前言：本站為你精心整理了網(wǎng)絡(luò)環(huán)境下計(jì)算機(jī)病毒和防范技術(shù)3篇范文，希望能為你的創(chuàng)作提供參考價(jià)值，我們的客服老師可以幫助你提供個(gè)性化的參考范文，歡迎咨詢。

第一篇 1病毒的特征

計(jì)算機(jī)病毒和生物界中的病毒有相似的特征，存在著復(fù)制性（傳染性）、潛伏性、破壞性（發(fā)作性）、觸發(fā)性等特征。這里以流程進(jìn)行描述。當(dāng)病毒進(jìn)入計(jì)算機(jī)時(shí)候，它不是選擇直接破壞，而是潛伏起來，不斷的復(fù)制病毒，等待發(fā)作的機(jī)會(huì)。這和生物界的病毒原理相似。因?yàn)閱蝹€(gè)的病毒是很微小的，破壞作用及其有限，也容易被發(fā)現(xiàn)殺死清楚。所以成功的病毒，都是采用潛伏的方式，進(jìn)行復(fù)制，當(dāng)達(dá)到足夠的數(shù)量后，在滿足某個(gè)觸發(fā)條件后，進(jìn)行破壞（發(fā)作）。舉例來說：按以往的經(jīng)驗(yàn)計(jì)算機(jī)病毒的觸發(fā)條件可以設(shè)置為時(shí)間觸發(fā)，比如某月的某個(gè)日子，固定發(fā)作。曾經(jīng)破壞性能很強(qiáng)的CIH就是以此未觸發(fā)條件的。也可以在中斷的第N次設(shè)置為觸發(fā)條件等等。觸發(fā)條件滿足后，就開始破壞操作。也就相當(dāng)于生物中的生病。

2計(jì)算機(jī)病毒的分類

計(jì)算機(jī)可以采用多種分類方式，比如根據(jù)傷害程度，根據(jù)損害軟件和硬件、根據(jù)病毒編寫原理、根據(jù)病毒傳染的載體等等。這些相對是大家了解比較多的，本文介紹算法分類。伴隨型病毒：伴隨型病毒并不改變文件本身,而是根據(jù)算法產(chǎn)生.exe文件的伴隨體,與文件具有同樣的名稱和不同的擴(kuò)展名。當(dāng)DOS加載文件時(shí),伴隨體優(yōu)先被執(zhí)行,再由伴隨體加載執(zhí)行原來的.exe文件。蠕蟲型病毒蠕蟲型病毒通過計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)行傳播,它不改變文件和資料信息,而是根據(jù)計(jì)算機(jī)的網(wǎng)絡(luò)地址,將病毒通過網(wǎng)絡(luò)發(fā)送,蠕蟲病毒除了占用內(nèi)存外一般不占用其他資源。寄生型病毒除伴隨型病毒和蠕蟲型病毒之外的其他病毒均可稱為寄生型病毒。它們依附在系統(tǒng)的引導(dǎo)區(qū)或文件中,通過系統(tǒng)的功能進(jìn)行傳播,按算法又可分為練習(xí)型病毒、詭秘型病毒和變型病毒。練習(xí)型病毒自身包含錯(cuò)誤,不能很好的傳播,例如一些處在調(diào)試階段的病毒。詭秘型病毒一般不直接修改DOS中斷和扇區(qū)數(shù)據(jù),而是通過設(shè)備技術(shù)和文件緩沖區(qū)等進(jìn)行DOS內(nèi)部修改,由于該病毒使用比較高級的技術(shù),所以不易清除。變型病毒又稱幽靈病毒,這種病毒使用較復(fù)雜的算法,使自己每傳播一份都具有不同的內(nèi)容和長度。它們通過由一段混有無關(guān)指令的解碼算法和變化過的病毒體組成。

3病毒的防范與查殺技術(shù)

病毒的防范與查殺可以說是一門具體的學(xué)科，不能一一細(xì)述。這里介紹常用的方法與工具。首先對于病毒的防范，初學(xué)者可以采用一些成型的軟件，比如保護(hù)箱、360衛(wèi)士開啟實(shí)時(shí)保護(hù)等等。都可以起到病毒的防范作用。如果對安全度需求較高，就要從物理角度、操作系統(tǒng)角度、軟件、網(wǎng)絡(luò)多個(gè)角度進(jìn)行設(shè)置。需要一定的計(jì)算機(jī)網(wǎng)絡(luò)知識。其次在被感染前可以使用防火墻和殺毒軟件進(jìn)行預(yù)防。最后在被病毒感染后，要及時(shí)安裝殺毒軟件。比如卡巴斯基、諾頓、瑞星等等可以實(shí)時(shí)更新的軟件，都具有較好的殺毒效果。另外輔助使用注冊表技術(shù)可以使病毒的查殺事半功倍。

作者：馬峰柏單位：黑龍江農(nóng)業(yè)職業(yè)技術(shù)學(xué)院

第二篇 1網(wǎng)絡(luò)環(huán)境下的計(jì)算機(jī)病毒的特征及中毒表現(xiàn)

1.1計(jì)算機(jī)病毒具有以下特征：

1.1.1傳播途徑多，擴(kuò)散速度快大多數(shù)病毒的傳播是以網(wǎng)絡(luò)為媒介，以系統(tǒng)漏洞、網(wǎng)頁、郵件等形式進(jìn)行，伴隨著網(wǎng)絡(luò)的播散而播散，以極快的速度播散到全世界，譬如最早的由BBN技術(shù)公司程序員羅伯特•托馬斯（RobertThomas）編寫的計(jì)算機(jī)病毒Creeper出現(xiàn)在1971年，但當(dāng)時(shí)Creeper還尚未被稱為病毒。Creeper在網(wǎng)絡(luò)中移動(dòng)，很快就傳播到了很多計(jì)算機(jī)。2007年的“熊貓燒香”病毒僅僅在幾天之內(nèi)就被傳播到世界各地，并對很多大到公司小到普通網(wǎng)民產(chǎn)生了巨大影響。

1.1.2傳染性強(qiáng)、潛伏性好傳染原本是病毒的特征，在生物界，病毒通過一個(gè)生物擴(kuò)散到另外一個(gè)生物，這個(gè)現(xiàn)象叫做傳染，并在一定環(huán)境下，得以大量繁殖，導(dǎo)致被傳染生物的死亡。同樣，人們形象的把通過網(wǎng)絡(luò)播散的一些能導(dǎo)致其他計(jì)算機(jī)癱瘓的程序稱之為計(jì)算機(jī)病毒，與生物病毒不同的是，這些病毒是人為編制或插入的程序，這些程序一旦被啟動(dòng)，便會(huì)自動(dòng)搜索傳染目標(biāo)并插入自身代碼，如果不能及時(shí)被清除，便會(huì)以極快的速度進(jìn)行擴(kuò)散。計(jì)算機(jī)病毒傳染的渠道主要有：軟盤、計(jì)算機(jī)網(wǎng)絡(luò)，而現(xiàn)今狀況下，以網(wǎng)絡(luò)最為便捷、迅速。而這些病毒在進(jìn)入到一臺宿主時(shí)，并不會(huì)立即發(fā)作，它可以隱藏在文件中幾周、幾個(gè)月甚至幾年后得以爆發(fā)，隱藏性越好的病毒，傳播范圍越廣。

1.1.3破壞性強(qiáng)，隱藏性好計(jì)算機(jī)病毒是可執(zhí)行的程序，主要的表現(xiàn)之一是降低計(jì)算機(jī)運(yùn)行速度、減緩計(jì)算機(jī)的工作效率，而破壞程度取決于計(jì)算機(jī)病毒設(shè)計(jì)者的目的，被計(jì)算機(jī)病毒侵犯的數(shù)據(jù)大多無法恢復(fù)，甚至造成系統(tǒng)癱瘓、崩潰等巨大“計(jì)算機(jī)災(zāi)難”。計(jì)算機(jī)病毒一般而言都是短小精悍的程序，能很好的隱藏于正常程序或是磁盤或是一些文件中，不被識別，并且這些病毒在感染計(jì)算機(jī)后能很快繁殖并感染大量程序，但是計(jì)算機(jī)仍然能正常運(yùn)作，用戶很難察覺。正是由于計(jì)算機(jī)病毒隱藏性，為這些病毒的傳播創(chuàng)造了便利條件。并且這些病毒很難被徹底清除，只要有一臺計(jì)算機(jī)未被清除干凈，整個(gè)網(wǎng)絡(luò)依舊處于危險(xiǎn)狀態(tài)，所以計(jì)算機(jī)病毒的防范工作并不是一個(gè)人或是一個(gè)公司的事情，而是應(yīng)該整個(gè)網(wǎng)絡(luò)聯(lián)合起來，徹底消滅計(jì)算機(jī)病毒，但是這個(gè)工作的開展也很困難。

1.1.4目的性和針對性強(qiáng)最早期計(jì)算機(jī)病毒設(shè)計(jì)者在設(shè)計(jì)這些程序時(shí)僅僅是為了顯示自己的水平，而當(dāng)今這些設(shè)計(jì)者不僅僅是為了顯示水平，更多的是通過編撰病毒來獲得高額的經(jīng)濟(jì)利益。譬如“盜號木馬”的出現(xiàn)，這些木馬潛伏在用戶的計(jì)算機(jī)中不被察覺，并通過這些病毒程序來盜取用戶信息，如：QQ號，銀行賬號等，并將其發(fā)送到黑客手中，給用戶造成了巨大經(jīng)濟(jì)損失，而給黑客帶來了巨額的經(jīng)濟(jì)利益。

1.2計(jì)算機(jī)中毒表現(xiàn)

(1)計(jì)算機(jī)經(jīng)常死機(jī)：病毒感染計(jì)算機(jī)后會(huì)占用很多內(nèi)存，必然會(huì)導(dǎo)致計(jì)算機(jī)內(nèi)存不足，造成網(wǎng)絡(luò)運(yùn)行過慢；

(2)系統(tǒng)無法正常啟動(dòng)：病毒感染計(jì)算機(jī)后會(huì)修改或刪除啟動(dòng)文件；

(3)文件打不開：病毒感染計(jì)算機(jī)會(huì)修改文件格式、鏈接位置等造成文件無法打開；

(4)提示硬盤空間不夠：感染病毒時(shí)會(huì)被病毒占用大量空間，造成空間不足；

(5)數(shù)據(jù)丟失：病毒會(huì)自動(dòng)刪除文件，造成文件或數(shù)據(jù)的丟失；

(6)鍵盤或鼠標(biāo)無端被鎖死；

(7)系統(tǒng)自動(dòng)執(zhí)行操作：病毒是在后臺運(yùn)行并執(zhí)行非法操作。

2計(jì)算機(jī)病毒的檢測技術(shù)

雖然現(xiàn)在的計(jì)算機(jī)病毒隱藏性好，但是當(dāng)計(jì)算機(jī)感染上病毒后，依舊會(huì)有所改變，譬如文件的長度、日期，程序的運(yùn)行速度，或發(fā)生死機(jī)狀況等等。這就需要我們采用一些措施來檢測病毒，病毒軟件的運(yùn)用為我們檢測病毒帶來了很多便捷，這也就是所謂的病毒代碼，設(shè)計(jì)病毒代碼的公司截取病毒程序中一小段獨(dú)一無二的二進(jìn)制程序碼，以此來辨認(rèn)病毒。常用的技術(shù)主要有：

2.1病毒碼掃描法研究人員將新發(fā)現(xiàn)的病毒加以分析，編成病毒碼，錄入病毒資料庫。在執(zhí)行程序時(shí)，便會(huì)啟動(dòng)病毒程序，對執(zhí)行的文件進(jìn)行掃描、比對，以此檢測是否有病毒。這種方法的特點(diǎn)是：快速。但也存在缺陷：對于未知或變種的病毒無法檢測。

2.2人工智能陷阱人工智能陷阱是常駐在計(jì)算機(jī)中檢測計(jì)算機(jī)行為的一種技術(shù)，只要計(jì)算機(jī)的程式存在異常，便會(huì)有所警覺，并提示。有點(diǎn)是速度快，操作簡單，范圍廣；缺點(diǎn)是：設(shè)計(jì)程序復(fù)雜，容易存在漏洞。

2.3軟件模擬法多態(tài)性的病毒每次感染時(shí)其病毒代碼都會(huì)發(fā)生變化，因此檢測這類病毒時(shí)單一的密匙便會(huì)失去效用，并且沒有穩(wěn)定的代碼。所以針對這類病毒，需要采用軟件模擬法來進(jìn)行檢測，通過軟件模擬和分析程序的運(yùn)行，演繹為虛擬機(jī)上進(jìn)行查毒。在計(jì)算機(jī)發(fā)現(xiàn)隱藏的病毒時(shí)，便會(huì)啟動(dòng)軟件模擬模塊，來檢測病毒。

2.4加總比對法比對法主要是將正常的文件與被檢測的文件的名稱、大小、時(shí)間、及內(nèi)容進(jìn)行比對，加總為一個(gè)檢測碼，并將此檢測碼附于程序的后面，以此來追蹤每個(gè)程序的檢查碼是否遭更改，來判斷是否中毒。

（1）長度比較法及內(nèi)容比較法：當(dāng)病毒入侵計(jì)算機(jī)或計(jì)算機(jī)的文件時(shí)，定會(huì)造成系統(tǒng)或文件的改變。這些改變包括內(nèi)容的變化也包括長度的變化。因此通過比較原始系統(tǒng)、文件和被檢測文件內(nèi)容、長度，便會(huì)發(fā)現(xiàn)是否感染病毒。

（2）內(nèi)存比較法：計(jì)算機(jī)病毒中有一種病毒占據(jù)的是內(nèi)存空間，對于此類病毒需要采用內(nèi)存比較的方法。因?yàn)椴《救粢腭v內(nèi)存，必須進(jìn)行申請，并進(jìn)行占用，這樣通過對內(nèi)存進(jìn)行檢測，便會(huì)發(fā)現(xiàn)此類病毒是否感染內(nèi)存。

2.5VICE(VirusInstrUCtionCodeEmulation)-先知掃描法這個(gè)方法是在軟件模擬后的一大技術(shù)突破。計(jì)算機(jī)工程人員通過模擬CPU動(dòng)作并假執(zhí)行程序來解開變體引擎病毒，來判斷是否存在病毒碼。

2.6感染實(shí)驗(yàn)法所有的病毒都具有感染性，所以利用這一特性，計(jì)算機(jī)工程師運(yùn)用感染實(shí)驗(yàn)，在運(yùn)行可疑系統(tǒng)中的程序中觀察這些程序的長度，通過和正常的比較，來斷定系統(tǒng)是否中毒。

3計(jì)算機(jī)病毒的防范技術(shù)

3.1樹立安全防范意識計(jì)算機(jī)用戶應(yīng)該在思想上重視計(jì)算機(jī)病毒，充分了解病毒給計(jì)算機(jī)造成的危害，并認(rèn)識到中毒后計(jì)算機(jī)的表現(xiàn)以便及時(shí)查殺，在使用計(jì)算機(jī)時(shí)充分了解網(wǎng)絡(luò)中存在的隱患，為計(jì)算機(jī)安裝殺毒軟件并及時(shí)升級，定期為計(jì)算機(jī)殺毒，多了解病毒的動(dòng)態(tài)以便有效的預(yù)防。在使用移動(dòng)存儲(chǔ)設(shè)備時(shí)要先查殺病毒，在打開未知網(wǎng)站或郵件時(shí)要慎重，這樣才能減少病毒被激活的概率。

3.2建立計(jì)算機(jī)病毒管理報(bào)警中心計(jì)算機(jī)工程師為計(jì)算機(jī)服務(wù)器上建立“系統(tǒng)管理中心”，不斷更新計(jì)算機(jī)病毒定義碼，并相應(yīng)的更新防毒軟件，起到防御病毒的作用。當(dāng)檢測到網(wǎng)絡(luò)中存在安全隱患時(shí)，便會(huì)采用郵件的方式提醒計(jì)算機(jī)使用人員，引起重視，以便采取相應(yīng)的控制措施，保證網(wǎng)絡(luò)的安全。

3.3及時(shí)修補(bǔ)軟件漏洞系統(tǒng)提示存在系統(tǒng)漏洞時(shí)要及時(shí)修補(bǔ)，一些木馬病毒的制造者也通過這個(gè)隱蔽的方式來傳播病毒，譬如迅雷、酷我、QQ等第三方軟件。所以對這些軟件要及時(shí)更新，漏洞要及時(shí)修補(bǔ)，不給病毒可乘之機(jī)。

3.4系統(tǒng)、重要文件予以備份計(jì)算機(jī)在使用前都會(huì)被分區(qū)，我們在使用計(jì)算機(jī)時(shí)也會(huì)將不同的文件存放在不同的區(qū)域，大多數(shù)情況下系統(tǒng)和文件會(huì)分開放置，我們也會(huì)為系統(tǒng)和這些重要的文件予以備份，當(dāng)計(jì)算機(jī)遭到病毒感染導(dǎo)致系統(tǒng)癱瘓時(shí)，可以在短時(shí)間內(nèi)及時(shí)恢復(fù)。

3.5完善計(jì)算機(jī)安全防護(hù)體系計(jì)算機(jī)防護(hù)體系不僅僅包括殺毒軟件、防火墻等產(chǎn)品，而且還應(yīng)當(dāng)包含運(yùn)營商提供的安全保障。盡管現(xiàn)在病毒的更新、變異非常迅速，只要我們提高警惕，發(fā)現(xiàn)問題及時(shí)處理，就能有效控制病毒的發(fā)展和傳播，做到防患于未然。

3.6設(shè)置用戶訪問權(quán)限要為計(jì)算機(jī)的系統(tǒng)文件設(shè)置訪問權(quán)限，在安裝或使用一些程序時(shí)需要得到允許后才能執(zhí)行，這樣在一定程度上減少病毒的激活和傳播。

3.7主動(dòng)修改注冊表計(jì)算機(jī)病毒在攻擊系統(tǒng)時(shí)，并不是直接攻擊，需要相應(yīng)的觸發(fā)條件，這樣也就為防范病毒提供了另外一種方式，可以通過阻止這些觸發(fā)條件達(dá)到阻止病毒被激活的目的。注冊表便是觸發(fā)條件之一，所以可以通過修改注冊表來阻斷病毒被激活。計(jì)算機(jī)病毒的更新速度是隨著計(jì)算機(jī)的發(fā)展而發(fā)展的，當(dāng)今狀況下，計(jì)算機(jī)病毒更新速度快、花樣繁多，且編程者的技術(shù)越來越高，因此我們更應(yīng)當(dāng)在思想上提高警惕，做到充分認(rèn)識病毒，了解病毒，以便在病毒感染時(shí)能夠及時(shí)發(fā)現(xiàn)，及時(shí)清除。同時(shí)，我們也應(yīng)該提高計(jì)算機(jī)的防毒措施，采用更好更先進(jìn)的方法來檢測、發(fā)現(xiàn)、清理病毒。病毒與反病毒是一個(gè)長期而艱巨的過程。只要我們采取主動(dòng)防御措施，便不會(huì)給病毒的傳播以可乘之機(jī)。

作者：李越單位：山西農(nóng)業(yè)大學(xué)信息科學(xué)與工程學(xué)院

第三篇 1計(jì)算機(jī)病毒介紹

1.1計(jì)算機(jī)病毒特性和發(fā)展趨勢潛伏性：有些計(jì)算機(jī)病毒潛伏在宿主的計(jì)算機(jī)中，等到時(shí)機(jī)成熟的時(shí)候，集中爆發(fā)和擴(kuò)散，會(huì)對系統(tǒng)造成嚴(yán)重的傷害。一般潛伏時(shí)間越長，破壞性就越大。傳染性：計(jì)算機(jī)病毒的最基本特征就是傳染性。計(jì)算機(jī)病毒自我復(fù)制后會(huì)通過各種渠道在計(jì)算機(jī)之間傳播，如果不加以控制，蔓延速度會(huì)越來越快。破壞性：計(jì)算機(jī)病毒會(huì)導(dǎo)致系統(tǒng)資源被占用、計(jì)算機(jī)處理能力下降；重者導(dǎo)致系統(tǒng)癱瘓、重要的個(gè)人數(shù)據(jù)丟失等。隨著網(wǎng)絡(luò)技術(shù)和殺毒能力的提升，計(jì)算機(jī)病毒也會(huì)向傳播方式多樣化、破壞性增強(qiáng)、隱藏能力提高等方面發(fā)展。

1.2計(jì)算機(jī)病毒的傳播模型

1.2.1SIS模型SIS（SusceptibleInfectedSusceptible）模型將網(wǎng)絡(luò)節(jié)點(diǎn)分為易感染狀態(tài)（S）和已感染狀態(tài)（I）。一個(gè)感染節(jié)點(diǎn)治愈后稱為易感染節(jié)點(diǎn)，而感染了病毒的節(jié)點(diǎn)就是感染節(jié)點(diǎn)。

1.2.2SIR模型SIR(SusceptibleInfectedRemoved)模型將網(wǎng)絡(luò)節(jié)點(diǎn)分為易感染狀態(tài)（S）、已感染狀態(tài)（I）和免疫狀態(tài)（R）。SIR模型和SIS模型是在生物病毒的基礎(chǔ)上建立起來的。當(dāng)然計(jì)算機(jī)病毒和生物性病毒還是有很大區(qū)別的，此兩種模型就沒有考慮到外來因素對病毒傳播的影響，所以還需要改進(jìn)。

1.2.3SEIR模型SEIR（SusceptibleExposedInfectedRemoved）模型是在SIR模型的基礎(chǔ)上心添加了E狀態(tài)即潛伏狀態(tài)，此模型的原理說明病毒對系統(tǒng)的感染是有一定的潛伏期，在合適的時(shí)間才會(huì)感染宿主。所以感染節(jié)點(diǎn)治愈后有兩種可能：成為免疫節(jié)點(diǎn)或者重新成為易感染節(jié)點(diǎn)。

2計(jì)算機(jī)病毒診斷及防御模型設(shè)計(jì)計(jì)算機(jī)病毒診斷技術(shù)：

（1）虛擬機(jī)技術(shù)。虛擬機(jī)技術(shù)實(shí)質(zhì)上就是虛擬CPU，相當(dāng)于通用解密器。虛擬CPU有和真的CPU同樣的功能：取指、譯碼、執(zhí)行，也可以模擬代碼在CPU中運(yùn)行的結(jié)果。當(dāng)病毒侵入虛擬CPU時(shí)，病毒的特點(diǎn)（自我復(fù)制、傳染等）就會(huì)被反映出來，虛擬機(jī)的作用就是能反映任何的程序動(dòng)態(tài)。但是虛擬機(jī)執(zhí)行程序時(shí)速度太慢，所以只能部分執(zhí)行程序代碼，這樣可能就會(huì)漏掉病毒代碼。

（2）啟發(fā)式代碼掃描技術(shù)。病毒不會(huì)像正常程序一樣檢查命令行是否有參數(shù)項(xiàng)、執(zhí)行清屏操作后保持屏幕原來的顯示內(nèi)容，病毒的指令通常是直接執(zhí)行解碼指令，進(jìn)行寫操作或者搜索特別路徑下的可執(zhí)行程序的操作指令序列。啟發(fā)式代碼掃描技術(shù)就是在具體的反病毒軟件中接入病毒特征的經(jīng)驗(yàn)，就能及時(shí)檢測出和消除病毒。

3網(wǎng)絡(luò)病毒的防御模型

3.1已有的網(wǎng)絡(luò)病毒防御技術(shù)如前所述網(wǎng)絡(luò)病毒防御技術(shù)包括：

（1）網(wǎng)絡(luò)病毒在網(wǎng)絡(luò)中傳播時(shí)就對其進(jìn)行防御；

（2）病毒注入主機(jī)之后進(jìn)行防御。據(jù)統(tǒng)計(jì)，病毒通過網(wǎng)絡(luò)傳播的概率大約為80%，所以第一種病毒防御措施更有效。網(wǎng)絡(luò)病毒的實(shí)時(shí)防御措施主要有誤用檢測技術(shù)和校驗(yàn)和技術(shù)。一般的網(wǎng)絡(luò)病毒防御模型是殺毒軟件商收集數(shù)據(jù)、分析數(shù)據(jù)和數(shù)據(jù)；用戶客戶端接收數(shù)據(jù)后，殺毒軟件對程序進(jìn)行特征碼掃描、流量監(jiān)控、實(shí)時(shí)監(jiān)控、病毒隔離等。但是此模型的缺點(diǎn)是：

（1）經(jīng)常要更新病毒庫數(shù)據(jù)，占用用戶的系統(tǒng)資源；

（2）特征碼增長過快；

（3）對未知的病毒沒有主動(dòng)防御。

3.2NVDDM模型根據(jù)一般網(wǎng)絡(luò)病毒防御模型的缺點(diǎn)，提出了NVDDM（NetworkVirusDetectionAndDefenseModel）即網(wǎng)絡(luò)病毒檢測和防御模型。此模型以局域網(wǎng)為平臺，把基于主機(jī)和基于網(wǎng)絡(luò)的兩類防御方法結(jié)合在一起。模型分為三部分：殺毒軟件廠商、網(wǎng)絡(luò)病毒檢測和防御模型的服務(wù)端即NVDDM-SS（NetworkVirusDetectionAndDefenseModel-ServerSystem）、網(wǎng)絡(luò)病毒檢測和防御客戶端即NVDDM-CS(NetworkVirusDetectionAndDefenseModel-ClientSystem)。三者是互相聯(lián)系的統(tǒng)一的整體。三者作用分別為：殺毒軟件廠商：NVDDM服務(wù)端和NVDDM客戶端，同時(shí)收集、分析、整理和數(shù)據(jù)。NVDDM服務(wù)端：負(fù)責(zé)網(wǎng)絡(luò)數(shù)據(jù)安全、監(jiān)控和數(shù)據(jù)收集。NVDDM客戶端：實(shí)時(shí)監(jiān)控和主動(dòng)防御，并對可疑程序上傳數(shù)據(jù)資料給殺毒軟件廠商。NVDDM服務(wù)端應(yīng)用誤用檢測法對來自網(wǎng)絡(luò)的數(shù)據(jù)請求進(jìn)行檢測，如果是病毒就及時(shí)查殺；非病毒就及時(shí)放行，使申請?jiān)摂?shù)據(jù)的主機(jī)得到。因?yàn)?0%的病毒來自網(wǎng)絡(luò)，所以對來自主機(jī)的請求數(shù)據(jù)，NVDDM服務(wù)端會(huì)對數(shù)據(jù)進(jìn)行檢測，NVDDM客戶端不對其進(jìn)行檢測，而是監(jiān)控主機(jī)實(shí)時(shí)狀態(tài)，通過計(jì)算某個(gè)程序的權(quán)值來達(dá)到主動(dòng)防御的目的。

3.3NVDDM服務(wù)端設(shè)計(jì)

3.3.1網(wǎng)絡(luò)服務(wù)數(shù)據(jù)收集網(wǎng)絡(luò)服務(wù)數(shù)據(jù)收集就是給網(wǎng)絡(luò)服務(wù)權(quán)值提供源數(shù)據(jù)，主要從客戶和殺毒軟件廠商自身測試和研發(fā)兩種方式獲取。網(wǎng)絡(luò)服務(wù)數(shù)據(jù)處理行為表現(xiàn)為：服務(wù)端對網(wǎng)絡(luò)服務(wù)閾值集合和用戶所需求的網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行比較，得出相應(yīng)的處理行為：轉(zhuǎn)發(fā)、丟棄和保留。NVDDM服務(wù)端的安全數(shù)據(jù)庫包括特征碼數(shù)據(jù)、完整性校驗(yàn)數(shù)據(jù)和網(wǎng)絡(luò)服務(wù)閾值集合。當(dāng)NVDDM客戶端向NVDDM服務(wù)端請求網(wǎng)絡(luò)服務(wù)時(shí)，NVDDM服務(wù)端就對服務(wù)端對網(wǎng)絡(luò)服務(wù)閾值集合和用戶所需求的網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行比較，以此來決定相應(yīng)的處理行為。服務(wù)端通過網(wǎng)絡(luò)服務(wù)閾值集合最終能夠切斷病毒侵入主機(jī)的路徑，并保護(hù)主機(jī)所在局域網(wǎng)內(nèi)的其他用戶。

3.3.2服務(wù)端審計(jì)當(dāng)然，NVDDM服務(wù)端對于用戶的保護(hù)沒有絕對的安全性，也不能排除用戶的誤操作，所以審計(jì)也非常關(guān)鍵。審計(jì)就是監(jiān)控、記錄并分析主機(jī)和主機(jī)在網(wǎng)絡(luò)中的操作信息，不定期的對數(shù)據(jù)進(jìn)行處理和統(tǒng)計(jì)，評估主機(jī)在網(wǎng)絡(luò)中的安全性并能夠發(fā)現(xiàn)威脅實(shí)時(shí)報(bào)警。NVDDM服務(wù)端審計(jì)模塊是基于主機(jī)審計(jì)和基于網(wǎng)絡(luò)審計(jì)?；谥鳈C(jī)的審計(jì)有：注冊表監(jiān)控、文件監(jiān)控、進(jìn)程監(jiān)控、移動(dòng)設(shè)別監(jiān)控和日志管理；基于網(wǎng)絡(luò)的審計(jì)有：數(shù)據(jù)包監(jiān)控、IP地址監(jiān)控和行為監(jiān)控。這些監(jiān)控任務(wù)的完成需要組合使用SPI技術(shù)、hook技術(shù)等技術(shù)。NVDDM服務(wù)端當(dāng)然首先需要保證自身能抵御病毒攻擊，同時(shí)對網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行監(jiān)控并作出實(shí)時(shí)回應(yīng)。

3.4NVDDM客戶端設(shè)計(jì)NVDDM客戶端和NVDDM服務(wù)端兩者結(jié)合共同防御網(wǎng)絡(luò)病毒，而NVDDM客戶端主要負(fù)責(zé)網(wǎng)絡(luò)病毒的主動(dòng)檢測和防御。NVDDM客戶端有五個(gè)部分組成：管理、策略、監(jiān)控、分析和處理。NVDDM客戶端所要達(dá)到的目標(biāo)是：能夠完成常規(guī)病毒檢測例如特征碼檢驗(yàn)等。在此基礎(chǔ)上，主動(dòng)防御對象包括文件、進(jìn)程、注冊表、內(nèi)存和移動(dòng)設(shè)備。并且還能夠與NVDDM服務(wù)端進(jìn)行通信，所以系統(tǒng)需要相應(yīng)的移動(dòng)通信模塊。能夠?qū)梢赡繕?biāo)進(jìn)行處理和審計(jì)。網(wǎng)絡(luò)病毒和普通程序的區(qū)別在行為上表現(xiàn)為API函數(shù)。NVDDM客戶端防御病毒的方法就是給予API函數(shù)以權(quán)值，通過計(jì)算程序的權(quán)值，并與預(yù)先設(shè)置的閾值進(jìn)行比較，在病毒侵入主機(jī)之前進(jìn)行攔截。

3.4.1NVDDM客戶端管理和策略NVDDM客戶端管理的對象有策略、人和技術(shù)。對策略的管理包括策略的選擇、改進(jìn)和制定。對技術(shù)的管理主要有策略所決定。而對人的管理主要是對客戶端用戶安全知識的講解、操作行為的規(guī)范等。NVDDM客戶端策略的選擇：

（1）首先選擇適合系統(tǒng)的技術(shù)，比如SPI技術(shù)；

（2）系統(tǒng)所要監(jiān)控的網(wǎng)絡(luò)病毒經(jīng)常用到的函數(shù)，例如文件、操作內(nèi)存的一些函數(shù)；

（3）選擇函數(shù)賦予的權(quán)值和閾值；

（4）選定權(quán)值和閾值之后，選擇對程序的處理方式，這里主要有三種：攔截和禁止、放行、上傳可疑程序代碼并分析和處理。

（5）最后，對可以程序進(jìn)行日志記錄。

3.4.2NVDDM客戶端監(jiān)控和分析NVDDM客戶端需要監(jiān)控的部分有：文件、內(nèi)存、進(jìn)程、注冊表和移動(dòng)設(shè)備。文件監(jiān)控：監(jiān)控主機(jī)對文件的操作，記錄重要的刪除和修改信息。內(nèi)存監(jiān)控：監(jiān)控內(nèi)存的分配、釋放和內(nèi)存中的堆棧注入等。進(jìn)程監(jiān)控：監(jiān)控進(jìn)程和線程的創(chuàng)建和刪除，同時(shí)監(jiān)控如遠(yuǎn)程線程注入等一些異常行為。注冊表監(jiān)控：因?yàn)樽员戆擞?jì)算機(jī)應(yīng)用程序和計(jì)算機(jī)系統(tǒng)的全部配置信息，所以對其監(jiān)控十分必要，主要監(jiān)控注冊表的增加和修改的信息。移動(dòng)設(shè)備監(jiān)控：自啟動(dòng)病毒感染主機(jī)和設(shè)備中帶病毒的文件釋放后感染主機(jī)兩種。這五部分的監(jiān)控行為可以組合使用。

4總結(jié)

本文主要檢測和研究對象為局域網(wǎng)內(nèi)的網(wǎng)絡(luò)病毒。在此基礎(chǔ)上提出了NVDDM病毒防御模型。指出了網(wǎng)絡(luò)環(huán)境下的計(jì)算機(jī)病毒防御技術(shù)的中心思想是應(yīng)該主動(dòng)防御，而不是被動(dòng)防御。

作者：魏立津左丞嚴(yán)蒙單位：華中科技大學(xué)文華學(xué)院