网络病毒是与计算机相伴生的事物,它对计算机系统的运行安全性具有一定威胁,一旦计算机遭到病毒入侵,轻则导致信息丢失,重则可能无法正常使用。因此,网络病毒防御显得尤为必要。本文从计算机网络病毒及传播特性分析入手,论述了计算机网络病毒防御技术的应用,期望能够对计算机运行安全性的提升有所帮助。
一、计算机网络病毒及传播特性
1.1 网络病毒
所谓的网络病毒实质上就是依托于网络进行传播,对计算机系统具有强大破坏力的一种代码程序。按照网络病毒的功能可以将之分为两种:一种是木马,一种是蠕虫。前者归属于后门程序的范畴,能够长时间潜藏于计算机的操作系统当中,对用户的重要信息进行窃取;后者可以利用系统漏洞对计算机进行攻击,危害性更大,会导致计算机死机。
1.2 病毒传播特性
网络病毒之所以对计算机系统的危害性大,除了会破坏系统程序,窃取信息之外,还与病毒本身的传播特性有关,具体体现在如下几个方面:1)传播速度快、范围广、感染目标多。网络病毒可以通过接口、邮件、端口等途径进行快速传播,攻击的目标涉及所有的计算机网络设备。2)破坏性强。网络病毒在不断升级,它的破坏性变得越来越强,部分病毒能够造成网络瘫痪,据此盗取重要数据,给用户带来巨大损失。3)携带方式多。目前,网络病毒能够依附的程序越来越多,如电子邮件、网页、网络程序等等,更加便于病毒传播。4)更加隐蔽。随着用户对计算机网络安全重视程度的不断提升,各种安全防护措施被引入计算机系统当中,由此使得一些普通的病毒无法实现入侵的目标,而一些隐蔽性更好的病毒随之出现。
二、计算机网络病毒防御技术的应用
2.1 病毒检测技术
在计算机网络病毒的防御中,检测是较为重要的一个环节,可用于病毒检测的技术有特征码、文件校验、行为检测、模拟与扫描等等。
2.1.1 特征码从计算机网络病毒的角度上讲,特征码是一种从病毒样本当中提取出来的字节数小于等于64,可以代表病毒基本特征的代码,该代码为十六进制。从检测方式来看,特征码具有简单的特点,通过扫描能够对发现的病毒代码进行分解,并存储到相应的数据库中,当需要进行病毒查杀时,只要打开杀毒程序,特征码便会进行扫描,并将获取的内容与数据库中存储的代码进行比对,若是二者相似,则可判定为计算机病毒。特征码的病毒检测流程如下:1)对病毒数据库进行构建,在此基础上,对病毒样本进行采集、分析,以代码的形式将病毒存储到数据库中;2)分析数据库中的病毒代码,从中找出具有明显特征的代码,如攻击性、相似性以及隐藏性等等;3)以归纳后的代码作为主要的检测目标,在检测过程中,将被检测文件与病毒代码进行比对,看二者是否相似,如果相似,则可判定该文件遭到病毒感染,需要进行处理。检测过程简单、便捷,检测结果准确率高是特征码的技术优势,由此使得该技术在计算机网络病毒检测中得到广泛应用。但在实际应用中发现,特征码无法检测出未知的病毒,也就是说该技术在新型病毒的检测中无法达到预期效果。故此必须对病毒库进行实时更新。
2.1.2 文件校验病毒作为一种程序,它很难以单独的形式存在,而是需要以计算机系统中的某些文件为载体,通过寄存的方式存于其中。当病毒侵入到文件后,这个文件在系统中占用的空间会随之增大,并且文档的日期还可能被修改,当上述情况出现时,计算机系统中的安全防护软件便会自行启动盘点文件,给正常的软件编写出一份校验文件并进行保存。同时,安全防护软件会在正常软件被激活之后对其进行复验,若是二次检验结果存在差异,则表明软件遭到病毒感染,这就是文件检验技术的基本原理。通过该技术能够对未知的病毒进行检测,具体的方式如下:1)结合杀毒软件,在维护计算机系统的过程中进行文件检验,使之成为病毒防御的一种有效手段。2)依托病毒查杀功能,引入常态化对比的方式,当程序正常启动后,便进行检测,从而减少检测次数。3)将完整的检验程序直接写入到计算机系统的内存中,当程序激活时,检验程序便会自行检测。文件校验既可以对已知的病毒进行检测,又能检测出未知的病毒,它的检测效率要明显高于特征码技术。但需要指出的一点是,通过文件检验技术虽然可以判断计算机系统中有无病毒,却无法对病毒的具体情况进行确定。
2.1.3 行为检测病毒虽然种类繁多,但每种病毒却都具有特定性,行为检测就是针对病毒的特定性达到检测目的。当病毒侵入到网络后,会通过网络以最快的速度寻找能够寄存的计算机,一旦成功寄存,便会开始破坏计算机系统,获取其中的重要信息。在对病毒的行为进行分析后,能够总结出病毒启动的各种行为方式,借助行为检测技术,便可发现病毒,进而对病毒加以处理。病毒对计算机系统最为主要的攻击行为包括占据INT13H功能、缩小内存、修改文件等,行为检测技术可以根据上述攻击行为,对病毒进行有效检测,以此来达到防御的效果。
2.1.4 模拟与预扫描模拟技术是借助相应的软件对计算机系统当前的运行状况进行copy和模拟,与正常状况进行对比,找出二者之间存在的差异,以此为依据,发现病毒在系统中的运行机制,该技术对杀毒软件难于处理的病毒较为有效。而预扫描则是以模拟为基础,它比模拟的层次更高,能够模拟出所有未知或是变种的病毒,唯一的缺陷是耗时长。若是能够进一步缩短预扫描技术的时长,则会使该技术在计算机网络病毒检测中得到更加广泛应用。
2.2 病毒防御技术
计算机病毒的防御是一项系统工程,为达到预期中的防御效果,可对如下技术进行合理运用。
2.2.1单机防御病毒针对的是计算机系统,也就是说,病毒经网络进行传播后,最终都会进入到用户的计算机中,当病毒抵达目的地,会对计算机系统进行破坏,并窃取其中重要的信息。鉴于此,要想对病毒进行有效防御,就应当从计算机终端入手。杀毒软件能够有效保护计算机系统,避免被病毒入侵。常规的杀毒软件具有病毒扫描、清除、防御等功能,部分高端的杀毒软件还具备数据恢复、防黑客入侵等能力,是计算机最为有效的防御系统,能够对所有已知的病毒、木马程序等进行清除。单机防御应当以杀毒软件作为首选。
2.2.2 机组防御所谓的机组就是在一定的区域范围内,由多台计算机以互联的方式组合到一起,为用户提供各种与计算服务有关的系统。因为是多机互联,当其中某台计算机遭到病毒入侵后,病毒会传播到与之相联的其它计算机中,所以除了要为每台单机配置功能强大的杀毒软件之外,还应当针对多机互联的特点,采取有效的防御技术。如全方位病毒防御体系。机组在防御病毒时,可在人为防御干预的基础上,配置监控机制,由监控中心负责对病毒进行实时监测,并与计算机端子联动,同时,还要引入能够防止病毒爆发的隔离机制,以此来确保计算机组的运行安全性。
2.2.3 局域网防御局域网简称LAN,具体是指覆盖范围在几千米内的计算机网络,此类网络因便于安装、成本低、易于扩展,在办公领域内得到广泛应用。一旦病毒侵入到LAN当中,将会对该网络中所有的计算机终端造成危害,所以必须采取有效的技术措施,对LAN病毒进行防御。在对LAN病毒进行防御时,可以构建一个总部病毒报警系统,并使LAN中的计算机均与报警系统相连接,这样病毒报警系统便可对计算机进行监控,当发现有病毒入侵LAN计算机时便会发出报警信息,提醒网络管理人员进行及时处理,从而达到防御病毒的目的。
2.2.4 联动防御这里的联动是针对防火墙而言,以网关的安全策略作为依托,当网络侦测到异常后,会将相应的信息直接发送给防火墙,当防火墙接收到这部分信息会自行对病毒进行抵御,从而避免其侵入计算机系统中。为使病毒被阻隔到网关之外,防火墙会将病毒判定结果反馈给网关,而网关在接到反馈后,会开启隔离功能。通过联动防御,不但能够使网络的内部压力有所减小,而且还能进一步降低病毒在计算机之间传播的可能性。从病毒防御的效果上看,联动防御是所有方法中最好的一种,具有一定的推广使用价值。
2.2.5 基于数据挖掘的病毒防御在计算机网络病毒的防御中,数据挖掘技术的作用日益突显,在分析病毒的基础上,利用数据挖掘可以快速检测出未知的病毒,据此设计防御方法,对病毒进行有效防御,避免其对计算机造成破坏。基于数据挖掘的病毒防御分为以下过程:1)当病毒经网络成功入侵到计算机后,如果未被杀毒软件成功清除,那么便会以较快的速度进行传播,使更多的计算机遭受感染。借助数据挖掘能够对网络中传输的数据进行抓取,通过对数据进行动态检测,从中挖掘出原数据。2)对挖掘到的原数据进行分类和变换,使之转化为可识别的数据,如端口、IP地址等,随后依托数据库,对这部分数据进行处理,进而获得精准信息。3)通过对网络中异常数据的检测,快速找出病毒的入侵特性,利用数据挖掘记录日志审计信息,发现病毒入侵点,并进行预警提示。4)对于数据挖掘检测到的异常数据,可初步判定为病毒,利用防火墙对非法IP进行控制,以禁止访问的方式,避免病毒对计算机系统的入侵,从而达到防御病毒的效果,提高计算机网络安全性。
三、结论
综上所述,计算机网络病毒防御是一项较为复杂的工作,为达到预期中的防御效果,应当对网络病毒的传播特性加以了解和掌握,并应用行之有效防御技术,降低病毒的入侵概率,为计算机的安全运行提供保障。未来一段时期,应加大对网络病毒防御技术的研究力度,除对现有的技术和方法进行逐步优化之外,还应开发一些新的技术,从而使其更好地为计算机网络安全服务。