基于免疫原理的脚本病毒检测方法.pdfVIP

病毒检 方法借 建立抗 生物免疫系统(BiologicalImmuneSystem，BIS)是一个复 1．引言 杂的系统，由免疫活性分子、免疫细胞和免疫组织组成。生物 脚本病毒是这几年来困扰计算机用户的又一大难题， 免疫系统的重要生理功能就是对 “自己’口‘非‘己’’抗原的识别 与其它病毒的不 同之处表现在：脚本病毒是在脚本语言工 及应答。具体表现为免疫防御 (immunologicaldefense)、免疫 作环境中运行，不需要翻译，通过解释即可执行，具有传播 白稳 fimmunologicalhomeostasis)、免疫监视 (immunological 范围大 、感染力强、破坏力大、欺骗性强和源代码容易获取 surveillance)等生理功能l3I。免疫细胞通过遗传获得消灭已知 等特点。脚本病毒被嵌入在网页和电子邮件等文档中，一般 病毒的能力，并通过变异、学习等演化产生消灭变异病毒或未 采用VBScript、JavaScfipt等脚本语言编写，以纯文本形式存 知病毒的能力。生物免疫系统具有 良好的学习性、耐受性、鲁 在，可以用任何的文本编辑器进行编写。在 般‘的情况下， 棒性和 自适应性。 我们可以从被脚本病毒感染的文档中提取出病毒样本，以 由于生物免疫系统具有强大的信息处理能力，尤其是在 源代码的形式供用户阅读和修改，使得其制作的技术门槛 完全并行和分布的方式下实现复杂的计算，因而成为一个很 低、变种繁多。 有研究价值的课题。计算机科学家、工程师、数学家、哲学家 针对现今脚本病毒难以被检测的这一现状，研究一种既 和其他一些研究学者对这种和人脑一样复杂的系统特别感 可以在第一时间发现脚本病毒又不会误把正常文件报成脚 兴趣 。计算机学者借鉴生物免疫系统的病毒检测方法用来检 本病毒的检测方法迫在眉睫。目前脚本病毒的检测方法主要 测计算机病毒。 是采用特征扫描法_1_，但这种方法只能检测己知的病毒，对变 3．基于免疫原理的脚本病毒检测方法 种病毒无能为力；其次是校验和法，虽然该方法有一定的变种 本文提出的基于免疫原理的脚本病毒检测方法是通过 识别能力，但脚本代码是文本字符，时常会发生变化，因此不 提呈操作将脚本代码模拟成抗原，然后交给免疫系统进行检 能用简单的文件校验和来进行准确判断；再次是行为检测法， 测，抗原最终被确定为脚本病毒或 自体。图1给出了这种检 该方法能在一定程度上发现病毒变种，但是它的缺陷表现在 测方法的示意图。 不能识别病毒名称和病毒类型；还有攻击树发对，它变种病毒 有一定的预测能力团，但攻击树结构比较复杂，倘若攻击树构 造得不完备，就不能有效地对脚本病毒进行检测。 综合 以上因素，本文建立了一种基于免疫原理的脚本 病毒检测方法，将脚本代码提呈为抗原，利用免疫系统中的 抗体模拟脚本病毒检测器，通过免疫的优 良机制，让抗体进 行学习和进化，从而检测出有害抗原。与此同时，本文还对 免疫系统的 自体耐受和克隆选择机制进行了模拟，对 自体 和记忆抗体进行了演化。如果此种基于免疫原理的病毒检 测方法能用到计算机病毒的检测 ，这将能解决新脚本病 毒或