基于信息安全的計算機主動防御反病毒技術研究

米蘭·黑娜亞提 艾克帕爾·艾合買提 涂偉滬

【 摘 要 】 論文根據新的信息安全理論研究成果，結合計算機反病毒主動防御的實踐經驗，提出應強化信息安全的主動防御技術，此技術更好地彌補了傳統信息安全中殺毒軟件的技術弱點。主動防御技術可以快速準確有效阻止惡意程序執行相關操作，可以將相關病毒全面封殺在攻擊的起步階段，從時間與技術兩個層面強化對病毒的阻止，有效地規避了信息安全中封殺病毒的滯后性，提升了信息安全的技術與執行效率。

【 關鍵詞 】 信息安全；主動防御；反病毒

【 中圖分類號 】 TP393 【 文獻標識碼 】 A

【 Abstract 】 According to the latest research achievement of information security theory， and combined with the computer anti virus active defense experience， we should strengthen information security active defense technology research and practice， this technology is better for traditional antivirus software in the information security technical weakness， active defense can accurately and effectively prevent malicious program execution related operations， can be related to the virus cripple in the initial stage of attack， strengthen the virus to prevent from two aspects of time and technology， effectively circumvent the blocked virus lag information security， improve the technology and efficiency of information security， this paper provides basic reference for deepening the research related.

【 Keywords 】 information security； cctive defense； anti virus

1 引言

計算機安全理論界定義信息安全學科是一個跨學科、綜合性較強的通信學科，本文對數學、物理、計算機、通信等安全信息學科長期積累的知識和許多新的研究開發成果進行自主創新研究，加強頂層設計，從而提出系統、集成和協作的解決方案。

安全協議的研究主要包括安全協議的安全分析方法、安全協議的設計和分析。目前，國內外已經提出了許多切實可行的協議，而代表的有電子商務協議、IPSec協議、TLS協議、簡單網絡管理協議、PGP協議、PEM協議S-HTTP、S/MIME協議。

電子商務協議、IPSec協議和TLS協議是理論與實務界當前研究的一個熱點話題。根據相關計算機理論研究，網絡信息安全是信息安全的重要研究內容之一，也是信息安全領域的一個研究熱點。

網絡信息安全解決方案是一個綜合性的問題，涉及到很多內容，包括技術、產品和管理，目前國際上已經有很多網絡信息安全解決方案和產品，但由于出口政策和自主性不能直接用于解決我國自身網絡問題，因此，中國的網絡信息安全只能借鑒這些先進的技術和產品，才能解決問題。

2 實時反病毒技術的應用研究

病毒防火墻實際上是從信息安全防火墻中擴展出來的，是近年來的一個新概念，目的是系統實現實時監控，系統數據的流入和流出可能包含病毒代碼過濾器。這恰恰體現了實時殺毒的概念本質——解決了用戶的“未知”病毒。

與傳統的反病毒模型相比，病毒防火墻具有明顯的優勢。

首先，其過濾的病毒具有很好的實時性，一旦病毒侵入系統或從系統中的其他資源的感染，它會自動檢測，可以去掉，這樣可以最大可能地避免病毒的資源破壞。

其次，“病毒防火墻”可以有效地防止病毒從網絡到本地計算機系統。而這恰恰是傳統殺毒軟件無法實現的，因為傳統殺毒軟件的智能化靜態清除病毒是在網絡上被感染的文件，用于實時通信的網絡卻不殺。

第三，“防火墻”雙向過濾功能卡本地系統不給網絡病毒傳播病毒。虛擬機是一個系統，它支持多個操作系統在一個單一的物理服務器上運行，它可以提供更有效的底層硬件的使用。在虛擬機中，中央處理器芯片分為系統的另一部分，在“保護模式”環境下運行的操作系統和應用程序。

通過虛擬機仿真軟件，可以模擬計算機中的多個虛擬計算機，虛擬機完全像一個真實的計算機，可以工作，比如安裝操作系統、安裝應用程序、訪問網絡資源等。雖然它只是一個在你的物理計算機上運行的應用程序，它是一個真正的計算機在虛擬機中運行的應用程序。因此，當評估軟件在虛擬機中，系統可能會崩潰，但是，崩潰只是一個虛擬機操作系統，并不是一個物理的計算機操作系統，并使用虛擬機撤消功能，可以立即將虛擬機恢復到狀態之前的軟件安裝。

在反病毒領域，為什么需要使用虛擬機技術？這些病毒在目標程序的干擾下會通過加密或變性的自我隱藏。只有這樣才能擺脫大部分殺毒軟件的功能識別，因為它們在靜態特性上幾乎是完全不一樣的。通過對這些病毒的分析和研究，可以發現通過進行虛擬來恢復加密的甚至變形病毒程序，這樣就可以恢復原始病毒的外觀，這樣就可以通過傳統的識別條件。

在互聯網的早期，病毒制造者的心態是由病毒的原始顯示轉化為病毒的利益。他們更愿意寫一些更強大、更廣泛的病毒傳播，因此木馬、后門、以及蠕蟲病毒已經成為主流的病毒程序。病毒的存在從形態上看，病毒廠商更傾向于通過包裝方式識別反病毒軟件。

在互聯網時代，病毒制造業分工越來越細化，分工與合作促進了互聯網的病毒。互聯網的病毒給反病毒產業帶來了巨大的壓力。病毒制造者傾向于使用一些代碼來實現病毒的大規模生產。

為了應對這種病毒性的問題，目前國內反病毒產業，都是以行為監測分析為基礎的主體推動此行為。但基于監控的行為分析是一種自然的缺陷，這是所有反病毒廠商都無法避免的問題。

3 主動防御反病毒技術研究

3.1 基于SSDT的病毒主動防御技術應用

本文中SSDT系統服務描述符表是一個將應用層指令到系統內核的通道。通過一個函數修改SSDT表地址，常用的Windows功能和過濾，API鉤子和一些重要的系統行為監控、惡意程序不能運行，按照正常的，為了實現主動防御功能的。

鉤子的意圖是鉤子，是一個窗口消息處理機制的平臺，應用程序可以設置上面的子程序來監視某個消息的指定窗口，并監控串口可以由其他進程生成。當消息到達目標窗口處理函數處理前，勾機制允許應用程序來保證處理窗口消息或特定事件。鉤子技術是一種用于改變應用程序的結果的技術，微軟本身就是在窗口操作系統中使用的技術，如窗口兼容模式等。

3.2 基于行為分析的病毒主動防御技術應用

本文對目標行為的研究可以觀察到，可以通過外部行為進行量化的性能，也能對行為的具體和清晰的描述行為進行有效的控制行為。

在信息安全領域，行為分析技術的原理是基于行為的程序功能，測試是否病毒，如果是異常行為，那么它可以被認定為病毒。比如早期未知木馬判斷是很粗糙的，但效果是非常明顯的，它的核心思想是確定目錄系統是系統使用它自己的目錄，除了系統的任何其他程序不應該使用這個目錄，如果有一個程序，使自己的副本，你會認為該程序是一個木馬或病毒。傳統的防范技術使得大量的計算機用戶都面臨這樣一個問題：沒有反病毒軟件不能，用殺毒軟件是不多的效果。

這種情況是由幾個方面造成的。

第一，殺毒軟件保護是靜態的，傳統的被動防御完全依賴于網絡維護人員的設備手動配置來實現，因此它很難處理復雜的當前網絡入侵事件。

第二，殺毒軟件的防護能力是被動的，它采用的是防御技術只能被動地接受每一次攻擊的入侵者，但不受入侵者的任何影響。主動防御技術應包括三個層次，即資源訪問規則控制、資源訪問掃描、程序活動行為分析引擎。其中，行為分析引擎技術是最重要的。在資源訪問控制層，通過系統資源的規則控制，以防止病毒、木馬和其他惡意程序使用這些資源。在資源訪問層中，通過對一些資源的監控，如文件、引導區、郵件、腳本訪問、內容掃描等，分析了惡意代碼，傳統的殺毒軟件文件監控、郵件監控等都是此層。過程活動行為決策層是從前兩層的過程動作和特征信息的自動采集，并對其進行處理和判斷。

參考文獻

[1] 李丹，蘇鋒，滕曰.“信息安全概論”課程教學的改革與探索[J].價值工程，2015（34）.

[2] 董令超.以管理和教育的手段促進信息的安全[J].科技信息，2014（14）

[3] 張煥國，杜瑞穎.武漢大學：信息安全人才培養現狀與問題[J].中國教育網絡，2014（09）.

作者簡介：

米蘭·黑娜亞提（1975-），女，哈薩克族，新疆阿勒泰人，研究生，講師；主要研究方向與關注領域：信息安全。

艾克帕爾·阿合買提（1982-），男，維吾爾族，新疆人，本科；主要研究方向和關注領域：電子信息工程。

涂偉滬（1972-），男，漢族，上海人，碩士，副教授；主要研究方向和關注領域：數據挖掘。