校園網(wǎng)絡(luò)環(huán)境下網(wǎng)絡(luò)蠕蟲(chóng)病毒的預(yù)警技術(shù)分析

◆李 可

校園網(wǎng)絡(luò)環(huán)境下網(wǎng)絡(luò)蠕蟲(chóng)病毒的預(yù)警技術(shù)分析

◆李 可

（貴州大學(xué) 貴州 550025）

隨著我國(guó)社會(huì)經(jīng)濟(jì)的發(fā)展進(jìn)步，不斷有新的信息化應(yīng)用出現(xiàn)，人們?cè)谛畔踩矫娴闹匾暥仍絹?lái)越高，很大程度上增加了信息安全形式的嚴(yán)峻性，其主要表現(xiàn)為信息安全事件出現(xiàn)的頻率和規(guī)模日益擴(kuò)大，以及信息安全事件造成的后果和危害越來(lái)越大。本文對(duì)計(jì)算機(jī)蠕蟲(chóng)病毒的行為特征以及特點(diǎn)危害進(jìn)行了簡(jiǎn)單的介紹，針對(duì)計(jì)算機(jī)蠕蟲(chóng)病毒校園網(wǎng)絡(luò)預(yù)警系統(tǒng)展開(kāi)了深入的研究分析，并結(jié)合本次研究，發(fā)表了一些自己的建議看法，希望可以對(duì)計(jì)算機(jī)蠕蟲(chóng)病毒校園網(wǎng)絡(luò)預(yù)警系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)起到一定的參考和幫助，提高計(jì)算機(jī)蠕蟲(chóng)病毒校園網(wǎng)絡(luò)預(yù)警的有效性。

校園網(wǎng)絡(luò)環(huán)境；網(wǎng)絡(luò)蠕蟲(chóng)病毒；預(yù)警技術(shù)

0 前言

當(dāng)前信息安全問(wèn)題呈多樣化趨勢(shì)發(fā)展，不斷有新的信息安全問(wèn)題出現(xiàn)，必須要提高信息安全手段才能夠更好的解決這些實(shí)際性問(wèn)題。在當(dāng)前的信息安全事件中，網(wǎng)絡(luò)蠕蟲(chóng)病毒占有非常大的比例，在未來(lái)很長(zhǎng)一段時(shí)間，網(wǎng)絡(luò)蠕蟲(chóng)病毒仍是威脅我國(guó)信息安全的主要形式。傳統(tǒng)的以特征碼為主要手段反病毒技術(shù)已經(jīng)很難滿足現(xiàn)階段信息安全的實(shí)際需求，在這種情況下，必須要采取新的病毒檢測(cè)預(yù)警技術(shù)，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)蠕蟲(chóng)病毒的有效檢測(cè)和識(shí)別，本文就此進(jìn)行了研究分析。

1 計(jì)算機(jī)蠕蟲(chóng)病毒

1.1計(jì)算機(jī)蠕蟲(chóng)病毒的行為特征

計(jì)算機(jī)蠕蟲(chóng)主要是指通過(guò)網(wǎng)絡(luò)傳播的一種病毒形式，具有破壞性、隱蔽性以及傳播性等特點(diǎn)，蠕蟲(chóng)病毒還具有不需要宿主程序文件寄生等特異性，非常容易出現(xiàn)拒絕服務(wù)的情況。在蠕蟲(chóng)病毒的破壞方面，與普通病毒相比，蠕蟲(chóng)病毒可以隨著網(wǎng)絡(luò)的發(fā)展在很短的時(shí)間內(nèi)蔓延至整個(gè)網(wǎng)絡(luò)，導(dǎo)致網(wǎng)絡(luò)出現(xiàn)癱瘓。當(dāng)前蠕蟲(chóng)病毒從使用者情況角度出發(fā)可以為分為兩個(gè)類(lèi)型，一種主要是針對(duì)企業(yè)以及局域網(wǎng)，通過(guò)系統(tǒng)漏洞，主動(dòng)攻擊網(wǎng)絡(luò)，導(dǎo)致整個(gè)網(wǎng)絡(luò)出現(xiàn)故障和癱瘓，比如說(shuō)“sq1蠕蟲(chóng)王”，另一種主要是針對(duì)個(gè)人用戶，主要通過(guò)電子郵件等形式傳播，比如說(shuō)愛(ài)蟲(chóng)病毒等。

1.2計(jì)算機(jī)蠕蟲(chóng)病毒的特點(diǎn)和危害

最早的計(jì)算機(jī)蠕蟲(chóng)病毒主要以消耗計(jì)算機(jī)系統(tǒng)資源為主，降低系統(tǒng)性能，造成網(wǎng)絡(luò)阻塞，新的計(jì)算機(jī)蠕蟲(chóng)病毒和危害主要表現(xiàn)在以下幾個(gè)方面：

第一，蠕蟲(chóng)病毒會(huì)導(dǎo)致骨干網(wǎng)絡(luò)出現(xiàn)大規(guī)模的阻塞，情況嚴(yán)重時(shí)甚至?xí)霈F(xiàn)癱瘓，中斷網(wǎng)絡(luò)服務(wù)。蠕蟲(chóng)病毒在感染計(jì)算機(jī)之后，會(huì)尋找下一個(gè)感染目標(biāo)，需要發(fā)送大量數(shù)據(jù)包，網(wǎng)絡(luò)設(shè)備很難有效處理，最終出現(xiàn)癱瘓。第二，信息安全受到嚴(yán)重威脅，部分蠕蟲(chóng)病毒在感染主機(jī)之后，會(huì)安裝后門(mén)程序，用戶主機(jī)信息會(huì)暴露在互聯(lián)網(wǎng)，嚴(yán)重威脅用戶信息安全。第三，降低計(jì)算機(jī)系統(tǒng)性能，計(jì)算機(jī)在感染蠕蟲(chóng)病毒之后，需要運(yùn)行大量進(jìn)程實(shí)現(xiàn)對(duì)其他目標(biāo)主機(jī)的掃描，最終降低計(jì)算機(jī)系統(tǒng)性能，計(jì)算機(jī)系統(tǒng)出現(xiàn)癱瘓。

2 計(jì)算機(jī)蠕蟲(chóng)病毒校園網(wǎng)絡(luò)預(yù)警系統(tǒng)

當(dāng)前隨著教育信息化的飛速發(fā)展，數(shù)字化校園教學(xué)模式有著非常廣泛的應(yīng)用，高等院校的各項(xiàng)計(jì)算機(jī)應(yīng)用系統(tǒng)相繼完成建立。但是隨著校園網(wǎng)絡(luò)用戶越來(lái)越多，不斷有多媒體教學(xué)等寬帶應(yīng)用出現(xiàn)，很大程度上增加了校園內(nèi)網(wǎng)和外網(wǎng)的安全風(fēng)險(xiǎn)。計(jì)算機(jī)蠕蟲(chóng)病毒在爆發(fā)時(shí)會(huì)出現(xiàn)非常嚴(yán)重的網(wǎng)絡(luò)擁堵，最終導(dǎo)致網(wǎng)絡(luò)出現(xiàn)癱瘓，對(duì)校園網(wǎng)絡(luò)信息安全有著非常大的威脅和影響。

2.1計(jì)算機(jī)蠕蟲(chóng)病毒預(yù)警技術(shù)實(shí)現(xiàn)原理

在蠕蟲(chóng)程序的工作流程方面，主要有三個(gè)部分，分別為搜索、攻擊和復(fù)制。蠕蟲(chóng)病毒在傳播方面以掃描為主，這種傳播形式也是導(dǎo)致蠕蟲(chóng)病毒網(wǎng)絡(luò)擁堵的主要影響因素。

計(jì)算機(jī)蠕蟲(chóng)病毒在尋找攻擊目標(biāo)時(shí)會(huì)掃描大量IP，掃描頻率高，在掃描過(guò)程中，往往會(huì)針對(duì)隨機(jī)IP或者一個(gè)地址段IP進(jìn)行掃描，這種形式的掃描存在有非常大的盲目性，成功率十分低。在掃描過(guò)程中，會(huì)持續(xù)高頻率搜索，能夠呈現(xiàn)出清晰地一對(duì)多通信模式，其源地址數(shù)量也會(huì)越來(lái)越多，這種現(xiàn)象與正常通訊存在有非常大的差異性，可以將其作為檢測(cè)依據(jù)，針對(duì)網(wǎng)絡(luò)中的ICMP等展開(kāi)監(jiān)測(cè)檢測(cè)蠕蟲(chóng)。

在實(shí)際的監(jiān)測(cè)過(guò)程中，通過(guò)數(shù)據(jù)結(jié)構(gòu)描述主機(jī)發(fā)起的通信，當(dāng)主機(jī)在短時(shí)間內(nèi)出現(xiàn)大量連接請(qǐng)求時(shí)，目標(biāo)端口相同，數(shù)據(jù)包的內(nèi)容和大小相似性比較高，判斷為蠕蟲(chóng)病毒。以分布式體系結(jié)構(gòu)作為基礎(chǔ)，針對(duì)校園網(wǎng)絡(luò)的子網(wǎng)展開(kāi)監(jiān)控，統(tǒng)計(jì)分析各個(gè)監(jiān)測(cè)點(diǎn)數(shù)據(jù)信息，當(dāng)發(fā)現(xiàn)有蠕蟲(chóng)病毒時(shí)，系統(tǒng)自動(dòng)警報(bào)。

2.2計(jì)算機(jī)蠕蟲(chóng)病毒預(yù)警系統(tǒng)的實(shí)現(xiàn)

（1）蠕蟲(chóng)病毒預(yù)警系統(tǒng)

蠕蟲(chóng)病毒預(yù)警系統(tǒng)主要包含有數(shù)據(jù)采集、統(tǒng)計(jì)分析、應(yīng)急響應(yīng)三個(gè)方面，在數(shù)據(jù)采集方面，主要是借助傳感器針對(duì)路由器鏡像端口進(jìn)行監(jiān)測(cè)，獲取網(wǎng)絡(luò)報(bào)文，并將其上傳至收集器；在收集器方面，主要是針對(duì)采集到的數(shù)據(jù)信息進(jìn)行整理和緩存；在分析器方面，按照預(yù)設(shè)的流行和方式針對(duì)數(shù)據(jù)進(jìn)行分析處理，當(dāng)發(fā)現(xiàn)某一主機(jī)存在有掃描情況時(shí)，自動(dòng)發(fā)出警報(bào)；關(guān)聯(lián)器主要是負(fù)責(zé)針對(duì)掃描警報(bào)進(jìn)行整合，一旦某主機(jī)掃描行為超過(guò)閥值，自動(dòng)警報(bào)。

（2）系統(tǒng)模塊

整個(gè)系統(tǒng)包含有五個(gè)模塊，第一，流量采集模塊，流量采集模塊布置在校園網(wǎng)絡(luò)關(guān)鍵點(diǎn)，主要針對(duì)網(wǎng)絡(luò)流量信息展開(kāi)收集和整理，找到可以反映出當(dāng)前網(wǎng)絡(luò)狀態(tài)的特征，并對(duì)特征進(jìn)行統(tǒng)計(jì)分析；第二，預(yù)警分析模塊，與流量采集模塊所采集到的信息展開(kāi)綜合分析，評(píng)價(jià)校園網(wǎng)絡(luò)安全總體，及時(shí)發(fā)現(xiàn)存在的異常情況，進(jìn)行警報(bào)；第三，應(yīng)急響應(yīng)模塊，根據(jù)預(yù)警分析模塊的分析結(jié)果，及時(shí)響應(yīng)存在問(wèn)題的子網(wǎng)，采取切斷IP通信或者封堵端口通信等措施進(jìn)行控制處理；第四，系統(tǒng)管理模塊，實(shí)時(shí)顯示系統(tǒng)的統(tǒng)計(jì)信息，方便管理人員的操作管理；第五，系統(tǒng)分析報(bào)告模塊，主要針對(duì)系統(tǒng)展開(kāi)安全分析，以報(bào)告形式表現(xiàn)出來(lái)。

2.3 系統(tǒng)優(yōu)化

想要實(shí)現(xiàn)針對(duì)網(wǎng)絡(luò)蠕蟲(chóng)病毒的實(shí)時(shí)監(jiān)測(cè)，提高檢測(cè)有效性，首先，必須要提高網(wǎng)絡(luò)蠕蟲(chóng)預(yù)警技術(shù)實(shí)時(shí)性，隨著當(dāng)前網(wǎng)絡(luò)傳播的速度不斷提高，在網(wǎng)絡(luò)采樣技術(shù)以及網(wǎng)絡(luò)數(shù)據(jù)捕獲技術(shù)方面都需要有進(jìn)一步的優(yōu)化提高，實(shí)現(xiàn)針對(duì)網(wǎng)絡(luò)流量的實(shí)時(shí)采集以及分析；其次，提高網(wǎng)絡(luò)蠕蟲(chóng)病毒預(yù)警技術(shù)精度，隨著預(yù)警技術(shù)的不斷出現(xiàn)并應(yīng)用，當(dāng)前計(jì)算機(jī)蠕蟲(chóng)病毒傳播隱蔽性越來(lái)越高，但是在實(shí)際應(yīng)用過(guò)程中，網(wǎng)絡(luò)數(shù)據(jù)捕獲以及綜合分析方面還存在有一定的不足，必須要提高網(wǎng)絡(luò)異?，F(xiàn)場(chǎng)預(yù)警的準(zhǔn)確性和有效性；最后，展開(kāi)網(wǎng)絡(luò)內(nèi)部檢測(cè)，當(dāng)前網(wǎng)絡(luò)蠕蟲(chóng)檢測(cè)和控制主要集中在城域網(wǎng)邊界部位，在蠕蟲(chóng)病毒的網(wǎng)內(nèi)攻擊方面還需要進(jìn)一步的優(yōu)化完善，保證系統(tǒng)內(nèi)部的控制水平以及預(yù)警效果能夠更好的滿足蠕蟲(chóng)病病毒預(yù)警需求。

3 結(jié)束語(yǔ)

隨著網(wǎng)絡(luò)傳輸速度的不斷提高，網(wǎng)絡(luò)應(yīng)用的使用率以及普及率有了非常明顯的提高，很大程度上提高了計(jì)算機(jī)蠕蟲(chóng)病毒在網(wǎng)絡(luò)傳播方面的速度。當(dāng)前計(jì)算機(jī)蠕蟲(chóng)病毒在網(wǎng)絡(luò)傳播的速度以及方式方面有著迅速性和隱蔽性特點(diǎn)，在實(shí)際的檢測(cè)過(guò)程中，會(huì)有漏報(bào)和誤報(bào)情況出現(xiàn)，導(dǎo)致計(jì)算機(jī)蠕蟲(chóng)病毒傳播過(guò)程中在檢測(cè)方法方面存在有一定的滯后性，通過(guò)針對(duì)正常網(wǎng)絡(luò)流量與異常網(wǎng)絡(luò)流量的對(duì)比分析，能夠顯著提高計(jì)算機(jī)蠕蟲(chóng)病毒的檢測(cè)率，保證網(wǎng)絡(luò)預(yù)警技術(shù)有效鑒別，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)數(shù)據(jù)采樣技術(shù)以及捕獲技術(shù)的改善。

[1]胡燕，曾小玲，白書(shū)琴等.網(wǎng)絡(luò)蠕蟲(chóng)病毒的檢測(cè)與防范策略[J].科技展望，2015.

[2]陳興躍.勒索蠕蟲(chóng)病毒事件反思:網(wǎng)絡(luò)安全能力急需協(xié)同[J].中國(guó)信息化，2017.

[3]張楠，蘇艷春.淺析如何利用網(wǎng)絡(luò)回溯分析技術(shù)檢測(cè)蠕蟲(chóng)病毒[J].電子世界，2016.