網(wǎng)頁病毒防御系統(tǒng)的設(shè)計

（信息工程大學(xué) 信息工程學(xué)院， 河南 鄭州 450002）

摘 要：隨著網(wǎng)絡(luò)的發(fā)展，作為用戶與網(wǎng)絡(luò)交互的一個平臺，IE的應(yīng)用已經(jīng)非常廣泛。而基于IE傳播的網(wǎng)頁病毒已經(jīng)成為影響網(wǎng)絡(luò)安全的主要問題之一。首先介紹了基于IE傳播的網(wǎng)頁病毒的特點，并與其他木馬病毒的傳播模式進(jìn)行了比較；然后提出了一種針對網(wǎng)頁病毒的防御系統(tǒng)設(shè)計，并將免疫防護(hù)的思想應(yīng)用到病毒檢測系統(tǒng)中，該防御系統(tǒng)的設(shè)計對未來的網(wǎng)頁病毒防御具有一定的參考價值；最后對將來需要進(jìn)一步研究的工作提出了一些建議和設(shè)想。

關(guān)鍵詞：計算機(jī)病毒； 惡意代碼； 網(wǎng)頁病毒； 網(wǎng)頁處理； 免疫

中圖法分類號：TP393.08文獻(xiàn)標(biāo)識碼：A

文章編號：1001-3695(2006)08-0120-03



Design of Web Page Virus Defense System



WEI Jian ping， WEI Qiang， WU Hao

(Institute of Information Engineering， Informationg Engineering University， Zhengzhou Henan 450002， China)

Abstract:With the rapid development of Internet， Internet Explorer has been used by more and more people to communicate with the world. Meantime， Web page virus propagated by IE has become one of the most important network security problem. The paper firstly introduces the characteristics of Web page virus spread by IE and also gives a comparison with other backdoor and Trojan patterns. Then it proposes a design of Web page virus defense system， which uses the immunization technology into the system. The design of the defense system has some value for future reference. At last， the paper contributes some advices and designs for work in the future.

Key words:Computer Virus; Malicious Code; Web Page Virus; Web Page Processing; Immunization

網(wǎng)頁病毒是一種利用軟件或系統(tǒng)操作平臺等的安全漏洞，通過執(zhí)行嵌入在網(wǎng)頁HTML超文本標(biāo)記語言內(nèi)的Java Applet小應(yīng)用程序、JavaScript腳本語言程序、ActiveX軟件部件網(wǎng)絡(luò)交互技術(shù)支持可自動執(zhí)行的代碼程序等，以強(qiáng)行修改用戶操作系統(tǒng)的注冊表設(shè)置及系統(tǒng)實用配置程序，或非法控制系統(tǒng)資源盜取用戶文件，或惡意刪除硬盤文件、格式化硬盤為行為目標(biāo)的非法惡意程序[1]。

隨著Java，Java Script，VB Script等一些新的網(wǎng)頁編程語言的出現(xiàn)， Web網(wǎng)頁的外觀變得更美觀，功能也變得更強(qiáng)大。但是從網(wǎng)絡(luò)安全的角度來看，恰恰是內(nèi)嵌了這些語言編寫的程序的網(wǎng)頁變成了網(wǎng)頁病毒滋生的溫床。當(dāng)用戶訪問一個含有網(wǎng)頁病毒的網(wǎng)站時，用戶的瀏覽器會將這些病毒代碼下載到客戶端并執(zhí)行，其結(jié)果就會造成用戶的系統(tǒng)被網(wǎng)頁病毒感染。

根據(jù)美國國際計算機(jī)安全協(xié)會發(fā)布的病毒疫情調(diào)查報告顯示，網(wǎng)頁病毒出現(xiàn)后數(shù)量發(fā)展迅猛，原因是網(wǎng)頁病毒的編寫難度較低。目前，很多計算機(jī)黑客通過設(shè)置惡意網(wǎng)站，以各種誘餌吸引用戶訪問他們的網(wǎng)站，然后通過網(wǎng)頁中的計算機(jī)病毒和有害代碼侵入用戶的計算機(jī)系統(tǒng)，利用開設(shè)后門或自動發(fā)送郵件等方式盜取計算機(jī)用戶的信息，嚴(yán)重威脅著信息安全[2]。隨著網(wǎng)絡(luò)安全的發(fā)展，網(wǎng)頁病毒對整個網(wǎng)絡(luò)造成的危害越來越得到人們的關(guān)注。

網(wǎng)頁病毒是一種通過網(wǎng)絡(luò)媒介進(jìn)行傳播的病毒，它具有傳播速度快、病毒載體多樣化、破壞力強(qiáng)等特點。隨著網(wǎng)頁瀏覽器使用廣泛性的增強(qiáng)，網(wǎng)頁病毒不但保留了原有的利用用戶系統(tǒng)漏洞進(jìn)行被動傳播的方式，而且衍生出了利用搜索引擎進(jìn)行擴(kuò)散的主動傳播方式[3]。

由于融合了IE漏洞利用技術(shù)及社會工程學(xué)，網(wǎng)頁病毒采用的技術(shù)手段更加多樣化，甚至出現(xiàn)了多態(tài)、變形的病毒體。由于病毒庫的更新滯后于病毒的產(chǎn)生，所以單純地采用殺毒軟件等方法對網(wǎng)頁病毒進(jìn)行防御的傳統(tǒng)方法存在著很大的局限性。對于安全要求比較高的用戶來說，需要有一個積極主動的、融合多種查殺手段的防御系統(tǒng)。為此本文提出了針對網(wǎng)頁病毒的自動防御系統(tǒng)設(shè)計。

1網(wǎng)頁病毒的特點

網(wǎng)頁病毒的特點在于，利用Web網(wǎng)頁作為載體，通過Web網(wǎng)頁在互聯(lián)網(wǎng)絡(luò)中進(jìn)行迅速而廣泛的傳播病毒。網(wǎng)頁病毒通常以建立網(wǎng)頁的文件為宿主，一般感染HTML文件或ASP文件。在這些文件中內(nèi)嵌著具有傳染性或破壞性的Java Applet，Java Script，VB Script或者ActiveX程序[4]。它一般采取趁用戶瀏覽網(wǎng)頁時才對用戶系統(tǒng)進(jìn)行感染傳播的被動傳播方式；也有一些網(wǎng)頁病毒會“搭乘”一些搜索引擎來攻擊存在漏洞的網(wǎng)頁，從而實現(xiàn)主動的傳播。最近出現(xiàn)的一些網(wǎng)頁病毒就能夠被植入到任意的Web頁內(nèi)，因而就產(chǎn)生了一個不同的網(wǎng)頁病毒分發(fā)傳播機(jī)制。所以網(wǎng)頁病毒的新變種具有更大的傳播、破壞威力。

網(wǎng)頁病毒一般可分為傳播模塊、隱藏模塊、功能模塊三大組成部分。傳播模塊的實現(xiàn)機(jī)制往往被用來作為區(qū)別網(wǎng)頁病毒類型的主要依據(jù)[5]。

一般來說，網(wǎng)頁病毒主動傳播是在Web服務(wù)器之間進(jìn)行的，而被動傳播是指Web用戶訪問了含有網(wǎng)頁病毒的Web服務(wù)器而導(dǎo)致Web用戶主機(jī)被感染。目前大多數(shù)網(wǎng)頁病毒在感染W(wǎng)eb服務(wù)器時采用的是主動傳播模式，而Web服務(wù)器一旦被網(wǎng)頁病毒感染之后，當(dāng)Web用戶訪問這些Web服務(wù)器時，Web用戶的系統(tǒng)又有可能被網(wǎng)頁病毒感染。

1．1網(wǎng)頁病毒的主動傳播模式

以北京冠群金辰全球病毒監(jiān)測網(wǎng)捕獲到的一個名為Win32/H4.1852病毒和著名反病毒廠商卡巴斯基實驗室率先監(jiān)測到的名為Santy的蠕蟲為代表，這種具有主動傳播特性的網(wǎng)頁病毒的共同特征是搭乘搜索引擎對Web服務(wù)器和應(yīng)用程序組件的某個漏洞進(jìn)行攻擊。這種網(wǎng)頁病毒采用“掃描—攻擊—復(fù)制”的傳播模式，如圖1所示。

掃描，是對網(wǎng)絡(luò)中存在某特定漏洞的Web服務(wù)器進(jìn)行探測。當(dāng)程序向某臺Web服務(wù)器發(fā)送探測漏洞的信息并收到滿足條件的反饋信息后，就確認(rèn)該主機(jī)為一個可傳播的對象[6]。

攻擊，即通過對可傳播對象的漏洞的利用來獲取該Web服務(wù)器對象主機(jī)的控制權(quán)限(一般為管理員權(quán)限)，通常是獲得一個Shell，對Win2k系統(tǒng)來說就是Cmd.exe，得到這個Shell后就擁有了對整個系統(tǒng)的控制權(quán)。

復(fù)制，當(dāng)具有了對傳播Web服務(wù)器對象主機(jī)的控制權(quán)后，復(fù)制模塊就可以通過本機(jī)和新Web服務(wù)器對象主機(jī)的交互將蠕蟲程序復(fù)制到新主機(jī)并啟動該程序，從而達(dá)到感染該Web服務(wù)器主機(jī)的目的。

1．2傳統(tǒng)網(wǎng)頁病毒的被動傳播模式

傳統(tǒng)的網(wǎng)頁病毒以Web網(wǎng)頁作為載體，通過Web網(wǎng)頁在互聯(lián)網(wǎng)絡(luò)中進(jìn)行迅速而廣泛的病毒傳播。網(wǎng)頁病毒通常以建立網(wǎng)頁的文件為宿主，當(dāng)網(wǎng)頁用戶訪問網(wǎng)頁時對網(wǎng)頁用戶主機(jī)進(jìn)行感染。一般來說，網(wǎng)頁病毒所采用的被動傳播模式為：向Web用戶提供URL地址—Web用戶訪問帶有網(wǎng)頁病毒的網(wǎng)頁—Web用戶計算機(jī)感染病毒，如圖2所示。雖然有時候網(wǎng)頁病毒也會主動發(fā)送病毒郵件進(jìn)行擴(kuò)散，但是感染主機(jī)的方式卻是被動執(zhí)行的。網(wǎng)頁病毒傳播過程如下：

（1）向Web用戶提供URL地址

網(wǎng)頁病毒的制造者會依托一個Web服務(wù)器傳播網(wǎng)頁病毒。最常見的方法是通過論壇、QQ等聊天工具或者郵件等方式向Web用戶提供含有網(wǎng)頁病毒的Web服務(wù)器的URL，以各種誘餌吸引用戶訪問他們的網(wǎng)站，從而達(dá)到入侵Web用戶主機(jī)的目的。

（2）Web用戶訪問被感染的Web服務(wù)器

只有當(dāng)Web用戶訪問被感染的Web服務(wù)器的時候，網(wǎng)頁病毒才有可能實現(xiàn)對Web用戶主機(jī)的入侵。

（3）感染病毒

網(wǎng)頁病毒感染主機(jī)的方式是被動的，只有當(dāng)Web用戶打開URL時，Web服務(wù)器上的病毒才會得以執(zhí)行并且感染該主機(jī)。

1．3網(wǎng)頁病毒的發(fā)展趨勢

（1）種類更模糊

惡意代碼的傳播不單純依賴軟件漏洞或者社會工程中的某一種，而可能是它們的混合，如蠕蟲產(chǎn)生寄生的文件病毒、特洛伊程序、口令竊取程序、后門程序，進(jìn)一步模糊了蠕蟲、病毒和特洛伊的區(qū)別。

（2）混合傳播模式

網(wǎng)頁病毒的傳播模式是主動傳播與被動傳播相結(jié)合的混和傳播模式。

（3）多平臺

多平臺攻擊開始出現(xiàn)，有些惡意代碼對不兼容的平臺都能夠有作用。來自Windows的蠕蟲可以利用Apache的漏洞，而Linux蠕蟲會派生EXE格式的特洛伊。

（4）使用銷售技術(shù)

另外一個趨勢是更多的惡意代碼使用銷售技術(shù)，其目的不僅在于利用受害者的郵箱實現(xiàn)最大數(shù)量的轉(zhuǎn)發(fā)，更重要的是引起受害者的興趣，讓受害者進(jìn)一步對惡意文件進(jìn)行操作，并且使用網(wǎng)絡(luò)探測、電子郵件腳本嵌入和其他不使用附件的技術(shù)來達(dá)到自己的目的。

（5）服務(wù)器和客戶機(jī)同樣遭受攻擊

對網(wǎng)頁病毒來說服務(wù)器和客戶機(jī)的區(qū)別越來越模糊，客戶計算機(jī)和服務(wù)器如果運(yùn)行同樣的應(yīng)用程序，也將會同樣受到惡意代碼的攻擊。像IIS服務(wù)是一個操作系統(tǒng)缺省的服務(wù)，因此它的服務(wù)程序的缺陷是各個機(jī)器都共有的，Code Red的影響也就不限于服務(wù)器，還會影響到眾多的個人計算機(jī)。

（6）Windows操作系統(tǒng)遭受的攻擊最多

Windows操作系統(tǒng)更容易遭受惡意代碼的攻擊，它也是病毒攻擊最集中的平臺，病毒總是選擇配置不好的網(wǎng)絡(luò)共享和服務(wù)作為進(jìn)入點。其他溢出問題，包括字符串格式和堆溢出，仍然是濾過性病毒入侵的基礎(chǔ)，病毒和蠕蟲的攻擊點和附帶功能都是由作者來選擇的。另外一類缺陷是允許任意或者不適當(dāng)?shù)膱?zhí)行代碼，隨著Scriptlet.typelib和Eyedog漏洞在聊天室的傳播，JS/Kak利用IE/Outlook的漏洞，導(dǎo)致兩個ActiveX控件在信任級別執(zhí)行，但是它們?nèi)匀辉谟脩舨恢赖那闆r下執(zhí)行非法代碼[7]。最近的一些漏洞帖子報告說，Windows Media Player可以用來旁路Outlook 2002的安全設(shè)置，執(zhí)行嵌入在HTML郵件中的JavaScript和ActiveX代碼，這種消息肯定會引發(fā)黑客的攻擊熱情。利用漏洞旁路一般的過濾方法是網(wǎng)頁病毒采用的典型手法之一。

（7）網(wǎng)頁病毒的類型變化

一類網(wǎng)頁病毒代碼是利用MIME邊界和Uuencode頭的處理薄弱的缺陷，將網(wǎng)頁病毒代碼化裝成安全數(shù)據(jù)類型，欺騙客戶軟件執(zhí)行不適當(dāng)?shù)拇a[8]。

2網(wǎng)頁病毒防御系統(tǒng)的設(shè)計

網(wǎng)頁病毒防御系統(tǒng)的主要保護(hù)對象是Web服務(wù)器及其用戶，它的主要目的是能夠快速自動發(fā)現(xiàn)含有網(wǎng)頁病毒的網(wǎng)站，能夠過濾發(fā)送給受保護(hù)用戶的有害URL鏈接，并且可以主動發(fā)現(xiàn)最新出現(xiàn)的網(wǎng)頁病毒并添加到病毒庫中，及時對用戶進(jìn)行預(yù)警。在系統(tǒng)中提供以下基本功能：

（1）能夠檢測出網(wǎng)頁病毒網(wǎng)站中所包含的已知病毒。

（2）能夠?qū)⒕W(wǎng)頁自動下載，根據(jù)設(shè)定的監(jiān)測目標(biāo)自動探測是否提供Web服務(wù)。如果提供Web服務(wù)，將自動下載網(wǎng)頁到本地指定的目錄中。對Web網(wǎng)站訪問的深度可以通過配置設(shè)定。

（3）網(wǎng)頁病毒檢測。啟動病毒檢測引擎，對下載的網(wǎng)頁進(jìn)行掃描，若發(fā)現(xiàn)病毒將病毒名稱或者分離出來的病毒代碼寫入日志文件，即能夠發(fā)現(xiàn)新的網(wǎng)頁病毒并自動提取其特征，添加到病毒庫中[3]。

（4）發(fā)現(xiàn)病毒時，能夠有效保護(hù)自己的機(jī)器。

防御系統(tǒng)力求達(dá)到以下目標(biāo)：系統(tǒng)性能較高，對正常網(wǎng)頁瀏覽處理效率的影響較小；病毒的誤報率、漏報率較低；系統(tǒng)自身穩(wěn)定性好、安全性高。

2．1網(wǎng)頁病毒防御系統(tǒng)的組成

在系統(tǒng)防御需求及功能分析基礎(chǔ)上，把網(wǎng)頁病毒防御系統(tǒng)劃分為以下五個子系統(tǒng)，如圖3所示。

（1）虛擬Web用戶機(jī)

以Web用戶訪問的URL作為監(jiān)控對象，從中檢測出對瀏覽器客戶端可能構(gòu)成危害的URL。為實現(xiàn)這個目的，本子系統(tǒng)需要完成三部分工作：獲取Web用戶訪問的URL；利用基于內(nèi)容的分析方法對獲取的URL進(jìn)行分析，在其中采用模式匹配方法對進(jìn)出瀏覽器的數(shù)據(jù)進(jìn)行檢測，從中找出對用戶系統(tǒng)可能構(gòu)成危害的數(shù)據(jù)；對可能有害的URL進(jìn)行處理。

（2）自動下載子系統(tǒng)

可以對指定的URL進(jìn)行自動下載；可以對指定的IP地址范圍進(jìn)行自動偵測是否存在Web服務(wù)，并實現(xiàn)自動下載；對下載的Web頁面進(jìn)行標(biāo)簽分析，按照掃描深度，對該頁面的其他鏈接進(jìn)行自動下載；對于下載的網(wǎng)頁中未被過濾掉的惡意腳本，通過病毒檢測子系統(tǒng)進(jìn)行檢測。

（3）病毒檢測子系統(tǒng)

對下載的Web頁面內(nèi)容進(jìn)行病毒的檢測和分析。

（4）病毒報警子系統(tǒng)

病毒發(fā)現(xiàn)子系統(tǒng)的主要功能是：通過殺毒軟件對下載的可疑網(wǎng)頁進(jìn)行初步檢測，對發(fā)現(xiàn)病毒的有關(guān)信息進(jìn)行保存處理；提供感染病毒的URL；分離未知病毒代碼，并予以顯示，并且將無法辨別其性質(zhì)的網(wǎng)頁代碼發(fā)送給免疫防護(hù)子系統(tǒng)。一旦經(jīng)免疫防護(hù)子系統(tǒng)檢測后發(fā)現(xiàn)病毒，該子系統(tǒng)將獲取該病毒的特征標(biāo)志，添加到病毒庫中[9]。

（5）免疫防護(hù)子系統(tǒng)

通過免疫防護(hù)子系統(tǒng)對病毒報警子系統(tǒng)所提交的可疑網(wǎng)頁進(jìn)行安全檢測。被檢測的網(wǎng)頁代碼將在該子系統(tǒng)上執(zhí)行，通過該子系統(tǒng)的報警信息以及對執(zhí)行后檢測系統(tǒng)的行為進(jìn)行監(jiān)測，如發(fā)現(xiàn)異常則可判斷該網(wǎng)站為受感染網(wǎng)站。

2．2網(wǎng)頁病毒的防御過程

該防御系統(tǒng)對網(wǎng)頁病毒的防御過程按照子系統(tǒng)的劃分包括以下幾個步驟：指定網(wǎng)頁下載、病毒檢測、病毒特征收集、提交免疫防護(hù)子系統(tǒng)和將安全的URL發(fā)送給最終接收用戶。具體的防御過程如圖4所示。

2．3系統(tǒng)防御過程中的關(guān)鍵技術(shù)

（1）將惡意代碼從網(wǎng)頁中分離出來

由于絕大多數(shù)基于Web的網(wǎng)頁病毒都是通過執(zhí)行一些惡意代碼對計算機(jī)進(jìn)行感染的，如果能夠?qū)阂獯a從網(wǎng)頁中分離出來，那么就可以有效地防止網(wǎng)頁病毒感染受保護(hù)的URL訪問者的計算機(jī)。

含有網(wǎng)頁病毒的網(wǎng)頁一般都由兩部分組成：網(wǎng)頁病毒和正常的網(wǎng)頁。我們將惡意代碼屏蔽而對正常的網(wǎng)頁文件進(jìn)行訪問，做到了既保護(hù)自身系統(tǒng)的安全，又實現(xiàn)了對Web資源的共享。

但是最新的網(wǎng)頁病毒早已不再局限于利用一些腳本語言程序以強(qiáng)行修改用戶操作系統(tǒng)設(shè)置及系統(tǒng)實用配置程序那么簡單，很多計算機(jī)病毒程序或代碼可以通過各種形式寄存在網(wǎng)頁上。隨著病毒隱藏技術(shù)的發(fā)展以及各種漏洞的發(fā)現(xiàn)，網(wǎng)頁病毒更加無處不在，所以僅僅通過對某些類型的網(wǎng)頁腳本進(jìn)行過濾是遠(yuǎn)遠(yuǎn)不夠的[10]。

（2）利用免疫防護(hù)系統(tǒng)對網(wǎng)頁進(jìn)行檢測

免疫防護(hù)系統(tǒng)的技術(shù)來源于現(xiàn)代醫(yī)學(xué)的免疫思想，也被稱為異常發(fā)現(xiàn)技術(shù)。它通過實時進(jìn)程監(jiān)控，監(jiān)測并保存本機(jī)上正在運(yùn)行進(jìn)程的完整信息，對啟動的所有程序都強(qiáng)制進(jìn)行認(rèn)證。

對于專門用來監(jiān)測網(wǎng)頁病毒的系統(tǒng)而言，系統(tǒng)環(huán)境是相對穩(wěn)定的，可以靜態(tài)地計算出運(yùn)行的進(jìn)程數(shù)、各進(jìn)程打開的文件等各項指標(biāo)，同時記載在層次目錄結(jié)構(gòu)（當(dāng)前工作目錄或指定目錄）中各目錄占用的磁盤塊數(shù)，即用戶對文件系統(tǒng)的使用情況等。上述信息將作為本機(jī)的特征庫。

當(dāng)提交到免疫防護(hù)系統(tǒng)的網(wǎng)頁代碼被執(zhí)行后，系統(tǒng)將會自動將之前記載的系統(tǒng)信息與當(dāng)前進(jìn)程運(yùn)行狀況作比較，發(fā)現(xiàn)異常則會作出警報，如創(chuàng)建新的文件、啟動新的不明任務(wù)等，并且對網(wǎng)頁病毒特征進(jìn)行標(biāo)志并提交給服務(wù)器。

（3）采用多層檢測技術(shù)

現(xiàn)有很多種病毒檢測軟件，它們對病毒庫中的已知病毒所感染的附件的檢測十分有效，但是對未知的、新的病毒就無法檢測出來。不同的檢測手段擁有不同的檢測效果和所需的系統(tǒng)資源及檢測時間，如基于簽名的病毒檢測技術(shù)，它的檢測效率很高，但是很難識別多態(tài)蠕蟲病毒。為了得到更精確的檢測結(jié)果，需要綜合利用不同的檢測手段。在網(wǎng)頁病毒防御系統(tǒng)的設(shè)計中，采用了多層檢測技術(shù)，即將網(wǎng)頁病毒的檢測過程分為以下幾個階段：①對網(wǎng)頁可疑代碼進(jìn)行過濾，對于含有不能簡單由過濾來濾除的網(wǎng)頁病毒的網(wǎng)頁，由自動下載子系統(tǒng)下載下來；②病毒檢測子系統(tǒng)對下載的Web頁面內(nèi)容進(jìn)行病毒的檢測和分析；③通過免疫防護(hù)子系統(tǒng)對病毒報警子系統(tǒng)所提交的可疑網(wǎng)頁進(jìn)行安全檢測。

3 結(jié)束語

網(wǎng)頁病毒作為互聯(lián)網(wǎng)高速發(fā)展下的一種新型病毒，必將對網(wǎng)絡(luò)安全產(chǎn)生巨大的危害。在防御上，已經(jīng)不再是由單獨的殺毒廠商所能夠解決，而需要網(wǎng)絡(luò)安全公司、系統(tǒng)廠商、防病毒廠商及用戶共同參與、構(gòu)筑全方位的防范體系。網(wǎng)頁病毒和黑客技術(shù)的結(jié)合，使得對網(wǎng)頁病毒的分析、檢測和防范具有一定的難度，必須構(gòu)建一個可以自動發(fā)現(xiàn)學(xué)習(xí)并且檢測到未知網(wǎng)頁病毒的防御系統(tǒng)。除此之外，對網(wǎng)頁病毒的網(wǎng)絡(luò)傳播性、網(wǎng)絡(luò)流量特性數(shù)學(xué)模型的建立也是有待研究的課題。

參考文獻(xiàn)：

[1]Joel Scanbray， Mike Shema. Web Application Security Secrets Solutions[M]. 北京：清華大學(xué)出版社， 2003.55-121.

[2]Scambray S McClure. Windows 2000黑客大曝光[M].楊洪濤.北京:清華大學(xué)出版社， 2002.60，217-277.

[3]Cliff C Zou， Don Towsley， Weibo Gong. E mail Virus Propagation Modeling and Analysis[EB/OL]. http://tennis.ecs.umass.edu/~czou/research/emailvirus techreport.pdf， 2003.

[4]William R Stanek. Windows 2000腳本編程[M]. 北京:中國水利水電出版社， 2001.54-16.

[5]Cliff C Zou. Adaptive Defense Against Various Network Attacks[EB/OL]. http://tennis.ecs.umass.edu/~czou/research/research/adaptiveDefense.pdf， 2005.

[6][美] W Richard Stevens. TCP/IP詳解[M].范建華，青光輝，張濤.北京:機(jī)械工業(yè)出版社， 2000.115-130.

[7] Holzner S.XHTML技術(shù)內(nèi)幕[M].鐘鳴，王君，等.北京:機(jī)械工業(yè)出版社，2001.126-163.

[8] 潘志強(qiáng)，岑進(jìn)鋒.黑客攻防編程解析[M]. 北京：機(jī)械工業(yè)出版社，2003.

[9] Matthew Todd， Ph D. Worms as Attack Vectors: Theory， Threats， and Defenses[EB/OL]. http://www.giac.org/practical/GSEC/Matthew_Todd_GSEC.pdf， 2003-01.

[10] Stuart E Schechter， Jaeyeon Jung， Arthur W Berger. Fast Detection of Scanning Worm Infections[EB/OL]. http://www.eecs.harvard.edu/~stuart/papers/scanworm.pdf， 2004. 

作者簡介：魏建平(1973-)，男，新疆阿克蘇人，碩士研究生，主要研究方向為網(wǎng)絡(luò)信息安全；魏強(qiáng)(1979-)，男，江西南昌人，博士研究生，主要研究方向為網(wǎng)絡(luò)信息安全；吳灝(1965-)，男，江蘇無錫人，教授，碩士生導(dǎo)師，主要研究方向為網(wǎng)絡(luò)信息安全。

注：本文中所涉及到的圖表、注解、公式等內(nèi)容請以PDF格式閱讀原文。