馬斐

(國家能源集團山東石橫熱電有限公司 山東泰安 271621)

信息時代背景下，網(wǎng)絡(luò)化、信息化趨勢愈加明顯，在社會生產(chǎn)生活中所起到的作用愈加顯著。計算機網(wǎng)絡(luò)為代表的現(xiàn)代化信息技術(shù)飛快發(fā)展，打破了時空壁壘限制，在加快信息傳播速度和范圍的同時，有效提升信息利用率。計算機網(wǎng)絡(luò)可以促進國家機關(guān)工作效率提升，也可以為市場上的企業(yè)創(chuàng)造更大的經(jīng)濟效益，但由于網(wǎng)絡(luò)型病毒傳播速度快、范圍廣，在無形中威脅著計算機網(wǎng)絡(luò)安全。所以，為了有效抵御病毒入侵，應(yīng)大力發(fā)展計算機網(wǎng)絡(luò)安全技術(shù)，在摸索病毒活動規(guī)律和運作過程基礎(chǔ)上，才能因地制宜，選擇合理有效的安全技術(shù)進行防范，維護計算機網(wǎng)絡(luò)運行安全。

1 網(wǎng)絡(luò)型病毒的定義和特點

1.1 網(wǎng)絡(luò)型病毒的定義

網(wǎng)絡(luò)型病毒是計算機病毒中具有代表性的一種，盡管人們對網(wǎng)絡(luò)型病毒的認知水平逐步提升，但是對其定義仍然存在一定分歧。大致可以歸結(jié)為兩種觀點：一種是計算機網(wǎng)絡(luò)型病毒主要是通過計算機網(wǎng)絡(luò)結(jié)構(gòu)框架、網(wǎng)絡(luò)協(xié)議體系來傳播。因此，網(wǎng)絡(luò)型病毒僅僅是局限于計算機網(wǎng)絡(luò)范圍內(nèi)，攻擊對象時計算機網(wǎng)絡(luò)內(nèi)部的用戶[1]；另一種觀點與之相比更加廣泛，清掉病毒破壞的對象不僅僅局限于網(wǎng)絡(luò)或是網(wǎng)絡(luò)內(nèi)用戶，只要編寫的病毒程序都可以在計算機網(wǎng)絡(luò)上成功傳播的病毒，均屬于計算機網(wǎng)絡(luò)型病毒。

1.2 網(wǎng)絡(luò)型病毒的特點

隨著時代進步和發(fā)展，計算機網(wǎng)絡(luò)技術(shù)也在不斷推陳出新，進入新的發(fā)展階段，相應(yīng)的網(wǎng)絡(luò)型病毒也發(fā)生了翻天覆地的變化，其特點變得更加多樣化。

1.2.1 病毒傳播更加迅速、廣泛，傳播途徑多樣化

由于網(wǎng)絡(luò)型病毒自身特點，依托于互聯(lián)網(wǎng)郵件、通信接口和網(wǎng)絡(luò)端口等途徑傳播，相較于傳統(tǒng)磁介質(zhì)傳播渠道而言有著本質(zhì)差異。攻擊對象也不再局限于單一主機，而是擴展到移動客戶端、工作站以及無線網(wǎng)絡(luò)覆蓋的所有設(shè)備[2]。

1.2.2 病毒清理難度大

信息時代背景下，網(wǎng)絡(luò)已經(jīng)滲透人們工作、學習和生活各個角落，僅憑一個網(wǎng)絡(luò)端口，即可感染所有連接的計算機設(shè)備，借由網(wǎng)絡(luò)提供計算服務(wù)的端口和設(shè)備更進一步傳播蔓延。因此，新型的網(wǎng)絡(luò)型病毒徹底清理難度較大。

1.2.3 病毒編寫方式多樣化

目前，病毒編寫語言工具多樣，包括C語言、Delphi、ASM 匯編語言、VC++、C++、VBScript 以及JavaScript 等。為了躲避計算機殺毒軟件搜索，很多新型網(wǎng)絡(luò)型病毒基于復(fù)合編程語言來編寫，可以實現(xiàn)快速復(fù)制和傳播。而且還有部分不法運營商為了提升病毒出現(xiàn)速度，花費高價編寫病毒程度，造成病毒的大肆傳播[3]。

1.2.4 病毒攜帶方式多樣化

網(wǎng)絡(luò)型病毒可以依附在各種應(yīng)用程序或是文件中，便于大范圍傳播。攜帶病毒的除了網(wǎng)絡(luò)程序或是網(wǎng)頁下載的文件以外，還可以是電子郵件、電子公告欄等。

1.2.5 病毒趨于智能化和隱蔽化

計算機網(wǎng)絡(luò)技術(shù)升級同時，網(wǎng)絡(luò)型病毒也在不斷更新，尤其是目前自我防御、加密隱身和跟蹤型網(wǎng)絡(luò)安全技術(shù)廣泛應(yīng)用下，導致出現(xiàn)的很多新型網(wǎng)絡(luò)病毒更加隱蔽化、智能化，為計算機網(wǎng)絡(luò)安全帶來了更大的威脅[4]。對部分新型病毒，相較于傳統(tǒng)網(wǎng)絡(luò)型病毒而言有著顯著差異，新型的網(wǎng)絡(luò)型病毒將多種病毒特性，不僅破壞性增強，清理難度也大大增加。

1.2.6 病毒攻擊對象更加精準化

對一些不法分子，網(wǎng)絡(luò)型病毒已經(jīng)成為一種武器，具有精準攻擊目標的特點。網(wǎng)絡(luò)型病毒可能會針對性攻擊經(jīng)濟、政治安全相關(guān)信息，導致很多涉及重大商業(yè)機密、國家安全的重要信息被竊取，破壞社會秩序和國家穩(wěn)定。

2 網(wǎng)絡(luò)型病毒的分類及危害

網(wǎng)絡(luò)型病毒具有極強破壞性，就目前常見的網(wǎng)絡(luò)型病毒來看，主要有蠕蟲病毒、木馬病毒這幾種，如果是按照傳播途徑劃分，則包括漏洞型病毒和郵件病毒。

2.1 蠕蟲病毒

對于蠕蟲病毒，主要是依托于htm文件和MIRC腳本傳播，在感染計算機后自動尋找本地驅(qū)動器，搜索目錄可以感染文件，病毒代碼會直接覆蓋原本的文件內(nèi)容，文件擴展名也會調(diào)整為vbs。而且蠕蟲病毒會占據(jù)大量的計算機資源，因此計算機中了蠕蟲病毒的一個典型特點就是運行速度變慢，卡頓現(xiàn)象嚴重。比如：尼姆達是一種典型的蠕蟲病毒，郵件是傳播主要途徑[5]?；卩]件擴展類型（MIME）信息存在，包含一個text/html類型的空文本以及一個audio/x2wav類型的可執(zhí)行文件進行傳播。借助IIS WEB提供計算服務(wù)的設(shè)備傳播，蠕蟲病毒會啟動一個TFTP 提供計算服務(wù)的設(shè)備，實現(xiàn)UDP/69端口監(jiān)聽。確定供給IP地址后，Nimda開始掃描IP 地址。對于尼姆達病毒而言，會先掃描/scripts/Root.exe 后門程序，基于這個程序來執(zhí)行命令，如以下代碼。

此種方式主要是為了傳播本機IP地址的admin.dll文件，而這即是病毒，是擴展名轉(zhuǎn)換為dll，病毒控制權(quán)限進一步提升。指令下達成功后，已經(jīng)傳播蠕蟲病毒到攻擊主機上，然后激活運行蠕蟲病毒，代碼如下。

請求激活運行蠕蟲病毒，這時的蠕蟲病毒則是按照管理員權(quán)限運行，可以有效躲避殺毒軟件的掃描查殺。

如果是通過網(wǎng)頁傳播，對于已經(jīng)感染蠕蟲病毒的服務(wù)器，Nimda會修改www網(wǎng)頁文件，用戶只要瀏覽該網(wǎng)站即可被感染。蠕蟲通過Admin.dll運行，生成新程序Mmc.exe，在計算機系統(tǒng)硬盤中自動搜索后綴名是*.html，*.asp，*.htm，文件名則是Readme、Main、Index 以及Default 的文件。發(fā)現(xiàn)此類文件后，會在該目錄下創(chuàng)建格式為Readme.eml 的文件，其中包含了蠕蟲拷貝，在文件末位增加如下代碼。

這樣用戶在瀏覽有病毒的網(wǎng)頁時，借助IE瀏覽器異常處理MIME 頭軟硬件和協(xié)議具體實現(xiàn)上的缺陷，傳播蠕蟲病毒到新的客戶端上。由此看來，如果蠕蟲病毒大范圍傳播蔓延，將導致整個系統(tǒng)癱瘓、崩潰。而且此種病毒查殺難度較大，網(wǎng)絡(luò)環(huán)境下只要有一臺主機中的病毒清理不干凈，那么病毒將很快會重新傳播蔓延[6]。

2.2 木馬病毒

木馬病毒包含了服務(wù)器和客戶端兩個部分，可以將其歸結(jié)為一種后門程序。通常情況下，木馬病毒是黑客用于入侵、攻擊的一種工具，在用戶不知情下來盜取、篡改重要信息。即便木馬程序自身無法自我復(fù)制，但用戶計算機設(shè)備運行木馬程序后，黑客則會獲得掌控計算機控制權(quán)，此種情況下將帶來嚴重的破壞，因此黑客多是將木馬程序植入服務(wù)器上，被用戶不經(jīng)意間下載下來。

2.3 郵件病毒

對于郵件病毒而言，可以理解是常規(guī)病毒，通過郵件形式來傳播，主要是由于電子郵件是人們交流溝通，以及企業(yè)辦公的重要工具手段，如love you 病毒、求職信病毒以及庫爾尼科娃病毒等。此類病毒，通過微軟公司outlook 客戶端可編程特點，用戶在打開郵件后，在病毒驅(qū)使下自動發(fā)送帶病毒的郵件給通信錄中的用戶，傳播速度較快[7]。

3 基于網(wǎng)絡(luò)型病毒的計算機網(wǎng)絡(luò)安全技術(shù)構(gòu)建

3.1 防火墻技術(shù)

作為一項代表性的計算機網(wǎng)絡(luò)安全技術(shù)，防火墻技術(shù)在實際應(yīng)用中，主要是用于隔離開危險區(qū)域和安全區(qū)域，增強計算機網(wǎng)絡(luò)安全性。防火墻可以看作是網(wǎng)絡(luò)過濾器，具有較強的抗病毒沖擊能力，結(jié)合用戶設(shè)定的標準來篩選進出網(wǎng)絡(luò)的信息，解譯有效抵御病毒信息入侵計算機設(shè)備端口，實現(xiàn)內(nèi)部網(wǎng)絡(luò)和公共網(wǎng)絡(luò)可靠連接，阻隔病毒在外部網(wǎng)絡(luò)[8]。伴隨著防火墻技術(shù)不斷推陳出新，技術(shù)水平得到了大幅度提升，并且得到了廣泛應(yīng)用。防火墻技術(shù)是依托于網(wǎng)絡(luò)，對特定地址和服務(wù)過濾篩選，并且對傳輸?shù)臄?shù)據(jù)源信息進行必要檢測，保證數(shù)據(jù)包通信效率同時，掃描查殺常見的病毒載體。防火墻技術(shù)除了作用在網(wǎng)管技術(shù)和信息過濾層面，其中還包含了身份驗證以及各類加密技術(shù)，基于防火墻構(gòu)建VPN網(wǎng)絡(luò)。通過此種方式，可以顯著增強網(wǎng)絡(luò)抗病毒入侵能力?？梢詫⒎阑饓υO(shè)置為不同保護級別，對于高級別保護，會禁止某些服務(wù)，如視頻流。目前的網(wǎng)絡(luò)防火墻架構(gòu)是粗顆粒度訪問控制，將內(nèi)部網(wǎng)絡(luò)充當一個邏輯單元進行處理。但此種訪問控制機制無法滿足計算機網(wǎng)絡(luò)高層次安全防護要求。在采用防火墻技術(shù)時，要重點考慮防火墻功能作用[9]。實際上，防火墻是無法防護病毒入侵的，而且數(shù)據(jù)在防火墻之間的更新是一個技術(shù)難題，延遲大則無法響應(yīng)服務(wù)器的實時訪問請求。而且防火墻選擇濾波技術(shù)，會降低網(wǎng)絡(luò)性能50%左右。所以，防火墻技術(shù)是一種復(fù)合型的技術(shù)，結(jié)合了多種先進技術(shù)，并非是簡單地隔絕病毒于外部網(wǎng)絡(luò)[10]。

3.2 信息加密技術(shù)

信息加密技術(shù)，是保障計算機網(wǎng)絡(luò)信息安全的一個關(guān)鍵技術(shù)，原理是基于加密算法將明文轉(zhuǎn)換為無法直接讀取的秘文，隔絕非法用戶獲取原始數(shù)據(jù)，以此來增強數(shù)據(jù)信息保密性[11]。在明文和秘文之間相互轉(zhuǎn)化過程，需要密鑰加密或解密。最佳的加密算法，幾乎不會影響到系統(tǒng)性能，具有鮮明的優(yōu)勢。比如：pkzip 具有壓縮和加密數(shù)據(jù)功能；dbms 中的軟件包含加密算法，導致敏感數(shù)據(jù)是無法復(fù)制的，或是獲取用戶賬戶和密碼。置換表是一種較為簡單的加密算法，每個手段對應(yīng)“置換表”的一個偏移量，對應(yīng)數(shù)值輸出后為加密文件。無論是加密程序還是解密程序，均需要置換表提供對應(yīng)。實際上，對于80×86CPU 系列有一個指令xlat，在硬件上完成加密工作。盡管此種加密算法操作簡單，但如果置換表被對方獲取，則會識破這個加密方案。

相較于置換表而言，變換數(shù)據(jù)位置也是在計算機網(wǎng)絡(luò)安全防護中的一個廣泛應(yīng)用的信息加密技術(shù)，但執(zhí)行時間較多，讀取明文到一個buffer中，重排序，然后再輸出。解密過程則是相反流程，反向還原數(shù)據(jù)。此種加密算法可以同其他加密算法聯(lián)合使用，這樣可以增加黑客破譯難度。比如：一個詞，變換字母順序，slient 轉(zhuǎn)化為listen，但仍然是哪些字母，只是順序有所變化。

3.3 入侵檢測技術(shù)

入侵檢測系統(tǒng)，主要是為了抵御網(wǎng)絡(luò)型病毒入侵感染，保護重要數(shù)據(jù)信息不被盜取、篡改，實現(xiàn)網(wǎng)絡(luò)活動實時監(jiān)測的一種系統(tǒng)?；谌肭謾z測系統(tǒng)，對于網(wǎng)絡(luò)信息可以快速甄別、分析，或是主機上對用戶審計分析，并通過集中控制臺檢測和管理。實際上，入侵檢測系統(tǒng)屬于較為典型的窺探設(shè)備，不與多個物理網(wǎng)段連接，多數(shù)情況下配備一個監(jiān)聽端口，不需要轉(zhuǎn)發(fā)任何流量，在網(wǎng)絡(luò)上無聲無息地收集關(guān)注的報文信息[12]。入侵檢測可以快速檢測異常信息，結(jié)合進程、用戶正常狀態(tài)下的特點，建立模型，然后同正常行為模型比較分析，如果偏差大，則說明出現(xiàn)異常。此項技術(shù)可以不需要獲取攻擊特點，對已知的攻擊或是未知的攻擊行為檢測，隨著用戶行為變化，用戶模型也會隨之自動更新。濫用檢測，是結(jié)合已知的攻擊行為特征庫，用戶當前行為同特征庫的攻擊簽名依次對比分析，匹配則說明出現(xiàn)了入侵行為。此項入侵檢測技術(shù)精準度較高，可以識別多類型攻擊行為，第一時間阻攔攻擊行為。但此項技術(shù)的缺點是面對新出現(xiàn)的攻擊，可能無法檢測攻擊的變形情況，因此需要持續(xù)更新攻擊簽名庫，這樣才能及時發(fā)現(xiàn)和遏制攻擊行為。

3.4 特征代碼技術(shù)

作為一種傳統(tǒng)的網(wǎng)絡(luò)型病毒防護技術(shù)，主要是設(shè)立病毒數(shù)據(jù)庫，確定程序功能范圍，并采集目標病毒樣本深入分析。綜合分析病毒數(shù)據(jù)庫的病毒代碼，尋找相似代碼的病毒，將總結(jié)的代碼作為檢測目標，檢測同時與病毒庫特征代碼對比分析。掃描檢測文件，同病毒庫代碼對比，檢測計算機中的文件是否被病毒感染，相似性達到一定程度，則說明文件被感染到某種病毒。目前，病毒類型逐漸多樣化，需要病毒數(shù)據(jù)庫隨之更新和完善，但是對于一些隱蔽性較強的病毒，檢測耗費時間長，檢測精度不高。

3.5 安裝殺毒軟件

為了有效抵御網(wǎng)絡(luò)型病毒入侵，用戶在使用搞計算機前應(yīng)安裝殺毒軟件，定期查殺病毒，便于及時發(fā)現(xiàn)潛在病毒，及時清理干凈，保護計算機內(nèi)部文件安全的同時，規(guī)避系統(tǒng)運行癱瘓。通過安裝殺毒軟件可以實時監(jiān)測計算機網(wǎng)絡(luò)運行情況，也可以采用個性化措施來隔離重要文件，實現(xiàn)內(nèi)部重要信息安全防護。另外，系統(tǒng)要定期更新補丁，及時彌補計算機漏洞，盡可能降低病毒入侵概率，提升計算機網(wǎng)絡(luò)安全防護效果。

4 結(jié)語

綜上所述，網(wǎng)絡(luò)型病毒傳播性和危害性較強，一旦被感染會快速傳播和蔓延，嚴重情況下導致系統(tǒng)崩潰，重要數(shù)據(jù)信息丟失、被篡改。所以，在掌握網(wǎng)絡(luò)型病毒特征基礎(chǔ)上，尋求合理可靠的計算機網(wǎng)絡(luò)安全防護技術(shù)，實時監(jiān)測計算及運行情況，便于有效查殺病毒。