蠕蟲病毒的分析與防范

摘要：蠕蟲病毒給網絡環境帶來了巨大的災難。日益嚴重的蠕蟲問題，不僅給用戶造成了巨大的損失，而且嚴重威脅著國家的信息安全。蠕蟲的檢測和防范成為當前網絡安全研究的熱點。

關鍵詞：蠕蟲;病毒;網絡安全

1.蠕蟲病毒簡介

蠕蟲病毒與一般病毒不同。蠕蟲病毒不需要將其自身附著到宿主程序，是一種獨立的智能程序。它利用網絡進行傳播并能夠自我復制，爆發時消耗大量的系統資源，使其他程序運行減慢甚至停止，最后導致系統和網絡癱瘓。

“熊貓燒香”就是一個典型的感染型蠕蟲病毒，其感染行為主要包括：復制自身到系統目錄;創建啟動項;在各分區根目錄生成病毒副本;修改“顯示所有文件和文件夾”設置;嘗試關閉注冊表編輯器、系統配置實用程序、Windows任務管理器、殺毒軟件等。

2.蠕蟲的檢測技術

（1）基于蠕蟲特征碼的檢測技術

首先將一些蠕蟲惡意代碼的特征值收集起來，然后逐個創建每一個特征值的特征碼規則庫。檢測時，利用在特征碼和特征碼規則庫中的具體規則與要檢測的網絡行為進行匹配，如果存在異常就會匹配成功，對于這樣的異常應當給出警告或者拒絕訪問。

這樣的檢測方式有一定的限制，如果有些蠕蟲病毒在規則庫中沒有匹配成功，就無法檢測出蠕蟲。

（2）基于蠕蟲行為特征的檢測技術

Bakos提出了一種蠕蟲行為特征檢測技術，利用了ICMP目標主機不可達報文來判斷識辨蠕蟲的隨機掃描行為，并通過信息收集點來收集網絡中由路由器產生的這種不可達報文信息，然后統計消息的個數，并和給定的閾值進行比較，以此判斷蠕蟲是否有傳播行為。但是這種方法中如果路由器個數較少，那么收集到的報文信息數就會較少，會影響到判斷的準確性

（3）基于貝葉斯的檢測技術

在網絡傳播蠕蟲的時候，蠕蟲會先向網絡中有漏洞的目標主機發送大量連接請求數據包，用這種方法就可以判斷出目標主機是否開機，還能判斷出這些目標主機是否存在漏洞，由此判斷是否會被感染。

3.蠕蟲病毒的防范

3.1單位用戶防范措施

（1）提高網絡管理員的安全意識和管理水平。蠕蟲病毒的行為特性包括利用系統漏洞對網絡進行攻擊，所以必須時刻保持應用軟件和網絡系統的安全性，對操作系統和應用程序進行及時地更新和漏洞修復，不給蠕蟲病毒入侵網絡的機會。

（2）實時監控網絡中的蠕蟲數據包，一旦發現網絡系統受到蠕蟲攻擊后馬上采取相應的隔離控制手段保護系統，將病毒清除防止其繼續擴大。

（3）蠕蟲病毒具有不可預測性和突然爆發性，在發現蠕蟲病毒已經爆發并且感染整個網絡時，就需要采取緊急措施盡量減少損失。

（4）做好網絡系統數據備份。在系統受到感染并且無法恢復的時候，備份系統可以把數據進行恢復，盡量減少經濟損失。

（5）在局域網入口處安裝防火墻和殺毒軟件，不給蠕蟲病毒入侵提供通道。同時還需要對員工進行教育安全培訓，對一些用戶操作進行限制，監控郵件服務器，避免蠕蟲病毒被攜帶進入，升級修復網絡內部的操作系統，保證單位內部的網絡安全不受侵害。

3.2個人用戶防范措施

（1）安裝殺毒軟件和防火墻。蠕蟲病毒的發展非常迅速。單純的文件級實時監控已經失效，需要增加內存實時監控和郵件實時監控。

（2）及時升級殺毒軟件的病毒庫。殺毒軟件依靠病毒數據庫中的病毒特征碼進行病毒查殺。要應對飛快更新和傳播的蠕蟲病毒，就需要及時更新病毒數據庫，保證殺毒軟件有最新的查殺能力。

（3）用戶不要隨便打開陌生的網站。同時提高個人的網絡安全意識，將網絡瀏覽器的安全級別設置為最高，禁止運行ActiveX和Java的腳本，以此避免計算機被惡意代碼攻擊感染。

（4）蠕蟲病毒一般都具有自動發送的功能，會給用戶發送攜帶蠕蟲的郵件。在用戶不知情的情況下打開這類郵件就會給蠕蟲病毒可乘之機。所以用戶要經常保持最新版本的網絡瀏覽器和補丁程序，禁止打開陌生的郵件。如果用戶在發現郵件存在異常而且沒有附件的時候應該仔細查看郵件的詳細信息里面是不是含有隱藏的病毒。

4.總結

蠕蟲病毒具有較強的獨立性、利用漏洞主動攻擊、傳播更快更廣、更好的偽裝和隱藏方式、技術更加先進等特點。除了運用網絡防火墻、機密文件加密等技術手段外，還應該采取多種防范措施構筑全方位的防范體系。蠕蟲病毒的防治不僅需要安全的網絡環境，更需要用戶擁有很好的防范意識，將蠕蟲病毒抹殺在搖籃里。

參考文獻：

[1]賴英旭，鐘瑋.計算機病毒與防范技術[M].北京：清華大學出版社，2015.

[2]張仁斌，李鋼.計算機病毒與反病毒技術[M].北京：清華大學出版社，2012.

作者簡介：

朱慧爽（1981—），女，山東莘縣人，濰坊學院信息與控制工程學院講師。