计算机病毒与安全对策

计算机病毒与安全对策摘要当今，计算机无论在硬件设备和软件信息方面都快速成长，伴随着网络的普及，计算机病毒的发展也不容小觑，在虚拟环境中时刻危害着信息、隐私、财产等等各方面的安全。所以，对于计算机病毒进行更加深刻和严谨的探究，才能切实维护网络世界和现实世界的安全、正常的发展。这对于全世界的信息科技来说，是必经的路程。关键词：信息安全；计算机病毒；发展与防范；病毒监测

1前言传统的查杀病毒的软件主要用特征码来鉴别和监察病毒，但是若想使用这种方法来应对计算机病毒，必须要知道病毒程序的特点。如今计算机病毒纷繁复杂，多种多样，不可能熟知任何一种病毒的特征码，并且传统的病毒软件只能防范已经出现过的病毒，新型病毒无法防御。所以，必须要跳出仅仅探究病毒自身特点的局限性，更加直观的探究病毒的共性特征，及时有效地检测不同的病毒。

2计算机病毒概述2.1计算机病毒的定义然而，计算机病毒自身的完整表述至今也没有一个准确的定义，虽然其作为一个流行词汇已经广为人知。首先对于计算机病毒的特性的准确定位十分困难，其次随着科技的演变，计算机病毒自身也会更新换代，令人招架不住。本文整理了一些关于计算机病毒研究的文章对于计算机病毒的定义，从各个方面着重介绍了计算机病毒：（1）弗雷德•科恩博士作为计算机病毒的发现和，在1984年将计算机病毒描述为：计算机病毒也是一种程序，通过自身的代码特征混入其他程序中，并且改变某些程序自身的性能和作用，造成程序紊乱。在1988年，他又称：计算机病毒并非改变操作系统的进程，它自身是一种正常的计算机程序，并且操作步骤也和其他正常程序一样。（2)VesselinBontchev就职于Hambung大学计算机病毒测试中心，他给出的定义是：计算机病毒可以自我拷贝，作为一种程序改变其他正常程序的工作环境，潜入不同的程序之中，人们只要启动了被感染的程度，就等同于使用计算机病毒的演变程序，大多数情况下表明在使用与计算机病毒性能类似的复制品。（3）美国CommandSoftwareSystems公司的安全专家解释说：计算机病作为一种代码，在某种背景下，计算机管理员并未意识到或未经计算机管理员的授意，而入侵计算机系统，拷贝自身的程序特性，毁坏正常的程序代码，达到危害计算机的目的。（4）根据我国在1994年12月发布的《中华人民共和国计算机信息系统安全保护条例》第28条，计算机病毒的准确描述为：编制出的计算机病毒程序嵌入正常的计算机程序中，注入毁坏计算机性能或电脑资料数据的代码，危害计算机的正常使用，同时能够自行拷贝病毒，达到传播的目的的计算机指令或编程。（5）我国的研究专家将计算机病毒描述为：计算机病毒是一类代码程序，通过改变其他程序或者影响与其他程序相关的方式，将其自身的代码准确的复制到其他程序中，或者采取链接的方法入侵各类程序，达到毁坏各类程序的效果。以上描述中（1）（2）（5）和（3）（4）是对计算机病毒的不同定义，前面三种一直认定计算机病毒会携带感染性，但是对于计算机程序的毁坏是不必然的；后两种定义认为计算机病毒除了自身有感染性，并且可以破坏正常的计算机程序的进程。因此病毒是否可以破坏计算机系统是不同定义的关键点。笔者更认同后两条的定义，计算机的病毒研究应当更宽泛地研究较多的程序，尤其是着重研究带有侵略毁坏的程序。2.2计算机病毒结构经过对计算机病毒的整体研究，将计算机病毒的框架分为下面三个构成板块：（1）感染（Infect）机制。可以阐述为病毒感染的进程和方法。（2）触发（Trifler）机制。可以阐释为如果存在传播载体，是否在此刻进行传递。（3）载荷（Payload）机制。阐述为排除病毒自行拷贝之外的存在着的所有行为。因此，如果程序确定是计算机病毒，仅有感染机制的存在是必然的，但是有效载荷与处罚机制不是必定会出现的。

3计算机病毒的演变上世纪八十年代开始，首批计算机病毒出现了。早期的计算机病毒多数是试探性的病毒程序，主要就是单调的自我拷贝程序的过程，在病毒“发作”时仅是表现出较为普遍的恶作剧形式的过程。而计算机技术不断演变，越来越多的毁坏和侵略性更严重的计算机病毒屡见不鲜，主要分为以下四个进程：3.1第一代病毒特点1、病毒感染的目标有针对性。2、病毒程序主要采用拦截系统中向量的方法来检测系统的运行进程，同时在某些条件下感染检测目标。3、病毒感染某个程序以后出现的现象比较显著，例如感染扇区出现了毁坏，某些文件的大小和文件名有所变化，文件的创建日期和地点发生改变。4、病毒程序通常没有自我防护机制，很容易被人们发现和研究，因而对症下药，编制出可以查杀病毒的程序。3.2第二代病毒特点1、病毒的感染对象更加多元化，不仅可以感染磁盘的某些扇区文件，也可以感染一些进程中的文档。2、病毒的传播和感染更加隐秘，不易被觉察而留存在程序内部。3、病毒的感染对象在受到传染后表现不出显著的不同，例如磁盘的毁坏扇区不存在，进程中的文档的长度增长不显著，同时传染文档的创立日期和时间没有变化等。4、病毒程序运用了自我防护机制，例如加密保护、反侦察保护、故障机制等等，加大了研究人员解析的难度，进而软件检测防范的难度也加大了。5、病毒也会发生演变和串种，使得病毒的感染区域更加广泛。3.3第三代病毒特点自1992年到1995年，是第三代病毒的发展期。这种病毒按其特征被称作“多变性”病毒或者“自变性”病毒。近年来出现的最频繁最新颖的计算机病毒程序。“多变性”病毒或者“自变性”病毒的定义是这种类型的病毒在感染特定对象时，诸如感染程序的病毒大部分都是可以改变的，也就是说某种同样病毒的不同样本结果中，病毒的代码是不一样的，这是这种病毒的首要特征。基于这种也正，使用普通的运通特征代码的方法监察病毒的软件无法查出这种病毒。因此，病毒的第三阶段是其发展繁荣的阶段。这种极端中，病毒的成长伴随着的是病毒技术的增强和提高，病毒的发展角度更加多样化，普通病毒的传播进程和病毒自身的运行机制和实践没有关系，但是新型阶段的计算机病毒的运行关联着其自身运行机制和运行时间，同时也关系着其感染对象的程序，这些困难都阻碍着计算机病毒的查杀和监测。3.4第四代病毒特点上世纪九十年代中后期，远程网络和访问服务的开启加大了计算机病毒的流传和发展速度。计算机病毒的传播冲破了地域性的阻碍，在广域网感染到了局域网，又经过局域网的传播扩散至全球。基于微软WordBasic的公开性以及DOC文档结构的封闭性，宏病毒不单单是普通病毒的特征，它对文件的破坏能力又上了一个台阶。假如任宏病毒肆意传播，而不采用有针对性的解决方案，那么宏病毒对我国网络信息技术的发展有着不可预估的危害。这一阶段的病毒的首要性能是用Internet作为其首要的传播载体，因此病毒的传播速度快、更加隐秘的同时产生更大的毁灭性的。另外，Windows95的系统的产生使在Windows系统中的特定病毒出现。以上的病毒情形都给查杀病毒和防范病毒的研究带来了不小的阻碍。

4、计算机病毒的发展特点4.1隐藏（STEALTH）计算机病毒最首要的技能就是其自身的隐蔽性。病毒若想更加快速广发的感染程序，最重要的是隐藏自己避免被更早地发现。通常的隐蔽技能有：1）监察病毒时，对于监察的结果是病毒不存在；2）将病毒放入较特别的物理空间内；3）主动防范。有些病毒已经设计出对于反病毒软件采取主动进攻的方式来对感染病毒的程序进行进一步的蠕虫和病毒传播。未来的发展：隐蔽技术的发展可以采取数字水印的技术来对病毒进行类似数据关联技术的隐藏；也可以经过操作系统或者网络层面的繁杂式的方法对于不面向用户公开的层面隐藏病毒；采用编程技术（redcode）等网络技术隐藏病毒，心理学也可以应用于对病毒的隐藏，例如利用人们的兴趣或冒险的心态对于某些软件品牌的信赖程度假造知名的应用程序，如Windows或PS软件等等。有上述可知，主动采取病毒进攻技能一定会是病毒隐藏的首要方法，也有可能造成病毒专门反病毒软件和病毒查杀软件的竞争。4.2多形性（POLYMORPHISM）多形性技术是经过简便的加密技术改善病毒自身的存在特征。1）一个是针对简单的“随机”数字进行改变。病毒进行发作的感染时间有一个时域值。根据这个时域值在病毒编码的各个字节处添加简单的密码。2）多形化进程。多形化的方法是存在某一组代码，将这组代码加到病毒中，用同种病毒在每次拷贝的时候都改变病毒的特征状态。多形化的工具令反病毒查杀程序对病毒的检测变得困难重重。1995年Pathogen和Queeg是用BlackBaron的SMEG（SimulatedMetamorphicEncryptionenGine）产生的多形化的DOS文件病毒。未来形势：变形的病毒的特性是令病毒本身的代码和构架在空间和时间的角度发生改变，进而避免特征化软件的查杀。如今网络发展十分迅速，发展空间不仅仅是在单机空间，而是发展到了网络空间中。病毒的感染在不同的计算机上的表现是不一样的。因此对于同种病毒的发现和查杀变得更加复杂。其二，在时间的流失中，病毒自身也会变种，除了在传播感染时病毒会形变，在病毒存在期间病毒自身也会改变和进化自己的代码，可以通过病毒变形机来体现。另外，近期发现的Hybris病毒说明病毒可以采取模块化的形式经过IRC或者特殊的网址自我进化和更替，其破坏性更加强烈。4.3社会工程（SOCIALENGINEERING）社会工程就是利用非技术的方法来破坏计算机安全。事实上，社会工程始终是一种很有效的计算机破坏途径。社会工程的应用范围十分广泛，在病毒和特洛伊木马的传播行动中都有用到。1987年ChristmaExec蠕虫病毒可以作为社会工程的典型案例。通过电子邮件在IBM主机进行感染和传递。一张电子圣诞卡通过邮件传播个使用着，同时在接收的电脑屏幕上也显示出一个模糊的松球形象，伴随命名为REXX的脚本代码。同时病毒自身也会有一个复制到外出的邮件列表中。接收邮件的人信任这个邮件来自某个用户，很可能打开这封“圣诞贺卡”而感染病毒。未来形势：社会工程已经在邮件蠕虫病毒中得到了传播，在未来必将更加大量地存在，联合社会心理学理论更强地发挥作用。4.4动态更新（DYNAMICUPDATES）如今的病毒技术采取动态的更新技术进行传播。2000年10月，Hybris蠕虫161利用电子邮件的附件为载体进行传播。它连接到p.virus新闻组，收取吉阿米果的代码更新（plug-in）。动态更新的方法更加繁杂并且其隐藏的破坏性很大，蠕虫的有效载体payload等破坏性模板能够变化地进行修改，有些病毒能够通过不同的表现方法破坏计算机系统。2003年，Lirva蠕虫试图连接到Web.host.kz来下载一个恶名远扬的远程控制软件BackOrificea。未来形势：显然，类似的动态更改技术的应用范围越来越大，未来的发展形势就是病毒能够模板化地自行整合，根据三个机制（感染、载荷、触发）的自动更新，病毒自有的特性和内容较难发现和查杀。另外，病毒能够将自身切割为多个内容和部分，分散在网络空间中，在有需求的时候再整合为一个病毒，各种各样的形态都能构成某种病毒。病毒的更改除了在载体形式上，在其自身的传染和进攻中也有体现。P2P自组织技术将这些更改技术整合，可以拓展更加广泛的病毒发展道路，这也是一个新的拓展角度。4.5混合攻击（BLENDEDATTACKS）混合进攻，其一是在同一次进攻中，不仅有拒绝服务、病毒、黑客、隐藏通道进攻，还有口令、路由、中间人等等不同的攻击方法。其二是攻击的方向来自各种各样的区域和网络系统的不同层面。例如网络关卡、服务器、客户端等等。混合攻击可以更加快速地传播计算机病毒，其制造的毁灭和危机十分巨大。混合攻击的对象主要放在微软的IIS服务器和IE浏览器上。未来形势：混合攻击是伴随病毒多样性发展的体现，也从一个侧面体现出了黑客技能与计算机病毒日益融合的现象。未来的病毒能够整合各种不同的病毒攻击方法，提升病毒的生命力和危害性。

5计算机病毒的防治5.1基于支持向量机的病毒检测模型考虑到当下对于计算机检测有缺陷，本文基于研究大量不同病毒的行为特点之上，得出结论，程序采用的API序列是监察病毒并控制其行为的有效参照。经过对多样的病毒样本的收集，并对其进行研究和统计，将收集后的API定义为程序行为的特性。相比较目前流行的某些病毒的行为分析，本文使用掌柜程序间的大量API差别进行“忽略”，“放大”正规程序和计算机病毒的差异，调入信息量的含义来对API进行筛查。采用支撑向量的计算机发对筛查过后的特征向量进行分类，从而对不同的程序达到划分组合的效果。为了提高检查的效率，本文基于对实际运用的需求，将广义宽泛的计算机病毒划分为木马、蠕虫、狭义病毒三种，调入多累支撑向量机分类算法对不同类型的病毒有一个细致的分别，吟哦日提升病毒的查杀效率和效用。在支持向量机的病毒行为监察基础上，可以分出下列三个步骤：行为特性采样、特性集合的筛查、依照检测模型个进行监察。行为特性的采样可以依照前文的描述，研究病毒的操作来查找对应的API调查序列，用户的操作和其他行为后就可以得到体现病毒程序的行为特点。得到特性之后，因为不同特性的区分程度不一样，就是不同特性对于有待监察程序是否是病毒的疑问的体现程度不一样，因此必须要对这些特性采取第二步筛查的过程，排除对监察病毒效果体现较小的特性和某些功能效果类似的特性。保留有效的行为特性作为病毒的特征采集样本。最后用筛查后的特征数据集合作为特征向量，采用样本程序特征向量训练多个向量机，最后将有待监察的程序特性向量注入到训练完成的向量集中进行检测来发现这个程序是否是病毒，如果是病毒程序，其具体病毒类别是什么。

5.2

基于行为资源树的病毒检测模型以上病毒研究方法知识将API作为度量程序行为的单一准则，此种方式实际上有很多有缺陷的地方：（1）其首要的缺陷在于此种测量方法没有对API进行细致的划分，完成API序列的筛选和构架进程以后，所有得到的API序列都被视为相同的API，筛查之后保存的API在监察过程中的效用是一样的。但是在实际的操作中，对于不同API的使用体现出来的效用有很大的区别，有些性能是计算机病毒经常有的性能，例如对系统的毁坏或者对文件的加密解锁等等，但是其他的某些API例如图形操纵等性能较少为病毒所用。由此，这些不同的API在识别病毒的进程中的重要效用的大小肯定有差别，应当区分不同功能的API，给予不同的重视度。（2）所有的特征向量对于支撑向量机的检测模型都是相互独立，没有关联的，但是在实际的操作中，很多程序使用的API都是有某些程度的相关度。比如有加密功能的API和有注册表操作的API之间是不相关的，有加密功能的API之间有某些程度的相关性。如果可以在病毒的查杀中展现出这些相关性就能更好地提升病毒查杀的效率。（3）此外，基于大多数程度对API的使用数量很多，因此利用支撑向量机对计算时特性向量的维度太大，计算的速度有所减小，同时对病毒监察的效用有负面影响。综上所述，本文研究了一种新颖的在行为资源树的基础上发展的病毒监测模型。这种模式在原来的传统