淺析網絡蠕蟲病毒的防范對策

畢久陽

(國防大學政治學院教研保障中心，上海 201703)

計算機病毒是網絡安全的最大威脅。病毒可以毀壞數據、中斷操作、影響和破壞系統。網絡蠕蟲作為一種特殊的計算機病毒，其巨大的破壞作用已經越來越為人們所熟知。2017年5月爆發的勒索病毒，就屬于網絡蠕蟲病毒。此病毒很短時間內在全球大范圍傳播。由此，對于網絡蠕蟲病毒的防范問題開始倍受人們的關注。

一、網絡蠕蟲病毒的概念以及特點

網絡蠕蟲病毒是無須計算機使用者干預即可運行的獨立程序，它通過不停地獲得網絡中存在漏洞的計算機上的部分或全部控制權來進行傳播[1]。作為一種特殊的計算機病毒程序，網絡蠕蟲具有主動攻擊、行蹤隱蔽、利用漏洞、反復性和破壞性等特征。相比其他的計算機惡意程序，網絡蠕蟲還有著傳播速度快、傳播過程自動化、防治難度大等獨有的特點。

網絡蠕蟲病毒對信息系統的影響有以下幾個方面：

(一)造成網絡擁塞：蠕蟲是依賴系統漏洞來進行傳播的，在傳播過程中要尋找攻擊目標，同時蠕蟲副本在不同機器之間傳遞，這都會產生大量的網絡數據流量。

(二)占用系統資源：計算機系統感染蠕蟲病毒后，系統內部會產生病毒的多個副本。大量的進程會耗費系統資源，導致系統的性能下降。

(三)留下安全隱患：蠕蟲病毒會搜集、擴散系統敏感信息，并且在系統中留下后門程序，這些都會導致未來的安全隱患。

(四)破壞系統：蠕蟲往往結合計算機病毒技術，在其有效載荷中裝入破壞系統的代碼(程序)，這種攻擊會導致系統崩潰。

二、網絡蠕蟲病毒的防范對策

網絡蠕蟲病毒嚴重威脅了信息系統的安全，病毒的防范可以分為以下四個階段。

(一)預防階段

網絡蠕蟲病毒的爆發是不為人所預知的，所以做好預防工作，是避免蠕蟲爆發的必要手段。在預防階段主要是對信息系統進行周期性漏洞掃描。蠕蟲的傳播依賴于系統漏洞，只要我們及時發現信息系統中存在的漏洞，打上漏洞補丁，就會大大減少被感染的幾率。

(二)檢測階段

預防只能是降低系統感染的幾率，而不能完全杜絕，檢測是防范蠕蟲爆發的主要手段。目前主要的網絡蠕蟲檢測方法有以下幾種：

1.數據內容過濾方法。在子網的邊界路由器上進行流量監測，并計算網絡上所有長度為一定值的字符串的簽名。如果某些數據包頻繁出現在所監控的網絡上，就會得到大量重復的簽名。當重復次數超過某個閾值時，說明蠕蟲病毒正在傳播，就可以根據得到的簽名進行數據內容過濾[2]。

2.網絡協議信息過濾方法。這種檢測方法不檢查網絡數據包的內容部分，只檢查數據包的TCP層和IP層協議信息。網絡蠕蟲病毒在傳播時一般都是針對某一個系統漏洞，因此其掃描和攻擊行為也是針對網絡中計算機的特定端口。如果在一段時間內檢測到的某個特定端口的流量出現反常，即可推測蠕蟲病毒正在傳播。

3.趨勢檢測方法。內容和協議信息過濾方法都存在一個問題，就是如何選取作為異常判斷標準的閾值。如果閾值取得過低，會得到較多的誤報，反之則會導致漏報上升。針對這種情況又提出了一種無閾值蠕蟲病毒預警方案，就是檢測異常情況的發展趨勢，而不是異常情況出現的次數[3]。普遍都認為蠕蟲傳播時遵循流行病學模型，如果網絡上確實存在蠕蟲病毒傳播，檢測到的異常主機數量的增長過程將服從一定規律。通過估計網絡蠕蟲病毒的傳播參數，來判定當前網絡上的異常主機數量增長過程是否服從流行病學模型，從而判斷網絡上是否有蠕蟲傳播。

(三)遏制階段

確認網絡上有蠕蟲在傳播之后，就必須及時采取措施來遏制蠕蟲的傳播，使傳播受到限制，減少損失。目前主要的遏制方法有：

1.隔離：隔離又分為單機隔離和網絡隔離兩種。單機隔離是通過禁用本機網卡或者拔掉網線，中斷本機和外界的聯系，防止蠕蟲擴散到網絡中的其他計算機中；網絡隔離就是對出現蠕蟲病毒的子網的出口路由設備進行配置，對蠕蟲傳播所利用的相應端口進行關閉，防止蠕蟲擴散到別的網絡中去。

2.疏導：使用網絡欺騙的手段，將來自于蠕蟲感染主機或者網絡的流量重新引導到一個實際不存在的“地址黑洞”中，從而切斷蠕蟲繼續傳播的途徑，達到遏制蠕蟲傳播的目的。

(四)清除階段

網絡蠕蟲病毒爆發后會留下大量的蠕蟲病毒體，被感染主機的一些設置也會被修改，系統功能受到影響。為恢復信息系統的正常運轉，必須對蠕蟲病毒爆發后的受害主機進行修復，主要通過以下方法進行：

1.殺毒軟件清除：通過分析并提取蠕蟲體的特征字符串，加入到殺毒軟件病毒庫中，對受感染主機進行修復。

2.良性蠕蟲對抗：利用網絡蠕蟲主動傳播的特點，編寫相應的蠕蟲清除程序，實現大范圍自動化的蠕蟲清除。這種方法大大的提高了清除蠕蟲的效率。

三、小結

目前，網絡蠕蟲病毒防御技術還不成熟，在與病毒的對抗中，防御還是處于被動狀態。未來蠕蟲病毒攻擊將會呈現多種技術結合，復雜度和攻擊強度增加，傳播更加快速等趨勢。開發切實有效的蠕蟲防御技術，尤其是網絡蠕蟲的早期檢測技術，是解決網絡蠕蟲病毒防御問題的關鍵，需要繼續不斷的探索。