计算机病毒防范策略

摘要：自从1980年计算机病毒的概念首次诞生以来，计算机就无时无刻不处于被攻击的风险之中，伴随着网络共享程度加深、物联网和云时代的来临，新时期计算机病毒呈现出了智能化、组织化、目的化和信息能化的特征，在互联网智能化变革的新时期，如何防范计算机病毒利用强大的自主攻击能力“绑架”甚至摧毁计算机网络系统，就是一个极为重要的问题。

关键词：计算机；病毒；网络攻击；智能化；信息

0前言

2017年勒索病毒席卷全球，勒索病毒利用微软视窗老旧系统漏洞，入侵用户文件并加密，向用户勒索比特币。这和2000年的lovebug通过自我复制和群发邮件击溃邮件系统网络，2006年中国计算机病毒第一案熊猫烧香肆虐全国，以及1998年CIH病毒通过盗版系统盘直接摧毁计算机主板BIOS令上千万台计算机彻底报销并不相同。新病毒不再进行纯属破坏的“恐怖主义”，而是直接以勒索为目的，这实际上给全球信息网络病毒防范敲醒了警钟。尤其是在金融网络化的时代，勒索病毒标志着计算机病毒正在悄然转型。今天全球任何一台计算机都潜伏着病毒的威胁，因为计算机病毒具有自我复制性、传染性、潜伏性、隐蔽性和彻底的破坏性，而最大的威胁是来自云时代计算机病毒的智能化。

1计算机病毒与防毒的历史

1.1计算机病毒发展的历史

1949年计算机之父冯•诺依曼提出了计算机程序如何自我复制的学术话题。1960年代，计算机图形图像的奠基机构麻省理工大学的青年研究员一款小游戏，以摧毁对方的游戏程序为目的，这可能是已知最早的计算机病毒的雏形。1980年多特蒙德大学学生克劳斯在他的学位论文《程序的自我复制》当中首先提出了病毒的假设。1983年弗雷德•科恩编写了第一个自我复制的病毒程序，并于1984年在博士论文中提出了病毒的学术界定。他提出：“计算机病毒是一种计算机程序，它通过修改其它程序把自身或其演化体插入它们中，从而感染它们。”病毒的可怕性能够在任何信息共享系统中传播，安全技术并不能阻止，而且不存在区分病毒的算法，也不存在完美的杀毒软件。1986年，巴基斯坦经营电脑公司的兄弟发明了第一个电脑病毒C-BRAIN，这个病毒的发明是为了防止自己公司的软件被盗版，并且追踪有多少人使用软件，这个在DOS系统下运行的病毒靠软盘传播，一旦有盗版者就将系统硬盘吃掉。这就更加验证了科恩的理论，病毒和非病毒并没有严格界限，不能指望靠算法来完全消灭病毒。这一时期计算机病毒以“小球”和“石头”代表的引导性病毒为主，因为传播对象单一，病毒自我保护机制较弱，在单机环境下易于被清理。1990年，文件型和引导性复合型病毒诞生，这种病毒由1989年的可执行文件病毒演化而来，可执行文件病毒利用DOS系统加载机制传播，以“耶路撒冷”和“星期天”病毒为代表。复合型病毒可感染扇区文件，也可以感染可执行文件，这类病毒逐渐发展到残留痕迹可以自我恢复、隐蔽性强，具有自我保护机制，能够利用网络攻击，并且呈现出种类复杂化的特点。1992年，利用DOS加载文件优先顺序感染计算机的伴随型病毒“金蝉”诞生，感染一个EXE文件，还同时生成一个COM文件，这一时期病毒呈现出批次化的特征。1994年起，编程语言飞速发展，同一个应用可以用不同的程序语言写出来，这给了幽灵病毒机会，每传播一次就产生不同的代码，这大大地增加解码杀毒的难度，这一时期病毒呈现出多态化。1995年病毒制造机出现，因为生成器既能生成程序也能生成病毒，VCL可以瞬间制造千万种形态各异的病毒，这让病毒的繁殖更加容易。网络病毒阶段从1995年开始，蠕虫病毒大量利用网络传播，“美丽杀手”通过邮件一天内感染到美国全国，各种邮件炸弹层出不穷。同时期针对微软视窗的病毒也大幅流行，许多病毒利用保护模式工作，使之非常难以解除。针对Word宏语言的宏病毒以类Basic语言工作，利用软盘和office的安装和拷贝进行传播。网络时代，各种病毒以不同形态埋伏在各个网站、广告和程序的角落中，病毒或者利用操作系统的漏洞主动攻击，或者利用手机杀毒软件不完善的特点进行传播。

1.2杀毒软件的发展和问题

杀毒软件是目前病毒防御的一个主要手段，这是一种通过建立已知病毒库和可疑程序来查杀病毒的方法，尽管依靠传统的病毒特征码库不能解决有效识别并杀死未知病毒的问题，但是包括云杀毒在内的杀毒软件都是采用这种方式。1989年，针对蠕虫病毒泛滥，美国的Mcafee成为了全球第一款杀毒软件。目前杀毒软件的核心技术杀毒引擎主要掌握在德国、美国和俄罗斯这样的少数国家，除了Mcafee之外，卡巴斯基、小红伞和罗马尼亚的BitDefender是顶尖技术公司。国内的杀毒软件一般都是套用卡巴、小红伞和BD的引擎再套用外壳。1989年开始国内采用简单特征码杀毒法，这是产生在检验法的基础上的第二代杀毒方式，今天所说自主杀毒引擎就是采用的这一核心。90年代中期江民采用了广谱特征码技术，这种技术可以通过查询一个特征码调出多种病毒，但是误报风险较大。1998年以来启发式杀毒利用虚拟机技术判断文件结构、行为让病毒提前暴露身份，同时白名单技术开启。2008年开始，360依靠免费策略占领了杀毒市场，并且充分发展了云安全技术，但是云安全技术对用户隐私问题伤害较大。

2传统杀毒软件的困境

早期程序员出于好奇、版权保护、报复或者是出位心理开发病毒程序，而现在使用病毒谋利的现象更为明显。目的性的网络攻击更为普遍，在军事、商业、个人隐私上窃取情报、控制对方计算机等有组织网络攻击行为更加普遍，而且计算机专业化程度越来越高。另一方面，传统杀毒模式由于数据库太大，资源占用严重，病毒特征码识别不够准确等问题，使之很容易被一般病毒突破，最典型的就是熊猫烧香事件。熊猫烧香的李俊被称为中国毒王，其实他只是一个自学成才的技校生，他的专业水平并不比一般的程序员更高，屡次被各大软件公司拒绝的他利用熊猫烧香软件摧毁了中国杀毒业的半壁江山，当然也成就了金山和360这样的公司。警方抓捕李俊之后，错误地以为被害的电脑有救了，当李俊将自己编写好的杀毒软件交给警察之后，连他自己都不敢相信，这款杀毒软件对他自己制造出来的熊猫烧香病毒毫无杀伤力。这就回到了杀毒软件的最根本问题并不是病毒有多强大，而是杀毒软件的防御功能太差，传统杀毒软件利用病毒库识别的算法有天生缺陷，无论是新病毒还是老病毒，只要改几行代码就成为了不能识别的新病毒，熊猫烧香也并不是多么高级的病毒程序，只是利用熊猫的萌蠢表情降低了用户的警惕性。

3新时期智能化杀毒病毒防御

每一次病毒的泛滥都是杀毒软件系统的大提升，在云时代，云查杀成为了广泛的杀毒手段，但是必须要注意的是云病毒也将是一种巨大的危险。你可以利用云环境杀毒，病毒更能利用云环境传播，尤其是在当前环境下很多人利用流氓软件推广产品的背景下，病毒的特性其实也是他们在商业广告中最需要的一种特性。许多新技术去除多态变形病毒代码中的空白符、垃圾代码、花指令等，而后再生成特定的病毒特征码，其实核心还是特征码杀毒，包括在云端杀毒。未来病毒越来越多呈现出智能化特征，而杀毒软件也要相应智能化，IBM的Tesauro和Kephart研究了神经网络，将神经网络应用到在智能化病毒防御。未来智能化杀毒引擎将会解决传统病毒库的困境，杀毒软件利用自身具有的自主学习能力来应对病毒的变化规律，在病毒的进化过程中，杀毒软件也有一个智能化的进化过程。在智能化杀毒领域，目前比较先进的是利用搜索引擎的智能化算法，这套算法不依靠分析病毒的静态特征、动态行为和频繁更新病毒库。当然人工智能技术不仅局限于搜索引擎智能技术，未来还会有多种智能化技术运用到病毒防御系统当中，智能化将是新时期病毒防范的主要特征。

参考文献：

[1]徐刚.云计算与云安全[J].信息安全与技术，2011.

[2]傅建明，彭国军，张焕国.计算机病毒分析与对抗[M].武汉大学出版社，2004．

作者：孙成丽 单位：辽宁省葫芦岛市龙港区锦西工业学校