计算机病毒行为检测方法分析-信息安全专业论文.docxVIP

华中科技大学硕士学位论文 华 中 科 技 大 学 硕 士 学 位 论 文 PAGE 10 PAGE 10 1 概述 1.1 课题来源 由于网络的迅猛发展，计算机的应用已经渗透到社会经济的各个领域，信息安 全问题已经成为人们不得不重视的一个问题。而在众多信息安全威胁里，计算机病 毒已经逐渐引起人们的重视。 计算机病毒一词源于生物病毒，是指那些具有寄生性、传染性和破坏性的可执 行程序代码。自从 80 年代计算机病毒诞生以来，其数量以及种类不断递增，层出不 穷的各类新型病毒不管是从传播速度、范围还是从危害程度上都大大超越了以往的 病毒程序，计算机病毒概念的定义也变的越来越广泛。 计算机感染病毒之后，会造成敏感信息如用户隐私信息的泄露或破坏，非正常 占用磁盘或内存空间，阻碍网络传输，甚至导致计算机系统崩溃，这些都影响了计 算机的正常使用。近年来层出不穷的大规模病毒爆发对普通用户的正常使用和经济 活动造成极大的不便。鉴于此，病毒的检测和预防技术作为防御病毒攻击的第一步， 在维护网络正常传输和系统的正常运行，合理利用系统资源，保护重要信息的完整 性和保密性，提高用户使用效率等方面起着越来越重要的作用。 1.2 国内外研究现状 1.2.1 计算机病毒的定义及其分类 计算机病毒被定义为一种恶意的程序，它拥有一些特定的恶意功能，例如破坏 系统文件，窃取敏感信息，妨碍用户正常操作等。F.B. Cohen 最早于 1987 年提出计 算机病毒的定义如下：计算机病毒是这样的一个程序，它通过修改其他程序使其含 有该程序本身或它的一个变体，病毒具有感染力，它可借助其使用者的权限感染其 程序，在一个计算机系统或网络中得以繁殖和传播，每个被感染的程序也像病毒一 样可以感染其他程序，从而使得更多的程序受到感染[1]。而根据《中华人民共和国计 算机信息系统安全保护条例》中的定义，计算机病毒是指编制或者在计算机程序中 插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算 机指令或者程序代码。 随着病毒技术的发展，病毒的结构和功能都发生了巨大的改变，以往的定义也 很难再准确描述当前病毒的特征。广义上来说，病毒是一类具有传染性，隐蔽性， 潜伏性，破坏性的特殊程序[2]。 当前的计算机病毒数量呈现指数型增长，病毒的类型也在不断的增多。根据病 毒功能，传播方式，破坏程度等不同之处，计算机病毒可以被分为以下几个破坏程 度较为严重，传播较广的种类： 1. 传统病毒。传统病毒主要指那些感染计算机文件或者硬盘引导扇区的病毒， 也包括一部分宏病毒。这类病毒只要被感染文件被执行或系统启动即可被执行并开 始进行其恶意操作。 2. 特洛伊木马。木马程序一般不进行自我复制，但它会伪装成合法软件或应用， 一旦被激活后用户无法操作或终止其运行。这种恶意程序一般被用作窃取用户的密 码资料或其他重要数据信息，因此经常会有攻击者在远程对感染木马的主机进行控 制。 3. 蠕虫。蠕虫是网络应用普及后逐渐占据主流的一种病毒。蠕虫主要利用操作 系统漏洞，电子邮件，P2P 软件等通过网络完成自身的传播。它不利用文件寄生进行 感染，可以引起拒绝服务攻击并与其他黑客攻击技术相结合进行破坏。 随着当前病毒复杂程度的不断增加，往往一个病毒可能会综合大量不同类型病 毒的特点，因此很难简单的定义该病毒属于哪种类型，这也会给病毒的识别工作带 来极大的困难。 特征码技术 自从第一例计算机病毒 Pakistan Brain 诞生以来，计算机病毒的种类就不断增加， 各种新型的计算机病毒技术不断发展，其传播的速度以及对计算机安全造成的威胁 都在急剧增加。为了应对这种威胁，计算机病毒的检测技术也有了长足的进步。本 节将介绍常见的几种病毒检测技术以及病毒检测技术的发展趋势。 特征码技术是目前使用最广泛的一种病毒检测技术[3]。由于早期计算机病毒结构 较为简单，特征码技术被认为是用来检测已知病毒的最简单，开销最小的方法。采 用特征码技术的防毒软件在进行病毒扫描时，将所有已知病毒的病毒码加以剖析， 找出这些病毒各自的代码特征，也即可唯一标识此病毒的十六进制字符串，特征码 一般都选的较长，有时可达数十字节，一般也会选取多个以保证正确判断。搜集起 来存储在一个病毒特征码资料库中，每当需要扫描一个程序是否被病毒感染时，就 启动杀毒程序扫描该程序与病毒特征码资料库内的现有资料进行对比，如果存在相 似的特征码则判定该程序已遭病毒感染。 通常特征码选取是按照以下思路： 1. 获取一个病毒程序的长度，根据长度可以将文件分为几份，一般是 4-6 份或 更多。这种选取方式的优点是分成几段获取特征码的方法可以很大程度上避免采用 单一特征码误报病毒现象的发生，也可以避免特征码过于集中造成的误报[4]。 2. 从每份中选取通