金志宏

摘要：目前，无论是在技术领域还是模型领域，计算机网络病毒检测与防御手段都存在着新病毒检测不到、防御不到位、治疗滞后等问题。建立局域网病毒检测与防御模型，提出了以防御为主、治理为辅的模型主体思想，最终得到的结果是网络感染率接近于零，并控制了网络外部病毒。

关键词：计算机安全;互联网病毒;防治方法;传播形式;病毒预警体系

分类号：TP309

一、某一区域内由多台计算机互联成的计算机组病毒防御策略

在宏观层面上，某一地区由多台计算机组成的计算单元，为用户提供计算服务时，应配备相应的反病毒软件。在特定区域内，由计算机互连组成的计算机群，针对该病毒的入侵，设计了一种综合防御系统。

多台计算机在一定范围内相互连接的计算机设备，除有特殊病毒防护措施外，一般应配置病毒监测机制，该病毒监测中心可连接该区域内多个计算机终端，对有关情况进行监测和分析，并建立病毒隔离、恢复机制。主机也能自动分发杀毒软件，以响应特定计算机中的病毒。

二、分布式网络病毒报警系统模型研究

在上述前提下，本文构建了一种报警系统模型，该方式可广泛用于远程网络系统，连接多台计算机或城域网计算机。本系统可以根据来源，对技术上可检测到的网络病毒进行隔离、检测和抗击，收集已发现的恶意程序代码和数量。病毒预警系统中心建成后，互联网管理员能够及时掌握多台计算机组或城域网计算机与一台或多台计算机连接在一台或多台计算机互联网络上的远端网络上不同客户机的病毒情况，包括病毒特征、爆发状态等，从而准确地将计算机病毒情况传送到病毒监测中心，以便采取进一步的防御策略，在内部进行有效、连通的病毒防御策略，使之更具针对性，提高病毒检测效率，为及时解决病毒问题奠定基础。

三、网络病毒报警系统的整体架构

采用点多面广，集中式布局，管理模式的网络病毒报警系统。把监控探头安装在网络接口上，用来检测连接到网络的计算机的运行情况，同时辅之以并行处理的病毒检测机制，控制病毒在网络中的扩散。检测器的病毒检测器库来自于病毒爆发管理中心，它将负责检测器的维护和监控，维持检测器的功能，同时防止检测器被病毒破坏。管理中心除能直接清除病毒外，还能对探测到的探针数据进行汇总，对疑难案件还能对相关情况进行汇总，及时了解病毒传播情况，并向系统内其它计算机报警。该中心还负责对下游防毒系统病毒库进行升级改造，使检测系统更高效、更全面。

四、病毒破坏程度评价指数

无论何种病毒，我们基本全部都用θ来表示评价毁坏程度的指数，θ={l，2，3）分为三个等级。这类破坏级别，属于一级的是蓄意破坏病毒。这种病毒是蓄意破坏的，但如果造成了正确或错误的设置被替换，而且破坏的内容很容易修复，病毒破坏属于二次破坏。例如文件被破坏或修改，提供计算服务的设备流量占用率极高，造成大规模的、不可挽回的破坏，对网络安全造成巨大危害的病毒破坏行为被列为三级破坏。

吴、病毒传播能力评价指数

对任意一种病毒，我们用一个σ来表示评价其病毒传播能力的标准，它分为1，2，3三个等级。病毒只能通过下载或复制来传播，属于二级传播能力;而网络病毒，如蠕虫、蠕虫传播的病毒以及在某些情况下可造成无法控制的威胁（因为高度复杂的病毒或对这种病毒的抵抗力较弱等），则属于三级传播能力。该病毒经其它途径传播，传播能力不超过2，3级，不超过 l级。一般而言，我们所研究的一类计算机病毒，是一种基于网络传播的病毒，它的传播能力都高于一级标准。

六、病毒疫情的综合评估

1、一级疫情。在μ<50，θ<3，σ<3时为一级疫情。本警系统认为，该病毒爆发对用户构成的威胁很小，甚至不会造成严重后果。此时，该病毒的警报系统甚至不能接收到其影响报告。

2、二级疫情。在50<μ1000或θ和σ的任何一个量等于3时发生二级疫情。引起此类疫情的病毒因具有一定的传播能力，或能引起用戶设置的改变，可对用户构成一定的威胁。此时，病毒警报系统收到有关病毒影响的报告。

3、三级疫情。μ>1000或者θ和σ均为3的时候就是三级疫情。这种流行病的一个情况是，这种病毒具有极强的传播能力，已经对使用者的安全构成了严重威胁：另一个发生于第二次疫情，即波及范围评估指数大幅上升，主要原因是该病毒在疫情爆发初期没有得到有效控制。此时应该经常向病毒警报系统报告其作用。

4、四级疫情。如果μ>1000且θ和σ的任何一个量为3，则为四级疫情。这次暴发的范围已经很广了，只要引起这次暴发的病毒具有很强的破坏性或传播能力，就可以引起四级疫情。

5、五级疫情。如果μ>1000，并且θ和σ均为3，则就是5级疫情。引起这类疫情的病毒波及广泛，具有较强的侵袭能力，传播能力强，已很难控制到暴发状态。应立即下载最新病毒定义执行程序，以便对所有计算机进行扫描。为了提供计算服务，可能需要关闭网络中的电子邮件设备，或者需要对远程网络进行局部切断，将多台计算机连接在不同区域的一个区域内的一组计算机或在城域网中的计算机之间进行通信，采取一种逐块清杀病毒的方法，然后整体清杀病毒，从而彻底消除整个网络中病毒传播的根源。

评价标准在发展过程中，由于其内容繁杂，在实践中需要不断地对其进行修改和完善。虽然本论文不能很好地保证上述评价标准的合理性，但是，与病毒报警系统相比，建立上述病毒疫情定量评估标准十分必要，通过这一评估标准可以及时地对网络病毒疫情进行评估。

结束语：

开放互联网环境不能完全阻止计算机病毒的传播。要想防止计算机内部信息和数据被病毒破坏，必须采取防范措施，增强个人的预警意识，采取切实有效的措施，以减少计算机病毒的发生。当病毒侵入计算机系统时，应及时采取紧急补救措施，使危害降到最低。

参考文献：

[1〕张培军.计算机病毒的由来、现状与发展[J].山西科技，2004（03）： 18-20.

[2]张洪立.从被动受攻到主动防御一如何更有效实施病毒防御[J].网络安全技术与应用，2003（10）：23-25.

2797500511312