学文网摘 要:计算机技术现在已经被广泛的应用到各个领域中,是提高生产生活水平的重要措施,尤其是近年来技术水平不断提高,在解决各类问题上取得了良好的效果。基于计算机运行环境的特殊性,受病毒威胁较大,如果检测和处理不当,会造成文件数据损坏,严重影响系统运行安全性。针对计算机病毒特点,采取有效检测技术进行确定,从根本上来避免病毒对系统运行的影响,本文对此进行了简单分析。
关键词:计算机;病毒;检测技术
病毒是威胁计算机运行安全的主要因素,基于计算机运行环境特殊性,病毒发展与变种速度惊人,并且计算机病毒预防与检测技术很大程度上处于被动状态,并不能完全避免病毒对计算机防御系统的攻击。因此必须要加强对病毒检测技术的研究,基于病毒的危害,来采取相应技术进行防护,避免病毒对计算机系统造成感染,提高系统运行安全性与可靠性。
一、计算机病毒分析
现在已经进入到了信息化时代,计算机病毒不仅传播感染速度快,并且容易发生变种,对检测、预防以及处理技术的落实效果均出了更高要求。现在病毒可以经过多重形式进行传播,完全可以通过两个或者两个以往系统漏洞与应用软件漏洞综合传播。还存在部分病毒具有类似黑客程序,在入侵到计算机系统后,可以控制并窃取计算机内保存的信息,甚至能够进行远程操控[1]。在病毒入侵到计算机系统内部以后,经过变种会主动利用电子邮件等方式进行再次传播,造成更恶劣的影响。在针对计算机病毒检测技术进行分析时,需要针对病毒特点以及传播类型来采取有效措施进行处理,降低其对计算机运行效果的影响。
二、计算机病毒传播分析
1.传播方式
1.1移动存储介质
软盘、光盘为最早的移动存储介质,同时也是计算机病毒主要传播载体,现在逐渐发展出了U盘、存储卡、移动硬盘以及数码相机等移动和设备,因为容量比较大,计算机病毒可以依赖内部存储的软件与文件进行传播。对于移动存储介质来说,其不具备防毒功能,在通过其进行电脑数据交换时,未对其进行病毒扫描,便会造成病毒感染,例如最为常见的木马,率已经达到80%[2]。
1.2网络病毒传播
计算机网络现在已经融入到生产生活的各个细节之中,随着用户的不断增多,网络病毒传播速度也在不断加快,危害范围更大。此种传播方法主要利用了网络内各种协议与命令,以及系统自身的漏洞等,例如邮件、WWW浏览、FTP***、即时通信工具等。此种传播方式,可以对网络内所有计算机进行感染,扫描系统漏洞并发起攻击,影响电脑系统正常运行。
2.传播模型
2.1 SIS模型
SIS模型将节点划分为易感染(S)与感染(I)两种状态,并且两者状态可以相互转换。即易感染状态节点上没有感染病毒,在接触到已经感染节点后,可能会造成自身感染;而感染状态节点已经感染病毒,并且试***感染其他节点,为病毒的传播者[3]。即便是对计算机系统内存在的病毒进行清除后,节点仍然存在被感染的可能,存在很大可能在传播范围内反复存在。传播模型如***1所示:
其中,参数β表示病毒感染率;βBI表示S态节点转化为IB节点的增量;r表示病毒清除率;yl表示单位时间内被清除病毒I态节点数量;N表示考虑节点总数;Io表示初始阶段被感染主机数量。
2.2 SIR模型
SIR模型主要将节点划分为易感染(S)、感染(I)以及免***状态(R),其中处于R态的节点可以对特定病毒具有免***能力,不会再次被感染。***2为SIR传播模型:
其中,参数r表示病毒清除率。SIS与SIR两种传播模型为生物学主要流行病传播模型,将其用于计算机病毒传播分析,不对外界干扰因素进行分析,认为节点状态转换主要受常量β与r影响。
2.3 SEIR模型
对比上述两个模型,SEIR模型增加了一个潜伏状态(E),即已经潜入病毒代码单未显示病毒特征,表示未激活节点。此种模型确定病毒传播工程中存在感染延迟现象,即I态节点将病毒传染给S态节点后,不立即显示感染状态,而是潜伏在个体主机内等待被激活,此时个体无法确定自身携带病毒,只有被激活后才会转化成I态[4]。I态节点病毒被清除后,可转化为R态节点,或者再次转化为S态节点。***3为传播模型:
三、计算机病毒检测技术
1.主机防御检测策略
1.1外观检测法
计算机系统感染病毒后,会出现显示屏异常、运行速度异常、键盘与鼠标异常以及USB接口异常等,文件无法正常使用,甚至会出现死机现象。例如“大麻”病毒会造成系统蜂鸣器出现异常声响,还会占用硬盘主导扇区,无法正常运行;Halloechen病毒,键盘输入符号转换为杂乱符号,这样便可直接通过观察确定是否被感染。
1.2特征代码法
计算机病毒程序基本上均具有特征代码,可作为病毒感染标记,例如XqR病毒特征代码为“EB 68 90 07 BA ED 0B C3”。对于同一种病毒,在被感染的文件与计算机内,均可找到相应特征代码,然后与病毒特征库进行匹配,便可确定是否存在恶意代码,并掌握病毒类型。此种检测方法应用速度快、准确率高且可确定病毒类型,但是在遇到较大特征码时,所需检测时间长,且仅针对于已知病毒,对未知病毒没有作用。
2.网络病毒检测策略
2.1异常检测
假设攻击者活动与正常主体活动为相异状态,提前建立主体正常活动“活动档案”,并与检测主体状态进行对比,如果与统计规律相反,则判断异常。对于网络病毒来说,传播过程中会发送大量探测包,造成网络流量增加出现异常,根据此特点便可确定是否存在病毒感染问题。
2.2误用检测
主要是通过比较待检测数据以及可靠用户活动,判断是否存在病毒感染问题,如比较常用的端口号、数据包长度、协议类型等均为判断特征。
3.常用病毒检测技术
3.1集成神经网络
即将集成神经网络作为模式识别器,对计算机病毒进行检测。可以根据Baggin算法得到IG-Bagging集成方法,即利用信息增益特征选择技术引入到集成神经网络内,然后通过扰动训练数据和输入属性,对个体网络差异度进行放大处理。
3.2模糊识别技术
应用模糊识别技术来进行病毒动态监测,即利用符合某些特征域上的模糊集来对正常程序和病毒程序进行有效区别,一般可选择应用“择近原则”进行特征分类。
此种检测技术,病毒检测准确率可以达到90%以上。
结束语:
计算机病毒的存在,对系统运行安全性与可靠性具有严重威胁,需要基于病毒传播与感染特点,采取有效检测技术进行确定是否存在感染,并及时处理,降低病毒对系统运行的影响。
参考文献:
[1] 沈继涛.计算机病毒检测技术的现状与发展[J].电子技术与软件工程,2017,(01):220.
[2] 孙婉婷.基于P2P网络的人工免***病毒检测技术研究[D].哈尔滨理工大学,2015.
[3] 张文杰.基于混沌免***算法的计算机病毒检测方法研究[D].太原理工大学,2011.
[4] 王晓燕.计算机病毒传播模型及检测研究[D].华中师范大学,2011.
转载请注明出处学文网 » 计算机病毒检测技术应用及发展研究