新形势下网络病毒检测模型构建方法.docVIP

新形势下网络病毒检测模型构建方法 　　【 摘 要 】 随着网络技术的飞速发展，网络已经成为人们日常生活中必不可少的获取、处理、传递信息的手段，人们在日常生活中广发使用网络的同时，对网络的安全性也提出了更高的要求。网络病毒是网络安全面临的最大威胁，它可以利用计算机网络的系统漏洞进行不断的传播和转移，对网络安全造成巨大的破坏。所以，研究网络病毒的检测模型，在病毒产生之初将之检测出来并进行扼杀，对于控制病毒的危害是十分必要的。 【 关键词 】 网络病毒；检测模型；预警系统；构建 1 引言 21世纪是网络技术高速发展的时代，也是人们生活质量不断提高的阶段。网络技术的普及带给人们高效的沟通交流方式与便捷生活的同时，也潜伏了诸多不安全隐患，如计算机病毒的存在。病毒这一概念最早是由美国科学家F.Cohen博士提出，并赋予它恶意程序代码的概念，说明它是依附于其他程序之上并能够进行自我繁殖。病毒的鲜明特征就是其潜伏性、非授权性、强大的破坏性和传染能力。相关数据表明，每个月产生的新网络病毒数约为1000至1200个。网络病毒自产生以来，病毒的数量和种类都在不断增多，而且从其发展来看，网络病毒的主攻对象是人们生活和工作中使用最广泛的Windows系统。网络病毒利用全球互联的网络进行传播，并且可以针对计算机本身及其系统上的漏洞进行侵入，对网络的安全构成了巨大的威胁。控制网络病毒的传播要从源头入手，在病毒产生之初及时的发现并且进行处理，阻断其传播是重要的手段，而在这个过程中，则需要建立完善的网络病毒检测模型，及时发现并进行病毒预警，以便对网络病毒进行处理。 2 网络病毒检测机制的构建原理 在一个大型的局域网中，子网中遍布众多主机，并且其出入口布置有探针，可以对整个子网进行监控，捕获主机间传输的全部数据信息并进行报文处理，经过相应协议栈的处理和传输过程，可以把每一台子网中的主机接收和输出的数据准确还原出来。相应的报警系统对获取到的数据信息及报文展开包级检测，对于不能确定种类或以前未发现的新病毒进行流量检测，对于已知种类的病毒主要采取特征码检测。当获取的数据信息和报文相对模糊时，则要连接子网对相关的数据报文进行还原，之后对常见的病毒再进行文件检测，对已经变异的病毒进行虚拟机的检测。这样的病毒检测机制可以促进相应报警系统的检出病毒率，同时也能减少病毒的误报信息。 3 网络病毒检测模型的架构 病毒报警系统经常采用的管理模式是分布检测集中管理，其探针要始终布置在网络的出入口处，病毒管控中心可以和检测系统异地，但要通过专线进行连接。检测程序中的病毒库可以由控制中心协助被动升级，利用专线可以使探针将探测到的病毒传输到病毒库，控制中心远程控制探针。各探针对于病毒库输入的记录可以作为病毒监控的依据，生成子网中不同地区的病毒指数，从而便于对病毒爆发率高的地方进行提前检测并预警。 4 对局域网中的子网进行划分并建立模型 计算机网络自身的开放性、共享性决定了只要某一主机存在在局域网内，就可以随时对所有节点的主机的数据信息和报文资料进行监听。网络技术的进步促进了各子网中交换式网络设备的普及，使得网络出入口处的探针对交换式子网中数据交流的监控功能缺失，导致网络中有盲点存在的可能。一个探针所要负责的子网如果超出了其监听能力范围，必然会带来诸多盲点的出现。探针负责的子网变小会导致所需探针的数量增多，从而增加了相关的资金和设备投入，网络病毒检测模型在构建时要充分考虑到这一问题，按照需要在不改变程序的基础上动态增减探测位置与节点。 5 增强探测模型的扩展性 随着网络技术的进步，网络带宽不断增高，对计算机的数据传输和处理能力不断提出新的要求。不同的网络带宽对相应探针的需求有所不同，需要探针与之相适应。在网络病毒探测系统中，针对探针要进行扩展性处理，加强由多节点和数据分流器并行处理机的结构。一般情况下，流量低于400兆时，一个节点机即可实现正常处理，当高于400兆流量时就要相应的添加节点，添加节点过程中要注意按照流量来进行，节点添加后即可与数据分流器和处理机并行处理。根据数据的连接方式和状况，数据分流器平均划分相关数据，从而利于结构模型进行高效能数据处理功能的实现。网络病毒的预警分析较为特异，并行处理机间常会存在数据依赖现象，所以数据分流器需要在传输数据的过程中，对同一层传输来的数据进行分析并分发给同一处理机。TCP/IP协议中进行数据和控制连接是分开的，数据连接源和控制连接具有相同的目的地址和不同的端口，这样的连接具有一定的依赖性，需要利用网络病毒检测系统进行处理，从而降低节点机彼此间的数据交流的概率。 6 结束语 在科技发展日新月异，生活水平不断提高的今天，网络信息技术的不断进步推动着信息网络全球化的进程，人们