非特征码鉴别的反病毒技术机理综述

摘要：本文简要的介绍了当前基于非特征码的反病毒技术，并指出了各自的特点以及未来反病毒技术的发展方向。

关键词：特征码；非特征码；反病毒技术

中图分类号：TP309.5 文献标识码：A文章编号：1007-9599 (2011) 11-0000-01

Anti-virus Technology Mechanism Overview of Non-character-code Identification

Luo Ping,Yang Guangyuan

(Southwest University for Nationalities Library,Chengdu610041,China)

Abstract:This paper mainly introduces the anti-virus technique that is based on non-character-code and theirs characteristic as well as the orientation of the anti-virus.

Keywords:Character-code;Non-character-code;Anti-virus technique

一、引言

基于特征码的反病毒技术是早期反病毒软件的主要方法，普遍为现在大多数反病毒软件的静态扫描所采用[1][2]。这种方法抛弃了检验法的那种预先存储文件信息的方法，而是真正以病毒为对象，通过分析病毒的独有的特征来鉴别病毒。它的前提是必须先分析出病毒的特征病毒码并集中存放在一个病毒代码库文件中。这样才能在扫描时将扫描对象与特征代码库比较，从而判断是否感染了病毒。

二、基于非特征码的反病毒技术

（一）逆向工程。逆向工程主要是采用反汇编的技术，将新的软件进行分析，以判断其是否具有可疑行为[3]。中提出了一种用静态分析可执行文件来检测恶意代码的方法：通过直接操作二进制代码，而不通过任何假设源代码的可用性。为了直接操作低级代码，文中用一套程序转化器获得低级代码的相应高级语言的表示。它目的是为在保存原始语义的情况下大大提高其可分析性，然后使用限制（Slicing）技术，从安全的立场来提取这些代码段的关键处，最后通过对各个分片进行行为认证以决定它们是否是具有恶意行为[4]。中提出了一种新方法来静态检测可执行程序中的恶意代码：通过基于行为的语义分析。这种方法还能够探测到未知恶意代码。这种方法通过三个主要步骤来达到目的：建造一个媒介代表，基于流分析来捕获安全目标程序的行为及根据安全策略（模型检查）来静态确证关键行为[5]。中提出了一种使用反汇编恶意程序，着重于不同的恶意代码的特征识别的静态分析技术。它是以所有的恶意代码使用共同的核心特征为假设前提，混合使用许多代码特征。由于使用这个技术反汇编代码，它能够被使用在任意操作系统中。同时由于间谍软件和广告软件的存在和上升，文中还提出了关于这个技术被扩展到检测间谍软件的分析。

总之，逆向工程的方向特点是以静态分析技术为主，对恶意程序进行反汇编分析，并采用静态分析技术和其他方向相结合的分析方法以及利用动态分析技术处理多态变形病毒。

（二）数据挖掘技术。数据挖掘技术主要是采用数据挖掘中的分类技术，从大量的恶意代码样本中进行训练，利用统计学中的朴素贝叶斯公式（Naive Bayes）进行分析，最后达到能识别恶意代码的目的[6]。中提出了一种Multi-Naive Bayes算法，利用它可以检测新的、以前未看见过的恶意代码[7]。中提出了一种基于数据挖掘技术的自动的启发式方法来检测计算机病毒。这种能够方法被命名为Decision Tree和Naive Bayesian network算法，它能够监测未知病毒。

总之，数据挖掘技术的方向特点是以数据挖掘中的分类技术为主，从大量的恶意代码样本中进行训练，并结合其他技术知识来处理未知病毒。

（三）人工免疫技术。人工免疫技术主要是利用人体免疫机制和计算机安全的相似性，将人体免疫学的原理应用到计算机安全中[8]。中描述了两种新型的基于生物学的反病毒技术：神经网络病毒探测器用于学习并分辨被感染和未被感染的程序，和一个用于识别新型病毒，并自动分析它，然后用分析结果检测并删除所有存于系统的病毒及其副本的计算机免疫系统。

总之，人工免疫技术方向特点是多为模型研究，是从病毒繁殖及感染模型入手进行免疫，并且免疫系统的具有自主学习、分析、处理的能力。

（四）行为检测技术。行为检测技术是利用病毒的特有行为特征来监测病毒。它是通过对病毒的长期观察和研究，识别出病毒行为共同性和特殊性[9]。中提出了两种基于主机的异常调用检测的探测器。作为系统调用顺序的异常检测技术，主要被使用在基于规范和基于学习的领域[10]。中提出了一种利用异常检测方法检测恶意代码的方法，它是基于程序或用户正常使用数据。同时给出了两种分析方法：动态建摸方法和静态建摸方法，并比较了两种方法适用的场合[11]。中提出了一种在程序运行时动态检测恶意软件的方法。实质上是动态监视注册表的改变，从而达到对恶意软件的检测，同时综合RAD系统，使用探测器来监视Windows的日志文件[12]。中提出了另一种在程序运行时动态检测恶意软件的方法――通过运行程序的行为而非特征。通过这种方法可以时时的监控程序每一个行为，并对每个行为进行判断，以决定是否是恶意行为，并给出相应的处理[13]。提出了一种新颖的技术来检测间谍软件，它是基于对间谍软件行为的描述。同时结合静态分析技术来检测恶意软件行为[14]。中提出了一种监视编译后的二进制可执行代码的系统调用，而不是通过解码可疑代码与已知病毒的特征做比较的方法。这种方式不依赖于该特征码是否在病毒特征码数据库，也不管使用了多少层的加密技术。

总之，行为检测技术的方向特点是运行时监控，及时发现异常建立正常模型处理异常，并与人工智能、人工免疫结合紧密，并将成为为未来的主要发展趋势。

三、结论

通过以上对基于特征码的反病毒技术和基于非特征码的反病毒技术的讨论及研究。我们发现要检测那些以正常途径和正常调用来执行的恶意程序（含病毒），我们必须采用基于非特征码的反病毒技术。至于采用那种具体的基于非特征码的反病毒技术，要看具体情况和各种技术适用的范围。

参考文献：

[1]Je-rey O,Kephart,William C and Arnold.Automatic Extraction of Computer Virus Signatures.In Proceedings of teh 4th Virus Bulletin International Conference(178-184).1994

[2]Peter Shaohua Deng,Jau-Hwang Wang,Wen-Gong Shieh,Chih-Pin Yen,Cheng-Tan Tung.Intelligent automatic malicious code signatures extraction.Security Technology,2003.Proceedings.IEEE 37th Annual 2003 International Carnahan Conference on(600-603).Oct,2003

[作者简介]罗平（1979-），硕士，西南民族大学图书馆，馆员；阳广元（1982-），硕士，西南民族大学图书馆，助理馆员。