喻 伟

（河南省信阳学院 河南 信阳 464000）

1 计算机病毒

计算机病毒的快速发展严重威胁计算机系统的安全，且有很高的隐蔽性（良性病毒，恶性病毒，极恶性病毒，灾难性病毒）通过中断破坏软件进程，以达到实施复制的目的，用户在进行拷贝磁盘或文件时，把一个病毒由一个载体复制到另一个载体中或者通过网络上的信息传递。用户对恶意网站的浏览，病毒通过网页脚本文件，进行恶意代码的下载，储存在用户计算机，待满足感染条件，病毒进行传播扩散，造成用户自身计算机感染个人用户信息泄漏，帐号被盗。

传统计算机病毒采用寄生代码片段进行传播，依附于某一段可执行程序，将自身原本的代码片段进行隐蔽伪装，生成一个新的脚本文件（Script）

用于防止用户发现及反病毒软件的查杀，更加便于病毒在用户计算机内的扩散，用于感染现有的应用程序或主引导扇区代码（Master Boot Record）个别病毒可对反病毒软件进行中断，形成软件死循环状态（Endless Loop）使反病毒软件（anti-virus software）内核扫描器无法对病毒文本代码扫描，系统型病毒则可以针对软硬盘的不同特点采用不同的传染方式，在开机引导时窃取中断控制权在整个计算机运行过程中随时监视软硬盘情况，进行快速感染。

生物学中的病毒是由核酸分（DNA或RNA）与蛋白质构成非细胞状态靠寄生生活的介于生命体及非生命体之间的有机物种，生存状态类似计算机病毒，计算机病毒的传染方式可为二大类一定立即传染，即病毒在被执行到的瞬间，抢在宿主程序开始执行前，立即感染磁盘上的其他程序，然后再执行宿主程序，二是驻留内存并伺机传染，内有中的病毒检查当前系统环境，执行一个程序或目录（directory，DIR）操作时传染磁盘上的程序，驻留在系统内存的病毒程序，一直可工作运行至计算机关闭，早期病毒的快速传播时由于用户计算机缺少用户认证信息，缺少用户验证和访问控制使病毒能够快速感染可执行程序内容（executable program），增加用户防控意识，在打开网页链接或不明陌生文件之前，首先对其进行安全扫描增加管控机制，减少病毒控制计算机权限的层次。

2 入侵检测

入侵检测(Intrusion Detection）是继网络防火墙后的防范方式，入侵者基于固定行为模式对计算机系统渗透，获取系统内机密信息，未经许可非法登录到另一台计算机主机或在获取特权模式内，行使超出本身系统所赋予行使的行为，入侵的表现形式为远程获取服务器的最高权限或破坏网络服务器，复制数据库并盗取其密码等。非法入侵有相似的行为模式通过其相似的行为模式可以对非法入侵进行判定，能够有效的减少入侵次数，降低侵入的概率，从而产生入侵检测系统。

入侵检测系统（Intrusion Detection system）是对当前所处的计算机网络环境或计算机系统的关键点，及计算机内的常规状态进行检测从中发现是否有违反安全策略的行为或被外来不明计算机攻击的迹象，不断对计算机状态信息进行查询判断非法入侵计算机系统是否成功，从而快速产生应对机制，减少不必要损失。

入侵检测系统（IDS）是入侵检测有效的行为方式，不用连接任何链路，不需流量的流入便可工作分类为基于主机的IDS，基于网络的IDS，所用为异常检测，特征检测两种形成，异常检测应用统计测试基于日常用户所使用的信息进行有效比对，判定是否为入侵，异常检测分为阀值检测和基于配置文件的检测，阀值检测是每隔一段特定时间便对计算机某个特定的次数进行统计，当所统计的计数超出原本合理的次数范围，则被认定为入侵，而基于配置文件的检测指标，包括计数器，仪表，间隔定时器，计算机资源利用情况（CPU的占用率，内存消耗，程序执行消耗时间）以确定是否为计算机所承载范围内，由IDS判定是否为入侵。

入侵检测系统通常由事件产生器（EVent generators）事件分析器（EVent analyzers）响应单元（response unites）组成，事件产生器是为整个计算机环境中获得事件，输入的类型为网络数据包，日志文件及系统调用的痕迹并对所有的信息进行整理，收录并传递。事件分析器为信息的处理单元，对事件产生器送达的有效信息进行分析处理，传至下一级响应单元(Response unites)，可作出切断连接产生报警响应或改变文件属性（系统属性，隐藏属性，只读属性，归档属性)。

3 拒绝服务攻击

在计算机网络安全中普通关注的是向目的的主机植入恶性化代码及计算机病毒，很少重点放在通过网络带宽使目的主机停止服务，对目的主机或网络服务器进行攻击，拒绝服务攻击目的是使目的主机停止向合法用户提供正常网络访问服务的过程，耗尽cpu内存，带宽和磁盘空间资源，以防止或损害授权用户使用网络，系统或应用程序的行为，例web服务，一个有效的攻击及有效请求，可占用web服务器内一定的系统资源，阻碍其他合法用户的访问。

源地址欺骗利用虚假的IP地址，发送数据包，这一过程利用套接字完成，套接字(socket)是TCP上的连接端点，用端口号和IP地址构成，每一条TCP连接唯一的被通信两个端点构成，是两台计算机进程之间的通信，若信息传递完毕则中断连接，释放通信干道，利用伪造源地址同时向目的主机发送数据信息，大量占用信道带宽造成信道拥塞，使合法用户信息无法和目的主机保持有效进程间的通信。

SYN欺骗可造成拒绝服务，由TcPlzp网络体系的三次握手制从而人为产生SYN欺骗方式，用户像目的主机发送请求联结信号目的主机TPC服务器必须先自身创建传输挖制块，分配内存空间，系统资源进行程序的调度，为用户的进程连接作准备目的主机处于收听状态，准备用户的再次请求，便洽用户发送准备连接信号，若用户准备好，则像接收目的主机发送确认信号则再次在网络中发出信号以达到信息联结的目的在等待确认的过程中，原本分配的内存空间依然保留在目的主机内，提高内存资源的占有率，若虚假用户大量增长便可能使目的主机发生瘫痪状态目的主机内系统资源，内存无法进行分配，无法满足合法用户的需求，其他的拒绝服务共计有ZCMP泛洪攻击，提高数据包的流量，增加攻击目的主机的有效性。

4 结语

现代计算机网络安全已严重威胁金融稳定，财产安全，是急需增强的方面，网络安全发展势在必行，已逐步上开到国家安全层次，网络形态多样，整治网络环境，防止其他外在机构成部门对我国网络的渗透入侵，保证国家信息安全，提高个人网络防范意识，防止个人信息泄漏，是对用户个人信息保护的有利屏障。

[1] 傅建明，彭国军，张焕国.计算机病毒与对抗. 武汉：武汉大学出版社，2005.

[2] 秦志光，张凤荔，刘娇.计算机病毒原理与防范技术.北京：科学出版社.

[3] 王英梅，屈微，卢大航.BS 7799信息安全管理体系认证指南.北京：中国计量出版社.2004.

[4] 沈鑫剡.网络安全.北京：清华大学出版社，2017.

[5] （美）斯泽，段新海译.北京.机械工业出版社，2007.