基于对比分析的计算机病毒防护研究
2017-03-10张国防
◆张国防
(海南软件职业技术学院 海南 571400)
基于对比分析的计算机病毒防护研究
◆张国防
(海南软件职业技术学院 海南 571400)
计算机病毒、网络蠕虫和木马不仅盗窃用户数据、泄露用户隐私,而且瘫痪计算机网络,使人们遭受严重的损失。如何根本有效地防范这些威胁成为目前丞待解决的问题。本文对计算机病毒、网络蠕虫和木马的传播方式、感染对象和寄生载体的相同点和不同点分别进行了对比分析研究,提出了硬件技术、软件技术等防范策略,为网络管理员和计算机用户提供了借鉴意义。
计算机病毒;网络蠕虫;木马;策略
0 引言
前段时间“勒索病毒”爆发,在短短一天多的时间,全球近百个国家的超过10万家组织和机构被攻陷,无数宝贵资料被病毒加密锁定,全球网络动荡不安。虽然后来“勒索病毒”被解除,但由此造成的影响又一次给我们敲响了警钟。计算机用户机密数据被泄露、破坏,不明原因的网络瘫痪等情况时有发生,成为令计算机用户最为头疼的问题。本文通过对比分析计算机病毒、网络蠕虫和木马传播方式、步骤和传播对象的异同,提出了防范这些威胁的硬件措施和软件措施,为网络安全人员的日常管理维护工作和计算机用户安全地使用计算机提供依据。
1 各种威胁的传播方式
1.1 计算机病毒的传播方式
计算机病毒的代码附着在一些可执行程序或普通文件,通过网络、外来的移动硬盘、U盘等存储设备进入本地计算机,当用户开机打开这些文件时,计算机病毒立即进入系统引导区并占用内存资源。在计算机病毒占用内存期间通过复制自身,感染在内存中打开的未被感染的文件和计算机可执行程序,当被感染的文件被保存在磁盘时,计算机病毒也就被保存在磁盘上而潜伏下来,而这一过程对用户来说是透明的。当磁盘上大多数可执行程序和文件被感染,由于计算机内存资源被占用,运行速度降低,表现为卡机、死机、可执行程序打不开,磁盘文件被破坏甚至被删除等现象。而病毒的变异能力使得病毒可以躲避杀毒工具的检测,防毒杀毒工具无法清除,用户被迫重装系统成为最终的选择,这又会造成用户数据的丢失和时间精力的浪费[1]。
1.2 网络蠕虫的传播方式
网络蠕虫是通过网络传播,无需用户干预即可独立运行的程序,它通过不停地获得网络中存在漏洞的计算机上的部分或全部控制权来进行传播,它会扫描和攻击网络上存在系统漏洞的节点主机,通过局域网或者国际互联网从一个节点传播到另一个节点[2]。网络蠕虫进入网络后,会主动扫描一些网段的IP地址的目标系统,当扫描到具有漏洞的目标系统后利用该漏洞对目标系统进行攻击。当目标系统被成功攻击后,网络蠕虫会通过网络复制自身到目标系统,然后以此节点主机为基点继续向外传播去感染更多的脆弱性系统,期间并不需要计算机用户的任何干预。网络蠕虫的特征就是透过网络主动感染目标系统,以消耗系统带宽、内存、CPU为主,最终瘫痪整个网络。
1.3 木马的传播方式
木马是基于客户机/服务器模式的计算机程序,木马通过伪装成用户需要的正常功能的程序捆绑在页面图片或游戏上诱使用户点击而下载到主机上立即在后台运行,即是关闭图片或游戏,木马一直运行。即便是关机后再开机,木马就在后台立即运行并且接受远端木马客户端的控制,盗窃或者损坏主机上的文件,或者利用该主机发动DOS攻击等,造成主机上机密文件泄露或损坏。
2 计算机病毒、网络蠕虫和木马的比较分析
2.1 相同
(1)目标的脆弱性:计算机病毒、网络蠕虫和计算机木马都易感染防护措施弱、系统有漏洞的主机。没有防火墙、杀毒软件病毒库版本低、系统软件的漏洞没有打补丁、没有严格限制外来移动硬盘和U盘的使用、对网页不明的链接缺少警觉性就点击打开、打开来历不明的电子邮件等存在诸如此类问题的主机往往成为被攻击的目标。
(2)消耗资源:计算机病毒、网络蠕虫和计算机木马在被感染的主机开机期间都占用计算机资源,尤其是内存资源。这些被占用的资源严重消耗计算机的CPU时间,造成用户计算机速度慢、卡机、死机和网络瘫痪现象,使用户需要紧急处理的事务长时间得不到响应而造成损失。
(3)隐蔽性强:计算机病毒寄生在计算机的文件和可执行程序中、网络蠕虫运行在系统内存的节点中、计算机木马伪装成正常程序隐藏在磁盘而运行于后台,它们都有很强的隐蔽性,甚至能强行关闭主机的杀毒软件,用户使用查毒工具也很难发现它们。
2.2 区别
(1)传播的主动性方面:网络蠕虫的运行和传播不需要计算机操作者的任何干预,主动扫描探索发现有漏洞或者脆弱的目标系统直接将自身复制过去,其传播具有非常强的主动性。计算机病毒和木马从一台主机传播到另一台主机需要计算机操作者的某种操作才可以传播,木马一旦在主机后台运行就不会在计算机内部反复传播,但计算机病毒会不断反复传播给计算机中其它的文件和可执行程序。
(2)感染的对象方面:计算机病毒感染的对象是计算机文件系统。网络蠕虫和木马感染的对象是有相应漏洞和脆弱的计算机系统,但网络蠕虫感染计算机的内存中各个关键节点的内存资源并以此为节点寻找网络上其它目标系统,而木马一旦种植在目标主机上就在后台悄悄运行,等待远程控制端的指令。
(3)寄生的载体方面:计算机病毒需要寄生载体,寄生载体通常是计算机文件或者可执行程序。网络蠕虫不需要寄生载体。计算机木马通常捆绑在在图片或者游戏上。
3 计算机病毒、网络蠕虫和木马的防护措施计算机病毒、网络蠕虫和计算机木马能够在网络和终端系统上造成严重危害,网络管理员有多种手段予以消除。
3.1 硬件措施
部署硬件防火墙是目前比较流行的防御网络威胁的方案,目前市面上主流的硬件防火墙有Cisco、H3C、Juniper、华为和深信服等品牌的企业级防火墙,这些企业级防火墙各有不同实力背景的厂家技术支持,性能有些差异,价格也分上中下等级,企业用户可以根据自己计算机使用环境选择比较适合自己的产品。
3.2 软件措施
给每台主机安装软件防火墙。软件防火墙分为收费版和免费版的防火墙,杀毒声誉好的是卡巴斯基,以查杀速度快、能力强在杀毒软件行业排名第一,是需要付费使用的。国内的软件防火墙有360、瑞星和电脑管家等,这些软件不收费,但拦截和杀毒的能力一般,且占用主机资源和留有后台为大多数用户诟病。如果有电子商务业务的个人主机,建议安装使用卡巴斯基软件防火墙。
3.3 其它安全策略
包括定期更新升级杀毒软件的病毒库和系统打补丁。可以设置让系统自动升级病毒库和打补丁,每天或者每周一次计算机全面检测杀毒,不使用外来移动硬盘、U盘,不点击来历不明的网络连接,不打开来历不明的电子邮件等。
4 结束语
当前网络技术的飞速发展,计算机病毒、网络蠕虫和木马的技术越来越高,网络中所暴露出来的漏洞越来越多,计算机使用人员也越来越多越来越复杂。为了降低计算机病毒、网络蠕虫和木马的事件的发生、减少用户的损失,要求计算机从业人员要宣传普及计算机病毒、网络蠕虫和木马的危害常识,提高全民的计算机安全防范意识。
[1]D.M. Kienzle, M.C. Elder.Recent worms: A Survey and Trends[R]. Washington DC:In Proceedings of the 2003 ACM workshop on Rapid Malcode,2003.
[2]王业君.网络蠕虫的机理与防范[D].中国科学院软件研究,2005.