基于局域網(wǎng)的計算機蠕蟲檢測技術(shù)研究與實現(xiàn)

廣東藥學(xué)院附屬第一醫(yī)院 葉 森

基于局域網(wǎng)的計算機蠕蟲檢測技術(shù)研究與實現(xiàn)

廣東藥學(xué)院附屬第一醫(yī)院 葉 森

在計算機飛速發(fā)展的情況下，互聯(lián)網(wǎng)病毒防范成為了保障信息安全的一項重點工作。在本文中，將就基于局域網(wǎng)的計算機蠕蟲檢測技術(shù)實現(xiàn)進行一定的研究。

局域網(wǎng)；計算機；蠕蟲檢測技術(shù)

1. 引言

在計算機網(wǎng)絡(luò)技術(shù)不斷發(fā)展的情況下，計算機網(wǎng)絡(luò)成為了人們工作當(dāng)中不可缺少的工具之一，并對其具有了更大的依賴性。在該種情況下，計算機安全防范成為了一項非常重要的工作，即避免因信息泄露、破壞等對工作安全產(chǎn)生危害。其中，計算機蠕蟲是一類危害較大的病毒類型，需要在日常工作開展中做好其防范。

2. 蠕蟲病毒概述

2.1概念

蠕蟲是出現(xiàn)在生物學(xué)專業(yè)的詞匯，在計算機領(lǐng)域中，其是一種智能化、自動化且能夠?qū)W(wǎng)絡(luò)進行綜合攻擊的病毒技術(shù)，能夠在不受到人干預(yù)的情況下對代碼進行攻擊，并通過網(wǎng)絡(luò)存在的漏洞對主機進行攻擊，在借助局域網(wǎng)的情況下從一個節(jié)點傳到另一個節(jié)點，進而對計算機造成較大的破壞。根據(jù)其傳播方式的不同，可以將其分為不同的類型，其中，常見的類型有IM蠕蟲、P2P蠕蟲以及漏洞傳播蠕蟲等。

2.2攻擊手段

對于蠕蟲病毒，其主要攻擊手段有：第一，緩沖區(qū)溢出攻擊。根據(jù)相關(guān)部門統(tǒng)計，在互聯(lián)網(wǎng)上，絕大多數(shù)的攻擊都為緩沖區(qū)溢出技術(shù)，在該技術(shù)中，攻擊者通過探測程序的應(yīng)用對計算機當(dāng)中可以利用的緩沖區(qū)隱患進行尋找，之后使用蠕蟲病毒對其進行溢出操作，即通過惡意代碼的應(yīng)用對攻擊程序進行執(zhí)行，進而實現(xiàn)目標(biāo)節(jié)點控制權(quán)的掌握；第二，弱密碼攻擊手段。在該方式中，蠕蟲病毒自身具有一個弱密碼字典，在該字典當(dāng)中，具有部分常用的密碼以及用戶名，能夠在將各類用戶名以及密碼進行組合之后進行遠程連接的建立，在將其反傳給遠程系統(tǒng)之后開展下一輪攻擊。在該方式具體操作中，蠕蟲病毒設(shè)計人員則提升測試頻率以及準(zhǔn)確密碼、用戶名提供的基礎(chǔ)上能夠使蠕蟲病毒具有較好的傳播條件；第三，除了上述兩種手段之外，還具有DOS、DDOS以及字符串攻擊手段等。

3. 計算機蠕蟲病毒檢測技術(shù)

3.1特征匹配檢測技術(shù)

在該技術(shù)中，其能夠?qū)σ阎湎x進行檢測，即在對蠕蟲病毒重點特征進行檢測的基礎(chǔ)上聯(lián)系特征情況對規(guī)則庫進行生成，在將采集獲得的數(shù)據(jù)包同規(guī)則庫中規(guī)則進行匹配的基礎(chǔ)上對蠕蟲攻擊特征進行把握。具體方式方面：第一，通過系統(tǒng)平臺獲取網(wǎng)絡(luò)數(shù)據(jù)包，并對不同的數(shù)據(jù)包進行全面檢查，對其中存在的攻擊特征進行尋找；第二，如果經(jīng)過檢查發(fā)現(xiàn)其同攻擊特征長度一致，則需要及時從數(shù)據(jù)包當(dāng)中取出，并對兩組不同的字節(jié)特征情況進行比較，如果經(jīng)過比較發(fā)現(xiàn)兩者結(jié)果一致，則表明已經(jīng)檢測到了攻擊。如果經(jīng)過比對發(fā)現(xiàn)兩者結(jié)果不同，則需要從該數(shù)據(jù)包的下個字節(jié)處再次進行對比，直至數(shù)據(jù)包匹配完成或者找到攻擊。在完成檢測工作之后，則需要再一次對攻擊特征進行比較，保證不同攻擊特征都能夠具有匹配的特點。

3.2協(xié)議分析檢測技術(shù)

在計算機網(wǎng)絡(luò)當(dāng)中，網(wǎng)絡(luò)協(xié)議是重要的核心，如TCP/IP協(xié)議等。同時，網(wǎng)絡(luò)協(xié)議分析也是一項非常重要的技術(shù)類型，在網(wǎng)絡(luò)安全方面具有著十分重要的作用。在實際工作開展中，而教義通過對數(shù)據(jù)包的協(xié)議分析對數(shù)據(jù)包當(dāng)中所具有的協(xié)議內(nèi)容進行獲取，具體包括數(shù)據(jù)包的獲取、過濾以及協(xié)議分析。就目前來說，單一的檢測方式并不能夠?qū)θ湎x檢測這項工作的要求進行滿足，需要通過多種技術(shù)共同檢測方式的應(yīng)用以更為全面的方式對來自蠕蟲的攻擊進行檢測。對此，則可以對傳統(tǒng)特征匹配優(yōu)勢進行融合，同協(xié)議分析技術(shù)一起對蠕蟲進行檢測，在發(fā)現(xiàn)病毒存在之后發(fā)出響應(yīng)信息，并對蠕蟲的攻擊進行阻止。在該過程中，即通過分析引擎應(yīng)用對數(shù)據(jù)包協(xié)議進行分析后通過特征匹配的方式對數(shù)據(jù)包進行分析以及監(jiān)測，可以說是蠕蟲信息進行檢測的核心部分。流程方面，其先將數(shù)據(jù)報進行截獲，將其傳輸動協(xié)議命令解析模塊之后對不同協(xié)議進行判斷以及分析，在對系統(tǒng)規(guī)則庫進行借助的基礎(chǔ)上做好匹配工作，以此判斷相關(guān)數(shù)據(jù)是否存在入侵到系統(tǒng)的嫌疑，之后再通過響應(yīng)系統(tǒng)的應(yīng)用進行處理。

3.3概率檢測技術(shù)

面對未知代碼蠕蟲病毒，具有時候分析以及實時檢測這兩種方式。其中，實時自動檢測即聽過對流量的實時檢測對蠕蟲的攻擊行為進行發(fā)揮，能夠在對蠕蟲早期攻擊進行發(fā)現(xiàn)的基礎(chǔ)上對及時的信息數(shù)據(jù)進行提供，有利于相關(guān)解決方案的制定；事后分析方面，即管理人員發(fā)現(xiàn)網(wǎng)絡(luò)存在問題后及時做好網(wǎng)絡(luò)數(shù)據(jù)包的研究，在尋找到蠕蟲病毒特征碼之后將其放置到數(shù)據(jù)庫當(dāng)中。對于該種方式來說，其更利于未來檢測工作的開展，但不可避免的會使大部分計算機因此受到感染。

3.4蜜罐技術(shù)檢測法

所謂蜜罐，即為一個安全資源，通過其設(shè)置，即為了更好的對攻擊進行記錄。實際上，蜜罐即是一個具有多種漏洞計算機的設(shè)置，并使其同網(wǎng)絡(luò)進行連接。作為管理人員，在對該計算機進行設(shè)置時，即對其身上所具有的漏洞具有全面的了解，當(dāng)具有網(wǎng)絡(luò)入侵情況時，蜜罐則會以自動的方式將該次入侵過程進行記錄，便于管理人員對相關(guān)問題進行分析。在實際應(yīng)用中，其可以應(yīng)用在攻擊檢測、阻止、捕獲以及分析方面，當(dāng)蠕蟲處于攻擊狀態(tài)下時，蜜罐則會根據(jù)自身優(yōu)勢在網(wǎng)絡(luò)當(dāng)中對蠕蟲進行分析以及識別，并對蠕蟲的特征進行提供。

4. 檢測技術(shù)模塊實現(xiàn)

4.1基于局域網(wǎng)蠕蟲監(jiān)測模型設(shè)計

根據(jù)蠕蟲傳播特點，對檢測模型進行建立。該檢測模型由5層組成：數(shù)據(jù)采集層、檢測分析層、數(shù)據(jù)提取層、響應(yīng)層以及控制層，且在工作開展當(dāng)中這幾個層之間互相聯(lián)系。通過該模型的建立，則能夠在結(jié)合未知以及已知蠕蟲的基礎(chǔ)上進行檢測研究，具有著較強的代表性。

4.2模型關(guān)鍵模塊設(shè)計

4.2.1數(shù)據(jù)包模塊

在該系統(tǒng)中，通過數(shù)據(jù)包抓取的方式處理并進行數(shù)據(jù)的過濾，之后再將其對其他模塊提供處理。在該流程中，包括有監(jiān)聽網(wǎng)絡(luò)設(shè)備選擇、網(wǎng)絡(luò)設(shè)備打開、監(jiān)聽建立、數(shù)據(jù)包獲取、過濾器設(shè)置以及函數(shù)回調(diào)等階段，并對完整的數(shù)據(jù)包庫進行建立。

4.2.2協(xié)議分析模塊

在該模塊中，將對所獲取的數(shù)據(jù)包進行分析，并對其中的目標(biāo)地址、協(xié)議類型、原地址以及端口型號等提出。之后聯(lián)系TCP/IP協(xié)議進行方法分析。

4.2.3特征匹配模塊

在完成網(wǎng)絡(luò)數(shù)據(jù)包的捕獲之后，通過函數(shù)的應(yīng)用將數(shù)據(jù)包長度同LLC進行比較檢驗，對符合要求的數(shù)據(jù)包進行保存，在開始特征匹配后，則對具有不同特征的數(shù)據(jù)進行匹配。如果匹配完成，則數(shù)據(jù)包存在攻擊，如果沒有，則繼續(xù)進行下一步特征處理。

5. 結(jié)束語

蠕蟲檢測是計算機應(yīng)用中的重點工作，在實際工作開展中，需要做好檢測技術(shù)的研究與把握，保障計算機應(yīng)用安全。

［1］胡燕，曾小玲，白書琴.網(wǎng)絡(luò)蠕蟲病毒的檢測與防范策略［J］.科技展望.2015（25）：44-45.

［2］王欣.智能蠕蟲自動遏制方案［J］.山西經(jīng)濟管理干部學(xué)院學(xué)報.2013（01）：111-112.

［3］周然，庹寧.蠕蟲病毒的傳播原理與防治［J］.金融科技時代.2011（02）：99-100.

［4］強麟.蠕蟲病毒分析及其防范措施淺析［J］.信息系統(tǒng)工程.2011（04）：77-79.