以歸納出它的各種行為。利用行為檢測(cè)技術(shù)可以識(shí)別病毒，然后利用病毒對(duì)計(jì)算機(jī)系統(tǒng)最重要的攻擊行為，如占用int13h函數(shù)、壓縮內(nèi)存、修改文件等，通過行為檢測(cè)技術(shù)可以有效地檢測(cè)到病毒對(duì)上述攻擊的抵抗力[2]。

2.2 病毒防御技術(shù)

（1）單機(jī)防御。這種病毒直接針對(duì)計(jì)算機(jī)系統(tǒng)，即病毒通過網(wǎng)絡(luò)傳播后，最終到達(dá)用戶的電腦上。攻擊目標(biāo)后，病毒破壞了計(jì)算機(jī)系統(tǒng)，竊取了重要信息。從電腦終端入手，有效地預(yù)防病毒。該防毒軟件能有效保護(hù)和防止計(jì)算機(jī)系統(tǒng)遭受病毒攻擊，傳統(tǒng)防毒軟件具有防病毒掃描、清除和防護(hù)等功能，一些高端的反病毒軟件還能進(jìn)行數(shù)據(jù)恢復(fù)和抵抗黑客攻擊。它是最有效的計(jì)算機(jī)防御系統(tǒng)，可以清除所有已知的病毒和木馬程序，反病毒軟件應(yīng)該是自動(dòng)防御的首選。

（2）機(jī)組防御。如果一臺(tái)電腦受到病毒攻擊，病毒就會(huì)傳播到其他連接它的電腦上。因此，除了配置單機(jī)強(qiáng)大的殺毒軟件外，還應(yīng)針對(duì)多機(jī)互聯(lián)的特點(diǎn)，采用有效的防御技術(shù)，成為一個(gè)綜合性的病毒防御系統(tǒng)。針對(duì)該病毒，可配置基于人體防御干預(yù)的單元監(jiān)控機(jī)制。監(jiān)控中心負(fù)責(zé)實(shí)時(shí)監(jiān)控病毒，并連接到計(jì)算機(jī)終端。同時(shí)，應(yīng)建立防止病毒爆發(fā)的隔離機(jī)制，以確保聯(lián)網(wǎng)計(jì)算機(jī)的安全。

（3）局域網(wǎng)防御。LAN是局域網(wǎng)的縮寫。這類網(wǎng)絡(luò)的特點(diǎn)是安裝方便，成本低廉，易于在辦公場(chǎng)所擴(kuò)展，一旦病毒進(jìn)入局域網(wǎng)，將破壞網(wǎng)絡(luò)中的所有計(jì)算機(jī)終端，因此，在局域網(wǎng)病毒防御方面，需要采取有效的技術(shù)措施。對(duì)于局域網(wǎng)病毒防御，我們可以建立一套病毒報(bào)警系統(tǒng)，把局域網(wǎng)上的計(jì)算機(jī)連接到報(bào)警系統(tǒng)上，實(shí)現(xiàn)對(duì)計(jì)算機(jī)的監(jiān)控。這種病毒一旦進(jìn)入局域網(wǎng)電腦，就會(huì)發(fā)出報(bào)警信息，提醒網(wǎng)管人員及時(shí)處理，以達(dá)到防毒的目的。

（4）聯(lián)動(dòng)防御。它是基于安全網(wǎng)關(guān)策略的防火墻。當(dāng)網(wǎng)絡(luò)出現(xiàn)異常時(shí)，直接向防火墻發(fā)送相關(guān)信息。一旦收到信息，防火墻就會(huì)自動(dòng)防御病毒，以防它們?nèi)肭钟?jì)算機(jī)系統(tǒng)。通過防火墻阻斷計(jì)算機(jī)病毒的傳播，不僅能減輕計(jì)算機(jī)網(wǎng)絡(luò)內(nèi)部的壓力，而且能進(jìn)一步減少計(jì)算機(jī)病毒的傳播，這種防毒效果是所有防毒方法中最好的[3]。

3 結(jié)束語(yǔ)

為了達(dá)到預(yù)期的防御效果，我們需要了解和掌握網(wǎng)絡(luò)病毒的傳播特征，運(yùn)用有效的防御技術(shù)，減少病毒入侵的可能性，了解計(jì)算機(jī)后門的安全性。因此，今后的網(wǎng)絡(luò)病毒防御技術(shù)研究有待加強(qiáng)。我們應(yīng)該在逐步優(yōu)化現(xiàn)有技術(shù)和方法的基礎(chǔ)上，開發(fā)新技術(shù)，更好地服務(wù)于網(wǎng)絡(luò)安全。