馬斐

(國家能源集團(tuán)山東石橫熱電有限公司 山東泰安 271621)

信息時(shí)代背景下，網(wǎng)絡(luò)化、信息化趨勢愈加明顯，在社會生產(chǎn)生活中所起到的作用愈加顯著。計(jì)算機(jī)網(wǎng)絡(luò)為代表的現(xiàn)代化信息技術(shù)飛快發(fā)展，打破了時(shí)空壁壘限制，在加快信息傳播速度和范圍的同時(shí)，有效提升信息利用率。計(jì)算機(jī)網(wǎng)絡(luò)可以促進(jìn)國家機(jī)關(guān)工作效率提升，也可以為市場上的企業(yè)創(chuàng)造更大的經(jīng)濟(jì)效益，但由于網(wǎng)絡(luò)型病毒傳播速度快、范圍廣，在無形中威脅著計(jì)算機(jī)網(wǎng)絡(luò)安全。所以，為了有效抵御病毒入侵，應(yīng)大力發(fā)展計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)，在摸索病毒活動規(guī)律和運(yùn)作過程基礎(chǔ)上，才能因地制宜，選擇合理有效的安全技術(shù)進(jìn)行防范，維護(hù)計(jì)算機(jī)網(wǎng)絡(luò)運(yùn)行安全。

1 網(wǎng)絡(luò)型病毒的定義和特點(diǎn)

1.1 網(wǎng)絡(luò)型病毒的定義

網(wǎng)絡(luò)型病毒是計(jì)算機(jī)病毒中具有代表性的一種，盡管人們對網(wǎng)絡(luò)型病毒的認(rèn)知水平逐步提升，但是對其定義仍然存在一定分歧。大致可以歸結(jié)為兩種觀點(diǎn)：一種是計(jì)算機(jī)網(wǎng)絡(luò)型病毒主要是通過計(jì)算機(jī)網(wǎng)絡(luò)結(jié)構(gòu)框架、網(wǎng)絡(luò)協(xié)議體系來傳播。因此，網(wǎng)絡(luò)型病毒僅僅是局限于計(jì)算機(jī)網(wǎng)絡(luò)范圍內(nèi)，攻擊對象時(shí)計(jì)算機(jī)網(wǎng)絡(luò)內(nèi)部的用戶[1]；另一種觀點(diǎn)與之相比更加廣泛，清掉病毒破壞的對象不僅僅局限于網(wǎng)絡(luò)或是網(wǎng)絡(luò)內(nèi)用戶，只要編寫的病毒程序都可以在計(jì)算機(jī)網(wǎng)絡(luò)上成功傳播的病毒，均屬于計(jì)算機(jī)網(wǎng)絡(luò)型病毒。

1.2 網(wǎng)絡(luò)型病毒的特點(diǎn)

隨著時(shí)代進(jìn)步和發(fā)展，計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)也在不斷推陳出新，進(jìn)入新的發(fā)展階段，相應(yīng)的網(wǎng)絡(luò)型病毒也發(fā)生了翻天覆地的變化，其特點(diǎn)變得更加多樣化。

1.2.1 病毒傳播更加迅速、廣泛，傳播途徑多樣化

由于網(wǎng)絡(luò)型病毒自身特點(diǎn)，依托于互聯(lián)網(wǎng)郵件、通信接口和網(wǎng)絡(luò)端口等途徑傳播，相較于傳統(tǒng)磁介質(zhì)傳播渠道而言有著本質(zhì)差異。攻擊對象也不再局限于單一主機(jī)，而是擴(kuò)展到移動客戶端、工作站以及無線網(wǎng)絡(luò)覆蓋的所有設(shè)備[2]。

1.2.2 病毒清理難度大

信息時(shí)代背景下，網(wǎng)絡(luò)已經(jīng)滲透人們工作、學(xué)習(xí)和生活各個(gè)角落，僅憑一個(gè)網(wǎng)絡(luò)端口，即可感染所有連接的計(jì)算機(jī)設(shè)備，借由網(wǎng)絡(luò)提供計(jì)算服務(wù)的端口和設(shè)備更進(jìn)一步傳播蔓延。因此，新型的網(wǎng)絡(luò)型病毒徹底清理難度較大。

1.2.3 病毒編寫方式多樣化

目前，病毒編寫語言工具多樣，包括C語言、Delphi、ASM 匯編語言、VC++、C++、VBScript 以及JavaScript 等。為了躲避計(jì)算機(jī)殺毒軟件搜索，很多新型網(wǎng)絡(luò)型病毒基于復(fù)合編程語言來編寫，可以實(shí)現(xiàn)快速復(fù)制和傳播。而且還有部分不法運(yùn)營商為了提升病毒出現(xiàn)速度，花費(fèi)高價(jià)編寫病毒程度，造成病毒的大肆傳播[3]。

1.2.4 病毒攜帶方式多樣化

網(wǎng)絡(luò)型病毒可以依附在各種應(yīng)用程序或是文件中，便于大范圍傳播。攜帶病毒的除了網(wǎng)絡(luò)程序或是網(wǎng)頁下載的文件以外，還可以是電子郵件、電子公告欄等。

1.2.5 病毒趨于智能化和隱蔽化

計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)升級同時(shí)，網(wǎng)絡(luò)型病毒也在不斷更新，尤其是目前自我防御、加密隱身和跟蹤型網(wǎng)絡(luò)安全技術(shù)廣泛應(yīng)用下，導(dǎo)致出現(xiàn)的很多新型網(wǎng)絡(luò)病毒更加隱蔽化、智能化，為計(jì)算機(jī)網(wǎng)絡(luò)安全帶來了更大的威脅[4]。對部分新型病毒，相較于傳統(tǒng)網(wǎng)絡(luò)型病毒而言有著顯著差異，新型的網(wǎng)絡(luò)型病毒將多種病毒特性，不僅破壞性增強(qiáng)，清理難度也大大增加。

1.2.6 病毒攻擊對象更加精準(zhǔn)化

對一些不法分子，網(wǎng)絡(luò)型病毒已經(jīng)成為一種武器，具有精準(zhǔn)攻擊目標(biāo)的特點(diǎn)。網(wǎng)絡(luò)型病毒可能會針對性攻擊經(jīng)濟(jì)、政治安全相關(guān)信息，導(dǎo)致很多涉及重大商業(yè)機(jī)密、國家安全的重要信息被竊取，破壞社會秩序和國家穩(wěn)定。

2 網(wǎng)絡(luò)型病毒的分類及危害

網(wǎng)絡(luò)型病毒具有極強(qiáng)破壞性，就目前常見的網(wǎng)絡(luò)型病毒來看，主要有蠕蟲病毒、木馬病毒這幾種，如果是按照傳播途徑劃分，則包括漏洞型病毒和郵件病毒。

2.1 蠕蟲病毒

對于蠕蟲病毒，主要是依托于htm文件和MIRC腳本傳播，在感染計(jì)算機(jī)后自動尋找本地驅(qū)動器，搜索目錄可以感染文件，病毒代碼會直接覆蓋原本的文件內(nèi)容，文件擴(kuò)展名也會調(diào)整為vbs。而且蠕蟲病毒會占據(jù)大量的計(jì)算機(jī)資源，因此計(jì)算機(jī)中了蠕蟲病毒的一個(gè)典型特點(diǎn)就是運(yùn)行速度變慢，卡頓現(xiàn)象嚴(yán)重。比如：尼姆達(dá)是一種典型的蠕蟲病毒，郵件是傳播主要途徑[5]?；卩]件擴(kuò)展類型（MIME）信息存在，包含一個(gè)text/html類型的空文本以及一個(gè)audio/x2wav類型的可執(zhí)行文件進(jìn)行傳播。借助IIS WEB提供計(jì)算服務(wù)的設(shè)備傳播，蠕蟲病毒會啟動一個(gè)TFTP 提供計(jì)算服務(wù)的設(shè)備，實(shí)現(xiàn)UDP/69端口監(jiān)聽。確定供給IP地址后，Nimda開始掃描IP 地址。對于尼姆達(dá)病毒而言，會先掃描/scripts/Root.exe 后門程序，基于這個(gè)程序來執(zhí)行命令，如以下代碼。

此種方式主要是為了傳播本機(jī)IP地址的admin.dll文件，而這即是病毒，是擴(kuò)展名轉(zhuǎn)換為dll，病毒控制權(quán)限進(jìn)一步提升。指令下達(dá)成功后，已經(jīng)傳播蠕蟲病毒到攻擊主機(jī)上，然后激活運(yùn)行蠕蟲病毒，代碼如下。

請求激活運(yùn)行蠕蟲病毒，這時(shí)的蠕蟲病毒則是按照管理員權(quán)限運(yùn)行，可以有效躲避殺毒軟件的掃描查殺。

如果是通過網(wǎng)頁傳播，對于已經(jīng)感染蠕蟲病毒的服務(wù)器，Nimda會修改www網(wǎng)頁文件，用戶只要瀏覽該網(wǎng)站即可被感染。蠕蟲通過Admin.dll運(yùn)行，生成新程序Mmc.exe，在計(jì)算機(jī)系統(tǒng)硬盤中自動搜索后綴名是*.html，*.asp，*.htm，文件名則是Readme、Main、Index 以及Default 的文件。發(fā)現(xiàn)此類文件后，會在該目錄下創(chuàng)建格式為Readme.eml 的文件，其中包含了蠕蟲拷貝，在文件末位增加如下代碼。

這樣用戶在瀏覽有病毒的網(wǎng)頁時(shí)，借助IE瀏覽器異常處理MIME 頭軟硬件和協(xié)議具體實(shí)現(xiàn)上的缺陷，傳播蠕蟲病毒到新的客戶端上。由此看來，如果蠕蟲病毒大范圍傳播蔓延，將導(dǎo)致整個(gè)系統(tǒng)癱瘓、崩潰。而且此種病毒查殺難度較大，網(wǎng)絡(luò)環(huán)境下只要有一臺主機(jī)中的病毒清理不干凈，那么病毒將很快會重新傳播蔓延[6]。

2.2 木馬病毒

木馬病毒包含了服務(wù)器和客戶端兩個(gè)部分，可以將其歸結(jié)為一種后門程序。通常情況下，木馬病毒是黑客用于入侵、攻擊的一種工具，在用戶不知情下來盜取、篡改重要信息。即便木馬程序自身無法自我復(fù)制，但用戶計(jì)算機(jī)設(shè)備運(yùn)行木馬程序后，黑客則會獲得掌控計(jì)算機(jī)控制權(quán)，此種情況下將帶來嚴(yán)重的破壞，因此黑客多是將木馬程序植入服務(wù)器上，被用戶不經(jīng)意間下載下來。

2.3 郵件病毒

對于郵件病毒而言，可以理解是常規(guī)病毒，通過郵件形式來傳播，主要是由于電子郵件是人們交流溝通，以及企業(yè)辦公的重要工具手段，如love you 病毒、求職信病毒以及庫爾尼科娃病毒等。此類病毒，通過微軟公司outlook 客戶端可編程特點(diǎn)，用戶在打開郵件后，在病毒驅(qū)使下自動發(fā)送帶病毒的郵件給通信錄中的用戶，傳播速度較快[7]。

3 基于網(wǎng)絡(luò)型病毒的計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)構(gòu)建

3.1 防火墻技術(shù)

作為一項(xiàng)代表性的計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)，防火墻技術(shù)在實(shí)際應(yīng)用中，主要是用于隔離開危險(xiǎn)區(qū)域和安全區(qū)域，增強(qiáng)計(jì)算機(jī)網(wǎng)絡(luò)安全性。防火墻可以看作是網(wǎng)絡(luò)過濾器，具有較強(qiáng)的抗病毒沖擊能力，結(jié)合用戶設(shè)定的標(biāo)準(zhǔn)來篩選進(jìn)出網(wǎng)絡(luò)的信息，解譯有效抵御病毒信息入侵計(jì)算機(jī)設(shè)備端口，實(shí)現(xiàn)內(nèi)部網(wǎng)絡(luò)和公共網(wǎng)絡(luò)可靠連接，阻隔病毒在外部網(wǎng)絡(luò)[8]。伴隨著防火墻技術(shù)不斷推陳出新，技術(shù)水平得到了大幅度提升，并且得到了廣泛應(yīng)用。防火墻技術(shù)是依托于網(wǎng)絡(luò)，對特定地址和服務(wù)過濾篩選，并且對傳輸?shù)臄?shù)據(jù)源信息進(jìn)行必要檢測，保證數(shù)據(jù)包通信效率同時(shí)，掃描查殺常見的病毒載體。防火墻技術(shù)除了作用在網(wǎng)管技術(shù)和信息過濾層面，其中還包含了身份驗(yàn)證以及各類加密技術(shù)，基于防火墻構(gòu)建VPN網(wǎng)絡(luò)。通過此種方式，可以顯著增強(qiáng)網(wǎng)絡(luò)抗病毒入侵能力?？梢詫⒎阑饓υO(shè)置為不同保護(hù)級別，對于高級別保護(hù)，會禁止某些服務(wù)，如視頻流。目前的網(wǎng)絡(luò)防火墻架構(gòu)是粗顆粒度訪問控制，將內(nèi)部網(wǎng)絡(luò)充當(dāng)一個(gè)邏輯單元進(jìn)行處理。但此種訪問控制機(jī)制無法滿足計(jì)算機(jī)網(wǎng)絡(luò)高層次安全防護(hù)要求。在采用防火墻技術(shù)時(shí)，要重點(diǎn)考慮防火墻功能作用[9]。實(shí)際上，防火墻是無法防護(hù)病毒入侵的，而且數(shù)據(jù)在防火墻之間的更新是一個(gè)技術(shù)難題，延遲大則無法響應(yīng)服務(wù)器的實(shí)時(shí)訪問請求。而且防火墻選擇濾波技術(shù)，會降低網(wǎng)絡(luò)性能50%左右。所以，防火墻技術(shù)是一種復(fù)合型的技術(shù)，結(jié)合了多種先進(jìn)技術(shù)，并非是簡單地隔絕病毒于外部網(wǎng)絡(luò)[10]。

3.2 信息加密技術(shù)

信息加密技術(shù)，是保障計(jì)算機(jī)網(wǎng)絡(luò)信息安全的一個(gè)關(guān)鍵技術(shù)，原理是基于加密算法將明文轉(zhuǎn)換為無法直接讀取的秘文，隔絕非法用戶獲取原始數(shù)據(jù)，以此來增強(qiáng)數(shù)據(jù)信息保密性[11]。在明文和秘文之間相互轉(zhuǎn)化過程，需要密鑰加密或解密。最佳的加密算法，幾乎不會影響到系統(tǒng)性能，具有鮮明的優(yōu)勢。比如：pkzip 具有壓縮和加密數(shù)據(jù)功能；dbms 中的軟件包含加密算法，導(dǎo)致敏感數(shù)據(jù)是無法復(fù)制的，或是獲取用戶賬戶和密碼。置換表是一種較為簡單的加密算法，每個(gè)手段對應(yīng)“置換表”的一個(gè)偏移量，對應(yīng)數(shù)值輸出后為加密文件。無論是加密程序還是解密程序，均需要置換表提供對應(yīng)。實(shí)際上，對于80×86CPU 系列有一個(gè)指令xlat，在硬件上完成加密工作。盡管此種加密算法操作簡單，但如果置換表被對方獲取，則會識破這個(gè)加密方案。

相較于置換表而言，變換數(shù)據(jù)位置也是在計(jì)算機(jī)網(wǎng)絡(luò)安全防護(hù)中的一個(gè)廣泛應(yīng)用的信息加密技術(shù)，但執(zhí)行時(shí)間較多，讀取明文到一個(gè)buffer中，重排序，然后再輸出。解密過程則是相反流程，反向還原數(shù)據(jù)。此種加密算法可以同其他加密算法聯(lián)合使用，這樣可以增加黑客破譯難度。比如：一個(gè)詞，變換字母順序，slient 轉(zhuǎn)化為listen，但仍然是哪些字母，只是順序有所變化。

3.3 入侵檢測技術(shù)

入侵檢測系統(tǒng)，主要是為了抵御網(wǎng)絡(luò)型病毒入侵感染，保護(hù)重要數(shù)據(jù)信息不被盜取、篡改，實(shí)現(xiàn)網(wǎng)絡(luò)活動實(shí)時(shí)監(jiān)測的一種系統(tǒng)?；谌肭謾z測系統(tǒng)，對于網(wǎng)絡(luò)信息可以快速甄別、分析，或是主機(jī)上對用戶審計(jì)分析，并通過集中控制臺檢測和管理。實(shí)際上，入侵檢測系統(tǒng)屬于較為典型的窺探設(shè)備，不與多個(gè)物理網(wǎng)段連接，多數(shù)情況下配備一個(gè)監(jiān)聽端口，不需要轉(zhuǎn)發(fā)任何流量，在網(wǎng)絡(luò)上無聲無息地收集關(guān)注的報(bào)文信息[12]。入侵檢測可以快速檢測異常信息，結(jié)合進(jìn)程、用戶正常狀態(tài)下的特點(diǎn)，建立模型，然后同正常行為模型比較分析，如果偏差大，則說明出現(xiàn)異常。此項(xiàng)技術(shù)可以不需要獲取攻擊特點(diǎn)，對已知的攻擊或是未知的攻擊行為檢測，隨著用戶行為變化，用戶模型也會隨之自動更新。濫用檢測，是結(jié)合已知的攻擊行為特征庫，用戶當(dāng)前行為同特征庫的攻擊簽名依次對比分析，匹配則說明出現(xiàn)了入侵行為。此項(xiàng)入侵檢測技術(shù)精準(zhǔn)度較高，可以識別多類型攻擊行為，第一時(shí)間阻攔攻擊行為。但此項(xiàng)技術(shù)的缺點(diǎn)是面對新出現(xiàn)的攻擊，可能無法檢測攻擊的變形情況，因此需要持續(xù)更新攻擊簽名庫，這樣才能及時(shí)發(fā)現(xiàn)和遏制攻擊行為。

3.4 特征代碼技術(shù)

作為一種傳統(tǒng)的網(wǎng)絡(luò)型病毒防護(hù)技術(shù)，主要是設(shè)立病毒數(shù)據(jù)庫，確定程序功能范圍，并采集目標(biāo)病毒樣本深入分析。綜合分析病毒數(shù)據(jù)庫的病毒代碼，尋找相似代碼的病毒，將總結(jié)的代碼作為檢測目標(biāo)，檢測同時(shí)與病毒庫特征代碼對比分析。掃描檢測文件，同病毒庫代碼對比，檢測計(jì)算機(jī)中的文件是否被病毒感染，相似性達(dá)到一定程度，則說明文件被感染到某種病毒。目前，病毒類型逐漸多樣化，需要病毒數(shù)據(jù)庫隨之更新和完善，但是對于一些隱蔽性較強(qiáng)的病毒，檢測耗費(fèi)時(shí)間長，檢測精度不高。

3.5 安裝殺毒軟件

為了有效抵御網(wǎng)絡(luò)型病毒入侵，用戶在使用搞計(jì)算機(jī)前應(yīng)安裝殺毒軟件，定期查殺病毒，便于及時(shí)發(fā)現(xiàn)潛在病毒，及時(shí)清理干凈，保護(hù)計(jì)算機(jī)內(nèi)部文件安全的同時(shí)，規(guī)避系統(tǒng)運(yùn)行癱瘓。通過安裝殺毒軟件可以實(shí)時(shí)監(jiān)測計(jì)算機(jī)網(wǎng)絡(luò)運(yùn)行情況，也可以采用個(gè)性化措施來隔離重要文件，實(shí)現(xiàn)內(nèi)部重要信息安全防護(hù)。另外，系統(tǒng)要定期更新補(bǔ)丁，及時(shí)彌補(bǔ)計(jì)算機(jī)漏洞，盡可能降低病毒入侵概率，提升計(jì)算機(jī)網(wǎng)絡(luò)安全防護(hù)效果。

4 結(jié)語

綜上所述，網(wǎng)絡(luò)型病毒傳播性和危害性較強(qiáng)，一旦被感染會快速傳播和蔓延，嚴(yán)重情況下導(dǎo)致系統(tǒng)崩潰，重要數(shù)據(jù)信息丟失、被篡改。所以，在掌握網(wǎng)絡(luò)型病毒特征基礎(chǔ)上，尋求合理可靠的計(jì)算機(jī)網(wǎng)絡(luò)安全防護(hù)技術(shù)，實(shí)時(shí)監(jiān)測計(jì)算及運(yùn)行情況，便于有效查殺病毒。