浅谈计算机病毒智能检测技术

(整期优先)网络出版时间:2016-05-15
/ 2

浅谈计算机病毒智能检测技术

梁艳红

国家新闻出版广电总局725台,山西晋中031308

摘要:随着科技的发展,计算机技术的应用已遍及各个领域,对人们的生产生活产生了深刻的影响。但随着计算机网络的普及,计算机病毒给计算机系统造成的破坏却是不容忽视的,不仅影响计算机的正常使用,还会造成各种网络安全问题,危害人们的信息安全。因此有必要加强计算机病毒的检测,改善计算机病毒检测技术的应用,有效地防止病毒对计算机系统造成危害,以维护计算机网络的安全。本文将对计算机病毒的智能检测技术进行分析,了解主要的计算机病毒检测方法,提高检测的有效性,避免计算机病毒危害的扩大化。

关键词:计算机病毒;智能检测;应用分析

计算机在给人们的生活带来便利的同时也隐藏着一些危害,计算机病毒在入侵计算机系统的过程中,不仅会造成计算机网络的瘫痪,还会导致信息的丢失、盗取,严重影响计算机用户的信息安全。特别是在计算机网络不断发展的过程中,病毒的种类与传播途径也随之多样化,一些病毒在用户未察觉的情况下就轻易地入侵用户的计算机系统并进行传播,影响信息网络的安全性。因此要提高计算机网络的安全性应加强计算机病毒的智能检测,在计算机病毒还未入侵的情况下提高计算机病毒的防御能力,不给病毒入侵的机会。

1计算机病毒的整体概述

1.1计算机病毒的种类

计算机病毒的危害性是有目共睹的,随着计算机网络的普及,计算机病毒已成为网络信息安全的重大威胁。自从计算机网络的发明以来,病毒的入侵也随着出现,病毒主要是人为制造的一种专门威胁计算机网络安全的,对计算机系统进行攻击的应用程序代码,而且病毒可以进行复制传播,严重影响系统的运行,在进行大量复制的情况下,导致系统的瘫痪。

病毒主要有三种,第一种为宏病毒,由于其具有不同的特性,所以尽管它属于脚本病毒的一种,但仍然将其进行单独的归类。宏病毒有两种前缀,分别是Macro、Word或Excel,在其传播以来较为人所知的是美丽莎。第二种是脚本病毒,是一种使用脚本语言编写,通过网页进行传播的病毒,它的前缀是Script.。而第三种是木马病毒或黑客病毒,这两种病毒通常是一起出现的,在具体的入侵过程中木马病毒可以通过网络或者计算机系统的漏洞进入系统,并进行隐藏,而后黑客病毒则负责控制计算机系统并将用户的信息泄露出去,对用户的信息安全造成威胁。而除了这些较为常见的病毒外,根据病毒的链接方式,病毒还分为源码型病毒、嵌入式病毒、外壳性病毒以及操作系统病毒。源码型病毒主要是对高级语言程序造成攻击,并且在程序编译前就将病毒程序插入源码中,使得源码程序与病毒程序在编译后成为一个整体;嵌入式病毒主要是嵌入到源程序中,并以插入的方式链接病毒程序与计算机系统;外壳型病毒则不对源程序进行修改,而是将自身散布在主程序的周围,对其进行攻击;操作系统病毒是在病毒运行中用病毒的逻辑部分代替合法的操作程序,造成计算机系统的瘫痪。

1.2计算机病毒的特点

计算机病毒的特点主要有寄生性、传染性、潜伏性、隐蔽性、破坏性以及可触发性。寄生性就是病毒寄生在正常的程序之中,在程序进行运行的过程中产生破坏;传染性就是病毒自身可以进行复制,并通过各种途径进行传播;潜伏性是病毒具有自动爆发的特点,在特定条件下自动爆发;破化性主要指的是病毒的危害,病毒不仅影响系统的运行还会对系统的整体造成破坏;而可触发性就是条件成熟下突然爆发,对计算机系统造成重大的危害。

2计算机病毒的智能检测方法分析

2.1长度检测法

计算机病毒的智能检测方法由于使用的原理、范围以及花费的不同,检测的方法也不同。在利用长度检测中,当病毒对程序进行攻击时,宿主程序的字节会出现增加的情况,一般会增加几百字节。而利用长度检测就是定期对文件长度进行监测的方法,以此发现文件中是否出现字节增加的情况,从而有效地判定病毒程序是否对系统造成入侵。在对长度增加情况进行研究并与病毒库文件的大小进行比对的情况下,还可以知道病毒的种类。但由于文件长度增加也有可能是其它因素造成的,因而即使长度增加在一定情况下也是正常的,并且源程序在修改过后的情况下也会造成长度的变化,而不同版本的操作系统也有可能引起字节长度的变化,因而在宿主程序长度不变的情况下,不能对系统病毒是否入侵进行判定因而具有一定的局限性。

2.2病毒签名检测法

病毒在入侵程序时,有时会对宿主程序进行标记,就是在不同的位置上加入特殊的感染标记。这样在检测的过程中,在对病毒样本进行分析后,可以知道病毒签名的具体内容和位置,从而可以对程序进行搜索,对可疑的程序进行定位,了解病毒签名的方式,得到具体的病毒种类信息。但此种方法也有一定的局限性,就是在检测的过程中必须对病毒进行剖析,了解不同种类病毒的签名特点,具体知道病毒签名的内容与位置,并且在一些程序当中存在与病毒完全一致的代码,增加区分的难度,可能存在错误分析的情况。

2.3特征代码检测法

特征代码检测法主要是对代码进行比对从而判定程序是否被感染,由于在判断宿主程序的过程中,宿主中可能含有一些可执行代码段,从而对其进行采集,制作成相应的病毒样本。而后在病毒样本中抽取特征代码,并将其加入病毒库中,从而对文件进行搜索,检测其中是否含有相应的病毒特征代码。而在发现病毒特征代码后与病毒数据库中的代码进行比对就可以检测出文件中的病毒类型。由于这种方法快捷有效、准确,并且可以具体判断病毒的种类及类型,因而利用较广。

2.4校验和法

校验和法主要是通过计算文件内容的校验和来发现病毒的方法,在具体的操作中主要是在计算文件的校验和后将其写入文件中进行保存。在文件的使用过程中,定期检测文件中内容的校验和,并将其与保存中的校验和进行对比,一旦发现两者出现不同的情况下,文件就有可能被病毒感染了。这种方法虽然可以发现未知病毒,对病毒的入侵进行预防,但却不能具体检测病毒的类型,还可能存在误报、错报的情况,也不能对隐蔽性的病毒进行检测,仍有一定的局限性。

2.5行为监测法

行为检测法主要是依据病毒特有的行为特征,有目的地进行查找的方法。在这种方法中可以发现未知的病毒,还可以对较多数的未知病毒进行预报,并且具有较高的准确性,因而此种方法对于未知病毒的检测具有优越性。但是这种方法也存在一定的局限性,就是不好操作,并且不能具体了解病毒名等信息,还存在一定的误报性。

2.6感染试验法

因为病毒具有感染的特性因而应用此种方法可以对病毒进行检测。在应用的过程中就是在发现计算机存在异常情况下,并且难以进行检测时,先运行可疑的程序,而后运行正常的不带病毒的程序,从而对正常运行程序的文件名的长度和校验和进行检测,观察其是否发生变化,从而确定程序是否被感染,一旦确定异常情况存在便可知系统的感染情况。

2.7生物免疫技术的应用

以生物免疫系统为基础对计算机病毒进行检测,主要是对已经发现的病毒进行分析,并且对这种病毒的基本特征信息进行收集提取,并将这些信息注入到病毒检测系统中,就相当于注入疫苗的形式。而这种通过接种疫苗的方法不仅能对已知的病毒进行检测,还能检测出未知的病毒,从而实现计算机病毒的免疫检测。

2.8软件模拟法

软件模拟法是一种新型的病毒检测方法,主要运用在多态性病毒的检测中。并且此种方法的智能性体现在用软件的方法对程序进行模拟和分析,从而能有效地对病毒进行检测,但这种方法还有待进一步的研究。

3结束语

随着计算机网络技术的发展,保证计算机网络用户使用计算机过程中的的安全性与稳定性是现实发展的需要。而在计算机病毒迅速增加,威胁计算机用户的信息安全时,应提高计算机病毒检测技术的有效性,利用智能检测技术,在病毒的传播中进行遏制,加强系统的修复功能,对病毒的代码行为进行诊断,运用多种防范措施,减轻病毒对计算机造成危害,提高信息网络的安全性。

参考文献

[1]周淑娟.计算机病毒智能检测技术研究[J].环球市场信息导报,2013,(48):121-121.

[2]王立达.计算机病毒智能检测技术研究[J].中小企业管理与科技,2012,(3):279-280.

[3]张波云,殷建平,蒿敬波等.基于SVM的计算机病毒检测系统[J].计算机工程与科学,2007,29(9):19-22.