基于信息安全的计算机主动防御反病毒技术研究

吴晓东 武警北京指挥学院

基于信息安全的计算机主动防御反病毒技术研究

吴晓东 武警北京指挥学院

随着计算机网络互联互通，我们有必要强化计算机通信网络安全防范措施，防止商业企业机密泄露、以及防范遭到破坏或窃取，以保护计算机通讯系统和通信网络中的大量信息资源免遭不同种类型的威胁、干扰与破坏。

信息安全 计算机主动防御反病毒 木马病毒

近年来，随着我国互联网的快速普和全面应用，我国的信息化发展迅速。信息安全越来越受到关注，只有信息安全得到保护，信息化才可以健康有序的发展。信息安全的保护主义是实现对信息的保密性、真实性、完整性、未授权拷贝、系统的安全性方面。要想杜绝网络病毒入侵电脑，就要先对病毒的传播方式方法有个大体的了解。只有知道了病毒的入侵，才能采取一系列的反病毒方法。

1 病毒传播形式

当前比较热门的病毒，主要是木马病毒和蠕虫病毒。木马病毒其实是一类后门启动程序，他的入侵主要是隐藏在计算机的操作系统里对用户资料进行窃取。窃取用户的QQ密码、网上银行账户密码、电子邮箱密码以及游戏账户密码等信息。蠕虫病毒相比木马病毒更高级，具有检查计算机电脑有没有系统及软件漏洞的模块，假设检查到某台电脑存在漏洞，就会立刻启动传播程序，通过操作系统和软件程序的漏洞给予主动攻击，传播途径十分广泛，危害性比木马病毒大，假设其中一台电脑感染了蠕虫病毒后，其局域网里面的另外电脑也会迅速被感染蠕虫病毒，然后电脑就会不断的被接受蠕虫病毒发送的数据包，被感染蠕虫病毒的电脑由于过多的无关数据发送来，就会降低了电脑的运行速度，同时还会造成CPU内存占用率过高而出现卡住死机发生。

病毒的传播途径也是多种多样，当前比较主流的病毒传播主要有漏洞型病毒传播和邮件型病毒传播。邮件类病毒是借助于网络电子邮件传播，这类病毒在传播前会先隐藏在邮件的附件中，并伪装成用户易点击的虚假信息，如果用户一旦点击，打开含有病毒信息的附件时，这类病毒就会迅速扩散传播。除了借助邮件传播外，还有借助用户浏览器的软件漏洞进行入侵。主要是用户在查看自己的邮件时，浏览器存在漏洞，就造成了邮件病毒的传播。漏洞型病毒传播主要是利用微软windows操作系统的漏洞造成漏洞型病毒趁虚而入，攻占你的计算机。

2 计算机主动防御反病毒技术分析

2.1 建立病毒防火墙技术

病毒防火墙能很好的阻止威胁计算机的用户和其数据，杜绝黑客利用病毒程序访问自己的电脑网络，防止一些不安全因素扩散到电脑所在的局域网络里。病毒防火墙是近几年出来的一个新概念，是从信息安全防火墙中扩展出来的，具有实时杀毒的功能，可以达到对系统实现实时监控，系统数据的流入以及流出可能包含病毒代码过滤器等方面的作用。病毒防火墙的优势是可以很好地防止病毒从网络到本地计算机系统，这也突破传统杀毒软件的智能化静态清除病毒是在网络上被感染的文件，用于实时通信的网络但是却不杀。其次是实时性，假设一旦病毒侵入系统或从系统中的其他资源的感染，病毒防火墙就会自动检测，并且进行去掉，能够实现这样最大可能地避免病毒的资源破坏的作用。

2.2 采用特征码技术和虚拟机技术

特征码技术主要是用于对已知病毒的分析查杀，是病毒诊断方法中的一种。具体就是对被检测的对象进行扫描，假设发现被检测对象内部发现了一种特定病毒码，就说明发现了该病毒码所代表的病毒。对于提取特征码的过程往往是自动的，少数时就需要反病毒学者进行人工干预。但是描述特征码无法用到所有的病毒，许多的病毒是特征码根本无法描述不出来的。在使用特征码技术时一定要使用一些补充功能，如，压缩包和压缩可执行性文件的自动查杀技术。虚拟机技术的出现是对没有出现过的，未知的病毒查杀的一种新的反病毒技术，也就是在特征码技术对没出现过的病毒的一种补充查杀技术。虚拟机技术的使用必须要有一个虚拟计算机系统的建立，虚拟机完全就像一个真实的计算机，可以工作，比如安装操作系统、安装应用程序、访问网络资源等。虽然它只是一个在你的物理计算机上运行的应用程序，其实它是一个真正的计算机在虚拟机中运行的应用程序。所以当评估软件在虚拟机中，系统可能会崩溃，即使系统崩溃，但只是一个虚拟机操作系统，并不是一个物理的计算机操作系统，并使用虚拟机撤消功能，可以立即将虚拟机恢复到状态之前的软件安装。也就是说假设程序文件真的含有病毒，那么我们就可以采用还原虚拟计算机的环境来阻断病毒运行，计算机的系统也不会受到影响，虚拟机技术存在的不足是会过多的占用系统的使用资源，这样计算机系统就不会出现死机现象。

2.3 启发式反病毒技术

启发式代码扫描技术具有自我发现的能力，具有发现新病毒，做到防御未知病毒，具有区分正常程序和不正常程序的能力。启发式技术不同于传统的反病毒技术，传统的反病毒扫描技术是在文件中查找已知病毒的特征码来鉴别有没有染毒，是一种静态的过程，仅能查出已知的病毒。对于启发式扫描，能够根据某些规则职能地分析程序的代码，从而有可能找到未知的病毒。启发式技术通过对比一个运行程序文件的指令执行顺序和正常的程序文件运行指令执行顺序，做出那些是正常程序，哪些是不正常程序的判断，当检测到指令中还要可疑的指令动作时，做出病毒程序判断并对其进行拦截处理。一个运用启发式扫描技术的病毒检测软件，实际上就是以特定方式实现的动态高度器或反编译器，通过对有关指令序列的反编译逐步理解和确定其蕴藏的真正动机。

[1]计算机病毒检测技术研究与实现[J].段晓阳.电子技术与软件工程.2015(21)

[2]计算机反病毒技术的发展现状与展望[J].赵仲飚.产业与科技论坛.2015(05)