广东药学院附属第一医院 叶 森

基于局域网的计算机蠕虫检测技术研究与实现

广东药学院附属第一医院 叶 森

在计算机飞速发展的情况下，互联网病毒防范成为了保障信息安全的一项重点工作。在本文中，将就基于局域网的计算机蠕虫检测技术实现进行一定的研究。

局域网；计算机；蠕虫检测技术

1. 引言

在计算机网络技术不断发展的情况下，计算机网络成为了人们工作当中不可缺少的工具之一，并对其具有了更大的依赖性。在该种情况下，计算机安全防范成为了一项非常重要的工作，即避免因信息泄露、破坏等对工作安全产生危害。其中，计算机蠕虫是一类危害较大的病毒类型，需要在日常工作开展中做好其防范。

2. 蠕虫病毒概述

2.1概念

蠕虫是出现在生物学专业的词汇，在计算机领域中，其是一种智能化、自动化且能够对网络进行综合攻击的病毒技术，能够在不受到人干预的情况下对代码进行攻击，并通过网络存在的漏洞对主机进行攻击，在借助局域网的情况下从一个节点传到另一个节点，进而对计算机造成较大的破坏。根据其传播方式的不同，可以将其分为不同的类型，其中，常见的类型有IM蠕虫、P2P蠕虫以及漏洞传播蠕虫等。

2.2攻击手段

对于蠕虫病毒，其主要攻击手段有：第一，缓冲区溢出攻击。根据相关部门统计，在互联网上，绝大多数的攻击都为缓冲区溢出技术，在该技术中，攻击者通过探测程序的应用对计算机当中可以利用的缓冲区隐患进行寻找，之后使用蠕虫病毒对其进行溢出操作，即通过恶意代码的应用对攻击程序进行执行，进而实现目标节点控制权的掌握；第二，弱密码攻击手段。在该方式中，蠕虫病毒自身具有一个弱密码字典，在该字典当中，具有部分常用的密码以及用户名，能够在将各类用户名以及密码进行组合之后进行远程连接的建立，在将其反传给远程系统之后开展下一轮攻击。在该方式具体操作中，蠕虫病毒设计人员则提升测试频率以及准确密码、用户名提供的基础上能够使蠕虫病毒具有较好的传播条件；第三，除了上述两种手段之外，还具有DOS、DDOS以及字符串攻击手段等。

3. 计算机蠕虫病毒检测技术

3.1特征匹配检测技术

在该技术中，其能够对已知蠕虫进行检测，即在对蠕虫病毒重点特征进行检测的基础上联系特征情况对规则库进行生成，在将采集获得的数据包同规则库中规则进行匹配的基础上对蠕虫攻击特征进行把握。具体方式方面：第一，通过系统平台获取网络数据包，并对不同的数据包进行全面检查，对其中存在的攻击特征进行寻找；第二，如果经过检查发现其同攻击特征长度一致，则需要及时从数据包当中取出，并对两组不同的字节特征情况进行比较，如果经过比较发现两者结果一致，则表明已经检测到了攻击。如果经过比对发现两者结果不同，则需要从该数据包的下个字节处再次进行对比，直至数据包匹配完成或者找到攻击。在完成检测工作之后，则需要再一次对攻击特征进行比较，保证不同攻击特征都能够具有匹配的特点。

3.2协议分析检测技术

在计算机网络当中，网络协议是重要的核心，如TCP/IP协议等。同时，网络协议分析也是一项非常重要的技术类型，在网络安全方面具有着十分重要的作用。在实际工作开展中，而教义通过对数据包的协议分析对数据包当中所具有的协议内容进行获取，具体包括数据包的获取、过滤以及协议分析。就目前来说，单一的检测方式并不能够对蠕虫检测这项工作的要求进行满足，需要通过多种技术共同检测方式的应用以更为全面的方式对来自蠕虫的攻击进行检测。对此，则可以对传统特征匹配优势进行融合，同协议分析技术一起对蠕虫进行检测，在发现病毒存在之后发出响应信息，并对蠕虫的攻击进行阻止。在该过程中，即通过分析引擎应用对数据包协议进行分析后通过特征匹配的方式对数据包进行分析以及监测，可以说是蠕虫信息进行检测的核心部分。流程方面，其先将数据报进行截获，将其传输动协议命令解析模块之后对不同协议进行判断以及分析，在对系统规则库进行借助的基础上做好匹配工作，以此判断相关数据是否存在入侵到系统的嫌疑，之后再通过响应系统的应用进行处理。

3.3概率检测技术

面对未知代码蠕虫病毒，具有时候分析以及实时检测这两种方式。其中，实时自动检测即听过对流量的实时检测对蠕虫的攻击行为进行发挥，能够在对蠕虫早期攻击进行发现的基础上对及时的信息数据进行提供，有利于相关解决方案的制定；事后分析方面，即管理人员发现网络存在问题后及时做好网络数据包的研究，在寻找到蠕虫病毒特征码之后将其放置到数据库当中。对于该种方式来说，其更利于未来检测工作的开展，但不可避免的会使大部分计算机因此受到感染。

3.4蜜罐技术检测法

所谓蜜罐，即为一个安全资源，通过其设置，即为了更好的对攻击进行记录。实际上，蜜罐即是一个具有多种漏洞计算机的设置，并使其同网络进行连接。作为管理人员，在对该计算机进行设置时，即对其身上所具有的漏洞具有全面的了解，当具有网络入侵情况时，蜜罐则会以自动的方式将该次入侵过程进行记录，便于管理人员对相关问题进行分析。在实际应用中，其可以应用在攻击检测、阻止、捕获以及分析方面，当蠕虫处于攻击状态下时，蜜罐则会根据自身优势在网络当中对蠕虫进行分析以及识别，并对蠕虫的特征进行提供。

4. 检测技术模块实现

4.1基于局域网蠕虫监测模型设计

根据蠕虫传播特点，对检测模型进行建立。该检测模型由5层组成：数据采集层、检测分析层、数据提取层、响应层以及控制层，且在工作开展当中这几个层之间互相联系。通过该模型的建立，则能够在结合未知以及已知蠕虫的基础上进行检测研究，具有着较强的代表性。

4.2模型关键模块设计

4.2.1数据包模块

在该系统中，通过数据包抓取的方式处理并进行数据的过滤，之后再将其对其他模块提供处理。在该流程中，包括有监听网络设备选择、网络设备打开、监听建立、数据包获取、过滤器设置以及函数回调等阶段，并对完整的数据包库进行建立。

4.2.2协议分析模块

在该模块中，将对所获取的数据包进行分析，并对其中的目标地址、协议类型、原地址以及端口型号等提出。之后联系TCP/IP协议进行方法分析。

4.2.3特征匹配模块

在完成网络数据包的捕获之后，通过函数的应用将数据包长度同LLC进行比较检验，对符合要求的数据包进行保存，在开始特征匹配后，则对具有不同特征的数据进行匹配。如果匹配完成，则数据包存在攻击，如果没有，则继续进行下一步特征处理。

5. 结束语

蠕虫检测是计算机应用中的重点工作，在实际工作开展中，需要做好检测技术的研究与把握，保障计算机应用安全。

［1］胡燕，曾小玲，白书琴.网络蠕虫病毒的检测与防范策略［J］.科技展望.2015（25）：44-45.

［2］王欣.智能蠕虫自动遏制方案［J］.山西经济管理干部学院学报.2013（01）：111-112.

［3］周然，庹宁.蠕虫病毒的传播原理与防治［J］.金融科技时代.2011（02）：99-100.

［4］强麟.蠕虫病毒分析及其防范措施浅析［J］.信息系统工程.2011（04）：77-79.