启发式扫描技术与病毒技术“道”与“魔”的关系_病毒安全_

概述

由于计算机病毒的巨大危害，杀毒软件应运而生。防病毒软件也是一段代码，由两个主要部分组成：一个防病毒引擎（算法）和一个病毒。它可以识别，比较和删除各种病毒或木马和其他恶意程序。防病毒软件包含多种功能，例如病毒预防，病毒检测和病毒清除。为了处理病毒，防病毒技术要做的第一件事是在可以预防和消除病毒之前先对其进行检测。因此，防病毒软件的主要技术是病毒检测。

在病毒技术不断发展的压力下，病毒检测方法也从“特征码扫描技术”发展到““虚拟机病毒检测技术””，再发展到“启发式扫描技术”。防病毒技术和病毒技术就像“ Dao”和“ Demon”之间的关系一样。将这一矛盾的斗争和发展过程描述为“道高一尺，魔高一尺”也许更合适。病毒加密转换（Mutation）技术，尤其是多态技术，对传统的特征码扫描技术造成了沉重的打击。虚拟机技术和启发式扫描技术抑制了多态病毒的快速发展。这也使得仅更改“字节特征”的变体病毒很难逃脱病毒检查软件的检测。

但是，反病毒技术的发展也将刺激并敦促病毒生产商不断开发具有一定反启发式扫描功能的新型病毒，从而可以逃避此类检测技术的检测。即使在目前，启发式扫描技术也不能被认为是完美的。一方面，大多数反病毒制造商的产品尚未引入更成功，更可靠的启发式检测技术核心；另一方面，另一方面，即使在这项技术在一些著名的防病毒产品中的应用也需要进行不断的改进和发展。任何改进工作都会在不同程度上改善质量，但是错误报告和漏报的可能性长期不会达到0％。目前，市场上主要的反病毒软件都声称使用“启发式扫描技术”，即结合了“签名扫描技术”，行为检测技术和虚拟机技术的病毒扫描方法。

功能

1、防病毒软件产品由程序本身和制造商的升级服务组成，两者都是必不可少的。为了提高病毒检测速度并减少误报率，防病毒软件通常使用“签名扫描技术”。就像辆的技术规范要求辆必须装有发动机一样，“签名扫描技术”也要求防病毒软件必须包括升级服务。因为这种技术要求必须经常升级防病毒软件，否则防病毒软件将无法识别和删除新病毒，也无法保护用户的计算机。如果不将升级服务用作防病毒软件的组成部分，那么今天消费者购买的防病毒软件将在明天失去作用，这违反了市场经济中最基本的公平原则。因此，当前的防病毒软件制造商基本上会在一定时间内提供升级服务。需要强调的一点是，这种升级服务不同于一般产品的售后服务。它本身就是防病毒软件产品的组成部分。

2、当防病毒软件发出警报时，提供给用户的信息不清楚，这会阻止用户做出正确的答案。

选择。与其他检测技术一样，启发式扫描技术将不可避免地导致错误警报或错误报告，即将正常程序判断为受感染程序并向用户发送警告消息。因此，当出现某些警报消息时，用户不可避免地需要做出自己的选择：是真正的病毒还是虚假警报？如果防病毒软件仅给出简单的警告消息“调用已发现的可疑病毒的功能”，而没有更多辅助信息，则用户无法判断它是否是真正的病毒。如果防病毒软件包含更具体，更实用的信息，例如，向用户报告“警告，当前检测到的程序包含常驻内存并格式化软盘和硬盘功能”，则它可以帮助用户确定会发生什么以及发生什么情况。应采取对策。不幸的是，我们在当前的防病毒软件中看到的更多是：“警告，发现可疑过程，您要继续吗？”和其他警告消息。

3、合格甚至优秀的防病毒软件不能保证用户的计算机100％不受病毒破坏。换句话说，无法通过计算机是否被病毒损坏来判断防病毒软件是否合格。由于技术原因，任何类型的防病毒软件都不可能100％杀死所有病毒。因此，毫无疑问，任何计算机用户都会迟早受到病毒的感染和骚扰。

功能

防病毒软件的诞生是由于计算机病毒的不断扩散，这对计算机系统和网络的发展造成了致命的损害。研究人员开发了防病毒软件，可以有效地检查和杀死计算机中的病毒，切断其传输通道，并弥补网络安全性能不足的缺陷。它对计算机网络安全的影响如下：

1.弥补了防火墙的不足。防火墙是保护网络安全的第一道防线，也是所有计算机系统最重要的防御方法。但是，防火墙本身存在一些缺陷，例如更新不及时以及检查和查杀效率低下。许多病毒和木马经常使用这些漏洞来突破防火墙的防御并进入系统。安装防病毒软件可以有效地弥补防火墙中的漏洞。即使病毒通过防火墙，也会被防病毒软件阻止，从而提高了病毒检测效率并确保了网络安全。

2.弥补管理上的不足。网络安全不仅与软件因素有关，而且与人员管理密切相关。由于管理漏洞，许多计算机系统受到威胁。人事管理不仅包括硬件设备的维护和修理，还包括软件程序的升级和更新，以及防止人为因素破坏系统。安装防病毒软件后，管理员可以随时检查和清理系统，以消除潜在的安全隐患；即使遭到病毒攻击，也可以迅速对其进行处理，以确保系统的正常运行以及网络的安全性和稳定性。

测试指标

防病毒功能

病毒控制产品的抗病毒能力应达到：

a）当病毒样本库中的病毒样本通过以下渠道进入计算机系统时，将发出警报：

存储介质；

网络；

电子邮件；

b）设置满足病毒感染和爆发的条件，然后激活病毒。病毒防护产品可以防止病毒传播和破坏。

c）将病毒入侵记录到报告文件中。

d）网络产品应在发现病毒后通知网络管理员或用户。

病毒检测等级指数

合格产品的病毒检出率应达到：

·基本的病毒样本库可以检测到其中至少85％；

·至少可以检测到90％的流行病毒样本库；

·在特殊格式的病毒样本库中至少可以检测到其中的80％；

二级产品的病毒检出率应达到：

·基本的病毒样本库可以检测到至少90％；

·至少可以检测到95％的流行病毒样本库；

·至少可以检测到85％的特殊格式病毒样本库；

一级产品的病毒检测率应达到：

·基本的病毒样本库可以检测到其中至少95％；

·至少可以检测到98％的流行病毒样本库；

·至少可以检测到95％具有特殊格式的病毒样本库；

病毒清除指标

·如果可以恢复病毒主机的功能，则必须恢复病毒主机的功能，并且病毒将失去其原始功能；

·如果不能恢复病毒主机的功能，则可以重新生成病毒主机，否则将提示病毒主机删除。

·具有删除病毒时备份受感染主机的功能；

病毒清除等级指数

合格产品的病毒清除率应达到以下指标：

·基本的病毒样本库可以清除其中至少80％；

·至少可以消除85％的流行病毒样本库。

二级产品的病毒清除率应达到以下指标：

·基本的病毒样本库可以清除至少85％的病毒；

·可以从流行的病毒样本库中清除至少90种病毒。

一级产品的病毒清除率应达到以下指标：

·至少可以清除90％的病毒样本基本库；

·至少可以消除95％的流行病毒样本库。

根据上述标准，可以说目前市场上销售的反病毒软件基本上是合格产品，即使那些对“熊猫烧香”无能为力的产品也合格。这是用户必须面对现实的尴尬和无奈。

防病毒机制研究

防病毒软件可以继续在受感染的网络节点上处理病毒，并将其与其他节点隔离，以保护计算机网络系统。病毒在人群中传播的理论通常用于建立数学模型来定量研究防病毒软件的机制。提出了一些定量研究计算机网络中病毒传播的数学模型，特别是H. Yuan和GQ使用微分方程的稳定性理论讨论计算机网络病毒的传播，并建立了e.SEIR数学模型：Bk Mislwa和Navneet Jha提出了一种数学模型，用于在计算机网络上恶意传播病毒。 Newman等人研究了通过电子邮件传播计算机病毒的情况。在这些研究中，尚未研究防病毒软件对受感染计算机网络的影响，也没有人为其建立数学模型。

数学建模

建立数学模型时，将整个网络中所有节点的数量设为N（t），然后将敏感节点的数量平均划分为N（t），将受感染的节点数量设为Y（t），和受保护节点的数量Z（t）分为三个子类别。假设用于清理网络的防病毒软件的数量为va（t），被感染的节点数量为Y（t）是一个比例函数。借助传染病理论的概念，建立了被感染网络上防病毒软件的数学模型，如下：

模型中的参数4和B分别是易感节点和受感染节点的流量过大，c是由非病毒攻击导致的节点崩溃的比率，

是易感节点与被感染节点接触时的感染率，

是被感染节点失去感染能力的速率，而wu是被感染节点再次成为脆弱节点的速率，

使用防病毒软件保护节点的恒定速率，

这是杀毒软件清除网络病毒的增长率，

o是防病毒软件无法有效运行的速率。 Voo是防病毒软件的价值，该防病毒软件一直存在于系统中以保护现有软件。我们假设模型中所有常数均为正。

在模型[1)中，假定清除的节点再次成为易受攻击的节点，并且只有在被防病毒软件隔离后才能得到保护。此方法类似于众所周知的免疫概念。预防流行病。

认知误区

（[1)只要您不上网，就不会感染病毒。

许认为，只要不连接到Internet，计算机就不会感染病毒。确实，许多病毒通过Internet传播。但是移动存储还是病毒的主要来源，例如USB驱动器，移动硬盘驱动器和CD-ROM。

（[2)只要您拥有防病毒软件，您就不会害怕病毒

防病毒软件无法预测将来会出现哪种病毒。防病毒软件只能杀死已知的病毒或某些常见的病毒特征行为。因此，不要坐下来放松防病毒软件，并且防病毒软件喜欢及时更新。

（[3)如果您不将该文件设置为只读文件，请不要担心病毒

将文件设置为只读不允许您修改或删除文件，这对于防止意外修改或删除文件确实很有帮助。但是对于病毒。只需再执行两个命令即可。如果病毒要修改只读文件，则可以先删除该只读文件，然后在修改后将其修改为只读。您可能仍然认为系统有问题。

（[4)杀毒软件越多越好

许拥有不止一种防病毒软件。如果您认为更多的防病毒软件可以杀死更多的病毒，那是一个很大的错误。防病毒软件之间通常会发生冲突，并且多个防病毒软件将占用更多的系统资源，从而使计算机陷于瘫痪。防病毒软件可以杀死常见的病毒，因此只需选择您喜欢的防病毒软件即可。

正确使用

1.定期升级并积极检查并杀死。防病毒软件可以弥补防火墙的漏洞，因为它可以有效地检测到伪装的程序文件，并及时杀死隐藏的病毒木马。但是，病毒可以自我更新并经常改变其伪装。如果不定期更新防病毒软件，则无法有效识别新病毒。在正常情况下，每周更新一次防病毒软件是一个标准周期。升级杀毒软件后，用户必须坚持主动检测和查杀，以最大限度地发挥杀毒软件的查杀效果，从而确保网络安全。

2.正确设置防病毒功能。市场上有多种防病毒软件，用户可以根据计算机的配置和自身需求选择最合适的一种。但是，应注意的是，每个防病毒软件都有许多替代功能，例如定期进行系统检查和查杀，预先扫描已连接的移动设备，实时监视网络通信等，可以大大提高效率。检查和杀死；还有一些功能会阻碍系统中应用程序的运行。例如，如果某些新开发的程序未经认证，则它们将被防病毒软件主动隔离，从而导致该软件无法使用。用户必须学习如何正确设置这些功能，以便防病毒软件可以更好地保护网络安全。

3.与其他工具一起使用。尽管防病毒软件功能非常强大，但它并不是万能的，需要不断自我完善才能更好地适应网络发展。就目前的杀毒软件技术而言，它基本上处于被动防御和后处理的水平。需要进一步的研究以实现主动防御并消除病毒损害。但是防病毒软件可以与其他安全工具结合使用，例如数字身份验证技术，网络通信检测技术和病毒技术。就像反病毒软件弥补了防火墙的缺陷一样，这些安全工具也弥补了反病毒软件的缺陷。它们有机地结合在一起。我们共同保护网络安全。

请参阅反病毒软件持续使用意愿的影响因素和调节效果的实证研究，科学技术管理研究，陈宇等，付建明，彭国军：“计算机病毒分析与对策”，武汉大学出版社，2004年版。曾德明，防病毒软件中的“云安全”技术分析，“中国知网；万方”，张仁斌，李刚：“计算机病毒和防病毒技术”，清华大学出版社，2006年版。姜兵。没有杀毒软件的个人计算机如何生存[J]。网络与信息，2006，8.使用杀毒软件，计算机和网络，知网的误区

本文来自本站，转载请注明本文网址：
http://www.pc-fly.com/a/shouji/article-349505-1.html