0引言
如今,資訊互聯網的軟硬技術快速發展和應用越來越廣,計算機病毒的危害也越來越嚴重。而日益氾濫的計算機病毒問題已成爲全球資訊安全的最嚴重威脅之一。同時因爲加密和變形病毒等新型計算機病毒的出現,使得過去傳統的特徵掃描法等反毒方式不再有效,研究新的反病毒方法已刻不容緩。廣大的網絡安全專家和計算機用戶對新型計算機病毒十分擔憂,目前計算機反病毒的技術也在不斷更新和提高中,卻未能改變反病毒技術落後和被動的局面。我們從互聯網上的幾款新型計算機病毒採用的技術和呈現的特點,可以看得出計算機病毒的攻擊和傳播方式隨着網絡技術的發展和普及發生了翻天覆地的變化。目前計算機病毒的傳播途徑呈現多樣化,比如可以隱蔽附在郵件傳播、檔案傳播、圖片傳播或視頻傳播等中,並隨時可能造成各種危害。
1目前計算機病毒發展的趨勢
隨着計算機軟件和網絡技術的發展,資訊化時代的病毒又具有許多新的特點,傳播方式和功能也呈現多樣化,危害性更嚴重。計算機病毒的發展趨勢主要體現爲:許多病毒已經不再只利用一個漏洞來傳播病毒,而是透過兩個或兩個以上的系統漏洞和應用軟件漏洞綜合利用來實現傳播;部分病毒的功能有類似於駭客程序,當病毒入侵計算機系統後能夠控制並竊取其中的計算機資訊,甚至進行遠程操控;有些病毒除了有傳播速度快和變種多的特點,還發展到能主動利用電子郵件等方式進行傳播。透過以上新型計算機病毒呈現出來的發展趨勢和許多的新特徵,可以瞭解到網絡和計算機安全的形勢依然十分嚴峻。
2計算機病毒的檢測技術
筆者運用統計學習理論,對新計算機病毒的自動檢測技術進行了研究,獲得了一些成果,下面來簡單介紹幾個方面的研究成果。
2.1利用集成神經網絡作爲模式識別器的病毒靜態檢測方法
根據Bagging算法得出IG-Bagging集成方法。IG-Bagging方法利用資訊增益的特徵選擇技術引入到集成神經網絡中,並透過擾動訓練數據及輸入屬性,放大個體網絡的差異度。實驗結果表明,IG-Bagging方法的泛化能力比Bagging方法更強,與AttributeBagging方法差不多,而效率大大優於AttributeBagging方法。
2.2利用模糊識別技術的病毒動態檢測方法
該檢測系統利用符合某些特徵域上的模糊集來區別是正常程序,還是病毒程序,一般使用“擇近原則”來進行特徵分類。透過利用這種新型模糊智能學習技術,該系統檢測準確率達到90%以上。
2.3利用API函數調用短序爲特徵空間的自動檢測方法
受到正常程序的API調用序列有局部連續性的啓發,可以利用API函數調用短序爲特徵空間研究病毒自動檢測方法。在模擬檢測試驗中,這種應用可以在檢測條件不足的情況下,保證有較高的檢測準確率,這在病毒庫中缺少大量樣本特徵的情況下仍然可行。測驗表明利用支援向量機的病毒動態檢測模可能有效地識別正常和病毒程序,只需少量的病毒樣本數據做訓練,就能得到較高的檢測精準確率。因爲檢測過程中提取的是程序的行爲資訊,所以能有效地檢測到採用了加密、迷惑化和動態庫加載技術等新型計算機病毒。
2.4利用D-S證據理論的.病毒動態與靜態相融合的新檢測方法
向量機作爲成員分類器時,該檢測系統研究支援病毒的動態行爲,再把概率神經網絡作爲成員分類器,此時爲病毒的靜態行爲建模,再利用D-S證據理論將各成員分類器的檢測結果融合。利用D-S證據理論進行資訊融合的關鍵就是證據信度值的確定。在對實際問題建模中,類之間的距離越大,可分性越強,分類效果越好,因此得出了利用類間距離測度的證據信度分配新病毒檢測方法。實驗測試表明該方法對未知和變形病毒的檢測都很有效,且性能優於常用的商用反病毒工具軟件。
2.5多重樸素貝葉斯算法的病毒動態的檢測系統
該檢測系統在測試中先對目標程序的行爲進行實時監控,然後獲得目標程序在與操作系統資訊交互過程中所涉及到的API函數相關資訊的特徵並輸入檢測器,最後檢測器對樣本集進行識別後就能對該可疑程序進行自動檢測和殺毒,該法可以有效地檢測當前越來越流行的變形病毒。3結語新型未知計算機病毒發展和變種速度驚人,而計算機病毒的預防和檢測方法不可能十全十美,出現一些新型的計算機病毒能夠突破計算機防禦系統而感染系統的現象不可避免,故反計算機病毒工作始終面臨巨大的挑戰,需要不斷研究新的計算機病毒檢測方法來應對。