淺談計算機病毒的檢測技術

廣西廣播電視信息網絡股份有限公司南丹分公司 廣西河池南丹 547200

摘要：計算機病毒的研究是當前計算機安全研究的重要組成部分，隨著計算機互聯網的快速發展，計算機病毒勢必對計算機用戶產生更大的影響。本文主要結合文獻資料，總結了計算機傳統的病毒檢測方法，并分析了缺點，針對免疫法的計算機病毒檢測技術做了分析和闡述。

關鍵詞：計算機病毒；檢測；免疫法

引言

計算機病毒是惡意的計算機程序。病毒通過各種傳播媒介不斷擴散，一旦發作就給正常系統產生“不良”影響。計算機病毒的程序代碼包含一套特殊的指令，與其他的程序不同的是它不需要人們的介入就能通過程序或系統傳播到其它計算機。當計算機病毒執行時，通過把自己復制在一個沒有被感染的程序或文檔里，當這個程序或文檔執行任何指令時，計算機病毒就會將自身傳播到其它的計算機系統和程序里。

1 計算機病毒特征

計算機病毒可以通過發送電子郵件、文件共享、從網絡上下載資源等不同的途徑傳播到還沒有感染該病毒的計算機中，并且不斷地盜取連接在網絡系統上的主機內存儲的信息，破壞網絡系統。有些計算機病毒也可以使系統不能正常運行，最后使系統崩潰。

大多數的計算機病毒也具有這一特性，它們感染存儲在計算機內的文件以后，能夠長期潛伏在這些被感染的文件中并不發作，只是不停的復制自身，感染相鄰的文件，直到某一時刻達到了該病毒發作的條件，病毒就會把它的破壞性表現出來。

計算機病毒的破壞性主要表現為：某一類型的程序不能正常執行；存儲在系統中的數據、信息不斷地被盜取、篡改，甚至被刪除；不停的占用系統資源，使計算機出現死機等現象。

計算機病毒的源程序也可以用一些高級編程語言來實現，通過一些介質，比如優盤、電子郵件等進入計算機后，潛伏在計算機系統中。

2 傳統的計算機病毒檢測方法

2.1 特征代碼法

如果發現病毒特征代碼，由于特征代碼與病毒一一對應，便可以斷定，被查文件中患有 何種病毒。采用病毒特征代碼法的檢測工具，面對不斷出現的新病毒，必須不斷更新版本，否則檢測工具便會老化，逐漸失去實用價值。病毒特征代碼法對從未見過的新病毒，自然無法知道其特征代碼，因而無法去檢測這些新病毒。

特征代碼法的缺點是：不能檢測未知病毒、搜集已知病毒的特征代碼，費用開銷大、在網絡上效率低（在網絡服務器上，因長時間檢索會使整個網絡性能變壞）。

2.2 校驗和法

將正常文件的內容，計算其校驗和，將該校驗和寫入文件中或寫入別的文件中保存。在文件使用過程中，定期地或每次使用文件前，檢查文件現在內容算出的校驗和與原來保存的校驗和是否一致，因而可以發現文件是否感染，這種方法叫校驗和法，它既可發現已知病毒又可發現未知病毒。

校驗和法的缺點是：它不能識別病毒類，不能報出病毒名稱。由于病毒感染并非文件內容改變的唯一的非他性原因，文件內容的改變有可能是正常程序引起的，所以校驗和法常常誤報警。而且此種方法也會影響文件的運行速度。

2.3 行為監測法

利用病毒的特有行為特征性來監測病毒的方法，稱為行為監測法。通過對病毒多年的觀察、研究，有一些行為是病毒的共同行為，而且比較特殊。在正常程序中，這些行為比較罕見。當程序運行時，監視其行為，如果發現了病毒行為，立即報警。

行為監測法的缺點是：可能誤報警、不能識別病毒名稱、實現時有一定難度。

2.4 軟件模擬法

軟件模擬法針對多態性病毒，通過模擬和分析程序的運行，并跟蹤病毒的運行，從而破獲病毒的加密引擎，再通過特征代碼進行掃描。這種方法進而演化為虛擬機，以及啟發式查毒技術。

一般情況下軟件模擬方法與特征代碼掃描方法配合使用：首先特征代碼法檢測病毒，如果發現隱蔽性病毒或多態性病毒嫌疑時，啟動軟件模擬模塊，監視病毒的運行，待病毒自身的密碼譯碼以后，再運用特征代碼法來識別病毒的種類。

3 免疫法的計算機病毒檢測技術

基于免疫原理的計算機病毒檢測模型借鑒了生物免疫系統的基本原理，能夠識別或檢測到形式變化多樣的計算機病毒，并且采取相應的措施做出反應。這種病毒檢測模型適應性更好，更具有普遍性，它能夠通過其自身具有的學習和自適應能力來改變傳統的被動式病毒防御策略。

如何構造一個檢測器群是該技術的核心。檢測器能夠識別或預防危險的異常行為，然后消除這些異常行為；它還能夠記憶已經遇到過的病毒，識別新的病毒，保持系統的多樣性，保護免疫系統本身不遭受攻擊。大批量的單個檢測器形成檢測器群，一代又一代地隨著病毒的不斷入侵而演化，檢測器群演化的最終目的是能夠盡量覆蓋狀態空間，以實現免疫系統的多樣性、適應性以及動態覆蓋性等。

計算機病毒檢測技術的發展與計算機病毒的發展相比要慢的多。由于計算機病毒在病毒傳播方式、感染文件的方式和病毒隱藏方面的變化層出不窮，導致了計算機病毒檢測技術始終處于被動地位。為了保障網絡和連接到網絡上的計算機的安全，病毒檢測技術需要有一個大的發展。生物免疫系統正好給出了一個新思路，即構造基于生物免疫原理的計算機病毒檢測系統。這種新思路以生物免疫系統和計算機病毒檢測系統在功能方面的相似性為基礎。

計算機病毒檢測系統和生物免疫系統存在很多的相似性，但是他們也存在許多的區別。不同的計算機中存儲的文件內容不同、大小也不同，自體集相對的不固定，而且現在認為是安全的程序在將來也許就會變成惡意代碼。整個計算機系統就是一個動態的、不穩定的整體。所以計算機病毒檢測系統的自體集和非自體集也是動態的，并不是永恒不變的。

免疫法計算機病毒檢測系統的主要特性包括：

（1）分布性。多個計算實體相互協調合作完成檢測。在病毒檢測系統中，檢測器分布在不同的節點運行分布式地執行檢測，并且可以在節點間游動檢測。

（2）多樣性。檢測器具有隨機檢測能力。這將給系統帶來一定的不可預知性，好處是可以提高系統的容錯能力和健壯性。

（3）高效性。檢測應該給正常系統附加盡可能少的計算負擔。但是必要的CPU時間和存儲消耗不可避免。

（4）低錯誤率和高成功率。檢測系統的錯誤分兩種：錯誤肯定和錯誤否定。錯誤肯定是指將正常系統行為識別為異常，錯誤否定是將異常行為識別為正常。相對而言錯誤肯定更為嚴重，因為將正常行為過多標識為異常，可能導致用戶最終關掉檢測系統。而錯誤否定將放過病毒，后果也是嚴重的。

（5）檢測未知病毒。未知病毒檢測不需要預先知道病毒的特征信息，基于異常檢驗技術可以具備這一特性。免疫系統中自體耐受過程和否定選擇算法使得系統學習正常行為，再由此識別異常行為，包括未知病毒的感染。

結語

計算機病毒檢測系統主要被用于防止病毒對計算機中文件的破壞和盜取計算機中的信息，保證計算機系統正常工作，使計算機免受侵害。計算機病毒檢測系統和生物免疫系統對各自存在的系統的作用是相似的。正是基于這種功能的相似性，把生物免疫系統的基本原理引入計算機病毒檢測技術成為了一種新的保證計算機安全的研究方向。

參考文獻：

[1]陳桓，劉曉潔，宋程，梁可心.一種基于免疫的計算機病毒檢測方法.計算機應用研究.2005年9期

[2]張景龍，王愛松，張春生，姜靜清，奇金寶.計算機病毒免疫的初步研究內蒙古民族大學學報：自然科學版2012年4期

[3]彭梅，李傳東，何興.基于直接免疫的SEIR計算機病毒傳播模型.重慶師范大學學報（自然科學版）.2013年1期