畢久陽

(國防大學(xué)政治學(xué)院教研保障中心，上海 201703)

計算機病毒是網(wǎng)絡(luò)安全的最大威脅。病毒可以毀壞數(shù)據(jù)、中斷操作、影響和破壞系統(tǒng)。網(wǎng)絡(luò)蠕蟲作為一種特殊的計算機病毒，其巨大的破壞作用已經(jīng)越來越為人們所熟知。2017年5月爆發(fā)的勒索病毒，就屬于網(wǎng)絡(luò)蠕蟲病毒。此病毒很短時間內(nèi)在全球大范圍傳播。由此，對于網(wǎng)絡(luò)蠕蟲病毒的防范問題開始倍受人們的關(guān)注。

一、網(wǎng)絡(luò)蠕蟲病毒的概念以及特點

網(wǎng)絡(luò)蠕蟲病毒是無須計算機使用者干預(yù)即可運行的獨立程序，它通過不停地獲得網(wǎng)絡(luò)中存在漏洞的計算機上的部分或全部控制權(quán)來進行傳播[1]。作為一種特殊的計算機病毒程序，網(wǎng)絡(luò)蠕蟲具有主動攻擊、行蹤隱蔽、利用漏洞、反復(fù)性和破壞性等特征。相比其他的計算機惡意程序，網(wǎng)絡(luò)蠕蟲還有著傳播速度快、傳播過程自動化、防治難度大等獨有的特點。

網(wǎng)絡(luò)蠕蟲病毒對信息系統(tǒng)的影響有以下幾個方面：

(一)造成網(wǎng)絡(luò)擁塞：蠕蟲是依賴系統(tǒng)漏洞來進行傳播的，在傳播過程中要尋找攻擊目標(biāo)，同時蠕蟲副本在不同機器之間傳遞，這都會產(chǎn)生大量的網(wǎng)絡(luò)數(shù)據(jù)流量。

(二)占用系統(tǒng)資源：計算機系統(tǒng)感染蠕蟲病毒后，系統(tǒng)內(nèi)部會產(chǎn)生病毒的多個副本。大量的進程會耗費系統(tǒng)資源，導(dǎo)致系統(tǒng)的性能下降。

(三)留下安全隱患：蠕蟲病毒會搜集、擴散系統(tǒng)敏感信息，并且在系統(tǒng)中留下后門程序，這些都會導(dǎo)致未來的安全隱患。

(四)破壞系統(tǒng)：蠕蟲往往結(jié)合計算機病毒技術(shù)，在其有效載荷中裝入破壞系統(tǒng)的代碼(程序)，這種攻擊會導(dǎo)致系統(tǒng)崩潰。

二、網(wǎng)絡(luò)蠕蟲病毒的防范對策

網(wǎng)絡(luò)蠕蟲病毒嚴(yán)重威脅了信息系統(tǒng)的安全，病毒的防范可以分為以下四個階段。

(一)預(yù)防階段

網(wǎng)絡(luò)蠕蟲病毒的爆發(fā)是不為人所預(yù)知的，所以做好預(yù)防工作，是避免蠕蟲爆發(fā)的必要手段。在預(yù)防階段主要是對信息系統(tǒng)進行周期性漏洞掃描。蠕蟲的傳播依賴于系統(tǒng)漏洞，只要我們及時發(fā)現(xiàn)信息系統(tǒng)中存在的漏洞，打上漏洞補丁，就會大大減少被感染的幾率。

(二)檢測階段

預(yù)防只能是降低系統(tǒng)感染的幾率，而不能完全杜絕，檢測是防范蠕蟲爆發(fā)的主要手段。目前主要的網(wǎng)絡(luò)蠕蟲檢測方法有以下幾種：

1.數(shù)據(jù)內(nèi)容過濾方法。在子網(wǎng)的邊界路由器上進行流量監(jiān)測，并計算網(wǎng)絡(luò)上所有長度為一定值的字符串的簽名。如果某些數(shù)據(jù)包頻繁出現(xiàn)在所監(jiān)控的網(wǎng)絡(luò)上，就會得到大量重復(fù)的簽名。當(dāng)重復(fù)次數(shù)超過某個閾值時，說明蠕蟲病毒正在傳播，就可以根據(jù)得到的簽名進行數(shù)據(jù)內(nèi)容過濾[2]。

2.網(wǎng)絡(luò)協(xié)議信息過濾方法。這種檢測方法不檢查網(wǎng)絡(luò)數(shù)據(jù)包的內(nèi)容部分，只檢查數(shù)據(jù)包的TCP層和IP層協(xié)議信息。網(wǎng)絡(luò)蠕蟲病毒在傳播時一般都是針對某一個系統(tǒng)漏洞，因此其掃描和攻擊行為也是針對網(wǎng)絡(luò)中計算機的特定端口。如果在一段時間內(nèi)檢測到的某個特定端口的流量出現(xiàn)反常，即可推測蠕蟲病毒正在傳播。

3.趨勢檢測方法。內(nèi)容和協(xié)議信息過濾方法都存在一個問題，就是如何選取作為異常判斷標(biāo)準(zhǔn)的閾值。如果閾值取得過低，會得到較多的誤報，反之則會導(dǎo)致漏報上升。針對這種情況又提出了一種無閾值蠕蟲病毒預(yù)警方案，就是檢測異常情況的發(fā)展趨勢，而不是異常情況出現(xiàn)的次數(shù)[3]。普遍都認(rèn)為蠕蟲傳播時遵循流行病學(xué)模型，如果網(wǎng)絡(luò)上確實存在蠕蟲病毒傳播，檢測到的異常主機數(shù)量的增長過程將服從一定規(guī)律。通過估計網(wǎng)絡(luò)蠕蟲病毒的傳播參數(shù)，來判定當(dāng)前網(wǎng)絡(luò)上的異常主機數(shù)量增長過程是否服從流行病學(xué)模型，從而判斷網(wǎng)絡(luò)上是否有蠕蟲傳播。

(三)遏制階段

確認(rèn)網(wǎng)絡(luò)上有蠕蟲在傳播之后，就必須及時采取措施來遏制蠕蟲的傳播，使傳播受到限制，減少損失。目前主要的遏制方法有：

1.隔離：隔離又分為單機隔離和網(wǎng)絡(luò)隔離兩種。單機隔離是通過禁用本機網(wǎng)卡或者拔掉網(wǎng)線，中斷本機和外界的聯(lián)系，防止蠕蟲擴散到網(wǎng)絡(luò)中的其他計算機中；網(wǎng)絡(luò)隔離就是對出現(xiàn)蠕蟲病毒的子網(wǎng)的出口路由設(shè)備進行配置，對蠕蟲傳播所利用的相應(yīng)端口進行關(guān)閉，防止蠕蟲擴散到別的網(wǎng)絡(luò)中去。

2.疏導(dǎo)：使用網(wǎng)絡(luò)欺騙的手段，將來自于蠕蟲感染主機或者網(wǎng)絡(luò)的流量重新引導(dǎo)到一個實際不存在的“地址黑洞”中，從而切斷蠕蟲繼續(xù)傳播的途徑，達(dá)到遏制蠕蟲傳播的目的。

(四)清除階段

網(wǎng)絡(luò)蠕蟲病毒爆發(fā)后會留下大量的蠕蟲病毒體，被感染主機的一些設(shè)置也會被修改，系統(tǒng)功能受到影響。為恢復(fù)信息系統(tǒng)的正常運轉(zhuǎn)，必須對蠕蟲病毒爆發(fā)后的受害主機進行修復(fù)，主要通過以下方法進行：

1.殺毒軟件清除：通過分析并提取蠕蟲體的特征字符串，加入到殺毒軟件病毒庫中，對受感染主機進行修復(fù)。

2.良性蠕蟲對抗：利用網(wǎng)絡(luò)蠕蟲主動傳播的特點，編寫相應(yīng)的蠕蟲清除程序，實現(xiàn)大范圍自動化的蠕蟲清除。這種方法大大的提高了清除蠕蟲的效率。

三、小結(jié)

目前，網(wǎng)絡(luò)蠕蟲病毒防御技術(shù)還不成熟，在與病毒的對抗中，防御還是處于被動狀態(tài)。未來蠕蟲病毒攻擊將會呈現(xiàn)多種技術(shù)結(jié)合，復(fù)雜度和攻擊強度增加，傳播更加快速等趨勢。開發(fā)切實有效的蠕蟲防御技術(shù)，尤其是網(wǎng)絡(luò)蠕蟲的早期檢測技術(shù)，是解決網(wǎng)絡(luò)蠕蟲病毒防御問題的關(guān)鍵，需要繼續(xù)不斷的探索。