1网络检测技术。
针对木马的网络检测技术指通过对主机本身网络通信的监控严格限制通信端口与网络的连接,当发现通信异常的情况下马上对木马的运行进行组织,这种技术普遍的是以误用检测为基础的。网络检测技术包括防火墙技术,入侵检测技术等,根据防火墙检测原理的不同,防火墙技术又可以分为状态检测类型、过滤包型和应用代理三类。入侵检测技术能够通过对计算机中某些关键点的信息进行收集与分析,并发现违反安全策略的迹象与行为,iDs可以作为防火墙的补充,对提高信息安全基础结构自身的完整性能够发挥出重要的作用,但是由于iDs的检测速度小于网络的传输速度并且模式识别的技术也有待完善,所以存在一定的不可靠性与误报率。
2完整性检测技术。
完整性检测能够通过对文件系统或者目录快照的检查与系统中原始的可信任版本进行对比来查对其一致性来检测目录或者文件的变动,从而检测出系统中恶意程序是否存在。其检测方法包括基于文件内容的检测、基于文件基本属性的检测和基于文件数字签字的检测。完整性检测能够在很大程度上实现对系统安全的保护,但是其缺点也十分明显:一是完整性检测计算文件的工作量较大,其检测速度以及检测效率也必然会较慢;二是检测本身的成功率与管理员对文件计算数字签名的间隔有很大关系,但是由于其检测较慢,所以入侵者能够在此时间内将入侵的痕迹进行清理;三是完整性检测虽然能够检测出恶意程序,但是对其类型却不能识别;四是计算机中文件信息的修改也可能是由正常的程序引起的,所以完整性检测技术具有一定的误报可能性。
3特征码扫描技术。
特征码扫描技术是许多杀毒软件公司用来进行木马检测的工具,其方法包括特征扫描法和特征代码扫描法两类。作为最实用、最简单的对已知恶意程序进行检测的方法,其技术的关键是提取恶意程序的特征码,并在此基础上对恶意程序进行精确的查杀,所以这种方法对已知病毒和木马的检测准确率很好,误报率也较低,但是这种方法本身也存在一定的缺陷:一是不能检测出变形、加壳等具有隐蔽性的木马,也不能检测出未知的、新的木马;二是对病毒库具有很大的依赖性,而木马数量的增加会导致病毒库的扩大,其扫描时间也会随之延长;三是病毒库本身的更新滞后于新木马的产生,所以特征码扫描技术也就有了滞后性。
4实时监控技术。
实时监控是指对许多不同角度的流入、流入数据进行严格过滤,并对其中可能存在的恶意程序代码进行检测与处理,其中包括内存监控、文件监控、邮件监控、脚本监控等。实时监控所具有的实时性是与其他方法相比最突出的优势,当系统一旦遭到恶意程序的入侵,会被立即监控并清除,从而控制恶意程序在系统中造成的破坏。而这种技术对脚本以及邮件的监控还能够阻断恶意程序代码传播的途径,从而使恶意程序代码的传播减少。其缺点是只能够对已知的恶意程序进行检测,而这种缺点产生的原因是因为实时监控是建立在特征码的基础上运行的。
5虚拟机技术。
通过一个软件对cpu的模拟可以形成虚拟机,虚拟机可以执行、取指和译码,能够模拟代码在真实cpu上运行的效果。在虚拟的计算机环境中,程序锁具有的任何动态如内存的变化、寄存器的变化等都能够被反映出来,在此过程中,恶意程序代码的传染性也自然会被反映出来。虚拟机中执行的病毒虽然能够模拟出病毒程序执行的效果,但是却不会对真实的系统造成破坏,对一些变形的、加密的病毒的检测具有建好的效果。但是虚拟机技术的缺点则体现为在运行过程中会占用较大的系统资源,这也是虚拟机技术自身缺乏较高实用性的表现,并且一些木马也加入了对虚拟机进行检测的代码,能够判断自身运行的环境,而当发现自身处于虚拟机中使,木马可以中断执行行为或改变操作行为以避免被虚拟机检测。
6行为分析技术。
行为分析技术能够将一系列做好规定的恶意程序定位规范,在此基础上对程序的行为进行监视以判断程序是否存在恶意代码,也就是说,行为分析对程序的判断是以程序自身的动态行为为依据。而行为分析技术与传统的以特征码为基础的检测技术不同的是,行为分析技术并没有对特征码的依赖性,所以它能够对已知和未知两类恶意程序进行检测,但是目前在木马检测中应用的行为分析技术也存在一些问题:一是具有较高的误报率。当规范制定缺乏完善性时,会对合法程序与木马难以做出有效的区分;二是较低的智能化。许多应用行为分析技术的木马检测和查杀产品在发现可以程序后一般将处理程序的决策权交给用户,而这对一般缺乏木马知识的人而言具有一定的困难,同时也可能妨碍用户对系统的正常使用。
作者:侯超男单位:湖南信息职业技术学院