計(jì)算機(jī)蠕蟲病毒及其防范

計(jì)算機(jī)蠕蟲病毒及其防范日期:2011-4-2022:40:07瀏覽:0來源:學(xué)海網(wǎng)收集整理作者:佚名1計(jì)算機(jī)蠕蟲病毒的定義及發(fā)展

1.1計(jì)算機(jī)蠕蟲病毒的定義

計(jì)算機(jī)蠕蟲是無須計(jì)算機(jī)使用者干預(yù)即可運(yùn)行的獨(dú)立程序,它通過不停的獲得網(wǎng)絡(luò)中存在漏洞的計(jì)算機(jī)上的部分或全部控制權(quán)來進(jìn)行傳播.計(jì)算機(jī)病毒是指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者破壞數(shù)據(jù)，影響計(jì)算機(jī)使用并且能夠自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼。計(jì)算機(jī)蠕蟲和計(jì)算機(jī)病毒都具有傳染性和復(fù)制功能，這兩個(gè)主要特性上的一致導(dǎo)致二者之間是非常難區(qū)分的，尤其是近年來，計(jì)算機(jī)蠕蟲、計(jì)算機(jī)病毒和木馬程序之間的界限已不在明顯，三者相互滲透，優(yōu)勢(shì)互補(bǔ)。一方面越來越多的病毒采取了部分蠕蟲的技術(shù)另一方面具有破壞性的蠕蟲也采取了部分病毒和木馬技術(shù)。例如，Nimda蠕蟲病毒和CodeRed蠕蟲病毒即以蠕蟲的傳播方式去感染別的計(jì)算機(jī)，影響網(wǎng)絡(luò)，又以病毒的方式在被感染計(jì)算機(jī)上執(zhí)行惡意程序，破壞被感染計(jì)算機(jī)上的文件，最后利用木馬程序在被感染主機(jī)上設(shè)置后門，供其他蠕蟲病毒利用。

綜上所述，計(jì)算機(jī)蠕蟲病毒是一種融合計(jì)算機(jī)蠕蟲、計(jì)算機(jī)病毒和木馬技術(shù)的新技術(shù)，它無須計(jì)算機(jī)使用者干預(yù)即可運(yùn)行，通過大規(guī)模的掃描獲取網(wǎng)絡(luò)中存在漏洞的計(jì)算機(jī)的控制權(quán)進(jìn)行復(fù)制和傳播，在已感染的計(jì)算機(jī)中設(shè)置后門或執(zhí)行惡意代碼破壞計(jì)算機(jī)系統(tǒng)或信息。

1.2計(jì)算機(jī)蠕蟲病毒的破壞

從1988年首例蠕蟲（Morris）事件以來，統(tǒng)計(jì)到的Internet安全威脅事件每年以指數(shù)增長(zhǎng)，近年來的增長(zhǎng)態(tài)勢(shì)變得的尤為迅猛。以美國(guó)為例，其每年因?yàn)榫W(wǎng)絡(luò)安全造成的經(jīng)濟(jì)損失超過170億美元。蠕蟲的大規(guī)模爆發(fā)，使網(wǎng)絡(luò)大面積癱，給金融系統(tǒng)和政府部門造成的直接經(jīng)濟(jì)損失不計(jì)其數(shù)；給整個(gè)世界經(jīng)濟(jì)也造成很大損失；另外，蠕蟲病毒還能破壞計(jì)算機(jī)上的文件，泄漏機(jī)密信息。因此，網(wǎng)絡(luò)信息安全問題得到了世界各國(guó)的重視。

1.3計(jì)算機(jī)蠕蟲病毒的發(fā)展趨勢(shì)

從Morris蠕蟲到現(xiàn)在基于P2P的QQ蠕蟲，蠕蟲病毒總是隨著網(wǎng)絡(luò)技術(shù)的進(jìn)步而發(fā)展，2000年至今，出現(xiàn)的蠕蟲病毒數(shù)不勝數(shù)（redcodeⅠ,nimda等等），同時(shí)Internet上每天都充斥著大量的蠕蟲病毒。蠕蟲病毒隨著網(wǎng)絡(luò)安全技術(shù)的進(jìn)步也出現(xiàn)了新的變化，①傳播多樣化。蠕蟲病毒不再是以僅有的傳播方式進(jìn)行傳播，它利用偽裝等更多的技術(shù)傳播。利用偽裝技術(shù)，蠕蟲病毒藏身于一些合法的制作工具或著名公司的系統(tǒng)工具，利用這些工具制作的軟件包就包含了蠕蟲病毒，從而達(dá)到傳染目的。②智能化。蠕蟲病毒已不再需要人為的動(dòng)作進(jìn)行傳播，它結(jié)合人工智能技術(shù)，蠕蟲的傳播，感染，破壞都是自動(dòng)完成，而且朝著反病毒軟件的方向發(fā)展。

2計(jì)算機(jī)蠕蟲病毒的傳播機(jī)制及危害

2.1計(jì)算機(jī)蠕蟲病毒的傳播方式

已知道蠕蟲病毒的傳播方式大致可以分為：①郵件。當(dāng)今社會(huì)，e-mail是人們交往和工作最主要的方式之一，也是網(wǎng)絡(luò)應(yīng)用最為頻繁的服務(wù)之一，因此蠕蟲病毒也借用該手段進(jìn)行傳播，例如I-Worm。②局域網(wǎng)。大部分的網(wǎng)絡(luò)安全時(shí)間都是來自與局域望內(nèi)部，蠕蟲病毒在傳播過程中也首先在本地局域網(wǎng)中自動(dòng)搜索可寫目錄直接修改感染機(jī)器的注冊(cè)表，使得能自動(dòng)運(yùn)行。③系統(tǒng)漏洞。大部分的蠕蟲病毒都是針對(duì)系統(tǒng)漏洞進(jìn)行大規(guī)模的傳播、感染。例如Nimda紅色、代碼等。

2.2計(jì)算機(jī)蠕蟲病毒的功能結(jié)構(gòu)模型

一般地，蠕蟲病毒的功能模塊可以分為兩部分：基本功能模塊和擴(kuò)展功能模塊。其中，基本功能模塊分為5個(gè)部分：搜索模塊、攻擊模塊、傳輸模塊、信息收集模塊和繁殖模塊；擴(kuò)展功能模塊包括4個(gè)部分：通信模塊、隱藏模塊、破壞模塊和控制模塊。該模型體現(xiàn)了當(dāng)前蠕蟲病毒的功能結(jié)構(gòu)，其中實(shí)現(xiàn)了基本功能模塊的蠕蟲病毒能夠很好的完成傳播復(fù)制流程，而包含擴(kuò)展功能模塊的蠕蟲病毒則有更強(qiáng)的生存能力和破壞能力。

2.3計(jì)算機(jī)蠕蟲病毒的功能結(jié)構(gòu)模型分析

首先，計(jì)算機(jī)蠕蟲病毒的基本功能即傳播復(fù)制過程可以分為四個(gè)階段：系統(tǒng)掃描、進(jìn)行攻擊、現(xiàn)場(chǎng)處理、自我復(fù)制,如圖一所示。網(wǎng)絡(luò)上已感染計(jì)算機(jī)蠕蟲病毒的主機(jī)通過特定的掃描機(jī)制（例如：選擇性隨機(jī)掃描、順序掃描等）去尋找存在漏洞的主機(jī)，當(dāng)掃描到有漏洞的計(jì)算機(jī)系統(tǒng)后，進(jìn)行攻擊，攻擊部分主要完成計(jì)算機(jī)蠕蟲病毒主體的遷移工作以及對(duì)計(jì)算機(jī)系統(tǒng)信息和文件的破壞；計(jì)算機(jī)蠕蟲病毒進(jìn)入系統(tǒng)后，要做現(xiàn)場(chǎng)處理工作，例如修改系統(tǒng)日志、信息收集和自我隱藏等；最后一步是自我復(fù)制，生成多個(gè)副本重復(fù)上述流程。其次，計(jì)算機(jī)蠕蟲病毒的擴(kuò)展功能主要是實(shí)現(xiàn)計(jì)算機(jī)蠕蟲病毒的攻擊破壞能力，不同的蠕蟲病毒其基本功能都基本上一致，但是他們的擴(kuò)展功能卻不盡相同。

要認(rèn)識(shí)、探測(cè)和防御蠕蟲病毒就要充分了解蠕蟲病毒的行為特征，這里我門把蠕蟲病毒的行為特征歸納為四個(gè)方面：主動(dòng)攻擊、利用漏洞、行蹤隱藏和反復(fù)感染。計(jì)算機(jī)蠕蟲病毒被釋放以后，從搜索漏洞到利用漏洞進(jìn)行系統(tǒng)攻擊及復(fù)制副本，整個(gè)流程都是由蠕蟲病毒自身主動(dòng)完成。計(jì)算機(jī)蠕蟲病毒在搜索漏洞時(shí)將發(fā)起大量的連接以判斷計(jì)算機(jī)是否存在、特定的應(yīng)用服務(wù)是否存在、漏洞是否存在等等。進(jìn)入系統(tǒng)后，蠕蟲病毒通過修改系統(tǒng)日志隱藏自己，最后復(fù)制蠕蟲病毒副本，下載和運(yùn)行惡意代碼。被感染主機(jī)作為一個(gè)新的攻擊源去攻擊別的計(jì)算機(jī)。

2.4計(jì)算機(jī)蠕蟲病毒的危害

計(jì)算機(jī)蠕蟲病毒的危害是巨大的，主要體現(xiàn)在以下五個(gè)方面：①消耗被感染主機(jī)的系統(tǒng)資源以及破壞系統(tǒng)文件和信息資源；②消耗網(wǎng)絡(luò)上的帶寬，造成網(wǎng)絡(luò)阻塞甚至網(wǎng)絡(luò)癱瘓；③消耗網(wǎng)絡(luò)設(shè)備系統(tǒng)資源，如路由器和交換機(jī)；④降低被感染主機(jī)和網(wǎng)絡(luò)設(shè)備的系統(tǒng)性能；⑤與黑客技術(shù)融合，造成更大的安全隱患。例如泄露機(jī)密信息，特別是金融和政府的信息。

3計(jì)算機(jī)蠕蟲病毒的探測(cè)和防御技術(shù)

計(jì)算機(jī)蠕蟲病毒已經(jīng)成為網(wǎng)絡(luò)上極大的安全隱患，由于計(jì)算機(jī)蠕蟲病毒具有相當(dāng)?shù)膹?fù)雜性和破壞性，因此，計(jì)算機(jī)蠕蟲病毒的探測(cè)和防御就顯得格外重要。目前還沒有那種防御措施能有效的探測(cè)和防御所有的計(jì)算機(jī)蠕蟲病毒，特別是新型的未知的計(jì)算機(jī)蠕蟲病毒。在網(wǎng)絡(luò)中，應(yīng)用最廣泛的計(jì)算機(jī)蠕蟲病毒的探測(cè)和防御技術(shù)是防火墻技術(shù)，IDS技術(shù)（Intrusiondetectionsystems），Snmp技術(shù)和netflow技術(shù)等。

3.1采用防火墻技術(shù)

通過配置網(wǎng)絡(luò)或單機(jī)防火墻軟件，禁止除服務(wù)端口外的其他端口，這將切斷計(jì)算機(jī)蠕蟲病毒的傳輸通道和通信通道。過濾含有某個(gè)計(jì)算機(jī)蠕蟲病毒特征的報(bào)文，屏蔽已被感染的主機(jī)對(duì)保護(hù)網(wǎng)絡(luò)的訪問等。由于蠕蟲病毒的行為同一般的網(wǎng)絡(luò)應(yīng)用有很大的相似性，因此防火墻技術(shù)不可避免的導(dǎo)致某些正常的網(wǎng)絡(luò)應(yīng)用也被封堵。

3.2采用IDS技術(shù)

IDS主要用來檢測(cè)DDOS攻擊和計(jì)算機(jī)蠕蟲病毒。IDS分為兩種：基于特征模型的IDS和基于異常模型的IDS?；谔卣髂Ｐ偷腎DS通過分析已知計(jì)算機(jī)蠕蟲病毒的發(fā)病機(jī)制和特征，構(gòu)建相應(yīng)的數(shù)據(jù)模型的數(shù)據(jù)庫。IDS在所監(jiān)控的網(wǎng)絡(luò)中收集計(jì)算機(jī)和網(wǎng)絡(luò)活動(dòng)的數(shù)據(jù)以及他們之間的連接，將這些數(shù)據(jù)構(gòu)建成網(wǎng)絡(luò)活動(dòng)行為的特征與數(shù)據(jù)庫中的數(shù)據(jù)模型相匹配，檢查計(jì)算機(jī)蠕蟲病毒是否存在。這種技術(shù)通過模型匹配對(duì)已知蠕蟲病毒能有效的防治，但是卻不能探測(cè)和防御新型的未知的計(jì)算機(jī)蠕蟲病毒。另外，基于異常模型的IDS通過監(jiān)視不正常的通信量變化探測(cè)新的攻擊，這里的通信量的改變是指當(dāng)前的通信量的度量值和它正常條件下的通信量的閥值的差值。由于確定一個(gè)適當(dāng)?shù)陌姓Ｍㄐ乓蛩氐拈y值是相當(dāng)?shù)睦щy，因而基于異常模型的IDS有較高的報(bào)錯(cuò)率。

3.3采用SNMP+MRTG技術(shù)

簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議(SimpleNetworkManagementProtocol)是一種應(yīng)用層協(xié)議，是TCP/IP協(xié)議族的一部分，它使網(wǎng)絡(luò)設(shè)備間能方便地交換管理信息。SNMP能夠讓網(wǎng)絡(luò)管理員管理網(wǎng)絡(luò)的性能，發(fā)現(xiàn)和解決網(wǎng)絡(luò)問題及進(jìn)行網(wǎng)絡(luò)的擴(kuò)充。MRTG(MultiRouterTrafficGrapher,MRTG)就是基于SNMP的典型網(wǎng)絡(luò)流量統(tǒng)計(jì)分析工具。它耗用的系統(tǒng)資源很小，它通過SNMP協(xié)議從設(shè)備得到其流量信息，并將流量負(fù)載以包含JPEG格式圖形的HTML文檔的方式顯示給用戶，以非常直觀的形式顯示流量負(fù)載。當(dāng)蠕蟲病毒爆發(fā)時(shí)，在MRTG上可以直觀的看出網(wǎng)絡(luò)流量的增加，結(jié)合MRTG反饋的信息，網(wǎng)絡(luò)管理者可以及時(shí)采取補(bǔ)救措施，防止蠕蟲病毒造成更大的危害。該技術(shù)也是目前局域網(wǎng)管理中應(yīng)用最廣泛的技術(shù)之一。

3.4采用NETFLOW技術(shù)

由于現(xiàn)在蠕蟲病毒的傳播速度越來越快，爆發(fā)周期越來越短，危害也越來越大，因此，如何在蠕蟲病毒發(fā)作早期將其檢測(cè)出來成了減輕蠕蟲病毒危害的關(guān)鍵。利用蠕蟲病毒的行為特征將NetFlow技術(shù)應(yīng)用到蠕蟲病毒的早期檢測(cè)上是一種可行的技術(shù)路線。NetFlow是Cisco公司在其IOS（網(wǎng)絡(luò)操作系統(tǒng)）交換體系中引入的一種新的交換技術(shù)。NetFlow服務(wù)可在最大限度減小對(duì)路由器/交換機(jī)性能影響的前提下提供詳細(xì)的數(shù)據(jù)流統(tǒng)計(jì)信息.作為其交換功能的一部分,它能夠提供包括用戶、協(xié)議、端口和服務(wù)類型等統(tǒng)計(jì)信息。由于蠕蟲傳播過程中會(huì)發(fā)起大量的掃描連接，通過工具統(tǒng)計(jì)分析NetFlow數(shù)據(jù)流，可以很容易地發(fā)現(xiàn)蠕蟲的掃描行為，進(jìn)而采取相應(yīng)措施，隔斷其感染途徑。例如flowtools、Cflowd工具。

3.5其他技術(shù)

除了上述技術(shù)外，計(jì)算機(jī)蠕蟲病毒的防范技術(shù)還很多。例如：美國(guó)安全專家提議的基于CCDC（CyberCentersforDiseaseControl）的蠕蟲檢測(cè)、防御和阻斷以及華盛頓大學(xué)應(yīng)用研究室的JohnW.Lockwood等人提出的一種采用可編程邏輯設(shè)備對(duì)抗計(jì)算機(jī)蠕蟲病毒的防范系統(tǒng)等。

4企業(yè)和個(gè)人用戶防范蠕蟲病毒措施

4.1企業(yè)防范蠕蟲病毒措施

當(dāng)前，企業(yè)網(wǎng)絡(luò)主要應(yīng)用于文件和打印服務(wù)共享，辦公自動(dòng)化系統(tǒng)，企業(yè)業(yè)務(wù)（MIS）系統(tǒng)、Internet應(yīng)用等領(lǐng)域。網(wǎng)絡(luò)具有便利信息交換特性，蠕蟲病毒也可以充分利用網(wǎng)絡(luò)快速傳播達(dá)到其阻塞網(wǎng)絡(luò)目的。企業(yè)在充分地利用網(wǎng)絡(luò)進(jìn)行業(yè)務(wù)處理時(shí)，就不得不考慮企業(yè)的病毒防范問題，以保證關(guān)系企業(yè)命運(yùn)的業(yè)務(wù)數(shù)據(jù)完整不被破壞。企業(yè)防治蠕蟲病毒的時(shí)候需要考慮幾個(gè)問題：病毒的查殺能力，病毒的監(jiān)控能力，新病毒的反應(yīng)能力。而企業(yè)防毒的一個(gè)重要方面是是管理和策略，推薦的

企業(yè)防范蠕蟲病毒的策略如下：

加強(qiáng)網(wǎng)絡(luò)管理員安全管理水平，提高安全意識(shí)。由于蠕蟲病毒利用的是系統(tǒng)漏洞進(jìn)行攻擊，所以需要在第一時(shí)間內(nèi)保持系統(tǒng)和應(yīng)用軟件的安全性，保持各種操作系統(tǒng)和應(yīng)用軟件的更新。由于各種漏洞的出現(xiàn)，使得安全不在是一種一勞永逸的事。而作為企業(yè)用戶而言，所經(jīng)受攻擊的危險(xiǎn)也是越來越大，要求企業(yè)的管理水平和安全意識(shí)也越來越高。

建立病毒檢測(cè)系統(tǒng)，能夠在第一時(shí)間內(nèi)檢測(cè)到網(wǎng)絡(luò)異常和病毒攻擊。

建立應(yīng)急響應(yīng)系統(tǒng)，將風(fēng)險(xiǎn)減少到最小。由于蠕蟲病毒爆發(fā)的突然性，可能在病毒發(fā)現(xiàn)的時(shí)候已經(jīng)蔓延到了整個(gè)網(wǎng)絡(luò)。所以在突發(fā)情況下，建立一個(gè)緊急響應(yīng)系統(tǒng)是很有必要的。在病毒爆發(fā)的第一時(shí)間即能提供解決方案。

建立災(zāi)難備份系統(tǒng)。對(duì)于數(shù)據(jù)庫和數(shù)據(jù)系統(tǒng)，必須采用定期備份多機(jī)備份措施，防止意外災(zāi)難下的數(shù)據(jù)丟失。

對(duì)于局域網(wǎng)而言，可以采用以下一些主要手段：在因特網(wǎng)接入口處安裝防火墻式防殺計(jì)算機(jī)病毒產(chǎn)品，將病毒隔離在局域網(wǎng)之外。對(duì)郵件服務(wù)器進(jìn)行監(jiān)控，防止帶毒郵件進(jìn)行傳播。對(duì)局域網(wǎng)用戶進(jìn)行安全培訓(xùn)，建立局域網(wǎng)內(nèi)部的升級(jí)系統(tǒng)。包括各種操作系統(tǒng)的補(bǔ)丁升級(jí)，各種常用的應(yīng)用軟件升級(jí)，各種殺毒軟件病毒庫的升級(jí)等等。

4.2個(gè)人用戶防范蠕蟲病毒措施

網(wǎng)絡(luò)蠕蟲病毒對(duì)個(gè)人用戶的攻擊主要還是通過社會(huì)工程學(xué)，而不是利用系統(tǒng)漏洞。所以防范此類病毒需要注意以下幾點(diǎn)：

購合適的殺毒軟件。網(wǎng)絡(luò)蠕蟲病毒的發(fā)展已經(jīng)使傳統(tǒng)的殺毒軟件的“文件級(jí)實(shí)時(shí)監(jiān)控系統(tǒng)”落伍，殺毒軟件必須向內(nèi)存實(shí)時(shí)監(jiān)控和郵件實(shí)時(shí)監(jiān)控發(fā)展。另外面對(duì)防不勝防的網(wǎng)頁病毒，也使得用戶對(duì)殺毒軟件的要求越來越高。在殺毒軟件市場(chǎng)上，賽門鐵克公司的Norton系列殺毒軟件在全球具有很大的比例。經(jīng)過多項(xiàng)測(cè)試，Norton殺毒系列軟件腳本和蠕蟲阻攔技術(shù)能夠阻擋大部分電子郵件病毒，而且對(duì)網(wǎng)頁病毒也有相當(dāng)強(qiáng)的防范能力。目前國(guó)內(nèi)的殺毒軟件也具有了相當(dāng)高的水平。像瑞星、KV系列等殺毒軟件，在殺毒軟件的同時(shí)整合了防火強(qiáng)功能，從而對(duì)蠕蟲兼木馬程序有很大克制作用。

經(jīng)常升級(jí)病毒庫，殺毒軟件對(duì)病毒的查殺是以病毒的特征碼為依據(jù)的，而病毒每天都層出不窮，尤其是在網(wǎng)絡(luò)時(shí)代，蠕蟲病毒的傳播速度，變種多，所以必須隨時(shí)更新病毒庫，以便能夠查殺最新的病毒。

提高防殺毒意識(shí)，不要輕易去點(diǎn)擊陌生的站點(diǎn)，有可能里面就含有惡意代碼。當(dāng)運(yùn)行IE時(shí)，點(diǎn)擊“工具→Internet選項(xiàng)→安全→Internet區(qū)域的安全級(jí)別”，把安全級(jí)別由“中”改為“高”。因?yàn)檫@一類網(wǎng)頁主要是含有惡意代碼的ActiveX或Applet、JavaScript的網(wǎng)頁

文件，所以在IE設(shè)置中將ActiveX插件和控件、Java腳本等全部禁止就可以大大減少被網(wǎng)頁惡意代碼感染的幾率。具體方案是：在IE窗口中點(diǎn)擊“工具”→“Internet選項(xiàng)”，在彈出的對(duì)話框中選擇“安全”標(biāo)簽，再點(diǎn)擊“自定義級(jí)別”按鈕，就會(huì)彈出“安全設(shè)置”對(duì)話框，把其中所有ActiveX插件和控件以及與Java相關(guān)全部選項(xiàng)選擇“禁用”。但是，這樣做在以后的網(wǎng)頁瀏覽過程中有可能會(huì)使一些正常應(yīng)用ActiveX的網(wǎng)站無法瀏覽。

不隨意查看陌生郵件%尤其是帶有附件的郵件，由于有的病毒郵件能夠利用IE和Outlook的漏洞自動(dòng)執(zhí)行，所以計(jì)算機(jī)用戶需要升級(jí)IE和Outlook程序,及常用的其他應(yīng)用程序。

5結(jié)論

從計(jì)算機(jī)蠕蟲病毒的發(fā)展來看，計(jì)算機(jī)蠕蟲病毒的攻擊和防御都在發(fā)展，未來的計(jì)算機(jī)蠕蟲病毒將會(huì)更智能化，復(fù)雜化，對(duì)網(wǎng)絡(luò)的影響和危害將長(zhǎng)期存在；而計(jì)算機(jī)蠕蟲病毒的防御卻要相對(duì)困難，究其原因有以下幾點(diǎn)：①計(jì)算機(jī)蠕蟲病毒融合了計(jì)算機(jī)蠕蟲和計(jì)算機(jī)病毒的技術(shù)