網絡型病毒分析與計算機網絡安全技術構建

馬斐

(國家能源集團山東石橫熱電有限公司 山東泰安 271621)

信息時代背景下，網絡化、信息化趨勢愈加明顯，在社會生產生活中所起到的作用愈加顯著。計算機網絡為代表的現代化信息技術飛快發展，打破了時空壁壘限制，在加快信息傳播速度和范圍的同時，有效提升信息利用率。計算機網絡可以促進國家機關工作效率提升，也可以為市場上的企業創造更大的經濟效益，但由于網絡型病毒傳播速度快、范圍廣，在無形中威脅著計算機網絡安全。所以，為了有效抵御病毒入侵，應大力發展計算機網絡安全技術，在摸索病毒活動規律和運作過程基礎上，才能因地制宜，選擇合理有效的安全技術進行防范，維護計算機網絡運行安全。

1 網絡型病毒的定義和特點

1.1 網絡型病毒的定義

網絡型病毒是計算機病毒中具有代表性的一種，盡管人們對網絡型病毒的認知水平逐步提升，但是對其定義仍然存在一定分歧。大致可以歸結為兩種觀點：一種是計算機網絡型病毒主要是通過計算機網絡結構框架、網絡協議體系來傳播。因此，網絡型病毒僅僅是局限于計算機網絡范圍內，攻擊對象時計算機網絡內部的用戶[1]；另一種觀點與之相比更加廣泛，清掉病毒破壞的對象不僅僅局限于網絡或是網絡內用戶，只要編寫的病毒程序都可以在計算機網絡上成功傳播的病毒，均屬于計算機網絡型病毒。

1.2 網絡型病毒的特點

隨著時代進步和發展，計算機網絡技術也在不斷推陳出新，進入新的發展階段，相應的網絡型病毒也發生了翻天覆地的變化，其特點變得更加多樣化。

1.2.1 病毒傳播更加迅速、廣泛，傳播途徑多樣化

由于網絡型病毒自身特點，依托于互聯網郵件、通信接口和網絡端口等途徑傳播，相較于傳統磁介質傳播渠道而言有著本質差異。攻擊對象也不再局限于單一主機，而是擴展到移動客戶端、工作站以及無線網絡覆蓋的所有設備[2]。

1.2.2 病毒清理難度大

信息時代背景下，網絡已經滲透人們工作、學習和生活各個角落，僅憑一個網絡端口，即可感染所有連接的計算機設備，借由網絡提供計算服務的端口和設備更進一步傳播蔓延。因此，新型的網絡型病毒徹底清理難度較大。

1.2.3 病毒編寫方式多樣化

目前，病毒編寫語言工具多樣，包括C語言、Delphi、ASM 匯編語言、VC++、C++、VBScript 以及JavaScript 等。為了躲避計算機殺毒軟件搜索，很多新型網絡型病毒基于復合編程語言來編寫，可以實現快速復制和傳播。而且還有部分不法運營商為了提升病毒出現速度，花費高價編寫病毒程度，造成病毒的大肆傳播[3]。

1.2.4 病毒攜帶方式多樣化

網絡型病毒可以依附在各種應用程序或是文件中，便于大范圍傳播。攜帶病毒的除了網絡程序或是網頁下載的文件以外，還可以是電子郵件、電子公告欄等。

1.2.5 病毒趨于智能化和隱蔽化

計算機網絡技術升級同時，網絡型病毒也在不斷更新，尤其是目前自我防御、加密隱身和跟蹤型網絡安全技術廣泛應用下，導致出現的很多新型網絡病毒更加隱蔽化、智能化，為計算機網絡安全帶來了更大的威脅[4]。對部分新型病毒，相較于傳統網絡型病毒而言有著顯著差異，新型的網絡型病毒將多種病毒特性，不僅破壞性增強，清理難度也大大增加。

1.2.6 病毒攻擊對象更加精準化

對一些不法分子，網絡型病毒已經成為一種武器，具有精準攻擊目標的特點。網絡型病毒可能會針對性攻擊經濟、政治安全相關信息，導致很多涉及重大商業機密、國家安全的重要信息被竊取，破壞社會秩序和國家穩定。

2 網絡型病毒的分類及危害

網絡型病毒具有極強破壞性，就目前常見的網絡型病毒來看，主要有蠕蟲病毒、木馬病毒這幾種，如果是按照傳播途徑劃分，則包括漏洞型病毒和郵件病毒。

2.1 蠕蟲病毒

對于蠕蟲病毒，主要是依托于htm文件和MIRC腳本傳播，在感染計算機后自動尋找本地驅動器，搜索目錄可以感染文件，病毒代碼會直接覆蓋原本的文件內容，文件擴展名也會調整為vbs。而且蠕蟲病毒會占據大量的計算機資源，因此計算機中了蠕蟲病毒的一個典型特點就是運行速度變慢，卡頓現象嚴重。比如：尼姆達是一種典型的蠕蟲病毒，郵件是傳播主要途徑[5]。基于郵件擴展類型（MIME）信息存在，包含一個text/html類型的空文本以及一個audio/x2wav類型的可執行文件進行傳播。借助IIS WEB提供計算服務的設備傳播，蠕蟲病毒會啟動一個TFTP 提供計算服務的設備，實現UDP/69端口監聽。確定供給IP地址后，Nimda開始掃描IP 地址。對于尼姆達病毒而言，會先掃描/scripts/Root.exe 后門程序，基于這個程序來執行命令，如以下代碼。

此種方式主要是為了傳播本機IP地址的admin.dll文件，而這即是病毒，是擴展名轉換為dll，病毒控制權限進一步提升。指令下達成功后，已經傳播蠕蟲病毒到攻擊主機上，然后激活運行蠕蟲病毒，代碼如下。

請求激活運行蠕蟲病毒，這時的蠕蟲病毒則是按照管理員權限運行，可以有效躲避殺毒軟件的掃描查殺。

如果是通過網頁傳播，對于已經感染蠕蟲病毒的服務器，Nimda會修改www網頁文件，用戶只要瀏覽該網站即可被感染。蠕蟲通過Admin.dll運行，生成新程序Mmc.exe，在計算機系統硬盤中自動搜索后綴名是*.html，*.asp，*.htm，文件名則是Readme、Main、Index 以及Default 的文件。發現此類文件后，會在該目錄下創建格式為Readme.eml 的文件，其中包含了蠕蟲拷貝，在文件末位增加如下代碼。

這樣用戶在瀏覽有病毒的網頁時，借助IE瀏覽器異常處理MIME 頭軟硬件和協議具體實現上的缺陷，傳播蠕蟲病毒到新的客戶端上。由此看來，如果蠕蟲病毒大范圍傳播蔓延，將導致整個系統癱瘓、崩潰。而且此種病毒查殺難度較大，網絡環境下只要有一臺主機中的病毒清理不干凈，那么病毒將很快會重新傳播蔓延[6]。

2.2 木馬病毒

木馬病毒包含了服務器和客戶端兩個部分，可以將其歸結為一種后門程序。通常情況下，木馬病毒是黑客用于入侵、攻擊的一種工具，在用戶不知情下來盜取、篡改重要信息。即便木馬程序自身無法自我復制，但用戶計算機設備運行木馬程序后，黑客則會獲得掌控計算機控制權，此種情況下將帶來嚴重的破壞，因此黑客多是將木馬程序植入服務器上，被用戶不經意間下載下來。

2.3 郵件病毒

對于郵件病毒而言，可以理解是常規病毒，通過郵件形式來傳播，主要是由于電子郵件是人們交流溝通，以及企業辦公的重要工具手段，如love you 病毒、求職信病毒以及庫爾尼科娃病毒等。此類病毒，通過微軟公司outlook 客戶端可編程特點，用戶在打開郵件后，在病毒驅使下自動發送帶病毒的郵件給通信錄中的用戶，傳播速度較快[7]。

3 基于網絡型病毒的計算機網絡安全技術構建

3.1 防火墻技術

作為一項代表性的計算機網絡安全技術，防火墻技術在實際應用中，主要是用于隔離開危險區域和安全區域，增強計算機網絡安全性。防火墻可以看作是網絡過濾器，具有較強的抗病毒沖擊能力，結合用戶設定的標準來篩選進出網絡的信息，解譯有效抵御病毒信息入侵計算機設備端口，實現內部網絡和公共網絡可靠連接，阻隔病毒在外部網絡[8]。伴隨著防火墻技術不斷推陳出新，技術水平得到了大幅度提升，并且得到了廣泛應用。防火墻技術是依托于網絡，對特定地址和服務過濾篩選，并且對傳輸的數據源信息進行必要檢測，保證數據包通信效率同時，掃描查殺常見的病毒載體。防火墻技術除了作用在網管技術和信息過濾層面，其中還包含了身份驗證以及各類加密技術，基于防火墻構建VPN網絡。通過此種方式，可以顯著增強網絡抗病毒入侵能力。可以將防火墻設置為不同保護級別，對于高級別保護，會禁止某些服務，如視頻流。目前的網絡防火墻架構是粗顆粒度訪問控制，將內部網絡充當一個邏輯單元進行處理。但此種訪問控制機制無法滿足計算機網絡高層次安全防護要求。在采用防火墻技術時，要重點考慮防火墻功能作用[9]。實際上，防火墻是無法防護病毒入侵的，而且數據在防火墻之間的更新是一個技術難題，延遲大則無法響應服務器的實時訪問請求。而且防火墻選擇濾波技術，會降低網絡性能50%左右。所以，防火墻技術是一種復合型的技術，結合了多種先進技術，并非是簡單地隔絕病毒于外部網絡[10]。

3.2 信息加密技術

信息加密技術，是保障計算機網絡信息安全的一個關鍵技術，原理是基于加密算法將明文轉換為無法直接讀取的秘文，隔絕非法用戶獲取原始數據，以此來增強數據信息保密性[11]。在明文和秘文之間相互轉化過程，需要密鑰加密或解密。最佳的加密算法，幾乎不會影響到系統性能，具有鮮明的優勢。比如：pkzip 具有壓縮和加密數據功能；dbms 中的軟件包含加密算法，導致敏感數據是無法復制的，或是獲取用戶賬戶和密碼。置換表是一種較為簡單的加密算法，每個手段對應“置換表”的一個偏移量，對應數值輸出后為加密文件。無論是加密程序還是解密程序，均需要置換表提供對應。實際上，對于80×86CPU 系列有一個指令xlat，在硬件上完成加密工作。盡管此種加密算法操作簡單，但如果置換表被對方獲取，則會識破這個加密方案。

相較于置換表而言，變換數據位置也是在計算機網絡安全防護中的一個廣泛應用的信息加密技術，但執行時間較多，讀取明文到一個buffer中，重排序，然后再輸出。解密過程則是相反流程，反向還原數據。此種加密算法可以同其他加密算法聯合使用，這樣可以增加黑客破譯難度。比如：一個詞，變換字母順序，slient 轉化為listen，但仍然是哪些字母，只是順序有所變化。

3.3 入侵檢測技術

入侵檢測系統，主要是為了抵御網絡型病毒入侵感染，保護重要數據信息不被盜取、篡改，實現網絡活動實時監測的一種系統。基于入侵檢測系統，對于網絡信息可以快速甄別、分析，或是主機上對用戶審計分析，并通過集中控制臺檢測和管理。實際上，入侵檢測系統屬于較為典型的窺探設備，不與多個物理網段連接，多數情況下配備一個監聽端口，不需要轉發任何流量，在網絡上無聲無息地收集關注的報文信息[12]。入侵檢測可以快速檢測異常信息，結合進程、用戶正常狀態下的特點，建立模型，然后同正常行為模型比較分析，如果偏差大，則說明出現異常。此項技術可以不需要獲取攻擊特點，對已知的攻擊或是未知的攻擊行為檢測，隨著用戶行為變化，用戶模型也會隨之自動更新。濫用檢測，是結合已知的攻擊行為特征庫，用戶當前行為同特征庫的攻擊簽名依次對比分析，匹配則說明出現了入侵行為。此項入侵檢測技術精準度較高，可以識別多類型攻擊行為，第一時間阻攔攻擊行為。但此項技術的缺點是面對新出現的攻擊，可能無法檢測攻擊的變形情況，因此需要持續更新攻擊簽名庫，這樣才能及時發現和遏制攻擊行為。

3.4 特征代碼技術

作為一種傳統的網絡型病毒防護技術，主要是設立病毒數據庫，確定程序功能范圍，并采集目標病毒樣本深入分析。綜合分析病毒數據庫的病毒代碼，尋找相似代碼的病毒，將總結的代碼作為檢測目標，檢測同時與病毒庫特征代碼對比分析。掃描檢測文件，同病毒庫代碼對比，檢測計算機中的文件是否被病毒感染，相似性達到一定程度，則說明文件被感染到某種病毒。目前，病毒類型逐漸多樣化，需要病毒數據庫隨之更新和完善，但是對于一些隱蔽性較強的病毒，檢測耗費時間長，檢測精度不高。

3.5 安裝殺毒軟件

為了有效抵御網絡型病毒入侵，用戶在使用搞計算機前應安裝殺毒軟件，定期查殺病毒，便于及時發現潛在病毒，及時清理干凈，保護計算機內部文件安全的同時，規避系統運行癱瘓。通過安裝殺毒軟件可以實時監測計算機網絡運行情況，也可以采用個性化措施來隔離重要文件，實現內部重要信息安全防護。另外，系統要定期更新補丁，及時彌補計算機漏洞，盡可能降低病毒入侵概率，提升計算機網絡安全防護效果。

4 結語

綜上所述，網絡型病毒傳播性和危害性較強，一旦被感染會快速傳播和蔓延，嚴重情況下導致系統崩潰，重要數據信息丟失、被篡改。所以，在掌握網絡型病毒特征基礎上，尋求合理可靠的計算機網絡安全防護技術，實時監測計算及運行情況，便于有效查殺病毒。