计算机病毒检测技术
前言:想要写出一篇令人眼前一亮的文章吗?我们特意为您整理了5篇计算机病毒检测技术范文,相信会为您的写作带来帮助,发现更多的写作思路和灵感。
计算机病毒检测技术范文第1篇
关键词:计算机;病毒;检测技术
病毒是威胁计算机运行安全的主要因素,基于计算机运行环境特殊性,病毒发展与变种速度惊人,并且计算机病毒预防与检测技术很大程度上处于被动状态,并不能完全避免病毒对计算机防御系统的攻击。因此必须要加强对病毒检测技术的研究,基于病毒的危害,来采取相应技术进行防护,避免病毒对计算机系统造成感染,提高系统运行安全性与可靠性。
一、计算机病毒分析
现在已经进入到了信息化时代,计算机病毒不仅传播感染速度快,并且容易发生变种,对检测、预防以及处理技术的落实效果均出了更高要求。现在病毒可以经过多重形式进行传播,完全可以通过两个或者两个以往系统漏洞与应用软件漏洞综合传播。还存在部分病毒具有类似黑客程序,在入侵到计算机系统后,可以控制并窃取计算机内保存的信息,甚至能够进行远程操控[1]。在病毒入侵到计算机系统内部以后,经过变种会主动利用电子邮件等方式进行再次传播,造成更恶劣的影响。在针对计算机病毒检测技术进行分析时,需要针对病毒特点以及传播类型来采取有效措施进行处理,降低其对计算机运行效果的影响。
二、计算机病毒传播分析
1.传播方式
1.1移动存储介质
软盘、光盘为最早的移动存储介质,同时也是计算机病毒主要传播载体,现在逐渐发展出了U盘、存储卡、移动硬盘以及数码相机等移动和设备,因为容量比较大,计算机病毒可以依赖内部存储的软件与文件进行传播。对于移动存储介质来说,其不具备防毒功能,在通过其进行电脑数据交换时,未对其进行病毒扫描,便会造成病毒感染,例如最为常见的木马,率已经达到80%[2]。
1.2网络病毒传播
计算机网络现在已经融入到生产生活的各个细节之中,随着用户的不断增多,网络病毒传播速度也在不断加快,危害范围更大。此种传播方法主要利用了网络内各种协议与命令,以及系统自身的漏洞等,例如邮件、WWW浏览、FTP下载、即时通信工具等。此种传播方式,可以对网络内所有计算机进行感染,扫描系统漏洞并发起攻击,影响电脑系统正常运行。
2.传播模型
2.1 SIS模型
SIS模型将节点划分为易感染(S)与感染(I)两种状态,并且两者状态可以相互转换。即易感染状态节点上没有感染病毒,在接触到已经感染节点后,可能会造成自身感染;而感染状态节点已经感染病毒,并且试图感染其他节点,为病毒的传播者[3]。即便是对计算机系统内存在的病毒进行清除后,节点仍然存在被感染的可能,存在很大可能在传播范围内反复存在。传播模型如图1所示:
其中,参数β表示病毒感染率;βBI表示S态节点转化为IB节点的增量;r表示病毒清除率;yl表示单位时间内被清除病毒I态节点数量;N表示考虑节点总数;Io表示初始阶段被感染主机数量。
2.2 SIR模型
SIR模型主要将节点划分为易感染(S)、感染(I)以及免疫状态(R),其中处于R态的节点可以对特定病毒具有免疫能力,不会再次被感染。图2为SIR传播模型:
其中,参数r表示病毒清除率。SIS与SIR两种传播模型为生物学主要流行病传播模型,将其用于计算机病毒传播分析,不对外界干扰因素进行分析,认为节点状态转换主要受常量β与r影响。
2.3 SEIR模型
对比上述两个模型,SEIR模型增加了一个潜伏状态(E),即已经潜入病毒代码单未显示病毒特征,表示未激活节点。此种模型确定病毒传播工程中存在感染延迟现象,即I态节点将病毒传染给S态节点后,不立即显示感染状态,而是潜伏在个体主机内等待被激活,此时个体无法确定自身携带病毒,只有被激活后才会转化成I态[4]。I态节点病毒被清除后,可转化为R态节点,或者再次转化为S态节点。图3为传播模型:
三、计算机病毒检测技术
1.主机防御检测策略
1.1外观检测法
计算机系统感染病毒后,会出现显示屏异常、运行速度异常、键盘与鼠标异常以及USB接口异常等,文件无法正常使用,甚至会出现死机现象。例如“大麻”病毒会造成系统蜂鸣器出现异常声响,还会占用硬盘主导扇区,无法正常运行;Halloechen病毒,键盘输入符号转换为杂乱符号,这样便可直接通过观察确定是否被感染。
1.2特征代码法
计算机病毒程序基本上均具有特征代码,可作为病毒感染标记,例如XqR病毒特征代码为“EB 68 90 07 BA ED 0B C3”。对于同一种病毒,在被感染的文件与计算机内,均可找到相应特征代码,然后与病毒特征库进行匹配,便可确定是否存在恶意代码,并掌握病毒类型。此种检测方法应用速度快、准确率高且可确定病毒类型,但是在遇到较大特征码时,所需检测时间长,且仅针对于已知病毒,对未知病毒没有作用。
2.网络病毒检测策略
2.1异常检测
假设攻击者活动与正常主体活动为相异状态,提前建立主体正常活动“活动档案”,并与检测主体状态进行对比,如果与统计规律相反,则判断异常。对于网络病毒来说,传播过程中会发送大量探测包,造成网络流量增加出现异常,根据此特点便可确定是否存在病毒感染问题。
2.2误用检测
主要是通过比较待检测数据以及可靠用户活动,判断是否存在病毒感染问题,如比较常用的端口号、数据包长度、协议类型等均为判断特征。
3.常用病毒检测技术
3.1集成神经网络
即将集成神经网络作为模式识别器,对计算机病毒进行检测。可以根据Baggin算法得到IG-Bagging集成方法,即利用信息增益特征选择技术引入到集成神经网络内,然后通过扰动训练数据和输入属性,对个体网络差异度进行放大处理。
3.2模糊识别技术
应用模糊识别技术来进行病毒动态监测,即利用符合某些特征域上的模糊集来对正常程序和病毒程序进行有效区别,一般可选择应用“择近原则”进行特征分类。
此种检测技术,病毒检测准确率可以达到90%以上。
结束语:
计算机病毒的存在,对系统运行安全性与可靠性具有严重威胁,需要基于病毒传播与感染特点,采取有效检测技术进行确定是否存在感染,并及时处理,降低病毒对系统运行的影响。
参考文献:
[1] 沈继涛.计算机病毒检测技术的现状与发展[J].电子技术与软件工程,2017,(01):220.
[2] 孙婉婷.基于P2P网络的人工免疫病毒检测技术研究[D].哈尔滨理工大学,2015.
计算机病毒检测技术范文第2篇
关键词:计算机;病毒检测;查杀技术;相关思考
1计算机病毒分类
计算机病毒有很多种,首先程序型病毒,其主要以感染文件扩展名为.COM、.EXE、.OVL等可执行程序为主,安装时不得不通过含有病毒的程序载体,从而使得计算机内存中就会有病毒存在,一些文件在感染之后,一执行就会被删除。其次宏病毒,就是以具有宏功能的数据文件为对象,Microsoft或Excel文档等都容易受到攻击,因为被感染文件会直接通过网络共享或下载,所以宏病毒的传播速度相对较快[1]。引导型病毒在入侵系统文件时,主要对磁盘的内容产生一定的威胁,如果感染病毒后,磁盘的分区表及有关的内容将可能会被改写,一旦用户将此类磁盘启动开,就会感染电脑硬盘。对于存在危险的移动编码,一般也叫做脚本,通常而言,这一类的正常代码不属于病毒,然而也有一些计算机的恶意代码会影响到系统的运行,因而在某种程度上也可以将其视为病毒类型之一。就特洛伊木马型程序而言,病毒本身不会复制,其主要指的是计算机用户在进行程序运行时,只要发作,就可设置后门,定时的发送该用户的隐私,到木马程序的控制端,能够任意的控制该计算机,比如删除文件、拷贝和改密码等。实际上,随着病毒的不断发展,对于计算机病毒已经不容易分类了,因为更多的病毒都带有一定的综合性。
2计算机病毒主流技术及原理
计算机病毒传播的方式和原理也有很多种,有直接发送传播,通过利用社会工程学,典型案例就是通过某一软件平台,让其传送带有病毒的图像文件,尽管这种方式较为原始,但成功率也相对较高。还有利用电子邮件进行传播,这有两种,首先利用附件进行传播,著名的“爱虫”,就是因为邮件的主题是带有诱惑性的“ILOVEYOU”,附件为“LOVE-LETTER-FOR-YOU.TXT.VBS.”用户一旦打开附件之后,计算机就会感染病毒。并通过搜索outlook地址簿、发送带有病毒的邮件、通过IRC感染其他用户[2]。其次,还会利用网页邮件进行病毒传播。如果计算机用户点击了邮件,则就会感染病毒。释放病毒的黑客等往往会利用计算机用户的好奇心理发送其感兴趣的邮件,虽然看起来不像是垃圾文件,但用户一旦点开则会感染病毒。还有利用网页启动和系统漏洞等进行病毒传播。
3计算机病毒的潜伏隐藏机制
要想更好的应用计算机病毒检测和查杀技术,就要加强对于计算机病毒的潜伏机制了解,只有这样才能够更加精准的检测、查杀计算机病毒。一般而言,计算机感染病毒之后,病毒会受到来自计算机防火墙及管理员的系统检测及查杀,一旦有异常问题,都会导致其被直接查杀。那么端口隐藏就是一种方法,其通过潜伏,使用IP协议族中的其他协议,而不是TCP/UDP来进行通讯,以此来欺骗Netstat和端口扫描软件,常见的就是应用ICMP协议[3]。另外还有寄生手段来进行隐藏,就是直接寻找、寄生一个已经打开的端口,通常情况下只进行监听,在接受到特殊指令时,就执行命令。指令无法辨识的时候,计算机系统会直接作出处理,而对于能够辨识的指令,则会导致木马激活并运行,在任务执行完毕之后再进行隐蔽。当然,计算机病毒单纯依靠端口隐藏是不够的,其还会隐藏进程,这又有进程欺骗和不适用进程这两种。可以说,要想有效检测、查杀计算机病毒,做好病毒预防工作,就要学会从“攻”的角度出发,深入了解计算机病毒的潜伏隐藏机制,这样才能够做到“知己知彼,百战不殆”。
4计算机病毒检测和查杀技术
4.1行为基础下的病毒检测技术
众所周知,计算机系统的运行,就是通过编写对应的代码来进行的,那么随着编写技术的不断发展,计算机病毒编写自然也就更加的复杂和隐蔽。在加上当前变形技术的快速发展,导致计算机病毒可以在短时间内,变成多种模式,而变种的病毒,又在类型、大小和数量等各个方面有着一定的差异,其共同点就是传播的速度快,这就表示对于计算机病毒检测的难度越来越高[4]。所以,专业的研究工作者会针对此研发出全新的病毒查杀技术,即行为基础下的病毒检测技术,其可以有效处理众多复杂、综合的计算机病毒程序问题,及时解决固定性的计算机病毒。不仅如此,该病毒检测技术无需进行全部数据采集,就可以直接处理病毒,还有已知的病毒和未知的病毒进行检测和查杀。
4.2数据加密形式病毒检测技术
计算机病毒检测与查杀技术类型中较为常见的手段之一就是应用加密病毒检测技术,通过数据加密技术对病毒感染及黑客攻击都有很好的防范作用。通过数据加密技术的应用,当有病毒想要入侵计算机系统时,就可以应用加密手段来阻止这一行为,实现保护数据的目标。另外,在实际的数据传输过程中,也可以直接应用加密技术,以此避免信息被窃取等问题[5]。然后进行计算机数据加密时,需要构建相应的密钥交换及管理方案,以便于在最大限度上适应资源局限性,保证信息传输的合理性,维护整个计算机网络的安全。
4.3签名和特征代码病毒检测技术
在当前计算机病毒检测过程中,病毒签名就是宿主计算机被入侵的标记,不同的病毒入侵宿主计算机程序时,都会在不同的位置,显示不同的标记。这些标记有可能是图片,也有可能是字符和数字,比如:FGG、2496、4184等,不同的病毒有不同的签名,所放置的位置也不同。经过实践表示,在了解病毒签名的内容和位置之后,根据该程序的特定位置查询病毒签名,找到之后,就可以明确程序是被什么样的病毒所感染[6]。可以说,病毒签名是一种不同的识别标记,但有些病毒中没有签名,其是一个特别的代码,也可以应用相同的方法,直接在可疑的程序中,查询有着特殊性质的代码,以此进行病毒检测。比如,在计算机文件中,发现了携有病毒数据库中的特征码,就可以明确其感染了什么样的病毒,这也是一种较为常用的、可靠的病毒检测方法。但该技术的最大问题,就是需要依靠已有的病毒签名和特征码,也就是说,其只能够检测已有的病毒,对于新产生的病毒无法检测、查杀。
4.4全面病毒检测技术
全面病毒检测技术作为一种完整的病毒检测技术,其可以对计算机中已知和未知的病毒进行检测,其可以实现对计算机中的病毒进行有效修复的目标[7]。该技术的应用需要首先需要全方位了解计算机系统中的资料及文件内容,从而依据发现受到计算机病毒感染后产生了变化或被更改的资料信息,并利用原本的文件信息,以此来覆盖被计算机病毒所更改的文件内容,修复文件内容,并对彻底清除计算机病毒。
4.5启发式扫描病毒检测技术
该检测技术的应用原理为充分利用杀毒软件对病毒种类及入侵方式的记忆效果,并在结合原有病毒类型基础上的杀毒软件功能,对整个计算机进行病毒检测。如果在计算机系统中存在类似于计算机病毒的因素,则该检测技术会自动启动,并对用户进行适度的预警通告,以提醒计算机使用者尽快做出处理。启发式扫描病毒检测技术在对计算机中未知的病毒进行检测时,需要保证计算机在正常运行的状态下,才能够开展检测工作[8]。因此,该技术进行病毒查杀时的关键程序在于先对所有的程序进行统一扫描,扫描完毕之后实施相应的病毒检测,然后进行病毒分析,并提供使用者及时处理病毒。
计算机病毒检测技术范文第3篇
【关键词】计算机病毒;防治;用户;技术
0.前言
计算机病毒是现代信息化社会的一种公害,是计算机犯罪的一种特殊形式。各种病毒的产生和全球性的蔓延已经给计算机系统的安全造成了巨大的威胁和损害。正由于此,人们从刚发现计算机病毒并了解到它的破坏作用起,就开始了反计算机病毒的研究。下面,本文即从用户与技术的角度,分别谈一下计算机病毒防治的策略。
1.从用户的角度谈病毒防治
1.1 计算机病毒的预防
计算机病毒防治的关键是做好预防工作,而预防工作从宏观上来讲是一个系统工程,要求全社会来共同努力。从国家来说,应当健全法律或法规来惩治病毒制造者,这样可减少病毒的产生。从各级单位而言,应当制定出一套具体措施,以防止病毒的相互传播。从个人的角度来说,每个人不仅要遵守病毒防治的有关措施,还应不断增长知识,积累防治病毒的经验,不仅不要成为病毒的制造者,而且也不要成为病毒的传播者。
要做好计算机病毒的预防工作,建议从以下两方面着手:
1.1.1树立牢固的计算机病毒的预防思想
由于计算机病毒的隐蔽性和主动攻击性,要杜绝病毒的传染,在目前的计算机系统总体环境下,特别是对于网络系统和开放式系统而言,几乎是不可能的。因此,以预防为主,制订出一系列的安全措施,可大大降低病毒的传染,而且即使受到传染,也可立即采取有效措施将病毒消除。
1.1.2堵塞计算机病毒的传染途径
堵塞传播途径是防治计算机病毒侵入的有效方法。根据病毒传染途径,确定严防死守的病毒入口点,同时做一些经常性的病毒检测工作,最好在计算机中装入具有动态预防病毒入侵功能的系统,即可将病毒的入侵率降低到最低限度,同时也可将病毒造成的危害减少到最低限度。
1.2 计算机病毒的检测和消除
计算机病毒给广大计算机用户造成严重的甚至是无法弥补的损失。要有效地阻止病毒的危害,关键在于及早发现病毒,并将其消除。目前计算机病毒的检测和消除办法有两种: 一是人工方法,二是自动方法。
人工方法检测和消除就是借助于DEBUG 调试程序及PCTOOLS 工具软件等进行手工检测和消除处理。这种方法要求操作者对系统十分熟悉,且操作复杂,容易出错,有一定的危险性,一旦操作不慎就会导致意想不到的后果。这种方法常用于消除自动方法无法消除的新病毒。
自动检测和消除是针对某一种或多种病毒使用专门的反病毒软件或防病毒卡自动对病毒进行检测和消除处理。这种方法不会破坏系统数据,操作简单,运行速度快,是一种较为理想、也是目前较为通用的检测和消除病毒的方法。
2.从技术的角度谈病毒防治
病毒的防治技术总是在与病毒的较量中得到发展的。总的来讲,计算机病毒的防治技术分成四个方面,即检测、清除、免疫和防御。除了免疫技术因目前找不到通用的免疫方法而进展不大之外,其他三项技术都有相当的进展。
2.1 病毒预防技术
计算机病毒的预防技术是指通过一定的技术手段防止计算机病毒对系统进行传染和破坏,实际上它是一种特征判定技术,也可能是一种行为规则的判定技术。具体来说,计算机病毒的预防是通过阻止计算机病毒进入系统内存或阻止计算机病毒对磁盘的操作尤其是写操作,以达到保护系统的目的。
计算机病毒的预防技术主要包括磁盘引导区保护、加密可执行程序、读写控制技术和系统监控技术等。
计算机病毒的预防应该包括两个部分: 对已知病毒的预防和对未知病毒的预防。目前,对已知病毒的预防可以采用特征判定技术或静态判定技术,对未知病毒的预防则是一种行为规则的判定技术即动态判定技术。
2.2 病毒检测技术
计算机病毒的检测技术是指通过一定的技术手段判定出计算机病毒的一种技术。病毒检测技术主要有两种,一种是根据计算机病毒程序中的关键字、特征程序段内容、病毒特征及传染方式、文件长度的变化,在特征分类的基础上建立的病毒检测技术;另一种是不针对具体病毒程序的自身检验技术,即对某个文件或数据段进行检验和计算并保存其结果,以后定期或不定期地根据保存的结果对该文件或数据段进行检验,若出现差异,即表示该文件或数据段的完整性已遭到破坏,从而检测到病毒的存在。
计算机病毒的检测技术已从早期的人工观察发展到自动检测某一类病毒,今天又发展到能自动对多个驱动器、上千种病毒自动扫描检测。目前,有些病毒检测软件还具有在不扩展由压缩软件生成的压缩文件内进行病毒检测的能力。现在大多数商品化的病毒检测软件不仅能检查隐藏在磁盘文件和引导扇区内的病毒,还能检测内存中驻留的计算机病毒。而对于能自我变化的被称作Polymophics 多形性病毒的检测还需要进一步研究。
2.3病毒消除技术
计算机病毒的消除技术是计算机病毒检测技术发展的必然结果,是病毒传染程序的一种逆过程。从原理上讲,只要病毒不进行破坏性的覆盖式写盘操作,病毒就可以被清除出计算机系统。安全、稳定的计算机病毒清除工作完全基于准确、可靠的病毒检测工作。计算机病毒的消除严格地讲是计算机病毒检测的延伸,病毒消除是在检测发现特定的计算机病毒基础上,根据具体病毒的消除方法从传染的程序中除去计算机病毒代码并恢复文件的原有结构信息。
2.4病毒免疫技术
计算机病毒的免疫技术目前没有很大发展。针对某一种病毒的免疫方法已没有人再用了,而目前尚没有出现通用的能对各种病毒都有免疫作用的技术,也许根本就不存在这样一种技术。现在,某些反病毒程序使用给可执行程序增加保护性外壳的方法,能在一定程度上起保护作用。若在增加保护性外壳前该文件已经被某种尚无法由检测程序识别的病毒感染,则此时作为免疫措施为该程序增加的保护性外壳就会将程序连同病毒一起保护在里面。等检测程序更新了版本,能够识别该病毒时又因为保护程序外壳的“护驾”,而不能检查出该病毒。
【参考文献】
计算机病毒检测技术范文第4篇
策略
中图分类号:TP39 文献标识码:A
1 计算机网络安全存在的问题
1.1 计算机病毒及其危害
计算机病毒是一种人为编制的具有破坏性的程序代码。它具有复制性、潜伏性、传播性、和破坏性。到目前为止,已发现的计算机病毒近万种。恶性病毒可使整个计算机软件系统崩溃,数据全毁。这样的病毒也有上百种。计算机病毒是附在计算机软件中的隐蔽的小程序,它和计算机其他工作程序一样,但它的功能会破坏正常的程序和数据文件。
1.2盗用IP现象
盗用IP地址现象非常普遍,这不仅影响了网络的正常运行,而且一般被盗用的地址权限都很高,因而也给用户造成了较大的经济损失。盗用IP地址就是指运用那些没有经过授权的IP地址,从而使得通过网上资源或隐藏身份进行破坏网络的行为得以实现。目前,网络上经常会发生盗用IP地址,这不仅严重侵害了合法使用网络人员的合法权益,而且致使网络正常工作受到负面影响。
1.3 内网攻击以及外网攻击
网络可分为内网和外网,网络受到攻击也分为来自外部的非法访问和网络攻击以及来自内部的非法访问和网络攻击。无论是哪种网络攻击都要经过三个步骤:搜集信息-目标的选择、实施攻击-上传攻击程序、下载用户数据。
1.4 垃圾邮件和病毒邮件泛滥
电子邮件系统是办公自动化系统的基本需求,随着信息化的快速发展,邮件系统的功能和技术已经非常成熟,但是也避免不了垃圾邮件和病毒邮件的传送。垃圾邮件和病毒邮件是破坏网络营销环境的罪魁之一,垃圾邮件影响了用户网上购物的信心,从而进一步危害到了电子商务网站的发展。垃圾邮件和病毒邮件占用了大量的网络资源。使得正常的业务运作变得缓慢,另外,垃圾邮件与一些病毒和入侵等关系越来越密切,已经成为黑客发动攻击的重要平台之一。
2计算机网络安全的防范策略
2.1 计算机病毒的安全与防范技术
在网络环境下,防范计算机病毒仅采用单一的方法来进行已经无任何意义,要想彻底清除网络病毒,必须选择与网络适合的全方位防病毒产品。对互联网而言,除了需要网关的防病毒软件,还必须对上网计算机的安全进行强化;如果在防范内部局域网病毒时需要一个具有服务器操作系统平台的防病毒软件,还需要针对各种桌面操作系统的防病毒软件;如果在网络内部使用电子邮件进行信息交换时,为了识别出隐藏在电子邮件和附件中的病毒,还需要增加一套基于邮件服务器平台的邮件防病毒软件。由此可见,要想彻底的清除病毒,是需要使用全方位的防病毒产品进行配合。另外,在管理方面,要打击盗版,因为盗版软件很容易染上病毒,要访问可靠的网站,在下载电子邮件附件时要先进行病毒扫描,确保无病毒后进行下载,最重要的是要对数据库数据进行备份。
2.2 身份认证技术
系统对用户身份证明的核查过程就是身份认证,就是对用户是否具有它所请求资源的存储使用权进行查明。用户向系统出示自己的身份证明的过程就是所谓的身份识别。一般情况下,将身份认证和身份识别统称为身份认证。随着黑客或木马程序从网上截获密码的事件越来越多,用户关键信息被窃情况越来越多,用户已经越来越认识到身份认证这一技术的重要性。身份认证技术可以用于解决用户的物理身份和数字身份的一致性问题,给其他安全技术提供权限管理的依据。对于身份认证系统而言,合法用户的身份是否易于被其他人冒充,这是最重要的技术指标。用户身份如果被其他不法分子冒充,不仅会对合法用户的利益产生损害,而且还会对其他用户的利益甚至整个系统都产生危害。由此可知,身份认证不仅是授权控制的基础,而且还是整个信息安全体系的基础。身份认证技术有以下几种:基于口令的认证技术、给予密钥的认证鉴别技术、基于智能卡和智能密码钥匙 (UsBKEY)的认证技术、基于生物特征识别的认证技术。对于生物识别技术而言,其核心就是如何获取这些生物特征,并将之转换为数字信息、存储于计算机中。
2.3 入侵检测技术
入侵检测就是对网络入侵行为进行检测,入侵检测技术属于一种积极主动地安全保护技术,它对内部攻击、外部攻击以及误操作都提供了实时保护。入侵检测一般采用误用检测技术和异常监测技术。a)误用检测技术。这种检 测技术是假设所有的入侵者的活动都能够表达为征或模式,对已知的入侵行为进行分析并且把相应的特征模型建立出来,这样就把对入侵行为的检测变成对特征模型匹配的搜索,如果与已知的入侵特征匹配,就断定是攻击,否则,便不是。对已知的攻击,误用入侵检测技术检测准确度较高,但是对已知攻击的变体或者是一些新型的攻击的检测准确度
则不高。因此,要想保证系统检测能力的完备性是需要不断的升级模型才行。目前,在绝大多数的商业化入侵检测系统中,基本上都是采用这种检测技术构建。b)异常检测技术。异常检测技术是假设所有入侵者活动都与正常用户的活动不同,分析正常用户的活动并且构建模型,把所有不同于正常模型的用户活动状态的数量统计出来,如果此活动与统计规律不相符,则表示可能是入侵行为。这种技术弥补了误用检测技术的不足,它能够检测到未知的入侵。但是,在许多环境中,建立正常用户活动模式的特征轮廓以及对活动的异常性进行报警的阈值的确定都是比较困难的,另外,不是所有的非法入侵活动都在统计规律上表示异常。今后对入侵检测技术的研究主要放在对异常监测技术方面。
2.4 被动防范策略
计算机网络安全防范策略还包括一些被动式防范策略,主要包括隐藏IP地址、关闭端口、更换管理员账户等。a)隐藏IP地址。在网络安全方面,IP地址的作用是非常大的,如果IP地址被攻击者盗用,他就可以向这个IP发动各种进攻。用服务器能够实现IP地址的隐藏,服务器使用后,其他用户只能对服务器IP地址进行探测,而根本检测不到用户的IP地址,也就是说,隐藏IP地址的目的实现了,用户上网安全得到了很好的保护;b)关闭不必要的端口。一般情况下,黑客要想攻击你的计算机,首先对你的计算机端口进行扫描,如果安装了端口监视程序,这会有警告提示。另外,还可以通过关闭不必要的端口来解决此问题;c)更换管理员账户。管理员账户的权限最高,如果这个账户被攻击,那么危害将会很大。而截获管理员账户的密码又是黑客入侵常用的手段之一,因此,要对管理员账户进行重新配置。
参考文献
[1] 胡瑞卿,田杰荣.关于网络安全防护的几点思考[J].电脑知识与技术,2008(16).
计算机病毒检测技术范文第5篇
计算机网络技术在实践中的应用充分体现了网络的高效性和便捷性,资讯要闻可以在短时间内传到世界的每一个角落,通过计算机技术的应用,程序员设计了各种各样的在线交流软件和在线购物软件,加强了人与人之间的交流,在最大程度上方便了人们的生活,可以说计算机技术已经渗透到人们生活中的每一个细节当中。但是计算机在给人们的生活带来方便的同时,也存在着一定的安全隐患,计算机病毒与计算机黑客的兴起给人们的生活带来了严重的负面影响,人们通过网络进行的所有活动都得不到安全保障,为了保证网络环境的健康,减少网络事故带来的经济财产损失,就应该重新审视计算机病毒的危害性,监督网络运行环境,对危害网络正常运行的行为进行严格的惩罚,研发新型的计算机病毒检测技术和对抗技术,维持计算机系统的正常工作,保证网络信息的安全。
2基于程序语义的计算机病毒检测方法分析
2.1Win-FIX病毒防范技术
传统的计算机防范技术主要是,将反病毒程序软件安装到计算机运行系统之中,这种计算机病毒防护系统无法准确的检测计算机病毒,在计算机遭受到病毒攻击时,只能起到拖延时间的作用,不能充分发挥反病毒软件的作用。Win-FIX病毒防范技术的主要原理是在计算机系统模块中添加反病毒指令,这种技术的主要特点是时刻检测计算机病毒。通过Win-FIX病毒防范技术的应用,计算机反病毒程序不只是外部的程序软件,而是与计算机操作系统合为一体的实时保护指令,使病毒检测防范工作由被动状态变为主动状态。计算机在遭受病毒攻击之前,Win-FIX病毒防范技术就能发现计算机系统中的病毒隐患,并启动相应的指令进行病毒清除操作,在清除病毒的过程中收集病毒程序的编码信息,然后下载相应的反病毒补丁,有效的防止了病毒的二次攻击。Win-FIX病毒防范技术能够在计算机用户意识不到的情况下进行病毒防护工作,提高了计算机系统的兼容性,但是这种技术还不够完美,主要原因是在进行计算机系统维护工作时,要从系统的源代码入手,众所周知大多数软件公司都不公开计算机源程序设计代码,这增加了计算机程序维护工作的难度,致使Win-FIX病毒防范技术的稳定性不能得到保障。
2.2启发式代码扫描技术
启发式代码扫描技术的主要特点是可以自发扫描计算机系统,分析计算机系统结构,然后通过数据的对比分析发现计算机的潜在病毒,并针对病毒所在位置进行清理和粉碎工作。启发式代码扫描技术有自动备份病毒数据信息的功能,能够在短时间内分析病毒的特征,并采取解决措施,所以与第一次病毒扫描工作相比,启发式扫描技术二次扫描工作的准确性更高,速度更快。与Win-FIX病毒防范技术相比,启发式代码扫描技术在实际执行时更复杂,软件程序指令敏感度更高,在进行病毒检测工作时,不仅仅扫描计算机操作系统,还能够自动扩展搜索范围,从更全面的角度维护计算机的系统安全。受启发代码扫描技术自身特性影响,启发代码扫描技术要以大容量的数据库为运行基础,启动静态扫描系统,病毒防护技术并不精确,启发代码扫描技术整体的稳定性不高。
2.3虚拟机病毒防护技术
顾名思义虚拟机就是在计算机系统内,模拟了另一个计算机指令防护系统,这个虚拟的指令防护系统实质上是检测病毒的容器,当系统中有异常的软件程序或有攻击性的软件指令时,系统就将该异常程序投放到虚拟机中进行测试,如果虚拟机检测出该段程序具有传播性,就遍历计算机系统找到程序位置,进行粉碎操作。虚拟机病毒防护技术是一项十分高端的病毒防护技术,为提高该技术的病毒检测速度和搜索精准度,至今仍旧有许多高端的计算机人才在研究和完善它。虚拟机病毒防护技术在检测计算机病毒时,会自动分析计算机病毒的攻击原理和程序组成结构,并在虚拟的环境中截取受到攻击的文件信息,摸索病毒遍历系统信息的规律。以大量的杀毒准备工作为基础,当虚拟机病毒检测技术搜素到病毒位置之后,会用最直接有效的方法粉碎计算机病毒,与此同时还能够检测出潜藏在计算机系统内的病毒种子,杀毒后自行修复系统受损程序,保证计算机系统的完整,有效的避免了计算机病毒的残留。但是虚拟机病毒防护技术在运行时会占用大量的计算机资源,病毒检测时间长,在计算机系统受损严重的情况下,运行虚拟机病毒防护技术会影响计算机其它程序的运行,具有一定的局限性。
2.4计算机病毒免疫系统
计算机病毒免疫系统是模仿生物免疫系统设计的病毒防护技术,以免疫原理为基础,检测各种形式的计算机病毒,然后采取相应的措施粉碎计算机病毒,继而达到维护计算机正常运行的目标。与其它病毒防护技术相比,计算机病毒免疫系统具有及强的学习能力与记忆能力,计算机病毒免疫系统内部主要分为两个部分,一部分是自体区,另一部分是非自体区。当计算机病毒免疫系统遇见新种类的计算机病毒时,系统会自动对病毒程序所属区域进行判断,然后根据系统反馈信息采取相应的解决措施。计算机病毒免疫系统在每一次杀毒工作结束后都会累计一定的杀毒经验,随着时间的不断推移,计算机病毒免疫系统可能面对的病毒种类不断增加,系统杀毒的方式也越来越多变,当系统遇见已经入侵过的病毒时,系统程序的基础记忆会苏醒,并结合以往的经验采取适当的杀毒措施。计算机病毒免疫系统适合长时间的使用,因为计算机病毒免疫系统在经过足够时间的学习之后,病毒免疫程序会覆盖在计算机系统的每一个指令中,全面优化计算机的病毒检测工作,提高计算机的病毒免疫力,切实保障计算机的运行安全,为计算机用户提供最优质的服务。
3结语
