浅谈计算机病毒的检测技术

合集下载
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

浅谈计算机病毒的检测技术

摘要:在互联网高速发展的今天,计算机病传染性越来越强,危害性也越来越大。计算机病毒的检测方法主要有长度检测法、病毒签名检测法、特征代码检测法、检验和法、行为监测法、感染实验法、病毒智能检测法等。本文对其特点以及优缺点逐一进行了叙述。

关键词:计算机病毒检测技术

一、引言

Internet改变了人们的生活方式和工作方式,改变了全球的经济结构、社会结构。它越来越成为人类物质社会的最重要组成部分。但在互联网高速发展的同时,计算机病毒的危害性也越来越大。在与计算机病毒的对抗中,早发现、早处置可以把损失降为最少。因此,本文对计算机病毒的主要检测技术逐一进行了讨论。计算机病毒的检测方法主要有长度检测法、病毒签名检测法、特征代码检测法、检验和法、行为监测法、感染实验法、病毒智能检测法等。这些方法依据原理不同,检测范围不同,各有其优缺点。

二、计算机病毒的检测方法

(1)长度检测法

病毒最基本特征是感染性,感染后的最明显症状是引起宿主程序增长,一般增长几百字节。在现今的计算机中,文件长度莫名其妙地增长是病毒感染的常见症状。长度检测法,就是记录文件的长度,运行中定期监视文件长度,从文件长度的非法增长现象中发现病毒。知道不同病毒使文件增长长度的准确数字后,由染毒文件长度增加大致可断定该程序已受感染,从文件增长的字节数可以大致断定文件感染了何种病毒。但是长度检测法不能区别程序的正常变化和病毒攻击引起的变化,不能识别保持宿主程序长度不变的病毒。

(2)病毒签名检测法

病毒签名(病毒感染标记)是宿主程序己被感染的标记。不同病毒感染宿主程序时,在宿主程序的不同位置放入特殊的感染标记。这些标记是一些数字串或字符串。不同病毒的病毒签名内容不同、位置不同。经过剖析病毒样本,掌握了病毒签名的内容和位置之后,可以在可疑程序的特定位置搜索病毒签名。如果找到了病毒签名,那么可以断定可疑程序中有病毒,是何种病毒。这种方法称为病毒签名检测方法。但是该方法必须预先知道病毒签名的内容和位置,要把握各种病毒的签名,必须解剖病毒。剖析一个病毒样本要花费很多时间,是一笔很大的开销。

(3)特征代码检测法

病毒签名是一个特殊的识别标记,它不是可执行代码,并非所有病毒都具备病毒签名。某些病毒判断宿主程序是否受到感染是以宿主程序中是否含有某些可执行代码段做判据,因此,反病毒专家也采用了类似的方法检测病毒,在可疑程序中搜索某些特殊代码,称为特征代码检测法。

特征代码法被普遍用于各商业反病毒工具软件中。一般认为特征代码法是检测已知病毒的最简单、开销最小的方法。特征代码法的优点是:检测准确、快速;可识别病毒的名称;误报警率低;依据检测结果,可做杀毒处理。其缺点是:不能检测未知病毒;搜集已知病毒的特征代码,费用开销大;在网络上效率低。

(4)检验和法

对正常文件的内容,计算其校验和,将该校验和写入文件中或写入别的文件中保存。在文件使用过程中,定期地或每次使用文件前,检查文件现在内容算出的校验和与原来保存的校验和是否一致,因而可以发现文件是否感染,这种方法叫校验和法。它既可发现已知病毒又可发现未知病毒。但是,它不能识别病毒种类,不能报出病毒名称。由于病毒感染并非文件内容改变的唯一的排它性原因,文件内容的改变有可能是正常程序引起的,所以校验和法常常误报警。而且此种方法也会影响文件的运行速度。

(5)行为监测法

利用病毒的特有行为特性监测病毒的方法,称为行为监测法。通过对病毒多年的观察、研究,人们发现病毒有一些行为是病毒的共同行为,而且比较特殊。在正常程序中,这些行为比较罕见,当程序运行时,监视其行为,如果发现了病毒行为,立即报警。行为监测法的长处:可发现未知病毒,可相当准确地预报未知的多数病毒;行为监测法的短处:可能误报警,不能识别病毒名称,实现时有一定难度。

(6)感染实验法

感染实验是一种简单实用的检测病毒方法。这种方法的原理是利用病毒的最重要的基本特征:感染特性。所有的病毒都会进行感染,如果不会感染,就不称其为病毒。如果系统中有异常行为,最新版的检测工具也查不出病毒时,就可以做感染实验,运行可疑系统中的程序以后,再运行一些确切知道不带毒的正常程序,然后观察这些正常程序的长度和校验和,如果发现有的程序长度增长,或者校验和变化,就可断言系统中有病毒。

(7)病毒智能检测法

采用人工智能方法建立防范计算机病毒的智能系统是信息安全领域一项重要而又紧迫的研究课题,这也是人工智能研究工作的新领域。使用人工智能技术,期待能够实现计算机病毒特征的自动抽取,以及自动对病毒进行检测识别和判定

工作。应用智能手段检测病毒是当前反病毒研究的难点和热点。

三、结束语

随着计算机病毒在网络上的日益传播,其相应的反病毒技术也随之日益更新。针对不同用户采取相应的检测方法是反病毒工作中不可或缺的环节。研究计算机病毒检测技术有利于我们更好的防止计算机病毒的攻击,有利于我们更好的维护计算机网络安全,使得计算机网络真正发挥其积极的作用。

相关文档
最新文档