于洪涓++李曄

摘 要：在對計算機病毒進行研究之前，先對被研究病毒的行為特征進行全面了解，將會對后期的反匯編代碼分析以及病毒查殺工作產(chǎn)生重大幫助。該文先是闡述了計算機病毒的行為特征，進而探究出一種基于程序行為的計算機病毒檢測方法，以此用來計算機使用過程中產(chǎn)生的未知病毒。

關(guān)鍵詞：計算機病毒 行為特征 病毒檢測 語義網(wǎng)絡(luò)

中圖分類號：TP393.08 文獻標(biāo)識碼：A 文章編號：1674-098X（2014）04（a）-0032-01

隨著計算和網(wǎng)絡(luò)技術(shù)的普及，在未來人們必將迎來全球化通訊網(wǎng)絡(luò)時代。雖說網(wǎng)絡(luò)給人們的生產(chǎn)生活帶來巨大的便利性，但是一定程度上它也存在安全隱患與危害性，其中危害影響最為嚴重的就屬計算機病毒。伴隨著網(wǎng)絡(luò)寬帶的升級，計算機病毒的傳播速度和變種速度也越來越快，產(chǎn)生問題也就愈發(fā)增多，人們對此也是關(guān)注不已，所以，如何提高計算機安全性能已經(jīng)成為計算機領(lǐng)域重點研究的課題。面對計算機病毒變種日益加快的現(xiàn)象，人們必須要研究出新型性的檢測方法來查找計算機存在的未知病毒。

1 計算機病毒的行為特征

1.1 傳染性

計算機病毒最主要的特征莫過于傳染性，同時，計算機病毒的傳染性特征還可以用來判斷某一段程序是否成為計算機病毒的載體。事實上，計算機病毒只是認為編寫的一段計算機程序代碼，一旦將其植入計算機中展開運行操作，它便會自動搜尋符合其傳染條件的其他程序或者存儲載體，認準(zhǔn)目標(biāo)后再將自身代碼植入其中，從而形成自我的“繁殖與生長”。并且一直循環(huán)往復(fù)下去。

1.2 非授權(quán)性

計算機病毒潛藏在合乎法律規(guī)范的程序中，它們會利用用戶操作運行合法程序的空隙偷竊到控制系統(tǒng)的權(quán)利，在合法程序之前就開始操作運行，無論病毒的行為，還是病毒的目的，對于用戶來說都一無所知，其是在嗎沒有經(jīng)過用戶同意就開始自行操作運行的。

1.3 不可預(yù)見性

從病毒檢測角度來說，計算機病毒還具備不可預(yù)見性的特征。病毒的種類不同，其所對應(yīng)的代碼也就不同。雖然現(xiàn)在已經(jīng)研發(fā)出一定的反病毒技術(shù)，但是對于龐大的計算機病毒群體來說，這只是冰山一角，反病毒技術(shù)仍舊有待提高，只有在一定的病毒出現(xiàn)后，才會生成對應(yīng)的反病毒技術(shù)。

1.4 可觸發(fā)性

通常計算機病毒都會具備一種或者多種觸發(fā)條件。一旦達到其觸發(fā)條件的要求，其便被激活，并進行自我復(fù)制傳染，給其它正常程序帶來不利的影響，同時，計算機病毒的傳染性受到觸發(fā)條件的限制，觸發(fā)條件越多，計算機病毒的傳染程度就越大。

1.5 破壞性

計算機病毒主要包括良性病毒和惡性病毒兩種。良性病毒是編程者出于惡作劇編寫出來程序這類病毒不會對文件、數(shù)據(jù)產(chǎn)生破壞性，不過會造成系統(tǒng)資源的浪費。而惡性病毒則會對系統(tǒng)產(chǎn)生重大危害，可能會導(dǎo)致程序無法正常運行，或者將計算機內(nèi)部文件進行刪除，亦或者受文件和數(shù)據(jù)受到不同程度的破壞等等。

1.6 潛伏性

絕大數(shù)的計算機病毒在傳染系統(tǒng)后不會立刻發(fā)作，因此，它可能會在磁盤上等上幾天，甚至幾年，一般要時機成熟它便會爆發(fā)，四處繁殖擴散，危害系統(tǒng)。比如黑色星期五病毒，不到預(yù)定時間一定不易察覺出來，等到條件具備了便會立馬爆炸開來，對系統(tǒng)進行破壞。

1.7 隱蔽性

計算機病毒通常都為編程技術(shù)較高的程序，其個體較小，往往依附在合法程序之中，有時也會有少許的病毒出現(xiàn)在隱含文件之中，用戶是很難發(fā)現(xiàn)這些小個體的。也就是說，不通過代碼分析，是很難將計算機病毒與合法程序分辨出來的。

2 計算機病毒傳染行為的語義網(wǎng)絡(luò)表示以及檢測方法

2.1 語義網(wǎng)絡(luò)的闡釋

語義網(wǎng)絡(luò)是一個向圖形式，是由一組節(jié)點和若干條連接節(jié)點的弧構(gòu)成，其中節(jié)點代表事物、行為或者對象等，弧則指各個節(jié)點之間存在的關(guān)系。語義網(wǎng)絡(luò)表示行為存在著一定的優(yōu)勢：一是語義網(wǎng)絡(luò)表示中存在父節(jié)點與子節(jié)點、虛節(jié)點與實節(jié)點，有助于面向?qū)ο蠹夹g(shù)的實現(xiàn)；二是各節(jié)點之間形成一定的網(wǎng)狀結(jié)構(gòu)，便于理清各種復(fù)雜關(guān)系；三是其搜索效果較為明顯，具備強大聯(lián)想式推理作用。

2.2 計算機病毒傳染行為中語義網(wǎng)絡(luò)的表示

根據(jù)上文語義網(wǎng)絡(luò)的闡述，在計算機病毒傳染行為模式的語義網(wǎng)絡(luò)表示中，節(jié)點代表著計算機的程序行為，將每條鏈上的結(jié)尾部的節(jié)點稱為值節(jié)點，該節(jié)點上的值表示某種程序所具有的行為特性以及該行為特性所擁有的權(quán)值。例如，在整個語義網(wǎng)絡(luò)中存在著“系統(tǒng)漏洞傳播”的這一部分，節(jié)點通過這一部分又劃分成“漏洞掃描”、“攻擊模塊”、以及“自我復(fù)制”三個子部分，分別代表某種程序在執(zhí)行過程中漏洞掃描行為、攻擊行為以及自我復(fù)制的行為。并且這三個子部分都有其自身的一個權(quán)值，其中權(quán)值的大小主要取決于行為所依據(jù)病毒的特征性。以此類推，語義網(wǎng)絡(luò)中的其他值節(jié)點也是這樣分層的。每一條弧線上的分析關(guān)系意味著這類行為特征并不是所有病毒程序都具備的，在檢測過程中只要檢測到其中一種就要加上與之對應(yīng)的權(quán)值。該種表示方式有助于實現(xiàn)面向?qū)ο蠹夹g(shù)，把每一個惡意代碼看作是一個對象，將不同種類的病毒程序及其典型性的傳染行為整合起來，并按照對象之間的關(guān)系將它們聯(lián)系性和結(jié)構(gòu)性表示出來。在此構(gòu)圖中，惡意代碼單獨歸為一類，該類中的具體對象就指代表著各種各樣的病毒程序，每一種病毒程序的典型性的傳染行為就作為事物的特性。在這種行為表示方法中形成的行為模式庫很容易進行維護，并且產(chǎn)生的檢測效果也很顯著，值得推廣使用。

2.3 未知病毒的檢測方法

檢測引擎在未知病毒的檢測系統(tǒng)中起到舉足輕重的作用，文中所提出的檢測方法主要是以計算機病毒的行為特征作為準(zhǔn)則，在此過程中的行為模式庫是采用層次化的語義網(wǎng)絡(luò)結(jié)構(gòu)。檢測引擎的工作流程是按照如下安排：先輸入一組固定的病毒發(fā)現(xiàn)門檻值、檢測值，用一個字符數(shù)組來貯存被檢測文件所具備的病毒行為特征，隨后導(dǎo)入檢測文件進行病毒檢測，檢測系統(tǒng)要對文件內(nèi)容進行檢查，將檢查到的內(nèi)容與行為模式庫中各種行為模式進行參照對比，如果被檢文件符合計算機病毒的某種行為特征，就需在檢測總值上加上此種行為特征的權(quán)值，并將其特征描述貯存到字符數(shù)組中。如果其檢測值大于門檻值，就說明該文件內(nèi)存在惡意代碼，這時系統(tǒng)便會發(fā)出警告表示這一文件存在惡意行為，并指導(dǎo)用戶進行文件刪除或者殺毒的操作，最后檢測結(jié)束；反之則說明文件不含有未知病毒，檢測結(jié)束。

通過總結(jié)計算機病毒不同行為特征，并在此基礎(chǔ)上形成的病毒檢測方法產(chǎn)生效果更加明顯，對用戶進行未知病毒檢測的幫助也就更大。

參考文獻

[1] 程勝利，談冉，熊文龍.計算機病毒及其防治技術(shù)[M].北京：清華大學(xué)出版社，2004.

[2] 山秀明，李昊，焦健.網(wǎng)絡(luò)病毒行為模式分析[J].中國工程科學(xué)，2003（12）.

[3] 彭國軍，傅建明，張煥國.淺析反病毒技術(shù)現(xiàn)狀挑戰(zhàn)及發(fā)展趨勢[J].信息網(wǎng)絡(luò)安全，2009（9）.endprint