伴随着科技日新月异的发展推动着社会在不断的进步,人们的生活水平也逐渐提高,所有的事物都是有两面性的。计算机带给我们带来方便的同时,也给我们带来了安全问题。下面是我为大家整理的有关计算机病毒论文,供大家参考。
计算机这一科技产品目前在我们的生活中无处不在,在人们的生产生活中,计算机为我们带来了许多的便利,提升了人们生产生活水平,也使得科技改变生活这件事情被演绎的越来越精彩。随着计算机的广泛应用,对于计算机应用中存在的问题我们也应进行更为深刻的分析,提出有效的措施,降低这种问题出现的概率,提升计算机应用的可靠性。在计算机的广泛应用过程中,出现了计算机网路中毒这一现象,这种现象的存在,对于计算机的使用者而言,轻则引起无法使用计算机,重则会导致重要资讯丢失,带来经济方面的损失。计算机网路中毒问题成为了制约计算机网路资讯科技发展的重要因素,因此,对于计算机网路病毒的危害研究,目前已经得到人们的广泛重视,人们已经不断的对计算机网路病毒的传播和发展建立模型研究,通过建立科学有效的模型对计算机网路病毒的传播和发展进行研究,从中找出控制这些计算机网路病毒传播和发展的措施,从而提升计算机系统抵御网路病毒侵害,为广大网民营造一个安全高效的计算机网路环境。
一、计算机病毒的特征
***一***非授权性
正常的计算机程式,除去系统关键程式,其他部分都是由使用者进行主动的呼叫,然后在计算机上提供软硬体的支援,直到使用者完成操作,所以这些正常的程式是与使用者的主观意愿相符合的,是可见并透明的,而对于计算机病毒而言,病毒首先是一种隐蔽性的程式,使用者在使用计算机时,对其是不知情的,当用户使用那些被感染的正常程式时,这些病毒就得到了计算机的优先控制权,病毒进行的有关操作普通使用者也是无法知晓的,更不可能预料其执行的结果。
***二***破坏性
计算机病毒作为一种影响使用者使用计算机的程式,其破坏性是不言而喻的。这种病毒不仅会对正常程式进行感染,而且在严重的情况下,还会破坏计算机的硬体,这是一种恶性的破坏软体。在计算机病毒作用的过程中,首先是攻击计算机的整个系统,最先被破坏的就是计算机系统。计算机系统一旦被破坏,使用者的其他操作都是无法实现的。
二、计算机病毒网路传播模型稳定性
计算机病毒网路的传播模型多种多样,笔者结合自身工作经历,只对计算机病毒的网路传播模型———SIR模型进行介绍,并对其稳定性进行研究。SIR模型的英文全称为Susceptible-Infected-Removed,这是对SIS模型的一种改进,SIR模型将网路中的节点分为三种状态,分别定义为易感染状态***S表示***和感染状态***I***状态,还有免疫状态***R***表示,新增加的节点R具有抗病毒的能力。因此,这种模型相对于传统的SIS模型而言,解决了其中的不足,也对其中存在的病毒感染进行了避免,而且阻碍了病毒的继续扩散。图一即为病毒模型图。
三、计算机病毒网路传播的控制
对于计算机病毒在网路中的传播,我们应依据病毒传播的网路环境以及病毒的种类分别进行考虑。一般而言,对于区域网的病毒传播控制,我们主要是做好计算机终端的保护工作。如安装安全管理软体;对于广域网的病毒传播控制,我们主要是做好对区域网病毒入侵情况进行合理有效的监控,从前端防止病毒对于广域网的入侵;对于***病毒传播的控制,我们确保不随意点选不明邮件,防止个人终端受到***病毒的入侵。
总结:
网路技术的飞速发展,促进了计算机在社会各方面的广泛应用,不过随着计算机的广泛应用,计算机病毒网路传播的安全问题也凸显出来。本文对计算机网路病毒传播的模型进行研究,然后提出控制措施,希望在入侵者技术水平不断提高的同时,相关人士能积极思考研究,促进计算机病毒防护安全技术的发展,能有效应对威胁计算机网路安全的不法活动,提升我国计算机网路使用的安全性。
0引言
如今,资讯网际网路的软硬技术快速发展和应用越来越广,计算机病毒的危害也越来越严重。而日益氾滥的计算机病毒问题已成为全球资讯保安的最严重威胁之一。同时因为加密和变形病毒等新型计算机病毒的出现,使得过去传统的特征扫描法等反毒方式不再有效,研究新的反病毒方法已刻不容缓。广大的网路安全专家和计算机使用者对新型计算机病毒十分担忧,目前计算机反病毒的技术也在不断更新和提高中,却未能改变反病毒技术落后和被动的局面。我们从网际网路上的几款新型计算机病毒采用的技术和呈现的特点,可以看得出计算机病毒的攻击和传播方式随着网路技术的发展和普及发生了翻天覆地的变化。目前计算机病毒的传播途径呈现多样化,比如可以隐蔽附在邮件传播、档案传播、图片传播或视讯传播等中,并随时可能造成各种危害。
1目前计算机病毒发展的趋势
随着计算机软体和网路技术的发展,资讯化时代的病毒又具有许多新的特点,传播方式和功能也呈现多样化,危害性更严重。计算机病毒的发展趋势主要体现为:许多病毒已经不再只利用一个漏洞来传播病毒,而是通过两个或两个以上的系统漏洞和应用软体漏洞综合利用来实现传播;部分病毒的功能有类似于黑客程式,当病毒入侵计算机系统后能够控制并窃取其中的计算机资讯,甚至进行远端操控;有些病毒除了有传播速度快和变种多的特点,还发展到能主动利用***等方式进行传播。通过以上新型计算机病毒呈现出来的发展趋势和许多的新特征,可以了解到网路和电脑保安的形势依然十分严峻。
2计算机病毒的检测技术
笔者运用统计学习理论,对新计算机病毒的自动检测技术进行了研究,获得了一些成果,下面来简单介绍几个方面的研究成果。
2.1利用整合神经网路作为模式识别器的病毒静态检测方法
根据Bagging演算法得出IG-Bagging整合方法。IG-Bagging方法利用资讯增益的特征选择技术引入到整合神经网路中,并通过扰动训练资料及输入属性,放大个体网路的差异度。实验结果表明,IG-Bagging方法的泛化能力比Bagging方法更强,与AttributeBagging方法差不多,而效率大大优于AttributeBagging方法。
2.2利用模糊识别技术的病毒动态检测方法
该检测系统利用符合某些特征域上的模糊集来区别是正常程式,还是病毒程式,一般使用“择近原则”来进行特征分类。通过利用这种新型模糊智慧学习技术,该系统检测准确率达到90%以上。
2.3利用API函式呼叫短序为特征空间的自动检测方法
受到正常程式的API呼叫序列有区域性连续性的启发,可以利用API函式呼叫短序为特征空间研究病毒自动检测方法。在模拟检测试验中,这种应用可以在检测条件不足的情况下,保证有较高的检测准确率,这在病毒库中缺少大量样本特征的情况下仍然可行。测验表明利用支援向量机的病毒动态检测模可能有效地识别正常和病毒程式,只需少量的病毒样本资料做训练,就能得到较高的检测精准确率。因为检测过程中提取的是程式的行为资讯,所以能有效地检测到采用了加密、迷惑化和动态库载入技术等新型计算机病毒。
2.4利用D-S证据理论的病毒动态与静态相融合的新检测方法
向量机作为成员分类器时,该检测系统研究支援病毒的动态行为,再把概率神经网路作为成员分类器,此时为病毒的静态行为建模,再利用D-S证据理论将各成员分类器的检测结果融合。利用D-S证据理论进行资讯融合的关键就是证据信度值的确定。在对实际问题建模中,类之间的距离越大,可分性越强,分类效果越好,因此得出了利用类间距离测度的证据信度分配新病毒检测方法。实验测试表明该方法对未知和变形病毒的检测都很有效,且效能优于常用的商用反病毒工具软体。
2.5多重朴素贝叶斯演算法的病毒动态的检测系统
该检测系统在测试中先对目标程式的行为进行实时监控,然后获得目标程式在与作业系统资讯互动过程中所涉及到的API函式相关资讯的特征并输入检测器,最后检测器对样本集进行识别后就能对该可疑程式进行自动检测和防毒,该法可以有效地检测当前越来越流行的变形病毒。3结语新型未知计算机病毒发展和变种速度惊人,而计算机病毒的预防和检测方法不可能十全十美,出现一些新型的计算机病毒能够突破计算机防御系统而感染系统的现象不可避免,故反计算机病毒工作始终面临巨大的挑战,需要不断研究新的计算机病毒检测方法来应对。
随着计算机的应用与推广,计算机技术已经渗透到社会的各个领域,与此同时,计算机的安全问题也显得越来越突出。据国外统计,计算机病毒以10种/周的速度递增,另据我国公安部统计,国内以4至6种/月的速度递增。因此为了确保计算机能够安全工作,计算机病毒的防范工作,已经迫在眉睫。从计算机病毒的定义入手,以下是我为大家精心准备的:浅谈计算机病毒相关论文。内容仅供参考,欢迎阅读!
浅谈计算机病毒全文如下:
摘要: 本文将从计算机病毒的研究背景、计算机病毒的定义、特征、型别以及防治方面进行简单的分析和探讨。
关键词: 计算机病毒防治措施
一、计算机病毒的含义
关于计算机病毒的定义,目前国内外有各种各样的定义,但在《中华人民共和国计算机系统安全保护条例》中对病毒是这样定义的:“编制或在计算机程式中插入的破坏计算机功能或者资料,影响计算机使用,并且能够自我复制的一组计算机指令或者程式程式码”。因此,像炸弹、蠕虫、熊猫烧香等均可称为计算机病毒。
二、计算机病毒的特征
①感染性。计算机病毒的感染性也称为寄生性,是指计算机病毒程式嵌入到宿主程式中,依赖于宿主程式的执行而生成的特性。计算机病毒的感染性是计算机病毒的根本属性,是判断一个程式是否为病毒程式的主要依据。
②隐蔽性。隐蔽性是计算机病毒的基本特征之一。从计算机病毒隐藏的位置来看,不同的病毒隐藏在不同的位置,有的隐藏在扇区中,有的则以隐藏档案的形式出现,让人防不胜防。
③潜伏性。计算机病毒的潜伏性是指其具有依附于其他媒体而寄生的能力,通过修改其他程式而把自身的复制体嵌入到其他程式或者磁碟的引导区甚至硬碟的主引导区中寄生。
④可触发性。计算机病毒一般都具有一个触发条件:或者触发其感染,即在一定的条件下启用一个病毒的感染机制使之进行感染;或者触发其发作,即在一定的条件下启用病毒的表现攻击破坏部分。
⑤衍生性。计算机病毒的衍生性是指计算机病毒的制造者依据个人的主观愿望,对某一个已知病毒程式进行修改而衍生出另外一中或多种来源于同一种病毒,而又不同于源病毒程式的病毒程式,即源病毒程式的变种。这也许就是病毒种类繁多、复杂的原因之一。
⑥破坏性。计算机病毒的破坏性取决于计算机病毒制造者的目的和水平,它可以直接破坏计算机资料资讯、抢占系统资源、影响计算机执行速度以及对计算机硬体构成破坏等。正是由于计算机病毒可怕的破坏性才使得计算机病毒令人如此恐怖。
三、计算机病毒的型别
①引导区病毒。引导区病毒隐藏在硬碟或软盘的引导区,当计算机从感染了引导区病毒的硬碟或软盘启动,或当计算机从受感染的软盘里读取资料时,引导区病毒就开始发作。
②档案型病毒。档案型病毒寄生在其他档案中,常常通过对病毒的编码加密或是使用其他技术来隐藏自己。
③指令码病毒。指令码病毒依赖一种特殊的指令码语言来起作用,同时需要主软体或是应用环境能够正确地识别和翻译这种指令码语言中巢状的命令。
④“特洛伊木马”程式。特洛伊木马程式比起其他各种恶意的软体来说都更加了解使用者的心里状态――这种程式的创作者用在怎么样使执行特洛伊木马程式的功夫可能和他们创作木马的时间一样多。
四、计算机病毒的发展趋势
传统的计算机病毒是指利用网路进行传播的一类病毒的总称。而现在网路时代的计算机病毒,已经不是如此单纯的一个概念,它被溶进了更多的东西。如今的计算机病毒是指以网路为平台,对电脑保安产生安全的所有程式的总和。
①“间谍”式木马病毒出现。如果说传统木马病毒是个骗子的话,那么现在的木马病毒则更像一个活生生的间谍。如今“间谍”式木马病毒一般是指利用系统漏洞进入使用者的计算机系统,通过修改登录档自动启动,执行时故意不被察觉,将使用者计算机系统中的所有资讯都暴露在网路中的病毒程式。
②可以自我完善的蠕虫病毒出现。如今的蠕虫病毒除了利用网路缺陷外,更多地利用了一些新的骗人技术。如:“密码”病毒是利用人们的好奇心理,诱使使用者来主动执行病毒,等等。
③黑客程式。随着网路的发展与人们日益增长的安全需求,必须重新来审视黑客程式。黑客程式一般都有攻击性,它会利用漏洞在远端控制计算机,甚至直接破坏计算机。黑客程式会与木马程式相结合,对电脑保安构成威胁,所以黑客程式也是一种计算机病毒。
总之,现在的计算机病毒都呈现出隐蔽性、欺骗性等复杂的特点,让人们在毫无警觉的情况下使计算机系统遭到破坏。
五、计算机病毒的预防措施
①引导型病毒的预防。引导性病毒一般在启动计算机时,优先获得控制权,强占记忆体。通常情况下,只要不用软盘或者只用“干净的”软盘启动系统,是不会染上引导型病毒的。对软盘进行防写,则可以很好地保护软盘不被非法写入,从而不被感染上启动型病毒。
②档案型病毒的预防。档案型病毒的预防方法是在源程式中增加自检及清楚病毒的功能。这种方法可以使得可执行档案从一生成就具有抗病毒的能力,从而可以保证可执行档案的干净。自检清除功能部分和可执行档案的其他档案融为一体,不会和程式的其他功能冲突,也使得病毒制造者无法造出针对性的病毒来。可执行档案染不上病毒,档案型病毒就无法传播了。
③个性化的预防措施。计算机病毒的感染总是带有普遍性的或大众化的,以使计算机病毒范围尽可能的广,所以有时一些个性化的处理可能对计算机病毒的预防或者免疫具有非常好的效果。
④加强IT行业从业人员的职业道德教育。关于计算机病毒的防治,除了从技术层面来加以维护和防治外,加强对计算机从业人员的职业道德教育显得也极其重要。
⑤完善计算机病毒防治方面的法律法规。在加强对计算机行业高智商从业人员进行道德教育的同时,也应该完善计算机病毒防治方面的相关法律法规,充分发挥法律法规的约束作用。
⑥加强国际交流与合作。在经济全球化的巨集观背景下,计算机网路世界早已融为一体,跨国进行计算机病毒攻击也已出现。为此,世界各国要本着维护计算机网路安全执行的高度,加强交流与合作,共同打击计算机病毒犯罪。
六、结语
研究计算机病毒与预防有利于我们正确认识、感知、防范计算机病毒的攻击,以保护计算机网路安全,使得计算机网路真正发挥其积极的作用,促进人类经济、文化、军事和社会活动的健康。
参考文献:
[1] 卓新建等.计算机病毒原理与防治[M].北京邮电大学出版社,2007,8:第二版
[2] 郝文化.防黑反毒技术指南[M].机械工业出版社,2004,1:第一版
[3] 张仁斌等.计算机病毒与反病毒技术[M].清华大学出版社,20066
【我试下 ,O(∩_∩)O~,还请多指教】
提纲
一,计算机病毒的产生(分为 1, 2 3 点,第二点分为1 2 3 4小点)
二,计算机病毒的特征(分五小点a b c d e)
三,计算机病毒的种类(无害型,无危险型,危险型,非常危险型)
四,计算机病毒介绍(熊猫烧香,红色代码)
五,坚决抵制病毒,共创安全网络
《计算机病毒论文》
一,计算机病毒的产生
新的计算机病毒在世界范围内不断出现,传播速度之快和扩散之广,其原因决不是偶然的,除了与计算机应用环境等外部原因有关以外,主要是由计算机系统的内部原因所决定的
1.计算机系统自身的缺陷
计算机系统及其网络是一个结构庞大复杂的人机系统,分布地域广,涉及的系统内部因素及环境复杂。这无论在物理上还是在使用环境上都难以严格地统一标准、协议、控制、管理和监督。
2.人为的因素
计算机病毒是一段人为制造的程序。可以认为,病毒由以下几个原因产生:
①某些人为表现自己的聪明才智,自认为手段高明,编制了一些具有较高技巧,但破坏性不大的病毒;
②某些入偏离社会、法律或道德,以编制病毒来表示不满;
③某些人因受挫折,存有疯狂的报复心理,设计出一些破坏性极强的病毒,造成针对性的破坏;
④在美国等发达国家,计算机深入家庭,现在的青年一代被称作“在计算机中泡大”的一代,他们了解计算机,以编制并广泛传播病毒程序为乐,他们非法进入网络,以破获网络口令,窃取秘密资料为荣,这都给计算机系统带来了不安定因素;
3.计算机法制不健全
各国现有的法律和规定大都是在计算机“病毒’尚未肆虐和泛滥之前制定的,所以法律和规定中“病毒”均没有作为计算机犯罪而制定应有的处治条款,因此各国开始研究和制定或修走已有的计算机法规。
二,计算机病毒的特征
(a) 自我复制的能力。它可以隐藏在合法程序内部,随着人们的操作不断地进行自我复制。
(b) 它具有潜在的破坏力。系统被病毒感染后,病毒一般不即时发作,而是潜藏在系统中,等条件成熟后,便会发作,给系统带来严重的破坏。
(c) 它只能由人为编制而成。计算机病毒不可能随机自然产生,也不可能由编程失误造成。
(d) 它只能破坏系统程序,不可能损坏硬件设备。
(e) 它具有可传染性,并借助非法拷贝进行这种传染。三,计算机病毒的种类
根据病毒破坏的能力可划分为以下几种:
无害型
除了传染时减少磁盘的可用空间外,对系统没有其它影响。
无危险型
这类病毒仅仅是减少内存、显示图像、发出声音及同类音响。
危险型,这类病毒在计算机系统操作中造成严重的错误。
非常危险型
这类病毒删除程序、破坏数据、清除系统内存区和操作系统中重要的信息。这些病毒对系统造成的危害,并不是本身的算法中存在危险的调用,而是当它们传染时会引起无法预料的和灾难性的破坏。由病毒引起其它的程序产生的错误也会破坏文件和扇区,这些病毒也按照他们引起的破坏能力划分。一些现在的无害型病毒也可能会对新版的DOS、Windows和其它操作系统造成破坏。例如:在早期的病毒中,有一个“Denzuk”病毒在360K磁盘上很好的工作,不会造成任何破坏,但是在后来的高密度软盘上却能引起大量的数据丢失。
下面着重介绍一两种病毒。
【熊猫烧香】
其实是一种蠕虫病毒的变种,而且是经过多次变种而来的。尼姆亚变种W(Worm.Nimaya.w),由于中毒电脑的可执行文件会出现“熊猫烧香”图案,所以也被称为“熊猫烧香”病毒。用户电脑中毒后可能会出现蓝屏、频繁重启以及系统硬盘中数据文件被破坏等现象。同时,该病毒的某些变种可以通过局域网进行传播,进而感染局域网内所有计算机系统,最终导致企业局域网瘫痪,无法正常使用,它能感染系统中exe,com,pif,src,html,asp等文件,它还能中止大量的反病毒软件进程并且会删除扩展名为gho的文件,该文件是一系统备份工具GHOST的备份文件,使用户的系统备份文件丢失。被感染的用户系统中所有.exe可执行文件全部被改成熊猫举着三根香的模样。
病毒会删除扩展名为gho的文件,使用户无法使用ghost软件恢复操作系统。“熊猫烧香”感染系统的.exe .com. f.src .html.asp文件,添加病毒网址,导致用户一打开这些网页文件,IE就会自动连接到指定的病毒网址中下载病毒。在硬盘各个分区下生成文件autorun.inf和setup.exe,可以通过U盘和移动硬盘等方式进行传播,并且利用Windows系统的自动播放功能来运行,搜索硬盘中的.exe可执行文件并感染,感染后的文件图标变成“熊猫烧香”图案。“熊猫烧香”还可以通过共享文件夹、系统弱口令等多种方式进行传播。该病毒会在中毒电脑中所有的网页文件尾部添加病毒代码。一些网站编辑人员的电脑如果被该病毒感染,上传网页到网站后,就会导致用户浏览这些网站时也被病毒感染。据悉,多家著名网站已经遭到此类攻击,而相继被植入病毒。由于这些网站的浏览量非常大,致使“熊猫烧香”病毒的感染范围非常广,中毒企业和政府机构已经超过千家,其中不乏金融、税务、能源等关系到国计民生的重要单位。江苏等地区成为“熊猫烧香”重灾区。
这是中国近些年来,发生比较严重的一次蠕虫病毒发作。影响较多公司,造成较大的损失。且对于一些疏于防范的用户来说,该病毒导致较为严重的损失。
由于此病毒可以盗取用户名与密码,因此,带有明显的牟利目的。所以,作者才有可能将此病毒当作商品出售,与一般的病毒制作者只是自娱自乐、或显示威力、或炫耀技术有很大的不同。
另,制作者李俊在被捕后,在公安的监视下,又在编写解毒软件。
红色代码 面对“美丽莎”、“爱虫”等蠕虫病毒,媒体曾经大喊“狼来了”,然而人们感觉好像什么也没有发生———但是这次确实是真实的。红色代码II是大规模破坏和信息丢失的一个开始,而这种程度是我们前所未见的。对于我们所依赖的互联网结构而言,这是第一次重大的威胁—— 红色代码及其变异的危害
7月16日,首例红色代码病毒被发现,8月4日红色代码Ⅱ又被发现,它是原始红色代码蠕虫的变异,这些蠕虫病毒都是利用“缓存溢出”对其它网络服务器进行传播。红色代码及其变异红色代码Ⅰ和红色代码Ⅱ均是恶意程序,它们均可通过公用索引服务漏洞感染MicrosoftIISWeb服务器,并试图随机繁殖到其它MicrosoftIIS服务器上。最初原始的红色代码带有一个有效负载曾致使美国白宫网站服务器服务中断。红色代码Ⅱ比原来的红色代码I危险得多,因为它安装了通路可使任何人远程接入服务器并使用管理员权限执行命令,且行踪无法确定。红色代码Ⅱ带有不同的有效负载,它允许黑客远程监控网站服务器。来自主要网络安全厂商———赛门铁克公司的安全响应中心的全球请求救援信号表明,大量的网站服务器(IIS)受到了感染。这进一步说明,红色代码Ⅱ的危害性很强。令人恐怖的是,人们还发现这种蠕虫代码程序如此成功:一旦受到感染,人们只需扫描计算机的80端口就能发现大量危及安全的文件包,而无需已公布的病毒列表。尽管红色代码的危害性令人恐惧,但仍未引起舆论的深层重视。
值得注意的是,由于前一段时间媒体的报道并没有深层剖析原始红色代码蠕虫及其变异间的区别,媒体对报道这类病毒的深度也不够,这可能会使用户有一种已经安全的错觉,使得他们集中精力对付红色代码变种的劲头减弱,但是这种变异的危险性远远大于原始蠕虫。如果用户没有对其WindowsNT或Windows2000服务器进行完全评估,它们可能更容易被入侵,从而导致瘫痪。这些Web服务器有良好的带宽,我们可以想象分布的服务机构中断会对带宽造成多么恶劣的影响。而且这些Web服务器与其它重要的系统如信用卡交易服务器和秘密文件等也有潜在的依赖关系,这将危及其它机器的安全。还要明确的是,一个易被红色代码攻击的系统不一定是运行之中的IIS。客户必须了解,当一个标准操作环境安装网站服务器时,微软操作环境默认安装,这一系统也因此容易受蠕虫攻击。除非用户明确设定关掉此类服务,或命令不初始安装IIS。测定一台服务器是否容易被攻击的唯一办法是评估其是否安装了IIS,假如是的话,最好采用修补方法或移开IIS予以补救。
红色代码可怕的原因揭秘
受红色代码Ⅱ感染的成百上千台机器都在互联网上做过广告,这使得黑客很容易就能得到大批受感染的机器名单,然后远程登陆到这些机器上,得到一个命令提示符,随后黑客便可在这些机器上任意执行所需命令了。此时,黑客极有可能利用这次机会来全面替代这些文件包。他们可能会使用自动录入工具退出并安装根源工具包(root包),发布拒绝服务代理到易感染红色代码的文件包,并对它们进行修改。实现这些非常简单,红色代码Ⅱ文件包宣布它们是易于攻入的,黑客不需要非法进入,他只需远程登录该进程并获得一个命令提示符,那么他便可为所欲为。所有这些黑客都可以用自己的电脑就能帮他完成———不断连接到存在安全隐患的文件包,安装根源工具包,进行修改,然后转向另一台机器。黑客可以堆积上千个根源文件包,每一个进程都是一个分布式的“拒绝服务”代理。一组300至500个分布式“拒绝服务”代理足以使一个大型互联网站点瘫痪。通常情况会看到黑客每次可以攻击10,000或更多的服务代理,这就意味着黑客可以使互联网的主要部分如ISP、主要供应商和多重互联网电子商务站点同时瘫痪。
由此可见,红色代码的真正危害在于单个流窜的黑客。拿暴动作为比喻,暴动中群众的心理是,一旦暴动展开,都想参与进去,因为人们可以用他自己以往不能独立采取的方式做想做的事情。有了红色代码Ⅱ蠕虫病毒,黑客会更加厚颜无耻,他们可以对更多的机器直接取得控制,因为文件包已经是易于攻入的了,并且被红色代码Ⅱ蠕虫病毒暴露在那里,安装根源工具包和拥有这些文件包也不再感觉是违背伦理的。总而言之,他们不用“破门而入”,只是“进入”而已。因为最艰苦的部分已经由蠕虫病毒完成了。而对防范者而言,一般用户都感觉旁若无人,因为我们所有的注意力都放在蠕虫病毒上,而没有放在到处流窜安装root包的单个黑客上。可以说,面对“美丽莎”、“爱虫”等蠕虫病毒,媒体曾经大喊“狼来了”,然而什么也没有发生———但是这次确实是真实的。红色代码II是大规模破坏和信息丢失的一个开始,而这种破坏程度是我们前所未见的。这对于我们所依赖的互联网结构而言,堪称是第一次重大的打击。
如何解除红色代码的武装
现在,广大的受害者都陷于未能对这些成百上千台机器进行修补而是进行操作系统重新安装的尴尬境地。此时受害者还不知道自己的机器上运行着什么。他们面临的选择只有两种:要么重新安装操作系统并进行修补;要么进行非常详尽的分析并安装补丁。但是是否我们肯定必须要这么做吗?修补这些文件包需要花费多长的时间?这样做的意义何在……这些问题烦之又烦。任何处身在互联网环境中并享受服务的人都有责任采取合理的步骤来保护他们的系统,确保各种基础设施的完好以及开销的合理。网络安全专家赛门铁克主张使用最佳实施方案作为控制风险的最有效途径。这意味着您的系统要与一整套基于80-20规则被验证后的系统设置保持统一。无论其是否通过最佳标准的审核,或是在实际设置过程中参照其它标准,每一个构造项目都会有一个业务成本。这也是80-20规则为何显得格外重要的原因,因为它能够识别一个系统所需的最重要转变是什么,比如说赛门铁克的ESM最佳实施策略。它将着重审核最关键的能够为您的安全投入带来收益的系统设置。80-20规则对于信息安全十分适用,它强调了您系统中80%危及安全的问题有20%来自于您系统的不合理构造。用学术的语言来说,这意味着保证补丁的及时更新、消除不必要的服务,以及使用强大的密码。对于消除红色代码病毒的举措方面,安全厂商大都是在病毒发作后,才开始对其围追堵截。与之相反的是只有赛门铁克一家在2001年6月20日发布了EnterpriseSecu�rityManager(ESM)可对IIS弱点做风险管理,利用它可阻止红色代码蠕虫。由于ESM的发布几乎正是在红色病毒被发现前一个月(在7/16/01),这使得ESM的用户能够在6月———红色蠕虫通过网络传播之前就可以评估和修补他们的系统而最终逃过了一劫。红色代码只是互联网威胁的一个开始,但是否每一次都能有厂商未雨绸缪推出最新产品,是否用户都能对即将到来的重大威胁保持高度警惕而提前防范,这就需要用户与厂商共同努力。
四,坚决抵制病毒,共创安全网络
自人类诞生的那一刻起,人类便拥有了一项本能的思想——欲望。起初,人类为了满足自己的生存欲望,便残杀了一些不属于同类的生命;接着,人类在满足自己生活的欲望后,便想着去建立自己的势力、拥有自己的土地,从而引发了一场又一场的战争;人类在拥有了自己的土地和钱财后,便对身心上的享受产生了兴趣,从而推进了科技的发展...随着经济的日益发展、科技取得的极大成就,人类在属于自己的世界里便开始得不到满足,从而便创造了另一个空间——网络。
经历过这个空间内的各种风雨,才渐渐感觉到文明、道德的重要,只有让所有游览者共同维护空间内的安宁,共同创造空间内的诚信,才能在满足自己欲望的同时也促进社会的快速发展。网络文明,你我共创。
计算机病毒检测技术探究论文
摘要: 本文对计算机病毒进行系统的概括,对新病毒的特点进行总结,分析计算机病毒的重要作用,并对计算机病毒检测技术进行具体探究,旨在为我国的计算机病毒检测提供理论帮助。
关键词: 计算机病毒;检测技术;作用;探究
1、计算机病毒的概况
计算机病毒是指能够对计算机的程序造成破坏的编码。随着科技的进步,计算机病毒也在不断更新,攻击速度变快,传播途径更加广泛,破坏力更大。计算机病毒的发展主要体现在以下几个方面:
1.1新特点
计算机病毒随着计算机技术在不断发展,新的计算机病毒的种类增多,传播速度较快,能够主动传播。此外,新病毒的“蠕虫特征”使得病毒能够在自身不断复制的基础上,利用网络传播到其他程序上。
1.2新途径
计算机病毒的传播途径多种多样,除了以QQ、邮件、网页等途径进行传播,计算机病毒还能够利用软件的漏洞来传播和攻击。此外,计算机病毒能够同时利用多个软件的漏洞进行攻击,且攻击力度增大,导致计算机安全系统遭到破坏。
1.3新功能
除了自动复制的功能外,计算机病毒还具有远程控制的功能。当病毒成功入侵计算机后,通过病毒对计算机的系统进行远程控制,这种病毒与入侵者非常相似,能够盗取计算机内的信息或者导致计算机的系统崩溃。常见的病毒为QQ木马病毒、熊猫烧香病毒等,这些病毒造成的危害非常大[1]。
2、计算机病毒检测技术的作用
(1)切断计算机病毒的传播途径,病毒检测技术在发现病毒时会及时采取防护措施,向计算机使用者发出提醒,阻止计算机使用者打开带有病毒的邮件和消息,保护计算机程序和相关资料的安全。
(2)打击病毒制造者的违法犯罪行为。我国的法律法规明确规定,禁止制造计算计病毒攻击他人的计算机,若造成计算机使用者的人身财产损失,计算机病毒制造者要承担相应的法律责任,赔偿损失。计算机病毒检测技术能够在病毒产生侵害之前对其进行制止,有效打击制造病毒的违法行为。
3、计算机病毒检测技术的探究与实现
3.1特征代码扫描法
(1)以代码的长度为根据选择代码串。病毒代码在不同环境下的长度会发生变化,短代码只有100字节,而长代码的长度将近10K字节,只选取病毒代码的一小段作为病毒代码不具有代表性,因此,检测病毒时不能只选用其中一段病毒代码串。
(2)以病毒代码的唯一性为根据选择代码串。若病毒的代码每增加一字节,要检测2000种病毒,那么增加的空间就为2000字节,因此,在保证特征代码的唯一性的基础上,减少时间和空间的开销,尽量使特征代码的长度维持在最小值。
(3)以病毒代码的代表性为根据选择代码串。选择的代码串具有代表性才能够将此病毒与其他病毒区分,因此,要全面分析程序,保证代码串的代表性。
(4)以病毒代码所处数据区为依据。病毒所处的数据区不是固定不变的,因此,代码串不能处于不断变化的数据区内。
3.2特征字扫描法
通过升级特征串扫描,加快扫描速度,提高扫描的准确性。特征字库的特征字数量较少,只需截取少量的病毒关键特征字就可进行工作,字节长度较短,并且不用进行串匹配,处理字节的时间被大大缩短,进而提高了对病毒的扫描速度。此外,生物活性实验与此方法有着相似之处,对病毒的扫描比较准确,报错率较低。经过长期的发展,智能引擎技术对特征字扫描法进行的完善,能够准确识别病毒的变种,并且速度也得到相应提升。
3.3启发式代码扫描方法
此方法主要依赖杀毒软件来进行检测,杀毒软件对于病毒的种类进行记忆备份,当入侵的病毒种类与记忆的病毒种类相似时,杀毒软件进行及时处理,向计算机使用者发出提醒。由于杀毒软件要对计算机的所有程序进行扫描,识别程序的代码,因此,此方法的应用前提是保证计算机正常运行。到目前为止,该检测方法经常出现误报病毒的'情况,检测结论的准确性有待提高,产生这种现象的主要原因是启发式代码扫描技术发展还不成熟,无法对模糊的病毒程序进行有效识别。
3.4完整性检测技术
该检测技术的检测对象是计算机中的所有文件,首先要对计算机的引导扇区和文件内容进行详细了解,之后查找被更改的文件,并将预先记忆的原始文件覆盖在已被更改的文件上,修复文件内容[2]。此外,除了对已知病毒的检测,该技术还能够检测计算机的未知病毒,并将检测出来的病毒进行自动清除,适用于任何类型的病毒检测。此方法的检测范围较全面,检测结果较准确,被广泛应用。
3.5基于行为的检测技术
病毒的更新使得病毒变种越来越多,攻击强度变大,攻击途径变多,病毒检测工作受到阻碍,根本原因为病毒缺少特征码,完整性不高。针对这种情况,相关的专家研发了基于行为的检测技术,该技术在病毒信息不完整的情况下,依然能够快速检测出结构复杂和程序庞大的病毒,并且能够在第一时间对变种病毒和未知病毒进行快速处理,对时间和空间资源都进行了合理利用,降低了检测成本,大大提高了检测工作的效率。计算机使用者要对计算机的重要数据进行加密处理,并随时关注计算机的异常现象,及时利用病毒检测技术和杀毒软件对计算机信息进行保护,才能够最大程度的减少病毒对计算机造成的侵害,保护自身的财产和隐私安全此外,病毒检测技术的研发者要不断开发新技术,在现有技术的基础上对其进行改进完善,为预防新型病毒的入侵提供技术支持。
4结论与建议
综上所述,计算机病毒随着计算机技术的不断发展而更新变异,新病毒对计算机程序和文件造成的损害更大,计算机病毒检测技术能够有效保护计算机不受病毒侵害。目前的大部分检测技术都存在一定的弊端,还需要被不断改进,以适应不断变种的病毒,减少对计算机使用者的财产和隐私侵害。
参考文献:
[1]万百宏.计算机病毒检测技术研究与实现[J].信息技术与信息化,2015,(3):114-115,123.
[2]祝恩,殷建平,蔡志平等.计算机病毒自动变形机理的分析[J].计算机工程与科学,2002,24(6):14-17.
一、计算机病毒(Computer Virus)在《中华人民共和国计算机信息系统安全保护条例》中被明确定义,病毒指“编制或者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。而在一般教科书及通用资料中被定义为:利用计算机软件与硬件的缺陷,破坏计算机数据并影响计算机正常工作的一组指令集或程序代码 。计算机病毒最早出现在70年代 David Gerrold 科幻小说 When H.A.R.L.I.E. was One.最早科学定义出现在 1983:在Fred Cohen (南加大) 的博士论文 “计算机病毒实验”“一种能把自己(或经演变)注入其它程序的计算机程序”启动区病毒,宏(macro)病毒,脚本(script)病毒也是相同概念传播机制同生物病毒类似.生物病毒是把自己注入细胞之中。
二、计算机病毒的长期性:病毒往往会利用计算机操作系统的弱点进行传播,提高系统的安全性是防病毒的一个重要方面,但完美的系统是不存在的,过于强调提高系统的安全性将使系统多数时间用于病毒检查,系统失去了可用性、实用性和易用性,另一方面,信息保密的要求让人们在泄密和抓住病毒之间无法选择。病毒与反病毒将作为一种技术对抗长期存在,两种技术都将随计算机技术的发展而得到长期的发展。
三、计算机病毒的产生:病毒不是来源于突发或偶然的原因。一次突发的停电和偶然的错误,会在计算机的磁盘和内存中产生一些乱码和随机指令,但这些代码是无序和混乱的,病毒则是一种比较完美的,精巧严谨的代码,按照严格的秩序组织起来,与所在的系统网络环境相适应和配合起来,病毒不会通过偶然形成,并且需要有一定的长度,这个基本的长度从概率上来讲是不可能通过随机代码产生的。现在流行的病毒是由人为故意编写的,多数病毒可以找到作者和产地信息,从大量的统计分析来看,病毒作者主要情况和目的是:一些天才的程序员为了表现自己和证明自己的能力,处于对上司的不满,为了好奇,为了报复,为了祝贺和求爱,为了得到控制口令,为了软件拿不到报酬预留的陷阱等.当然也有因政治,军事,宗教,民族.专利等方面的需求而专门编写的,其中也包括一些病毒研究机构和黑客的测试病毒.
四、计算机病毒的特点,计算机病毒具有以下几个特点:
(1) 寄生性 计算机病毒寄生在其他程序之中,当执行这个程序时,病毒就起破坏作用,而在未启动这个程序之前,它是不易被人发觉的。
(2) 传染性 计算机病毒不但本身具有破坏性,更有害的是具有传染性,一旦病毒被复制或产生变种,其速度之快令人难以预防。传染性是病毒的基本特征。在生物界,病毒通过传染从一个生物体扩散到另一个生物体。在适当的条件下,它可得到大量繁殖,并使被感染的生物体表现出病症甚至死亡。同样,计算机病毒也会通过各种渠道从已被感染的计算机扩散到未被感染的计算机,在某些情况下造成被感染的计算机工作失常甚至瘫痪。与生物病毒不同的是,计算机病毒是一段人为编制的计算机程序代码,这段程序代码一旦进入计算机并得以执行,它就会搜寻其他符合其传染条件的程序或存储介质,确定目标后再将自身代码插入其中,达到自我繁殖的目的。只要一台计算机染毒,如不及时处理,那么病毒会在这台机子上迅速扩散,其中的大量文件(一般是可执行文件)会被感染。而被感染的文件又成了新的传染源,再与其他机器进行数据交换或通过网络接触,病毒会继续进行传染。 正常的计算机程序一般是不会将自身的代码强行连接到其他程序之上的。而病毒却能使自身的代码强行传染到一切符合其传染条件的未受到传染的程序之上。计算机病毒可通过各种可能的渠道,如软盘、计算机网络去传染其他的计算机。当您在一台机器上发现了病毒时,往往曾在这台计算机上用过的软盘已感染上了病毒,而与这台机器相联网的其他计算机也许也被该病毒染上了。是否具有传染性是判别一个程序是否为计算机病毒的最重要条件。 病毒程序通过修改磁盘扇区信息或文件内容并把自身嵌入到其中的方法达到病毒的传染和扩散。被嵌入的程序叫做宿主程序;
(3) 潜伏性 有些病毒像定时炸弹一样,让它什么时间发作是预先设计好的。比如黑色星期五病毒,不到预定时间一点都觉察不出来,等到条件具备的时候一下子就爆炸开来,对系统进行破坏。一个编制精巧的计算机病毒程序,进入系统之后一般不会马上发作,可以在几周或者几个月内甚至几年内隐藏在合法文件中,对其他系统进行传染,而不被人发现,潜伏性愈好,其在系统中的存在时间就会愈长,病毒的传染范围就会愈大。 潜伏性的第一种表现是指,病毒程序不用专用检测程序是检查不出来的,因此病毒可以静静地躲在磁盘或磁带里呆上几天,甚至几年,一旦时机成熟,得到运行机会,就又要四处繁殖、扩散,继续为害。潜伏性的第二种表现是指,计算机病毒的内部往往有一种触发机制,不满足触发条件时,计算机病毒除了传染外不做什么破坏。触发条件一旦得到满足,有的在屏幕上显示信息、图形或特殊标识,有的则执行破坏系统的操作,如格式化磁盘、删除磁盘文件、对数据文件做加密、封锁键盘以及使系统死锁等;
(4) 隐蔽性 计算机病毒具有很强的隐蔽性,有的可以通过病毒软件检查出来,有的根本就查不出来,有的时隐时现、变化无常,这类病毒处理起来通常很困难。
(5)破坏性 计算机中毒后,可能会导致正常的程序无法运行,把计算机内的文件删除或受到不同程度的损坏 。通常表现为:增、删、改、移。
