惡意代碼是指沒有作用卻會帶來危險的代碼。通常把未經(jīng)授權(quán)便干擾或破壞計算機系統(tǒng)、網(wǎng)絡(luò)功能的程序或代碼（一組指令）稱之為惡意程序。惡意程序包括計算機病毒、木馬、蠕蟲等。詳見《網(wǎng)絡(luò)安全之惡意代碼》
惡意代碼的防范，不是單靠一種或幾種技術(shù)就能解決的，而要靠技術(shù)、管理以及用戶安全意識的共同防范，只有三者相結(jié)合才能最大程度地防止惡意代碼對系統(tǒng)和用戶信息的破壞。
目前，惡意代碼防范方法主要分為兩方面：基于主機的惡意代碼防范方法和基于網(wǎng)絡(luò)的惡意代碼防范方法。

一、主機惡意代碼防范

基于主機的惡意代碼防范方法是目前檢測惡意代碼最常用的技術(shù)，具體分為：基于特征的掃描技術(shù)、校驗和檢測法和安全操作系統(tǒng)對惡意代碼的防范等。

1、基于特征的掃描技術(shù)

基于特征的掃描技術(shù)的基本思想是模式匹配。在掃描程序工作之前，必須先建立惡意代碼特征庫，根據(jù)特征庫中的特征串，在所有被掃描文件中進行匹配查找。用戶通過更新特征庫，查找最新的惡意代碼版本。

2、校驗和檢測法

校驗和檢測法是一種保護信息資源完整性的控制技術(shù)，例如Hash值、循環(huán)冗余碼等。只要文件內(nèi)部有一個比特發(fā)生了變化，校驗和的值就會改變。未被惡意代碼感染的系統(tǒng)首先會生成檢測數(shù)據(jù)，然后周期性地使用校驗和檢測文件的改變情況。
雖然校驗和檢測法可以檢測未知惡意代碼對文件的修改，但同樣也存在不足：
（1）校驗和檢測法實際上不能檢測文件是否被惡意代碼感染，它只是查找變化。即使發(fā)現(xiàn)惡意代碼造成了文件的改變，校驗和檢測法也無法將惡意代碼消除，也不能判斷文件究竟被何種惡意代碼感染。
（2）惡意代碼可以采用多種手段繞開校驗和檢測法，使之文件改變難以被檢測。

3、安全操作系統(tǒng)對惡意代碼的防范

在惡意代碼入侵中，獲得操作系統(tǒng)控制權(quán)，使操作系統(tǒng)為它分配系統(tǒng)資源是必經(jīng)步驟。
操作系統(tǒng)的安全機制包括訪問控制機制、主體標識與鑒別、安全審計、內(nèi)存存取保護、文件系統(tǒng)保護、信息通路安全保護機制、最小特權(quán)管理、安全配置等。
（1）訪問控制機制：操作系統(tǒng)的訪問控制是操作系統(tǒng)安全控制保護中重要的一環(huán)，在身份識別的基礎(chǔ)上，根據(jù)身份對提出的資源訪問請求加以控制。
（2）主體標識與鑒別：標識與鑒別機制用于保證只有合法的用戶才能存取系統(tǒng)中的資源，發(fā)生在用戶登錄系統(tǒng)時，用于識別每個用戶的真實身份。標識鑒別機制的設(shè)計和實現(xiàn)需要達到兩個方面的要求：協(xié)助安全操作系統(tǒng)實現(xiàn)新增的安全功能和安全策略，包括增加用戶屬性，并通過擴展標識鑒別命令來支持這些屬性；
（3）安全審計：對系統(tǒng)中有關(guān)安全的活動進行記錄、檢查、及審核，目的在于檢測和阻止非法用戶對計算機系統(tǒng)的入侵，并顯示合法用戶的誤操作。
（4）內(nèi)存存取保護：防止主存儲器中有限個程序的相互干擾和保護其中有限區(qū)域內(nèi)的信息安全，限定各程序在規(guī)定的主存區(qū)域內(nèi)，稱為存儲保護，內(nèi)存存取保護是安全操作系統(tǒng)中一個最基本的要求，也是最基本的安全機制，主要是保護用戶在存儲器中的數(shù)據(jù)，在操作系統(tǒng)設(shè)計之初，針對內(nèi)存通常是分塊管理的，現(xiàn)在多采用基于頁的存儲管理方式。
（5）文件系統(tǒng)保護：文件系統(tǒng)是文件命名、存儲和組織的總體結(jié)構(gòu)，是計算機系統(tǒng)和網(wǎng)絡(luò)的重要資源，文件系統(tǒng)的安全保護措施主要在分區(qū)、文件系統(tǒng)的安全加載、文件共享安全和文件系統(tǒng)的數(shù)據(jù)備份這四個方面。
（6）信息通路安全保護機制：即對信息在操作系統(tǒng)中經(jīng)過的道路的保護，涉及兩個方面：一方面對顯式信息道路的保護，防止非法信息經(jīng)過顯式道路；另一方面，要堵住隱蔽的新系統(tǒng)了，防止惡意用戶通過隱蔽信道進出。
（7）最小特權(quán)管理：最小特權(quán)是指在完成某種操作時所賦予系統(tǒng)中每個主體必不可少的特權(quán)。
（8）安全配置：做好操作系統(tǒng)安全設(shè)置，主要包括以下幾個方面：操作系統(tǒng)安全策略、關(guān)閉不必要的服務(wù)、關(guān)閉不必要的端口、開啟審核策略、開啟密碼策略、開啟賬戶策略、備份敏感文件、不顯示上次登陸名、禁止建立空連接和下載最新補丁等。

二、網(wǎng)絡(luò)惡意代碼防范

由于惡意代碼具有相當?shù)膹?fù)雜性和行為不確定性，惡意代碼的防范需要多種技術(shù)綜合應(yīng)用?；诰W(wǎng)絡(luò)的惡意代碼防范方法包括：惡意代碼檢測防御和惡意代碼預(yù)警。
其中常見的惡意代碼檢測防御包括：基于GRIDS的惡意代碼檢測、基于PLD硬件的檢測防御、基于Honey Pot的檢測防御和基于CCDC的檢測防御。

1、基于GRIDS的惡意代碼檢測

著名的GRIDS主要針對大規(guī)模網(wǎng)絡(luò)攻擊和自動化入侵設(shè)計的，它收集計算機和網(wǎng)絡(luò)活動的數(shù)據(jù)以及它們之間的連接，在預(yù)先定義的模式庫的驅(qū)動下，將這些數(shù)據(jù)構(gòu)建成網(wǎng)絡(luò)活動行為來表征網(wǎng)絡(luò)活動結(jié)構(gòu)上的因果關(guān)系。

2、基于PLD硬件的檢測防御

華盛頓大學(xué)應(yīng)用研究室的John W. Lockwood、James Moscola1和Matthew Kulig等提出了一種采用可編程邏輯設(shè)備（PLD，Programmable Logic Devices）對抗惡意代碼的防范系統(tǒng)。PLD由三個相互內(nèi)聯(lián)部件DED（Data Enabling Device）、CMS（Content Matching Server）和RTP（Regional Transaction Processor）組成。

3、基于Honey Pot的檢測防御

Honey Pot，即蜜罐技術(shù)，其主要功能是對系統(tǒng)中所以操作和行為進行監(jiān)視和記錄，可以使網(wǎng)絡(luò)安全專家通過精心的偽裝，是的攻擊者在進入到目標西后仍不知道自己的行為已經(jīng)處于系統(tǒng)的監(jiān)視之下。Honey Pot的設(shè)計初衷就是讓黑客入侵，借此收集證據(jù)，同時隱藏真實的服務(wù)器地址，用于防范網(wǎng)絡(luò)黑客攻擊。

4、基于CCDC的檢測防御

由于主動式傳播惡意代碼具有生物病毒特征，美國安全專家提議建立CCDC（The Cyber Centers for Disease Control）來對抗惡意代碼攻擊。
CCDC能夠?qū)崿F(xiàn)對大規(guī)模惡意代碼入侵的預(yù)警、防御和阻斷，但CCDC也存在一些問題：
（1）CCDC是一個規(guī)模龐大的防范體系，要考慮體系運轉(zhuǎn)的代價；
（2）由于CCDC體系的開放性，CCDC自身的安全問題不容忽視；
（3）在CCDC防范體系中，攻擊者能夠監(jiān)測惡意代碼攻擊的全過程，深入理解CCDC防范惡意代碼的工作機制，因此可能導(dǎo)致突破CCDC防范體系的惡意代碼出現(xiàn)。

三、防護技術(shù)

防病毒技術(shù)就是通過一定的技術(shù)手段防止計算機病毒對系統(tǒng)的傳染和破壞。但是隨著Internet技術(shù)的發(fā)展，以及E-mail和一批網(wǎng)絡(luò)工具的出現(xiàn)，在改變?nèi)祟愋畔鞑シ绞降耐瑫r也使計算機病毒的種類迅速增加，擴散速度也大大加快，計算機病毒的傳播方式迅速突破地域的限制，由以往的單機之間的介質(zhì)傳染轉(zhuǎn)換為網(wǎng)絡(luò)系統(tǒng)間的傳播?，F(xiàn)在，計算機病毒已經(jīng)可以通過移動磁盤、光盤、局域網(wǎng)、www瀏覽、E-Mail， FTP下載等多種方式傳播。

為了對抗惡意代碼的威脅，安全防護技術(shù)采用多層次的策略和工具來檢測、阻止和清除這些惡意軟件。以下是一些常見的惡意代碼防護技術(shù)：

1. 防病毒軟件： 防病毒軟件是最基本也是最常見的惡意代碼防護工具。它通過使用病毒定義數(shù)據(jù)庫和啟發(fā)式分析等技術(shù)，檢測并阻止已知和新的惡意代碼。
2. 反惡意代碼行為分析： 這種方法不僅關(guān)注已知的病毒特征，還通過分析應(yīng)用程序的行為來檢測潛在的惡意活動。這包括監(jiān)測文件、注冊表、進程和網(wǎng)絡(luò)活動等。
3. 沙盒技術(shù)： 沙盒是一種隔離環(huán)境，允許在受控制的環(huán)境中運行不明文件或程序，以觀察其行為。沙盒技術(shù)有助于發(fā)現(xiàn)和分析未知的惡意代碼。
4. 入侵檢測和入侵防御系統(tǒng)（IDS/IPS）： IDS和IPS系統(tǒng)監(jiān)控網(wǎng)絡(luò)流量和系統(tǒng)活動，檢測潛在的惡意行為，并采取措施以阻止入侵。
5. 網(wǎng)絡(luò)防火墻： 防火墻通過控制網(wǎng)絡(luò)流量和阻止惡意流量來防御網(wǎng)絡(luò)攻擊，包括惡意代碼傳播。
6. 安全補丁和更新管理： 及時應(yīng)用操作系統(tǒng)和應(yīng)用程序的安全更新和補丁是防止惡意代碼利用系統(tǒng)漏洞的關(guān)鍵步驟。
7. 應(yīng)用白名單： 白名單技術(shù)允許系統(tǒng)管理員定義可執(zhí)行文件和應(yīng)用程序的白名單，只有在白名單上的程序才能運行，從而減少潛在的惡意代碼執(zhí)行。
8. 電子郵件過濾和安全網(wǎng)關(guān)： 通過檢測和阻止惡意附件、鏈接或惡意代碼傳播的電子郵件，電子郵件過濾和安全網(wǎng)關(guān)有助于防范針對用戶的社交工程攻擊。
9. 安全教育和培訓(xùn)： 提供員工和用戶有關(guān)社交工程攻擊、惡意代碼的風(fēng)險以及如何防范的培訓(xùn)是預(yù)防惡意代碼感染的重要方面。
10. 端點安全： 通過在終端設(shè)備上使用終端防護軟件，可以檢測和防止惡意代碼的傳播和執(zhí)行。
11. 安全漏洞管理： 定期評估和管理系統(tǒng)和應(yīng)用程序的安全漏洞，以及修補這些漏洞，是防止惡意代碼利用的一項重要措施。

這些技術(shù)通常以綜合的方式使用，以提供更強大的惡意代碼防護能力。保持技術(shù)的更新，及時應(yīng)用安全補丁，以及教育用戶避免潛在的風(fēng)險都是有效防范惡意代碼攻擊的關(guān)鍵。

博客：http://xiejava.ishareread.com/文章來源地址http://www.zghlxwxcb.cn/news/detail-790667.html

到了這里，關(guān)于安全防御之惡意代碼與防護技術(shù)的文章就介紹完了。如果您還想了解更多內(nèi)容，請在右上角搜索TOY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！