淺析網(wǎng)絡蠕蟲病毒的防范對策

畢久陽

(國防大學政治學院教研保障中心，上海 201703)

計算機病毒是網(wǎng)絡安全的最大威脅。病毒可以毀壞數(shù)據(jù)、中斷操作、影響和破壞系統(tǒng)。網(wǎng)絡蠕蟲作為一種特殊的計算機病毒，其巨大的破壞作用已經(jīng)越來越為人們所熟知。2017年5月爆發(fā)的勒索病毒，就屬于網(wǎng)絡蠕蟲病毒。此病毒很短時間內(nèi)在全球大范圍傳播。由此，對于網(wǎng)絡蠕蟲病毒的防范問題開始倍受人們的關注。

一、網(wǎng)絡蠕蟲病毒的概念以及特點

網(wǎng)絡蠕蟲病毒是無須計算機使用者干預即可運行的獨立程序，它通過不停地獲得網(wǎng)絡中存在漏洞的計算機上的部分或全部控制權來進行傳播[1]。作為一種特殊的計算機病毒程序，網(wǎng)絡蠕蟲具有主動攻擊、行蹤隱蔽、利用漏洞、反復性和破壞性等特征。相比其他的計算機惡意程序，網(wǎng)絡蠕蟲還有著傳播速度快、傳播過程自動化、防治難度大等獨有的特點。

網(wǎng)絡蠕蟲病毒對信息系統(tǒng)的影響有以下幾個方面：

(一)造成網(wǎng)絡擁塞：蠕蟲是依賴系統(tǒng)漏洞來進行傳播的，在傳播過程中要尋找攻擊目標，同時蠕蟲副本在不同機器之間傳遞，這都會產(chǎn)生大量的網(wǎng)絡數(shù)據(jù)流量。

(二)占用系統(tǒng)資源：計算機系統(tǒng)感染蠕蟲病毒后，系統(tǒng)內(nèi)部會產(chǎn)生病毒的多個副本。大量的進程會耗費系統(tǒng)資源，導致系統(tǒng)的性能下降。

(三)留下安全隱患：蠕蟲病毒會搜集、擴散系統(tǒng)敏感信息，并且在系統(tǒng)中留下后門程序，這些都會導致未來的安全隱患。

(四)破壞系統(tǒng)：蠕蟲往往結合計算機病毒技術，在其有效載荷中裝入破壞系統(tǒng)的代碼(程序)，這種攻擊會導致系統(tǒng)崩潰。

二、網(wǎng)絡蠕蟲病毒的防范對策

網(wǎng)絡蠕蟲病毒嚴重威脅了信息系統(tǒng)的安全，病毒的防范可以分為以下四個階段。

(一)預防階段

網(wǎng)絡蠕蟲病毒的爆發(fā)是不為人所預知的，所以做好預防工作，是避免蠕蟲爆發(fā)的必要手段。在預防階段主要是對信息系統(tǒng)進行周期性漏洞掃描。蠕蟲的傳播依賴于系統(tǒng)漏洞，只要我們及時發(fā)現(xiàn)信息系統(tǒng)中存在的漏洞，打上漏洞補丁，就會大大減少被感染的幾率。

(二)檢測階段

預防只能是降低系統(tǒng)感染的幾率，而不能完全杜絕，檢測是防范蠕蟲爆發(fā)的主要手段。目前主要的網(wǎng)絡蠕蟲檢測方法有以下幾種：

1.數(shù)據(jù)內(nèi)容過濾方法。在子網(wǎng)的邊界路由器上進行流量監(jiān)測，并計算網(wǎng)絡上所有長度為一定值的字符串的簽名。如果某些數(shù)據(jù)包頻繁出現(xiàn)在所監(jiān)控的網(wǎng)絡上，就會得到大量重復的簽名。當重復次數(shù)超過某個閾值時，說明蠕蟲病毒正在傳播，就可以根據(jù)得到的簽名進行數(shù)據(jù)內(nèi)容過濾[2]。

2.網(wǎng)絡協(xié)議信息過濾方法。這種檢測方法不檢查網(wǎng)絡數(shù)據(jù)包的內(nèi)容部分，只檢查數(shù)據(jù)包的TCP層和IP層協(xié)議信息。網(wǎng)絡蠕蟲病毒在傳播時一般都是針對某一個系統(tǒng)漏洞，因此其掃描和攻擊行為也是針對網(wǎng)絡中計算機的特定端口。如果在一段時間內(nèi)檢測到的某個特定端口的流量出現(xiàn)反常，即可推測蠕蟲病毒正在傳播。

3.趨勢檢測方法。內(nèi)容和協(xié)議信息過濾方法都存在一個問題，就是如何選取作為異常判斷標準的閾值。如果閾值取得過低，會得到較多的誤報，反之則會導致漏報上升。針對這種情況又提出了一種無閾值蠕蟲病毒預警方案，就是檢測異常情況的發(fā)展趨勢，而不是異常情況出現(xiàn)的次數(shù)[3]。普遍都認為蠕蟲傳播時遵循流行病學模型，如果網(wǎng)絡上確實存在蠕蟲病毒傳播，檢測到的異常主機數(shù)量的增長過程將服從一定規(guī)律。通過估計網(wǎng)絡蠕蟲病毒的傳播參數(shù)，來判定當前網(wǎng)絡上的異常主機數(shù)量增長過程是否服從流行病學模型，從而判斷網(wǎng)絡上是否有蠕蟲傳播。

(三)遏制階段

確認網(wǎng)絡上有蠕蟲在傳播之后，就必須及時采取措施來遏制蠕蟲的傳播，使傳播受到限制，減少損失。目前主要的遏制方法有：

1.隔離：隔離又分為單機隔離和網(wǎng)絡隔離兩種。單機隔離是通過禁用本機網(wǎng)卡或者拔掉網(wǎng)線，中斷本機和外界的聯(lián)系，防止蠕蟲擴散到網(wǎng)絡中的其他計算機中；網(wǎng)絡隔離就是對出現(xiàn)蠕蟲病毒的子網(wǎng)的出口路由設備進行配置，對蠕蟲傳播所利用的相應端口進行關閉，防止蠕蟲擴散到別的網(wǎng)絡中去。

2.疏導：使用網(wǎng)絡欺騙的手段，將來自于蠕蟲感染主機或者網(wǎng)絡的流量重新引導到一個實際不存在的“地址黑洞”中，從而切斷蠕蟲繼續(xù)傳播的途徑，達到遏制蠕蟲傳播的目的。

(四)清除階段

網(wǎng)絡蠕蟲病毒爆發(fā)后會留下大量的蠕蟲病毒體，被感染主機的一些設置也會被修改，系統(tǒng)功能受到影響。為恢復信息系統(tǒng)的正常運轉(zhuǎn)，必須對蠕蟲病毒爆發(fā)后的受害主機進行修復，主要通過以下方法進行：

1.殺毒軟件清除：通過分析并提取蠕蟲體的特征字符串，加入到殺毒軟件病毒庫中，對受感染主機進行修復。

2.良性蠕蟲對抗：利用網(wǎng)絡蠕蟲主動傳播的特點，編寫相應的蠕蟲清除程序，實現(xiàn)大范圍自動化的蠕蟲清除。這種方法大大的提高了清除蠕蟲的效率。

三、小結

目前，網(wǎng)絡蠕蟲病毒防御技術還不成熟，在與病毒的對抗中，防御還是處于被動狀態(tài)。未來蠕蟲病毒攻擊將會呈現(xiàn)多種技術結合，復雜度和攻擊強度增加，傳播更加快速等趨勢。開發(fā)切實有效的蠕蟲防御技術，尤其是網(wǎng)絡蠕蟲的早期檢測技術，是解決網(wǎng)絡蠕蟲病毒防御問題的關鍵，需要繼續(xù)不斷的探索。