網(wǎng)絡(luò)病毒發(fā)展趨勢及其防御技術(shù)研究

網(wǎng)絡(luò)病毒最新發(fā)展趨勢及其防御技術(shù)研究摘要：隨著計算機工業(yè)的發(fā)展,計算機網(wǎng)絡(luò)也越來越普及,而且在各行各業(yè)發(fā)揮著至關(guān)主要的作用。但是計算機病毒在形式上越來越狡猾，造成的危害也日益嚴(yán)重。這就要求網(wǎng)絡(luò)防病毒產(chǎn)品在技術(shù)上更先進，在功能上更全面，并具有更高層次的查殺效率。因而,網(wǎng)絡(luò)環(huán)境下病毒防治正成為計算機防毒領(lǐng)域的研究重點。本文首先分析了網(wǎng)絡(luò)病毒的特點以及其發(fā)展趨勢，并在這里基礎(chǔ)上提出了當(dāng)前常用的幾種網(wǎng)絡(luò)防病毒的主要技術(shù)及詳細方法。本文關(guān)鍵詞語：網(wǎng)絡(luò)病毒；發(fā)展趨勢；防御技術(shù)網(wǎng)絡(luò)病毒指的是一些黑客巧妙地編制或在計算機程序中插入的毀壞計算機功能或者毀壞數(shù)據(jù)、影響計算機使用、并能自我復(fù)制在網(wǎng)絡(luò)上“傳染〞的一組計算機指令或者程序代碼是一種人為的帶有惡意的非正常程序，在網(wǎng)絡(luò)中傳播，復(fù)制及毀壞的病毒。它是計算機技術(shù)和網(wǎng)絡(luò)普及的社會信息化進程發(fā)展到一定階段的必定產(chǎn)品。嚴(yán)格地說，通過網(wǎng)絡(luò)傳播的病毒不是網(wǎng)絡(luò)病毒。只要上面提到的蠕蟲等一些威脅能夠算作網(wǎng)絡(luò)病毒。網(wǎng)絡(luò)病毒專門使用網(wǎng)絡(luò)協(xié)議〔如TCP、FTP、UDP、HTTP和電子郵件協(xié)議〕來進行復(fù)制。它們通常不修改系統(tǒng)文件或硬盤的引導(dǎo)區(qū)。網(wǎng)絡(luò)病毒感染客戶計算機的內(nèi)存，強迫這些計算機向網(wǎng)絡(luò)發(fā)送大量通信，因此可能導(dǎo)致網(wǎng)絡(luò)速度下降以至完全癱瘓。由于網(wǎng)絡(luò)病毒保留在內(nèi)存中，因而傳統(tǒng)的基于磁盤的文件I/O掃描方法通常無法檢測到它們。詳細來說網(wǎng)絡(luò)病毒有下面幾種：伴隨性病毒：在不改變文本自己的前提下，根據(jù)算法產(chǎn)生EXE文件的伴隨件，伴隨文件具有原文件同樣的名字和不同的擴展名，當(dāng)DOS加載文件時，伴隨文件優(yōu)先履行；蠕蟲型病毒：在不改變文本和信息資料的前提下，通過網(wǎng)絡(luò)地址將本身的病毒發(fā)出，從一臺機的內(nèi)存?zhèn)鞑サ狡渌膬?nèi)存，一般不站用資源；寄生型病毒：他們依附在系統(tǒng)的引導(dǎo)扇區(qū)或文件中，通過系統(tǒng)的功能傳播。1.網(wǎng)絡(luò)病毒的特點以及危害1.1網(wǎng)絡(luò)病毒的特點：毀壞性強：網(wǎng)絡(luò)病毒毀壞性極強。以Novel1網(wǎng)為例,一旦文件效勞器的硬盤被病毒感染就可能造成NetWare分區(qū)中的某些區(qū)域上內(nèi)容的損壞，使網(wǎng)絡(luò)效勞器無法起動，導(dǎo)致整個網(wǎng)絡(luò)癱瘓，造成不可估量的損失。傳播性強：網(wǎng)絡(luò)病毒普遍具有較強的再生機制，一接觸就可通過網(wǎng)絡(luò)擴散與傳染。一旦某個公用程序染了毒，那么病毒將很快在整個網(wǎng)絡(luò)上傳播，感染其它的程序。根據(jù)有關(guān)資料介紹，在網(wǎng)絡(luò)上病毒傳播的速度是單機的幾十倍。例如，據(jù)記載在1989年10月16日上午，有人從法國將DECnet網(wǎng)病毒植入到lnternet網(wǎng)中，幾小時內(nèi)，就使該網(wǎng)的60多臺計算機遭到感染。約兩個星期后，該病毒又攻擊了SPAN網(wǎng)(SpAN網(wǎng)是美國國家航空航天管理局使用的空間物理分析網(wǎng)絡(luò))，在其后的數(shù)小時內(nèi)，又有300臺VAX機遭到感染。""潛伏性和可激發(fā)性：網(wǎng)絡(luò)病毒與單機病毒一樣，具有潛伏性和可激發(fā)性。在一定的環(huán)境下遭到外界因素刺激，便能活潑踴躍起來，這就是病毒的激活。激活的實質(zhì)是一種條件控制，此條件是多樣化的，能夠是內(nèi)部時鐘、系統(tǒng)日期和用戶名你，可以以是在網(wǎng)絡(luò)中進行的一次通信。一個病毒程序能夠根據(jù)病毒設(shè)計者的預(yù)定要求，在某個效勞器或客戶機上激活并向各網(wǎng)絡(luò)用戶發(fā)起攻擊。針對性強：網(wǎng)絡(luò)病毒并非一定對網(wǎng)絡(luò)上所有的計算機都進行感染與攻擊，而是具有某種針對性。例如，有的網(wǎng)絡(luò)病毒只能感染IBM一PC工作地，有的卻只能感染Macin－tosh計算機，有的病毒則專門感染使用Unix操作系統(tǒng)的計算機。擴散面廣：由于網(wǎng)絡(luò)病毒能通過網(wǎng)絡(luò)進行傳播,所以其擴散面限大，一臺PC機的病毒能夠通過網(wǎng)絡(luò)感染與之相連的諸多機器。由網(wǎng)絡(luò)病毒造成網(wǎng)絡(luò)癱瘓的損失是難以估計的。一旦網(wǎng)絡(luò)效勞器被感染，其解毒所需的時間將是單機的幾十倍以上。2.網(wǎng)絡(luò)病毒的發(fā)展趨勢：網(wǎng)絡(luò)病毒伴隨著因特網(wǎng)的發(fā)展經(jīng)歷了三個時期：轉(zhuǎn)型期，成長期，成熟期。從腳本語言病毒最早的充斥毛病，沒有任何隱藏辦法，發(fā)展到當(dāng)前的嵌入式結(jié)合。病毒是越來越復(fù)雜，越來越隱蔽，毀壞性也越來越大，造成的損失也是傳統(tǒng)病毒所不能比的?？偟膩碚f最近網(wǎng)絡(luò)病毒有下面五種趨勢：2.1.網(wǎng)絡(luò)病毒技術(shù)不斷突破?？湟夹g(shù)—直是病毒編寫者的根本初志，病毒制造者重要是為了通過病毒知名，和顯示自己高于別人的技術(shù)，進而知足其虛榮心，博得人們的尊敬和“崇敬。但如今的病毒作者已和以前的不同了，他們不再以夸耀技術(shù)為目的，而是帶有明確商業(yè)目的，網(wǎng)絡(luò)上已經(jīng)構(gòu)成一條“灰色的產(chǎn)業(yè)鏈〞將病毒制造引領(lǐng)為一種產(chǎn)業(yè)。正因如此，當(dāng)前病毒制作者不斷尋求技術(shù)突破，使得木馬、病毒的感染率呈爆炸式增加，如今的木馬，病毒的絕大部份變化都是圍繞其中心展開的。這些病毒直接以經(jīng)濟利益為驅(qū)動，對用戶信息的安全威脅更大。2.2.網(wǎng)絡(luò)上惡意程序傳播方式趨于多樣。惡意程序泛指包含病毒、蠕蟲、傀儡程序、木馬、后門程序，以及可能導(dǎo)致計算機使者信息外泄的廣告、間諜程序等等。隨著網(wǎng)絡(luò)的發(fā)展，信息交換和分享的渠道和方式愈加多樣、便捷，但隨之也帶來惡意代碼傳播的多樣化。除了通過網(wǎng)上掛馬、漏洞攻擊、移動存儲沒備、網(wǎng)絡(luò)分享、網(wǎng)絡(luò)下載、即時通訊工具等方式傳播以外，最近又出現(xiàn)了通過網(wǎng)絡(luò)劫持方式進行傳播的跡向，這種傳播方式對于局域網(wǎng)用戶影響尤為明顯。過去，黑客通常采取網(wǎng)絡(luò)劫持的方法進行網(wǎng)絡(luò)攻擊，最近，這種方法被惡意代碼所采取，以近期的ARP欺騙為類，局域網(wǎng)中感染惡意代碼的系統(tǒng)會向全網(wǎng)發(fā)送偽造的ARP欺騙廣播，使本身偽裝成網(wǎng)關(guān)，當(dāng)局域網(wǎng)中的其他系統(tǒng)訪問網(wǎng)頁時，感染惡意代碼的系統(tǒng)將會冒充網(wǎng)關(guān)收到HTTP懇求，并根據(jù)HTTP訪問懇求下載網(wǎng)頁，送給發(fā)出HTTP懇求的系統(tǒng)，同時，在網(wǎng)頁中植入惡意網(wǎng)址鏈接或者惡意代碼。這樣，發(fā)出HTTP懇求的系統(tǒng)會被惡意代碼感染，而且，局域網(wǎng)中的系統(tǒng)很快被惡意代碼感染，遭到黑客的遠程控制。2.3.網(wǎng)銀木馬數(shù)量迅猛增加在經(jīng)濟利益的驅(qū)使下網(wǎng)銀木馬增加迅速，病毒發(fā)展正在呈加速上升趨勢、網(wǎng)絡(luò)銀行欺詐、盜竊手段能夠用層出不窮來形容，而且往往是幾種手段交織在一起使用，令網(wǎng)絡(luò)銀行用戶防不勝防。當(dāng)前計算機病毒和木馬成為攻擊毀壞和進行網(wǎng)銀盜竊活動的重要工具和手段，對網(wǎng)上銀行和網(wǎng)上支付安全造成不良影晌。2.4.病毒變種出現(xiàn)快、更新快、自我保衛(wèi)能力強，病毒變種數(shù)量成為危害的新標(biāo)準(zhǔn)由于越來越多的人使用殺毒軟件，而且殺毒軟件升級越來越頻繁，使得許多病毒誕生不久就能夠被有效的去除。因而，病毒制作者利用各種加殼、加密工具為病毒制造變種，改頭換面，使得殺毒軟件對這些病毒失去了查殺能力。2.5.混合型病毒成為了今后病毒發(fā)展的重要趨勢。最近病毒功能越來越強大，不僅擁有蠕蟲病毒傳播速度和毀壞能力，而且還具有木馬的控制計算機和盜竊主要信息的功能，以“熊貓病毒〞為例，在幾個月之中感染了數(shù)以萬計的電腦，進入電腦后瘋狂的下載木馬病毒，帶來了宏大的損失。最近的幾個病毒：仇英、艾妮等都是這樣的類型。3.網(wǎng)絡(luò)防病毒技術(shù)和方法技術(shù)的的先進性是網(wǎng)絡(luò)防病毒產(chǎn)品品質(zhì)的保證。對付形形色色、幻化莫測的網(wǎng)絡(luò)病毒最好的辦法就是不斷發(fā)展反病毒技術(shù)。在網(wǎng)絡(luò)防病毒產(chǎn)品中，當(dāng)前采取的幾種主要技術(shù)3.1反黑與反病毒相結(jié)合。病毒與黑客在技術(shù)和毀壞手段上結(jié)合得越來越嚴(yán)密。將殺毒、防毒和反黑客有機地結(jié)合起來，已經(jīng)成為一種趨勢。專家以為，在網(wǎng)絡(luò)防病毒產(chǎn)品中植入網(wǎng)絡(luò)防火墻技術(shù)是完全可能的。有遠見的防病毒廠商已經(jīng)開始在網(wǎng)絡(luò)防病毒產(chǎn)品中植入文件掃描過濾技術(shù)和軟件防火墻技術(shù)，并將文件掃描過濾的本能機能選擇和防火墻的“防火〞本能機能選擇交給用戶，用戶根據(jù)自己的實際需要進行選擇，并由防毒系統(tǒng)中的網(wǎng)絡(luò)防病毒模塊完成病毒查殺工作，進而在源頭上起到防備病毒的作用。3.2.從入口攔截病毒。網(wǎng)絡(luò)安全的威脅多數(shù)來自郵件和采取廣播形式發(fā)送的信函。面對這些威脅，很多專家建議安裝代理效勞器過濾軟件來防止欠妥信息。當(dāng)前已有很多廠商正在開發(fā)相關(guān)軟件，直接配置在網(wǎng)絡(luò)網(wǎng)關(guān)上，彈性規(guī)范網(wǎng)站內(nèi)容，過濾不良網(wǎng)站，限制內(nèi)部瀏覽。這些技術(shù)還可提供內(nèi)部使用者上網(wǎng)訪問網(wǎng)站的情況，并產(chǎn)生圖表報告。系統(tǒng)管理者可以以設(shè)定個人或部門下載文件的大小。除此之外，郵件管理技術(shù)能夠防止郵件經(jīng)由Internet網(wǎng)關(guān)進入內(nèi)部網(wǎng)絡(luò)，并能夠過濾由內(nèi)部寄出的內(nèi)容欠妥的郵件，避免造成網(wǎng)絡(luò)帶寬的欠妥占用。從入口處攔截病毒成為將來網(wǎng)絡(luò)防病毒產(chǎn)品發(fā)展的一個主要方向。3.3.全面解決方案。將來的網(wǎng)絡(luò)防病毒體系將會從單一設(shè)備或單一系統(tǒng)，發(fā)展成為一個整體的解決方案，并與網(wǎng)絡(luò)安全系統(tǒng)有機地融合在一起。同時，用戶會要求反病毒廠商能夠提供更全面、更大范圍的病毒防備，即用戶網(wǎng)絡(luò)中的每一點，無論是效勞器、郵件效勞器，還是客戶端都應(yīng)該得到保衛(wèi)。這就意味著防火墻、入侵檢測等安全產(chǎn)品要與網(wǎng)絡(luò)防病毒產(chǎn)品進一步整合。這種整合需要解決不同安全產(chǎn)品之間的兼容性問題。這種發(fā)展趨勢要求廠商既要對查殺病毒技術(shù)輕車熟路，又要把握防病毒技術(shù)以外的其他安全技術(shù)。3.4.客戶化定制。客戶化定制形式是指網(wǎng)絡(luò)防病毒產(chǎn)品的最終定型是根據(jù)企業(yè)網(wǎng)絡(luò)的特點而專門制定的。對于用戶來講，這種定制的網(wǎng)絡(luò)防病毒產(chǎn)品帶有專用性和針對性，既是一種個性化、跟蹤性產(chǎn)品，又是一種效勞產(chǎn)品。這種客戶化定制具體表現(xiàn)出了網(wǎng)絡(luò)防病毒正從傳統(tǒng)的產(chǎn)品形式向現(xiàn)代效勞形式轉(zhuǎn)化。而且大多數(shù)網(wǎng)絡(luò)防病毒廠商不再將一次性賣出反病毒產(chǎn)品作為自己最重要的收入來源，而是通過向用戶不斷地提供定制效勞獲得連續(xù)利潤。3.5.區(qū)域化到國際化。Internet和Intranet快速發(fā)展為網(wǎng)絡(luò)病毒的傳播提供了方便條件，也使得以往僅僅限于局域網(wǎng)傳播的當(dāng)?shù)夭《狙杆賯鞑サ饺蚓W(wǎng)絡(luò)環(huán)境中。過去經(jīng)常需要經(jīng)過數(shù)周以至數(shù)月才可能在國內(nèi)流行起來的國外“病毒〞，如今只需要一二天，以至更短的時間，就能傳遍全國。這就促使網(wǎng)絡(luò)防病毒產(chǎn)品要從技術(shù)上由區(qū)域化向國際化轉(zhuǎn)化。過去，國內(nèi)有的病毒，國外不一定有;國外有的病毒，在國內(nèi)也不一定能夠流行起來。這種特殊的小環(huán)境，培養(yǎng)一批“具有中國特點〞的殺病毒產(chǎn)品，如今病毒發(fā)作日益與國際同步，國內(nèi)的網(wǎng)絡(luò)防病毒技術(shù)也需要與國際同步。技術(shù)的國際化不僅僅是反映在網(wǎng)絡(luò)防病毒產(chǎn)品的殺毒能力和反應(yīng)速度方面，同時也意味著要汲取國外網(wǎng)絡(luò)防病毒產(chǎn)品的效勞形式。4.結(jié)束語：一旦在網(wǎng)絡(luò)上發(fā)現(xiàn)病毒，應(yīng)該盡快地加以去除，以免網(wǎng)絡(luò)病毒擴散給系統(tǒng)帶來更大的損失，詳細方法為：立即用broadcast命令通知包含系統(tǒng)管理員在內(nèi)的所有用戶退網(wǎng)，關(guān)閉文件效勞器。用干凈的系統(tǒng)盤啟動系統(tǒng)管理員工作站，并及時地去除本機工作站中含有的病毒；用干凈的系統(tǒng)盤