论文主题:基于免疫原理的计算机病毒免疫系统初探论文 |论文网首页 |论文投稿 |网站地图 | XML地图
快速论文发表 <省级、国家级期刊论文发表
  • 您现在的位置: 论文网 > 核心期刊目录 > 计算机论文 > 基于免疫原理的计算机病毒免疫系统初探
  • 计算机论文:基于免疫原理的计算机病毒免疫系统初探



    步步高论文网 www.lunwenup.com 更新时间:2016-08-09 12:41
      一、基于网络的病毒传播模式
      (一)通过 Email 进行传播
      通过将病毒代码附属在 Email 中进行传播是网络病毒传播的一个主要途径。由于电子邮箱使用的广泛性 , 使得这种传播方式深受许多病毒制造者的青睐。病毒通过 Email 进行传播的方法有两种 , 一是直接将恶意代码本身加入到 Email 中 , 二是将恶意代码的 URL 连接加入到 Email 中。病毒利用 Email 进行传播的过程如下 :
      1. 寻找目标地址
      病毒在感染主机的 Email 地址簿 ! 历史记录或硬盘中搜索可用的 Email 地址。如Internet 临时文件夹中存放的 html 文件就可能包含有效的 Email 地址。如果用户安装了诸如Outlook 的邮件收发软件 , 病毒还能从中提取出邮件地址。
      2. 将自身复制并发送出去
      病毒扫描到可用的目标地址后 , 就将自身复制并发送出去。然而 , 有的病毒非常隐蔽 ,它并不直接发送带毒的电子邮件 , 而是感染用户的信纸 , 并通过修改系统的设置 , 使得邮件的默认信纸格式为 html 格式。当用户发送邮件时 , 病毒就会自动感染邮件正文。
      3. 激活病毒代码
      病毒代码到达接收端后,并不会自动运行,而是需要用户的激活。因此 , 病毒要想尽办法诱导用户激活病毒代码。病毒会用各种各样具有欺骗性的标题和内容来诱骗人们。例如“爱虫”病毒 , 就是利用人们对其标题的好奇心 ,引诱用户打开附件 , 从而激活病毒代码。
      (二)通过扫描系统漏洞传播
      蠕虫病毒代码是以独立程序的方式存在的 , 它不嵌入到任何宿主文件中。其传播过程是靠远程扫描 Internet 中存在漏洞的主机 , 利用这些漏洞将自己注入远程计算机中并取得系统控制权 " 然后就可以对受控主机进行攻击破坏了。
      蠕虫取得系统权限的方法主要有以下几种 :
      1. 利用系统漏洞
      蠕虫常利用一些系统或应用软件的漏洞进行传播。如某些版本的浏览器为了实现预览功能 , 会自动执行其中的 EML 文件。与 Email 传播不同的是 , 利用系统漏洞 , 蠕虫常常可以在远程获得联网主机的控制权。也就是说 , 它们首先控制目标主机 , 再将自己复制过去 , 进而实施攻击破坏。
      2. 利用局域网传播
      有些局域网的管理员由于缺乏安全意识或工作疏忽 , 使得某些机器上的系统文件夹是远程可写的。这往往会给蠕虫病毒留下了一个可利用的空子。蠕虫可以直接拷贝自身到局域网中可写的启动目录中 , 从而进行传播。有些病毒通过在局域网中寻找可写的 win.ini 或修改注册表,使得下次重新启动后蠕虫被自动运行。
      3. 利用服务器漏洞
      蠕虫还可以利用一些常见的服务器漏洞 ,如 IIS 漏洞 ,IFrame 漏洞等 , 获取远程服务器的控制权。之后 , 蠕虫就可以随意将恶意代码上传至服务器。从而导致所有访问该服务器的客户机都感染该蠕虫病毒。
      二、计算机病毒防御策略
      解决病毒攻击的理想办法是对病毒进行预防 , 即抑制病毒在网络中的传播 , 但由于受网络复杂性和具体技术的制约 , 预防病毒仍很难实现。当前 , 对计算机病毒的防治还仅仅是以检测和清除为主。目前的病毒防御措施主要有两种 : 基于主机的病毒防治策略和基于网络的病毒防治策略。
      (一)基于主机的检测策略
      基于主机的病毒防治策略主要有 : 特征码匹配技术、权限控制技术和完整性验证技术三大类。
      1. 特征码匹配 : 通过对到达主机的代码进行扫描 , 并与病毒特征库中的特征码进行匹配以判断该代码是否是恶意的。特征码扫描技术认为“同一种病毒或同类病毒具有部分相同的代码 "。也就是说 , 如果病毒及其变种具有某种共性 , 则可以将这种共性描述为“特征码”,并通过比较程序体和“特征码”来查找病毒。采用病毒特征码扫描法的检测工具 ,对于出现的新病毒 , 必须不断进行更新 , 否则检测就会失去价值。病毒特征码扫描法不认识新病毒的特征代码 , 自然也就无法检测出新病毒。
      2. 权限控制技术 : 恶意代码进入计算机系统后必须具有运行权限才能造成破坏。因此 ,如果能够恰当控制计算机系统中程序的权限 ,使其仅仅具备完成正常任务的最小权限 , 那么即使恶意代码嵌入到某程序中也不能实施破坏。这种病毒检测技术要能够探测并识别可疑程序代码指令序列 , 对其安全级别进行排序 ,并依据病毒代码的特点赋予不同的加权值。如果一个程序指令序列的加权值的总和超过一个许可的闭值 , 就说明该程序中存在病毒。
      3. 完整性技术 : 通常大多数的病毒代码都不是独立存在的 , 而是嵌入或依附在其它文档程序中的 , 一旦文件或程序被病毒感染 , 其完整性就会遭到破坏。在使用文件的过程中 , 定期地或每次使用文件前 , 检查文件内容是否与原来保存的一致,就可以发现文件是否被感染。
      文件完整性检测技术主要检查文件两次使用过程中的变化情况 " 病毒要想成功感染一个文件而不做任何改动是非常难的 , 所以完整性验证技术是一个十分有效的检测手段。
      基于主机的防治策略要求所有用户的机器上都要安装相应的防毒软件 , 并且要求用户能够及时更新防毒软件。因此 , 存在着可管理性差、成本高的缺点。
      (二)基于网络的检测策略
      基于网络的病毒检测技术主要有异常检测和误用检测两大类。
      1. 异常检测 : 病毒在传播时通常发送大量的网络扫描探测包 , 导致网络流量明显增加。
      因此 , 检测病毒的异常行为进而采取相应的控制措施是一种有效的反病毒策略。异常检测具有如下优点:能够迅速发现网络流量的异常,进而采取措施 , 避免大规模的网络拥塞和恶意代码的传播 ; 不仅能够检测出己知的病毒 , 而且也能够检测到未知病毒。缺点在于误报率较高。
      2. 误用检测 : 该技术也是基于特征码的。
      误用检测通过比较待检测数据流与特征库中的特征码 , 分析待测数据流中是否存在病毒。用于检测的特征码规则主要有协议类型、特征串、数据包长度、端口号等。该策略的优点在于检测比较准确 , 能够检测出具体的病毒类型。缺点是不能检测出未知的病毒 , 且需要花费大量的时间和精力去管理病毒特征库。
      基于网络的防治策略能够从宏观上控制病毒的传播 , 并且易于实现和维护。
      【注释】
      [1] 李霞 . 基于免疫原理的计算机病毒免疫系统初探 [J]. 计算机工程与应用 ,2003,(03)
      [2] 吴刚 , 赵旭 , 董永苹 . 一个分布式协作的大规模网络恶意代码检测系统 [J]. 大连理工大学学报 ,2005
      [3] 张运凯 , 马建峰 . 网络蠕虫传播与控制研究 [D]. 西安电子科技大学 ,2005
     
    职称论文发表

    欢迎关注微信公众服务号:dolunwen

    步步高论文发表网,10年专业级职称论文发表机构,最受欢迎的核心期刊论文发表网站 | 联系我们 |
    ©2000—2016 版权所有 步步高论文发表网 备案号:津ICP备11007469号-1.
    【合作】站长QQ:145177