蠕蟲病毒的分析與防范

摘要：蠕蟲病毒給網(wǎng)絡(luò)環(huán)境帶來了巨大的災(zāi)難。日益嚴(yán)重的蠕蟲問題，不僅給用戶造成了巨大的損失，而且嚴(yán)重威脅著國家的信息安全。蠕蟲的檢測和防范成為當(dāng)前網(wǎng)絡(luò)安全研究的熱點(diǎn)。

關(guān)鍵詞：蠕蟲;病毒;網(wǎng)絡(luò)安全

1.蠕蟲病毒簡介

蠕蟲病毒與一般病毒不同。蠕蟲病毒不需要將其自身附著到宿主程序，是一種獨(dú)立的智能程序。它利用網(wǎng)絡(luò)進(jìn)行傳播并能夠自我復(fù)制，爆發(fā)時(shí)消耗大量的系統(tǒng)資源，使其他程序運(yùn)行減慢甚至停止，最后導(dǎo)致系統(tǒng)和網(wǎng)絡(luò)癱瘓。

“熊貓燒香”就是一個(gè)典型的感染型蠕蟲病毒，其感染行為主要包括：復(fù)制自身到系統(tǒng)目錄;創(chuàng)建啟動(dòng)項(xiàng);在各分區(qū)根目錄生成病毒副本;修改“顯示所有文件和文件夾”設(shè)置;嘗試關(guān)閉注冊(cè)表編輯器、系統(tǒng)配置實(shí)用程序、Windows任務(wù)管理器、殺毒軟件等。

2.蠕蟲的檢測技術(shù)

（1）基于蠕蟲特征碼的檢測技術(shù)

首先將一些蠕蟲惡意代碼的特征值收集起來，然后逐個(gè)創(chuàng)建每一個(gè)特征值的特征碼規(guī)則庫。檢測時(shí)，利用在特征碼和特征碼規(guī)則庫中的具體規(guī)則與要檢測的網(wǎng)絡(luò)行為進(jìn)行匹配，如果存在異常就會(huì)匹配成功，對(duì)于這樣的異常應(yīng)當(dāng)給出警告或者拒絕訪問。

這樣的檢測方式有一定的限制，如果有些蠕蟲病毒在規(guī)則庫中沒有匹配成功，就無法檢測出蠕蟲。

（2）基于蠕蟲行為特征的檢測技術(shù)

Bakos提出了一種蠕蟲行為特征檢測技術(shù)，利用了ICMP目標(biāo)主機(jī)不可達(dá)報(bào)文來判斷識(shí)辨蠕蟲的隨機(jī)掃描行為，并通過信息收集點(diǎn)來收集網(wǎng)絡(luò)中由路由器產(chǎn)生的這種不可達(dá)報(bào)文信息，然后統(tǒng)計(jì)消息的個(gè)數(shù)，并和給定的閾值進(jìn)行比較，以此判斷蠕蟲是否有傳播行為。但是這種方法中如果路由器個(gè)數(shù)較少，那么收集到的報(bào)文信息數(shù)就會(huì)較少，會(huì)影響到判斷的準(zhǔn)確性

（3）基于貝葉斯的檢測技術(shù)

在網(wǎng)絡(luò)傳播蠕蟲的時(shí)候，蠕蟲會(huì)先向網(wǎng)絡(luò)中有漏洞的目標(biāo)主機(jī)發(fā)送大量連接請(qǐng)求數(shù)據(jù)包，用這種方法就可以判斷出目標(biāo)主機(jī)是否開機(jī)，還能判斷出這些目標(biāo)主機(jī)是否存在漏洞，由此判斷是否會(huì)被感染。

3.蠕蟲病毒的防范

3.1單位用戶防范措施

（1）提高網(wǎng)絡(luò)管理員的安全意識(shí)和管理水平。蠕蟲病毒的行為特性包括利用系統(tǒng)漏洞對(duì)網(wǎng)絡(luò)進(jìn)行攻擊，所以必須時(shí)刻保持應(yīng)用軟件和網(wǎng)絡(luò)系統(tǒng)的安全性，對(duì)操作系統(tǒng)和應(yīng)用程序進(jìn)行及時(shí)地更新和漏洞修復(fù)，不給蠕蟲病毒入侵網(wǎng)絡(luò)的機(jī)會(huì)。

（2）實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)中的蠕蟲數(shù)據(jù)包，一旦發(fā)現(xiàn)網(wǎng)絡(luò)系統(tǒng)受到蠕蟲攻擊后馬上采取相應(yīng)的隔離控制手段保護(hù)系統(tǒng)，將病毒清除防止其繼續(xù)擴(kuò)大。

（3）蠕蟲病毒具有不可預(yù)測性和突然爆發(fā)性，在發(fā)現(xiàn)蠕蟲病毒已經(jīng)爆發(fā)并且感染整個(gè)網(wǎng)絡(luò)時(shí)，就需要采取緊急措施盡量減少損失。

（4）做好網(wǎng)絡(luò)系統(tǒng)數(shù)據(jù)備份。在系統(tǒng)受到感染并且無法恢復(fù)的時(shí)候，備份系統(tǒng)可以把數(shù)據(jù)進(jìn)行恢復(fù)，盡量減少經(jīng)濟(jì)損失。

（5）在局域網(wǎng)入口處安裝防火墻和殺毒軟件，不給蠕蟲病毒入侵提供通道。同時(shí)還需要對(duì)員工進(jìn)行教育安全培訓(xùn)，對(duì)一些用戶操作進(jìn)行限制，監(jiān)控郵件服務(wù)器，避免蠕蟲病毒被攜帶進(jìn)入，升級(jí)修復(fù)網(wǎng)絡(luò)內(nèi)部的操作系統(tǒng)，保證單位內(nèi)部的網(wǎng)絡(luò)安全不受侵害。

3.2個(gè)人用戶防范措施

（1）安裝殺毒軟件和防火墻。蠕蟲病毒的發(fā)展非常迅速。單純的文件級(jí)實(shí)時(shí)監(jiān)控已經(jīng)失效，需要增加內(nèi)存實(shí)時(shí)監(jiān)控和郵件實(shí)時(shí)監(jiān)控。

（2）及時(shí)升級(jí)殺毒軟件的病毒庫。殺毒軟件依靠病毒數(shù)據(jù)庫中的病毒特征碼進(jìn)行病毒查殺。要應(yīng)對(duì)飛快更新和傳播的蠕蟲病毒，就需要及時(shí)更新病毒數(shù)據(jù)庫，保證殺毒軟件有最新的查殺能力。

（3）用戶不要隨便打開陌生的網(wǎng)站。同時(shí)提高個(gè)人的網(wǎng)絡(luò)安全意識(shí)，將網(wǎng)絡(luò)瀏覽器的安全級(jí)別設(shè)置為最高，禁止運(yùn)行ActiveX和Java的腳本，以此避免計(jì)算機(jī)被惡意代碼攻擊感染。

（4）蠕蟲病毒一般都具有自動(dòng)發(fā)送的功能，會(huì)給用戶發(fā)送攜帶蠕蟲的郵件。在用戶不知情的情況下打開這類郵件就會(huì)給蠕蟲病毒可乘之機(jī)。所以用戶要經(jīng)常保持最新版本的網(wǎng)絡(luò)瀏覽器和補(bǔ)丁程序，禁止打開陌生的郵件。如果用戶在發(fā)現(xiàn)郵件存在異常而且沒有附件的時(shí)候應(yīng)該仔細(xì)查看郵件的詳細(xì)信息里面是不是含有隱藏的病毒。

4.總結(jié)

蠕蟲病毒具有較強(qiáng)的獨(dú)立性、利用漏洞主動(dòng)攻擊、傳播更快更廣、更好的偽裝和隱藏方式、技術(shù)更加先進(jìn)等特點(diǎn)。除了運(yùn)用網(wǎng)絡(luò)防火墻、機(jī)密文件加密等技術(shù)手段外，還應(yīng)該采取多種防范措施構(gòu)筑全方位的防范體系。蠕蟲病毒的防治不僅需要安全的網(wǎng)絡(luò)環(huán)境，更需要用戶擁有很好的防范意識(shí)，將蠕蟲病毒抹殺在搖籃里。

參考文獻(xiàn)：

[1]賴英旭，鐘瑋.計(jì)算機(jī)病毒與防范技術(shù)[M].北京：清華大學(xué)出版社，2015.

[2]張仁斌，李鋼.計(jì)算機(jī)病毒與反病毒技術(shù)[M].北京：清華大學(xué)出版社，2012.

作者簡介：

朱慧爽（1981—），女，山東莘縣人，濰坊學(xué)院信息與控制工程學(xué)院講師。