蠕蟲病毒的分析與防范

摘要：蠕蟲病毒給網(wǎng)絡環(huán)境帶來了巨大的災難。日益嚴重的蠕蟲問題，不僅給用戶造成了巨大的損失，而且嚴重威脅著國家的信息安全。蠕蟲的檢測和防范成為當前網(wǎng)絡安全研究的熱點。

關(guān)鍵詞：蠕蟲;病毒;網(wǎng)絡安全

1.蠕蟲病毒簡介

蠕蟲病毒與一般病毒不同。蠕蟲病毒不需要將其自身附著到宿主程序，是一種獨立的智能程序。它利用網(wǎng)絡進行傳播并能夠自我復制，爆發(fā)時消耗大量的系統(tǒng)資源，使其他程序運行減慢甚至停止，最后導致系統(tǒng)和網(wǎng)絡癱瘓。

“熊貓燒香”就是一個典型的感染型蠕蟲病毒，其感染行為主要包括：復制自身到系統(tǒng)目錄;創(chuàng)建啟動項;在各分區(qū)根目錄生成病毒副本;修改“顯示所有文件和文件夾”設置;嘗試關(guān)閉注冊表編輯器、系統(tǒng)配置實用程序、Windows任務管理器、殺毒軟件等。

2.蠕蟲的檢測技術(shù)

（1）基于蠕蟲特征碼的檢測技術(shù)

首先將一些蠕蟲惡意代碼的特征值收集起來，然后逐個創(chuàng)建每一個特征值的特征碼規(guī)則庫。檢測時，利用在特征碼和特征碼規(guī)則庫中的具體規(guī)則與要檢測的網(wǎng)絡行為進行匹配，如果存在異常就會匹配成功，對于這樣的異常應當給出警告或者拒絕訪問。

這樣的檢測方式有一定的限制，如果有些蠕蟲病毒在規(guī)則庫中沒有匹配成功，就無法檢測出蠕蟲。

（2）基于蠕蟲行為特征的檢測技術(shù)

Bakos提出了一種蠕蟲行為特征檢測技術(shù)，利用了ICMP目標主機不可達報文來判斷識辨蠕蟲的隨機掃描行為，并通過信息收集點來收集網(wǎng)絡中由路由器產(chǎn)生的這種不可達報文信息，然后統(tǒng)計消息的個數(shù)，并和給定的閾值進行比較，以此判斷蠕蟲是否有傳播行為。但是這種方法中如果路由器個數(shù)較少，那么收集到的報文信息數(shù)就會較少，會影響到判斷的準確性

（3）基于貝葉斯的檢測技術(shù)

在網(wǎng)絡傳播蠕蟲的時候，蠕蟲會先向網(wǎng)絡中有漏洞的目標主機發(fā)送大量連接請求數(shù)據(jù)包，用這種方法就可以判斷出目標主機是否開機，還能判斷出這些目標主機是否存在漏洞，由此判斷是否會被感染。

3.蠕蟲病毒的防范

3.1單位用戶防范措施

（1）提高網(wǎng)絡管理員的安全意識和管理水平。蠕蟲病毒的行為特性包括利用系統(tǒng)漏洞對網(wǎng)絡進行攻擊，所以必須時刻保持應用軟件和網(wǎng)絡系統(tǒng)的安全性，對操作系統(tǒng)和應用程序進行及時地更新和漏洞修復，不給蠕蟲病毒入侵網(wǎng)絡的機會。

（2）實時監(jiān)控網(wǎng)絡中的蠕蟲數(shù)據(jù)包，一旦發(fā)現(xiàn)網(wǎng)絡系統(tǒng)受到蠕蟲攻擊后馬上采取相應的隔離控制手段保護系統(tǒng)，將病毒清除防止其繼續(xù)擴大。

（3）蠕蟲病毒具有不可預測性和突然爆發(fā)性，在發(fā)現(xiàn)蠕蟲病毒已經(jīng)爆發(fā)并且感染整個網(wǎng)絡時，就需要采取緊急措施盡量減少損失。

（4）做好網(wǎng)絡系統(tǒng)數(shù)據(jù)備份。在系統(tǒng)受到感染并且無法恢復的時候，備份系統(tǒng)可以把數(shù)據(jù)進行恢復，盡量減少經(jīng)濟損失。

（5）在局域網(wǎng)入口處安裝防火墻和殺毒軟件，不給蠕蟲病毒入侵提供通道。同時還需要對員工進行教育安全培訓，對一些用戶操作進行限制，監(jiān)控郵件服務器，避免蠕蟲病毒被攜帶進入，升級修復網(wǎng)絡內(nèi)部的操作系統(tǒng)，保證單位內(nèi)部的網(wǎng)絡安全不受侵害。

3.2個人用戶防范措施

（1）安裝殺毒軟件和防火墻。蠕蟲病毒的發(fā)展非常迅速。單純的文件級實時監(jiān)控已經(jīng)失效，需要增加內(nèi)存實時監(jiān)控和郵件實時監(jiān)控。

（2）及時升級殺毒軟件的病毒庫。殺毒軟件依靠病毒數(shù)據(jù)庫中的病毒特征碼進行病毒查殺。要應對飛快更新和傳播的蠕蟲病毒，就需要及時更新病毒數(shù)據(jù)庫，保證殺毒軟件有最新的查殺能力。

（3）用戶不要隨便打開陌生的網(wǎng)站。同時提高個人的網(wǎng)絡安全意識，將網(wǎng)絡瀏覽器的安全級別設置為最高，禁止運行ActiveX和Java的腳本，以此避免計算機被惡意代碼攻擊感染。

（4）蠕蟲病毒一般都具有自動發(fā)送的功能，會給用戶發(fā)送攜帶蠕蟲的郵件。在用戶不知情的情況下打開這類郵件就會給蠕蟲病毒可乘之機。所以用戶要經(jīng)常保持最新版本的網(wǎng)絡瀏覽器和補丁程序，禁止打開陌生的郵件。如果用戶在發(fā)現(xiàn)郵件存在異常而且沒有附件的時候應該仔細查看郵件的詳細信息里面是不是含有隱藏的病毒。

4.總結(jié)

蠕蟲病毒具有較強的獨立性、利用漏洞主動攻擊、傳播更快更廣、更好的偽裝和隱藏方式、技術(shù)更加先進等特點。除了運用網(wǎng)絡防火墻、機密文件加密等技術(shù)手段外，還應該采取多種防范措施構(gòu)筑全方位的防范體系。蠕蟲病毒的防治不僅需要安全的網(wǎng)絡環(huán)境，更需要用戶擁有很好的防范意識，將蠕蟲病毒抹殺在搖籃里。

參考文獻：

[1]賴英旭，鐘瑋.計算機病毒與防范技術(shù)[M].北京：清華大學出版社，2015.

[2]張仁斌，李鋼.計算機病毒與反病毒技術(shù)[M].北京：清華大學出版社，2012.

作者簡介：

朱慧爽（1981—），女，山東莘縣人，濰坊學院信息與控制工程學院講師。