計(jì)算機(jī)病毒解析與防范技術(shù)研究(五)

3.1網(wǎng)絡(luò)防火墻技術(shù)

防火墻屬于最常見(jiàn)的安全隔離手段，在本質(zhì)上屬于數(shù)據(jù)訪問(wèn)控制體系，在內(nèi)聯(lián)網(wǎng)和外聯(lián)網(wǎng)之間實(shí)現(xiàn)安全保護(hù)系統(tǒng)。 它將內(nèi)聯(lián)網(wǎng)與外聯(lián)網(wǎng)分開(kāi)，并將用戶限制為嚴(yán)格控制的保護(hù)點(diǎn)。防火墻一般在通信過(guò)程中對(duì)控制標(biāo)準(zhǔn)進(jìn)行強(qiáng)制執(zhí)行，主要用來(lái)避免沒(méi)有經(jīng)過(guò)授權(quán)或者身份驗(yàn)證的其他人員進(jìn)行訪問(wèn)，同時(shí)也可以有效避免黑客對(duì)網(wǎng)絡(luò)進(jìn)行攻擊，或者對(duì)數(shù)據(jù)以及設(shè)備進(jìn)行破壞。

防火墻通常部署在受保護(hù)的Intranet和Internet之間的邊界。 Internet，還能夠?qū)�Intranet里面的關(guān)鍵數(shù)據(jù)以及服務(wù)器進(jìn)行保護(hù)。即便用戶通過(guò)內(nèi)網(wǎng)進(jìn)行登錄，也要借助防火墻進(jìn)行過(guò)濾，以便對(duì)資源進(jìn)行有效保護(hù)。

防火墻安保系統(tǒng)通常使用的結(jié)構(gòu)為拓?fù)�，在此基礎(chǔ)上網(wǎng)絡(luò)運(yùn)行可得到安全保障，同時(shí)借助數(shù)據(jù)集成全面提升網(wǎng)絡(luò)數(shù)據(jù)的安全程度。防火墻用于Internet上的多個(gè)環(huán)境中。 這意味著防火墻在計(jì)算機(jī)的網(wǎng)絡(luò)安全中起著重要作用。 防火墻可以確保聯(lián)網(wǎng)計(jì)算機(jī)網(wǎng)絡(luò)的安全性和穩(wěn)定性。 這是確保計(jì)算機(jī)網(wǎng)絡(luò)安全的必不可少的先決條件。 計(jì)算機(jī)防火墻如表4.1所示。

表4.1 計(jì)算機(jī)各類防火墻對(duì)比

分類 特點(diǎn)

簡(jiǎn)單包過(guò)濾防火墻 應(yīng)用層控制很弱，效率高

狀態(tài)檢測(cè)包過(guò)濾防火墻 數(shù)據(jù)包過(guò)濾對(duì)用戶透明，效率高

應(yīng)用代理防火墻 應(yīng)用層控制很弱，檢測(cè)性能高

3.2實(shí)時(shí)反病毒技術(shù)

由于新的計(jì)算機(jī)病毒的出現(xiàn)，反病毒軟件很難針對(duì)病毒入侵進(jìn)行全面應(yīng)對(duì)，在此基礎(chǔ)上就衍生出反病毒技術(shù)。許多防病毒卡都插入系統(tǒng)板，以實(shí)時(shí)監(jiān)控系統(tǒng)的運(yùn)行，并發(fā)出有關(guān)可疑計(jì)算機(jī)病毒行為的警告。已經(jīng)存在反病毒技術(shù)的實(shí)時(shí)監(jiān)控。任何程序都會(huì)在調(diào)用之前進(jìn)行過(guò)濾。一旦計(jì)算機(jī)病毒被破壞，它將發(fā)出警報(bào)并自動(dòng)殺死病毒。

3.3漏洞掃描技術(shù)

漏洞在操作系統(tǒng)和應(yīng)用程序軟件中都是不可避免的。 這些漏洞存在安全風(fēng)險(xiǎn)。因此，處理新發(fā)現(xiàn)的漏洞并及時(shí)完成系統(tǒng)升級(jí)和補(bǔ)丁非常重要。 漏洞掃描技術(shù)可從系統(tǒng)內(nèi)檢測(cè)系統(tǒng)配置中的缺陷和缺陷。 它可以檢測(cè)系統(tǒng)中黑客利用的各種錯(cuò)誤配置和系統(tǒng)漏洞。 它是一個(gè)自動(dòng)檢測(cè)本地或遠(yuǎn)程主機(jī)中的安全漏洞的程序。

漏洞掃描技術(shù)通常包括POP3漏洞掃描，F(xiàn)TP漏洞掃描，SSH漏洞掃描和HTTP漏洞掃描等技術(shù)。

3.4計(jì)算機(jī)病毒免疫技術(shù)

病毒免疫力意味著系統(tǒng)已感染病毒，但病毒已被處理或移除，系統(tǒng)不再受到類似病毒的感染和攻擊。 目前，常用的免疫方法對(duì)某些計(jì)算機(jī)病毒具有計(jì)算機(jī)病毒免疫力，但這種方法不能防止計(jì)算機(jī)病毒的破壞行為，另一種是基于自我完整性測(cè)試的計(jì)算機(jī)病毒免疫程序。 原則是可執(zhí)行文件添加了一個(gè)可以從自身恢復(fù)信息的免疫shell。

3.5計(jì)算機(jī)病毒的檢測(cè)技術(shù)

3.5.1特征代碼法

針對(duì)目前已知的病毒，最有效便捷的監(jiān)測(cè)手段為簽名方法，這種方法的原理為對(duì)病毒代碼進(jìn)行詳細(xì)分析，并在病毒代碼數(shù)據(jù)庫(kù)中收集這些病毒的獨(dú)特功能，即所謂的“病毒數(shù)據(jù)庫(kù)”。 對(duì)已經(jīng)監(jiān)測(cè)到的程序進(jìn)行精準(zhǔn)掃描，以此作為基礎(chǔ)對(duì)病毒數(shù)據(jù)庫(kù)里面的代碼進(jìn)行找尋。如果尋找到的代碼完全一致，程序100%已被病毒感染。

3.5.2軟件模擬法

多態(tài)病毒會(huì)在每次感染時(shí)更改病毒代碼。要處理此病毒，簽名代碼方法無(wú)效。由于多態(tài)病毒代碼是以加密方式編碼的，并且每種情況下使用的密鑰不同，因此病毒代碼在受感染文件中不同。因此，無(wú)法找到可用作函數(shù)的相同穩(wěn)定代碼。為了檢測(cè)多態(tài)病毒，可以使用軟件模擬方法。它是一種軟件分析器，它使用軟件方法來(lái)模擬程序的操作并將其導(dǎo)出到虛擬機(jī)進(jìn)行藥物測(cè)試。新的檢測(cè)工具使用軟件模擬方法，該方法使用簽名方法在流程開(kāi)始時(shí)檢測(cè)病毒。如果懷疑隱藏或多態(tài)病毒，軟件仿真模塊將開(kāi)始監(jiān)視病毒的運(yùn)行。解碼病毒自己的密碼后，運(yùn)行簽名方法來(lái)識(shí)別病毒類型。

3.5.3感染實(shí)驗(yàn)法

這種方法的原理是使用病毒最重要的基本特征：感染的特征。 所有病毒都被感染，如果它們沒(méi)有被感染，它們就不會(huì)被稱為病毒。 如果系統(tǒng)沒(méi)有正常響應(yīng)，則最新版本的Discovery Tool不會(huì)檢測(cè)到病毒。 我們可以進(jìn)行感染實(shí)驗(yàn)。 程序在可疑系統(tǒng)上運(yùn)行后，我們可以運(yùn)行一些正常的程序，以確保它們沒(méi)有中毒。 然后我們可以觀察這些正常程序的長(zhǎng)度和校驗(yàn)。 如果我們發(fā)現(xiàn)某些程序正在增長(zhǎng)或測(cè)試和更改，我們可以聲稱系統(tǒng)中存在病毒。

4 計(jì)算機(jī)病毒防御策略

要想對(duì)病毒攻擊進(jìn)行有效應(yīng)對(duì)，其中最理想的途徑為避免病毒在網(wǎng)絡(luò)里面大范圍傳播。不過(guò)網(wǎng)絡(luò)自身運(yùn)行技術(shù)相當(dāng)復(fù)雜，因此仍然難以預(yù)防病毒。目前，計(jì)算機(jī)病毒的預(yù)防和控制僅基于檢測(cè)和清除。防病毒的常見(jiàn)類型主要包括兩大類，其一為以網(wǎng)絡(luò)作為基礎(chǔ)的防病毒手策略，另一種則為以主機(jī)作為基礎(chǔ)的防病毒策略。

4.1基于主機(jī)的檢測(cè)策略

以主機(jī)作為基礎(chǔ)的方面的策略大題體包含三大類，首先為驗(yàn)證技術(shù)，其次為訪問(wèn)控制，另外一種則為簽名匹配。

（1）簽名匹配： 掃描到達(dá)主機(jī)的代碼并匹配病毒庫(kù)中的簽名以查看代碼是否有害。 簽名掃描技術(shù)考慮到“相同的病毒或病毒具有相同代碼的一部分”。 按句話說(shuō)，一旦病毒與變體具備一些共同特征，則可以將它們稱為“簽名”，并且可以通過(guò)將程序主體與“簽名”進(jìn)行比較來(lái)找到病毒。 必須不斷更新使用病毒簽名掃描方法的發(fā)現(xiàn)工具，以防止出現(xiàn)新病毒。 否則識(shí)別將丟失。 如果病毒簽名掃描方法未檢測(cè)到新病毒簽名，則無(wú)法檢測(cè)到新病毒。

（2）訪問(wèn)控制技術(shù)：惡意代碼一定要潛入計(jì)算機(jī)系統(tǒng)內(nèi)部才具有相應(yīng)的操作權(quán)限，并對(duì)計(jì)算機(jī)帶來(lái)?yè)p壞。矜持如果能夠?qū)ο到y(tǒng)程序?qū)��?yīng)的權(quán)限進(jìn)行正確操控，這些系統(tǒng)則具備執(zhí)行任務(wù)最低范圍的權(quán)限。即便在系統(tǒng)里面嵌入了惡意代碼，也無(wú)法銷毀。病毒檢測(cè)可以對(duì)異常程序代碼以及指令進(jìn)行檢測(cè)并甄別，同時(shí)對(duì)系統(tǒng)安全級(jí)別展開(kāi)有效排序，結(jié)合病毒代碼自身特性對(duì)權(quán)重進(jìn)行合理分配。一旦序列加權(quán)值總和與規(guī)定的閉合著相比更高，可以斷定程序里面已存在病毒。

（3）完整性技術(shù)：一般來(lái)說(shuō)，很多病毒代碼并非單獨(dú)存在，通常借助嵌入模式或者與其他程序有很大關(guān)聯(lián)。如果程序或者文件被病毒感染，自身的完整性將會(huì)遭到破壞。。 使用該文件時(shí)，請(qǐng)定期檢查文件內(nèi)容是否與原始文件匹配，或在每次使用前檢查一致性，然后檢查文件是否被感染。 文檔完整性測(cè)試技術(shù)主要檢查兩個(gè)領(lǐng)域的文檔更改。 如果不進(jìn)行任何更改，很難成功感染病毒，因此完整性測(cè)試技術(shù)為當(dāng)前使用率很高的一種檢測(cè)方法。

考慮到對(duì)主機(jī)進(jìn)行保護(hù)，用戶一定要在計(jì)算機(jī)里面安裝相應(yīng)的病毒查殺軟件，同時(shí)定期對(duì)軟件進(jìn)行更新。不難看出，往往存在運(yùn)作成本過(guò)高以及管理綜合性較差的缺陷。

4.2基于網(wǎng)絡(luò)的檢測(cè)策略