研究計算機木馬應對技術

導語：研究計算機木馬應對技術一文來源于網友上傳，不代表本站觀點，若需要原創文章可咨詢客服老師，歡迎參考。

1網絡檢測技術。

針對木馬的網絡檢測技術指通過對主機本身網絡通信的監控嚴格限制通信端口與網絡的連接，當發現通信異常的情況下馬上對木馬的運行進行組織，這種技術普遍的是以誤用檢測為基礎的。網絡檢測技術包括防火墻技術，入侵檢測技術等，根據防火墻檢測原理的不同，防火墻技術又可以分為狀態檢測類型、過濾包型和應用三類。入侵檢測技術能夠通過對計算機中某些關鍵點的信息進行收集與分析，并發現違反安全策略的跡象與行為，IDS可以作為防火墻的補充，對提高信息安全基礎結構自身的完整性能夠發揮出重要的作用，但是由于IDS的檢測速度小于網絡的傳輸速度并且模式識別的技術也有待完善，所以存在一定的不可靠性與誤報率。

2完整性檢測技術。

完整性檢測能夠通過對文件系統或者目錄快照的檢查與系統中原始的可信任版本進行對比來查對其一致性來檢測目錄或者文件的變動，從而檢測出系統中惡意程序是否存在。其檢測方法包括基于文件內容的檢測、基于文件基本屬性的檢測和基于文件數字簽字的檢測。完整性檢測能夠在很大程度上實現對系統安全的保護，但是其缺點也十分明顯：一是完整性檢測計算文件的工作量較大，其檢測速度以及檢測效率也必然會較慢；二是檢測本身的成功率與管理員對文件計算數字簽名的間隔有很大關系，但是由于其檢測較慢，所以入侵者能夠在此時間內將入侵的痕跡進行清理；三是完整性檢測雖然能夠檢測出惡意程序，但是對其類型卻不能識別；四是計算機中文件信息的修改也可能是由正常的程序引起的，所以完整性檢測技術具有一定的誤報可能性。

3特征碼掃描技術。

特征碼掃描技術是許多殺毒軟件公司用來進行木馬檢測的工具，其方法包括特征掃描法和特征代碼掃描法兩類。作為最實用、最簡單的對已知惡意程序進行檢測的方法，其技術的關鍵是提取惡意程序的特征碼，并在此基礎上對惡意程序進行精確的查殺，所以這種方法對已知病毒和木馬的檢測準確率很好，誤報率也較低，但是這種方法本身也存在一定的缺陷：一是不能檢測出變形、加殼等具有隱蔽性的木馬，也不能檢測出未知的、新的木馬；二是對病毒庫具有很大的依賴性，而木馬數量的增加會導致病毒庫的擴大，其掃描時間也會隨之延長；三是病毒庫本身的更新滯后于新木馬的產生，所以特征碼掃描技術也就有了滯后性。

4實時監控技術。

實時監控是指對許多不同角度的流入、流入數據進行嚴格過濾，并對其中可能存在的惡意程序代碼進行檢測與處理，其中包括內存監控、文件監控、郵件監控、腳本監控等。實時監控所具有的實時性是與其他方法相比最突出的優勢，當系統一旦遭到惡意程序的入侵，會被立即監控并清除，從而控制惡意程序在系統中造成的破壞。而這種技術對腳本以及郵件的監控還能夠阻斷惡意程序代碼傳播的途徑，從而使惡意程序代碼的傳播減少。其缺點是只能夠對已知的惡意程序進行檢測，而這種缺點產生的原因是因為實時監控是建立在特征碼的基礎上運行的。

5虛擬機技術。

通過一個軟件對CPU的模擬可以形成虛擬機，虛擬機可以執行、取指和譯碼，能夠模擬代碼在真實CPU上運行的效果。在虛擬的計算機環境中，程序鎖具有的任何動態如內存的變化、寄存器的變化等都能夠被反映出來，在此過程中，惡意程序代碼的傳染性也自然會被反映出來。虛擬機中執行的病毒雖然能夠模擬出病毒程序執行的效果，但是卻不會對真實的系統造成破壞，對一些變形的、加密的病毒的檢測具有建好的效果。但是虛擬機技術的缺點則體現為在運行過程中會占用較大的系統資源，這也是虛擬機技術自身缺乏較高實用性的表現，并且一些木馬也加入了對虛擬機進行檢測的代碼，能夠判斷自身運行的環境，而當發現自身處于虛擬機中使，木馬可以中斷執行行為或改變操作行為以避免被虛擬機檢測。

6行為分析技術。

行為分析技術能夠將一系列做好規定的惡意程序定位規范，在此基礎上對程序的行為進行監視以判斷程序是否存在惡意代碼，也就是說，行為分析對程序的判斷是以程序自身的動態行為為依據。而行為分析技術與傳統的以特征碼為基礎的檢測技術不同的是，行為分析技術并沒有對特征碼的依賴性，所以它能夠對已知和未知兩類惡意程序進行檢測，但是目前在木馬檢測中應用的行為分析技術也存在一些問題：一是具有較高的誤報率。當規范制定缺乏完善性時，會對合法程序與木馬難以做出有效的區分；二是較低的智能化。許多應用行為分析技術的木馬檢測和查殺產品在發現可以程序后一般將處理程序的決策權交給用戶，而這對一般缺乏木馬知識的人而言具有一定的困難，同時也可能妨礙用戶對系統的正常使用。

作者：侯超男單位：湖南信息職業技術學院