7章计算机病毒技术分析与安全防护
计算机病毒与防护
计算机病毒与防护计算机病毒已经成为了我们日常生活中不可忽视的安全威胁。
恶意软件、病毒攻击和黑客入侵等威胁都存在于我们使用电脑和网络的过程中。
因此,了解计算机病毒的概念和防护措施是至关重要的。
在本篇文章中,我们将探讨计算机病毒的定义、类型以及如何保护自己的计算机免受攻击。
什么是计算机病毒?计算机病毒是一种恶意软件程序,通过植入和复制自身,传播和感染计算机系统和文件。
与传染疾病类似,计算机病毒可以通过感染一个主机,然后传播到其他计算机上。
一旦计算机受到感染,病毒可能会破坏文件、系统,或者窃取用户的个人信息。
常见的计算机病毒类型病毒(Viruses):这些是最常见的计算机病毒,它们通过复制自己并感染其他文件来传播。
病毒会破坏系统或文件,损坏用户数据。
蠕虫(Worms):蠕虫病毒通常通过网络传播,感染连接在同一网络上的计算机。
蠕虫病毒会占用网络带宽,导致系统运行缓慢甚至崩溃。
木马(Trojans):木马病毒伪装成合法的软件,一旦用户下载并运行它们,就会在系统中开辟后门,以便黑客访问并控制计算机。
间谍软件(Spyware):间谍软件是一种潜在的威胁,它会在用户不知情的情况下收集个人信息并发送给第三方。
如何保护计算机免受计算机病毒攻击?为了保护计算机免受计算机病毒的攻击,我们可以采取以下措施:1.安装可靠的防病毒软件安装一个可靠的防病毒软件是保护计算机安全的第一步。
确保及时更新病毒库和软件版本,以保持对最新威胁的防范。
2.谨慎下载和安装软件只从官方、可信任的来源下载和安装软件。
避免点击不明链接或下载附件,这可能会引发病毒感染。
3.经常备份重要文件定期备份重要文件可以帮助在遭受病毒攻击时恢复数据。
使用云存储或外部硬盘等备份设备,确保数据的安全性。
4.不随便点击陌生链接或打开可疑邮件附件避免点击不信任的链接,这些链接可能会导致系统感染。
同样地,不要随便打开可疑的邮件附件,这可能是病毒攻击的一种方式。
5.更新操作系统和软件定期更新操作系统和软件是保持系统安全的关键。
计算机网络安全及防范措施分析
计算机网络安全及防范措施分析计算机网络安全是指保护计算机网络中的硬件、软件和数据免受未经授权的访问、使用、泄露、破坏和干扰的活动。
随着计算机网络的普及和依赖程度的加深,网络安全问题也日益突出。
网络安全威胁主要包括黑客攻击、病毒和恶意软件、网络钓鱼、拒绝服务攻击等。
为了保护网络安全,人们采取了一系列的防范措施。
一、技术层面的防范措施:1.防火墙:防火墙可以限制内网用户与外网之间的通信,对进出的数据进行过滤和阻断,有效地防止黑客入侵和恶意软件的传播。
2.入侵检测系统(IDS):入侵检测系统可以检测和识别网络中的异常或非法行为,及时发现和响应安全事件。
3.虚拟专用网(VPN):通过建立安全的、加密的通信管道,保护敏感数据在公共网络中的传输,防止被窃听和篡改。
4. 加密技术:在网络通信中采用加密技术,加密数据,防止数据被窃取和篡改。
常见的加密技术有SSL/TLS、IPSec等。
5.身份认证与访问控制:通过身份认证和访问控制,可以限制用户对系统资源的访问权限,防止未经授权的用户访问、使用和修改数据。
6.漏洞修补:及时修补系统和软件中的安全漏洞,防止黑客利用漏洞进行攻击。
二、管理层面的防范措施:1.定期备份数据:及时备份重要数据,以防数据丢失或被破坏。
同时,备份数据也可以作为恢复操作系统和应用程序的手段。
2.建立完善的安全政策:制定和执行网络安全相关的政策和规程,明确员工在网络安全方面的义务和责任,加强对安全政策的监督和培训。
3.对员工进行安全意识教育和培训:加强对员工的安全意识教育和培训,提高员工的网络安全意识和防范能力,减少人为因素导致的安全漏洞。
4.监测和审计:通过日志监测、行为分析和审计等手段,及时发现和响应安全事件,加强对网络活动的监督和防范工作。
三、用户个人层面的防范措施:1.更新操作系统和应用程序:及时安装系统和应用程序的安全补丁,修复已知的安全漏洞,提高系统的稳定性和安全性。
2.使用强密码:使用包含大小写字母、数字和特殊字符的复杂密码,定期更换密码,避免使用简单的密码和重复使用密码。
计算机网络病毒与防范分析
计算机网络病毒与防范分析计算机网络病毒是指一种能够感染计算机系统并对其造成破坏或者窃取信息的恶意软件。
随着计算机网络的普及和发展,病毒也越来越多样化和复杂化,给网络安全带来了极大的威胁。
对计算机网络病毒进行有效的防范分析是非常重要的。
本文将从病毒的定义、特点、传播途径,以及防范措施等方面进行详细分析,希望能够提高广大用户对计算机网络病毒的认识,从而更好地保护自己的计算机系统安全。
一、计算机网络病毒的定义和特点计算机网络病毒是一种能够自我复制并传播的恶意软件,它能够侵入计算机系统并进行破坏、窃取信息等恶意行为。
病毒可以以程序的形式存在于计算机系统中,它会依附在正常的程序或者文件上,并在用户运行这些程序或者文件的时候激活,对计算机系统造成危害。
病毒的特点主要有以下几点:1.自我复制:病毒可以在受害计算机上自我复制,从而传播到其他计算机系统中。
2.潜伏性:病毒可以在计算机系统中潜伏一段时间,等待恰当的时机进行攻击。
3.破坏性:病毒可以破坏计算机系统的正常运行,导致系统崩溃或者数据丢失。
4.隐蔽性:病毒可以隐藏在正常的程序或者文件中,很难被用户和防火墙察觉。
计算机网络病毒主要通过以下几种途径传播:1.感染式传播:病毒依附在计算机系统的文件或者程序中,在用户运行这些文件或者程序的时候被激活,并感染其他正常文件或者程序,从而扩散传播。
2.网络传播:病毒可以通过互联网、局域网等网络途径进行传播,它可以利用网络漏洞、邮件附件、下载软件等方式进入用户的计算机系统,从而传播到其他计算机系统中。
3.移动存储介质传播:病毒可以通过U盘、移动硬盘等存储介质进行传播,当用户使用这些存储介质的时候,病毒会感染用户的计算机系统,并进一步传播。
为了有效防范计算机网络病毒的威胁,用户可以采取以下一些措施:1.安装杀毒软件:用户可以安装杀毒软件,及时对计算机系统进行杀毒,以及防范不断产生的新型病毒。
2.定期更新补丁:用户可以定期更新操作系统和软件的补丁程序,填补系统漏洞,防范病毒侵入。
计算机安全 第7章 病毒防护
第7章病毒防护主讲:×××7.1 病毒的基本特征7.1.1 常见的计算机的病毒7.1.2 计算机病毒的基本结构7.1.3 计算机病毒的共同特征7.1.4 计算机病毒的新特点7.1.1 入侵检测方法1.木马病毒木马病毒源于古希腊的特洛伊木马神话,它是把自己伪装在正常程序内部的病毒,这种病毒程序还是木马。
木马病毒带有黑客性质,它有强大的控制和破坏能力,可窃取密码、控制系统、7.1.1 入侵检测方法2.宏病毒宏是一系列由用户编写或录制的命令和指令,用来实现任务执行的自动化。
的具有病毒特征的宏集合。
它的危害性大,以二进制文件加密压缩格式存入.doc或.dot文件中,所有打开的Word文档都会在自动保存时被传染。
7.1.1 入侵检测方法3.宏病毒蠕虫病毒是一种能自我复制的程序,并能通过计算机网络进行传播,它消耗大量系统资源,网络瘫痪。
蠕虫病毒的传染目标是互联网内的所有计算机,其传播方式分为两类:一类是利用系播。
7.1.1 入侵检测方法4.宏病毒PE病毒是指所有感染Windows操作系统中PE文件格式的病毒。
PE病毒大多数采用Win 32文件)并把自己的代码加到EXE文件尾部,修改原程序的入口点以指向病毒体,PE病毒没本身没有什么危害,但被感染的文件可能被破坏。
7.1.1 入侵检测方法5.宏病毒脚本病毒通常是用JavaScript或者VBScript 通过网页进行传播,一旦用户运行了带有病毒的给用户使用计算机带来不便。
VBS脚本病毒是使用VBScript编写的,以宏病毒和新欢乐时光病毒为典型代表。
VBS脚本病毒编写简单,破坏力大,感染力强。
这类病毒通传播范围大。
7.1.1 入侵检测方法5.恶意网页病毒网页病毒主要是利用软件或系统操作平台等本标记语言)内的Java Applet小应用程序、JavaScript脚本语言程序或ActiveX控件,强行程序,或非法控制系统资源,盗取用户文件,或恶意删除硬盘文件、格式化硬盘。
CH07计算机病毒与木马防范技术
(1)驻留内存技术 (2)病毒变形及变种 (3)抗分析技术 (4)多态性病毒技术
使用不固定的密钥或者随机数加密病毒代码; 运行的过程中改变病毒代码; 通过一些奇怪的指令序列实现多态性。
(5)网络病毒技术
第 10 页 / 共 20 页
三、计算机病毒的技术特征
20 世 纪 70 年 代 , 在 美 国 作 家 雷 恩 出 版 的 《P1 的 青 春 - The Adolescence of P1》一书中,首次勾勒出了病毒程序的蓝图。 20世纪80年代早期出现了第一批计算机病毒。 1988 年冬天出现了第一个 Internet 蠕虫病毒,被命名为 Morris Worm (一种使用自行传播恶意代码的恶意软件,它可以通过网络 连接,自动将其自身从一台计算机分发到另一台计算机)。 1988年11月2日下午 5点,互联网的管理人员首次发现网络有不明 入侵者。 1991年在“海湾战争”中,美军第一次将计算机病毒应用于实战, 正式将病毒作为一种攻击性“武器”投入使用。 90 年代网上开始出现病毒交流布告栏,成为病毒编写者合作和共享 知识的平台。电子邮件、网站、共享驱动器和产品漏洞都为病毒复制 和攻击提供了平台。 2006年末,计算机病毒产业发生了巨大的变化 —从病毒研制到营销 过程完全采用商业化运作,直接以经济利益为目的传播病毒,破坏网 络系统。
特征:
第 5 页 / 共 20 页
一、计算机病毒概述
4、计算机病毒的分类
按照计算机病毒的特点及特性,计算机病毒的分类方法有 许多种。因此,同一种病毒可能有多种不同的分法。
按照计算机病毒攻击的系统分类 按照病毒的攻击机型分类 按照计算机病毒的链结方式分类 按照计算机病毒的破坏情况分类 按照计算机病毒的寄生部位或传染对象分类 按照传播媒介分类
计算机病毒解析与防范
计算机病毒解析与防范一、计算机病毒概述计算机病毒是一种恶意软件,它能够复制自身并且在计算机网络中进行传播,从而破坏数据、干扰计算机操作,甚至危害网络安全。
它们通常由复杂的算法和恶意代码组成,利用各种手段潜入计算机系统,对个人和企业信息安全构成严重威胁。
二、计算机病毒的类型与特性计算机病毒的种类繁多,按照其传播方式和破坏性,大致可以分为蠕虫病毒、木马病毒、宏病毒、文件病毒、启动区病毒等。
它们通常具有以下特性:1、自我复制:病毒会复制自身,并可能传播到其他计算机或网络中。
2、破坏性:病毒可能会破坏文件、删除数据、格式化硬盘,甚至造成系统崩溃。
3、潜伏性:病毒可能会隐藏在系统中,只有在特定条件下才会被激活。
4、传染性:病毒可以通过各种途径,如网络、文件、移动设备等传播。
三、计算机病毒的防范措施1、定期更新操作系统和应用程序,确保补丁及时打上,防止病毒利用漏洞进行攻击。
2、使用可靠的杀毒软件,并定期更新病毒库,以便及时检测和清除病毒。
3、不轻易打开未知来源的邮件和下载不明链接,避免访问不安全的网站,防止病毒通过这些途径入侵。
4、定期备份重要数据,以防万一病毒攻击导致数据丢失。
5、提高用户的安全意识,不轻信陌生人的信息,避免被诱导打开或下载病毒文件。
四、总结计算机病毒已经成为网络安全领域的一个重大问题。
了解计算机病毒的类型和特性,并采取有效的防范措施,对于保护个人和企业信息安全至关重要。
除了使用杀毒软件和定期更新操作系统外,提高用户的安全意识也是防止病毒攻击的重要一环。
只有全面了解并应对计算机病毒的威胁,我们才能更好地保护自己的计算机系统和数据安全。
计算机病毒防范计算机病毒是一种恶意程序,它会利用计算机系统的漏洞和弱点,对计算机系统和数据造成损害。
因此,计算机病毒防范是非常重要的。
一、计算机病毒的类型和特点计算机病毒有很多种类型,例如蠕虫病毒、木马病毒、宏病毒等。
这些病毒都有不同的特点和传播方式。
蠕虫病毒是一种通过网络传播的病毒,它可以通过网络传播到其他计算机系统。
计算机病毒与防护
计算机病毒与防护计算机病毒是一种恶意软件,它能够复制自身并且在计算机网络中进行传播,从而破坏数据、干扰计算机操作,甚至危害网络安全。
它们可能是对个人和企业信息安全的重大威胁,因此,对计算机病毒的防护至关重要。
计算机病毒的传播方式多种多样。
它们可以通过网络、电子邮件、移动存储设备等途径进行传播。
当用户打开包含病毒的邮件或下载了病毒文件时,病毒就有可能感染计算机。
病毒还可以通过共享网络文件夹、文件传输等方式进行传播。
计算机病毒的危害性也是不容忽视的。
它们可能破坏计算机的操作系统、应用程序和数据,导致计算机无法正常运行。
同时,病毒还可能窃取个人信息,威胁网络安全,给用户带来经济损失。
因此,对计算机病毒的防护至关重要。
为了防止计算机病毒的传播和破坏,我们需要采取有效的防护措施。
要安装可靠的杀毒软件,并定期更新病毒库,以便及时发现和清除病毒。
要避免打开未知来源的邮件和下载不明安全的软件,防止病毒入侵。
要定期备份重要数据,以防万一。
在网络安全日益重要的今天,对计算机病毒的防护已经成为一项不可或缺的任务。
只有通过深入理解计算机病毒的性质和特点,采取有效的防护措施,我们才能保护自己的计算机和网络安全,确保信息的安全可靠。
一、引入计算机病毒是一种恶意软件,它能够复制自身并且在计算机网络中进行传播,从而破坏数据、干扰计算机操作,甚至危害网络安全。
因此,了解计算机病毒的基本知识以及如何进行有效防护至关重要。
二、计算机病毒的定义与特性1、计算机病毒的定义:计算机病毒是一种能够通过复制自身并在网络中进行传播的恶意程序。
2、计算机病毒的特性:自我复制、传播迅速、破坏性、潜伏性、隐蔽性等。
三、计算机病毒的类型1、根据传播方式:网络病毒、文件病毒、引导型病毒等。
2、根据破坏性:良性病毒、恶性病毒等。
四、计算机病毒的防护1、安装杀毒软件:选择可靠的杀毒软件,定期进行更新和升级。
2、提高安全意识:不打开未知来源的邮件、不随意下载不明链接等。
计算机病毒与网络攻击分析及防御
计算机病毒与网络攻击分析及防御一、计算机病毒的概念计算机病毒是指一种能够自行复制、传播和破坏计算机系统的程序,被广泛应用于网络攻击、信息窃取等非法活动中。
计算机病毒具有隐藏性和变异性,难以被及时发现和清除。
针对计算机病毒的防御需要采取一系列措施,从物理隔离、网络安全设备至加密传输等方面进行防范。
二、计算机病毒的种类计算机病毒按照其感染方式可分为开机病毒、文件病毒、蠕虫病毒、木马病毒、启动病毒等类型。
开机病毒通过感染磁盘主引导记录实现自启动,最早的病毒是通过磁盘启动来传播。
文件病毒则通过感染可执行文件实现传播,通常利用“EXE”和“COM”文件格式来感染。
蠕虫病毒则通过网络传播,在感染后会自动向其他主机发送自身复制体,造成更大的破坏。
木马病毒则会隐藏在一些看似无害的程序中,通过网络或者直接访问感染目标机器,实现远程控制和操作。
启动病毒则是通过感染系统启动文件来损坏系统,例如改变计算机的启动方式或启动顺序,开机自动启动病毒程序等。
三、网络攻击的类型网络攻击是指大量的攻击行为,包括非法入侵、DoS攻击、数据包窃取、仿冒欺骗等行为,破坏了网络的安全和稳定。
其中,非法入侵是指攻击者利用计算机弱点或者密码破解等方式对系统进行非法访问,获取用户信息和机密数据。
DoS攻击是指攻击者通过发起大量的请求,压制目标服务器,使得正常用户无法访问。
数据包窃取是指攻击者通过对数据包的解密、篡改、分析等方式获取目标网络的机密信息。
仿冒欺骗是指攻击者通过伪造电子邮件、网站、短信等形式来进行欺骗和诈骗,获取用户的机密信息和财务信息。
四、网络攻击的防御针对网络攻击,需要采取一系列的措施来进行预防和防御。
首先,对于网络体系结构的设计和部署需要充分考虑安全因素,尽可能采用分层结构、隔离网络等技术实现安全策略。
其次,通过安装防火墙、入侵检测、反病毒等安全产品提高网络的安全性。
同时,针对不同类型的攻击,也需要采取不同的应对策略。
例如,对于DoS攻击需要采用流量清洗和过滤等技术;在防范数据包窃取时,可以采用加密传输、虚拟专用网络等方式实现数据的保护。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
7.8 蠕虫病毒蠕虫:一种通过网络传播的恶性计算机病毒蠕虫具有病毒的一些共性,如传播性、隐蔽性、破坏性等,还有其特有的特征,如不利用文件寄生(有的只存在于内存中),对网络造成拒绝服务等攻击。
蠕虫使用存在危害的代码攻击网上的受害主机,并在受害主机上自我复制,再攻击其他的受害主机。
7.8.1 蠕虫的起源及其定义1、蠕虫的起源1980年,Xerox PARC的研究人员John Shoch和Jon Hupp在研究分布式计算、监测网络上的其他计算机是否活跃时,编写了一种程序,Xerox蠕虫1988年11月2日,世界上第一个破坏性计算机蠕虫正式诞生Morris为求证计算机程序能否在不同的计算机之间进行自我复制传播,编写了一段试验程序为了让程序能顺利进入另一台计算机,他还写了一段破解用户口令的代码;11月2日早上5点,这段被称为“Worm”(蠕虫)的程序开始了它的旅行。
进入了几千台计算机,让它们死机;Morris蠕虫利用sendmail的漏洞、fingerD的缓冲区溢出及REXE的漏洞进行传播;Morris在证明其结论的同时,也开启了蠕虫新纪元。
2、蠕虫的原始定义蠕虫在1982年由Xerox PARC的John F. Shoch等人引入计算机领域,并给出蠕虫的两个最基本特征:“可以从一台计算机移动到另一台计算机”和“可以自我复制”Fred Cohen在1984年给出病毒定义:“A program that can …infect‟ other programs by modifying them to include a possibly evolved copy of itself.”1988年Morris蠕虫爆发后,Eugene H. Spafford为了区分蠕虫和病毒,给出了蠕虫的技术角度的定义:“Worm is a program that can run by itself and can propagate a fully working version of itself to other machines.解释病毒为:“Virus is a piece of code that adds itself to other programs, including operating systems. It cannot run independently and it requ ires that its 'host' program be run to activate it.”3 、蠕虫定义的进一步说明计算机病毒主要攻击:文件系统蠕虫主要利用:计算机系统漏洞(Vulnerability)蠕虫的定义中强调了自身副本的完整性和独立性,这也是区分蠕虫和病毒的重要因素。
通过观察攻击程序是否存在载体来区分蠕虫与病毒。
普通病毒与蠕虫病毒比较:7.8.2 蠕虫的分类1、蠕虫的分类根据蠕虫的传播、运作方式,将蠕虫分为两类:主机蠕虫:主机蠕虫的所有部分均包含在其所运行的计算机中;在任意给定的时刻,只有一个蠕虫的拷贝在运行;也称作“兔子”(Rabbit)。
网络蠕虫:网络蠕虫由许多部分(称为段,Segment)组成,而且每一个部分运行在不同的计算机中(可能执行不同的动作);使用网络是为了进行各部分之间的通信以及传播;网络蠕虫具有一个主segment ,用以协调其他segment 的运行;这种蠕虫有时也称作“章鱼”(Octopus)。
根据使用者情况可将蠕虫病毒分为两类:面向企业用户和局域网的蠕虫:利用系统漏洞,主动攻击,可对整个Internet 造成瘫痪性后果;典型代表:“红色代码”、“尼姆达”、“Sql 蠕虫王”;具有很强的主动攻击性,而且爆发也有一定的突然性,但相对来说,查杀这种计算机病毒并不难。
针对个人用户的蠕虫:通过网络(电子邮件、恶意网页)迅速传播的蠕虫病毒;典型代表:“爱虫病毒”,“求职信病毒”;传播方式比较复杂和多样,少数利用了应用程序的漏洞,更多的是利用社会工程学对用户进行欺骗和诱使,这样的计算机病毒造成的损失非常大,同时也很难根除。
2、蠕虫与漏洞网络蠕虫最大特点是利用各种漏洞进行自动传播根据网络蠕虫所利用漏洞的不同,又可以将其细分:邮件蠕虫:主要是利用MIME(Multipurpose Internet Mail Extension Protocol ,多用途的网际邮件扩充协议)漏洞网页蠕虫:主要是利用IFrame 漏洞和MIME 漏洞网页蠕虫可以分为两种:用一个IFrame 插入一个Mail 框架,同样利用MIME 漏洞执行蠕虫,这是直接沿用邮件蠕虫的方法;用IFrame 漏洞和浏览器下载文件的漏洞来运作,首先由一个包含特殊代码的页面去下载放在另一个网站的病毒文件,然后运行它,完成蠕虫传播。
系统漏洞蠕虫:利用RPC 溢出漏洞的冲击波、冲击波杀手;利用LSASS 溢出漏洞的震荡波、震荡波杀手;系统漏洞蠕虫一般具备一个小型的溢出系统,它随机产生IP 并尝试溢出,然后将自身复制7.8.3 基本原理 蠕虫程序的实体结构:蠕虫程序的功能结构:2、蠕虫的工作方式与扫描策略 蠕虫的工作方式一般是“扫描→攻击→复制蠕虫的扫描策略:现在流行的蠕虫采用的传播技术目标是尽快地传播到尽量多的计算机中;扫描模块采用的扫描策略是:随机选取某一段IP地址,然后对这一地址段上的主机进行扫描;没有优化的扫描程序可能会不断重复上面这一过程,大量蠕虫程序的扫描引起严重的网络拥塞。
对扫描策略的改进:在IP地址段的选择上,可以主要针对当前主机所在的网段进行扫描,对外网段则随机选择几个小的IP地址段进行扫描;对扫描次数进行限制,只进行几次扫描;把扫描分散在不同的时间段进行。
扫描策略设计的原则:尽量减少重复的扫描,使扫描发送的数据包总量减少到最小;保证扫描覆盖到尽量大的范围;处理好扫描的时间分布,使得扫描不集中在某一时间内发生;怎样找到一个合适的策略需要在考虑以上原则的前提下进行分析,甚至需要试验验证。
蠕虫常用的扫描策略:选择性随机扫描(包括本地优先扫描);可路由地址扫描(Routable Scan);地址分组扫描(Divide-Conquer Scan);组合扫描(Hybrid Scan);极端扫描(Extreme Scan)。
3、蠕虫的传播模型蠕虫在计算机网络上的传播,可看作是服从某种规律的网络传播行为;一个精确的蠕虫传播模型可以使人们对蠕虫有更清楚的认识,能确定其在传播过程中的弱点,而且能更精确的预测蠕虫所造成的损失;目前已有很多学者对蠕虫进行了深入研究,提出了一些模型,这些蠕虫传播模型都是针对随机网络的,不能很好的模拟实际网络环境。
如何精确地描述蠕虫传播行为,揭示它的特性,找出对该行为进行有效控制的方法,一直是学者们共同关注的焦点;最经典网络传播模型的SIS模型和SIR模型。
在SIS模型中,每一个网络节点只能处于两种状态中的一种,一是易感的,二是已被感染从而具有传染能力的。
在SIR模型中,节点还可以处于一种叫做免疫的状态,在这种状态下,节点既不会被感染,也不会感染其它节点。
Kermack-Mckendrick模型是SIR模型中的经典。
模型考虑了感染主机的恢复,它假定在蠕虫传播期间,一些受感染的主机可以恢复为正常状态或死亡,且对此蠕虫具有免疫功能,因此每个主机具有三种状态:易感、感染或恢复,其状态转移可表示为易感→感染→恢复,或永远保持易感状态感染的主机数与感染强度示意图r(t)表示在时刻t被感染的主机数R(t)表示在时刻t被恢复的主机数S(t)表示在t时刻尚未感染的主机数N表示主机总数从Kermack-Mckendrick模型可以得出一个理论——蠕虫爆发定理:一个大规模蠕虫爆发的充分必要条件是初始易感主机的数目S(0)>ρ由于存在蠕虫爆发的阈值,因此,采取各种防治手段,如安装杀毒软件、打补丁、断开网络连接等降低蠕虫感染率,通过先进的治疗手段提高恢复率,使S(0)≤ρ,从而有效地遏制蠕虫的传播。
能否在蠕虫的缓慢传播阶段实现对蠕虫的检测和防治成为有效防治蠕虫的关键4、蠕虫的行为特征通过对蠕虫的整个工作流程进行分析,归纳得到它的行为特征:(1)主动攻击(2)行踪隐蔽(3)利用系统、网络应用服务器漏洞(4)造成网络拥塞(5)消耗系统资源,降低系统性能(6)产生安全隐患(7)反复性(8)破坏性5、蠕虫技术的发展通过对蠕虫行为特征、实体结构、功能结构的分析,可以预测蠕虫技术发展的趋势将主要集中在如下几个方面:(1)超级蠕虫(2)分布式蠕虫(3)动态功能升级技术(4)通信技术(5)与黑客技术的结合(6)与病毒技术的结合。
蠕虫爆发的频率越来越快,越来越多的蠕虫(如“冲击波”、“振荡波”等)出现。
对蠕虫进行深入研究,并提出行之有效的解决方案,为企业和政府提供一个安全的网络环境成为急待解决的问题7.8.4 防治1、蠕虫的防治策略尽早发现蠕虫并对感染了蠕虫的主机进行隔离和恢复,是防止蠕虫泛滥、避免造成重大损失的关键计算机蠕虫防治的方案可以从两个角度来考虑:(1)从它的实体结构来考虑,如果破坏了它的实体组成的一个部分,则破坏了其完整性,使其不能正常工作,从而达到阻止其传播的目的。
(2)从它的功能组成来考虑,如果使其某个功能组成部分不能正常工作,也同样能达到阻止其传播的目的。
具体可以分为如下一些措施:修补系统漏洞;分析蠕虫行为;重命名或删除命令解释器(Interpreter) ;防火墙(Firewall);公告;更深入的研究2、蠕虫的防治周期结合蠕虫的传播模型,对蠕虫的防治分为四个阶段。
对某个具体的蠕虫而言,这四个阶段是串行的,而对蠕虫这类病毒而言,是并行的:预防阶段;检测阶段;遏制阶段;清除阶段。
3、蠕虫的检测与清除对未知蠕虫的检测:有多种方法可以对未知蠕虫进行检测,比较通用的方法有对流量异常的统计分析、对TCP连接异常的分析、对ICMP(Internet Control Message Protocol,互联网控制报文协议)数据异常的分析以Worm.Sasser.b为例,说明蠕虫的清除方法:该蠕虫是“震荡波”的第二个变种,依然是利用微软操作系统的LSASS(Local Security Authority Subsystem Service)缓冲区溢出漏洞进行远程主动攻击和传染,导致系统异常和网络严重拥塞,具有极强的危害性;和上一版本相比,其攻击方式发生了变化,改成了多线程扫描多进程攻击,而且,蠕虫产生的文件名和注册表键值也都发生了变化;该蠕虫占用大量的系统和网络资源,使被感染的计算机变得很慢。
由于Windows NT以上操作系统中广泛存在此漏洞,该蠕虫会在网络上迅速传播,造成网络瘫痪。