计算机病毒传播防御措施

计算机病毒传播防御措施

本文作者:蒋叙 倪峥 单位:重庆市大足区公安局

随着计算机以及网络技术的全面普及和发展,网络病毒利用网络全球互联的优势和计算机网络系统的漏洞进行传播,已成为计算机网络系统安全的重要威胁.深入研究计算机网络病毒传播的技术特征、传播模型以及仿真结果,对计算机网络病毒传播及自动化防御进行研究,具有极为重要的意义与价值.

目前,关于计算机网络病毒的理解主要有两类思想和观点[1-2],一类是狭义的思想和观点,另一类是广义的思想和观点.狭义的思想和观点认为,计算机网络病毒应当严格局限于计算机网络范围之内.换句话说,就是充分利用计算机网络协议及计算机网络体系、结构等作为其传播途径、方式和机制,同时该类病毒的破坏对象也仅仅是面向计算机网络的,就称之为计算机网络病毒;广义的思想和观点认为,不论计算机网络的破坏是针对网络计算机本身,还是针对计算机网络的,只要能够在计算机网络上进行传播,并能够产生一定的破坏作用的病毒就可称之为计算机网络病毒.凡本文提到网络病毒之处,均指计算机网络病毒这一广义概念.

1计算机网络病毒的现状[3]

1.1网络己成为病毒传播的主要途径

在人们的日常生活中,Internet越来越普及,通过网络以及电子邮件进行传播的病毒逐步增多,比如木马、邮件、恶意程序、网络蠕虫等等,通过网络传播以后,在短时间里就可在全世界广泛传播.计算机网络使得病毒传播已不受时间及空间的制约,现代网络已经成为病毒传播的主要媒介及途径.

1.2病毒种类越来越多

随着科技信息的日新月异,计算机技术得到全面快速发展,计算机软件日益呈现多元化.同样,计算机病毒的种类也呈现多元化发展趋势.实际上,计算机病毒已经不仅仅为一种引导型病毒了,不但简单型、混合型以及宏病毒层出不穷,而且还出现了专门针对特定文件或者程序的高难度病毒.另外,一些病毒制造者还充分利用Ja-va、VB和ACtiveX的基本特性来编写特定病毒.此外,随着无线网络的开通,目前还出现能在无线网络上进行传播的手机病毒.

1.3病毒的破坏性越来越大

过去,计算机病毒破坏主要表现在DOS下对硬盘数据进行格式化处理.目前,针对计算机硬件进行破坏的新型病毒已经发展到利用Win-dows的Vxd技术,对计算机主板BIOS和硬盘数据进行破坏.甚至有的还通过植入木马程序等技术手段,大量对计算机目标系统的数据、资料进行窃取、破坏和攻击,从而使得计算机系统无法正常运行.值得一提的是,越来越多的网络病毒已经大肆占据了网络资源,使得网络在短时间内出现瘫痪等不良现象.

2计算机网络病毒的传播模式研究

2.1网络病毒传播的基本模式分析

2.1.1通过E-mail传播

通过E-mail进行传播是计算机网络病毒在网络上得以全面传播的主要途径之一.很多网络病毒都使用这一传播途径.实际上,在网络上传送电子邮件,染毒邮件正不断增加.染毒邮件在网络上泛滥,已严重影响了正常的信息交换.病毒在E-mail中的存在,主要有以下几种方式:1)感染E-mail正文.E-mail正文可以是纯文本或者html文本,能够被病毒感染的就是E-mail正文的html文本.病毒感染html文件主要有两种方法,一是在其中直接加入恶意的脚本语言代码,二是加入对恶意程序的引用.这里所说的恶意程序,可存在于电子邮件的附件中,也可利用URL的远程进行调用.2)存在于E-mail附件中,并把病毒体自身或者染毒程序作为附件进行发送.值得注意的是,有的病毒比如VBSKJ病毒,虽不会主动发送电子邮件,但是如果修改了计算机系统中的Mi-erosoftOutlookExpreSS或者MierosoftOutlook2000/XP设置,采用了html格式的信纸撰写邮件,所有的信纸就会被全部感染.所以,当发送电子邮件时,计算机网络病毒就可以自动感染电子邮件正文,这一方式更具隐蔽性.3)获取计算机系统控制权.当病毒通过E-mail到达接收端以后,一般都是通过以下方法获取计算机系统的控制权.一是利用欺骗手段,使计算机用户执行被感染的文件,而病毒就会用多变的特征,吸引和诱骗人们,进而达到传播的目的.二是利用系统漏洞.如前面分析,html格式的E-mail正文可以被感染病毒.如果使用浏览器为IE5.0的话,且其安全等级设定在中级或者更低级时,病毒就能够直接启动并运行,期间,IE不会给用户任何的提示.病毒常常利用微软IE异常处理MIME漏洞进行,因为这一漏洞使IE在解释一些html电子邮件时,由于不能正确处理一些代码而引起附件自动下载,且更为严重的是下载结束后会自动打开附件.即使IE在解释带病毒邮件时提示用户,其提示信息也可能被病毒修改为txt之类的无害信息等.三是前面两种方式综合运用.在一些计算机系统漏洞中,并不会使病毒直接运行,但是可能会被病毒利用并作为其伪装.特别是含有那些双扩展名的文件,即使关闭了“隐藏已知文件类型的扩展名”选项后,仍能显示为txt文件,具有很强的欺骗性.

2.1.2通过自动扫描传播

1)直接改写系统文件.这是病毒通过局域网络进行传播时的独特方法.有的局域网络上的机器,其系统文件都为远程可写的.此外,有的病毒可以通过在局域网络中寻找可写win.ini或者注册表文件并进行修改,便于下次重新启动以后蠕虫病毒被自动执行.有的病毒还可以直接拷贝本身到局域网络内可写启动目录中.2)通过服务器传播.病毒可以利用一些常见的漏洞,使得病毒获得远程服务器主机的控制权.随后,病毒就可以随意传染和攻击计算机系统及网络服务器.而后,又通过网络服务器,传染到访问这个服务器的所有客户计算机.此外,还有的病毒可以在局域网络内自动搜索FTP,并向其上传一些带毒的文件,然后再利用社交工程对用户进行欺骗,进而实现下载并自动被执行.

2.2网络病毒传播的模型研究

因为计算机网络病毒是以网络传播为主要途径,实际上,计算机网络病毒在潜伏、传染以及攻击方面都同生物病毒传播的模型比较相似,所以在计算机网络病毒的模型研究及其防御系统研究中,都在很大程度上运用了生物学病毒的很多研究成果及方式[4].本文研究的计算机网络病毒传播模型,就是以生物学模型为前提和基础的.

2.2.1计算机网络病毒传播模型探讨

一般而言,计算机网络作为由若干计算机按一定连接方式组成的集合之一,这些计算机在物理连接方面具有一定的结构与特征.而计算机网络病毒的传播,则需要借助一定的载体,比如E-mail或者用户操作等.此外,计算机网络病毒传播有不同的条件以及途径.因此,所处的传播环境可以抽象地分为同构混合环境与随机结构环境两种.从这种意义上看,这个结构并不是网络连接的结构,而是指网络节点之间通过信息交流,包括传输文件、电子邮件等形式产生联系而具有的结构.计算机网络病毒也正是通过这种联系而得以广泛传播的.1)同构混合环境.在计算机网络中,其任意节点都是其它节点的邻居,每一节点都可以感染其它节点和被其它节点所感染,其被感染的概率几乎相同,即每一被感染节点都有相同数量的没有被感染的邻居,每一未被感染的节点也都可能会被数量相同的感染节点感染.在这种环境下,计算机网络病毒传播的模型是一个具有确定性、连续的分析模型.这个模型是在生物学病毒传播的基本原理上,根据同构混合环境的基本特点而构建的,这一模型属于白箱模型.2)随机结构环境.随机结构的计算机网络环境就是指计算机网络中的用户通过一定的方式进行信息交流,这种个体间联系的特征,就是计算机网络中每一个节点的邻居只为整个计算机网络中的一个部分,且发生联系的事件具有一定的随机性.按照建模的目的,我们又可以把其分为分析、描述以及预报等模型.而按对客观现象内部机理的了解程度,则又可以分为白箱、灰箱和黑箱等模型.#p#分页标题#e#

2.2.2模型的仿真结果

1)局域网络内部同构混合环境下的计算机网络病毒传播.在局域网络内,当计算机网络病毒通过蠕虫或类似蠕虫病毒进行传播时,可以用同构混合环境模型对其传播情况进行仿真.2)广域网络内部同构混合环境下的计算机网络病毒传播.在广域网络中,当计算机网络病毒是通过蠕虫或类似蠕虫病毒进行传播时,可以用同构混合环境模型对其传播情况进行仿真.3)广域网内部异构混合环境下的计算机网络病毒传播.在广域网络中,计算机网络病毒通过电子邮件或类似电子邮件传播方式进行时,则可以用异构混合环境模型对其传播情况进行仿真.通过仿真,我们可以进一步分析、探讨和研究计算机网络病毒在一定时间内病毒感染的数量和几率.

3计算机网络病毒的自动化防御策略研究

3.1计算机网络安全技术的发展概况

3.1.1防火墙技术

实际上,防火墙技术作为计算机网络安全系统的重要组成部分,是计算机网络病毒隔离的主要措施之一.防火墙作为计算机网络的隔离器及过滤器,发挥了极为重要的作用.因此,我们可以根据防火墙的这个特征,预先设置一定的防御策略,进而实现对出入计算机网络的资源、信息等进行控制,以科学合理地阻止那些不符合预先设定的网络安全策略的资源、信息通过计算机信息网络.这样一来,我们就可以科学有效地对计算机网络内部、公众访问情况、网络运行活动等进行检测监控,进而保证计算机网络系统的安全可靠.我们可以预见,未来的计算机防火墙技术,其过滤、隔离等功能将会不断得到拓展、加强以及优化,也会从对网络IP地址、服务器等方面的过滤、隔离,逐步向计算机网络、数据资源、网络连接状态、网络协议设置、病毒扫描功能等方面发展,未来的防火墙技术,必将集过滤、、认证、检测、防护、控制以及密码等技术为一体.

3.1.2病毒入侵检测技术

所谓入侵检测技术,就是指利用计算机网络入侵而留下的痕迹信息,进而发现来自计算机网络外部或者内部的非法入侵计算机网络的检测技术.入侵检测技术主要是通过计算机网络系统中的资源、文件、数据、信息以及日志等相关资料,并对这些资料进行跟踪分析与判断,进而发现来自计算机网络系统中违反网络安全策略的非法行为或者遭到攻击、破坏的现象[5].通常情况下,计算机病毒入侵检测技术都是以探测、控制为其根本原则的.实际上,这就是整个计算机网络系统安全防御技术的关键所在,也是其最为核心的内容之一.此外,计算机网络病毒入侵检测技术还能进一步扩展到网络管理方面,其安全能力和水平可见一斑,也由此逐步提高了计算机网络系统的安全性和完整性.可见,计算机网络病毒入侵检测技术作为防火墙技术的有益补充,不仅在计算机网络系统受到攻击前能够有效拦截和控制入侵病毒,而且还尽量避免了病毒入侵所造成的危害.

3.1.3安全防御技术

一般情况下,防火墙以及入侵检测系统都是检查正在进行的网络病毒入侵活动,只有计算机网络受到攻击时,才会检测到计算机网络是否存在安全漏洞.而安全防御系统不仅对正在活动的网络病毒入侵行为做出反应,而且还检查计算机网络系统的安全现状,并向计算机网络系统用户反馈网络系统中的安全隐患,让计算机网络管理系统在遭受网络病毒攻击发生前对网络安全漏洞进行修复,防患于未然[6].当前,很多现有的安全防御系统都是通过搜索已出现的网络病毒系统及配置,并报告降低这一特定威胁应采取的策略与措施.但是,随着新的网络病毒攻击方式和手段层出不穷,原本安全的选项甚至可能成为新的安全漏洞之一.所以,研究和开发具有智能分析、自动升级特征的安全防御系统,将是计算机网络安全防御系统的主要发展趋势.

3.2计算机网络病毒自动化检测机理与分析

3.2.1特征代码技术

特征代码技术很早就被应用到了CSAN、CPAV等有名病毒检测工具之中.目前,被人们普遍认同的就是用其来检测己知的计算机网络病毒,而且是最为简单、成本最低的检测技术之一[7].实际上,计算机防毒软件的最初扫毒方式都是把所有病毒的代码进行分析,并且把这些病毒所独有的特征都搜集到病毒代码资料库里,如果需要扫描计算机系统或者程序是否有病毒入侵时,只要我们启动了杀毒软件程序,其就会以扫描方式与病毒代码资料库里的资料进行对比,如果发现吻合的话,则就判定该系统或者程序已经被病毒入侵了.

3.2.2校验病毒技术

通常情况下,多数病毒并不是自己单独存在的,而往往都依附于其它文档或者程序之中.因此,被病毒感染了的文档或者程序都会有产生增加文档大小的情况,也会有修改文档日期的情况.这样一来,在安装杀防毒软件时,一般都会自动把计算机硬盘中的所有文档资料进行汇总并进行记录,而对正常文件的内容进行计算、校验、记录和保存.在使用文件前,杀毒软件就会检查文件的内容,计算、校验同原来保存的一致与否,如此就可以发现计算机系统中的文件被感染与否,这种技术就叫校验病毒技术.同时,校验病毒技术不仅可以发现计算机系统中的已知病毒,而且还可以发现其中的未知病毒.一般情况下,运用校验病毒技术检查计算机网络病毒,可以采用在检测病毒工具、应用程序以及常驻内存中加入检验病毒技术的方式.但是,值得注意的是,检验病毒技术并不能识别计算机网络病毒的种类,也不能正确报告网络病毒的名称.所以,校验病毒技术经常出现错误报警的情况.特别是更新软件、更改口令、修改参数等情况下,校验病毒技术都会出现错误报告的情况.同样,校验病毒技术对于具有隐蔽特征的计算机网络病毒几乎是无效的.这是因为,当具有隐蔽特征的计算机网络病毒入驻计算机系统内存以后,往往会自动清除病毒程序中的代码,使得校验病毒技术失去其应有的作用和效果.

3.2.3行为监测技术

所谓行为监测技术,也称之为行为监测法,就是利用计算机网络病毒的特有行为特征,来对计算机网络病毒进行监测的方法.通常而言,通过对计算机网络病毒的深入观察、分析与研究,我们发现有一些行为是计算机网络病毒的共同行为,且较为特殊.实际上,在正常的计算机系统和程序中,这样的行为是极为少见的.因此,如果在计算机系统及程序运行时,通过监视其活动与行为,假如真的发现了网络病毒的活动与行为,就会立即发出报警.此外,通过行为监测技术可以发现一些未知的网络病毒及行为,而且可以比较准确地预报很多未知病毒.但是,行为监测技术并不能识别病毒的名称,且在软件实现方面难度比较大,因而实用性不强.#p#分页标题#e#

3.2.4模拟软件技术

一般情况下,一些具有多态性特征的网络病毒都会在每次感染计算机网络系统以后变化其病毒密码.因此,对于具有这种特征的网络病毒,特征代码等模式就会失去其效果.这是因为,多态性网络病毒及其代码进行密码技术处理以后,且每次都需要使用不同的密钥,而且我们把经过病毒感染了的代码相互进行分析和比较,也是不尽相同的,因而就无法找其稳定的特征代码.实际上,虽然行为检测可以检测这种多态性的网络病毒,但检测后却并不知该病毒的种类,因而难以进行杀毒处理.由此,必然催生一种新的模拟软件查杀法.当这个工具开始运行以后,其中就使用了特征代码来进行监测计算机网络病毒.如果其发现了多态性病毒,就会自动启动模拟软件杀毒模块,进而实现对网络病毒的活动情况进行监测监控,待病毒密码破译以后,再次使用特征代码来进行识别和杀毒.

3.2.5预先扫描技术

所谓预先扫描技术,就是专门针对那些未知网络病毒而设计的防御技术.因此,我们可以利用预先扫描技术来直接模拟计算机系统的CPU动作,进而检测出网络病毒的某些变种以及活动情况,进而研制出符合这种病毒特征的病毒解码,达到预防和控制网络病毒的目的.但是,由于这种防御技术同其他防御技术相比较,要求极为严格,所以对于那些比较复杂的计算机系统程序而言,往往需要花费较多的时间和精力,故这一技术的应用不是比较普遍.

4计算机网络病毒的防御策略及研究

随着计算机网络技术的全面快速发展及普及,计算机、网络以及信息技术发展日新月异,计算机网络病毒攻击的类型越来越多,也越来越复杂和日趋多元化.因此,这就要求计算机网络防御产品必须不断改革、创新和发展,而且必须在防御模式、方法、内容等方面有所创新,逐步从传统的单机被动病毒防御向多元化、多层次、多途径的网络病毒自动防御转变[8].

4.1计算机单机病毒防御与分析

作为传统病毒防御模式,单机病毒防御可谓是固守计算机网络终端的最后防线之一.对广大家庭用户、小型网络等而言,单机防御无论是在效果、管理、实用、价值等方面都是意义重大的,因为其不仅能够科学、合理、有效地阻止那些来自计算机系统、文件、光盘、软盘以及网络的病毒入侵和攻击,而且还可以对计算机系统的重要资料、数据等进行备份,进而科学有效地保护单台计算机.

4.2局域网络病毒防御与分析

从整体上来看,我们可以结合计算机网络操作系统的具体使用情况以及局域网络服务器的基本类型,选择配备相应的网络病毒防御软件及技术.因此,我们必须结合这些局域网络的基本特征,有针对性地设计或者选择全方位、多层次、多角度的病毒入侵防御以及检测技术体系.此外,对于具有一定规模的局域网络,则需要我们配备与网络自身相适应的病毒防御及管理平台.但是,如果有网络管理中心的话,则必须配备计算机网络病毒集中监测监控系统及架构.这样,我们就可以通过这个系统来集中管理、检测和控制整个计算机网络的运行情况以及病毒入侵情况.同时,可在计算机网络分支系统中也配备一个监测监控中心,不断提高整个计算机网络系统的病毒防御、集中监控、合理配置、策略优化等功能,以减轻计算机网络管理人员的工作量,逐步提高其工作效率,确保整个计算机网络系统的安全.

4.3广域网络病毒防御与分析

所谓广域网络病毒防御,就是指以局域网络病毒防御为基础和前提,进而构建起来的针对广域网络的病毒报警、检测以及防御系统.一般情况下,通过广域网络病毒防御,我们可以有效地监控计算机网络系统内部、外部、本地以及远程等的病毒入侵、检测防御情况,进而可以统计、分析和研究整个计算机网络系统所面临的病毒种类、爆发情况、发生频率等基本信息与数据.通常而言,广域网络病毒防御策略主要有计算机单机终端杀毒、局域网络集中监控、广域网络系统管理等三种基本模式.在这三种模式的运用过程中,我们可以结合实际情况单独使用,也可以把三者有机结合起来使用.

4.4电子邮件病毒防御与分析

当前,很多政府机关、金融部门、科研机构、军队院校等都纷纷使用了办公自动化系统(即OA系统).因此,这些机构都把办公自动化系统中的邮件服务器作为了其内部网络用户邮件的集散地,这样也必然成为网络病毒、垃圾邮件进出的主要门户.因此,需要采用电子邮件病毒防御策略进行拦截和杀毒,以确保计算机网络系统内部的网络用户所查收的电子邮件的安全性.这就要求我们必须把电子邮件网络关口病毒防御系统设置于网络系统的入口处,确保所接收的外部电子邮件没有病毒.此外,也可对网络病毒进行安全筛选与过滤,待处理完后再转发安全、无毒的电子邮件到网络服务器,进而确保计算机网络系统以及电子邮件的安全.

4.5防火墙病毒防御与分析

进行防火墙病毒防御,就需要我们在计算机网络的出口处,设置科学有效的网络病毒过滤系统,即防火墙.只有这样,防火墙才能把有关网络信息及数据提交到处于网络出口处的杀毒系统进行检测、监控以及查杀.假如有网络病毒入侵的话,杀毒系统就会及时给防火墙发送有关信息.这时,防火墙就会立即阻断和防御网络病毒攻击网络.我们知道,杀毒软件几乎都有同步查毒功能,并不会影响到网络宽带的质量及速度.这种网络病毒过滤的方式,一般能够过滤掉系统、数据库以及电子邮件中的很多网络病毒.此外,利用防火墙防御技术,可以实时分析、隔离和处理有关数据,并把有关情况及时提交给专门的病毒处理系统进行分析处理,假如是病毒的话,那么病毒处理系统就会及时阻断病毒的传播、攻击以及破坏.由此可见,这种防火墙防御病毒系统,能够减少大量病毒的传播、攻击以及破坏,而且还能够使网络用户放心、安全地上网.可以说,网络关口杀毒模式是杀毒软件同防火墙技术完美结合的见证,也是计算机网络安全系统协同工作的全新方式之一.

5结语

当今社会,随着计算机信息技术的全面、快速发展,经济全球化、信息网络化趋势日益突出,而且人们的日常生活及活动都与计算机网络的联系越来越密切,计算机网络在各个方面所发挥的作用越来越明显,甚至说是不可代替.但是,随着网络技术的广泛应用与发展,计算机网络病毒问题已经给人们的日常生活带来了不可低估的破坏与损失,也在很大程度上影响了人们的正常生活、工作和学习.所以,对计算机网络病毒传播及自动化防御进行研究,具有极为重要的意义与价值。#p#分页标题#e#