计算机蠕虫病毒及其防范
1 计算机蠕虫病毒的定义及发展
1.1 计算机蠕虫病毒的定义
计算机蠕虫是无须计算机使用者干预即可运行的独立程序,它通过不停的获得网络中存在漏洞的计算机上的部分或全部控制权来进行传播.计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。计算机蠕虫和计算机病毒都具有传染性和复制功能,这两个主要特性上的一致导致二者之间是非常难区分的,尤其是近年来,计算机蠕虫、计算机病毒和木马程序之间的界限已不在明显,三者相互渗透,优势互补。一方面越来越多的病毒采取了部分蠕虫的技术另一方面具有破坏性的蠕虫也采取了部分病毒和木马技术。例如,N i m d a 蠕虫病毒和CodeRed 蠕虫病毒即以蠕虫的传播方式去感染别的计算机,影响网络,又以病毒的方式在被感染计算机上执行恶意程序,破坏被感染计算机上的文件,最后利用木马程序在被感染主机上设置后门,供其他蠕虫病毒利用。
综上所述,计算机蠕虫病毒是一种融合计算机蠕虫、计算机病毒和木马技术的新技术,它无须计算机使用者干预即可运行,通过大规模的扫描获取网络中存在漏洞的计算机的控制权进行复制和传播,在已感染的计算机中设置后门或执行恶意代码破坏计算机系统或信息。
1.2 计算机蠕虫病毒的破坏
从1988 年首例蠕虫(Morris)事件以来,统计到的Internet 安全威胁事件每年以指数增长,近年来的增长态势变得的尤为迅猛。以美国为例,其每年因为网络安全造成的经济损失超过170亿美元。蠕虫的大规模爆发,使网络大面积瘫,给金融系统和政府部门造成的直接经济损失不计其数;给整个世界经济也造成很大损失;另外,蠕虫病毒还能破坏计算机上的文件,泄漏机密信息。因此,网络信息安全问题得到了世界各国的重视。
1.3 计算机蠕虫病毒的发展趋势
从Morris 蠕虫到现在基于P2P 的QQ蠕虫,蠕虫病毒总是随着网络技术的进步而发展,2000 年至今,出现的蠕虫病毒数不胜数(redcode Ⅰ,nimda 等等),同时Internet 上每天都充斥着大量的蠕虫病毒。蠕虫病毒随着网络安全技术的进步也出现了新的变化,①传播多样化。蠕虫病毒不再是以仅有的传播方式进行传播,它利用伪装等更多的技术传播。利用伪装技术,蠕虫病毒藏身于一些合法的制作工具或著名公司的系统工具,利用这些工具制作的软件包就包含了蠕虫病毒,从而达到传染目的。②智能化。蠕虫病毒已不再需要人为的动作进行传播,它结合人工智能技术,蠕虫的传播,感染,破坏都是自动完成,而且朝着反病毒软件的方向发展。
2 计算机蠕虫病毒的传播机制及危害
2.1 计算机蠕虫病毒的传播方式
已知道蠕虫病毒的传播方式大致可以分为:①邮件。当今社会,e-mail 是人们交往和工作最主要的方式之一,也是网络应用最为频繁的服务之一,因此蠕虫病毒也借用该手段进行传播,例如I-Worm。②局域网。大部分的网络安全时间都是来自与局域望内部,蠕虫病毒在传播过程中也首先在本地局域网中自动搜索可写目录直接修改感染机器的注册表,使得能自动运行。③系统漏洞。大部分的蠕虫病毒都是针对系统漏洞进行大规模的传播、感染。例如Nimda红色、代码等。
2.2 计算机蠕虫病毒的功能结构模型
一般地,蠕虫病毒的功能模块可以分为两部分:基本功能模块和扩展功能模块。其中,基本功能模块分为5 个部分:搜索模块、攻击模块、传输模块、信息收集模块和繁殖模块;扩展功能模块包括4 个部分:通信模块、隐藏模块、破坏模块和控制模块。该模型体现了当前蠕虫病毒的功能结构,其中实现了基本功能模块的蠕虫病毒能够很好的完成传播复制流程,而包含扩展功能模块的蠕虫病毒则有更强的生存能力和破坏能力。
2.3 计算机蠕虫病毒的功能结构模型分析
首先,计算机蠕虫病毒的基本功能即传播复制过程可以分为四个阶段:系统扫描、进行攻击、现场处理、自我复制,如图一所示。网络上已感染计算机蠕虫病毒的主机通过特定的扫描机制(例如:选择性随机扫描、顺序扫描等)去寻找存在漏洞的主机,当扫描到有漏洞的计算机系统后,进行攻击,攻击部分主要完成计算机蠕虫病毒主体的迁移工作以及对计算机系统信息和文件的破坏;计算机蠕虫病毒进入系统后,要做现场处理工作,例如修改系统日志、信息收集和自我隐藏等;最后一步是自我复制,生成多个副本重复上述流程。其次,计算机蠕虫病毒的扩展功能主要是实现计算机蠕虫病毒的攻击破坏能力,不同的蠕虫病毒其基本功能都基本上一致,但是他们的扩展功能却不尽相同。
要认识、探测和防御蠕虫病毒就要充分了解蠕虫病毒的行为特征,这里我门把蠕虫病毒的行为特征归纳为四个方面:主动攻击、利用漏洞、行踪隐藏和反复感染。计算机蠕虫病毒被释放以后,从搜索漏洞到利用漏洞进行系统攻击及复制副本,整个流程都是由蠕虫病毒自身主动完成。计算机蠕虫病毒在搜索漏洞时将发起大量的连接以判断计算机是否存在、特定的应用服务是否存在、漏洞是否存在等等。进入系统后,蠕虫病毒通过修改系统日志隐藏自己,最后复制蠕虫病毒副本,下载和运行恶意代码。被感染主机作为一个新的攻击源去攻击别的计算机。
2.4 计算机蠕虫病毒的危害
计算机蠕虫病毒的危害是巨大的,主要体现在以下五个方面:①消耗被感染主机的系统资源以及破坏系统文件和信息资源;②消耗网络上的带宽,造成网络阻塞甚至网络瘫痪;③消耗网络设备系统资源,如路由器和交换机;④降低被感染主机和网络设备的系统性能;⑤与黑客技术融合,造成更大的安全隐患。例如泄露机密信息,特别是金融和政府的信息。
3 计算机蠕虫病毒的探测和防御技术
计算机蠕虫病毒已经成为网络上极大的安全隐患,由于计算机蠕虫病毒具有相当的复杂性和破坏性,因此,计算机蠕虫病毒的探测和防御就显得格外重要。目前还没有那种防御措施能有效的探测和防御所有的计算机蠕虫病毒,特别是新型的未知的计算机蠕虫病毒。在网络中,应用最广泛的计算机蠕虫病毒的探测和防御技术是防火墙技术,IDS 技术(Intrusiondetectionsystems),Snmp 技术和netflow 技术等。
3.1 采用防火墙技术
通过配置网络或单机防火墙软件,禁止除服务端口外的其他端口,这将切断计算机蠕虫病毒的传输通道和通信通道。过滤含有某个计算机蠕虫病毒特征的报文,屏蔽已被感染的主机对保护网络的访问等。由于蠕虫病毒的行为同一般的网络应用有很大的相似性,因此防火墙技术不可避免的导致某些正常的网络应用也被封堵。
3.2 采用IDS 技术
IDS 主要用来检测DDOS 攻击和计算机蠕虫病毒。IDS分为两种:基于特征模型的IDS 和基于异常模型的IDS。基于特征模型的IDS 通过分析已知计算机蠕虫病毒的发病机制和特征,构建相应的数据模型的数据库。IDS 在所监控的网络中收集计算机和网络活动的数据以及他们之间的连接,将这些数据构建成网络活动行为的特征与数据库中的数据模型相匹配,检查计算机蠕虫病毒是否存在。这种技术通过模型匹配对已知蠕虫病毒能有效的防治,但是却不能探测和防御新型的未知的计算机蠕虫病毒。另外,基于异常模型的IDS 通过监视不正常的通信量变化探测新的攻击,这里的通信量的改变是指当前的通信量的度量值和它正常条件下的通信量的阀值的差值。由于确定一个适当的包含所有正常通信因素的阀值是相当的困难,因而基于异常模型的IDS 有较高的报错率。
3.3 采用SNMP+MRTG 技术
简单网络管理协议(SimpleNetworkManagementProtocol)是一种应用层协议,是TCP/IP 协议族的一部分,它使网络设备间能方便地交换管理信息。SNMP 能够让网络管理员管理网络的性能,发现和解决网络问题及进行网络的扩充。MRTG(MultiRouterTrafficGrapher,MRTG)就是基于SNMP的典型网络流量统计分析工具。它耗用的系统资源很小,它通过SNMP 协议从设备得到其流量信息,并将流量负载以包含JPEG 格式图形的HTML 文档的方式显示给用户,以非常直观的形式显示流量负载。当蠕虫病毒爆发时,在MRTG 上可以直观的看出网络流量的增加,结合MRTG 反馈的信息,网络管理者可以及时采取补救措施,防止蠕虫病毒造成更大的危害。该技术也是目前局域网管理中应用最广泛的技术之一。
3.4 采用NETFLOW 技术
由于现在蠕虫病毒的传播速度越来越快,爆发周期越来越短,危害也越来越大,因此,如何在蠕虫病毒发作早期将其检测出来成了减轻蠕虫病毒危害的关键。利用蠕虫病毒的行为特征将NetFlow 技术应用到蠕虫病毒的早期检测上是一种可行的技术路线。NetFlow 是Cisco 公司在其IOS(网络操作系统) 交换体系中引入的一种新的交换技术。NetFlow 服务可在最大限度减小对路由器/ 交换机性能影响的前提下提供详细的数据流统计信息.作为其交换功能的一部分,它能够提供包括用户、协议、端口和服务类型等统计信息。由于蠕虫传播过程中会发起大量的扫描连接,通过工具统计分析NetFlow 数据流,可以很容易地发现蠕虫的扫描行为,进而采取相应措施,隔断其感染途径。例如flowtools、Cflowd 工具。
3.5 其他技术
除了上述技术外,计算机蠕虫病毒的防范技术还很多。例如:美国安全专家提议的基于CCDC(Cyber CentersforDisease Control)的蠕虫检测、防御和阻断以及华盛顿大学应用研究室的JohnW.Lockwood 等人提出的一种采用可编程逻辑设备对抗计算机蠕虫病毒的防范系统等。
4企业和个人用户防范蠕虫病毒措施
4.1企业防范蠕虫病毒措施
当前,企业网络主要应用于文件和打印服务共享,办公自动化系统,企业业务(MIS)系统、Internet应用等领域。网络具有便利信息交换特性,蠕虫病毒也可以充分利用网络快速传播达到其阻塞网络目的。企业在充分地利用网络进行业务处理时,就不得不考虑企业的病毒防范问题,以保证关系企业命运的业务数据完整不被破坏。企业防治蠕虫病毒的时候需要考虑几个问题:病毒的查杀能力,病毒的监控能力,新病毒的反应能力。而企业防毒的一个重要方面是是管理和策略,推荐的
企业防范蠕虫病毒的策略如下:
加强网络管理员安全管理水平,提高安全意识。由于蠕虫病毒利用的是系统漏洞进行攻击,所以需要在第一时间内保持系统和应用软件的安全性,保持各种操作系统和应用软件的更新。由于各种漏洞的出现,使得安全不在是一种一劳永逸的事。而作为企业用户而言,所经受攻击的危险也是越来越大,要求企业的管理水平和安全意识也越来越高。
建立病毒检测系统,能够在第一时间内检测到网络异常和病毒攻击。
建立应急响应系统,将风险减少到最小。由于蠕虫病毒爆发的突然性,可能在病毒发现的时候已经蔓延到了整个网络。所以在突发情况下,建立一个紧急响应系统是很有必要的。在病毒爆发的第一时间即能提供解决方案。
建立灾难备份系统。对于数据库和数据系统,必须采用定期备份多机备份措施,防止意外灾难下的数据丢失。
对于局域网而言,可以采用以下一些主要手段:在因特网接入口处安装防火墙式防杀计算机病毒产品,将病毒隔离在局域网之外。对邮件服务器进行监控,防止带毒邮件进行传播。对局域网用户进行安全培训,建立局域网内部的升级系统。包括各种操作系统的补丁升级,各种常用的应用软件升级,各种杀毒软件病毒库的升级等等。
4.2个人用户防范蠕虫病毒措施
网络蠕虫病毒对个人用户的攻击主要还是通过社会工程学,而不是利用系统漏洞。所以防范此类病毒需要注意以下几点:
购合适的杀毒软件。网络蠕虫病毒的发展已经使传统的杀毒软件的“文件级实时监控系统”落伍,杀毒软件必须向内存实时监控和邮件实时监控发展。另外面对防不胜防的网页病毒,也使得用户对杀毒软件的要求越来越高。在杀毒软件市场上,赛门铁克公司的Norton系列杀毒软件在全球具有很大的比例。经过多项测试,Norton杀毒系列软件脚本和蠕虫阻拦技术能够阻挡大部分电子邮件病毒,而且对网页病毒也有相当强的防范能力。目前国内的杀毒软件也具有了相当高的水平。像瑞星、KV系列等杀毒软件,在杀毒软件的同时整合了防火强功能,从而对蠕虫兼木马程序有很大克制作用。
经常升级病毒库,杀毒软件对病毒的查杀是以病毒的特征码为依据的,而病毒每天都层出不穷,尤其是在网络时代,蠕虫病毒的传播速度,变种多,所以必须随时更新病毒库,以便能够查杀最新的病毒。
提高防杀毒意识,不要轻易去点击陌生的站点,有可能里面就含有恶意代码。当运行IE时,点击“工具→Internet选项→安全→Internet区域的安全级别”,把安全级别由“中”改为“高”。因为这一类网页主要是含有恶意代码的ActiveX或Applet、JavaScript的网页
文件,所以在IE设置中将ActiveX插件和控件、Java脚本等全部禁止就可以大大减少被网页恶意代码感染的几率。具体方案是:在IE窗口中点击“工具”→“Internet选项”,在弹出的对话框中选择“安全”标签,再点击“自定义级别”按钮,就会弹出“安全设置”对话框,把其中所有ActiveX插件和控件以及与Java相关全部选项选择“禁用”。但是,这样做在以后的网页浏览过程中有可能会使一些正常应用ActiveX的网站无法浏览。
不随意查看陌生邮件%尤其是带有附件的邮件,由于有的病毒邮件能够利用IE和Outlook的漏洞自动执行,所以计算机用户需要升级IE和Outlook程序,及常用的其他应用程序。
5 结论
从计算机蠕虫病毒的发展来看,计算机蠕虫病毒的攻击和防御都在发展,未来的计算机蠕虫病毒将会更智能化,复杂化,对网络的影响和危害将长期存在;而计算机蠕虫病毒的防御却要相对困难,究其原因有以下几点:①计算机蠕虫病毒融合了计算机蠕虫和计算机病毒的技术,增加了蠕虫病毒的复杂性,因而增加了防御的难度;②大部分计算机蠕虫病毒感染整个Internet 的时间不到半个小时(如:Nimda,Slammer 等),在这么短的时间内,很难对一种未知蠕虫病毒做出正确探测和防御;③计算机蠕虫病毒采用更高级的技术,,增加了蠕虫病毒的智能性,使防御工作更加困难。④要重点研究计算机蠕虫病毒的早期探测技术,尽量减轻蠕虫病毒对网络的危害。
计算机蠕虫病毒作为一种互联网高速发展下的一种新型病毒,必将对网络产生巨大的危险。 在防御上,已经不再是由单独的杀毒厂商所能够解决,而需要网络安全公司,系统厂商,防病毒厂商及用户共同参与,构筑全方位的防范体系。蠕虫和黑客技术的结合,使得对
蠕虫的分析,检测和防范具有一定的难度,同时对蠕虫的网络传播性,网络流量特性建立数学模型也是有待研究的工作。所以说,现在的计算机蠕虫病毒融合了很多高难度的技术和智能化的功能,因此计算机蠕虫病毒的防御和对抗任重而道远。
6 参考文献
(1)马建峰,刘渊博.计算机系统安全[M].西安电子技大学出版社.2005.
(2)郑辉.Internet蠕虫研究.博士学位论文[D].天津市南开大学.2003.
(3)杨军.计算机蠕虫病毒的解析与防范[D].2005.
(4)Cisco Systems 公司.Cisco IOS 交换服务[M].北京:电子工业出版社.1999.
(5)Mike Norton,Clinton Magge.网络安全手册[M].清华大学出版社.2005.
