基于信息安全的计算机主动防御反病毒技术研究

米兰·黑娜亚提 艾克帕尔·艾合买提 涂伟沪

【 摘 要 】 论文根据新的信息安全理论研究成果，结合计算机反病毒主动防御的实践经验，提出应强化信息安全的主动防御技术，此技术更好地弥补了传统信息安全中杀毒软件的技术弱点。主动防御技术可以快速准确有效阻止恶意程序执行相关操作，可以将相关病毒全面封杀在攻击的起步阶段，从时间与技术两个层面强化对病毒的阻止，有效地规避了信息安全中封杀病毒的滞后性，提升了信息安全的技术与执行效率。

【 关键词 】 信息安全；主动防御；反病毒

【 中图分类号 】 TP393 【 文献标识码 】 A

【 Abstract 】 According to the latest research achievement of information security theory， and combined with the computer anti virus active defense experience， we should strengthen information security active defense technology research and practice， this technology is better for traditional antivirus software in the information security technical weakness， active defense can accurately and effectively prevent malicious program execution related operations， can be related to the virus cripple in the initial stage of attack， strengthen the virus to prevent from two aspects of time and technology， effectively circumvent the blocked virus lag information security， improve the technology and efficiency of information security， this paper provides basic reference for deepening the research related.

【 Keywords 】 information security； cctive defense； anti virus

1 引言

计算机安全理论界定义信息安全学科是一个跨学科、综合性较强的通信学科，本文对数学、物理、计算机、通信等安全信息学科长期积累的知识和许多新的研究开发成果进行自主创新研究，加强顶层设计，从而提出系统、集成和协作的解决方案。

安全协议的研究主要包括安全协议的安全分析方法、安全协议的设计和分析。目前，国内外已经提出了许多切实可行的协议，而代表的有电子商务协议、IPSec协议、TLS协议、简单网络管理协议、PGP协议、PEM协议S-HTTP、S/MIME协议。

电子商务协议、IPSec协议和TLS协议是理论与实务界当前研究的一个热点话题。根据相关计算机理论研究，网络信息安全是信息安全的重要研究内容之一，也是信息安全领域的一个研究热点。

网络信息安全解决方案是一个综合性的问题，涉及到很多内容，包括技术、产品和管理，目前国际上已经有很多网络信息安全解决方案和产品，但由于出口政策和自主性不能直接用于解决我国自身网络问题，因此，中国的网络信息安全只能借鉴这些先进的技术和产品，才能解决问题。

2 实时反病毒技术的应用研究

病毒防火墙实际上是从信息安全防火墙中扩展出来的，是近年来的一个新概念，目的是系统实现实时监控，系统数据的流入和流出可能包含病毒代码过滤器。这恰恰体现了实时杀毒的概念本质——解决了用户的“未知”病毒。

与传统的反病毒模型相比，病毒防火墙具有明显的优势。

首先，其过滤的病毒具有很好的实时性，一旦病毒侵入系统或从系统中的其他资源的感染，它会自动检测，可以去掉，这样可以最大可能地避免病毒的资源破坏。

其次，“病毒防火墙”可以有效地防止病毒从网络到本地计算机系统。而这恰恰是传统杀毒软件无法实现的，因为传统杀毒软件的智能化静态清除病毒是在网络上被感染的文件，用于实时通信的网络却不杀。

第三，“防火墙”双向过滤功能卡本地系统不给网络病毒传播病毒。虚拟机是一个系统，它支持多个操作系统在一个单一的物理服务器上运行，它可以提供更有效的底层硬件的使用。在虚拟机中，中央处理器芯片分为系统的另一部分，在“保护模式”环境下运行的操作系统和应用程序。

通过虚拟机仿真软件，可以模拟计算机中的多个虚拟计算机，虚拟机完全像一个真实的计算机，可以工作，比如安装操作系统、安装应用程序、访问网络资源等。虽然它只是一个在你的物理计算机上运行的应用程序，它是一个真正的计算机在虚拟机中运行的应用程序。因此，当评估软件在虚拟机中，系统可能会崩溃，但是，崩溃只是一个虚拟机操作系统，并不是一个物理的计算机操作系统，并使用虚拟机撤消功能，可以立即将虚拟机恢复到状态之前的软件安装。

在反病毒领域，为什么需要使用虚拟机技术？这些病毒在目标程序的干扰下会通过加密或变性的自我隐藏。只有这样才能摆脱大部分杀毒软件的功能识别，因为它们在静态特性上几乎是完全不一样的。通过对这些病毒的分析和研究，可以发现通过进行虚拟来恢复加密的甚至变形病毒程序，这样就可以恢复原始病毒的外观，这样就可以通过传统的识别条件。

在互联网的早期，病毒制造者的心态是由病毒的原始显示转化为病毒的利益。他们更愿意写一些更强大、更广泛的病毒传播，因此木马、后门、以及蠕虫病毒已经成为主流的病毒程序。病毒的存在从形态上看，病毒厂商更倾向于通过包装方式识别反病毒软件。

在互联网时代，病毒制造业分工越来越细化，分工与合作促进了互联网的病毒。互联网的病毒给反病毒产业带来了巨大的压力。病毒制造者倾向于使用一些代码来实现病毒的大规模生产。

为了应对这种病毒性的问题，目前国内反病毒产业，都是以行为监测分析为基础的主体推动此行为。但基于监控的行为分析是一种自然的缺陷，这是所有反病毒厂商都无法避免的问题。

3 主动防御反病毒技术研究

3.1 基于SSDT的病毒主动防御技术应用

本文中SSDT系统服务描述符表是一个将应用层指令到系统内核的通道。通过一个函数修改SSDT表地址，常用的Windows功能和过滤，API钩子和一些重要的系统行为监控、恶意程序不能运行，按照正常的，为了实现主动防御功能的。

钩子的意图是钩子，是一个窗口消息处理机制的平台，应用程序可以设置上面的子程序来监视某个消息的指定窗口，并监控串口可以由其他进程生成。当消息到达目标窗口处理函数处理前，勾机制允许应用程序来保证处理窗口消息或特定事件。钩子技术是一种用于改变应用程序的结果的技术，微软本身就是在窗口操作系统中使用的技术，如窗口兼容模式等。

3.2 基于行为分析的病毒主动防御技术应用

本文对目标行为的研究可以观察到，可以通过外部行为进行量化的性能，也能对行为的具体和清晰的描述行为进行有效的控制行为。

在信息安全领域，行为分析技术的原理是基于行为的程序功能，测试是否病毒，如果是异常行为，那么它可以被认定为病毒。比如早期未知木马判断是很粗糙的，但效果是非常明显的，它的核心思想是确定目录系统是系统使用它自己的目录，除了系统的任何其他程序不应该使用这个目录，如果有一个程序，使自己的副本，你会认为该程序是一个木马或病毒。传统的防范技术使得大量的计算机用户都面临这样一个问题：没有反病毒软件不能，用杀毒软件是不多的效果。

这种情况是由几个方面造成的。

第一，杀毒软件保护是静态的，传统的被动防御完全依赖于网络维护人员的设备手动配置来实现，因此它很难处理复杂的当前网络入侵事件。

第二，杀毒软件的防护能力是被动的，它采用的是防御技术只能被动地接受每一次攻击的入侵者，但不受入侵者的任何影响。主动防御技术应包括三个层次，即资源访问规则控制、资源访问扫描、程序活动行为分析引擎。其中，行为分析引擎技术是最重要的。在资源访问控制层，通过系统资源的规则控制，以防止病毒、木马和其他恶意程序使用这些资源。在资源访问层中，通过对一些资源的监控，如文件、引导区、邮件、脚本访问、内容扫描等，分析了恶意代码，传统的杀毒软件文件监控、邮件监控等都是此层。过程活动行为决策层是从前两层的过程动作和特征信息的自动采集，并对其进行处理和判断。

参考文献

[1] 李丹，苏锋，滕曰.“信息安全概论”课程教学的改革与探索[J].价值工程，2015（34）.

[2] 董令超.以管理和教育的手段促进信息的安全[J].科技信息，2014（14）

[3] 张焕国，杜瑞颖.武汉大学：信息安全人才培养现状与问题[J].中国教育网络，2014（09）.

作者简介：

米兰·黑娜亚提（1975-），女，哈萨克族，新疆阿勒泰人，研究生，讲师；主要研究方向与关注领域：信息安全。

艾克帕尔·阿合买提（1982-），男，维吾尔族，新疆人，本科；主要研究方向和关注领域：电子信息工程。

涂伟沪（1972-），男，汉族，上海人，硕士，副教授；主要研究方向和关注领域：数据挖掘。