計(jì)算機(jī)網(wǎng)絡(luò)病毒檢測(cè)系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)研究

田志

【關(guān)鍵詞】計(jì)算機(jī) 網(wǎng)絡(luò)病毒 檢測(cè)系統(tǒng) 設(shè)計(jì)

隨著計(jì)算機(jī)網(wǎng)絡(luò)的不斷應(yīng)用和發(fā)展，網(wǎng)絡(luò)因開(kāi)放性而衍生出了較多的安全問(wèn)題，計(jì)算機(jī)病毒算是其中一個(gè)。病毒入侵問(wèn)題更是對(duì)計(jì)算機(jī)系統(tǒng)的正常運(yùn)行造成了較大的影響，也在很大程度上威脅到了計(jì)算機(jī)的使用安全。計(jì)算機(jī)經(jīng)過(guò)這么多年的發(fā)展，系統(tǒng)設(shè)計(jì)也趨向于成熟，為了確保計(jì)算機(jī)系統(tǒng)的安全運(yùn)行，人們開(kāi)始積極設(shè)計(jì)計(jì)算機(jī)病毒檢測(cè)系統(tǒng)，以保障計(jì)算機(jī)應(yīng)用安全。

1.病毒檢測(cè)的方法

1.1 異常檢測(cè)法

異常檢測(cè)方法主要是用戶檢測(cè)計(jì)算機(jī)資源的異常使用以及計(jì)算機(jī)用戶的異常行為，應(yīng)用異常檢測(cè)法首先需要建立起用戶互動(dòng)模型和目標(biāo)系統(tǒng)，然后通過(guò)用戶活動(dòng)模型來(lái)檢測(cè)計(jì)算機(jī)用戶和計(jì)算機(jī)系統(tǒng)的相應(yīng)行為，從而有效的判斷計(jì)算機(jī)用戶的行為是否對(duì)計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)有相應(yīng)的攻擊性[1]。異常檢測(cè)方法具有良好的應(yīng)用適應(yīng)性，且能夠檢測(cè)到未知的入侵能力，但是此種檢測(cè)方法還是具有一定的缺點(diǎn)，那就是檢測(cè)準(zhǔn)確性有所偏差，因此導(dǎo)致此種檢測(cè)方法在應(yīng)用過(guò)程中還是受到了一定的限制。

1.2 混合檢測(cè)法

混合檢測(cè)法主要是綜合濫用檢測(cè)法和異常檢測(cè)法的優(yōu)勢(shì)，并進(jìn)行整合利用。由于這兩種檢測(cè)方法在實(shí)際應(yīng)用過(guò)程中存在一定補(bǔ)充關(guān)系，因此有效結(jié)合能達(dá)到互相彌補(bǔ)的目的，讓檢測(cè)效果更佳，也能夠有效的提升病毒檢測(cè)的效率和質(zhì)量。

2.計(jì)算機(jī)網(wǎng)絡(luò)病毒入侵檢測(cè)系統(tǒng)的設(shè)計(jì)實(shí)現(xiàn)

此次計(jì)算機(jī)網(wǎng)絡(luò)病毒入侵檢測(cè)系統(tǒng)設(shè)計(jì)中，設(shè)計(jì)的主要設(shè)計(jì)流程包含系統(tǒng)結(jié)構(gòu)設(shè)計(jì)、系統(tǒng)功能模塊設(shè)計(jì)、主機(jī)病毒檢測(cè)系統(tǒng)設(shè)計(jì)、網(wǎng)絡(luò)病毒檢測(cè)系統(tǒng)設(shè)計(jì)。

2.1 系統(tǒng)結(jié)構(gòu)設(shè)計(jì)

在進(jìn)行計(jì)算機(jī)網(wǎng)絡(luò)病毒入侵檢測(cè)系統(tǒng)的設(shè)計(jì)中，主要包含三部分內(nèi)容，即應(yīng)用程序、反病毒引擎以及病毒庫(kù)。對(duì)此，可以構(gòu)建三層體系結(jié)構(gòu)的設(shè)計(jì)模式。這三個(gè)部分的設(shè)計(jì)中，應(yīng)用程序?qū)又饕饔檬菍?duì)用戶接口進(jìn)行控制;病毒引擎層的功能是對(duì)系統(tǒng)中的病毒進(jìn)行查殺，屬于技術(shù)核心部分;病毒層為病毒識(shí)別好預(yù)防提供特征識(shí)別信息，為系統(tǒng)病毒升級(jí)提供技術(shù)支持。這三者之間，應(yīng)用程序的運(yùn)行需要以病毒引擎為基礎(chǔ)，病毒引擎的實(shí)現(xiàn)需要以病毒庫(kù)為支撐，三者之間相互依賴，相輔相成。

就系統(tǒng)結(jié)構(gòu)中的這三個(gè)部分重要功能實(shí)現(xiàn)來(lái)看，應(yīng)用程序通過(guò)將掃描對(duì)象供應(yīng)給引擎實(shí)現(xiàn)病毒掃描，提供病毒預(yù)防和用戶交互的對(duì)應(yīng)接口。具體的掃描對(duì)象包含磁盤(pán)對(duì)象以及內(nèi)存對(duì)象。引擎的主要功能是對(duì)應(yīng)用程序進(jìn)行掃描并對(duì)格式進(jìn)行分析和傳輸，把掃描結(jié)果通過(guò)程序調(diào)回接口反映給應(yīng)用程序，并對(duì)返回結(jié)果實(shí)施處理。病毒庫(kù)則是容納了多種病毒信息和病毒名稱(chēng)以及病毒特征的數(shù)據(jù)庫(kù)，這是掃描后的匹配依據(jù)。此外，引擎自身也需要對(duì)病毒庫(kù)進(jìn)行加載、管理和卸載等操作。

2.2 系統(tǒng)功能模塊

如下圖1 所示，為此次計(jì)算機(jī)網(wǎng)絡(luò)病毒入侵檢測(cè)系統(tǒng)的主要設(shè)計(jì)結(jié)構(gòu)：

圖1 計(jì)算機(jī)網(wǎng)絡(luò)病毒入侵檢測(cè)系統(tǒng)的主要設(shè)計(jì)結(jié)構(gòu)

這個(gè)防病毒系統(tǒng)的主要工作可以這樣描述，在系統(tǒng)啟動(dòng)后，用戶可按照自己的需求來(lái)選擇掃描磁盤(pán)和進(jìn)程，設(shè)置相應(yīng)的參數(shù)，完成設(shè)置后可以選定對(duì)象來(lái)進(jìn)行掃描處理。最后返回搭配掃描結(jié)果環(huán)節(jié)。在參數(shù)設(shè)置中，包含對(duì)象是目錄還是文件、感染文件處理和操作、刪除還是隔離;通過(guò)對(duì)于相關(guān)格式文件的過(guò)濾處理，設(shè)置病毒庫(kù)的自動(dòng)升級(jí)時(shí)間;還包含日志文件保存功能，對(duì)于文件大小以及層數(shù)限制進(jìn)行約束。此外，該系統(tǒng)設(shè)計(jì)中，還能夠滿足用戶的自動(dòng)升級(jí)和掃描管理，進(jìn)行日志信息升級(jí)和幫助等。這一系統(tǒng)設(shè)計(jì)中通過(guò)引擎內(nèi)部技術(shù)的實(shí)現(xiàn)，確保系統(tǒng)功能設(shè)置簡(jiǎn)單，且對(duì)于用戶設(shè)備的要求不高，適用于單機(jī)版。

這一系統(tǒng)中應(yīng)用分布式就地的保護(hù)和測(cè)量、控制、通信設(shè)備，借助現(xiàn)場(chǎng)總線來(lái)對(duì)于設(shè)備的通信接口進(jìn)行連接，形成相應(yīng)病毒檢測(cè)系統(tǒng)。系統(tǒng)結(jié)構(gòu)設(shè)計(jì)中，通過(guò)以太網(wǎng)連接，實(shí)現(xiàn)設(shè)備對(duì)于數(shù)據(jù)庫(kù)服務(wù)器、電氣運(yùn)行工作站、維護(hù)工程師站等組網(wǎng)工程病毒監(jiān)控管理的控制系統(tǒng)。

2.3 主機(jī)病毒檢測(cè)系統(tǒng)的設(shè)計(jì)

計(jì)算機(jī)主機(jī)病毒檢測(cè)系統(tǒng)的數(shù)據(jù)源主要包括系統(tǒng)日志、程序日志等，而病毒檢測(cè)系統(tǒng)主要是通過(guò)匹配攻擊內(nèi)容和審計(jì)記錄文件的內(nèi)容，從而來(lái)判斷病毒入侵情況。若是兩者內(nèi)容相匹配，病毒檢測(cè)系統(tǒng)則會(huì)在第一時(shí)間向計(jì)算機(jī)網(wǎng)絡(luò)管理員發(fā)出相應(yīng)的提醒，同時(shí)系統(tǒng)會(huì)自動(dòng)做出相應(yīng)的保護(hù)行為;若是兩者內(nèi)容不相匹配，則說(shuō)明入侵對(duì)象對(duì)計(jì)算機(jī)沒(méi)有攻擊性行為。計(jì)算機(jī)審計(jì)數(shù)據(jù)中主要記錄的是計(jì)算機(jī)用戶的行為信息，在計(jì)算機(jī)系統(tǒng)運(yùn)行過(guò)程中，需要保護(hù)這些信息不受到泄露或更改。當(dāng)計(jì)算機(jī)系統(tǒng)遭受到病毒的攻擊時(shí)，這些數(shù)據(jù)很有可能就已經(jīng)被泄露、更改了[2]。因此計(jì)算機(jī)主機(jī)病毒檢測(cè)系統(tǒng)設(shè)計(jì)中必須要具備一項(xiàng)功能，那就是病毒檢測(cè)系統(tǒng)在完全被病毒所控制之前，需要盡快分析審計(jì)數(shù)據(jù)，并及時(shí)做出相應(yīng)的防護(hù)手段。計(jì)算機(jī)主機(jī)病毒檢測(cè)系統(tǒng)需要準(zhǔn)備判斷攻擊行為是否屬于病毒入侵，并針對(duì)不同的入侵特點(diǎn)判斷出病毒入侵的實(shí)際情況。

2.4 網(wǎng)絡(luò)病毒檢測(cè)系統(tǒng)的設(shè)計(jì)

在計(jì)算機(jī)網(wǎng)絡(luò)中安裝網(wǎng)絡(luò)病毒檢測(cè)系統(tǒng)，并使用計(jì)算機(jī)數(shù)據(jù)源來(lái)詳細(xì)的分析計(jì)算機(jī)入侵的對(duì)象。在實(shí)際的網(wǎng)絡(luò)病毒檢測(cè)系統(tǒng)的設(shè)計(jì)過(guò)程中，只需要使用一個(gè)網(wǎng)絡(luò)適配器來(lái)有效分析和監(jiān)控網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)。針對(duì)計(jì)算機(jī)數(shù)據(jù)采集模塊，在設(shè)計(jì)過(guò)程中要配置網(wǎng)絡(luò)接口引擎、探測(cè)器、過(guò)濾器等器件，而此模塊主要需要實(shí)現(xiàn)以下功能，參照具體的網(wǎng)絡(luò)協(xié)議，從而獲取與病毒入侵事件有關(guān)的信息，然后將獲取到的信息輸送到病毒檢測(cè)系統(tǒng)分析模塊，并全面、詳細(xì)的分析信息的安全性，隨后判斷信息是否對(duì)計(jì)算機(jī)系統(tǒng)具有攻擊性。病毒分析引擎模塊功能主要如下，結(jié)合計(jì)算機(jī)網(wǎng)絡(luò)安全數(shù)據(jù)庫(kù)，全面分析數(shù)據(jù)采集模塊中的數(shù)據(jù)信息的安全性，并將最后的分析結(jié)果輸送到配置管理模塊[3]。而配置管理模塊功能如下，主要管理其他功能模塊的配置工作，然后從病毒分析引擎模塊中輸送過(guò)來(lái)的安全信息結(jié)果告知給計(jì)算機(jī)網(wǎng)絡(luò)管理員，從而讓計(jì)算機(jī)管理員快速對(duì)病毒入侵情況做出相應(yīng)的處理措施。當(dāng)網(wǎng)絡(luò)病毒檢測(cè)系統(tǒng)受到外界的攻擊之后，計(jì)算機(jī)相應(yīng)的功能模塊便會(huì)立即做出相應(yīng)的反應(yīng)，比如中斷連接、報(bào)警等，向用戶和管理員發(fā)出相應(yīng)的警告信息。