◆李 可

校园网络环境下网络蠕虫病毒的预警技术分析

◆李 可

（贵州大学 贵州 550025）

随着我国社会经济的发展进步，不断有新的信息化应用出现，人们在信息安全方面的重视度越来越高，很大程度上增加了信息安全形式的严峻性，其主要表现为信息安全事件出现的频率和规模日益扩大，以及信息安全事件造成的后果和危害越来越大。本文对计算机蠕虫病毒的行为特征以及特点危害进行了简单的介绍，针对计算机蠕虫病毒校园网络预警系统展开了深入的研究分析，并结合本次研究，发表了一些自己的建议看法，希望可以对计算机蠕虫病毒校园网络预警系统的设计与实现起到一定的参考和帮助，提高计算机蠕虫病毒校园网络预警的有效性。

校园网络环境；网络蠕虫病毒；预警技术

0 前言

当前信息安全问题呈多样化趋势发展，不断有新的信息安全问题出现，必须要提高信息安全手段才能够更好的解决这些实际性问题。在当前的信息安全事件中，网络蠕虫病毒占有非常大的比例，在未来很长一段时间，网络蠕虫病毒仍是威胁我国信息安全的主要形式。传统的以特征码为主要手段反病毒技术已经很难满足现阶段信息安全的实际需求，在这种情况下，必须要采取新的病毒检测预警技术，实现对网络蠕虫病毒的有效检测和识别，本文就此进行了研究分析。

1 计算机蠕虫病毒

1.1计算机蠕虫病毒的行为特征

计算机蠕虫主要是指通过网络传播的一种病毒形式，具有破坏性、隐蔽性以及传播性等特点，蠕虫病毒还具有不需要宿主程序文件寄生等特异性，非常容易出现拒绝服务的情况。在蠕虫病毒的破坏方面，与普通病毒相比，蠕虫病毒可以随着网络的发展在很短的时间内蔓延至整个网络，导致网络出现瘫痪。当前蠕虫病毒从使用者情况角度出发可以为分为两个类型，一种主要是针对企业以及局域网，通过系统漏洞，主动攻击网络，导致整个网络出现故障和瘫痪，比如说“sq1蠕虫王”，另一种主要是针对个人用户，主要通过电子邮件等形式传播，比如说爱虫病毒等。

1.2计算机蠕虫病毒的特点和危害

最早的计算机蠕虫病毒主要以消耗计算机系统资源为主，降低系统性能，造成网络阻塞，新的计算机蠕虫病毒和危害主要表现在以下几个方面：

第一，蠕虫病毒会导致骨干网络出现大规模的阻塞，情况严重时甚至会出现瘫痪，中断网络服务。蠕虫病毒在感染计算机之后，会寻找下一个感染目标，需要发送大量数据包，网络设备很难有效处理，最终出现瘫痪。第二，信息安全受到严重威胁，部分蠕虫病毒在感染主机之后，会安装后门程序，用户主机信息会暴露在互联网，严重威胁用户信息安全。第三，降低计算机系统性能，计算机在感染蠕虫病毒之后，需要运行大量进程实现对其他目标主机的扫描，最终降低计算机系统性能，计算机系统出现瘫痪。

2 计算机蠕虫病毒校园网络预警系统

当前随着教育信息化的飞速发展，数字化校园教学模式有着非常广泛的应用，高等院校的各项计算机应用系统相继完成建立。但是随着校园网络用户越来越多，不断有多媒体教学等宽带应用出现，很大程度上增加了校园内网和外网的安全风险。计算机蠕虫病毒在爆发时会出现非常严重的网络拥堵，最终导致网络出现瘫痪，对校园网络信息安全有着非常大的威胁和影响。

2.1计算机蠕虫病毒预警技术实现原理

在蠕虫程序的工作流程方面，主要有三个部分，分别为搜索、攻击和复制。蠕虫病毒在传播方面以扫描为主，这种传播形式也是导致蠕虫病毒网络拥堵的主要影响因素。

计算机蠕虫病毒在寻找攻击目标时会扫描大量IP，扫描频率高，在扫描过程中，往往会针对随机IP或者一个地址段IP进行扫描，这种形式的扫描存在有非常大的盲目性，成功率十分低。在扫描过程中，会持续高频率搜索，能够呈现出清晰地一对多通信模式，其源地址数量也会越来越多，这种现象与正常通讯存在有非常大的差异性，可以将其作为检测依据，针对网络中的ICMP等展开监测检测蠕虫。

在实际的监测过程中，通过数据结构描述主机发起的通信，当主机在短时间内出现大量连接请求时，目标端口相同，数据包的内容和大小相似性比较高，判断为蠕虫病毒。以分布式体系结构作为基础，针对校园网络的子网展开监控，统计分析各个监测点数据信息，当发现有蠕虫病毒时，系统自动警报。

2.2计算机蠕虫病毒预警系统的实现

（1）蠕虫病毒预警系统

蠕虫病毒预警系统主要包含有数据采集、统计分析、应急响应三个方面，在数据采集方面，主要是借助传感器针对路由器镜像端口进行监测，获取网络报文，并将其上传至收集器；在收集器方面，主要是针对采集到的数据信息进行整理和缓存；在分析器方面，按照预设的流行和方式针对数据进行分析处理，当发现某一主机存在有扫描情况时，自动发出警报；关联器主要是负责针对扫描警报进行整合，一旦某主机扫描行为超过阀值，自动警报。

（2）系统模块

整个系统包含有五个模块，第一，流量采集模块，流量采集模块布置在校园网络关键点，主要针对网络流量信息展开收集和整理，找到可以反映出当前网络状态的特征，并对特征进行统计分析；第二，预警分析模块，与流量采集模块所采集到的信息展开综合分析，评价校园网络安全总体，及时发现存在的异常情况，进行警报；第三，应急响应模块，根据预警分析模块的分析结果，及时响应存在问题的子网，采取切断IP通信或者封堵端口通信等措施进行控制处理；第四，系统管理模块，实时显示系统的统计信息，方便管理人员的操作管理；第五，系统分析报告模块，主要针对系统展开安全分析，以报告形式表现出来。

2.3 系统优化

想要实现针对网络蠕虫病毒的实时监测，提高检测有效性，首先，必须要提高网络蠕虫预警技术实时性，随着当前网络传播的速度不断提高，在网络采样技术以及网络数据捕获技术方面都需要有进一步的优化提高，实现针对网络流量的实时采集以及分析；其次，提高网络蠕虫病毒预警技术精度，随着预警技术的不断出现并应用，当前计算机蠕虫病毒传播隐蔽性越来越高，但是在实际应用过程中，网络数据捕获以及综合分析方面还存在有一定的不足，必须要提高网络异常现场预警的准确性和有效性；最后，展开网络内部检测，当前网络蠕虫检测和控制主要集中在城域网边界部位，在蠕虫病毒的网内攻击方面还需要进一步的优化完善，保证系统内部的控制水平以及预警效果能够更好的满足蠕虫病病毒预警需求。

3 结束语

随着网络传输速度的不断提高，网络应用的使用率以及普及率有了非常明显的提高，很大程度上提高了计算机蠕虫病毒在网络传播方面的速度。当前计算机蠕虫病毒在网络传播的速度以及方式方面有着迅速性和隐蔽性特点，在实际的检测过程中，会有漏报和误报情况出现，导致计算机蠕虫病毒传播过程中在检测方法方面存在有一定的滞后性，通过针对正常网络流量与异常网络流量的对比分析，能够显著提高计算机蠕虫病毒的检测率，保证网络预警技术有效鉴别，实现对网络数据采样技术以及捕获技术的改善。

[1]胡燕，曾小玲，白书琴等.网络蠕虫病毒的检测与防范策略[J].科技展望，2015.

[2]陈兴跃.勒索蠕虫病毒事件反思:网络安全能力急需协同[J].中国信息化，2017.

[3]张楠，苏艳春.浅析如何利用网络回溯分析技术检测蠕虫病毒[J].电子世界，2016.