（计算机软件与理论专业论文）基于计算机免疫的病毒检测研究.pdf

基于计算机免疫的病毒检测研究 计算机软件与理论专业 研究生宋程指导教师李涛 随着信息技术，特别是因特网的高速发展，计算机病毒的传播速度和影响 范围都在不断增加，计算机病毒对计算机安全构成的威胁也日益突出。然而， 传统的病毒检测方法，已经不能对抗病毒的发展，明显比较被动。生物免疫系 统成功保护机体免受各种侵害的机理为研究计算机安全提供了重要的线索。从 信息学角度来看，免疫系统实质上是一个大规模的信息处理系统，它具有分布 性、自适应性、健壮性等良好特性，而这正是目前计算机安全系统所不具备的。 生物免疫系统成功防御生物病毒的例子启发我们构建计算机病毒免疫系统 ( c v i s ) 。 在研究了病毒检测技术和现有计算机病毒免疫系统的基础上，本文扩展了 异常检测方法，指出相对稳定的进程属性能够区分正常程序和异常程序。进而 提出了一种基于免疫原理的病毒检测方法，对检测方法的实验表明该方法是解 决未知病毒检测的良好途径。迸一步扩展了进程检测方法，构造了多类型检测 的免疫模型。最后基于此免疫检测模型提出了一个病毒检测系统方案，采用分 布式结构联合多节点共同检测和防御病毒。 具体来说，本文的主要工作有： 分析了计算机病毒和病毒检测的现状 阐述了计算机免疫的基本原理和基于免疫的安全应用 分析了计算机病毒免疫系统的研究现状 提出了通过进程动态属性定义自体的方法并设计了基于此定义的免疫 检测模型 对提出的免疫病毒检测方法进行实验分析 提出了一个基于计算机免疫原理的病毒检测系统方案 i 关键词：计算机病毒：病毒检测；计算机免疫；免疫算法；检测器 t h er e s e a r c ho fc o m p u t e rv i r u sd e t e c t i o nb a s e do n c o m p u t e ri m m u n o l o g y m a j o rc o m p u t e rs o f t w a r e t h e o r y s t u d e n ts o n gc h e n g a d v i s o rl it a o w i t ht h er a p i dd e v e l o p m e n to fi n f o r m a t i o nt e c h n o l o g y , e s p e c i a l l yo fi n t e m e t , c o m p u t e rv i r u s e st o d a yt e n dt os p r e a dm o r eq u i c k l ya n dw i d e l y ，t h et h r e a to f c o m p u t e rv i r u s e st oc o m p u t e rs e c u r i t yb e c o m e sm o r ea n dm o r eo u t s t a n d i n g b u t m e a n w h i l e ，t h et r a d i t i o n a lv i r u sd e t e c t i o nt e c h n o l c 。g i e ss e e mw e a ka n dp a s s i v eb e f o r e t h ev i r u s e s n i ep r i n c i p l eu s e db yi m m u n es y s t e mt op r o t e c tb o d ys u c c e s s f u l l yf r o m i n v a s i o n sp r o v i d e sa ni m p o r t a n th i n tf o rt h ei n v e s t i g a t i o no fc o m p u t e rs e c u r i t y f r o m t h ev i e w p o i n to fi n f o r m a t i o n - p r o c e s s i n g ，i m m u n es y s t e mi si nf a c tac o m p e l l i n g e x a m p l eo fm a s s i v e l yp a r a l l e li n f o r m a t i o n - p r o c e s s i n gs y s t e m i th a ss o m eg o o c t c h a r a c t e r i s t i c so f b e i n gd i s t r i b u t e d ，a d a p t i v e ，r o b u s t ，w h i c hc o m p u t e rs e c u r i t ys y s t e m s t o d a yd on o tb e a r t h es u c c e s s f u ld e f e n s eo fb i o l o g i c a li m m u n es y s t e ma g a l r 斑 b i o l o g i c a lv i r u s e ss h o wu sag o o de x a m p l et ob u i l d c o m p u t e rv i r u si n l m u n es y s t e m ( c v i s ) ， b a s e do n ar e s e a r c ho fc o m p u t e rv i r u sd e t e c t i o nt e c h n o l o g ya n de x i s t i n gc v i $ , t h i st h e s i se x t e n d sa n o m a l yd e t e c t i o nm e t h o da n dp o i n t so u tt h a tt h es t a b l ea t t r i b u t e s o ft h ep r o c e s sc a nd i f f e r e n t i a t eb e t w e e nn o r m a la n da b n o r m a lp r o g r a m s av i r u s d e t e c t i o nm e t h o db a s e do ni m m u n e p r i n c i p l e s i s p r o p o s e da c c o r d i n g l y n l e e x p e r i m e n to f t h em e t h o ds h o w s i ti sag o o ds o l u t i o nt ou n k n o w nv i r u s e sd e t e c t i o n a m o d e lo fd e t e c t o r so fm u l t i p l ek i n d si sc o n s t r u c t e da c c o r d i n gt ot h ep r o c e s sd e t e c t i o n m e t h o d f i n a l l y , av i r u sd e t e c t i o ns c h e m eb a s e do nt h ei i n n l u n ed e t e c t i o nm o d e li s p r o p o s e d ，i nw h i c had i s t r i b u t e ds t r u c t u r eo fm u l t i p l ec o o p e r a t i n gn o d e si sa d o p t e d t o d e t e c ta n dd e f e n s ev i r u s e s s p e c i f i c a l l y , t h ee o u t r i b u t i o no ft h et h e s i si n c l u d e sa sf o l l o w s ： 1 i p a n a l y z i n gc o m p u t e rv i r u sa n dp r e s e n tv i r u sd e t e c t i o nt e c h n o l o g i e s e x p l a i n i n ga n da n a l y z i n gt h em a i np r i n c i p l eo fc o m p u t e ri m m u n o l o g ya n d i t sa p p l i c a t i o ni nc o m p u t e rs e c u r i t y a n a l y z i n gp r e s e n tc o m p u t e rv i r u si m m u n es y s t e m s p r o p o s i n gam e t h o do f d e f i n e “s e l f f r o md y n a m i ca t t r i b u t e so f p r o c e s sa n d d e s i g nad e t e c t o rm o d e lb a s e do ni m m u n ep r i n c i p l ef r o mt h ed e f m i t i o n e x p e r i m e n t i n go nt h ei m l n u n e v i r u sd e t e c t i n gm e t h o d p r o p o s i n g av i r u sd e t e c t i o ns c h e m eb a s e do ni m m u n o l o g yp r i n c i p l e s k e y w o r d s ：c o m p u t e rv i r u s ，v i r u sd e t e c t i o n ，c o m p u t e ri m m u n o l o g y , i m m u n e a l g o r i t h m ，d e t e c t o r i v - 四川大学硕士论文 1 绪论 计算机免疫系统是对生物免疫系统的模拟，由于它具备强大的信息处理能 力，其研究领域多元化，相关应用层出不穷，计算机免疫学作为一门新兴的交 叉学科已经显示出其智能计算的初步能力。生物免疫系统的一项重要功能就是 抵抗任何侵入肌体的病毒，模仿免疫原理解决计算机病毒的检测将是一项十分 富有理论价值和应用前景的工作。 1 1 背景 自从病毒产生于八十年代中期，就一直处于进化和高速发展的过程，病毒酶 数量在不断的增长，反病毒与病毒的较量在不断进行。在计算机技术和网络高 速发展的今天，现有的抗病毒技术显然己过于薄弱。病毒在1 9 9 1 年还不足1 万 种，到了2 0 0 1 年病毒就已经超过了4 万种，而在2 0 0 3 年病毒数量则达到了8 万种。计算机病毒不但在数量上猛增，在病毒设计技术上也随着新的计算机技 术的发展而发展。计算机病毒具有以下发展趋势： 1 ) 传播方式多样化，与网络紧密联系。 最近的一些危害巨大的网络病毒利用了网络技术能在很短时间能感染整 个互联网。如c o d er e d ，n i m d a 病毒利用了w i n d o w s 操作系统的漏洞传播， 2 0 0 3 年出现的b l a s t e r 蠕虫利用r p c 漏洞在局域网和互联网上大量传播。 2 1 病毒的破坏能力加强 早期病毒只攻击单机软件，现代病毒攻击网络和硬件设备。c i h 病毒是 第一个攻击主板的病毒。c o d er e d 病毒，n i m d a 病毒会造成网络拥堵甚至 瘫痪。 3 ) 病毒具有更高的反病毒检测能力 采用了密码技术的多态病毒具有反病毒扫描的能力。一些病毒甚至具有删除 商业杀毒软件的能力。 目前的病毒检测技术以扫描为主，常见的检测病毒方法有：特征代码法、校 验和法、行为监测法、软件模拟法等。这些传统的病毒检测法大都缺乏对未知 四j l l 大学硕士论文 病毒的检验能力，面对如此岌岌可危的情形，人们迫切需要寻求更先进的抗病 毒技术，以便快速、自动地检测和清除各种己知和未知的病毒。 计算机免疫系统是对生物免疫系统的模拟，由于它具备强大的信息处理能 力，因此是一门充满巨大潜力的研究学科。计算机免疫系统理论伴随着免疫学 研究的发展而不断成长。免疫学 1 1 的研究历史可追溯到1 2 世纪人痘苗的发明。 免疫学的重要进展是1 7 世纪j e r n e 首创的牛痘苗，它对预防天花起到决定性的 作用。然而免疫学科的兴起和发展应该是2 0 世纪6 0 年代以后。由于对免疫系 统的理论分析到了较高的定量水平，计算机免疫系统的研究有了较好的理论基 础，引起了国内外各领域专家的广泛关注。从信息处理角度来看，免疫系统 不 神经网络系统一样也是一个高度的并行处理系统。它除了具备学习能力、记忆 能力外，还表现出相关的修复能力、分布性和自组织性等，为智能控制和智能 系统的研究提供了一条新的途径。 生物免疫系统的反病毒机锖给了我们一个构造良好病毒检测系统的思路。这 种新思路是建立在两个系统的相似基础上的。人们已经初步尝试了将计算机免 疫系统理论应用到病毒检测等安全领域，旨在开发出具备学习能力、自组织性、 多样性和适应性的病毒检测方法。 1 2 课题来源 本课题来自四川大学计算机学院李涛教授主持的获得国家自然科学基金 ( n o 6 0 3 7 3 1 1 0 ) 、教育部博士点基金( n o 2 0 0 3 0 6 1 0 0 0 3 ) 支持的“大规模网络入 侵动态取证、实时风险检测与控制技术”。 1 3 国内外研究现状 国外影响较大的基于免疫理论的病毒检测研究工作见于n e wm e x i c o 大学的 f o r r e s t 2 1 等人和i b m 实验室的k e p h a r t 3 捌等人，另外还有h a r m e r ，l a m o n t ，以 b 及o k a m o t o 和i s h i d a 等人的工作。目前在国内免疫病毒的研究尚处于跟踪学习， 研究，成果较少。 1 9 9 4 年，f o r e s t 和她所在的研究小组首先将免疫学的原理应用于计算机安 删川丈学硕士论文 全领域。他们设计了一个用来监测文件异常变动的计算机免疫病毒检测系统。 这个基于否定选择算法的免疫系统通过维护数据文件的完整性来保护正常系 统。其实验结果显示，这种方法能够很容易地发现未知病毒感染。 k e p h a r t 所在的i b m 公司建立了第一个商用级病毒免疫系统【5 1 ，该系统基于 一个分布式的网络结构，该结构允许病毒免疫系统迅速处理大量用户提交的任 务。该系统中的分析中心能够自动分析大多数的病毒。所以系统能够处理泛滥 成灾的流行病毒以及瞬闻大量文件被感染的问题。 另外，一些研究人员将a g e n t 技术和免疫系统结合起来，构建智能的免疫反 病毒框架。o k a m o t o 和i s h i d a 【6 1 提出一种通过自治异类a g e n t s 诊断并消除计算 机病毒的分布式方法。该系统通过匹配当前主机文件的自体信息f 像文件头的前 几个字节，文件大小和路径) 来诊断病毒。h a r m e r 和l 锄o n t 【7 ，8 ，9 】也提出了基于 i n t e l l i g e n t a g e n t s ( t a ) 技术的分布式、多层次的c v i s 。 1 4 本文主要工作 本文在分析计算机病毒和计算机免疫基本原理的基础上，提出了基于进程 异常检测的免疫检测器模型，并设计了一个基于免疫的病毒检测系统，主要工 作如下： ( 1 ) 分析了计算机病毒和病毒检测的现状 ( 2 ) 阐述了计算机免疫的基本原理和基于免疫的安全应用 f 3 ) 分析了计算机病毒免疫系统的研究现状 ( 4 ) 提出了通过进程动态属性定义自体的方法并设计了相应的基于免疫的 检测器模型 ( 5 1 对提出的免疫检测模型进行了实验分析 f 6 ) 提出了一个基于计算机免疫原理的病毒检测系统方案 1 5 本文的结构 第一章，( 即本章) 课题背景、课题来源、国内外研究现状及本文工作。 一3 - 四川大学硕士论文 第二章，讨论计算机病毒研究的现状，包括其定义，发展历史和分类等一般 知识，分析了常见病毒检测技术和它们的利弊。 第三章，介绍计算机免疫的研究成果，特别讨论了于病毒检测密切相关的免 疫算法和免疫系统设计方法。然后对病毒免疫系统的基本原理和研究现状作了 分析。 第四章，提出一个免疫病毒检测系统的框架，并进行了基于进程的病毒检测 实验。 第五章，全文总结。 四1 1 大学硕士论文 2 计算机病毒概述 计算机病毒的研究是当前计算机安全研究的重要组成部分，随着计算机互联 网的进一步发展，计算机病毒势必对计算机用户产生更大的影响。本章讨论了 计算机病毒的一般研究成果。 2 1 计算机病毒定义 计算机病毒是恶意的计算机程序。病毒通过各种传播媒介( 软盘，网络) 不断 扩散，一旦发作就给正常系统产生“不良”影响。计算机病毒的程序代码包含 一套特殊的指令，与其他的程序不同的是它不需要人们的介入就能通过程序或 系统传播到其它计算机。当计算机病毒执行时，通过把自己复制在一个没有被 感染的程序或文档里，当这个程序或文档执行任何指令时，计算机病毒就会将 自身传播到其它的计算机系统和程序里。根据计算机病毒编制者的动机，这些 指令可以做任何事，并且导致不同的影响。其中包括显示一段信息、删除文档 或有目的地改变数据。有些情况下，计算机病毒并没有破坏指令的企图，但取 而代之就是占据磁盘空间、中央处理器时间或网络的连接。 2 1 1f r e dc o h e n 的定义 f r e dc o h e n 定义 10 ：计算机病毒是一种程序。它用修改其它程序的方法将自 身的精确拷贝或者演化版本植入其它程序，从而感染其它程序。由于这种感染 特性，病毒可以在信息流的过渡途径中传播，从而破坏信息的完整性。 f r e dc o h e n 在1 9 8 8 年又著文强调i 】：病毒不是利用操作系统运作和缺陷的 程序，病毒是正常的用户程序，它们仅使用了那些每天都被使用的正常操作。 f r e d c o h e n 的定义被后来的研究著作中频频引用，具有相当的学术权威性。 5 _ 四川i 大学硕士论文 2 1 2 我国法律对病毒的定义 1 9 9 4 年2 月1 8 日，我国正式颁布实施了中华人民共和国计算机信息系统 安全保护条例，其中第二十八条中明确指出：“计算机病毒，是指编制或者在 计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自 我复制的一组计算机指令或者程序代码。这个定义具有相当的法律权威性。 2 2 计算机病毒的历史 最初对计算机病毒理论的构思可追溯到科幻小说。在7 0 年代美国作家雷恩 出版的p i 的青春一书中构思了一种能够自我复制，利用通信进行传播的计 算机程序，借用生物学中的“病毒”一词，称之为“计算机病毒。“计算机病毒” 与医学上的“病毒“不同，它不是天然存在的，是某些人利用计算机软、硬件 所固有的脆弱性，编制具有特殊功能的程序。由于它与生物医学上的“病毒” 同样有传染和破坏的特性，因此这一名词是由生物医学上的“病毒”概念引申 而柬。 1 9 4 9 年，计算机之父冯诺依曼在复杂自动机组织论中便定义了计算 机病毒的概念，即一种“能够实际复制自身的自动机”。 贝尔实验室的三位年轻程序员也受到冯诺依曼理论的启发，发明了“磁 心大战”游戏。玩这个游戏的两个人编制许多能自身复制、并可保存在磁心存 储器中的程序，然后发出信号。双方的程序在指令控制下就会竭力去消灭对方 的程序。在预定的时间内，谁的程序繁殖得多，谁就得胜。这种有趣的游戏很 快就传播到其他计算机中心。由于这种程序与生物医学上的“计算机病毒”同 样具有传染和破坏的特性，所以后来就把这种其有自我复制和破坏机理的程序 称为计算机病毒。 1 9 8 8 年，美国研究生莫里斯利用当时大型机主流操作系统u n i x 的一个小 漏洞编写了一个小小的程序，这个程序像蠕虫一样在a r p a n e t 网上四处蠕动， 不停地自我复制，短短几天内就耗尽了a r p a n e t 所有资源，给美国政府和霉 方带来的严重的恐慌和重大损失。“莫里斯蠕虫”，现在已被认定是计算机病毒 发展史上最具影确力的事件。8 0 年代后期，随着微机的普及，计箕机病毒的发 p q 川大学硕士论文 展步伐大大加快。1 9 8 6 年，巴基斯坦的两个软件人员为了搞清楚自己编制的软 件究竟都跑到了谁的手里，于是炮制了一个p a k i s t a n 病毒，这可能是最早广泛流 行的计算机病毒。从此，以p c 为主要传播对象的计算机病毒开始疯狂传播、大 肆泛滥。随后，1 9 8 7 年，“黑色星期五”恶性病毒在全球范围大规模爆发。 软件技术的进一步发展的同时给病毒的发展提供了空间，如d o s 到w i n d o w 8 平台的过渡。1 9 9 0 年产生的首例多态性病毒“c h a m e l e o n ”，这种病毒不仅采用 了加密技术，并且病毒代码也会根据不同的条件而变化，出现了第一个“病毒 自动生成工具”v i r u sp r o d u c t i o nf a c t o r y ”，病毒的编写成为更普遍的现在而不再 是技术高手的专利，如何一个会使用软件的人都可以简单的书写自己的病毒。 1 9 9 5 年基于w i n d o w s 平台的宏病毒出现，使病毒从感染可执行文件发展到感染 数据文件。1 9 9 8 年出现的c - 病毒是第一个能够直接攻击某些主板上的f 1 a s h r o m 中b i o s 信息的文件型病毒。它至今为止出现的危害最大，影响最大的病 毒之一。该病毒入侵了我国，并造成了巨大的损失。1 9 9 9 年出现了第一个在英 特网上大规模传播的病毒h a p p y 9 9 ，它虽然出现在9 9 年，但在随后的日子里逐 渐成为危害最大的十个病毒之一，更为重要的是它是一个真正意义上的“现代 化”的蠕虫，它使用电子邮件进行自动传播。这是病毒技术历史上的又一个里 程碑，计算机病毒进入了网络病毒时代。邮件病毒逐渐成为病毒的主流形式。 如c o d e r e d ，l o v e r l e t t e r ，n i m d a 等网络病毒一定发作导致互联网大规模瘫痪， 传播速度和影响的广泛性都十分惊人。 2 3 计算机病毒的特征 计算机病毒虽然是程序，但是和普通的程序相比有许多特性。利用这些特性 可以将它们和正常程序区分开来。主要是：传染性，隐蔽性，潜伏性，破坏摧 和不可预见性。 2 3 1 传染性 传染性是病毒的基本特征。病毒一旦侵入系统，它会搜索符合其传染条件的 四川大学硕士论文 程序或存储媒介，确定目标后将自身代码插入其中，达到自我繁殖的目的。只 要一台计算机染毒，如不及时处理，那么病毒会在这台计算机上迅速扩散，其 中的大量文件会被感染。而被感染的文件有成了新的感染源。当于其它机器进 行数据交换或通过网络接触时，病毒会继续进行感染。病毒利用一切计算机通 讯资源进行传播，一般的传播媒介包括： ( 1 ) 可移动设备 可移动式磁盘包括软盘、c d r o m s 、z 盘等。其中软盘是使用广泛、移动 频繁的存储介质，因此也成了计算机病毒寄生的“温床”。盗版光盘上的软件籽 游戏及非法拷贝也是目前传播计算机病毒主要途径。随着大容量可移动存储设。 各如z i p 盘、可擦写光盘、磁光盘等的普遍使用，这些存储介质也将成为计算机 病毒寄生的场所。 ( 2 ) 硬盘 硬盘的存储量大，在利用它传输文件或引导系统时，也很容易传播病毒。 f 3 1 网络 随着i n t e m e t 的普及，人们通过网络来传递文件越来越方便，对于网上众多 的软件，谁也不能保证其中不含有病毒，由于网络覆盖面广、速度快，更为病 毒的快速传播创造了条件，近来出现的许多新式病毒都是通过网络进行传播的， 破坏性很大。 2 3 2 隐蔽性 病毒一般是有很高编程技巧同时又小巧精悍的程序。通常附着在正常程序中 或磁盘较隐蔽的地方，也有个别的以隐藏文件出现。这样就不易发觉。一般情 况下，系统被病毒感染后用户感觉不到它的存在，只要在其发作或是系统出现 不正常反应时候用户才能觉察出来。典型的t i n y 家族d o s 病毒。这个家族的计 算机病毒都很短小，最小的计算机病毒代码长度只有1 3 3 字节。 2 。3 3 潜伏性 大部分病毒感染系统后一般不会马上发作，它可以隐藏在系统中，只有在满 四川大学硕士论文 足其特定条件时候太启动其破坏功能。这样它就可以被广泛地传播。潜伏性愈 好，其在系统中的存在时间就会愈久，计算机病毒的传染范围就会愈大。著名 的“黑色星期五”每逢1 3 号的星期五发作。c i h 病毒发作是在4 月2 6 号。 在潜伏期间计算机病毒程序不用专用检测程序一般检查不出来的，因此计算 机病毒可以静静地躲在磁盘或磁带里，一旦条件满足就会发作。计算机病毒是 依靠一定的触发条件进行发作的，不满足触发条件时，计算机病毒除了传染外 不做什么破坏。一旦触发条件得到满足，有的在屏幕上显示信息、图形或特殊 标识，有的则执行破坏系统的操作，如格式化磁盘、删除磁盘文件、对数据文 件做加密、封锁键盘以及使系统崩溃等。 计算机病毒使用的触发条件主要有以下三种。 ( 1 ) 利用计算机内的时钟提供的时间作为触发器，这种触发条件被许多计算 机病毒所采用，触发的时间有的精确到百分之几秒，有的则只区分年份。 f 2 ) 利用计算机病毒体内自带的计数器作为触发器，计算机病毒利用计数器 记录某种事件发生的次数，一旦计数器达到某一设定的值，就执行破坏操作。 这些事件可以是计算机开机的次数，可以是计算机病毒程序运行的次数，还可 以是从开机起运行过的总的程序个数等。 f 3 1 利用计算机内执行的某些特定操作作为触发器，特定操作可以是用户按 下某种特定的键组合，可以是执行格式化命令，也可以是读写磁盘的某些扇区 等。 计算机病毒所使用的触发条件是多种多样的，而且往往不只是使用上面所述 的某一条件，而是使用由多个条件组合起来的触发条件。大多数计算机病毒的 组合触发条件是基于时间的，再辅以读、写操作、按键操作以及其它条件。 2 3 4 破坏性 病毒一旦攻入了系统，会对系统及其应用程序产生不同程度的影响。轻者会 降低计算机工作效率，占用系统资源：重者可以导致系统崩溃。按照影响的程 度不同，可将病毒分为良性病毒和恶性病毒。一些恶性病毒会破坏数据文件， 甚至破坏硬件设备。一些常见的攻击行为如下： 攻击系统数据区：修改和删除硬盘主引导扇区、f a t 表以及文件目录等 四川大学硕士论文 信息； 攻击文件：修改、删除系统文件； 攻击内存：占用大量内存、改变内存总量、禁止分配内存或蚕食内存等i 干扰系统运行：干扰内部命令执行、强制死机、重启等； 攻击磁盘：不写盘、写操作变读操作、写盘时丢失字节或者格式化硬盘 等； 消耗系统资源：包括消耗操作系统资源和网络资源； 干扰硬件：干扰打印机、键盘、显示器等； 改动系统配置：比如c i h 病毒就会修改f l a s h r o m 中的b i o s 信息： 盗取，泄漏信息； 2 3 5 不可预见性 任何病毒检测技术只能处理已知病毒或小部分的未知病毒。因为病毒是程 序，如何程序检测算法的复杂度都会是n p 复杂的。已经证明了不存在检测所有 病毒的有效程序卅。病毒和检测技术始终成相互激励的增长态势，这种情形在 计算机安全方面实为通则。 2 4 基本工作原理 病毒程序一般都是由引导模块、传染模块和破坏模块这三个基本的功能模块 - 组成。引导模块负责将病毒引入内存，使得传染和破坏模块处于活动状态。其 中，传染模块又由传染条件的判断部分与传染功能的实施部分构成；破坏表现 模块又由发作条件的判断部分和发作功能的实施部分构成。一个简单的病毒结 构的伪码【1 2 l 如图2 1 。 旧川夫学硕士论文 图2 1 病毒原理伪码 受感染的程序首先执行病毒代码，第一行跳到病毒程序主体部分。第二行是 一个特殊表记，病毒可以通过它来平等目标程序是否已经感染了这种病毒。当 调用程序时候，控制权转向病毒主体。病毒程序首先执行传染模块，查找可能 未受感染的执行文件并感染它们。若干根据触发机制设定与否执行破坏模块。 四川大学硕士论文 最后病毒把控制权交回给原来的程序。 2 5 计算机病毒的分类 2 5 1 按照传染原理分类 1 引导区病毒 病毒隐藏在硬盘或软盘的引导区，当计算机从感染了引导区病毒的硬盘或软 盘启动，或是当计算机从受感染的软盘里读取数据时，引导区病毒就开始发作。 通过将自己拷贝到计算机内存中来感染其他磁盘的引导区，或是通过网络传播 到其他计算机上。 2 文件型病毒 病毒寄生在其他文件中，常常通过对它们的编码加密或是使用其它技术来隐 藏自己。通过将主程序的可执行命令接替过去作为它自己的运行命令。它还常 常会把控制还给主程序，为的是计算机系统显得正常。如果运行感染了病毒的 程序文件，文件型病毒就会被激发。当病毒运行的时候，它可以执行大量的操 作，但通常它进行自我复制，并且附着在你的系统的其他可执行文件上，同时 在上面留下标记，以后不再感染已经带毒的文件。 3 宏病毒 宏病毒是一种特殊的文件型病毒。宏病毒是在一些软件开发商开始在他们的 产品中引入宏语言，并允许这些产品生成载有宏的数据文件之后出现的。例如， 微软的o f f i c e 产品系列包括很多的微软v i s u a lb a s i c 程序语言，这些语言使得 m i c r o s o f t w o r d 和m i c r o s o f t e x c e l 可以自动操作模板和文件的生成。 l j qj 1 1 人学硕士论文 4 蠕虫病毒 蠕虫是一种通过间接方式而不是直接复制自己来传播的恶意软件。通过拦截 e m a i l 系统等方式向世界各地发送自己的复制品。蠕虫程序与病毒一样具有破坏 性，传播速度比病毒还要快。蠕虫的制作者经常利用用户的心理诱使用户下载 并运行蠕虫。臭名昭著的m e l l i s a 病毒，就是一种使用e m a i l 系统以惊人速度传 播的蠕虫程序。 2 5 2 按照破坏程度分类 1 良性计算机病毒 良性病毒是指其不包含有立即对计算机系统产生直接破坏作用的代码。这类 病毒为了表现其存在，只是不停地进行扩散，从一台计算机传染到另一台，并 不破坏计算机内的数据。良性病毒取得系统控制权后，会导致整个系统和应用 程序争抢c p u 的控制权，时时导致整个系统死锁，给正常操作带来麻烦。有时 系统内还会出现几种病毒交叉传染的现象，一个文件不停地反复被几种病毒所 传染。良性病毒的破坏作用相对较低。 2 恶性计算机病毒 恶性病毒就是指在其代码中包含有损伤和破坏计算机系统的操作，在其传 染或发作时会对系统产生直接的破坏作用。这类病毒是很多的，如米开朗基罗 病毒。当米氏病毒发作时，硬盘的前1 7 个扇区将被彻底破坏，使整个硬盘上的 数据无法被恢复，造成的损失是无法挽回的。有的病毒还会对硬盘做格式化等 破坏。这些操作代码都是刻意编写进病毒的，这是其本性之一。因此这类恶性 病毒是很危险的，造成的损失也最大。 2 5 3 按计算机病毒的连接方法分类 大多数文件型病毒都是常驻在内存中的。文件型病毒分为源码型病毒、嵌入 1 3 - 叫川大学硕士论文 型病毒和外壳型病毒。源码型病毒是用高级语言编写的，若不进行汇编和链接 则无法传染扩散。嵌入型病毒是嵌入在程序的中间，它只能针对某个具体程序， 如d b a s e 病毒。这两类病毒受环境限制尚不多见。目前流行的文件型病毒几乎 都是外壳型病毒，这类病毒寄生在宿主程序的前面或后面，并修改程序的第一 个执行指令，使病毒先于宿主程序执行，这样随着宿主程序的使用而传染扩散。 1 操作系统型病毒 这种病毒用它自身部分加入或取代部分操作系统进行工作，主要针对引导赢 区( b o o t s e c t o r ) ，有的还可以攻击文件分配表( f a t ) ，具有很强的破坏力，可以_ 导致整个系统的瘫痪。比如b o u n c i n gb a l l 病毒、s t o n e d 病毒、p a k i s t a nb r a i n 病 毒等就是这类病毒。 2 外壳性病毒 这类计算机病毒在实施传染的时候不改变宿主程序，而是将病毒的自身依附 于宿主的头部或者尾部。属于这类病毒的有j e m s a l e m 病毒、d b a s e 病毒、c h i n e s e b o m b 病毒等。 3 嵌入式病毒 这种病毒是将自身嵌入到现有程序中，把计算机病毒的主体程序与其攻击的 对象以插入的方式链接。这种计算机病毒一旦侵入程序体后也较难消除。如果 同时采用多态性病毒技术，超级病毒技术和隐蔽性病毒技术，将给当前的反病 毒技术带来严峻的挑战。1 9 9 1 年就发现了首例传染1 x ) m 文件的这类病毒。 4 源码型病毒 该类病毒攻击高级语言编写的程序，该病毒在高级语言所编写的程序编译前 插入到原程序中，经编译成为合法程序的一部分。比如传染汇编语言程序的 w i n 3 2 w i n u x 病毒，传染c 语言和p a s c a l 语言的s r e v i r 病毒，以及传染其它高 四川大学钡 论文 级语言和脚本语言的病毒。 2 5 4 按照病毒攻击的操作系统分类 1 攻击m a c i n t o s h 系统的病毒 这类病毒出现在苹果的机器上，比如m a c m a g 病毒，c r a b s 病毒，h y p e r c a r d 病毒等。 2 攻击d o s 系统的病毒 这类病毒出现最早、最多，变种也最多。虽然d o s 不能够度技术在1 9 9 5 年 后基本上处于停止状态，但是由于w i n d o w s 对d o s 系统的兼容，这种病毒仍然 在继续产生和传播。属于这类病毒的主要有：p i n g p o n g 病毒，y a n k e e 病毒，s h i f f t e r 病毒等。 3 攻击w i n d o w s 系统的病毒 1 9 9 5 年以后，w i n d o w s 操作系统取代d o s 系统成为主流的操作系统，自1 9 , j g 年1 月出现首例w i n d o w s 9 5 病毒( w i n 9 5 b o z a 病毒) 以来，攻击w i n d o w s 系统 的病毒就日益增多，现在计算机病毒的攻击事件主要就是发生在w i n d o w s 系统 上。并且造成巨大危害的绝大多数病毒就是w i n d o w s 病毒，比如m a r b u r g 病毒， c i h 病毒，w o r m b l a s t e r 病毒等。 4 攻击u n i x l i n u x 系统的病毒 最初由于u n i x l i n u x 系统在使用比较有限，针对这类操作系统的病毒也 比较少，但是随着u n i x 系统特别是l i n u x 系统的广泛应用，这类系统也不再 是安全的乐土。1 9 9 7 年2 月出现了首例攻击l i n u x 系统的b l i s s 病毒。2 0 0 1 年 4 月的a d o r e 蠕虫病毒等。随着l i n u x 系统的更加广泛的应用，针对这类操作 四川大学硕士论文 系统的病毒将会不断的增加。许多大型的操作系统均采用u n i x 作为其主要的 操作系统，所以u n i x 病毒的出现，对人类的信息处理也是一个严重的威胁。 5 攻击0 s 2 系统的病毒 最初出现在0 s 2 系统中的病毒只能替换原来的文件，或者只能以伴随病毒 的形式出现。在1 9 9 6 年2 月出现的a e p 病毒改变了这种局面，该病毒首次能够 将自身依附到o s 2 系统文件的末尾来实施传染。成为一个真正意义上的o s 2 病毒。 。= 以上是常见的病毒类型，因为病毒技术的复杂性，实际上还有很多其它类型 的病毒，但基本上是以上技术的组合或扩展。 2 6 传统的病毒检测方法 常见的检测病毒方法有：特征代码法、校验和法、行为监测法、软件模拟法， 这些方法依据的原理不同，实现时所需开销不同，检测范围不同，各有所长。 下面对各种方法作一讨论。 2 6 1 特征代码法 特征代码法被广泛应用于商业病毒检测工具中。国外专家认为特征代码法是 检测已知病毒的最简单、开销最小的方法。特征代码法的实现步骤如下：采集 已知病毒样本，病毒如果既感染c o m 文件，又感染e x e 文件，对这种病毒妻 同时采集c o m 型病毒样本和e x e 型病毒样本。在病毒样本中，抽取特征代码。 依据如下原则：抽取的代码比较特殊，不大可能与普通正常程序代码吻合。抽 取的代码要有适当长度，一方面维持特征代码的唯一性，另一方面又不要有太 大的空间与时间的开销。如果一种病毒的特征代码增长一字节，要检测3 0 0 0 科 病毒，增加的空间就是3 0 0 0 字节。在保持唯一性的前提下，尽量使特征代码长 度短些，以减少空间与时间开销。在既感染c o m 文件又感染e x e 文件的病毒 样本中，要抽取两种样本麸有的代码。将特征代码纳入病毒数据库。打开被植 测文件，在文件獭溲索，检查文件中是否含有病毒数据库中的病毒特征代码。 四川大学硕十论文 如果发现病毒特征代码，由于特征代码与病毒一一对应，便可以断定，被查文 件中患有何种病毒。采用病毒特征代码法的检测工具，面对不断出现的新病毒， 必须不断更新版本，否则检测工具便会老化，逐渐失去实用价值。病毒特征代 码法对从未见过的新病毒，自然无法知道其特征代码，因而无法去检测这些新 病毒。 特征代码法的优点是：检测准确快速、可识别病毒的名称、误报警率低、依 据检测结果，可做解毒处理。其缺点是：不能检测未知病毒、搜集已知病毒的 特征代码，费用开销大、在网络上效率低( 在网络服务器上，因长时间检索会 使整个网络性能变坏) 。其特点：a 速度慢。随着病毒种类的增多，检索时间变 长。如果检索5 0 0 0 种病毒，必须对5 0 0 0 个病毒特征代码逐一检查。如果病毒 种数再增加，检病毒的时间开销就变得十分可观。此类工具检测的高速性，将 变得日益困难。b 误报警率低。c 不能检查多形性病毒。特征代码法是不可能 检测多态性病毒的。国外专家认为多态性病毒是病毒特征代码法的索命者。d 不能对付隐蔽性病毒。隐蔽性病毒如果先进驻内存，后运行病毒检测工具，隐 蔽性病毒能先于检测工具，将被查文件中的病毒代码剥去，检测工具的确是在 检查一个虚假的“好文件”，而不能报警，被隐蔽性病毒所蒙骗。 2 6 2 校验和法 将j 下常文件的内容，计算其校验和，将该校验和写入文件中或写入别的文件 中保存。在文件使用过程中，定期地或每次使用文件前，检查文件现在内容算 出的校验和与原来保存的校验和是否一致，因而可以发现文件是否感染，这种 方法叫校验和法，它既可发现已知病毒又可发现未知病毒。这种方法既能发现 已知病毒，也能发现未知病毒，但是，它不能识别病毒类，不能报出病毒名称。 由于病毒感染并非文件内容改变的唯一的非他性原因，文件内容的改变有可能 是正常程序引起的，所以校验和法常常误报警。而且此种方法也会影响文件的 运行速度。病毒感染的确会引起文件内容变化，但是校验和法对文件内容的变 化太敏感，又不能区分正常程序引起的变动，而频繁报警。用监视文件的校验 和来检测病毒，不是最好的方法。这种方法遇到下述情况：已有软件版更新、 变更口令、修改运行参数、校验和法都会误报警。校验和法对隐蔽性病毒无效。 四i l 大学硕士论文 隐蔽性病毒进驻内存后，会自动剥去染毒程序中的病毒代码，使校验和法受骗， 对一个有毒文件算出正常校验和。 运用校验和法查病毒采用三种方式： 1 在检测病毒工具中纳入校验和法，对被查的对象文件计算其正常状态 的校验和，将校验和值写入被查文件中或检测工具中，而后进行比较。 2 在应用程序中，放入校验和法自我检查功能，将文件正常状态的校验 和写入文件本身中，每当应用程序启动时，比较现行校验和与原校验 和值。实现应用程序的自检测。 3 将校验和检查程序常驻内存，每当应用程序开始运行时，自动比较检一 查应用程序内部或别的文件中预先保存的校验和。校验和法的优点 是：方法简单能发现未知病毒、被查文件的细微变化也能发现。其缺 点是：发布通行记录正常态的校验和、会误报警、不能识别病毒名称、 不能对付隐蔽型病毒。 2 6 3 行为监测法 利用病毒的特有行为特征性来监测病毒的方法，称为行为监测法。通过对病 毒多年的观察、研究，有一些行为是病毒的共同行为，而且比较特殊。在正常 程序中，这些行为比较罕见。当程序运行时，监视其行为，如果发现了病毒行 为，立即报警。这些作为监测病毒的行为特征下： 1 所有的引导型病毒，都攻击b o o t 扇区或主引导扇区。系统启动时，当 b o o t 扇区或主引导扇区获得执行权时，系统刚刚开工。一般引导型病毒 都会占用i n t1 3 h 功能，因为其他系统功能未设置好，无法利用。引 导型病毒占据1 n t1 3 h 功能，在其中放置病毒所需的代码。 2 改系统为数据区的内存总量。病毒常驻内存后，为了防止系统将其覆 盖，必须修改系统内存总量。 3 对c o m 、e x e 文件做写入动作病毒要感染，必须写c o m 、e x e 文件。 4 病毒程序与宿主程序的切换染毒程序运行中，先运行病毒，而后执行 宿主程序。在两者切换时，有许多特征行为。 行为监测法的长处：可发现未知病毒、可相当准确地预报未知的多数病毒， 1 8 四川天学硕士论文 行为监测法的短处：可能误报警、不能识别病毒名称、实现时有一定难度。 2 6 4 其它方法 1 软件模拟 多态性病毒每次感染都变化其病毒密码，对付这种病毒，特征代码法失效。 因为多态性病毒代码实施密码化，而且每次所用密钥不同，把染毒文件中的病 毒代码相互比较，也无法找出相同的可能作为特征的稳定代码。虽然行为检测 法可以检测多态性病毒，但是在检测