計算機(jī)網(wǎng)絡(luò)病毒檢測系統(tǒng)設(shè)計與實現(xiàn)研究

田志

【關(guān)鍵詞】計算機(jī) 網(wǎng)絡(luò)病毒 檢測系統(tǒng) 設(shè)計

隨著計算機(jī)網(wǎng)絡(luò)的不斷應(yīng)用和發(fā)展，網(wǎng)絡(luò)因開放性而衍生出了較多的安全問題，計算機(jī)病毒算是其中一個。病毒入侵問題更是對計算機(jī)系統(tǒng)的正常運(yùn)行造成了較大的影響，也在很大程度上威脅到了計算機(jī)的使用安全。計算機(jī)經(jīng)過這么多年的發(fā)展，系統(tǒng)設(shè)計也趨向于成熟，為了確保計算機(jī)系統(tǒng)的安全運(yùn)行，人們開始積極設(shè)計計算機(jī)病毒檢測系統(tǒng)，以保障計算機(jī)應(yīng)用安全。

1.病毒檢測的方法

1.1 異常檢測法

異常檢測方法主要是用戶檢測計算機(jī)資源的異常使用以及計算機(jī)用戶的異常行為，應(yīng)用異常檢測法首先需要建立起用戶互動模型和目標(biāo)系統(tǒng)，然后通過用戶活動模型來檢測計算機(jī)用戶和計算機(jī)系統(tǒng)的相應(yīng)行為，從而有效的判斷計算機(jī)用戶的行為是否對計算機(jī)系統(tǒng)和網(wǎng)絡(luò)有相應(yīng)的攻擊性[1]。異常檢測方法具有良好的應(yīng)用適應(yīng)性，且能夠檢測到未知的入侵能力，但是此種檢測方法還是具有一定的缺點，那就是檢測準(zhǔn)確性有所偏差，因此導(dǎo)致此種檢測方法在應(yīng)用過程中還是受到了一定的限制。

1.2 混合檢測法

混合檢測法主要是綜合濫用檢測法和異常檢測法的優(yōu)勢，并進(jìn)行整合利用。由于這兩種檢測方法在實際應(yīng)用過程中存在一定補(bǔ)充關(guān)系，因此有效結(jié)合能達(dá)到互相彌補(bǔ)的目的，讓檢測效果更佳，也能夠有效的提升病毒檢測的效率和質(zhì)量。

2.計算機(jī)網(wǎng)絡(luò)病毒入侵檢測系統(tǒng)的設(shè)計實現(xiàn)

此次計算機(jī)網(wǎng)絡(luò)病毒入侵檢測系統(tǒng)設(shè)計中，設(shè)計的主要設(shè)計流程包含系統(tǒng)結(jié)構(gòu)設(shè)計、系統(tǒng)功能模塊設(shè)計、主機(jī)病毒檢測系統(tǒng)設(shè)計、網(wǎng)絡(luò)病毒檢測系統(tǒng)設(shè)計。

2.1 系統(tǒng)結(jié)構(gòu)設(shè)計

在進(jìn)行計算機(jī)網(wǎng)絡(luò)病毒入侵檢測系統(tǒng)的設(shè)計中，主要包含三部分內(nèi)容，即應(yīng)用程序、反病毒引擎以及病毒庫。對此，可以構(gòu)建三層體系結(jié)構(gòu)的設(shè)計模式。這三個部分的設(shè)計中，應(yīng)用程序?qū)又饕饔檬菍τ脩艚涌谶M(jìn)行控制;病毒引擎層的功能是對系統(tǒng)中的病毒進(jìn)行查殺，屬于技術(shù)核心部分;病毒層為病毒識別好預(yù)防提供特征識別信息，為系統(tǒng)病毒升級提供技術(shù)支持。這三者之間，應(yīng)用程序的運(yùn)行需要以病毒引擎為基礎(chǔ)，病毒引擎的實現(xiàn)需要以病毒庫為支撐，三者之間相互依賴，相輔相成。

就系統(tǒng)結(jié)構(gòu)中的這三個部分重要功能實現(xiàn)來看，應(yīng)用程序通過將掃描對象供應(yīng)給引擎實現(xiàn)病毒掃描，提供病毒預(yù)防和用戶交互的對應(yīng)接口。具體的掃描對象包含磁盤對象以及內(nèi)存對象。引擎的主要功能是對應(yīng)用程序進(jìn)行掃描并對格式進(jìn)行分析和傳輸，把掃描結(jié)果通過程序調(diào)回接口反映給應(yīng)用程序，并對返回結(jié)果實施處理。病毒庫則是容納了多種病毒信息和病毒名稱以及病毒特征的數(shù)據(jù)庫，這是掃描后的匹配依據(jù)。此外，引擎自身也需要對病毒庫進(jìn)行加載、管理和卸載等操作。

2.2 系統(tǒng)功能模塊

如下圖1 所示，為此次計算機(jī)網(wǎng)絡(luò)病毒入侵檢測系統(tǒng)的主要設(shè)計結(jié)構(gòu)：

圖1 計算機(jī)網(wǎng)絡(luò)病毒入侵檢測系統(tǒng)的主要設(shè)計結(jié)構(gòu)

這個防病毒系統(tǒng)的主要工作可以這樣描述，在系統(tǒng)啟動后，用戶可按照自己的需求來選擇掃描磁盤和進(jìn)程，設(shè)置相應(yīng)的參數(shù)，完成設(shè)置后可以選定對象來進(jìn)行掃描處理。最后返回搭配掃描結(jié)果環(huán)節(jié)。在參數(shù)設(shè)置中，包含對象是目錄還是文件、感染文件處理和操作、刪除還是隔離;通過對于相關(guān)格式文件的過濾處理，設(shè)置病毒庫的自動升級時間;還包含日志文件保存功能，對于文件大小以及層數(shù)限制進(jìn)行約束。此外，該系統(tǒng)設(shè)計中，還能夠滿足用戶的自動升級和掃描管理，進(jìn)行日志信息升級和幫助等。這一系統(tǒng)設(shè)計中通過引擎內(nèi)部技術(shù)的實現(xiàn)，確保系統(tǒng)功能設(shè)置簡單，且對于用戶設(shè)備的要求不高，適用于單機(jī)版。

這一系統(tǒng)中應(yīng)用分布式就地的保護(hù)和測量、控制、通信設(shè)備，借助現(xiàn)場總線來對于設(shè)備的通信接口進(jìn)行連接，形成相應(yīng)病毒檢測系統(tǒng)。系統(tǒng)結(jié)構(gòu)設(shè)計中，通過以太網(wǎng)連接，實現(xiàn)設(shè)備對于數(shù)據(jù)庫服務(wù)器、電氣運(yùn)行工作站、維護(hù)工程師站等組網(wǎng)工程病毒監(jiān)控管理的控制系統(tǒng)。

2.3 主機(jī)病毒檢測系統(tǒng)的設(shè)計

計算機(jī)主機(jī)病毒檢測系統(tǒng)的數(shù)據(jù)源主要包括系統(tǒng)日志、程序日志等，而病毒檢測系統(tǒng)主要是通過匹配攻擊內(nèi)容和審計記錄文件的內(nèi)容，從而來判斷病毒入侵情況。若是兩者內(nèi)容相匹配，病毒檢測系統(tǒng)則會在第一時間向計算機(jī)網(wǎng)絡(luò)管理員發(fā)出相應(yīng)的提醒，同時系統(tǒng)會自動做出相應(yīng)的保護(hù)行為;若是兩者內(nèi)容不相匹配，則說明入侵對象對計算機(jī)沒有攻擊性行為。計算機(jī)審計數(shù)據(jù)中主要記錄的是計算機(jī)用戶的行為信息，在計算機(jī)系統(tǒng)運(yùn)行過程中，需要保護(hù)這些信息不受到泄露或更改。當(dāng)計算機(jī)系統(tǒng)遭受到病毒的攻擊時，這些數(shù)據(jù)很有可能就已經(jīng)被泄露、更改了[2]。因此計算機(jī)主機(jī)病毒檢測系統(tǒng)設(shè)計中必須要具備一項功能，那就是病毒檢測系統(tǒng)在完全被病毒所控制之前，需要盡快分析審計數(shù)據(jù)，并及時做出相應(yīng)的防護(hù)手段。計算機(jī)主機(jī)病毒檢測系統(tǒng)需要準(zhǔn)備判斷攻擊行為是否屬于病毒入侵，并針對不同的入侵特點判斷出病毒入侵的實際情況。

2.4 網(wǎng)絡(luò)病毒檢測系統(tǒng)的設(shè)計

在計算機(jī)網(wǎng)絡(luò)中安裝網(wǎng)絡(luò)病毒檢測系統(tǒng)，并使用計算機(jī)數(shù)據(jù)源來詳細(xì)的分析計算機(jī)入侵的對象。在實際的網(wǎng)絡(luò)病毒檢測系統(tǒng)的設(shè)計過程中，只需要使用一個網(wǎng)絡(luò)適配器來有效分析和監(jiān)控網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)。針對計算機(jī)數(shù)據(jù)采集模塊，在設(shè)計過程中要配置網(wǎng)絡(luò)接口引擎、探測器、過濾器等器件，而此模塊主要需要實現(xiàn)以下功能，參照具體的網(wǎng)絡(luò)協(xié)議，從而獲取與病毒入侵事件有關(guān)的信息，然后將獲取到的信息輸送到病毒檢測系統(tǒng)分析模塊，并全面、詳細(xì)的分析信息的安全性，隨后判斷信息是否對計算機(jī)系統(tǒng)具有攻擊性。病毒分析引擎模塊功能主要如下，結(jié)合計算機(jī)網(wǎng)絡(luò)安全數(shù)據(jù)庫，全面分析數(shù)據(jù)采集模塊中的數(shù)據(jù)信息的安全性，并將最后的分析結(jié)果輸送到配置管理模塊[3]。而配置管理模塊功能如下，主要管理其他功能模塊的配置工作，然后從病毒分析引擎模塊中輸送過來的安全信息結(jié)果告知給計算機(jī)網(wǎng)絡(luò)管理員，從而讓計算機(jī)管理員快速對病毒入侵情況做出相應(yīng)的處理措施。當(dāng)網(wǎng)絡(luò)病毒檢測系統(tǒng)受到外界的攻擊之后，計算機(jī)相應(yīng)的功能模塊便會立即做出相應(yīng)的反應(yīng)，比如中斷連接、報警等，向用戶和管理員發(fā)出相應(yīng)的警告信息。