田志

隨著計(jì)算機(jī)網(wǎng)絡(luò)的不斷應(yīng)用和發(fā)展，網(wǎng)絡(luò)因開放性而衍生出了較多的安全問題，計(jì)算機(jī)病毒算是其中一個(gè)。病毒入侵問題更是對(duì)計(jì)算機(jī)系統(tǒng)的正常運(yùn)行造成了較大的影響，也在很大程度上威脅到了計(jì)算機(jī)的使用安全。計(jì)算機(jī)經(jīng)過這么多年的發(fā)展，系統(tǒng)設(shè)計(jì)也趨向于成熟，為了確保計(jì)算機(jī)系統(tǒng)的安全運(yùn)行，人們開始積極設(shè)計(jì)計(jì)算機(jī)病毒檢測系統(tǒng)，以保障計(jì)算機(jī)應(yīng)用安全。

1.病毒檢測的方法

1.1異常檢測法

異常檢測方法主要是用戶檢測計(jì)算機(jī)資源的異常使用以及計(jì)算機(jī)用戶的異常行為，應(yīng)用異常檢測法首先需要建立起用戶互動(dòng)模型和目標(biāo)系統(tǒng)，然后通過用戶活動(dòng)模型來檢測計(jì)算機(jī)用戶和計(jì)算機(jī)系統(tǒng)的相應(yīng)行為，從而有效的判斷計(jì)算機(jī)用戶的行為是否對(duì)計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)有相應(yīng)的攻擊性。異常檢測方法具有良好的應(yīng)用適應(yīng)性，且能夠檢測到未知的入侵能力，但是此種檢測方法還是具有一定的缺點(diǎn)，那就是檢測準(zhǔn)確性有所偏差，因此導(dǎo)致此種檢測方法在應(yīng)用過程中還是受到了一定的限制。

1.2混合檢測法

混合檢測法主要是綜合濫用檢測法和異常檢測法的優(yōu)勢，并進(jìn)行整合利用。由于這兩種檢測方法在實(shí)際應(yīng)用過程中存在一定補(bǔ)充關(guān)系，因此有效結(jié)合能達(dá)到互相彌補(bǔ)的目的，讓檢測效果更佳，也能夠有效的提升病毒檢測的效率和質(zhì)量。

2.計(jì)算機(jī)網(wǎng)絡(luò)病毒入侵檢測系統(tǒng)的設(shè)計(jì)實(shí)現(xiàn)

此次計(jì)算機(jī)網(wǎng)絡(luò)病毒入侵檢測系統(tǒng)設(shè)計(jì)中，設(shè)計(jì)的主要設(shè)計(jì)流程包含系統(tǒng)結(jié)構(gòu)設(shè)計(jì)、系統(tǒng)功能模塊設(shè)計(jì)、主機(jī)病毒檢測系統(tǒng)設(shè)計(jì)、網(wǎng)絡(luò)病毒檢測系統(tǒng)設(shè)計(jì)。

2.1系統(tǒng)結(jié)構(gòu)設(shè)計(jì)

在進(jìn)行計(jì)算機(jī)網(wǎng)絡(luò)病毒入侵檢測系統(tǒng)的設(shè)計(jì)中，主要包含三部分內(nèi)容，即應(yīng)用程序、反病毒引擎以及病毒庫。對(duì)此，可以構(gòu)建三層體系結(jié)構(gòu)的設(shè)計(jì)模式。這三個(gè)部分的設(shè)計(jì)中，應(yīng)用程序?qū)又饕饔檬菍?duì)用戶接口進(jìn)行控制;病毒引擎層的功能是對(duì)系統(tǒng)中的病毒進(jìn)行查殺，屬于技術(shù)核心部分;病毒層為病毒識(shí)別好預(yù)防提供特征識(shí)別信息，為系統(tǒng)病毒升級(jí)提供技術(shù)支持。這三者之間，應(yīng)用程序的運(yùn)行需要以病毒引擎為基礎(chǔ)，病毒引擎的實(shí)現(xiàn)需要以病毒庫為支撐，三者之間相互依賴，相輔相成。

就系統(tǒng)結(jié)構(gòu)中的這三個(gè)部分重要功能實(shí)現(xiàn)來看，應(yīng)用程序通過將掃描對(duì)象供應(yīng)給引擎實(shí)現(xiàn)病毒掃描，提供病毒預(yù)防和用戶交互的對(duì)應(yīng)接口。具體的掃描對(duì)象包含磁盤對(duì)象以及內(nèi)存對(duì)象。引擎的主要功能是對(duì)應(yīng)用程序進(jìn)行掃描并對(duì)格式進(jìn)行分析和傳輸，把掃描結(jié)果通過程序調(diào)回接口反映給應(yīng)用程序，并對(duì)返回結(jié)果實(shí)施處理。病毒庫則是容納了多種病毒信息和病毒名稱以及病毒特征的數(shù)據(jù)庫，這是掃描后的匹配依據(jù)。此外，引擎自身也需要對(duì)病毒庫進(jìn)行加載、管理和卸載等操作。

2.2系統(tǒng)功能模塊

如下圖1所示，為此次計(jì)算機(jī)網(wǎng)絡(luò)病毒入侵檢測系統(tǒng)的主要設(shè)計(jì)結(jié)構(gòu)：

圖1 計(jì)算機(jī)網(wǎng)絡(luò)病毒入侵檢測系統(tǒng)的主要設(shè)計(jì)結(jié)構(gòu)

這個(gè)防病毒系統(tǒng)的主要工作可以這樣描述，在系統(tǒng)啟動(dòng)后，用戶可按照自己的需求來選擇掃描磁盤和進(jìn)程，設(shè)置相應(yīng)的參數(shù)，完成設(shè)置后可以選定對(duì)象來進(jìn)行掃描處理。最后返回搭配掃描結(jié)果環(huán)節(jié)。在參數(shù)設(shè)置中，包含對(duì)象是目錄還是文件、感染文件處理和操作、刪除還是隔離;通過對(duì)于相關(guān)格式文件的過濾處理，設(shè)置病毒庫的自動(dòng)升級(jí)時(shí)間;還包含日志文件保存功能，對(duì)于文件大小以及層數(shù)限制進(jìn)行約束。此外，該系統(tǒng)設(shè)計(jì)中，還能夠滿足用戶的自動(dòng)升級(jí)和掃描管理，進(jìn)行日志信息升級(jí)和幫助等。這一系統(tǒng)設(shè)計(jì)中通過引擎內(nèi)部技術(shù)的實(shí)現(xiàn)，確保系統(tǒng)功能設(shè)置簡單，且對(duì)于用戶設(shè)備的要求不高，適用于單機(jī)版。

這一系統(tǒng)中應(yīng)用分布式就地的保護(hù)和測量、控制、通信設(shè)備，借助現(xiàn)場總線來對(duì)于設(shè)備的通信接口進(jìn)行連接，形成相應(yīng)病毒檢測系統(tǒng)。系統(tǒng)結(jié)構(gòu)設(shè)計(jì)中，通過以太網(wǎng)連接，實(shí)現(xiàn)設(shè)備對(duì)于數(shù)據(jù)庫服務(wù)器、電氣運(yùn)行工作站、維護(hù)工程師站等組網(wǎng)工程病毒監(jiān)控管理的控制系統(tǒng)。

2.3主機(jī)病毒檢測系統(tǒng)的設(shè)計(jì)

計(jì)算機(jī)主機(jī)病毒檢測系統(tǒng)的數(shù)據(jù)源主要包括系統(tǒng)日志、程序日志等，而病毒檢測系統(tǒng)主要是通過匹配攻擊內(nèi)容和審計(jì)記錄文件的內(nèi)容，從而來判斷病毒入侵情況。若是兩者內(nèi)容相匹配，病毒檢測系統(tǒng)則會(huì)在第一時(shí)間向計(jì)算機(jī)網(wǎng)絡(luò)管理員發(fā)出相應(yīng)的提醒，同時(shí)系統(tǒng)會(huì)自動(dòng)做出相應(yīng)的保護(hù)行為;若是兩者內(nèi)容不相匹配，則說明入侵對(duì)象對(duì)計(jì)算機(jī)沒有攻擊性行為。計(jì)算機(jī)審計(jì)數(shù)據(jù)中主要記錄的是計(jì)算機(jī)用戶的行為信息，在計(jì)算機(jī)系統(tǒng)運(yùn)行過程中，需要保護(hù)這些信息不受到泄露或更改。當(dāng)計(jì)算機(jī)系統(tǒng)遭受到病毒的攻擊時(shí)，這些數(shù)據(jù)很有可能就已經(jīng)被泄露、更改了。因此計(jì)算機(jī)主機(jī)病毒檢測系統(tǒng)設(shè)計(jì)中必須要具備一項(xiàng)功能，那就是病毒檢測系統(tǒng)在完全被病毒所控制之前，需要盡快分析審計(jì)數(shù)據(jù)，并及時(shí)做出相應(yīng)的防護(hù)手段。計(jì)算機(jī)主機(jī)病毒檢測系統(tǒng)需要準(zhǔn)備判斷攻擊行為是否屬于病毒入侵，并針對(duì)不同的入侵特點(diǎn)判斷出病毒入侵的實(shí)際情況。

2.4網(wǎng)絡(luò)病毒檢測系統(tǒng)的設(shè)計(jì)

在計(jì)算機(jī)網(wǎng)絡(luò)中安裝網(wǎng)絡(luò)病毒檢測系統(tǒng)，并使用計(jì)算機(jī)數(shù)據(jù)源來詳細(xì)的分析計(jì)算機(jī)入侵的對(duì)象。在實(shí)際的網(wǎng)絡(luò)病毒檢測系統(tǒng)的設(shè)計(jì)過程中，只需要使用一個(gè)網(wǎng)絡(luò)適配器來有效分析和監(jiān)控網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)。針對(duì)計(jì)算機(jī)數(shù)據(jù)采集模塊，在設(shè)計(jì)過程中要配置網(wǎng)絡(luò)接口引擎、探測器、過濾器等器件，而此模塊主要需要實(shí)現(xiàn)以下功能，參照具體的網(wǎng)絡(luò)協(xié)議，從而獲取與病毒入侵事件有關(guān)的信息，然后將獲取到的信息輸送到病毒檢測系統(tǒng)分析模塊，并全面、詳細(xì)的分析信息的安全性，隨后判斷信息是否對(duì)計(jì)算機(jī)系統(tǒng)具有攻擊性。病毒分析引擎模塊功能主要如下，結(jié)合計(jì)算機(jī)網(wǎng)絡(luò)安全數(shù)據(jù)庫，全面分析數(shù)據(jù)采集模塊中的數(shù)據(jù)信息的安全性，并將最后的分析結(jié)果輸送到配置管理模塊。而配置管理模塊功能如下，主要管理其他功能模塊的配置工作，然后從病毒分析引擎模塊中輸送過來的安全信息結(jié)果告知給計(jì)算機(jī)網(wǎng)絡(luò)管理員，從而讓計(jì)算機(jī)管理員快速對(duì)病毒入侵情況做出相應(yīng)的處理措施。當(dāng)網(wǎng)絡(luò)病毒檢測系統(tǒng)受到外界的攻擊之后，計(jì)算機(jī)相應(yīng)的功能模塊便會(huì)立即做出相應(yīng)的反應(yīng)，比如中斷連接、報(bào)警等，向用戶和管理員發(fā)出相應(yīng)的警告信息。

3.實(shí)現(xiàn)系統(tǒng)的程序設(shè)計(jì)技術(shù)

3.1視圖/文檔結(jié)構(gòu)設(shè)計(jì)模式

“視圖/文檔結(jié)構(gòu)”設(shè)計(jì)模式可以讓用戶交叉和程序數(shù)據(jù)顯示形式相分離，“視圖/文檔結(jié)構(gòu)”的編程模式會(huì)將程序中的相關(guān)變量數(shù)據(jù)儲(chǔ)存到文檔當(dāng)中，這樣更方便用戶在視圖和文檔當(dāng)中處理消息。在計(jì)算機(jī)網(wǎng)絡(luò)檢測系統(tǒng)中，視圖相當(dāng)于是數(shù)據(jù)查看窗口，而文檔就相當(dāng)于是數(shù)據(jù)收集器。

3.2以序列化讀寫文件

計(jì)算機(jī)微軟基礎(chǔ)庫中主要提供了新的文件讀寫方法，即為“序列化”方法，這種機(jī)制主要向計(jì)算機(jī)軟件開發(fā)者提供快速透明的文件操作方法，這樣一來能夠讓文件操作的更加迅速，從而能夠通過計(jì)算機(jī)微軟數(shù)據(jù)庫來分析各種數(shù)據(jù)，從而更容易以“序列化”方法來進(jìn)行讀/寫文件數(shù)據(jù)。

為保障計(jì)算機(jī)用戶使用的安全性，計(jì)算機(jī)系統(tǒng)可采用自行保存、自行導(dǎo)出的操作方案，計(jì)算機(jī)數(shù)據(jù)密碼的導(dǎo)出和導(dǎo)入都用CArchive類來完成。對(duì)于此過程中生成的文件用計(jì)算機(jī)編輯器打開時(shí)，則會(huì)顯示大批量的亂碼，這樣一來便能夠有效保障文件的安全性。通過定義計(jì)算機(jī)處理對(duì)象，將這個(gè)對(duì)象作為參數(shù)重新定義一個(gè)CArchive類對(duì)象，這樣便能夠有效地以“序列化”方法來讀取、書寫各種復(fù)雜的數(shù)據(jù)了。

3.30DBC數(shù)據(jù)庫動(dòng)態(tài)編程方法

ODBC向計(jì)算機(jī)應(yīng)用程序提供了更加快速、便捷訪問數(shù)據(jù)庫的接口，利用ODBC編程的過程中，需要經(jīng)常使用到可視記錄集類、記錄集類、數(shù)據(jù)庫類的對(duì)象。其中可視記錄集類對(duì)象能夠?qū)⒂涗浖瘡臄?shù)據(jù)源中充分的提取;記錄集類對(duì)象能夠有效的控制視圖的形式，并且同時(shí)顯示數(shù)據(jù)庫的數(shù)據(jù)記錄，從而將視圖連接到一個(gè)表視圖當(dāng)中;數(shù)據(jù)庫類對(duì)象則通過連接數(shù)據(jù)庫源，來對(duì)數(shù)據(jù)庫源進(jìn)行有效的操作。在計(jì)算機(jī)系統(tǒng)中將所使用的記錄集類對(duì)象和數(shù)據(jù)庫類對(duì)象都登記到用戶信息中，一旦信息變量，則會(huì)將數(shù)據(jù)信息進(jìn)一步儲(chǔ)存到計(jì)算機(jī)文檔當(dāng)中，從而實(shí)現(xiàn)視圖類用戶申請(qǐng)、用戶查詢、用戶登錄和用戶處理等操作。計(jì)算機(jī)系統(tǒng)在訪問數(shù)據(jù)庫時(shí)需要寫下相應(yīng)的代碼，這樣才能夠成功訪問計(jì)算機(jī)病毒攔截?cái)?shù)據(jù)庫，代碼連接為：Driver=（SQLServer）;Server=GXU_CS。

3.4用CStdioFile類操作文本文件

CFile類中衍生出了CStdioFile類，計(jì)算機(jī)網(wǎng)絡(luò)病毒入侵檢測系統(tǒng)則主要是采用了CStdioFile類提供的BOOLWniteString函數(shù)和LPTSTRREADSTRING函數(shù)來完成文件數(shù)據(jù)信息讀取、文件讀寫操作等工作。

4.結(jié)束語

總的來說，在處理計(jì)算機(jī)網(wǎng)絡(luò)安全問題過程中，病毒檢測系統(tǒng)的設(shè)計(jì)和實(shí)現(xiàn)是一個(gè)關(guān)鍵點(diǎn)，良好的病毒檢測系統(tǒng)能夠有效彌補(bǔ)計(jì)算機(jī)防火墻系統(tǒng)中的不足之處，還能夠保障計(jì)算機(jī)的網(wǎng)絡(luò)安全，也是防護(hù)現(xiàn)代計(jì)算機(jī)網(wǎng)絡(luò)安全中一種有效的技術(shù)。雖然在目前階段，我國計(jì)算機(jī)病毒檢測系統(tǒng)的涉及技術(shù)仍然還處在發(fā)展的過程中，但是隨著計(jì)算機(jī)網(wǎng)絡(luò)病毒檢測系統(tǒng)設(shè)計(jì)的不斷完善，病毒檢測系統(tǒng)的應(yīng)用性能和范圍必將有新的突破。