廣東藥學院附屬第一醫(yī)院 葉 森

基于局域網(wǎng)的計算機蠕蟲檢測技術研究與實現(xiàn)

廣東藥學院附屬第一醫(yī)院 葉 森

在計算機飛速發(fā)展的情況下，互聯(lián)網(wǎng)病毒防范成為了保障信息安全的一項重點工作。在本文中，將就基于局域網(wǎng)的計算機蠕蟲檢測技術實現(xiàn)進行一定的研究。

局域網(wǎng)；計算機；蠕蟲檢測技術

1. 引言

在計算機網(wǎng)絡技術不斷發(fā)展的情況下，計算機網(wǎng)絡成為了人們工作當中不可缺少的工具之一，并對其具有了更大的依賴性。在該種情況下，計算機安全防范成為了一項非常重要的工作，即避免因信息泄露、破壞等對工作安全產(chǎn)生危害。其中，計算機蠕蟲是一類危害較大的病毒類型，需要在日常工作開展中做好其防范。

2. 蠕蟲病毒概述

2.1概念

蠕蟲是出現(xiàn)在生物學專業(yè)的詞匯，在計算機領域中，其是一種智能化、自動化且能夠對網(wǎng)絡進行綜合攻擊的病毒技術，能夠在不受到人干預的情況下對代碼進行攻擊，并通過網(wǎng)絡存在的漏洞對主機進行攻擊，在借助局域網(wǎng)的情況下從一個節(jié)點傳到另一個節(jié)點，進而對計算機造成較大的破壞。根據(jù)其傳播方式的不同，可以將其分為不同的類型，其中，常見的類型有IM蠕蟲、P2P蠕蟲以及漏洞傳播蠕蟲等。

2.2攻擊手段

對于蠕蟲病毒，其主要攻擊手段有：第一，緩沖區(qū)溢出攻擊。根據(jù)相關部門統(tǒng)計，在互聯(lián)網(wǎng)上，絕大多數(shù)的攻擊都為緩沖區(qū)溢出技術，在該技術中，攻擊者通過探測程序的應用對計算機當中可以利用的緩沖區(qū)隱患進行尋找，之后使用蠕蟲病毒對其進行溢出操作，即通過惡意代碼的應用對攻擊程序進行執(zhí)行，進而實現(xiàn)目標節(jié)點控制權的掌握；第二，弱密碼攻擊手段。在該方式中，蠕蟲病毒自身具有一個弱密碼字典，在該字典當中，具有部分常用的密碼以及用戶名，能夠在將各類用戶名以及密碼進行組合之后進行遠程連接的建立，在將其反傳給遠程系統(tǒng)之后開展下一輪攻擊。在該方式具體操作中，蠕蟲病毒設計人員則提升測試頻率以及準確密碼、用戶名提供的基礎上能夠使蠕蟲病毒具有較好的傳播條件；第三，除了上述兩種手段之外，還具有DOS、DDOS以及字符串攻擊手段等。

3. 計算機蠕蟲病毒檢測技術

3.1特征匹配檢測技術

在該技術中，其能夠對已知蠕蟲進行檢測，即在對蠕蟲病毒重點特征進行檢測的基礎上聯(lián)系特征情況對規(guī)則庫進行生成，在將采集獲得的數(shù)據(jù)包同規(guī)則庫中規(guī)則進行匹配的基礎上對蠕蟲攻擊特征進行把握。具體方式方面：第一，通過系統(tǒng)平臺獲取網(wǎng)絡數(shù)據(jù)包，并對不同的數(shù)據(jù)包進行全面檢查，對其中存在的攻擊特征進行尋找；第二，如果經(jīng)過檢查發(fā)現(xiàn)其同攻擊特征長度一致，則需要及時從數(shù)據(jù)包當中取出，并對兩組不同的字節(jié)特征情況進行比較，如果經(jīng)過比較發(fā)現(xiàn)兩者結果一致，則表明已經(jīng)檢測到了攻擊。如果經(jīng)過比對發(fā)現(xiàn)兩者結果不同，則需要從該數(shù)據(jù)包的下個字節(jié)處再次進行對比，直至數(shù)據(jù)包匹配完成或者找到攻擊。在完成檢測工作之后，則需要再一次對攻擊特征進行比較，保證不同攻擊特征都能夠具有匹配的特點。

3.2協(xié)議分析檢測技術

在計算機網(wǎng)絡當中，網(wǎng)絡協(xié)議是重要的核心，如TCP/IP協(xié)議等。同時，網(wǎng)絡協(xié)議分析也是一項非常重要的技術類型，在網(wǎng)絡安全方面具有著十分重要的作用。在實際工作開展中，而教義通過對數(shù)據(jù)包的協(xié)議分析對數(shù)據(jù)包當中所具有的協(xié)議內(nèi)容進行獲取，具體包括數(shù)據(jù)包的獲取、過濾以及協(xié)議分析。就目前來說，單一的檢測方式并不能夠對蠕蟲檢測這項工作的要求進行滿足，需要通過多種技術共同檢測方式的應用以更為全面的方式對來自蠕蟲的攻擊進行檢測。對此，則可以對傳統(tǒng)特征匹配優(yōu)勢進行融合，同協(xié)議分析技術一起對蠕蟲進行檢測，在發(fā)現(xiàn)病毒存在之后發(fā)出響應信息，并對蠕蟲的攻擊進行阻止。在該過程中，即通過分析引擎應用對數(shù)據(jù)包協(xié)議進行分析后通過特征匹配的方式對數(shù)據(jù)包進行分析以及監(jiān)測，可以說是蠕蟲信息進行檢測的核心部分。流程方面，其先將數(shù)據(jù)報進行截獲，將其傳輸動協(xié)議命令解析模塊之后對不同協(xié)議進行判斷以及分析，在對系統(tǒng)規(guī)則庫進行借助的基礎上做好匹配工作，以此判斷相關數(shù)據(jù)是否存在入侵到系統(tǒng)的嫌疑，之后再通過響應系統(tǒng)的應用進行處理。

3.3概率檢測技術

面對未知代碼蠕蟲病毒，具有時候分析以及實時檢測這兩種方式。其中，實時自動檢測即聽過對流量的實時檢測對蠕蟲的攻擊行為進行發(fā)揮，能夠在對蠕蟲早期攻擊進行發(fā)現(xiàn)的基礎上對及時的信息數(shù)據(jù)進行提供，有利于相關解決方案的制定；事后分析方面，即管理人員發(fā)現(xiàn)網(wǎng)絡存在問題后及時做好網(wǎng)絡數(shù)據(jù)包的研究，在尋找到蠕蟲病毒特征碼之后將其放置到數(shù)據(jù)庫當中。對于該種方式來說，其更利于未來檢測工作的開展，但不可避免的會使大部分計算機因此受到感染。

3.4蜜罐技術檢測法

所謂蜜罐，即為一個安全資源，通過其設置，即為了更好的對攻擊進行記錄。實際上，蜜罐即是一個具有多種漏洞計算機的設置，并使其同網(wǎng)絡進行連接。作為管理人員，在對該計算機進行設置時，即對其身上所具有的漏洞具有全面的了解，當具有網(wǎng)絡入侵情況時，蜜罐則會以自動的方式將該次入侵過程進行記錄，便于管理人員對相關問題進行分析。在實際應用中，其可以應用在攻擊檢測、阻止、捕獲以及分析方面，當蠕蟲處于攻擊狀態(tài)下時，蜜罐則會根據(jù)自身優(yōu)勢在網(wǎng)絡當中對蠕蟲進行分析以及識別，并對蠕蟲的特征進行提供。

4. 檢測技術模塊實現(xiàn)

4.1基于局域網(wǎng)蠕蟲監(jiān)測模型設計

根據(jù)蠕蟲傳播特點，對檢測模型進行建立。該檢測模型由5層組成：數(shù)據(jù)采集層、檢測分析層、數(shù)據(jù)提取層、響應層以及控制層，且在工作開展當中這幾個層之間互相聯(lián)系。通過該模型的建立，則能夠在結合未知以及已知蠕蟲的基礎上進行檢測研究，具有著較強的代表性。

4.2模型關鍵模塊設計

4.2.1數(shù)據(jù)包模塊

在該系統(tǒng)中，通過數(shù)據(jù)包抓取的方式處理并進行數(shù)據(jù)的過濾，之后再將其對其他模塊提供處理。在該流程中，包括有監(jiān)聽網(wǎng)絡設備選擇、網(wǎng)絡設備打開、監(jiān)聽建立、數(shù)據(jù)包獲取、過濾器設置以及函數(shù)回調(diào)等階段，并對完整的數(shù)據(jù)包庫進行建立。

4.2.2協(xié)議分析模塊

在該模塊中，將對所獲取的數(shù)據(jù)包進行分析，并對其中的目標地址、協(xié)議類型、原地址以及端口型號等提出。之后聯(lián)系TCP/IP協(xié)議進行方法分析。

4.2.3特征匹配模塊

在完成網(wǎng)絡數(shù)據(jù)包的捕獲之后，通過函數(shù)的應用將數(shù)據(jù)包長度同LLC進行比較檢驗，對符合要求的數(shù)據(jù)包進行保存，在開始特征匹配后，則對具有不同特征的數(shù)據(jù)進行匹配。如果匹配完成，則數(shù)據(jù)包存在攻擊，如果沒有，則繼續(xù)進行下一步特征處理。

5. 結束語

蠕蟲檢測是計算機應用中的重點工作，在實際工作開展中，需要做好檢測技術的研究與把握，保障計算機應用安全。

［1］胡燕，曾小玲，白書琴.網(wǎng)絡蠕蟲病毒的檢測與防范策略［J］.科技展望.2015（25）：44-45.

［2］王欣.智能蠕蟲自動遏制方案［J］.山西經(jīng)濟管理干部學院學報.2013（01）：111-112.

［3］周然，庹寧.蠕蟲病毒的傳播原理與防治［J］.金融科技時代.2011（02）：99-100.

［4］強麟.蠕蟲病毒分析及其防范措施淺析［J］.信息系統(tǒng)工程.2011（04）：77-79.