网络信息安全之防火墙入反病毒技术 (七)
2013-01-08 09:30
375 查看
随着计算机技术及Internet的发展,人们对计算机的应用越加广泛,由此,计算机病毒对人们的危害也越来越大,这就使人们的计算机防毒概念已经有了更新的认识。在这里介绍一些最常用的防毒技术。
1.反病毒技术的发展
随着计算机技术及反毒技术的发展,早期的防病毒卡亦象其它的计算机硬件卡(如汉字卡等)一样,逐步地衰落出市场,与此对应的,各种反病毒软件开始日益风行起来,并且经过了十几年的发展。
第一代反病毒技术是采取单纯的病毒特征代码分析,将病毒从带毒文件中清除掉。这种方式可以准确地清除病毒,可靠性很高。但后来病毒技术发展了,特别是加密和变形技术的运用,使得这种简单的静态扫描方式失去了作用。随之而来的反病毒技术也发展了一步。
第二代反病毒技术是采用静态广谱特征扫描方法检测病毒,这种方式可以更多地检测出变形病毒,但另一方面误报率也提高,尤其是用这种不严格的特征判定方式去清除病毒带来的风险性很大,容易造成文件和数据的破坏。所以说静态防病毒技术也有难以克服的缺陷。
第三代反病毒技术的主要特点是将静态扫描技术和动态仿真跟踪技术结合起来,将查找病毒和清除病毒合二为一,形成一个整体解决方案,能够全面实现防、查、杀等反病毒所必备的各种手段,以驻留内存方式防止病毒的***,凡是检测到的病毒都能清除,不会破坏文件和数据。随着病毒数量的增加和新型病毒技术的发展,静态扫描技术将会使反毒软件速度降低,驻留内存防毒模块容易产生误报。
第四代反病毒技术则是针对计算机病毒的发展而基于病毒家族体系的命名规则、基于多位CRC校验和扫描机理,启发式智能代码分析模块、动态数据还原模块(能查出隐蔽性极强的压缩加密文件中的病毒)、内存解毒模块、自身免疫模块等先进的解毒技术,较好的解决了以前防毒技术顾此失彼、此消彼长的状态。
2.病毒检测方法
目前市面上常见的防毒软件经常使用的防毒技术一般分为以下几种:特征代码法、校验和法、行为监测法、软件模拟法、VICE先知扫描法等。这些方法依据其原理的不同,实现时所需开销也各不相同,检测范围也不同,各有所长,下面简单介绍特征代码检测方法。
特征代码法目前被认为是用来检测已知病毒的最简单、开销最小的方法。防毒软件在最初的扫毒方式是将所有病毒的病毒码加以剖析,并且将这些病毒独有的特征搜集在一个病毒码资料库中,每当需要扫描该程序是否有毒的时候,启动查毒软件程序,以扫描的方式与该病毒码资料库内的现有资料一一比对,如果两方资料皆有吻合之处的话,既判定该程序已遭病毒感染。特征代码法的实现步骤如下:
(1) 采集已知病毒样本。如果病毒既感染COM文件,又感染EXE文件,那么对这种病毒要同时采集COM型病毒样本和EXE型病毒样本。
(2) 在病毒样本中,抽取病毒特征代码。在既感染COM文件又感染EXE文件的病毒样本中,要抽取两种样本共有的代码。
(3) 将特征代码纳入病毒数据库。
(4) 检测文件。打开被检测文件,在文件中搜索,检查文件中是否含有病毒数据库中的病毒特征代码。如果发现病毒特征代码,将特征代码与病毒一一对应,便可以断定被查文件所感染的是何种病毒。
采用病毒特征代码法的检测工具,其检测准确,可识别病毒的名称。这种病毒检测技术误报警率低、依据检测结果,可做相应的解毒处理。但是,面对不断出现的新病毒,必须不断更新版本,否则便检测不会新出现的各种病毒,因病毒特征代码法对从未见过的新病毒,自然无法知道其特征代码,无法去检测这些新病毒。随着病毒种类的增多,新版本的病毒数据库会加大,检索时间就会变长,大大降低了软件的使用效率。而且此类扫毒方法不能检测出隐蔽性病毒,因隐蔽性病毒先进驻内存后,能够将感染文件中的病毒代码剥去,检测工具就会发现被检测文件是一个完好的文件,将会被隐蔽性病毒所蒙骗。
由于其他一些病毒检测方法过于复杂,误报率很高,所以基于病毒特征代码检测很普及,但是病毒特征代码法对从未见过的新病毒,无法知道其特征代码,无法去检测这些新病毒,所以很多时候都是计算机已经感染了病毒并且对机器或数据造成很大破坏后才去杀毒。基于这些原因,在反病毒技术上,最重要的就是"防杀结合,防范为主",而防范计算机病毒的基本方法有:
(1) 不轻易上一些不正规的网站,在浏览网页的时候,很多人有猎奇心理,而一些病毒、***制造者正是利用人们的猎奇心理,引诱大家浏览他的网页,甚至下载文件,殊不知这样很容易使机器染上病毒。
(2) 千万提防电子邮件病毒的传播,能发送包含ActiveX控件的HTML格式邮件可以在浏览邮件内容时被激活,所以在收到陌生可疑邮件时尽量不要打开,特别是对于带有附件的电子邮件更要小心,很多病毒都是通过这种方式传播的,甚至有的是从你的好友发送的邮件中传到你机器上感染你的计算机。
(3) 对于渠道不明的光盘、软盘、U盘等便携存储器,使用之前应该查毒。对于从网络上下载的文件同样如此。因此,计算机上应该装有杀毒软件,并且及时更新。
(4) 经常关注一些网站、BBS发布的病毒报告,这样可以在未感染病毒的时候做到预先防范。
(5) 对于重要文件、数据做到定期备份。
(6) 不能因为担心病毒而不敢使用网络,那样网络就失去了意义。只要思想上高度重视,时刻具有防范意识,就不容易受到病毒侵扰。
1.反病毒技术的发展
随着计算机技术及反毒技术的发展,早期的防病毒卡亦象其它的计算机硬件卡(如汉字卡等)一样,逐步地衰落出市场,与此对应的,各种反病毒软件开始日益风行起来,并且经过了十几年的发展。
第一代反病毒技术是采取单纯的病毒特征代码分析,将病毒从带毒文件中清除掉。这种方式可以准确地清除病毒,可靠性很高。但后来病毒技术发展了,特别是加密和变形技术的运用,使得这种简单的静态扫描方式失去了作用。随之而来的反病毒技术也发展了一步。
第二代反病毒技术是采用静态广谱特征扫描方法检测病毒,这种方式可以更多地检测出变形病毒,但另一方面误报率也提高,尤其是用这种不严格的特征判定方式去清除病毒带来的风险性很大,容易造成文件和数据的破坏。所以说静态防病毒技术也有难以克服的缺陷。
第三代反病毒技术的主要特点是将静态扫描技术和动态仿真跟踪技术结合起来,将查找病毒和清除病毒合二为一,形成一个整体解决方案,能够全面实现防、查、杀等反病毒所必备的各种手段,以驻留内存方式防止病毒的***,凡是检测到的病毒都能清除,不会破坏文件和数据。随着病毒数量的增加和新型病毒技术的发展,静态扫描技术将会使反毒软件速度降低,驻留内存防毒模块容易产生误报。
第四代反病毒技术则是针对计算机病毒的发展而基于病毒家族体系的命名规则、基于多位CRC校验和扫描机理,启发式智能代码分析模块、动态数据还原模块(能查出隐蔽性极强的压缩加密文件中的病毒)、内存解毒模块、自身免疫模块等先进的解毒技术,较好的解决了以前防毒技术顾此失彼、此消彼长的状态。
2.病毒检测方法
目前市面上常见的防毒软件经常使用的防毒技术一般分为以下几种:特征代码法、校验和法、行为监测法、软件模拟法、VICE先知扫描法等。这些方法依据其原理的不同,实现时所需开销也各不相同,检测范围也不同,各有所长,下面简单介绍特征代码检测方法。
特征代码法目前被认为是用来检测已知病毒的最简单、开销最小的方法。防毒软件在最初的扫毒方式是将所有病毒的病毒码加以剖析,并且将这些病毒独有的特征搜集在一个病毒码资料库中,每当需要扫描该程序是否有毒的时候,启动查毒软件程序,以扫描的方式与该病毒码资料库内的现有资料一一比对,如果两方资料皆有吻合之处的话,既判定该程序已遭病毒感染。特征代码法的实现步骤如下:
(1) 采集已知病毒样本。如果病毒既感染COM文件,又感染EXE文件,那么对这种病毒要同时采集COM型病毒样本和EXE型病毒样本。
(2) 在病毒样本中,抽取病毒特征代码。在既感染COM文件又感染EXE文件的病毒样本中,要抽取两种样本共有的代码。
(3) 将特征代码纳入病毒数据库。
(4) 检测文件。打开被检测文件,在文件中搜索,检查文件中是否含有病毒数据库中的病毒特征代码。如果发现病毒特征代码,将特征代码与病毒一一对应,便可以断定被查文件所感染的是何种病毒。
采用病毒特征代码法的检测工具,其检测准确,可识别病毒的名称。这种病毒检测技术误报警率低、依据检测结果,可做相应的解毒处理。但是,面对不断出现的新病毒,必须不断更新版本,否则便检测不会新出现的各种病毒,因病毒特征代码法对从未见过的新病毒,自然无法知道其特征代码,无法去检测这些新病毒。随着病毒种类的增多,新版本的病毒数据库会加大,检索时间就会变长,大大降低了软件的使用效率。而且此类扫毒方法不能检测出隐蔽性病毒,因隐蔽性病毒先进驻内存后,能够将感染文件中的病毒代码剥去,检测工具就会发现被检测文件是一个完好的文件,将会被隐蔽性病毒所蒙骗。
由于其他一些病毒检测方法过于复杂,误报率很高,所以基于病毒特征代码检测很普及,但是病毒特征代码法对从未见过的新病毒,无法知道其特征代码,无法去检测这些新病毒,所以很多时候都是计算机已经感染了病毒并且对机器或数据造成很大破坏后才去杀毒。基于这些原因,在反病毒技术上,最重要的就是"防杀结合,防范为主",而防范计算机病毒的基本方法有:
(1) 不轻易上一些不正规的网站,在浏览网页的时候,很多人有猎奇心理,而一些病毒、***制造者正是利用人们的猎奇心理,引诱大家浏览他的网页,甚至下载文件,殊不知这样很容易使机器染上病毒。
(2) 千万提防电子邮件病毒的传播,能发送包含ActiveX控件的HTML格式邮件可以在浏览邮件内容时被激活,所以在收到陌生可疑邮件时尽量不要打开,特别是对于带有附件的电子邮件更要小心,很多病毒都是通过这种方式传播的,甚至有的是从你的好友发送的邮件中传到你机器上感染你的计算机。
(3) 对于渠道不明的光盘、软盘、U盘等便携存储器,使用之前应该查毒。对于从网络上下载的文件同样如此。因此,计算机上应该装有杀毒软件,并且及时更新。
(4) 经常关注一些网站、BBS发布的病毒报告,这样可以在未感染病毒的时候做到预先防范。
(5) 对于重要文件、数据做到定期备份。
(6) 不能因为担心病毒而不敢使用网络,那样网络就失去了意义。只要思想上高度重视,时刻具有防范意识,就不容易受到病毒侵扰。
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- 网络信息安全之防火墙技术(一)
- 网络信息安全之防火墙反病毒 (六)
- 网络与信息安全身份证认证技术分析
- 网络安全讲座之三:防火墙技术
- 网络安全讲座之三防火墙技术
- 信息安全系统设计基础课外之: 网络攻防技术 20155202 张旭
- J0s1ph's Blog - 专注于网络安全!网络|信息|安全|黑客|技术|攻防|...
- 计算机防火墙技术与网络安全
- 第二届360杯全国大学生信息安全技术大赛部分解题思路(网络与协议)
- 网络信息安全之防火墙体系结构(二)
- 网络安全讲座之三:防火墙技术
- 大数据安全保护技术综述-网络与信息安全学报-2016
- 网络信息安全与保密的6个技术目标
- 网络信息安全之防火墙的设计 (三)
- 网络信息安全之防火墙***检测原理 (四)
- 第二届360杯全国大学生信息安全技术大赛部分解题思路(网络与协议)
- 信息安全技术实验二 网络扫描实验+ARP攻击
- 网络信息安全之防火墙***检测方法 (五)
- 浅谈防火墙技术与网络安全!