公务员期刊网 论文中心 正文

计算机病毒防御路径分析

计算机病毒防御路径分析

SIDR模型是对病毒传播以及病毒清除过程的描述。在此模型中,节点被统分为四类状态:Susceptible代表节点已经收到病毒感染;Infections代表几点不仅被感染并且会进一步的传播;Detected代表节点虽然被感染,但是其存在的病毒已经有效的检测出来并且并不会向外传播;Removed代表节点本身具有抗病毒能力。这一模型考虑到了免疫延迟的情况,它将整个病毒进行传播的过程分为两个阶段:在没有反病毒程序前,网络内的病毒会传播并且疫苗不会传播,在此作用下易感染节点会变为感染节点;当具有反病毒程序后,易感染节点以及感染节点都具有接受疫苗而变成免疫节点的可能性。

双基因模型对感染率变化以及病毒对抗措施介入对病毒传播所造成的影响进行了考虑。在病毒传播的过程中,计算机用户可能会发现病毒病采取措施来对抗病毒,如对病毒库的更新、对病毒的查杀、对系统补丁的完善等,这些方法能够有效地的使病毒感染率降低。

1主机检测策略

基于主机的检测策略主要包括权限控制技术、完整性验证技术和特征码匹配技术三类。特征码匹配技术可以通过对主机代码的扫描来确定这些代码的特征是否与病毒库中的恶意代码相同来判定计算机中是否存在恶意程序。其中同种及同类病毒具有相同代码的理论是特征码扫描技术的基础,特征码匹配技术需要不断的对其病毒库进行更新,不然将会不能识别新的病毒代码,这种技术在这种情况下也自然会失去价值;权限控制技术是通过对计算机中程序权限的选定来避免恶意程序和代码对计算机进行破坏,这是因为恶意程序和代码只有在运行状态下来能够对计算机进行破坏;完整性检测是基于病毒代码需要依附和嵌入程序文档来运行,它们并不是独立存在的,而一旦程序或者文档遭到感染,其本身的完整性也就会被破坏,所以对程序和文档的完整性进行检验能够有效地防止病毒的感染。基于主机的检测策略需要计算机用户能够在计算机中安装防毒软件并对软件进行及时更新,而这种要求也使主机检测策略具有了成本较高以及管理型较差的劣势。

2网络检测策略

基于网络的检测策略主要包括异常检测以及误用检测两类。病毒在植入和传播的过程中会发送探测包,这种行为会使网络中的流量增加,对病毒本身的异常行为进行检测并采取有效措施进行控制是十分必要的,异常检测可以及时的发现计算机网络流量的变化,当其变化异常是会采取措施来避免恶意程序和代码的进一步传播,这种方法不仅对已知病毒的检测有效,同时也能够检测出新的未知的病毒,但是其本身存在较高的误报率;误用检测技术以特征码为基础。通过误用检测,可以实现特征库内特征码与待检测数据的比较,从而判定待检测数据流内是否存在恶意病毒。在此技术中,主要的特征码规则有特征串、端口号、协议类型和数据包长度等,相比较异常检测而言,这种策略更加的准确,但是对未知病毒的检测却不能胜任。与机遇主机的检测策略相比,网络检测策略更加的容易维护和实现,并且能够有效的从宏观上对病毒的传播进行控制。(本文作者:侯超男 单位:湖南信息职业技术学院)