（计算机应用技术专业论文）面向未知病毒检测方法与系统实现技术研究.pdf

嚣魏工韭走攀疆谚文嚣两未知病毒检涌方法与系统宴臻技零研究 摘要 随着计算机网络技术的高速发殿，利用广泛开放的网络环境进行全球通俗已成 为时代发矮皎趋势。德是网络在给人们带来巨大便利的同时魄繁来了各种器样斡 安全威胁，其中计算枫病毒就是其中之一，并鼠随着互联两觞发展，计算桃病毒 传播的速度越来越陕，蛤人们带来的危害也越来越大，因此如何对计算机病毒进 行防治对予诗算机安全来说就显褥菲章关键。 当前酌计算机病毒检测技术主瑟基于特征检测法，其基本恩想是提取已弼病毒 样本的特征，并将此特征数据添加到病毒特征库中，在病毒梭测时通过搜浔病毒 特征摩查找是否存在鞠匹配豹瘸毒特征来发现瘸枣。这耪检测方法只能耀予检测 已知的瘸毒，对于耨蹴现的病毒的检测无能为力。为了解决这一问题，本文采用 数据挖掘的分类方法对病毒的类型、不同类型瘸毒行为特征摁取方法以及数据分 类算法等闲素送行了分粝，提出一耱兵毒通用壤秘扩震性懿来知病毒检溅方法， 并利用瘸毒程序与正常程序的行为特征差异性避行分类，从丽达到检测未戋舀病毒 的目的。 在上述捡溅方法懿嫠礁上，零文设诗了未知龉磐痰毒捡测系统，采弱蒸予网 络的部署方式，能够对大规模网络范围内的电子邮件系统进行病毒检测，并且在 发现病毒后能够及时报警和进行事故处理从而防庀病毒的扩散，同时系统熊够自 动嚣级，保证了霹寒翘病毒捡 l l | | 茨蠢效毪。 通过对该系统己完成的功能进行的实验，结粜表明该系统的设计和实现方案是 可行的。 关键词：病毒特征分炎；未知病毒梭铡；数据挖掘；邮件检测系统 蘸j 王韭大警壤论交疆i 辩来知病毒捡溺方法与系统实瑗技术轿究 a b s t r a c t w i t ht h er a p i dd e v e l o p m e n to fc o m p u t e rn e t w o r k s ，g l o b a lc o m m u n i c a t i o n sw i t h w i d e s p r e a do p e nn e te n v i r o n m e n t sh a v eb e c o m e t h ed o m i n a n tt r e n di 羲t h ef u t u r e ，b u t n o to n l yn e t w o r k sb r i n gl 1 sg r e a tc o n v e n i e n c eb u ta l s ob r i n gu sm a n yk i n d so f s e c u r i t y t h r e a t ，c o m p u t e rv i r u si so n eo ft h e m ，a n dw i t ht h ee x p a n d i n g o f i n t e m e t ，t h es p r e a do f c o m p u t e r v i r u sh a sb e c o m em o r ea n dm o r e q u i c k l y , a n dd a m a g e t ot h e p e o p l eb e c o m e l a r g e ra n dl a r g e r , s oh o w t od e f e n da g a i n s tc o m p u t e rv i r u si s v e r yi m p o r t a n tt ot h e c o m p u t e rs e c u r i 哆 c u r r e n t l y , m o s tt e c h n i q u e sf o rd e t e c t i n gc o m p u t e rv i r u sa r ef e a t u r e - b a s e d w i t h i n t h i sf r a m e w o r k ，au n i q u ef e a t u r ev e c t o rf o re a c hv i r u si se x t r a c t e d ，t h u sav i r u sf e a t u r e d a t a b a s ec a nb ee s t a b l i s h e d v i r u sd e t e c t i o ni s p e r f o r m e d a ss e a r c ha n dm a t c h i n g p r o c e s si nt h i sd a t a b a s e t h i sf r a m e w o r k i se f f e c t i v e ，b u tc u r r e n tm e t h o d sc a n n o td e t e c t u n k n o w nv i r u s e s t os o l v et h i sp r o b l e m ，t h i s p a p e ru s et h e i d e ao fd a t am i n i n g ， a n a l y z e dt y p e so fv i r u s ，u s ed i f f e r e n tf e a t u r ee x t r a c t i o na n dc l a s s i f ya l g o r i t h mf o re a c h t y p e , a n dt h e np r e s e n t sam o r e c o m l r l o na n de x t e n d a b l em e t h o df o rd e t e c t i n gl l l 妇o w n v i r u s ，a n dw et r yt ou s et h ed i f f e r e n tb e h a v i o rf e a t u r e sb e t w e e nn o r m a lp r o g r a m sa n d v i r u s e st od i s t i n c tt h e mf r o me a c ho t h e ls ou s et h i sw e c a l ld e t e c ti m l l m o w nv i r u s b a s e do nt h i sd e t e c tm e t h o dt h i sp a p e rd e s i g n e das y s t e mw h i c hn a m e du n k n o w n e - m a i lv i r u sd e t e c ts y s t e m ，w ed e p l o yt h i ss y s t e mb a s e do nn e t w o r k s ，a i m sa td e t e c t v i r u sw i t h i ne m a i ls y s t e mi nal a r g ea r e ao f n e t w o r k s ，a n dt h i ss y s t e mc a ng i v ea na l a r m a n d p r o c e s si n c i d e n th a n d l e w h e ni tf o u n d v i r u s e s ，a n dt h e ni to a ns t o pt h es p r e a d i n go f t h ev i r u s ，a n dt h i ss y s t e mc a nu p d a t ea u t o m a t i c a l l y , s oi tc a l le n s u r et h ev a l i d i t yo f u n k n o w nv i r u sd e t e c t i o n t h er e s u l to f t e s t i n go f t h i ss y s t e ms h o w st h a tt h ed e s i g na n d i m p l e m e n t a t i o n o f t h i s s y s t e ma r ef e a s i b l e k e yw o r d s ：c l a s s i f i c a t i o no f v i r u s 。f e a t u r ed e t e c t i o no fu n k n o w nv i r u s e s ；d a mm i n a l g ；e - m a i l d e t e c ts y s t e m 2 西北工业大学硕士论文面向未知病毒检测方法与系统实现技术研究 1 1 研究背景 第一章引言 2 0 世纪9 0 年代以来，计算机网络技术得到了飞速发展，信息的处理和传递突 破了时间和地域的限制，网络化与全球化成为不可抗拒的世界潮流，互联网己进 入社会生活的各个领域和环节，并愈来愈成为人们关注的焦点。 随着计算机的网络化和全球化，人们日常生活中的许多活动将逐步转移到网络 上来。主要原因是由于网络交易的实时性、方便性、快捷性及低成本性。互联网 最大的优点是消除了地域上的限制，使得地球上的每一个人均可方便地与另一端 的用户通讯。企业可以通过网络进行信息发布、广告、营销、娱乐和客户支持等， 同时还可以直接与商业伙伴进行合同签订和商品交易；用户通过网络可以获得各 种信息资源和服务，如购物、娱乐、求职、教育、医疗、投资等。 虽然信息技术的使用给人们生活、工作的方方面面带来了数不尽的便捷和好 处，但是随着互联网的广泛应用，计算机病毒问题越来越受到人们的关注，并且 呈现不断增长趋势。随着互联网的流行，有些计算机病毒借助网络爆发流行，如 “c i h 病毒、“il o v ey o u ”病毒等，它们与以往计算机病毒相比具有一些新的特点。 根据1 9 9 6 年n c s a ( n a t i o n a lc o m p u t e rs e c u r i t ya s s o c i a t i o n ：美国国家电脑安 全协会) 的计算机病毒感染状况调查指出，w o r d 宏( m a c r o ) 病毒已成为北美最 流行的计算机病毒。宏病毒不但可经由软盘感染，更可由电子邮件的附加档案或 下载文件等网络方式来感染经常使用的文件档案。 1 9 9 8 年，出现针对w i n d o w s 9 5 9 8 系统的计算机病毒，如“c i h ”，1 9 9 8 年被计 算机病毒防范界公认为计算机病毒年”。“c i h ”计算机病毒是继d o s 计算机 病毒、w i n d o w s 计算机病毒、宏病毒后的第四类新型计算机病毒。它与d o s 下的 传统计算机病毒有很大不同，它使用面向w i n d o w $ 的v x d 技术编制，1 9 9 8 年 8 月份从台湾传入国内。这是第一个直接攻击、破坏硬件的计算机病毒，破坏程度 是迄今为止最严重的。 1 9 9 9 年3 月美国发生了历史上第2 次重大的计算机病毒灾难。一种名为 m e l l i s a 的邮件计算机病毒借助互联网进行了一次爆炸性传播，一天即传遍美国。 大批网络由于计算机病毒的疯狂入侵，不堪重负而瘫痪。政府机关、企业、公共 信息系统等损失惨重。 据国际计算机安全协会的统计分析表明，世界上每天产生十多种新计算机病 毒，目前的计算机病毒总数己超过二万种。计算机病毒以每年超过5 0 的速度增 长。而在中国国内，随着对外开放的进一步深入，各种正常进口和非法拷贝的计 算机软件数量迅速增加，国际上各种计算机病毒大量涌入我国。而通过互联网传 西北工业大学硕士论文面向未知病毒检测方法与系统实现技术研究 播的计算机病毒真正使计算机病毒没有了国界。据统计显示我国约有9 0 的计算 机遭受过计算机病毒的攻击。 计算机病毒的发展史几乎就是计算机技术的发展史。只要计算机技术有新的发 展，计算机病毒技术就立刻有新的突破。d o s 操作系统上出现不久，就有了针对 它的计算机病毒。随着w i n d o w s 的出现，很快就又出现了专门攻击w i n d o w s 格式文件的计算机病毒；由于微软提供了宏指令，立即有人制造了完全利用宏指 令编写的计算机病毒；n t 网络的商业化普及，又使得专门攻击n t 网络服务器的 网络计算机病毒开始流行：主板厂家为方便用户，开发了无跳线、可用软件修改 系统参数的计算机主板，反应敏捷的计算机病毒设计者马上使用这些刚出现的新 技术编制了有名的可以毁坏计算机硬件的“c i h ”计算机病毒。目前最令人头痛的是 伴随互联网出现的邮件计算机病毒及蠕虫病毒如“c o d er e d 等，其爆炸性的传播能 力可以使其在2 4 小时内传遍全球。因此说，只要出现了一项新的计算机技术，利 用这项新技术编制的新计算机病毒就一定会随着产生。 随着计算机病毒技术的发展，计算机反病毒技术也随之发展起来，反病毒技术 已由最初的病毒特征代码分析发展到了现在的软件模拟检测等技术，但是由于这 些病毒检测技术对于大多数新病毒总是不能及时地作出检测，总是滞后于新病毒 的出现，在新病毒出现的初期并不能有效的进行检测和防治，结果给广大计算机 用户带来了巨大的损失。 综上所述，计算机病毒问题已引起人们的广泛关注，并成为当前计算机安全技 术研究的热点。目前，存在多种解决计算机病毒的技术，其中未知病毒的检测技 术可以发现未知病毒，防患于未然，成为实现计算机安全的重要技术之一。因此， 对未知病毒检测技术的研究具有重要的意义。 1 2 论文的研究内容 本论文的课题来源是：国防基础研究项目“网络信息安全及其工程化技术”。 本论文在研究未知病毒检测关键技术的基础上，给出了未知病毒检测系统的设 计与实现技术。 论文的主要研究内容如下： ( 1 ) 全面的分析了当前计算机病毒带来的威胁及其相应的解决对策； ( 2 ) 研究了常见的计算机病毒检测技术，并提出了对未知病毒的检测方法： ( 3 ) 研究了计算机病毒分类方法以及对计算机病毒的特征提取方法； ( 4 ) 研究了对未知计算机病毒检测所用到的检测算法； ( 5 ) 提出了未知邮件病毒检测系统，并对系统的体系结构、系统实现的关键 技术、各个功能模块等都进行了详细的讨论，并对相关的关键技术进行了实现； ( 6 ) 对未知病毒检测系统的已完成部分进行了测试，测试结果表明本系统是 6 嚣靶工监夫举硕士 耋文露辩来籍病毒稔瓣方法与系统实现技术研究 可辑的。 1 3论文结构及章节安排 第一章简要介绍了本文的研究背景和意义，以及论文内容的安排。 第二鬻臻究了诗算橇薅毒豢采瓣藏躲叛菠程疲豹勰决方案。 第三章研究了对未知痫毒检测所涉及的关键技术。 纂疆肇结合撵者开发懿愿型系统，给熬了未翅郏件病毒捡测系统豹具体竣诗， 并对实现中的具体方法和关键技术进行了描述。 第五意剩瑁素翔病毒检测系绞已完成都分进行了测试，通过实验表明本系绞是 有效的。 第六肇是结蒙语，总绪了论文蛇研究成果，并展望了慝续的研究工作。 西北工业大学硕士论文面向未知病毒检测方法与系统实现技术研究 第二章计算机病毒问题及对策 2 1 计算机病毒的定义 最初对计算机病毒理论的构思可追溯到科幻小说。在7 0 年代美国作家雷恩出 版的p 1 的青春一书中构思了一种能够自我复制，利用通信进行传播的计算机 程序，借用生物学中的“病毒词，称之为“计算机病毒”。“计算机病毒”与医学上 的“病毒”不同，它不是天然存在的，是某些人利用计算机软、硬件所固有的脆弱性， 编制具有特殊功能的程序。由于它与生物医学上的“病毒”同样有传染和破坏的特 性，因此这一名词是由生物医学上的“病毒”概念引申而来。 计算机病毒是一段非常短的，会不断自我复制、隐藏和感染其他程序或计算机 的程序代码。计算机病毒的程序代码包含一套特殊的指令，与其他的程序不同的 是它可以不需要人们的介入就能通过程序或系统传播到其它计算机。当计算机病 毒执行时，通过把自己复制在一个没有被感染的程序或文档里，当这个程序或文 档执行任何指令时，计算机病毒就会将自身传播到其它的计算机系统和程序里。 根据计算机病毒编制者的动机，这些指令可以做任何事，并且导致不同的影响。 其中包括显示一段信息、删除文档或有目的地改变数据。有些情沉下，计算机病 毒并没有破坏指令的企图，但取而代之就是占据磁盘空间、中央处理器时间或网 络的连接。 1 9 9 4 年2 月1 8 日，我国正式颁布实施了中华人民共和国计算机信息系统安 全保护条例，其中第二十八条中明确指出：“计算机病毒，是指编制或者在计算 机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制 的一组计算机指令或者程序代码”。此定义具有法律性、权威性。 携带有计算机病毒的计算机程序被称为计算机病毒载体或被感染程序。是否具 有传染性是判别一个程序是否为计算机病毒的最重要条件。正常的计算机程序是 不会将自身的代码强行连接到其它程序之上的。而计算机病毒的再生机制，即它 的传染机制却是使计算机病毒代码强行传染到一切可传染的程序之上，迅速地在 一台计算机内，甚至在一群计算机之间进行传染、扩散。每一台被感染了计算机 病毒的计算机，本身既是一个受害者，又是一个新的计算机病毒传染源。 感染计算机病毒的计算机往往在一定程度上丧失或部分丧失了正常工作的能 力，如运行速度降低，功能失常，文件和数据丢失，同时计算机病毒通过各种可 能的渠道，如软盘、光盘、计算机网络去传染其它的计算机。通过数据共享的途 径，计算机病毒会非常迅速地蔓延开，若不加以控制，就会在短时间内传遍世界 各个角落。可见计算机病毒防范的问题是一个全球性的问题。 西北工业大学硕士论文面向未知病毒检测方法与系统实现技术研究 随着i n t e m e t 技术的发展，计算机病毒的定义正在逐步发生着变化，与计算机 病毒的特征和危害有类似之处的“特洛依木马”和“蠕虫”从广义的角度而言也可归 为计算机病毒。 2 2计算机病毒的起源与发展 1 9 4 9 年，计算机之父冯诺依曼在复杂自动机组织论中便定义了计算机病 毒的概念即一种“能够实际复制自身的自动机”。1 9 6 0 年，美国的约翰康维在 编写“生命游戏”程序时，首先实现了程序自我复制技术。他的游戏程序运行时，在 屏幕上有许多“生命元素”图案在运动变化。这些元素过于拥挤时，会因缺少生存空 间而死亡。如果元素过于稀疏会由于相互隔绝失去生命支持系统，也会死亡。只 有处于合适环境的元素才非常活跃，它们能够自我复制并进行传播。 贝尔实验室的三位年轻程序员也受到冯诺依曼理论的启发，发明了“磁心大 战”游戏。玩这个游戏的两个人编制许多能自身复制、并可保存在磁心存储器中 的程序，然后发出信号。双方的程序在指令控制下就会竭力去消灭对方的程序。 在预定的时间内，谁的程序繁殖得多，谁就得胜。这种有趣的游戏很快就传播到 其他计算机中心。由于这种程序与生物医学上的“计算机病毒”同样具有传染和破坏 的特性，所以后来就把这种具有自我复制和破坏机理的程序称为计算机病毒。 1 9 8 8 年，当年玩“磁芯大战”出了名的罗伯特莫里斯去a r p a r t ( i n t e m e t 的 前身) 研究计算机安全，他的儿子小莫里斯利用当时大型机主流操作系统u n i x 的 一个小漏洞编写了一个小小的程序，这个程序像蠕虫一样在a r p a n e t 网上四处 蠕动，不停地自我复制，短短几天内就耗尽了a r p a n e t 所有资源，给美国政府 和军方带来的严重的恐慌和重大损失。“莫里斯蠕虫”现在己被认定是计算机病毒发 展史上最具影响力的事件。8 0 年代后期，微机的普及和i n t e m e t 的应用，计算机病 毒的发展步伐大大加快。1 9 8 6 年，巴基斯坦的两个软件人员为了搞清楚自己编制 的软件究竟都跑到了谁的手里，于是炮制了一个“巴基斯坦智囊”病毒，这可能是最 早广泛流行的计算机病毒。从此，以p c 为主要传播对象的计算机病毒开始疯狂传 播、大肆泛滥。随后，1 9 8 7 年，“黑色星期五”恶性病毒在全球范围大规模爆发， 计算机病毒对计算机数据的破坏作用才第一次被人们真正了解、认识。如果某月 1 3 日正巧又是星期五，“黑色星期五”就会立即爆发，对硬盘进行格式化，这时用 户唯一可以做的，就是坐在计算机面前看着自己多年的心血付之东流。后来很长 一段时间，很多用户一到1 3 日星期五就不敢再打开计算机。 1 9 9 6 年底，我国首例宏病毒在深圳被发现。随后在1 9 9 7 年春节左右，北京某 著名i s p ( i n t e m e t 服务提供商) 向它所有用户发送了一份电子邮件，邮件附件中 的“台湾一号葛著病毒几乎是在一天之内感染了该i s p 全部用户。宏病毒的出现，是 计算机病毒有史以来最大的技术突破，加上i n t e m e t 此时迅速在全世界范围的普及， 西北工业大学硕士论文面向未知病毒检测方法与系统实现技术研究 造成宏病毒以所未有的速度传染。此时最为突出的一对矛盾是一方面宏病毒疯狂 传播，一方面国内反病毒厂家很少能够拿得出可靠的解决方案。1 9 9 8 年6 月，首 例能够破坏p c 机系统硬件的“c ”病毒在国内被发现。“c ”病毒产自台湾，最 先通过盗版光盘在美国和欧洲等地广泛流行，后通过i n t e m e t 等渠道在全球泛滥。 而现在随着i n t e r n e t 飞速发展，病毒的发展也出现了一些新的苗头： 1 新病毒层出不穷，感染发作有增无减 最新i c s a ( i n t e r n a t i o n a lc o m p u t e rs e c u r i t ya s s o c i a t i o n ，国际计算机安全协会) 2 0 0 0 年1 月到2 0 0 1 年8 月对全球3 0 0 家大型组织的统计表明：6 6 6 ，3 2 7 台计算 机中在这2 0 个月中共发生计算机病毒感染事件1 ，1 8 2 ，6 3 4 次，抽样调查的结果 显示，几乎所有计算机( 9 9 ) 都有过被计算机病毒感染的经历。虽然有9 1 的服 务器和9 8 的桌面机都使用了反病毒软件，但病毒感染、发作率仍以每年1 5 的 速率增长。据i c s a 统计，目前计算机受病毒感染的概率是1 0 3 台于台。每月， 而去年同期的概率是9 1 千台。图2 1 给出了最近1 9 9 6 2 0 0 1 年来每干台计算机被 病毒感染的抽样统计概率。 年份每千台。每月感染数 1 9 9 61 0 1 9 9 72 1 1 9 9 83 2 1 9 9 98 0 2 0 0 09 1 2 0 0 11 0 3 图2 - 1 19 9 6 2 0 0 1 年计算机病毒感染概率 2 电子邮件已经取代磁盘成为病毒传播主流途径 随着电子邮件系统的普及，通过i n t e m e t 网络电子邮件传播的病毒、黑客程序 和网络蠕虫越来越多，1 9 9 7 年6 月9 日的中国计算机报第4 l 版，就报道了一 则消息：据美国国家计算机安全局一项调查，在1 9 9 6 年下半年至1 9 9 7 年上半年 的一年里，3 6 的宏病毒是通过e m a i l 附件的传送得以蔓延开来的，7 是在i n t e m e t 下载中传播，5 通过w e b 浏览传播；只有3 7 是由各种磁盘传播；6 是通过其 他途径，其余9 原因不明。从这则报道中我们发现，计算机病毒通过网络传播已 经达到4 8 ，而这两年由于计算机网络的普及，其传播的概率比这个数字高得多。 以往总是认为软盘交换是计算机病毒传播的主要途径，但从以下统计图我们看出， 电子邮件现在是病毒( 特别是宏病毒) 的重要传播途径。 1 0 西北工业大学硕士论文面向未知病毒检测方法与系统实现技术研究 年份 1 9 9 61 9 9 71 9 9 81 9 9 92 0 0 02 0 0 1 传播源、 电子邮件 9 2 6 3 2 5 6 8 7 8 3 磁盘7 4 8 8 6 7 3 9 7 1 互联网月 e m a i l 途径 1 2 2 4 1 4 1 6 2 2 0 其他 1 5 7 5 9 2 1 图2 - 2 19 9 6 2 0 0 1 年当前病毒传播主要途径对比图 3 传播速度大大加快，病毒已无国界 以前通过磁盘等有形媒介传播的病毒，从国外发现到国内流行，据统计，一个 病毒的传播周期平均需要6 1 2 个月，而随着i n t e m e t 的普及，病毒的传播已经没 有国界，特别是近几个月以来，“c o d er e d ”等一类恶性病毒，通过i n t e r n e t 在短短几 天就传遍整个世界，其中也包括中国在内，这些病毒能够在这么短的时间内，给 国内和国际造成重大破坏，不能不说i n t e m e t 和电子邮件使病毒的传播已经没有了 时间和空间限制。 4 病毒家族的种类越来越多 随着计算机技术的发展和软件的多样性，病毒的种类也呈现多样化发展的态 势，病毒不仅仅是引导型病毒，普通可执行文件型病毒、宏病毒、混合型病毒， 还出现专门感染特定文件的高级病毒，象j a v a 、v b 和a c t i v e x 的网页技术逐渐被 广泛使用，一些病毒制造者就利用j a v a 、v b 和a e t i v e x 的特性来撰写病毒。以j a v a 病毒为例，虽然它并不能破坏硬盘上的资料，可是如果使用浏览器来浏览含有j a v a 病毒的网页，浏览器就把这些程序下载下来，然后用使用者自己系统里的资源去 执行，因而，病毒就会在机器使用者毫无察觉的情况下进行复制并通过网络窃取 宝贵的个人秘密信息，并在一台一台的终端上不断传播。 5 病毒的破坏性不断增加 主要体现在：像“c i h ”一类的恶性病毒破坏主板b i o s 和硬盘数据，使得用户 需要更换主板，和硬盘数据的不可恢复性丢失，给中国用户在4 月2 6 日那一天带 来巨大损失：“c o m p a t ”、 “d e l t r e e ”等宏病毒随机修改数据文件和删除文件； m e l l i s a ”、“c o d er e d ”等特洛伊木马型病毒，在短时间内造成世界范围内的网络瘫 痪和数据丢失。所有这一些病毒给我们的生产和生活带来了极大的麻烦。 2 3计算机病毒的传播途径 计算机病毒具有自我复制和传播的特点，因此，研究计算机病毒的传播途径是 极为重要的。从计算机病毒的传播机理分析可知，只要是能够进行数据交换的介 西北工业大学硕士论文面向未知病毒检测方法与系统实现技术研究 质都可能成为计算机病毒传播途径。传统的手工传播计算机病毒的方式与现在通 过i n t e m e t 传播相比速度要慢得多。 根据i c s a 对于2 0 0 1 病毒传播媒介的统计报告显示，电子邮件已经成为最重 要的计算机病毒传播途径，而其他通过i n t e m e t 的计算机病毒传播途径近年来也呈 快速上升趋势。 下面简要地分析这些传播途径： 1 不可移动的计算机硬件设备 即利用专用集成电路芯片( a s i c ) 进行传播。这种计算机病毒虽然极少，但 破坏力却极强，目前尚没有较好的检测手段对付。 2 移动存储设备( 包括软盘、磁带等) 可移动式磁盘包括软盘、c d r o m s 、z i p 和j a z 磁盘，后两者仅仅是存储容 量比较大的特殊磁盘。其中软盘是使用广泛、移动频繁的存储介质，因此也成了 计算机病毒寄生的“温床”。盗版光盘上的软件和游戏及非法拷贝也是目前传播计算 机病毒主要途径。随着大容量可移动存储设备如z i p 盘、可擦写光盘、磁光盘( m o ) 等的普遍使用，这些存储介质也将成为计算机病毒寄生的场所。 硬盘是现在数据的主要存储介质，因此也是计算机病毒感染的重灾区。硬盘传 播计算机病毒的途径体现在：硬盘向软盘上复制带病毒文件，带病毒情况下格式 化软盘，向光盘上刻录带病毒文件，硬盘之间的数据复制，以及将带病毒文件发 送至其他地方等。 3 网络 网络是由相互连接的一组计算机组成的，这是数据共享和相互协作的需要。组 成网络的每一台计算机都能连接到其他计算机，数据也能从一台计算机发送到其 他计算机上。如果发送的数据感染了计算机病毒，接收方的计算机将自动被感染， 因此，有可能在很短的时间内感染整个网络中的计算机。 局域网络技术的应用为企业的发展作出巨大贡献，同时也为计算机病毒的迅速 传播铺平了道路。特别是i n t e m e t ，已经越来越多地被用于获取信息、发送和接收 文件、接收和发布新的消息以及下载文件和程序。随着i n t e m e t 的高速发展，计算 机病毒也走上了高速传播之路，已经成为计算机病毒的第一传播途径。除了传统 的文件型计算机病毒以文件下载、电子邮件的附件等形式传播外，新兴的电子邮 件计算机病毒，如 m e l l i s a ”计算机病毒，“il o v ey o u 计算机病毒等则是完全依靠网 络来传播的。甚至还有利用网络分布计算技术将自身分成若干部分，隐藏在不同 的主机上进行传播的计算机病毒。 以上的所有操作是基于遍布全球的数百万台计算机互联进行数据的传输。这意 味着您在接收数据的同时，也有可能接收一个隐藏于其中的计算机病毒。其感染 计算机病毒的途径有以下几种： ( 1 ) 电子邮件：计算机病毒主要是以附件的形式进行传播，由于人们可以将 西f i r e 业大学硕士论文面向未知病毒检测方法与系统实现技术研究 任何类型的文件作为附件发送，而大部分计算机病毒防护软件在这方面的功能也 不是十分完善，使得电子邮件成为当今世界上传播计算机病毒最主要的媒介。 ( 2 ) b b s ：b b s 作为深受大众欢迎的栏目存在于网络中已经有相当长的时间， 在b b s 上用户除了可以讨论问题外，还能够进行各种文件的交换，加之b b s 一般 没有严格的安全管理，甚至有专门讨论和传播计算机病毒技术的b b s 站点，使之 成为计算机病毒传播的场所。 ( 3 ) w w w 浏览：您可能已经发现，现在的网页比起以往来要漂亮的多，这 全要拜j a v a a p p l e t s 和a c t i v e xc o n t r o l 所赐，但是，只要是任何可执行的程序都可 能被计算机病毒编制者利用，上述二者也没有能逃脱，目前i n t e m e t 上己经有一些 利用j a v a a p p l e t s 和a c t i v e xc o n t r o l 编写的计算机病毒，因此，w w w 浏览感染计 算机病毒的可能性也在不断地增加。 ( 4 ) f t p 文件下载：f t p 的含义是文件传输协议。通过这一协议，您可以将 文件放置到世界上的任何一台计算机上，或者从这些计算机中将文件复制到您本 地的计算机中，这一过程就称为下载。当然，这些下载文件可能被恶意的计算机 病毒代码感染。 ( 5 ) 新闻组：通过这一服务，您可以与世界上的任何人讨论某个话题，或选 择接收您感兴趣的有关的新闻的邮件。这些信息当中包含的附件有可能使您的计 算机感染计算机病毒。 4 通过点对点通信系统和无线通信系统传播 可以预见随着w a p 等技术的发展和无线上网的普及，通过这种途径传播的计 算机病毒也将占有一定的比例。 2 4计算机病毒的主要特性 计算机病毒与生物病毒有许多相似之处，同样有以下一些特性： 1 计算机病毒的传染性 在前面介绍计算机病毒定义时就已提到，传染性是计算机病毒最重要的特性， 这一点与生物病毒是一致的。传染性是生物病毒的一个重要特征。通过传染，病 毒从一个生物体扩散到另一个生物体，在适宜的条件下，它得到大量繁殖，并进 而使被感染的生物体表现出病症甚至死亡。同样地，计算机病毒也会通过各种渠 道从已被感染的计算机扩散到未被感染的计算机，在某些情况下造成被感染的计 算机工作失常甚至瘫痪。这就是计算机病毒最重要的特征传染和破坏。与生 物病毒不同的是，计算机病毒是一段人为编制的计算机程序代码，这段程序代码 一旦进入计算机并得以执行，就与系统中的程序连接在一起，并不断地去传染( 或 连接、或覆盖1 其它未被感染的程序。 是否具有传染性是判别一个程序是否为计算机病毒的最重要条件。正常的计算 西北工业大学硕士论文面向未知病毒检测方法与系统实现技术研究 机程序一般是不会将自身的代码强行连接到其他程序之上的。而计算机病毒却能 使自身的代码强行传染到一切符合其传染条件的未受到传染的程序之上。计算机 病毒可通过各种可能的渠道，如软盘、计算机网络去传染其他的计算机。当在一 台机器上发现了计算机病毒时，往往曾在这台计算机上用过的软盘已感染上了计 算机病毒，而与这台机器相联网的其他计算机也许也被该计算机病毒染上了。 一般正常的程序是由用户调用，再由系统分配资源，完成用户交给的任务。其 目的对用户是可见的、透明的。而计算机病毒具有正常程序的一切特性，但它隐 藏在正常程序中，当用户调用正常程序时窃取到系统的控制权，先于正常程序执 行，计算机病毒的动作、目的对用户时未知的，是未经用户允许的。 2 计算机病毒的隐蔽性 计算机病毒通常附在正常程序中或磁盘较隐蔽的地方，目的是不让用户发现 它的存在。不经过程序代码分析或计算机病毒代码扫描，计算机病毒程序与正常 程序是不容易区别开来的。在没有防护措施的情况下，计算机病毒程序经运行取 得系统控制权后，可以在不到1 秒钟的时间里传染几百个程序，而且在屏幕上没 有任何异常显示。这种现象就是计算机病毒传染的隐蔽性。正是由于这隐蔽性，计 算机病毒得以在用户没有察觉的情况下游荡于世界上百万台计算机中。 计算机病毒的隐蔽性表现在两个方面： ( 1 ) 传染的隐蔽性。大多数计算机病毒在进行传染时速度是极快的，一般不 具有外部表现，不易被人发现。许多计算机用户对计算机病毒没有任何概念，更 不用说心理上的警惕了。他们见到这些新奇的屏幕显示和音响效果，还以为是来 自计算机系统，事实上，很可能这是计算机病毒正在损害他们的系统、制造灾难。 如 d i s kk i l l e r 计算机病毒，当它破坏磁盘数据时，屏幕上显示如下信息： d i s k k i l l e rv e r s i o n1 。0 0 b yo g r es o f b , v a r e ，a p r i l1 ，1 9 8 9 。d o n t t u r no f f t h ep o w e ro r r e m o v et h ed i s k e t t ew h i l ep r o c e s s i n g 。接着屏幕上显示出 p r o c e s s i n g ”意思是“正 在处理”，这时 d i s k 瞄1 1 d 计算机病毒锁定键盘，对磁盘上的数据做加密变换处理。 计算机的处理速度是很快的，当你在屏幕上见到上述显示信息时，已经有很多数 据被计算机病毒破坏掉了。 ( 2 ) 计算机病毒程序存在的隐蔽性。被计算机病毒感染的计算机在多数情况 下仍能维持其部分功能，不会由于感染上计算机病毒，整台计算机就不能启动了， 或者某个程序一旦被计算机病毒所感染，就被损坏得不能运行了。如果出现这种 情况，计算机病毒也就不能广泛传播了。计算机病毒设计的精巧之处也在这里。 正常程序被计算机病毒感染后，其原有功能基本上不受影响，计算机病毒代码附 于其上而得以存活，得以不断地得到运行的机会，去传染出更多的复制体，与正 常程序争夺系统的控制权和磁盘空间，不断地破坏系统，导致整个系统的瘫痪。 计算机病毒的代码设计得非常精巧而又短小。典型的是t i n y 家族。这个家族的计 算机病毒都很短小，最小的计算机病毒代码长度只有1 3 3 字节。一般p c 机对d o s 1 4 鞭1 0 王整太举矮圭论文露辩来舞病嚣疆嚣鸯法与系统实现技术簪 究 文件的存敷速度可达每秒1 0 0 k b 以上，所以计算投病毒将这短短灼几百字节感染 到正常程序之中所花的时间只是转瞬之间，非常不易被察觉。 3 。计算机病毒的潜伏性 大部分的计弊机病毒感染系统之后一般不会马上发作，它可长期隐藏在系统 中，只有在满足其特定条件时才扁动其表现( 破坏) 模块，在此期间，它就可以 辩系统和文俘遗行大肆传染。潜茯往愈好，萁在系统中静存在时闯赣会爨久，计 算机病毒的传染范围就会愈大。 在潜饫麓藩计算梳病毒程序不耩专雳徐溺程痔一般梭雀不岛来静，霞诧计算梳 瘸毒可以静静地躲在磁盘或磁带腱，一凰条件满足就会发作。计算机病灏是依靠 一定豹黢发条 孛避嚣发捧耱，不溱是魅发蘩 宰对，讦算橇瘸毒除了传染舞甭傲骨 么破坏。旦触发条件得到满足，有的在屏幕上驻示信息、图形绒特殊标识，有 瓣劐巍嚣壤蓼系统魏操 睾，耋噩格式琵磁蠹、测豫磁盘文搏、露数疆交 孛傲麴密、 封锁键盘以及使系统崩溃等。 诗算极痣毒使翅匏触发条磐主赛育以下三静。 ( 1 ) 利用计髀机内的时钟提供的时间作为触发器，这种触发条件被许多计算 规癌毒爨采弱，歉发筑聪间有靛糖确到百分之凡秽，有的测只区分年份。 ( 2 ) 利用计髀机病毒体内自带的计数器作为触发器，计算机病毒利用计数器 记录某种事件发生静次数，一旦计数器达到某一设定的德，就执行破坏攥传。撼 臻事件可戳是计舞机开机的次数，可以魑计算机痫毒程序运行的次数，述可以怒 从开机起运行过的总的程序个数等。 ( 3 ) 稠用计算机内执行的某魑特定搡作作为触发器，特定搡作可以滗用户按 下巢种特定的键缀合，可以是执行格式化命令，也可以是读写磁盘的某些扇区等。 计算梳病毒掰使用的触发条佟是多种多样静，而且镪往不霁是使雨上面所述 的某一条件，而怒使用由多个条件组合起来的触发条件。大多数计算机病毒的缎 会舷发条件是基予时蓠的，再辅戳读、写搡俸、按键操露骧及其它条俘。 4 计算机病毒的破坏性 任褥诗算穰瘸毒翼要镘入系统，都会瓣系统及瘦弱稷廖产生程菠不霹瓣影稳。 辍者会降低计算机工作效率，占用系统资源，重猎可导致系统崩溃。这燃都取决 予诗算秘瘸毒藕刽孝熬意爨。 几乎由软件手段能触及到计算机资源的地方均可能受到计算机病毒的破坏。 共骞热下几个方藤： 攻击系统数据区，攻击部位包括：引导扇区、f a t 表、文件目录；攻击文件； 攻击内存；予抗系绞运行，如：纛法操掺文件、熬启动、甄虮等 导致絮统性能 下降；攻击磁盘，造成不能访问磁盘、无法写入等；扰乱屏幕显示；干扰键盘搡 伶；喇叭发声；攻击c m o s ；干扰步 设，如无法访问打印机等。 5 计算机病毒的针对性 西北工业大学硕士论文面向未知病毒检测方法与系统实现技术研究 计算机病毒都是针对某一种或几种计算机和特定的操作系统。例如，有针对 p c 及其兼容机的，有针对m a c i n t o s h 的，还有针对u n i x 和l i n u x 操作系统的。 只有一种计算机病毒几乎是与操作系统无关的，那就是宏病毒，所有能够运行 o f f i c e 文档的地方都有宏病毒的存在。 5 计算机病毒的衍生性 计算机病毒的衍生性是指计算机病毒编制者或者其他人将某个计算机病毒进 行一定的修改后，使其衍生为一种与原先版本不同的计算机病毒，后者可能与原 先的计算机病毒有很相似的特征，这时我们称其为原先计算机病毒的一个变种， 如果衍生的计算机病毒已经与以前的计算机病毒有了很大甚至根本性的差别，此 时我们就会将其认为是一种新的计算机病毒。新的计算机病毒可能比以前的计算 机病毒有更大的危害性。 6 计算机病毒的寄生性 计算机病毒的寄生性是指，一般的计算机病毒程序都是依附于某个宿主程序 中，依赖于宿主程序而生存，并且通过宿主程序的执行而传播。 蠕虫和特洛依木马程序则是例外，它们并不是依附于某个程序或文件中，其本 身就是完全包含有恶意的计算机代码，这也是二者与一般计算机病毒的区别。所 以，所有的计算机病毒防范软件发现此类程序后的唯一解决方法是将其删除并修 改相应的系统注册表。 可见，计算机病毒的发展速度远远超出了我们的想象，计算机病毒的编制技术 也是日新月异，各种新计算机病毒的出现不断给计算机病毒防范软件提出了新的 挑战，从这一点上看，计算机病毒防范软件似乎永远滞后于计算机病毒的发展， 因此，新计算机病毒会不断地涌现，如何检测未知的计算机病毒，防患于未然对 防治计算机病毒有着非常重要的意义。 2 5防治计算机病毒的关键技术 随着计算机技术及反毒技术的发展，各种反病毒软件开始日益风行起来，并且 经过十几年的发展，逐步经历了几代反病毒技术的发展。 2 。5 1特征代码技术 特征代码法特征代码法被早期应用于s c a n 、c p a v 等著名病毒检测工具中， 目前被认为是用来检测己知病毒的最简单、开销最小的方法。防毒软件在最初的 扫毒方式是将所有病毒的病毒码加以剖析，并且将这些病毒独有的特征搜集在一 个病毒码资料库中，每当需要扫描该程序是否有毒的时候，启动杀毒软件程序， 以扫描的方式与该病毒码资料库内的现有资料一一比对，如果两方资料皆有吻合 之处的话，既判定该程序已遭病毒感染。特征代码法的实现步骤如下：n 采集已知 嚣就工壁天学疆论文嚣羯来翔病毒按铡方法每系统实褒技零簪 究 瘸毒样本。如果瘸毒既感染c o m 文 牛，又感染e x e 文 牛，那么簧对这秘病毒要 同时采集c o m 型病毒样本和e x e 型病毒样本。2 ) 在病簿样本中，抽取瞒毒特征 代码。在既感染c o m 文件又感染e x e 文件的病毒样本巾，要抽取两种样本共衣 的代码。3 ) 将特颓代码纳入病毒数据库。4 ) 检测文件。打开被检测文件，程文件中 搜索，捡蠢文件中是否含有病毒数，根据数据库中的病毒特征代码。如果发现病 毒特征代鹳，由特征代稻与病毒一一对斑，便可黻断定，被查文俘所感染静是俺 种病毒。 采甭瘸毒特馥代码法的裣涎工其，箕检溺准确，可谖剐病毒的名称、谟报警搴 低、依据检测结果。可做相应的解毒处理。 毽是，瑟惑不戆塞瑷靛瑟痿毒，必须不断更毅叛奉，爵鋈l 霞羧溺不会鞭警魂豹 备种病毒，因病毒特征代码法对从未见过的新病海，自然无法知道其特征代码， 纛法去捡溯这些毅病毒。夔着癌毒季孛类懿缮多，赣版本麴病毒数攥疼会鸯瑟大，梭 索时间就会变长，大大降低了软件的使用效率。而且此类扫毒方法不能检测出隐 藏毪癌毒，困戆黢往痍毒笼送驻癌存嚣，能够将感染文转中熬瘸海找码剥去，援 测工具就会发现被检测文件是一个完好的文件，将会被隐蔽性病毒所蒙骗。 2 5 2校验和法技术 速豢，大多数豹病毒郝不是单独存在豹，它们大都依瓣或寄生予其它越文档稷 序，所以被感染的程序会有档