公務員期刊網 論文中心 正文

計算機病毒防御路徑分析

前言:想要寫出一篇引人入勝的文章?我們特意為您整理了計算機病毒防御路徑分析范文,希望能給你帶來靈感和參考,敬請閱讀。

計算機病毒防御路徑分析

SIDR模型是對病毒傳播以及病毒清除過程的描述。在此模型中,節(jié)點被統(tǒng)分為四類狀態(tài):Susceptible代表節(jié)點已經收到病毒感染;Infections代表幾點不僅被感染并且會進一步的傳播;Detected代表節(jié)點雖然被感染,但是其存在的病毒已經有效的檢測出來并且并不會向外傳播;Removed代表節(jié)點本身具有抗病毒能力。這一模型考慮到了免疫延遲的情況,它將整個病毒進行傳播的過程分為兩個階段:在沒有反病毒程序前,網絡內的病毒會傳播并且疫苗不會傳播,在此作用下易感染節(jié)點會變?yōu)楦腥竟?jié)點;當具有反病毒程序后,易感染節(jié)點以及感染節(jié)點都具有接受疫苗而變成免疫節(jié)點的可能性。

雙基因模型對感染率變化以及病毒對抗措施介入對病毒傳播所造成的影響進行了考慮。在病毒傳播的過程中,計算機用戶可能會發(fā)現病毒病采取措施來對抗病毒,如對病毒庫的更新、對病毒的查殺、對系統(tǒng)補丁的完善等,這些方法能夠有效地的使病毒感染率降低。

1主機檢測策略

基于主機的檢測策略主要包括權限控制技術、完整性驗證技術和特征碼匹配技術三類。特征碼匹配技術可以通過對主機代碼的掃描來確定這些代碼的特征是否與病毒庫中的惡意代碼相同來判定計算機中是否存在惡意程序。其中同種及同類病毒具有相同代碼的理論是特征碼掃描技術的基礎,特征碼匹配技術需要不斷的對其病毒庫進行更新,不然將會不能識別新的病毒代碼,這種技術在這種情況下也自然會失去價值;權限控制技術是通過對計算機中程序權限的選定來避免惡意程序和代碼對計算機進行破壞,這是因為惡意程序和代碼只有在運行狀態(tài)下來能夠對計算機進行破壞;完整性檢測是基于病毒代碼需要依附和嵌入程序文檔來運行,它們并不是獨立存在的,而一旦程序或者文檔遭到感染,其本身的完整性也就會被破壞,所以對程序和文檔的完整性進行檢驗能夠有效地防止病毒的感染?;谥鳈C的檢測策略需要計算機用戶能夠在計算機中安裝防毒軟件并對軟件進行及時更新,而這種要求也使主機檢測策略具有了成本較高以及管理型較差的劣勢。

2網絡檢測策略

基于網絡的檢測策略主要包括異常檢測以及誤用檢測兩類。病毒在植入和傳播的過程中會發(fā)送探測包,這種行為會使網絡中的流量增加,對病毒本身的異常行為進行檢測并采取有效措施進行控制是十分必要的,異常檢測可以及時的發(fā)現計算機網絡流量的變化,當其變化異常是會采取措施來避免惡意程序和代碼的進一步傳播,這種方法不僅對已知病毒的檢測有效,同時也能夠檢測出新的未知的病毒,但是其本身存在較高的誤報率;誤用檢測技術以特征碼為基礎。通過誤用檢測,可以實現特征庫內特征碼與待檢測數據的比較,從而判定待檢測數據流內是否存在惡意病毒。在此技術中,主要的特征碼規(guī)則有特征串、端口號、協(xié)議類型和數據包長度等,相比較異常檢測而言,這種策略更加的準確,但是對未知病毒的檢測卻不能勝任。與機遇主機的檢測策略相比,網絡檢測策略更加的容易維護和實現,并且能夠有效的從宏觀上對病毒的傳播進行控制。(本文作者:侯超男 單位:湖南信息職業(yè)技術學院)