于洪涓++李晔
摘 要:在对计算机病毒进行研究之前,先对被研究病毒的行为特征进行全面了解,将会对后期的反汇编代码分析以及病毒查杀工作产生重大帮助。该文先是阐述了计算机病毒的行为特征,进而探究出一种基于程序行为的计算机病毒检测方法,以此用来计算机使用过程中产生的未知病毒。
关键词:计算机病毒 行为特征 病毒检测 语义网络
中图分类号:TP393.08 文献标识码:A 文章编号:1674-098X(2014)04(a)-0032-01
随着计算和网络技术的普及,在未来人们必将迎来全球化通讯网络时代。虽说网络给人们的生产生活带来巨大的便利性,但是一定程度上它也存在安全隐患与危害性,其中危害影响最为严重的就属计算机病毒。伴随着网络宽带的升级,计算机病毒的传播速度和变种速度也越来越快,产生问题也就愈发增多,人们对此也是关注不已,所以,如何提高计算机安全性能已经成为计算机领域重点研究的课题。面对计算机病毒变种日益加快的现象,人们必须要研究出新型性的检测方法来查找计算机存在的未知病毒。
1 计算机病毒的行为特征
1.1 传染性
计算机病毒最主要的特征莫过于传染性,同时,计算机病毒的传染性特征还可以用来判断某一段程序是否成为计算机病毒的载体。事实上,计算机病毒只是认为编写的一段计算机程序代码,一旦将其植入计算机中展开运行操作,它便会自动搜寻符合其传染条件的其他程序或者存储载体,认准目标后再将自身代码植入其中,从而形成自我的“繁殖与生长”。并且一直循环往复下去。
1.2 非授权性
计算机病毒潜藏在合乎法律规范的程序中,它们会利用用户操作运行合法程序的空隙偷窃到控制系统的权利,在合法程序之前就开始操作运行,无论病毒的行为,还是病毒的目的,对于用户来说都一无所知,其是在吗没有经过用户同意就开始自行操作运行的。
1.3 不可预见性
从病毒检测角度来说,计算机病毒还具备不可预见性的特征。病毒的种类不同,其所对应的代码也就不同。虽然现在已经研发出一定的反病毒技术,但是对于庞大的计算机病毒群体来说,这只是冰山一角,反病毒技术仍旧有待提高,只有在一定的病毒出现后,才会生成对应的反病毒技术。
1.4 可触发性
通常计算机病毒都会具备一种或者多种触发条件。一旦达到其触发条件的要求,其便被激活,并进行自我复制传染,给其它正常程序带来不利的影响,同时,计算机病毒的传染性受到触发条件的限制,触发条件越多,计算机病毒的传染程度就越大。
1.5 破坏性
计算机病毒主要包括良性病毒和恶性病毒两种。良性病毒是编程者出于恶作剧编写出来程序这类病毒不会对文件、数据产生破坏性,不过会造成系统资源的浪费。而恶性病毒则会对系统产生重大危害,可能会导致程序无法正常运行,或者将计算机内部文件进行删除,亦或者受文件和数据受到不同程度的破坏等等。
1.6 潜伏性
绝大数的计算机病毒在传染系统后不会立刻发作,因此,它可能会在磁盘上等上几天,甚至几年,一般要时机成熟它便会爆发,四处繁殖扩散,危害系统。比如黑色星期五病毒,不到预定时间一定不易察觉出来,等到条件具备了便会立马爆炸开来,对系统进行破坏。
1.7 隐蔽性
计算机病毒通常都为编程技术较高的程序,其个体较小,往往依附在合法程序之中,有时也会有少许的病毒出现在隐含文件之中,用户是很难发现这些小个体的。也就是说,不通过代码分析,是很难将计算机病毒与合法程序分辨出来的。
2 计算机病毒传染行为的语义网络表示以及检测方法
2.1 语义网络的阐释
语义网络是一个向图形式,是由一组节点和若干条连接节点的弧构成,其中节点代表事物、行为或者对象等,弧则指各个节点之间存在的关系。语义网络表示行为存在着一定的优势:一是语义网络表示中存在父节点与子节点、虚节点与实节点,有助于面向对象技术的实现;二是各节点之间形成一定的网状结构,便于理清各种复杂关系;三是其搜索效果较为明显,具备强大联想式推理作用。
2.2 计算机病毒传染行为中语义网络的表示
根据上文语义网络的阐述,在计算机病毒传染行为模式的语义网络表示中,节点代表着计算机的程序行为,将每条链上的结尾部的节点称为值节点,该节点上的值表示某种程序所具有的行为特性以及该行为特性所拥有的权值。例如,在整个语义网络中存在着“系统漏洞传播”的这一部分,节点通过这一部分又划分成“漏洞扫描”、“攻击模块”、以及“自我复制”三个子部分,分别代表某种程序在执行过程中漏洞扫描行为、攻击行为以及自我复制的行为。并且这三个子部分都有其自身的一个权值,其中权值的大小主要取决于行为所依据病毒的特征性。以此类推,语义网络中的其他值节点也是这样分层的。每一条弧线上的分析关系意味着这类行为特征并不是所有病毒程序都具备的,在检测过程中只要检测到其中一种就要加上与之对应的权值。该种表示方式有助于实现面向对象技术,把每一个恶意代码看作是一个对象,将不同种类的病毒程序及其典型性的传染行为整合起来,并按照对象之间的关系将它们联系性和结构性表示出来。在此构图中,恶意代码单独归为一类,该类中的具体对象就指代表着各种各样的病毒程序,每一种病毒程序的典型性的传染行为就作为事物的特性。在这种行为表示方法中形成的行为模式库很容易进行维护,并且产生的检测效果也很显著,值得推广使用。
2.3 未知病毒的检测方法
检测引擎在未知病毒的检测系统中起到举足轻重的作用,文中所提出的检测方法主要是以计算机病毒的行为特征作为准则,在此过程中的行为模式库是采用层次化的语义网络结构。检测引擎的工作流程是按照如下安排:先输入一组固定的病毒发现门槛值、检测值,用一个字符数组来贮存被检测文件所具备的病毒行为特征,随后导入检测文件进行病毒检测,检测系统要对文件内容进行检查,将检查到的内容与行为模式库中各种行为模式进行参照对比,如果被检文件符合计算机病毒的某种行为特征,就需在检测总值上加上此种行为特征的权值,并将其特征描述贮存到字符数组中。如果其检测值大于门槛值,就说明该文件内存在恶意代码,这时系统便会发出警告表示这一文件存在恶意行为,并指导用户进行文件删除或者杀毒的操作,最后检测结束;反之则说明文件不含有未知病毒,检测结束。
通过总结计算机病毒不同行为特征,并在此基础上形成的病毒检测方法产生效果更加明显,对用户进行未知病毒检测的帮助也就更大。
参考文献
[1] 程胜利,谈冉,熊文龙.计算机病毒及其防治技术[M].北京:清华大学出版社,2004.
[2] 山秀明,李昊,焦健.网络病毒行为模式分析[J].中国工程科学,2003(12).
[3] 彭国军,傅建明,张焕国.浅析反病毒技术现状挑战及发展趋势[J].信息网络安全,2009(9).endprint