摘要:計(jì)算機(jī)病毒通過竊取機(jī)密信息、破壞文件系統(tǒng)、修改注冊表或系統(tǒng)指令等手段給用戶的工作和生活造成了嚴(yán)重的危害。本文在分析基于網(wǎng)絡(luò)的病毒傳播模式基礎(chǔ)上，對于計(jì)算機(jī)病毒防御策略進(jìn)行分析，以其提高網(wǎng)絡(luò)計(jì)算機(jī)病毒防御能力。

關(guān)鍵詞:計(jì)算機(jī)病毒 傳播模式 防御策略 網(wǎng)絡(luò)

0 引言

計(jì)算機(jī)病毒的出現(xiàn)由來已久，關(guān)于計(jì)算機(jī)病毒的研究也一直是一個熱門的研究課題。隨著互聯(lián)網(wǎng)的發(fā)展，現(xiàn)有的計(jì)算機(jī)病毒絕大多數(shù)是基于網(wǎng)絡(luò)進(jìn)行傳播的病毒了[1]。人們關(guān)于計(jì)算機(jī)病毒的研究也取得了一定的成果，不僅揭示了病毒傳播的一些特性，也提出了相應(yīng)的對抗措施。

1 基于網(wǎng)絡(luò)的病毒傳播模式

1.1 通過Email進(jìn)行傳播 通過將病毒代碼附屬在Email中進(jìn)行傳播是網(wǎng)絡(luò)病毒傳播的一個主要途徑。由于電子郵箱使用的廣泛性，使得這種傳播方式深受許多病毒制造者的青睞。病毒通過Email進(jìn)行傳播的方法有兩種，一是直接將惡意代碼本身加入到Email中，二是將惡意代碼的URL連接加入到Email中。病毒利用Email進(jìn)行傳播的過程如下:

1.1.1 尋找目標(biāo)地址。病毒在感染主機(jī)的Email地址簿、歷史記錄或硬盤中搜索可用的Email地址。

如Internet臨時文件夾中存放的html文件就可能包含有效的Email地址。如果用戶安裝了諸如Outlook的郵件收發(fā)軟件，病毒還能從中提取出郵件地址。

1.1.2 將自身復(fù)制并發(fā)送出去。病毒掃描到可用的目標(biāo)地址后，就將自身復(fù)制并發(fā)送出去。然而，有的病毒非常隱蔽，它并不直接發(fā)送帶毒的電子郵件，而是感染用戶的信紙，并通過修改系統(tǒng)的設(shè)置，使得郵件的默認(rèn)信紙格式為html格式。當(dāng)用戶發(fā)送郵件時，病毒就會自動感染郵件正文。

1.1.3 激活病毒代碼。病毒代碼到達(dá)接收端后，并不會自動運(yùn)行，而是需要用戶的激活。因此，病毒要想盡辦法誘導(dǎo)用戶激活病毒代碼。病毒會用各種各樣具有欺騙性的標(biāo)題和內(nèi)容來誘騙人們。例如“愛蟲”病毒，就是利用人們對其標(biāo)題的好奇心，引誘用戶打開附件，從而激活病毒代碼。

1.2 通過掃描系統(tǒng)漏洞傳播 蠕蟲病毒代碼是以獨(dú)立程序的方式存在的，它不嵌入到任何宿主文件中。其傳播過程是靠遠(yuǎn)程掃描Intemet中存在漏洞的主機(jī)，利用這些漏洞將自己注入遠(yuǎn)程計(jì)算機(jī)中并取得系統(tǒng)控制權(quán)。然后就可以對受控主機(jī)進(jìn)行攻擊破壞了。

蠕蟲取得系統(tǒng)權(quán)限的方法主要有以下幾種:

1.2.1 利用系統(tǒng)漏洞。蠕蟲常利用一些系統(tǒng)或應(yīng)用軟件的漏洞進(jìn)行傳播。如某些版本的瀏覽器為了實(shí)現(xiàn)預(yù)覽功能，會自動執(zhí)行其中的EML文件。與Email傳播不同的是，利用系統(tǒng)漏洞，蠕蟲常?？梢栽谶h(yuǎn)程獲得聯(lián)網(wǎng)主機(jī)的控制權(quán)。也就是說，它們首先控制目標(biāo)主機(jī)，再將自己復(fù)制過去，進(jìn)而實(shí)施攻擊破壞。

1.2.2 利用局域網(wǎng)傳播。有些局域網(wǎng)的管理員由于缺乏安全意識或工作疏忽，使得某些機(jī)器上的系統(tǒng)文件夾是遠(yuǎn)程可寫的。這往往會給蠕蟲病毒留下了一個可利用的空子。蠕蟲可以直接拷貝自身到局域網(wǎng)中可寫的啟動目錄中，從而進(jìn)行傳播。有些病毒通過在局域網(wǎng)中尋找可寫的win.ini或修改注冊表，使得下次重新啟動后蠕蟲被自動運(yùn)行。

1.2.3 利用服務(wù)器漏洞。蠕蟲還可以利用一些常見的服務(wù)器漏洞，如IIS漏洞，IFrame漏洞等，獲取遠(yuǎn)程服務(wù)器的控制權(quán)。之后，蠕蟲就可以隨意將惡意代碼上傳至服務(wù)器。從而導(dǎo)致所有訪問該服務(wù)器的客戶機(jī)都感染該蠕蟲病毒。

2 計(jì)算機(jī)病毒防御策略

解決病毒攻擊的理想辦法是對病毒進(jìn)行預(yù)防，即抑制病毒在網(wǎng)絡(luò)中的傳播，但由于受網(wǎng)絡(luò)復(fù)雜性和具體技術(shù)的制約，預(yù)防病毒仍很難實(shí)現(xiàn)[2]。當(dāng)前，對計(jì)算機(jī)病毒的防治還僅僅是以檢測和清除為主[2]。目前的病毒防御措施主要有兩種:基于主機(jī)的病毒防治策略和基于網(wǎng)絡(luò)的病毒防治策略。

2.1 基于主機(jī)的檢測策略 基于主機(jī)的病毒防治策略主要有:特征碼匹配技術(shù)、權(quán)限控制技術(shù)和完整性驗(yàn)證技術(shù)三大類。

2.1.1 特征碼匹配:通過對到達(dá)主機(jī)的代碼進(jìn)行掃描，并與病毒特征庫中的特征碼進(jìn)行匹配以判斷該代碼是否是惡意的。特征碼掃描技術(shù)認(rèn)為“同一種病毒或同類病毒具有部分相同的代碼”。也就是說，如果病毒及其變種具有某種共性，則可以將這種共性描述為“特征碼”，并通過比較程序體和“特征碼”來查找病毒。采用病毒特征碼掃描法的檢測工具，對于出現(xiàn)的新病毒，必須不斷進(jìn)行更新，否則檢測就會失去價值。病毒特征碼掃描法不認(rèn)識新病毒的特征代碼，自然也就無法檢測出新病毒。

2.1.2 權(quán)限控制技術(shù):惡意代碼進(jìn)入計(jì)算機(jī)系統(tǒng)后必須具有運(yùn)行權(quán)限才能造成破壞。因此，如果能夠恰當(dāng)控制計(jì)算機(jī)系統(tǒng)中程序的權(quán)限，使其僅僅具備完成正常任務(wù)的最小權(quán)限，那么即使惡意代碼嵌入到某程序中也不能實(shí)施破壞口。這種病毒檢測技術(shù)要能夠探測并識別可疑程序代碼指令序列，對其安全級別進(jìn)行排序，并依據(jù)病毒代碼的特點(diǎn)賦予不同的加權(quán)值。如果一個程序指令序列的加權(quán)值的總和超過一個許可的閾值，就說明該程序中存在病毒。

2.1.3 完整性技術(shù):通常大多數(shù)的病毒代碼都不是獨(dú)立存在的，而是嵌入或依附在其它文檔程序中的，一旦文件或程序被病毒感染，其完整性就會遭到破壞。在使用文件的過程中，定期地或每次使用文件前，檢查文件內(nèi)容是否與原來保存的一致，就可以發(fā)現(xiàn)文件是否被感染。文件完整性檢測技術(shù)主要檢查文件兩次使用過程中的變化情況。病毒要想成功感染一個文件而不做任何改動是非常難的，所以完整性驗(yàn)證技術(shù)是一個十分有效的檢測手段。

基于主機(jī)的防治策略要求所有用戶的機(jī)器上都要安裝相應(yīng)的防毒軟件，并且要求用戶能夠及時更新防毒軟件。因此，存在著可管理性差、成本高的缺點(diǎn)。

2.2 基于網(wǎng)絡(luò)的檢測策略 基于網(wǎng)絡(luò)的病毒檢測技術(shù)主要有異常檢測和誤用檢測兩大類。

2.2.1 異常檢測:病毒在傳播時通常發(fā)送大量的網(wǎng)絡(luò)掃描探測包，導(dǎo)致網(wǎng)絡(luò)流量明顯增加。因此，檢測病毒的異常行為進(jìn)而采取相應(yīng)的控制措施是一種有效的反病毒策略。異常檢測具有如下優(yōu)點(diǎn):能夠迅速發(fā)現(xiàn)網(wǎng)絡(luò)流量的異常，進(jìn)而采取措施，避免大規(guī)模的網(wǎng)絡(luò)擁塞和惡意代碼的傳播;不僅能夠檢測出已知的病毒，而且也能夠檢測到未知病毒。缺點(diǎn)在于誤報率較高。

2.2.2 誤用檢測:該技術(shù)也是基于特征碼的。誤用檢測通過比較待檢測數(shù)據(jù)流與特征庫中的特征碼，分析待測數(shù)據(jù)流中是否存在病毒。用于檢測的特征碼規(guī)則主要有協(xié)議類型、特征串、數(shù)據(jù)包長度、端口號等。該策略的優(yōu)點(diǎn)在于檢測比較準(zhǔn)確，能夠檢測出具體的病毒類型。缺點(diǎn)是不能檢測出未知的病毒，且需要花費(fèi)大量的時間和精力去管理病毒特征庫?；诰W(wǎng)絡(luò)的防治策略能夠從宏觀上控制病毒的傳播，并且易于實(shí)現(xiàn)和維護(hù)。

3 結(jié)語

首先針對計(jì)算機(jī)病毒發(fā)展的趨勢-利用互聯(lián)網(wǎng)進(jìn)行傳播，分析了病毒通過網(wǎng)絡(luò)進(jìn)行傳播的模式。著重分析了病毒通過Email進(jìn)行傳播和通過掃描漏洞進(jìn)行傳播這兩種最常見的模式。研究計(jì)算機(jī)的傳播模型就是為了更好地了解病毒的傳播特性，從而制定高效的病毒檢測和防御策略，用于對抗日益增長的計(jì)算機(jī)病毒。本文介紹了當(dāng)前的幾種病毒檢測策略，包括基于主機(jī)的檢測技術(shù)和基于網(wǎng)絡(luò)的檢測技術(shù)。

參考文獻(xiàn):

[1]張瑜，李濤，吳麗華，等.計(jì)算機(jī)病毒演化模型及分析[J].電子科技大學(xué)學(xué)報.2009.38(3).

[2]姚渝春，李杰，王成紅.計(jì)算機(jī)病毒防御策略[J].重慶大學(xué)學(xué)報(自然科學(xué)版).2003.26(9).