| 摘要:21 世纪是信息技术的发展时 代,计算机网络技术也获得了前 所未有的发展。近年来,随着计 算机的广泛普及和应用,人们的 生活、工作和学习方式都发生了 深刻的变化,人们在充分享受计 算机带来便利生活的同时,也发 现了计算机网络安全问题的日渐 突出,给网络安全造成了极大的 危害,蠕虫病毒就是其中的危害 之一,因此,本文就重点对基于 局域网计算机蠕虫检测技术进行 研究,以促进计算机网络的健康 运行。 【关键词】局域网计算机 蠕虫病毒 检测技术 研究 计算机网络技术的快速发展也带来了一 系列计算机安全问题,网络安全受到越来越严 重的威胁,不得不引起人们的重视。其中,恶 意代码是造成网络破坏的重要因素,尤其是计 算机蠕虫,它可以不受人的干预,自动传播, 对网络造成极大的危害,因此,对计算机蠕虫 检测技术的研究已经成为检测蠕虫攻击重中之 重的工作。 1 蠕虫病毒 1.1 概念 蠕虫这个词最早出现在生物学专业,1982 年将其引入计算机的领域,之后在计算机领域 造成了巨大的破坏。蠕虫即一种自动化、智能 化,并综合网络攻击等形成的一种病毒技术, 而且蠕虫病毒可以不在人的干预下自行进行攻 击代码,利用计算机网络上存在的漏洞节点主 机,借助局域网从一个节点传到另一个节点, 对计算机造成巨大的破坏。 1.2 分类 根据蠕虫病毒传播的方式不同,可以分 为E-mail 蠕虫、P2P 蠕虫、IM 蠕虫、基于搜 索引擎及漏洞传播的蠕虫。 1.3 攻击手段 缓冲区溢出攻击手段:据相关部门的统 计,在Internet 上有80% 的攻击是缓冲区溢出 技术,攻击者利用exploit 探测程序找到计算 机上可以利用的缓冲区溢出的隐患,采用蠕虫 病毒对缓冲区进行溢出操作,这里主要利用 的恶意代码,然后执行攻击程序,进而掌握目 标节点的控制权;弱密码攻击手段:专门进行 弱密码攻击的蠕虫病毒自身携带一个弱密码字 典,这个字典中包括一些常用的用户名及密码, 它可以将密码和用户名进行有效的组合,尝试 成功后与远程建立连接,将自身反传给远程系 统,然后再进行下一轮的攻击。蠕虫设计者将 蠕虫的测试频率提高,并提供尽可能准确的用 户名及密码,这样就为蠕虫病毒的传播提供了 良好的条件,从而对计算机造成破坏;其他: 除了以上两种手段外,还有格式化字符串攻击 手段、D0S、DDOS 攻击手段及设置默认攻击 手段。 2 对计算机蠕虫检测技术的研究 2.1 特征匹配检测技术 特征匹配的检测技术可对已知的蠕虫检 测,对蠕虫的重点特征进行检测,并根据特征 生成一个规则库,将采集获取的网络数据包与 规则库中的规则进行相应的匹配,从而获悉蠕 虫的攻击。通过特征匹配的检测技术具有一定 的工作流程,首先,要通过系统平台对网络数 据包进行必要的获取,并对每一个数据包进行 仔细的检查,尽最大努力寻找出攻击特征;其 次,如果发现与攻击特征长度一致的字节,就 要及时从数据包首部取出来,并将这两组字节 的特征进行比较,只要对比的结果是一致的, 就代表检测到一个攻击,若结果不同,就从网 络数据包的下个字节处再重新对比,直到将网 络上的数据包匹配完毕,或找到攻击;检测结 束后,要对每一个攻击特征进行重新匹配比较, 保证每一个攻击特征都进行匹配。 2.2 协议分析的检测技术 网络协议是计算机网络的核心,例如: TCP/IP 协议,网络协议分析也是一项重要的 技术,在网络安全方面也起着重要的作用。网 络协议就是对网络数据进行协议分析,采用数 据包进行协议分析,就可以获得数据包的所有 协议的内容。对于协议分析而言,其具体流程 是获取、过滤数据包及具体协议分析,单一的 检测方法还不能满足检测所有蠕虫的需要,因 此,需要研究多种技术协同检测蠕虫的方法, 只有这样才能全方位检测到蠕虫的攻击。 融合传统特征匹配的优势,与协议分析 技术共同工作去检测蠕虫,发现蠕虫后作出响 应,并阻止蠕虫攻击。这个过程就是分析引擎 对整个数据包进行协议分析,利用特征匹配对 数据包进行检测、分析,最后发现攻击,这是 检测蠕虫的核心部分,其详细的流程是:将数 据报截获,并送至协议命令解析的模块,对各 层的协议进行判断,将数据包的数据部分进行 解析,并借助于系统的规则库,进行相应的匹 配,从而判断数据是否存在入侵的嫌疑,最后 通过响应系统作出处理响应。 2.3 概率检测技术对未知代码的蠕虫病毒检测有实时的自 动检测和事后的分析两种方法。实时自动检测 就是实时监测流量,进而发现蠕虫的攻击,这 种检测技术可以在早期发现蠕虫攻击,能提供 及时的信息数据,有利于制定解决方案;事后 分析即管理人员发现网络存在异常现象之后, 去研究网络数据包,进而找到蠕虫病毒的特征 码,放在特征库,此种方法的使用虽然便于以 后的检测,但却无法规避大部分计算机受到感 染的事实。 就目前而言,基于概率检测蠕虫的最佳 方法是贝叶斯检测法,此法能在误报率和检测 率之间找到阙值平衡点,对于检测蠕虫病毒具 有重要的作用。 2.4 蜜罐技术检测法 蜜罐是一个安全资源,它的设置就是为 了让入侵者探测和攻击。蜜罐即设置一台有着 多种漏洞的计算机,并连接到网络,管理员对 这台计算机身上的漏洞一清二楚,一旦有网络 入侵,蜜罐就会将入侵的过程记录下来,便于 网络管理员分析问题。蜜罐可运用在检测、阻 止攻击、捕获及分析攻击等方面,当蠕虫攻击 时,蜜罐利用自身的优势在内网上对蠕虫进行 识别和分析,提供蠕虫的特征。 3 结语 针对计算机网络安全问题,本文对蠕虫 病毒进行了研究,并分析计算机蠕虫的检测技 术,无论是对于已知的蠕虫,还是未知的蠕虫, 都有其相应的检测技术,检测技术虽然能够在 一定程度上解决实际问题,但仍需不断探索和 发展,只有这样才能为计算机安全提供重要的 保障。 参考文献 [1] 曾峰, 程渊. 计算机蠕虫病毒检测技术分 析[J]. 福建电脑,2011(09). [2] 王骥东, 俞建军, 李琦. 网络蠕虫 检测技术研究与实现[J]. 计算机时 代,2009(09). 作者简介 廖明辉,湖北仙桃人,现为仙桃职业学院教师, 高校讲师,中共党员。2002 年毕业于华中师 范大学计算机软件专业,武汉理工大学在读硕 士研究生。先后承担《C 语言》、《计算机英语》、 《SQL SERVER2005 数据库应用》、《AUTOCAD 工程制图》等专业课程的教学工作,参编《计 算机应用基础实训教程》、《计算机应用技术 项目化教程》等多本" 十二五" 规划教材,参 与学院两门省级精品课程建设工作。 作者单位 仙桃职业学院计算机科学技术学院 湖北省仙 桃市 433000 |
| 在线咨询: |
|
| 联系电话: | 18602588568 |
| 投稿邮箱: | bosslunwen@126.com |
| ★诚信★专业★权威★快速★ | |
