浅析网络蠕虫病毒的防范对策

2019-01-15毕久阳

山西青年 2019年20期

毕久阳

(国防大学政治学院教研保障中心，上海 201703)

计算机病毒是网络安全的最大威胁。病毒可以毁坏数据、中断操作、影响和破坏系统。网络蠕虫作为一种特殊的计算机病毒，其巨大的破坏作用已经越来越为人们所熟知。2017年5月爆发的勒索病毒，就属于网络蠕虫病毒。此病毒很短时间内在全球大范围传播。由此，对于网络蠕虫病毒的防范问题开始倍受人们的关注。

一、网络蠕虫病毒的概念以及特点

网络蠕虫病毒是无须计算机使用者干预即可运行的独立程序，它通过不停地获得网络中存在漏洞的计算机上的部分或全部控制权来进行传播[1]。作为一种特殊的计算机病毒程序，网络蠕虫具有主动攻击、行踪隐蔽、利用漏洞、反复性和破坏性等特征。相比其他的计算机恶意程序，网络蠕虫还有着传播速度快、传播过程自动化、防治难度大等独有的特点。

网络蠕虫病毒对信息系统的影响有以下几个方面：

(一)造成网络拥塞：蠕虫是依赖系统漏洞来进行传播的，在传播过程中要寻找攻击目标，同时蠕虫副本在不同机器之间传递，这都会产生大量的网络数据流量。

(二)占用系统资源：计算机系统感染蠕虫病毒后，系统内部会产生病毒的多个副本。大量的进程会耗费系统资源，导致系统的性能下降。

(三)留下安全隐患：蠕虫病毒会搜集、扩散系统敏感信息，并且在系统中留下后门程序，这些都会导致未来的安全隐患。

(四)破坏系统：蠕虫往往结合计算机病毒技术，在其有效载荷中装入破坏系统的代码(程序)，这种攻击会导致系统崩溃。

二、网络蠕虫病毒的防范对策

网络蠕虫病毒严重威胁了信息系统的安全，病毒的防范可以分为以下四个阶段。

(一)预防阶段

网络蠕虫病毒的爆发是不为人所预知的，所以做好预防工作，是避免蠕虫爆发的必要手段。在预防阶段主要是对信息系统进行周期性漏洞扫描。蠕虫的传播依赖于系统漏洞，只要我们及时发现信息系统中存在的漏洞，打上漏洞补丁，就会大大减少被感染的几率。

(二)检测阶段

预防只能是降低系统感染的几率，而不能完全杜绝，检测是防范蠕虫爆发的主要手段。目前主要的网络蠕虫检测方法有以下几种：

1.数据内容过滤方法。在子网的边界路由器上进行流量监测，并计算网络上所有长度为一定值的字符串的签名。如果某些数据包频繁出现在所监控的网络上，就会得到大量重复的签名。当重复次数超过某个阈值时，说明蠕虫病毒正在传播，就可以根据得到的签名进行数据内容过滤[2]。

2.网络协议信息过滤方法。这种检测方法不检查网络数据包的内容部分，只检查数据包的TCP层和IP层协议信息。网络蠕虫病毒在传播时一般都是针对某一个系统漏洞，因此其扫描和攻击行为也是针对网络中计算机的特定端口。如果在一段时间内检测到的某个特定端口的流量出现反常，即可推测蠕虫病毒正在传播。

3.趋势检测方法。内容和协议信息过滤方法都存在一个问题，就是如何选取作为异常判断标准的阈值。如果阈值取得过低，会得到较多的误报，反之则会导致漏报上升。针对这种情况又提出了一种无阈值蠕虫病毒预警方案，就是检测异常情况的发展趋势，而不是异常情况出现的次数[3]。普遍都认为蠕虫传播时遵循流行病学模型，如果网络上确实存在蠕虫病毒传播，检测到的异常主机数量的增长过程将服从一定规律。通过估计网络蠕虫病毒的传播参数，来判定当前网络上的异常主机数量增长过程是否服从流行病学模型，从而判断网络上是否有蠕虫传播。

(三)遏制阶段

确认网络上有蠕虫在传播之后，就必须及时采取措施来遏制蠕虫的传播，使传播受到限制，减少损失。目前主要的遏制方法有：

1.隔离：隔离又分为单机隔离和网络隔离两种。单机隔离是通过禁用本机网卡或者拔掉网线，中断本机和外界的联系，防止蠕虫扩散到网络中的其他计算机中；网络隔离就是对出现蠕虫病毒的子网的出口路由设备进行配置，对蠕虫传播所利用的相应端口进行关闭，防止蠕虫扩散到别的网络中去。

2.疏导：使用网络欺骗的手段，将来自于蠕虫感染主机或者网络的流量重新引导到一个实际不存在的“地址黑洞”中，从而切断蠕虫继续传播的途径，达到遏制蠕虫传播的目的。

(四)清除阶段

网络蠕虫病毒爆发后会留下大量的蠕虫病毒体，被感染主机的一些设置也会被修改，系统功能受到影响。为恢复信息系统的正常运转，必须对蠕虫病毒爆发后的受害主机进行修复，主要通过以下方法进行：

1.杀毒软件清除：通过分析并提取蠕虫体的特征字符串，加入到杀毒软件病毒库中，对受感染主机进行修复。

2.良性蠕虫对抗：利用网络蠕虫主动传播的特点，编写相应的蠕虫清除程序，实现大范围自动化的蠕虫清除。这种方法大大的提高了清除蠕虫的效率。