網絡環(huán)境下計算機病毒和防范技術3篇

前言：本站為你精心整理了網絡環(huán)境下計算機病毒和防范技術3篇范文，希望能為你的創(chuàng)作提供參考價值，我們的客服老師可以幫助你提供個性化的參考范文，歡迎咨詢。

第一篇 1病毒的特征

計算機病毒和生物界中的病毒有相似的特征，存在著復制性（傳染性）、潛伏性、破壞性（發(fā)作性）、觸發(fā)性等特征。這里以流程進行描述。當病毒進入計算機時候，它不是選擇直接破壞，而是潛伏起來，不斷的復制病毒，等待發(fā)作的機會。這和生物界的病毒原理相似。因為單個的病毒是很微小的，破壞作用及其有限，也容易被發(fā)現(xiàn)殺死清楚。所以成功的病毒，都是采用潛伏的方式，進行復制，當達到足夠的數量后，在滿足某個觸發(fā)條件后，進行破壞（發(fā)作）。舉例來說：按以往的經驗計算機病毒的觸發(fā)條件可以設置為時間觸發(fā)，比如某月的某個日子，固定發(fā)作。曾經破壞性能很強的CIH就是以此未觸發(fā)條件的。也可以在中斷的第N次設置為觸發(fā)條件等等。觸發(fā)條件滿足后，就開始破壞操作。也就相當于生物中的生病。

2計算機病毒的分類

計算機可以采用多種分類方式，比如根據傷害程度，根據損害軟件和硬件、根據病毒編寫原理、根據病毒傳染的載體等等。這些相對是大家了解比較多的，本文介紹算法分類。伴隨型病毒：伴隨型病毒并不改變文件本身,而是根據算法產生.exe文件的伴隨體,與文件具有同樣的名稱和不同的擴展名。當DOS加載文件時,伴隨體優(yōu)先被執(zhí)行,再由伴隨體加載執(zhí)行原來的.exe文件。蠕蟲型病毒蠕蟲型病毒通過計算機網絡進行傳播,它不改變文件和資料信息,而是根據計算機的網絡地址,將病毒通過網絡發(fā)送,蠕蟲病毒除了占用內存外一般不占用其他資源。寄生型病毒除伴隨型病毒和蠕蟲型病毒之外的其他病毒均可稱為寄生型病毒。它們依附在系統(tǒng)的引導區(qū)或文件中,通過系統(tǒng)的功能進行傳播,按算法又可分為練習型病毒、詭秘型病毒和變型病毒。練習型病毒自身包含錯誤,不能很好的傳播,例如一些處在調試階段的病毒。詭秘型病毒一般不直接修改DOS中斷和扇區(qū)數據,而是通過設備技術和文件緩沖區(qū)等進行DOS內部修改,由于該病毒使用比較高級的技術,所以不易清除。變型病毒又稱幽靈病毒,這種病毒使用較復雜的算法,使自己每傳播一份都具有不同的內容和長度。它們通過由一段混有無關指令的解碼算法和變化過的病毒體組成。

3病毒的防范與查殺技術

病毒的防范與查殺可以說是一門具體的學科，不能一一細述。這里介紹常用的方法與工具。首先對于病毒的防范，初學者可以采用一些成型的軟件，比如保護箱、360衛(wèi)士開啟實時保護等等。都可以起到病毒的防范作用。如果對安全度需求較高，就要從物理角度、操作系統(tǒng)角度、軟件、網絡多個角度進行設置。需要一定的計算機網絡知識。其次在被感染前可以使用防火墻和殺毒軟件進行預防。最后在被病毒感染后，要及時安裝殺毒軟件。比如卡巴斯基、諾頓、瑞星等等可以實時更新的軟件，都具有較好的殺毒效果。另外輔助使用注冊表技術可以使病毒的查殺事半功倍。

作者：馬峰柏單位：黑龍江農業(yè)職業(yè)技術學院

第二篇 1網絡環(huán)境下的計算機病毒的特征及中毒表現(xiàn)

1.1計算機病毒具有以下特征：

1.1.1傳播途徑多，擴散速度快大多數病毒的傳播是以網絡為媒介，以系統(tǒng)漏洞、網頁、郵件等形式進行，伴隨著網絡的播散而播散，以極快的速度播散到全世界，譬如最早的由BBN技術公司程序員羅伯特•托馬斯（RobertThomas）編寫的計算機病毒Creeper出現(xiàn)在1971年，但當時Creeper還尚未被稱為病毒。Creeper在網絡中移動，很快就傳播到了很多計算機。2007年的“熊貓燒香”病毒僅僅在幾天之內就被傳播到世界各地，并對很多大到公司小到普通網民產生了巨大影響。

1.1.2傳染性強、潛伏性好傳染原本是病毒的特征，在生物界，病毒通過一個生物擴散到另外一個生物，這個現(xiàn)象叫做傳染，并在一定環(huán)境下，得以大量繁殖，導致被傳染生物的死亡。同樣，人們形象的把通過網絡播散的一些能導致其他計算機癱瘓的程序稱之為計算機病毒，與生物病毒不同的是，這些病毒是人為編制或插入的程序，這些程序一旦被啟動，便會自動搜索傳染目標并插入自身代碼，如果不能及時被清除，便會以極快的速度進行擴散。計算機病毒傳染的渠道主要有：軟盤、計算機網絡，而現(xiàn)今狀況下，以網絡最為便捷、迅速。而這些病毒在進入到一臺宿主時，并不會立即發(fā)作，它可以隱藏在文件中幾周、幾個月甚至幾年后得以爆發(fā)，隱藏性越好的病毒，傳播范圍越廣。

1.1.3破壞性強，隱藏性好計算機病毒是可執(zhí)行的程序，主要的表現(xiàn)之一是降低計算機運行速度、減緩計算機的工作效率，而破壞程度取決于計算機病毒設計者的目的，被計算機病毒侵犯的數據大多無法恢復，甚至造成系統(tǒng)癱瘓、崩潰等巨大“計算機災難”。計算機病毒一般而言都是短小精悍的程序，能很好的隱藏于正常程序或是磁盤或是一些文件中，不被識別，并且這些病毒在感染計算機后能很快繁殖并感染大量程序，但是計算機仍然能正常運作，用戶很難察覺。正是由于計算機病毒隱藏性，為這些病毒的傳播創(chuàng)造了便利條件。并且這些病毒很難被徹底清除，只要有一臺計算機未被清除干凈，整個網絡依舊處于危險狀態(tài)，所以計算機病毒的防范工作并不是一個人或是一個公司的事情，而是應該整個網絡聯(lián)合起來，徹底消滅計算機病毒，但是這個工作的開展也很困難。

1.1.4目的性和針對性強最早期計算機病毒設計者在設計這些程序時僅僅是為了顯示自己的水平，而當今這些設計者不僅僅是為了顯示水平，更多的是通過編撰病毒來獲得高額的經濟利益。譬如“盜號木馬”的出現(xiàn)，這些木馬潛伏在用戶的計算機中不被察覺，并通過這些病毒程序來盜取用戶信息，如：QQ號，銀行賬號等，并將其發(fā)送到黑客手中，給用戶造成了巨大經濟損失，而給黑客帶來了巨額的經濟利益。

1.2計算機中毒表現(xiàn)

(1)計算機經常死機：病毒感染計算機后會占用很多內存，必然會導致計算機內存不足，造成網絡運行過慢；

(2)系統(tǒng)無法正常啟動：病毒感染計算機后會修改或刪除啟動文件；

(3)文件打不開：病毒感染計算機會修改文件格式、鏈接位置等造成文件無法打開；

(4)提示硬盤空間不夠：感染病毒時會被病毒占用大量空間，造成空間不足；

(5)數據丟失：病毒會自動刪除文件，造成文件或數據的丟失；

(6)鍵盤或鼠標無端被鎖死；

(7)系統(tǒng)自動執(zhí)行操作：病毒是在后臺運行并執(zhí)行非法操作。

2計算機病毒的檢測技術

雖然現(xiàn)在的計算機病毒隱藏性好，但是當計算機感染上病毒后，依舊會有所改變，譬如文件的長度、日期，程序的運行速度，或發(fā)生死機狀況等等。這就需要我們采用一些措施來檢測病毒，病毒軟件的運用為我們檢測病毒帶來了很多便捷，這也就是所謂的病毒代碼，設計病毒代碼的公司截取病毒程序中一小段獨一無二的二進制程序碼，以此來辨認病毒。常用的技術主要有：

2.1病毒碼掃描法研究人員將新發(fā)現(xiàn)的病毒加以分析，編成病毒碼，錄入病毒資料庫。在執(zhí)行程序時，便會啟動病毒程序，對執(zhí)行的文件進行掃描、比對，以此檢測是否有病毒。這種方法的特點是：快速。但也存在缺陷：對于未知或變種的病毒無法檢測。

2.2人工智能陷阱人工智能陷阱是常駐在計算機中檢測計算機行為的一種技術，只要計算機的程式存在異常，便會有所警覺，并提示。有點是速度快，操作簡單，范圍廣；缺點是：設計程序復雜，容易存在漏洞。

2.3軟件模擬法多態(tài)性的病毒每次感染時其病毒代碼都會發(fā)生變化，因此檢測這類病毒時單一的密匙便會失去效用，并且沒有穩(wěn)定的代碼。所以針對這類病毒，需要采用軟件模擬法來進行檢測，通過軟件模擬和分析程序的運行，演繹為虛擬機上進行查毒。在計算機發(fā)現(xiàn)隱藏的病毒時，便會啟動軟件模擬模塊，來檢測病毒。

2.4加總比對法比對法主要是將正常的文件與被檢測的文件的名稱、大小、時間、及內容進行比對，加總為一個檢測碼，并將此檢測碼附于程序的后面，以此來追蹤每個程序的檢查碼是否遭更改，來判斷是否中毒。

（1）長度比較法及內容比較法：當病毒入侵計算機或計算機的文件時，定會造成系統(tǒng)或文件的改變。這些改變包括內容的變化也包括長度的變化。因此通過比較原始系統(tǒng)、文件和被檢測文件內容、長度，便會發(fā)現(xiàn)是否感染病毒。

（2）內存比較法：計算機病毒中有一種病毒占據的是內存空間，對于此類病毒需要采用內存比較的方法。因為病毒若要入駐內存，必須進行申請，并進行占用，這樣通過對內存進行檢測，便會發(fā)現(xiàn)此類病毒是否感染內存。

2.5VICE(VirusInstrUCtionCodeEmulation)-先知掃描法這個方法是在軟件模擬后的一大技術突破。計算機工程人員通過模擬CPU動作并假執(zhí)行程序來解開變體引擎病毒，來判斷是否存在病毒碼。

2.6感染實驗法所有的病毒都具有感染性，所以利用這一特性，計算機工程師運用感染實驗，在運行可疑系統(tǒng)中的程序中觀察這些程序的長度，通過和正常的比較，來斷定系統(tǒng)是否中毒。

3計算機病毒的防范技術

3.1樹立安全防范意識計算機用戶應該在思想上重視計算機病毒，充分了解病毒給計算機造成的危害，并認識到中毒后計算機的表現(xiàn)以便及時查殺，在使用計算機時充分了解網絡中存在的隱患，為計算機安裝殺毒軟件并及時升級，定期為計算機殺毒，多了解病毒的動態(tài)以便有效的預防。在使用移動存儲設備時要先查殺病毒，在打開未知網站或郵件時要慎重，這樣才能減少病毒被激活的概率。

3.2建立計算機病毒管理報警中心計算機工程師為計算機服務器上建立“系統(tǒng)管理中心”，不斷更新計算機病毒定義碼，并相應的更新防毒軟件，起到防御病毒的作用。當檢測到網絡中存在安全隱患時，便會采用郵件的方式提醒計算機使用人員，引起重視，以便采取相應的控制措施，保證網絡的安全。

3.3及時修補軟件漏洞系統(tǒng)提示存在系統(tǒng)漏洞時要及時修補，一些木馬病毒的制造者也通過這個隱蔽的方式來傳播病毒，譬如迅雷、酷我、QQ等第三方軟件。所以對這些軟件要及時更新，漏洞要及時修補，不給病毒可乘之機。

3.4系統(tǒng)、重要文件予以備份計算機在使用前都會被分區(qū)，我們在使用計算機時也會將不同的文件存放在不同的區(qū)域，大多數情況下系統(tǒng)和文件會分開放置，我們也會為系統(tǒng)和這些重要的文件予以備份，當計算機遭到病毒感染導致系統(tǒng)癱瘓時，可以在短時間內及時恢復。

3.5完善計算機安全防護體系計算機防護體系不僅僅包括殺毒軟件、防火墻等產品，而且還應當包含運營商提供的安全保障。盡管現(xiàn)在病毒的更新、變異非常迅速，只要我們提高警惕，發(fā)現(xiàn)問題及時處理，就能有效控制病毒的發(fā)展和傳播，做到防患于未然。

3.6設置用戶訪問權限要為計算機的系統(tǒng)文件設置訪問權限，在安裝或使用一些程序時需要得到允許后才能執(zhí)行，這樣在一定程度上減少病毒的激活和傳播。

3.7主動修改注冊表計算機病毒在攻擊系統(tǒng)時，并不是直接攻擊，需要相應的觸發(fā)條件，這樣也就為防范病毒提供了另外一種方式，可以通過阻止這些觸發(fā)條件達到阻止病毒被激活的目的。注冊表便是觸發(fā)條件之一，所以可以通過修改注冊表來阻斷病毒被激活。計算機病毒的更新速度是隨著計算機的發(fā)展而發(fā)展的，當今狀況下，計算機病毒更新速度快、花樣繁多，且編程者的技術越來越高，因此我們更應當在思想上提高警惕，做到充分認識病毒，了解病毒，以便在病毒感染時能夠及時發(fā)現(xiàn)，及時清除。同時，我們也應該提高計算機的防毒措施，采用更好更先進的方法來檢測、發(fā)現(xiàn)、清理病毒。病毒與反病毒是一個長期而艱巨的過程。只要我們采取主動防御措施，便不會給病毒的傳播以可乘之機。

作者：李越單位：山西農業(yè)大學信息科學與工程學院

第三篇 1計算機病毒介紹

1.1計算機病毒特性和發(fā)展趨勢潛伏性：有些計算機病毒潛伏在宿主的計算機中，等到時機成熟的時候，集中爆發(fā)和擴散，會對系統(tǒng)造成嚴重的傷害。一般潛伏時間越長，破壞性就越大。傳染性：計算機病毒的最基本特征就是傳染性。計算機病毒自我復制后會通過各種渠道在計算機之間傳播，如果不加以控制，蔓延速度會越來越快。破壞性：計算機病毒會導致系統(tǒng)資源被占用、計算機處理能力下降；重者導致系統(tǒng)癱瘓、重要的個人數據丟失等。隨著網絡技術和殺毒能力的提升，計算機病毒也會向傳播方式多樣化、破壞性增強、隱藏能力提高等方面發(fā)展。

1.2計算機病毒的傳播模型

1.2.1SIS模型SIS（SusceptibleInfectedSusceptible）模型將網絡節(jié)點分為易感染狀態(tài)（S）和已感染狀態(tài)（I）。一個感染節(jié)點治愈后稱為易感染節(jié)點，而感染了病毒的節(jié)點就是感染節(jié)點。

1.2.2SIR模型SIR(SusceptibleInfectedRemoved)模型將網絡節(jié)點分為易感染狀態(tài)（S）、已感染狀態(tài)（I）和免疫狀態(tài)（R）。SIR模型和SIS模型是在生物病毒的基礎上建立起來的。當然計算機病毒和生物性病毒還是有很大區(qū)別的，此兩種模型就沒有考慮到外來因素對病毒傳播的影響，所以還需要改進。

1.2.3SEIR模型SEIR（SusceptibleExposedInfectedRemoved）模型是在SIR模型的基礎上心添加了E狀態(tài)即潛伏狀態(tài)，此模型的原理說明病毒對系統(tǒng)的感染是有一定的潛伏期，在合適的時間才會感染宿主。所以感染節(jié)點治愈后有兩種可能：成為免疫節(jié)點或者重新成為易感染節(jié)點。

2計算機病毒診斷及防御模型設計計算機病毒診斷技術：

（1）虛擬機技術。虛擬機技術實質上就是虛擬CPU，相當于通用解密器。虛擬CPU有和真的CPU同樣的功能：取指、譯碼、執(zhí)行，也可以模擬代碼在CPU中運行的結果。當病毒侵入虛擬CPU時，病毒的特點（自我復制、傳染等）就會被反映出來，虛擬機的作用就是能反映任何的程序動態(tài)。但是虛擬機執(zhí)行程序時速度太慢，所以只能部分執(zhí)行程序代碼，這樣可能就會漏掉病毒代碼。

（2）啟發(fā)式代碼掃描技術。病毒不會像正常程序一樣檢查命令行是否有參數項、執(zhí)行清屏操作后保持屏幕原來的顯示內容，病毒的指令通常是直接執(zhí)行解碼指令，進行寫操作或者搜索特別路徑下的可執(zhí)行程序的操作指令序列。啟發(fā)式代碼掃描技術就是在具體的反病毒軟件中接入病毒特征的經驗，就能及時檢測出和消除病毒。

3網絡病毒的防御模型

3.1已有的網絡病毒防御技術如前所述網絡病毒防御技術包括：

（1）網絡病毒在網絡中傳播時就對其進行防御；

（2）病毒注入主機之后進行防御。據統(tǒng)計，病毒通過網絡傳播的概率大約為80%，所以第一種病毒防御措施更有效。網絡病毒的實時防御措施主要有誤用檢測技術和校驗和技術。一般的網絡病毒防御模型是殺毒軟件商收集數據、分析數據和數據；用戶客戶端接收數據后，殺毒軟件對程序進行特征碼掃描、流量監(jiān)控、實時監(jiān)控、病毒隔離等。但是此模型的缺點是：

（1）經常要更新病毒庫數據，占用用戶的系統(tǒng)資源；

（2）特征碼增長過快；

（3）對未知的病毒沒有主動防御。

3.2NVDDM模型根據一般網絡病毒防御模型的缺點，提出了NVDDM（NetworkVirusDetectionAndDefenseModel）即網絡病毒檢測和防御模型。此模型以局域網為平臺，把基于主機和基于網絡的兩類防御方法結合在一起。模型分為三部分：殺毒軟件廠商、網絡病毒檢測和防御模型的服務端即NVDDM-SS（NetworkVirusDetectionAndDefenseModel-ServerSystem）、網絡病毒檢測和防御客戶端即NVDDM-CS(NetworkVirusDetectionAndDefenseModel-ClientSystem)。三者是互相聯(lián)系的統(tǒng)一的整體。三者作用分別為：殺毒軟件廠商：NVDDM服務端和NVDDM客戶端，同時收集、分析、整理和數據。NVDDM服務端：負責網絡數據安全、監(jiān)控和數據收集。NVDDM客戶端：實時監(jiān)控和主動防御，并對可疑程序上傳數據資料給殺毒軟件廠商。NVDDM服務端應用誤用檢測法對來自網絡的數據請求進行檢測，如果是病毒就及時查殺；非病毒就及時放行，使申請該數據的主機得到。因為80%的病毒來自網絡，所以對來自主機的請求數據，NVDDM服務端會對數據進行檢測，NVDDM客戶端不對其進行檢測，而是監(jiān)控主機實時狀態(tài)，通過計算某個程序的權值來達到主動防御的目的。

3.3NVDDM服務端設計

3.3.1網絡服務數據收集網絡服務數據收集就是給網絡服務權值提供源數據，主要從客戶和殺毒軟件廠商自身測試和研發(fā)兩種方式獲取。網絡服務數據處理行為表現(xiàn)為：服務端對網絡服務閾值集合和用戶所需求的網絡數據進行比較，得出相應的處理行為：轉發(fā)、丟棄和保留。NVDDM服務端的安全數據庫包括特征碼數據、完整性校驗數據和網絡服務閾值集合。當NVDDM客戶端向NVDDM服務端請求網絡服務時，NVDDM服務端就對服務端對網絡服務閾值集合和用戶所需求的網絡數據進行比較，以此來決定相應的處理行為。服務端通過網絡服務閾值集合最終能夠切斷病毒侵入主機的路徑，并保護主機所在局域網內的其他用戶。

3.3.2服務端審計當然，NVDDM服務端對于用戶的保護沒有絕對的安全性，也不能排除用戶的誤操作，所以審計也非常關鍵。審計就是監(jiān)控、記錄并分析主機和主機在網絡中的操作信息，不定期的對數據進行處理和統(tǒng)計，評估主機在網絡中的安全性并能夠發(fā)現(xiàn)威脅實時報警。NVDDM服務端審計模塊是基于主機審計和基于網絡審計。基于主機的審計有：注冊表監(jiān)控、文件監(jiān)控、進程監(jiān)控、移動設別監(jiān)控和日志管理；基于網絡的審計有：數據包監(jiān)控、IP地址監(jiān)控和行為監(jiān)控。這些監(jiān)控任務的完成需要組合使用SPI技術、hook技術等技術。NVDDM服務端當然首先需要保證自身能抵御病毒攻擊，同時對網絡數據進行監(jiān)控并作出實時回應。

3.4NVDDM客戶端設計NVDDM客戶端和NVDDM服務端兩者結合共同防御網絡病毒，而NVDDM客戶端主要負責網絡病毒的主動檢測和防御。NVDDM客戶端有五個部分組成：管理、策略、監(jiān)控、分析和處理。NVDDM客戶端所要達到的目標是：能夠完成常規(guī)病毒檢測例如特征碼檢驗等。在此基礎上，主動防御對象包括文件、進程、注冊表、內存和移動設備。并且還能夠與NVDDM服務端進行通信，所以系統(tǒng)需要相應的移動通信模塊。能夠對可疑目標進行處理和審計。網絡病毒和普通程序的區(qū)別在行為上表現(xiàn)為API函數。NVDDM客戶端防御病毒的方法就是給予API函數以權值，通過計算程序的權值，并與預先設置的閾值進行比較，在病毒侵入主機之前進行攔截。

3.4.1NVDDM客戶端管理和策略NVDDM客戶端管理的對象有策略、人和技術。對策略的管理包括策略的選擇、改進和制定。對技術的管理主要有策略所決定。而對人的管理主要是對客戶端用戶安全知識的講解、操作行為的規(guī)范等。NVDDM客戶端策略的選擇：

（1）首先選擇適合系統(tǒng)的技術，比如SPI技術；

（2）系統(tǒng)所要監(jiān)控的網絡病毒經常用到的函數，例如文件、操作內存的一些函數；

（3）選擇函數賦予的權值和閾值；

（4）選定權值和閾值之后，選擇對程序的處理方式，這里主要有三種：攔截和禁止、放行、上傳可疑程序代碼并分析和處理。

（5）最后，對可以程序進行日志記錄。

3.4.2NVDDM客戶端監(jiān)控和分析NVDDM客戶端需要監(jiān)控的部分有：文件、內存、進程、注冊表和移動設備。文件監(jiān)控：監(jiān)控主機對文件的操作，記錄重要的刪除和修改信息。內存監(jiān)控：監(jiān)控內存的分配、釋放和內存中的堆棧注入等。進程監(jiān)控：監(jiān)控進程和線程的創(chuàng)建和刪除，同時監(jiān)控如遠程線程注入等一些異常行為。注冊表監(jiān)控：因為注冊表包括了計算機應用程序和計算機系統(tǒng)的全部配置信息，所以對其監(jiān)控十分必要，主要監(jiān)控注冊表的增加和修改的信息。移動設備監(jiān)控：自啟動病毒感染主機和設備中帶病毒的文件釋放后感染主機兩種。這五部分的監(jiān)控行為可以組合使用。

4總結

本文主要檢測和研究對象為局域網內的網絡病毒。在此基礎上提出了NVDDM病毒防御模型。指出了網絡環(huán)境下的計算機病毒防御技術的中心思想是應該主動防御，而不是被動防御。

作者：魏立津左丞嚴蒙單位：華中科技大學文華學院