计算机病毒分析与防御

计算机病毒分析与防御（精选12篇）

计算机病毒分析与防御 篇1

0 引言

ARP协议是“Address Resolution Protocol”(地址解析协议)的缩写。是一种将IP地址转化成物理地址的协议。ARP协议的基本功能为了确保通信,通过目标机器的IP地址,查询目标机器的MAC地址。每台主机在自己的ARP缓冲区构建一个ARP列表,显示IP地址和MAC地址的对应关系。当源主机需要一个数据包发送到目的主机,将先检查自己的ARP列表是否有相应的IP地址对应的MAC地址,如果有就直接发送数据包到MAC地址;如果查不到,就向本地网段广播起一个ARP请求包,通过此目的主机查询它的MAC地址。ARP请求包括源主机的IP地址和硬件地址、目的主机的IP地址。网络的所有主机接收这个ARP请求,将检查如果目的IP和它自己的IP地址是否相同。如果不同就忽略这个数据包;如果相同,该主机就会将发送端的IP地址和MAC地址添加到自己的ARP映射列表中,如果地址解析协议表中已经有这个IP的信息,就会将其覆盖,然后发送一个ARP响应数据包给源主机,告诉对方自己是它需要查找的MAC地址;源主机在收到ARP响应包后,将得到的目的主机的IP地址和MAC地址的ARP映射添加到列表中,并使用这些信息来开始传输数据。如图1:

要发送网络包给192.168.2.1,在局域网发出广播包“192.168.2.1的MAC地址。其他机器不回应,只有192.168.2.1回应“192.168.2.1的MAC地址是00-aa-00-62-c6-09”。从上面可以看出,ARP协议的基础就是信任局域网内所有的人,那么就很容易实现在以太网上的ARP欺骗。

1 ARP Spoofing攻击原理分析

ARP攻击是通过伪造IP地址和MAC地址的ARP欺骗,能够在网络中产生很多的ARP通信量使网络阻塞,攻击者只要不断发送假的ARP应答数据包可以改变目标主机的IP-MAC条目,ARP攻击只要开始将导致局域网内计算机无法其他计算机和通信,而且网络对此种病毒没有任何耐受度,只要在局域网中存在一台电脑感染ARP欺骗的,会导致整个局域网(LAN)通信中断。

假设在一个局域网中,一个交换机连接了3台机器,依次是计算机X,Y,Z

X的地址为:IP:192.168.2.1 MAC:XX-XX-XX-XX-XX-XX

Y的地址为:IP:192.168.2.2 MAC:YY-YY-YY-YY-YY-YY

Z的地址为:IP:192.168.2.3 MAC:ZZ-ZZ-ZZ-ZZ-ZZ-ZZ

我们在X机器上运行ARP-A,可以看到ARP缓存表出现如下内容。

Internet Address Physical Address Type

ARP欺骗程序在计算机Y上运行,来发送ARP欺骗包。Y向X发送一个自己假的ARP应答,而这个回答中的信息为发送方IP地址192.168.10.3(Z的IP地址),MAC地址是TT-TT-TT-TT-TT-TT(Z的MAC地址本来应该是ZZ-ZZ-ZZ-ZZ-ZZ-ZZ,这里被造假了)当X得到Y伪造ARP响应,将更新本地ARP缓存。而且X不知道这个数据是从Y发送过来的。欺骗后再次在X计算机上运行ARP-A来查询ARP缓存信息。会找到正确的信息现在已经呈现出了错误。

Internet Address Physical Address Type

当一个局域网(LAN),一台机器一次又一次的其他机器,特别是向网关,送这样的无效假ARP响应包时就会严重的堵塞网络。由于网关MAC地址错误,所以在网络中计算机发来的数据无法正常到达网关,这样就没法正常上网。无法访问外网的问题就会出现。因为很多时候,网关也控制局域网LAN上网,所以此时我们的LAN访问将是一个问题。

2 ARP病毒分析

当局域网内特定的主机运行ARP欺骗的木马程序时,局域网内所有主机和路由器将会被欺骗,上网的流量必须经过病毒主机。户原来直接通过路由器上网的用户现在转由通过病毒主机上网,切换的时用户将断线一次。切换到病毒主机上网后,如果用户已经登陆到服务器,那么病毒主机就会常常伪造断线的假像。由于ARP欺骗攻击的木马程序会发出很多数据包在局域网内会使通讯拥塞。上网速度会发觉越来越慢。如果ARP欺骗程序停止运行,用户会恢复正常从路由器上网。看到在路由器系统历史信息如下:[3]

这些信息表示用户的MAC地址改变了,在ARP木马程序运行时,局域网内所有的主机MAC地址变换为了病毒主机的MAC地址(显示出所有MAC New地址都全部为病毒主机的MAC地址),在路由器的用户统计所有用户的MAC地址数据都是相同的。

如果是在路由器的“系统历史记录”中看到很多的MAC Old地址都是相同,则说明局域网内ARP欺骗曾经出现过,当ARP停止欺骗的木马程序运行时,主机恢复其真正在路由器的MAC地址。

3 ARP防御分析

3.1 静态绑定

IP和MAC静态绑定,绑定网内主机和网关的IP和MAC。欺骗是通过ARP的动态实时的规则欺骗内网机器,所以把ARP全部设置为静态,这样内网PC的欺骗可以解决。在网关也同时进行MAC和IP的静态绑定,这种双绑会比较安全。缺点是每台电脑需绑定,且重新启后仍需绑定,工作量较大,虽然绑定可以通过一个批处理文件,但也麻烦。

3.2 ARP个人防火墙

在一些杀毒软件中加入了ARP个人防火墙的功能,它是通过在终端电脑上对网关进行绑定,保证不受网络中假网关的影响,从而保护自身数据不被窃取的措施。

3.3 VLAN和交换机端口绑定

通过划分VLAN和交换机端口绑定,为了防止ARP。这种方法细划了VLAN,减小广播域的范围,这样ARP只能在小范围内起作用,不会发生大范围影响。与此同时,网管交换机具有MAC地址自学习的功能,学习完成后,关闭该功能,就可以把相应的MAC和端口进行绑定,避免了ARP病毒攻击篡改他们的地址。

3.4 PPPoE

网络下面给每一个用户分配一个帐号、密码,上网时必须通过PPPo E认证,这种方法也是防范ARP措施的一种。PPPo E拨号方式对封包进行了二次封装,使其具备了不受ARP欺骗影响的使用效果

4 ARP的防御方法

4.1 定位ARP攻击的位置

主动定位方式:因为所有的ARP攻击源都会有其特征——网络卡会处于Promiscuous[1]Mode模式中,我们可以用一些工具(例如:ARPKiller)跟踪网内并检测出电脑的网卡的混杂模式,这样就可以找到找“源头”。确定相关的好机器后,再做病毒信息收集工作及分析处理。

被动定位方式:a.当ARP攻击在局域网发生时,检查交换机中的动态ARP内容,然后找到攻击源的MAC地址。B.在局域网中安装相关的网络嗅探工具,定位找到ARP攻击源的MAC地址。C.直接Ping网关IP,完成Ping后,查看网关IP对应的MAC地址,这个MAC地址应该就是假的MAC地址。用正确的Mac地址扫描工具软件可以得到PC的真实的IP地址和MAC地址,如果出现“ARP攻击”,可以找到装有ARP攻击的PC的IP、机器名和MAC地址。[2]其相关的命令:“nbtscan-r 192.168.12.0/24”(搜索整个192.168.12.0/24网段,即192.168.12.1-192.168.12.254);或“nbtscan 192.168.12.25-137”搜索192.168.12.25-137网段,即192.168.16.25-192.168.12.137。输出结果第一列是IP地址,后面是MAC地址。假如查找一台MAC地址为00-0A-EB-DB-03-D2的主机,在CMD下运行nbtscan-r 192.168.1.1/24通过查找IP-MAC对应表就可以找到IP地址了。

4.2 防御方法

1)使用三层交换机(因为可防御ARP攻击),绑定端口-MAC-IP,限制ARP流量,发现并自动隔离ARP攻击端口,合理划分VLAN,彻底阻止偷窃IP、MAC地址,大大减少了ARP的攻击。

2)对于频繁爆发病毒的网络,需要做Internet访问控制,限制用户对网络的访问。此类ARP攻击程序通常从互联网下载到用户终端,如果能够加强用户上网的访问控制,可以大大减少这些问题。

5 ARP欺骗实测分析及解决

病毒现象:在局域网(LAN)中中毒的电脑发送虚假响应包进行APR欺骗,其他客户不能正常获得真实网关及MAC地址从而无法正常通信。

分析病毒原理BKDR_NPFECT.A病毒样本的三个组件[6]

“病毒组件释放者”:%windows%SYSTEM32LOADHW.EXE(108,386 bytes).

“发ARP欺骗包的驱动程序”:%windows%System32driversnpf.sys(119,808 bytes)

“命令驱动程序发ARP欺骗包的控制者”:%windows%System32msitinit.dll(39,952 bytes)

5.1 病毒运行原理

文件LOADHW.EXE执行时会释放两个组件npf.sys和msitinit.dll。LOADHW.EXE释放组件后就会停止运行。这时病毒会假装成winPcap的驱动程序,并提供winPcap的功能。客户原先的winPcap,npf.sys两个文件将会被病毒文件所覆盖。然后msitinit.dll将npf.sys注册为内核级的驱动设备。“NetGroup Packet Filter Driver”,msitinit.dll还负责发送指令来操作驱动程序npf.sys。从病毒代码中获取相关的信息:

npf.sys负责监督msitinit.dll.,并将loadhw.exe注册为自启动程序:

5.2 简单的反病毒方案

可以按下列顺序删除病毒的相关组件

1)删除”病毒组件释放者”%windows%SYSTEM32LOADHW.EXE

2)删除”发ARP欺骗包的驱动程序”%windows%System32driversnpf.sys

3)删除”命令驱动程序发ARP欺骗包的控制者”

4)删除”病毒的假驱动程序”的注册表服务项:

参考文献

[1]梁亦昭;局域网中的ARP欺骗防御;青海电力;2009

[2]王明;浅谈局域网中ARP欺骗攻击及安全防范;硅谷;2009

[3]周军;ARP欺骗原理及防治;镇江高专学报;2007

[4]张道军;吴银芳;校园网络中ARP病毒的综合治理[J];网络安全技术与应用;2007年09期

[5]林鹏飞;论如何防范ARP的攻击[J];才智;2010年11期

[6]王毓梁;基于ARP协议的攻击与防范;仪器仪表用户;2007

计算机病毒分析与防御 篇2

分析地质灾害的成因与防御

姓名：筱珂

学号：123456789 班级：视传****

摘要：不良地质现象通常叫做地质灾害，是指自然地质作用和人类活动造成的恶化地质环境，降低了环境质量，直接或间接危害人类安全，并给社会和经济建设造成损失的地质事件。地质灾害是指，在自然或者人为因素的作用下形成的，对人类生命财产、环境造成破坏和损失的地质现象。如崩塌、滑坡、泥石流、地裂缝、地面沉降、地面塌陷、岩爆、坑道突水、突泥、突瓦斯、煤层自燃、黄土湿陷、岩土膨胀、砂土液化，土地冻融、水土流失、土地沙漠化及沼泽化、土壤盐碱化，以及地震、火山、地热害等。

关键词：地质灾害、泥石流、应急常识、防御 地质灾害的分类

1.1 地质灾害的主要分类方法

1.1.1 就地质环境或地质体变化的速度划分为：

（1）突发性地质灾害

如：崩塌、滑坡、泥石流、地裂缝、地面塌陷、地裂缝，即习惯上的狭义地质灾害；

（2）缓变性地质灾害

如：水土流失、土地沙漠化等，又称环境地质灾害。

1.1.2 根据地质灾害发生区的地理或地貌特征划分为：

（1）山地地质灾害

如：崩塌、滑坡、泥石流等；（2）平原地质灾害

如：地质沉降，如此等等。

1.2 地质灾害的主要类型介绍 1.2.1 滑坡：是指斜坡上的岩体由于某种原因在重力的作用下沿着一定的软弱面或软弱带整体向下滑动的现象。

1.2.2 崩塌：是指较陡的斜坡上的岩土体在重力的作用下突然脱离母体崩落、滚动堆积在坡脚的地质现象。

1.2.3泥石流：是山区特有的一种自然现象。它是由于降水而形成的一种带大量泥沙、石块等固体物质条件的特殊洪流。识别：中游沟身长不对称，参差不齐；沟槽中构成跌水；形成多级阶地等。

1.2.4地面塌陷：是指地表岩、土体在自然或

人为因素作用下向下陷落，并在地面形成塌陷坑的自然现象。

1.3 地质灾害各灾害之间的关系 1.3.1滑坡与崩塌的关系

滑坡和崩塌如同孪生姐妹，甚至有着无法分割的联系。它们常常相伴而生，产生于相同的地质构造环境中和相同的地层岩性构造条件下，且有着相同的触发因素，容易产生滑坡的地带也是崩塌的易发区。例如宝成铁路宝鸡至绵阳段，即是滑坡和崩塌多发区。崩塌可转化为滑坡：一个地方长期不断地发生崩塌，其积累的大量崩塌堆积体在一定条件下可生成滑坡；有时崩塌在运动过程中直接转化为滑坡运动，且这种转化是比较常见。有时岩土体的重力运动形式介于崩塌式运动和滑坡式运动之间，以至人们无法区别此运动是崩塌还是滑坡。因此地质科学工作者称此为滑坡式崩塌，或崩塌型滑坡、崩塌、滑坡在一定条件下可互相诱发、互相转化：崩塌体击落在老滑坡体或松散不稳定堆积体上部，在崩塌的重力冲击下，有时可使老滑坡复活或产生新滑坡。滑坡在向下滑动过程中若地形突然变陡，滑体就会由滑动转为坠落，即滑坡转化为崩塌。有时，由于滑坡后缘产生了许多裂缝，因而滑坡发生后其高陡的后壁会不断的发生崩塌。另外，滑坡和崩塌也有着相同的次生灾害和相似的发生前兆。1.3.2滑坡、崩塌与泥石流的关系

滑坡、崩塌与泥石流的关系也十分密切、易发生滑坡、崩塌的区域也易发生泥石流，只不过泥石流的暴发多了一项必不可少的水源条件。再者，崩塌和滑坡的物质经常是泥石流的重要固体物质来源。滑坡、崩塌还常常在运动过程中直接转化为泥石流，或者滑坡、崩塌发生一段时间后，其堆积物在一定的水源条件下生成泥石流。即泥石流是滑坡和崩塌的次生灾害。泥石流与滑坡、崩塌有着许多相同的促发因素。1.4 地质灾害的分级标准

1.4.1按危害程度和规模大小分为：

（1）特大型地质灾害险情：受灾害威胁，需搬迁转移人数在1000人以上或潜在可能造成的经济损失1亿元以上的地质灾害险情。特大型地质灾害灾情：因灾死亡30人以上或因灾造成直接经济损失1000万元以上的地质灾害灾情。

（2）大型地质灾害险情：受灾害威胁，需搬迁转移人数在500人以上、1000人以下，或潜在经济损失5000万元以上、1亿元以下的地质灾害险情。大型地质灾害灾情：因灾死亡10人以上、30人以下，或因灾造成直接经济损失500万元以上、1000万元以下的地质灾害灾情。

（3）中型地质灾害险情：受灾害威胁，需搬迁转移人数在100人以上、500人以下，或潜在经济损失500万元以上、5000万元以下的地质灾害险情。中型地质灾害灾情：因灾死亡3人以上、10人以下，或因灾造成直接经济损失100万元以上、500万元以下的地质灾害灾情。

（4）小型地质灾害险情：受灾害威胁，需搬迁转移人数在100以下，或潜在经济损失500万元以下的地质灾害险情。小型地质灾害灾情：因灾死亡3人以下，或因灾造成直接经济损失100万元以下的地质灾害灾情。地质灾害的成因与危险性

地质灾害都是在一定的动力诱发（破坏）下发生的。诱发动力有的是天然的，有的是人为的。据此，地质灾害也可按动力成因概分为自然地质灾害和人为地质灾害两大类。自然地质灾害发生的地点、规模和频度，受自然地质条件控制，不以人类历史的发展为转移；人为地质灾害受人类工程开发活动制约，常随社会经济发展而日益增多。

2.1 诱发地质灾害的因素主要有：

2.1.1 采掘矿产资源不规范，预留矿柱少，造成采空坍塌，山体开裂，继而发生滑坡。2.1.2 开挖边坡：指修建公路、依山建房等建设中，形成人工高陡边坡，造成滑坡。2.1.3 山区水库与渠道渗漏，增加了浸润和软化作用导致滑坡泥石流发生。

2.1.4 其它破坏土质环境的活动如采石放炮，堆填加载、乱砍乱伐，也是导致发生地质灾害的致灾作用。

2.2

地质灾害危险性评估

地质灾害危险性评估是对地质灾害的活动程度进行调查、监测、分析、评估的工作，主要评估地质灾害的破坏能力。地质灾害危险性通过各种危险性要素体现，分为历史灾害危险性和潜在灾害危险性。

2.2.1 历史灾害危险性是指已经发生的地质灾害的活动程度，要素有：灾害活动强度或规模、灾害活动频次、灾害分布密度、灾害危害强度。其中危害强度指灾害将活动所具有的破坏能力，是灾害活动的集中反映，是一种综合性的特征指标，只能用灾害等级进行相对量度。

2.2.2地质灾害潜在危险性评估是指未来时期将在什么地方可能发生什么类型的地质灾害，其灾害活动的强度、规模以及危害的范围、危害强度的一种分析、预测。地质灾害潜在危险性受多种条件控制，具有不确定性。地质灾害活动条件的充分程度是控制点，地质灾害潜在危险性的最重要因素，包括地质条件、地形地貌条件、气候条件、水文条件、植被条件、人为活动条件等。

2.2.3地质灾害危险性评估包括下列内容：（1）阐明工程建设区和规划区的地质环境条件基本特征

（2）分析论证工程建设区和规划区各种地质灾害的危险性，进行现状评估、预测评估和综合评估

（3）提出防治地质灾害措施与建议，并作出建设场地适宜性评价结论。地质灾害的防御

3.1 地质灾害的发生前兆 3.1.1 崩塌前兆

怎样识别可能的崩塌体？对于可能发生的崩塌体主要根据坡体的地形地貌和地质结构的特征进行识别。

通常，可能发生崩塌的坡体在宏观上有如下特征：

（1）坡度大于45度，且高差较大，或坡体成弧立山嘴，或为凹形陡坡；

（2）坡体内部裂隙发育，尤其垂直和平行斜坡延伸方向的陡裂缝发育，并且切割坡体的裂隙、裂缝即将可能贯通，使之与母体（山体）形成了分离之势；

（3）坡体前部存在临空空间，或有崩塌物发育，这说明曾经发生过崩塌，今后还可能再次发生。

具备了上述特征的坡体，即是可能发生的崩塌体。尤其当上部拉张裂缝不断扩展、加宽，速度突增，小型坠落不断发生时，预示着崩塌很快就会发生，处于一触即发状态之中。崩塌的前缘不断发生掉块、坠落、小崩小塌的现象；崩塌的脚部出现新的破裂形迹；不时偶然听到岩石的撕裂摩擦声；出现热、气、地下水异常；动物出现异常。3.1.2 滑坡前兆

怎样识别滑坡体是否稳定？

在野外，从宏观角度观察滑坡体，可以根据一些外衣表迹象和特征，粗略地判断它的稳定性如何。

已稳定的堆积层老滑坡体有以下特征：（1）后壁较高，长满了树木，找不到擦痕，且十分稳定；

（2）滑坡平台宽、大、且已夷平，土体密实无沉陷现象；

（3）滑坡前缘的斜坡较缓，土体密实，长满树木，无松散坍塌现象。前缘迎河部分有被河水冲刷过的迹象；

（4）目前的河水已远离滑坡舌部，甚至在舌部外已有漫滩、阶地分布；

（5）滑坡体两侧的自然冲刷沟切割很深，甚至已达基岩；

（6）滑坡体舌部的坡脚有清晰的泉水流出等等。

不稳定的滑坡一般情况下具有下列迹象：（1）滑坡体表面总体坡度较陡，而且延伸较长，坡面高低不平；

（2）有滑坡平台，面积不大，且不向下缓倾和未夷平现象；（3）滑坡表面有泉水、湿地，且有新生冲沟；（4）滑坡体表面有不均匀沉陷的局部平台，参差不齐；（5）滑坡前缘土石松散，小型坍塌时有发生，并面临河水冲刷的危险；

（6）滑坡体上无巨大直立树木。

滑坡前缘出现横向及纵向裂缝，前缘土体出现隆起现象；滑体后缘裂缝急剧加宽加长，新裂缝不断产生，滑坡体后部快速下座，四周岩土体出现松动和小型塌滑现象；滑带岩土体因摩擦错动出现声响，并从裂缝中冒出气或水；在滑坡前缘坡角处，有堵塞的泉水复活或泉水、井水突然干涸；动物出现惊恐异常现象；滑坡体上的观测点明显位移；滑坡前缘出现鼓丘；房屋倾斜、开裂和出现醉汉林、马刀树等。3.1.3 地面塌陷的前兆

泉、井的异常变化；地面变形；建筑物作响、倾斜、开裂；地面积水引起地面冒气泡、水泡、旋流等；植物变态；动物惊恐。滑坡、崩塌、泥石流三者除了相互区别外，常常还具有相互联系、相互转化和不可分割的密切关系。

3.1.4泥石流发生的前兆

泥石流的形成一般情况下应同时具备以下三个条件：

（1）陡峻的便于集水、集物的地形地貌；（2）丰富的松散物质；

（3）短时间内有大量的水源。

沟内有轰鸣声，主河流水上涨和正常流水突然中断。动植物异常，如猪、狗、牛、羊、鸡惊恐不安，不入睡，老鼠乱窜，植物形态发生变化，树林枯萎或歪斜等现象。如发现上述的一些征兆，尤其是发现山体出现裂缝，则可能存在发生崩塌、滑坡的隐患，长期降雨或暴雨则可能诱发泥石流。

3.2地质灾害防治的基本方法

崩塌、滑坡防治的基本方法主要是各种加固工程如支档、锚固、减载、固化等，并附以各种排水(地表排水、地下排水)工程，其简易防治方法是用粘土填充滑坡体上的裂缝或修地表排水渠。

3.3地质灾害的应急避险

避免受灾对象与致灾作用遭遇。分为主动和被动两种情况，就是指主动的躲避与被动式的撤离。对于处于危险区的工程及人员，所采用的方法是：预防、躲避、撤离、治理，这四个环节每一个都含应急防治措施是：视险情将人员物资及时撤离危险区；及时制止致灾的动力作用；事先有预兆者，应尽早制订好撤离计划。躲避泥石流不应顺沟向下游跑，应向沟岸两侧跑，但不要停留在凹坡处。

结束语

综上所述，地质灾害的危害是极其大的。因此，了解地质灾害的成因以及掌握预防地质灾害发生的科学性知识是非常重要的。这样，将有助于减少地质灾害给人们带来的损失和减轻地质灾害的危害性。地质灾害的防治工作也很重要，它切实关系到国家和人民生命财产的安全，也是一项促进和维护地方经济发展和社会稳定的重要工作。

参考文献：

计算机安全与计算机病毒防御 篇3

关键词 计算机安全 计算机病毒预防 具体措施

中图分类号：TP393.08 文献标识码：A

科技的进步，计算机技术的发展，给人们的生活带来了极大的便利，其有效性、及时性等特点深受人们的喜爱。伴随着计算机网络的发展，一系列的安全问题相应产生。比如计算机病毒问题，计算机黑客问题，对网络信息进行非法窃取的问题，日益成为困扰人们日常生活的主要问题。计算机的发展过程中，其利是大于弊的，人们日常生活中已经越来越离不开计算机系统的应用了，工程设计人员的绘图，平面设计人员的三维制作，广告设计等等都证明计算机安全网络系统的必要性，为了完善计算机系统安全，保证人们的财产与社会的综合效益，下文将要对威胁计算机的一系列问题进行剖析，以找到合适的解决方案，确保计算机安全的顺利进行。

1 计算机系统安全的界定

按照国际标准，计算机系统安全主要是指，保证数据处理系统的稳定以及信息在传输利用、管理方面的安全问题，计算机的一系列信息数据，软件问题都能得到很好的保证，不会因为偶尔或者恶意的因素遭到一系列破坏。计算机网络安全是对网络安全的具体控制，技术措施的保护，保证在互联网中信息安全性以及保密性，能够最大程度保护使用者的个人隐私权。计算机网络安全分为两个部门，其一是物理安全，计算机硬件能够得到正常运行；第二是程序的逻辑安全，逻辑安全包括信息的安全稳定性、安全性以及可用性。

2 计算机使用过程中的不利因素

2.1 操作系统存在的系列问题

操作系统是一个基础性质的平台，它对于整个系统安全具有支撑的作用，同时它也有一系列基本的管理功能，对系统软硬件资源进行基本管理。如果操作系统本身具有漏洞对于相关系统运行是非常不利的。

操作系统需要保持一定的稳定性，及时进行漏洞查除，病毒的清理，保证操作系统的通畅安全运行。其中操作系统的安全运行包括以下方面，计算机CPU运行问题，显卡问题，内存管理问题，物理内存问题等等，每个环节的管理都是一系列程序的组合。如果其中一个程序出现问题，其余相关环节免不了受波及，进而整个系统出现漏洞问题，易被不法分子进行攻击。为了保证操作系统的安全性，需要创建一系列的进程，在这些进程的具体运行中，保证其基本的运行权利，对于一些不合法的漏洞及时进行排除。操作系统中的远程控制系统，需要认真面对，否则系统的安全问题就会得不到保证，在系统远程控制的过程中，由于远程调用需要利用很多环节，很多不法分子在这些环节中，找寻漏洞对其进行窃取，对计算机安全问题造成极大的威胁。

2.2 计算机的后门程序以及相关漏洞

后门程序主要指没有经过管理员授权，却能通过某些程序，正常拥有访问权的程序，在软件开发的初级阶段，程序员往往利用后门程序，对该软件进行完善，如果这个后门程序被不法者利用，其造成的威胁是很大的。

2.3 网络安全问题

操作系统支持一系列的网络安全运行，比如对于传送文件、加载以及安装程序的认同等，这些工程是不稳定的因素之一。文件传输功能关系着网络的安全运营，有些不法分子在信息的运行过程中，进行具体的非法操作，进而造成计算机网络安全的威胁，使用个人隐私财产安全信息的措施，被不法分子有机可乘，针对这个问题，首先要确保相关的软件系统没有漏洞，其次对于接受信息要慎重，不能保证其来源安全的，坚决不能接受，以免造成一系列损失。

3 计算机安全防范策略

3.1 镜像技术与定期备份的具体应用

所谓的系统镜像就是两个系统进行完全相同的工作的运行。如果其中一个系统出现崩溃问题不能运行，另一个系统依然可以运行，继续工作，这种系统镜像技术一般应用于磁盘的子系统中。两个系统具有（下转第63页）（上接第55页）等同性，只有两者结合完成一个任务，才能算任务的真正完成。至于我们平日里所说的数据备份有利于保证数据的安全问题，定期进行数据备份，不仅有利于避免一系列的物理损失，而且对软件故障问题进行重新获得正常使用权，具有重要的作用。

3.2 浏览器的安全措施

我们平常使用的IE浏览器并没有非常可靠的安全保障性，木马病毒非常喜欢在浏览器的相关页面中驻扎，并且其浏览器的主页很容易被修改，应对具体的IE浏览器的安全问题，需要采取一系列行之有效的方法，比如安装一些安全控件，进行安全网址检测，不浏览垃圾病毒网址等等。

3.3 应用密码技术与有效的防病毒措施

应用密码技术主要是以密码手段对信息安全提供可靠保证，保证信息完整性的主要方法之一是关于密码的数字签名以及身份证具体核实，其中的密码技术具体指公钥密码技术，古典密码体制、密钥管理等等。

网络并不是一个安全之地，许多病毒通过不安全的计算机系统网络，对计算机的使用者进行信息窃取、财产安全问题的盗取等，这就需要发展具体的预防病毒技术了，这种技术的运行需要经过三个环节，预防病毒技术、检测病毒技术以及清除病毒技术等，预防病毒的具体运用是对整个系统进行安全检测，确保病毒没有藏身之地，如果确实出现病毒感染，则应该及时进行杀毒，这就需要检测病毒技术的发展了。在这一系列的病毒清除工作中，对计算机病毒代码进行具体剖析，以清除病毒程序恢复原始文件的功能。

4 结语

随着知识经济时代的到来，计算机网络安全是必不可少的安全课。需要对其进行关注，以解决现实生活中出现的病毒以及漏洞问题。

参考文献

[1] 龙冬阳.网络安全技术及应用[M].广州：华南理工大学出版社，2006，2.

[2] 何宝泉，雷振山.基于机器视觉的螺纹测量技术[J].计量技术[J]，2005.

计算机病毒分析与防御 篇4

一、ARP病毒现象

1. 局域网内频繁性地区域或整体掉线, 重启计算机或网络设备后恢复正常。

当带有ARP欺骗程序的计算机在网内进行通讯时, 就会导致频繁掉线。出现此类问题后重启计算机或禁用网卡会暂时解决问题, 但掉线情况还会发生。

2. 网速时快时慢, 极其不稳定, 但单机进行光纤数据测试时一切正常。

当局域内的某台计算机被ARP的欺骗程序非法侵入后, 它就会持续地向网内所有的计算机及网络设备发送大量的非法ARP欺骗数据包, 阻塞网络通道。造成网络设备的承载过重, 导致网络的通讯质量不稳定。用户会感觉上网速度越来越慢或时常断线。当ARP欺骗的木马程序停止运行时, 用户会恢复从路由器上网, 切换过程中用户会再断一次线。

二、ARP病毒攻击方式

1. 中间人攻击。

中间人攻击就是攻击者将自己的主机插入两个目标主机通信路径之间, 使他的主机如同两个目标主机通信路径上的一个中继, 这样攻击者就可以监听两个目标主机之间的通信。

2. 拒绝服务攻击。拒绝服务攻击就是使目标主机不能响应外界请求, 从而不能对外提供服务的攻击方法。

3. 克隆攻击。

攻击者首先对目标主机实施拒绝服务攻击, 使其不能对外界作出任何反应。然后攻击者就可以将自己的IP与MAC地址分别改为目标主机的IP与MAC地址, 这样攻击者的主机变成了与目标主机一样的副本。

三、ARP病毒攻击原理

ARP欺骗的核心思想就是向目标主机发送伪造的ARP应答, 并使目标主机接收应答中伪造的IP地址与MAC地址之间的映射对, 以此更新目标主机ARP缓存。下面就在理论上说明实施ARP欺骗的过程S代表源主机, 也就是将要被欺骗的目标主机;D代表目的主机, 源主机本来是向它发送数据;A代表攻击者, 进行ARP欺骗。

进一步假设A已知的D的IP地址, 于是他暂时将自己的IP地址改为D的IP地址。当S想要向D发送数据时, 假设目前他的ARP缓存中没有关于D的记录, 那么他首先在局域网中广播包含的D的IP地址的ARP请求。但此时A具有与D相同的IP地址, 于是分别来自A与D的ARP响应报文将相继到达S。此时, A是否能够欺骗成功就取决于S的操作系统处理重复ARP响应报文的机制。不妨假设该机制总是用后到达的ARP响应中的地址刷新缓存中的内容。那么如果A控制自己的ARP响应晚于D的ARP响应到达S, S就会将如下伪造映射:D的IP地址→A的MAC地址, 保存在自己的ARP缓存中。在这个记录过期之前, 凡是S发送给D的数据实际上都将发送给A。而S却毫不察觉。或者A在上述过程中, 利用其它方法直接抑制来自D的ARP应答将是一个更有效的方法而不用依赖于不同操作系统的处理机制。进一步, A可不依赖于上述过程, 直接在底层伪造ARP响应报文来达到同样的目的。

四、ARP病毒防御方法

1. 使用可防御ARP攻击的三层交换机, 绑定端口MAC-IP。

限制ARP流量, 及时发现并自动阻断ARP攻击端口。合理划分VLAN。彻底阻止盗用IP、MAC地址, 杜绝ARP的攻击。

2. 查找病毒源, 对病毒源头的机器进行处理, 杀毒或重新安装系统。

解决了ARP攻击的源头PC机的问题, 可以保证内网免受攻击。

3. 对于经常爆发病毒的网络, 进行Internet访问控制, 限制用户对网络的访问。

此类ARP攻击程序一般都是从Internet下载到用户终端。如果能够加强用户上网的访问控制, 就能极大的减少该问题的发生。

4. 关闭一些不需要的服务。

条件允许的可关闭一些没有必要的共享, 也包括C$、D$等管理共享。完全单机的用户也可直接关闭Server服务。

5. 经常更新杀毒软件 (病毒库) 。设置允许的可设置为每天定时自动更新, 安装并使用网络防火墙软件。

6. 给系统安装补丁程序.通过Windows Update安装好系统补丁程序。

五、结束语

由于ARP协议制定时间比较早, 当时对这些协议缺陷考虑不周, 使得ARP攻击的破坏性比较大, 但其也有局限性, 比如ARP攻击只局限在本地网络环境中。最根本的解决措施就是使用IPv6协议, 因为在IPv6定义了邻机发现协议 (NDP) , 把ARP纳入NDP并运行于因特网控制报文协议 (ICMP) 上, 使ARP更具有一般性, 包括更多的内容, 而且不用为每种链路层协议定义一种ARP。

参考文献

[1]W Richard Stevens著范建华译:TCP/IP详解 (卷1) [M].北京:机械工业出版社, 2000;4

[2]王燕张新刚:基于ARP协议的攻击及其防御方法分析[J].微计算机信息2007;23 (36)

计算机病毒分析与防御 篇5

随着信息科学的快速发展，网络已成为日常生活的一部分，然而我们在享受网络带来的便利之余，随之而来的网络安全问题也不容忽视。常见的网络威胁主要有重要机密文件遭窃取或篡改、个人资料外流、网络服务的中断、严重的甚至造成系统瘫痪。人们尝试使用各种技术来保护网络安全，诸如：防火墙(Firewall)、入侵检测系统(Intrusion Detection System)、蜜罐技术(Honey pot)、杀毒软件、VPN、存取控制、身份认证及弱点扫描等。但是网络攻击手法不断更新，系统漏洞不断被发现，加上网络工具随手可得，甚至有专门的教学网站或文章，因此现在想成为骇客不再需要具备高深的专业知识，也不需要具备自己发现系统漏洞的能力。通过工具攻击者只需要输入攻击目标的IP地址，即可发动攻击，便会对网络安全造成巨大威胁。一旦网络入侵攻击成功，政府机关、军事公安、企业机构甚至个人的机密资料都会落入攻击者的手中，并造成无法弥补的损失。而电子商务网络一旦遭到分布式拒绝服务攻击(Distribution Denial of Service)，只要几小时内无法正常提供服务，就会遭受重大经济损失。为了克服网络边界防护机制存在的问题我们采用“防火墙、入侵侦测系统与蜜罐联动结构”，互相支援，互补不足，利用其各自的优点，希望通过网络主动防御系统，来降低网络安全威胁的风险，从而提高网络防护的安全性与效率。

1网络安全防护现状

现有的网络安全机制无法以单一系统来确保网络安全，为了提高网络的安全性，往往会将这些系统联合起来，以建立网络边界防护机制，如“防火墙与入侵检测系统联动”结构，或“入侵检测系统与蜜罐联动”结构。但前者检测攻击的成功率取决入检测系统的漏报与误报率高或低的问题，后者有无法即时阻止攻击的问题。

一般网络管理员经常通过网络流量分析得知目前网络流量大小以判断网络使用状况和服务器所提供的服务是否正常。但是看似正常的网络流量底下是否有正在进行恶意活动，网络管理员却无从得知。所以必须通过入侵检测系统来了解网络传输的封包是否含有恶意封包。

2网络安全机制

1)防火墙 防火墙是一种用来控制网络存取的设备，并阻断所有不予放行的流量，用于保护内部网络的运行及主机的安全可以依照特定的规则，可能是一台专属的硬件或是架设在一般硬件上的一套软件。可分为封包过滤防火墙、代理服务器、动态封包过滤防火墙、专用装置与作业系统为基础的防火墙。

2)Iptables Iptables是Linux核心2.4以上所提供的工具，能提供绝大部分防火墙所应有的功能。Iptables包含很多表格，每个表格都定义出自己的预设政策与规则，而且每个表格的用途都不相同。包括管理封包进出本机的Fitler、管理后端主机的NAT和管理特殊标记使用的Mangle，也可以自定格外的Option表格。Iptables的功能主要分为五类：过滤、伪装、重新导向、封包重组、记录。

3)入侵检测系统IDS入侵检测系统的目的是要即时且容易识别由内部与外部侵入者所产生的非经允许使用、误用与电脑系统滥用等可能伤害电脑系统的行为。是一种针对网络上可疑活动检测与分析进而判断异常行为是否为攻击手法的系统工具。监控模式主要分为主机型侵入检测系统HIDS和网络型入侵检测系统NIDS两种类型。

4)蜜罐系统蜜罐是一种故意部署在网络中存在安全漏洞的主机或系统，被用来吸引网络中的注意，并对其攻击，以达到对真正主机的保护，还可以通过收集数据，分析出攻击者的目的、手法等。蜜罐另一个用途是拖延攻击者对真正目标的攻击，让攻击者在蜜罐浪费时间，从而保护真正的系统。攻击者进入蜜罐系统后，滞留的时间越长，其使用的技术就可以更多地被蜜罐所记录，而这些信息就可以用来分析攻击者的技术水平及所使用的工具，通过学习攻击者的攻击思路与方法来加强防御及保护本地的网络与系统。蜜罐的关键技术主要有网络欺骗、信息捕获、信息分析及信息控制等。

5)Honeyd Honeyd是由N.Provos开发并维护的开放源码的虚拟蜜罐软件，主要运行在Unix的环境下。可以同时模拟出多数主机的区域网络，监视未使用的IP网段，以及TCP和UDP的通信。通过服务脚本的设计，模拟特定的服务与作业系统，可使单一主机模拟多个IP(最多可达65536个)。当攻击者对蜜罐系统进行攻击时，蜜罐系统将会给予对应的回应，使其看起来像是真实的系统在运作。Honeyd也会对进出的信息进行监控、捕获，以供分析研究，帮助搜集对网络威胁的相关信息与学习攻击者的活动和行为。

Honeyd是由Packet Dispatcher、Configuration Personality、Protocol Processor、Routing Topology及Personality Engine等部分组成。

3网络安全主动防御系统

大部分网络架构都将防火墙作为安全保护的第一道关卡，防火墙将外部不信任网络和内部信任网络分开，通过防火墙过滤封包来阻挡外部的攻击。但随着攻击手法的不断更新，防火墙的安全防护已显不足，故在传统防火墙网络架构中加入入侵检测系统，用于当防火墙被突破后，入侵检测系统能即时检测到攻击行为，侦测出恶意封包并发出警告，使得网络管理员及时处理。由于入侵检测系统为被动式防护系统，虽然可以发出报警，但是漏报率及误报率过高，使得防护效果上大打折扣。漏报率高，使得恶意行为无法被及时发现，造成损失;误报率高，导致网络管理员封锁了产生误报的网络通道，导致网络使用效率下降。

然而，网络管理员无法时时刻刻监测网络的异常情况，因此我们利用入侵检测软件IDS来辅助网络管理者监测网络状况。当IDS检测到有恶意行为时，即针对该行为的封包发出警告，通过Guardian即时更新防火墙规则，阻挡所有来自攻击主机IP地址的报文。由于防火墙、入侵检测系统本身属于被动式防御系统，为了实现主动防御的目的，可以利用入侵防御系统IPS(Intrusion Prevention System)来深度感知并检测流经的数据流量，对恶意报文进行丢弃以阻断攻击，对滥用报文进行限流以保护网络带宽资源，比对恶意报文的目的主机IP地址，呼叫防火墙程序Iptables即时封锁恶意报文来源IP地址，以阻止后续可能发生的恶意行为。为弥补入侵检测系统漏报效率高的缺点，在原有的网络防护基础上，利用Honeyd虚拟蜜罐技术来吸引入侵攻击，根据蜜罐的记录来分析入侵与攻击行为，搭配Honeyd的套件Honeycomb来为IDS自动生成特征规则，改善IDS的检测漏报率，从而为追踪供给来源或分析未知的攻击行为提供有效的信息。

在不增加成本及减轻网络管理人员负担的情况下，使用IDS、IPS、Honeyd及Honeycomb并结合防火墙与Iptables，来构建一个快速检测、减少漏报并即时封锁恶意行为的主动防御系统，以达到增加网络安全防护的`目的。

本系统使用两道防火墙，外防火墙链接外网，以正向列表的方式设定防火墙规则，除了符合通过防火墙条件的报文能通过外，其余报文一律阻挡并丢弃，此为第一道防线。在外防火墙上架设网络型入侵检测系统，侦测网络流量中是否含有恶意报文，一旦发现恶意报文即发出警告，并通过防火墙与入侵检测系统联动机制即修改防火墙规则，阻断恶意报文来源IP的连线，此为第二道防线。将入侵检测系统架设在外防火墙内部有一个好处，利用外防火墙阻挡掉不符合防火墙规则的报文，入侵检测系统只要针对防火墙放行的流量进行检测，这样可避免降低网络效能。在内外防火墙之间架设蜜罐系统以诱捕攻击者，因大部分的网络型入侵检测系统采用“误用检测”技术，一旦入侵检测系统的规则资料库中无恶意报文的特征即无法检测出来，导致漏报。故本机制使用蜜罐系统以捕获恶意报文的资料并进行分析，并通过入侵检测系统与蜜罐系统的联动机制，使蜜罐系统自动为入侵检测系统产生特征，以降低漏报、误报率，此为第三道防线。蜜罐系统被攻击后，攻击者可能以其为跳板主机攻击其他机器，为防止其他机器遭受攻击，在内外防火墙之间，放置一个路由器，通过路由表的设定，使得蜜罐系统的报文无法到达DMZ区及内部网络，此为第四道防线。在内部网络外架设内防火墙，以负向列表的方式设定防火墙规则，阻挡来自蜜罐系统的报文，此为第五道防线。

通过虚拟机VMware进行网络攻击模拟实验，由DOS阻断服务攻击及网站弱点扫描两组实验得知，网络主动防御系统可成功检测出攻击，并能即时阻挡来自攻击源IP地址的报文，服役Honeyd手机网络连线数据，Honeycomb分析这些数据并依照Snort的规则产生出honeycomb.log文档，可补充Snort的规则资料库，以降低Snort的漏报或误报率。实验并与“防火墙与入侵检测系统联动”和“入侵检测系统与蜜罐联动”两种防御结构进行分析比较，网络主动防御系统的整体表现较佳。

4结束语

计算机病毒分析与防御 篇6

关键词 ARP；ARP病毒；ARP防御

中图分类号 TP 文献标识码 A 文章编号 1673-9671-(2010)121-0024-01

1 ARP和ARP欺骗

1）ARP。ARP协议是“Address Resolution Protocol”（地址解析协议）的缩写。在局域网中，网络实际传输的是“帧”，帧里有目标主机的MAC地址。在以太网中，主机和主机间进行直接通信，必须知道目标主机的MAC地址。但这个目标MAC地址如何获得呢？它是通过地址解析协议获得的，所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的顺利进行。

2）ARP欺骗。利用ARP的漏洞，攻击者可对整个局域网的安全构成威胁，从影响网络连接的方式来看，ARP欺骗分为二种，一种是对路由器ARP表的欺骗；另一种是对内网PC的网关欺骗。

第一种ARP欺骗的原理是截获网关数据。它给予路由器错误的内网MAC地址，并按照一定的频率不断进行，使真实的地址信息无法通过更新保存在路由器中，结果路由器的所有数据只能发送给错误的MAC地址，造成正常PC无法收到信息。第二种ARP欺骗的原理是伪造网关。它的原理是建立假网关，让被它欺骗的PC向假网关发数据，不能通过正常的路由途径上网，在PC看来，就是 “网络掉线了”。

2 找出ARP欺骗主机

当局域网中出现ARP欺骗时，局域网中就会出现以下症状：

网络时断时通；网络中断，重启网关设备，网络短暂连通；

内网通讯正常、网关不通；频繁提示IP地址冲突；

硬件设备正常，局域网不通； 特定IP网络不通，更换IP地址，网络正常；

禁用-启用网卡，网络短暂连通；网页被重定向。

1）命令提示符法。局域网遭受ARP欺骗时，中毒主机会向全网不停地发送ARP欺骗广播，局域网中其它主机就会更新自身的ARP缓存表，将网关的MAC地址改成ARP病毒主机的MAC地址；在受到欺骗的主机上选择开始→运行输入CMD→在命令提示符下输入ARP-A，查看ARP缓存表中的内容：

Internet AddressPhysical AddressType

192.168.0.1 00-b0-0c-05-13-c6dynamic

以上ARP缓存表中Physical Address并不是网关192.168.0.1 的MAC地址，实为中毒主机地址00-b0-0c-05-13-c6，这时我们就根据00-b0-0c-05-13-c6找出中毒主机；在物理上断开主机（拨掉网线），再对主机进行ARP杀毒处理。

2）抓包查找法。当局域网中有主机中ARP病毒时，整个局域网中会产生大量的ARP欺骗广播包，这时可以用windump抓包进行分析，使用windump -i 2 -n arp and host 192.168.0.1（192.168.0.1是网关地址）抓下来的包我们只分析有reply字符的内容，格式如下：

12:15:35.602255 arp reply 192.168.0.1 is-at 00-b0-0c-05-13-c6

这时查看MAC地址00-b0-0c-05-13-c6是否为网关真实MAC地址，如果不是，00-b0-0c-05-13-c6就是那台进行ARP欺骗主机的MAC。

3）ARP工具软件法。采用AntiARP（ARP防火墙）进行检查，通过网络下载ARP防火墙单机版进行安装，如果本机不能正常上网，也可在正常的主机进行下载后拷贝安装；软件安装成功后，在高级参数里选择“自动获取网关IP/MAC”，设置好后，当局域网中有ARP欺骗时，软件就会提示是哪一台主机中了ARP病毒。

4）三层交换机上查询ARP缓存表。登陆局域网的上联三层交换机，并查看交换机的ARP缓存表（各种品牌的交换机命令有差异），如果在ARP表中存在一个MAC对应多个端口（请注意：不是一个端口上存在多个MAC）的情况，那么就表明存在ARP欺骗攻击，而这个MAC就是欺骗主机的MAC。

3 ARP欺骗防御

3.1 双向绑定法

1）主机静态绑定网关MAC。在用户主机端进行绑定，使用arp命令静态绑定网关MAC，格式如下：

arp -s 网关IP 网关MAC

例：网关地址为：192.168.0.1 MAC：00-10-0D-2F-1F-4F

arp -d//清空本机ARP缓存

arp -s 192.168.0.1 00-10-0D-2F-1F-4F

这样操作比较麻烦，也可新建一个批处理文件，添加到开机启动项中，操作如下：

编写一个批处理文件arp.bat，如下：

@echo off

arp －d

arp -s 192.168.0.1 00-10-0D-2F-1F-4F

保存为：arp.bat

运行批处理文件并将这个批处理文件拖到“Windows开始→程序→启动”中，每次电脑启动时就会自动运行此文件。

2）在交换机上绑定。在交换机启用静态ARP绑定功能，将用户主机的IP与MAC进行静态绑定，防止ARP欺骗发生。

3.2 主机安装防火墙和杀毒软件

局域网管理员可以根据需要，在所有主机上安装ARP防火墙或杀毒软件，现在比较流行的ARP防火墙有ARP防火墙单机版、360防火墙和风云防火墙等，杀毒软件有瑞星、卡巴斯基和360等，但一般防火墙和杀毒软件安装好后是没有启动ARP防御功能的，现以360为例：

启动360防火墙—>木马防火墙—>系统防御—>启动ARP防火墙—>重启主机。

3.3 定期检查ARP缓存

定期检查ARP缓存，可以有效避免主机被局域网中其它主机感染ARP病毒。

开始—>运行输入CMD—>在命令提示符下输入ARP-A，查看ARP缓存表中的内容：

Internet AddressPhysical AddressType

192.168.0.100-10-0D-2F-1F-4Fdynamic

查看局域网网关192.168.0.1的MAC地址是否被修改，如果发现被修改，应及时断开中毒主机（拨掉网线），再对主机进行ARP杀毒处理。

4 结束语

以往ARP病毒使用ARP欺骗的目的绝大多数都是为了窃取用户的敏感信息，但是最近监测到ARP欺骗在病毒中又得到了新的应用，那就是作为网页木马病毒的传播手段，面对病毒的不断变异和进化，作为用户自己应认真做好个人电脑的病毒防御工作，不安装来历不明的软件、定期安装系统补丁、安装正版杀毒软件并定期对其升级等，这样才能确保用户电脑的安全。

参考文献

[1]胡建伟.网络安全与保密,第1版,西安电子科技大学出版社,2003,11.

作者简介

潘峰（1977—），男，汉族，籍贯：福建，职称：助教，专业：计算机科学与技术。

计算机病毒的正确防御分析 篇7

1 计算机病毒的危害

1.1 计算机病毒直接对数据信息进行破坏

目前, 计算机病毒经过激活后破坏计算机的数据库, 主要是通过对硬盘进行改写, 从而对计算机的整体运行造成巨大危害。

1.2 对磁盘引导区的破坏

引导性病毒具有很强的复制性, 并利用其强复制性破坏磁盘的引导扇区, 并对引导扇区进行更改。这样会严重危害原有引导区的数据, 并造成正常数据通道的严重破坏。

1.3 使计算机的运行速度变慢

第一方面, 计算机病毒通常需要在触发某种条件后才会爆发, 因此计算机病毒为了使自身更容易随时被激活, 通常要对计算机系统进行全程监控, 这样就会给计算机系统的正常运行造成巨大的负担, 从而影响其运行速度。第二方面, 非法访问需要一定的内存进行支持才能造成病毒的感染, 因此会造成运行卡慢。第三方面, CPU在运行病毒时被强制进行代码的二次解密, 这样会产生大量的CPU指令, 从而对计算机系统的正常运行产生影响。

1.4 计算机病毒会对系统兼容性造成危害

兼容性是计算机整体性能评估的一大指标。由于计算机病毒的存在, 计算机不能针对所处的不同环境做成正确的测试, 因此造成计算机兼容性变差的后果。大部分的病毒会强制性的使多个软件被动的退出, 影响使用的同时还会造成电脑死机。

1.5 抢占系统资源

目前的绝大多数病毒的存活方式是依靠在硬盘中的长期寄居。一旦感染计算机病毒会对系统内存造成非常严重的危害。通常, 病毒所占系统空间与其自身的长度有关, 一旦病毒进行爆发就会对CPU的运行产生巨大的影响, 从而对系统的正常运行进行干扰。病毒会通过大量的自我复制来实现其自身的传播, 通过对中断点进行更改达到自我发送的目的。

1.6 计算机病毒会造成经济损失

随着计算机的普及, 计算机在商务上的应用的越来越广泛, 电子商务成为当下的一种时尚。而计算机病毒会对电子金融安全造成严重影响, 可以通过对网上银行密码的盗取从而给用户造成巨大的经济损失。

2 计算机病毒的正确防御对策

2.1 正确认识计算机病毒

在采取任何一项具体的解决策略前, 都需要对计算机病毒所造成的危害具有一个清楚的认识, 需要随时保持冷静的思考来看待计算机病毒。作为计算机用户需要对病毒的存在和威胁有一个明确的认识, 并对计算机感染病毒的前兆有一定的了解, 并在征兆出现后采取正确有效的操作进行处理, 这种自我意识的提高是任何一种高级技术所无法比拟的。每一个计算机用户都有责任对信息环境的安全进行维护, 若是能对自己计算机的安全进行维护, 防止其遭受病毒感染, 不仅可以维护自身的利益, 还有利于保障周围人的利益。

2.2 合理的对计算机硬件所提供的功能进行应用

计算机硬件在设计过程中就很好的考虑到了防止病毒感染的有效措施, 因此, 我们要对这些机制进行合理有效的应用。计算机设置中含有病毒防护的选项, 其主要功能是对进算计硬盘中的部分区域进行监控, 一旦在这些区域发现信息写入的操作时, 系统自动报警, 并显示相应的信息, 得到用户确认后再进行执行操作。部分病毒在运行过程中会将自己寄生在计算机的某些区域内, 而上述的机制就是针对以上情况所涉及的。

2.3 养成安全使用移动存储介质的习惯

随着信息技术的高速发展, 移动存储介质的使用也越来越广泛。移动存储介质也成为计算机病毒设计者的重要攻击目标。有很多病毒一旦检测到移动存储设备就会马上进行激活, 将自己的代码复制到移动存储介质中。通过移动存储介质的防写入功能来降低风险。在一般情况下, 如果平时只使用移动存储介质将其中的东西复制出来, 则可以一直保持在禁止写入的状态, 即使存在病毒, 也可以避免病毒写入移动存储介质中。如果必须要将在计算机中的文件复制到移动存储设备中, 则需在使用前对系统进行检查。

2.4 时刻警惕病毒通过网络进行传播的行为

在网上进行下载时需要谨慎小心。计算机不断发展的同时, 多数信息都是经由网络进行传播的。在进行这些信息传播的同时需要注意病毒防御问题, 由于网络下载活动的频繁, 计算机病毒有了更方便的传播途径。因此, 在下载东西时, 要选用可靠安全的网站, 这些较大网站的管理机制相对完善, 对其中存储的信息都经过了严格仔细的检查, 很少会有病毒存在。还有部分病毒会通过电子邮件进行传播病毒, 因此需要对电子邮件及其所带的附件保持警惕心, 在进行附件下载时要格外注意。病毒设计者一般会对这些邮件添加一个比较吸引人的标题, 如果没有对邮件进行打开直接删除, 将不会造成任何损失。因此, 对一些来历不明、来源不可靠的邮件需要谨慎的对待, 而不能随意打开, 只有自我意识提高了, 才可以减少或避免病毒的感染。

3 总结

随着信息化的加快, 计算机病毒所造成的危害也越来越严重。因此, 在计算机使用过程中需要培养正确的使用习惯对病毒进行防御, 同时还要在使用中进行正确操作, 从而达到降低病毒感染的风险, 同时需注意对重要的文件进行备份并分开存放。以减少损失。

参考文献

[1]高阳.计算机病毒防御浅析[J].科技促进发展, 2011, (4) :30-30.

[2]杨美清.浅析计算机病毒的传播与防御[J].东方文化周刊, 2014, (18) :127-127.

计算机病毒探究与防御技术 篇8

1.1病毒的危害:计算机病毒的危害从经济角度,军事角度,法律角度多个

方面侵害了网络用户的权益。从小处说起,它可以窃取用户的隐私,使其曝光在大众眼前。伤害了网络用户的情感。从经济角度说起,病毒可以致使网络瘫痪, 造成商业洽谈的失败,政务网站无法正常工作,造成巨大的经济损失。如果病毒采用攻击银行网站,盗用个人电子银行帐户密码的方式,非法转走资金,可造成直接的经济损失,构成刑事犯罪。从军事角度, 病毒的入侵,使得军事秘密变得毫无意义。在火箭发射时,一个恶意的更改就会造成航道的偏转。危害不可预估。

1.2计算机病毒的定义

病毒的本质仍然是程序或者程序片段。最早的计算机病毒出于何处众说纷

纭。有的是认为在贝尔实验室中,编程人员编写的吃掉对手编码的游戏代码, 也有认为是伴随软件出售,对软件进行保护,对随意的复制,毁掉软件的代码。这些说法都有一定的道理。但是,病毒是如何产生其实并不需要一定争论出一个结论。 即便有了统一的结论,也并没有具体的意义。浸提那我们应该做到的是能够认识到计算机病毒的定义。病毒的定义从宏观和狭义有,从国内到国外都有不同机构给出过定义。这里以我国官方定义为标准介绍给大家。计算机病毒, 是指编制或者在计算机程序中插入的破坏计算机功能, 或者毁坏数据、影响计算机使用, 并能自我复制的一组计算机指令或者程序代码。

2病毒的特征

计算机病毒和生物界中的病毒有相似的特征,存在着复制性(传染性)、潜伏性、破坏性(发作性)、触发性等特征。

这里以流程进行描述。当病毒进入计算机时候,它不是选择直接破坏,而是潜伏起来,不断的复制病毒,等待发作的机会。这和生物界的病毒原理相似。因为单个的病毒是很微小的,破坏作用及其有限,也容易被发现杀死清楚。所以成功的病毒,都是采用潜伏的方式,进行复制,当达到足够的数量后,在满足某个触发条件后,进行破坏(发作)。举例来说:按以往的经验计算机病毒的触发条件可以设置为时间触发,比如某月的某个日子,固定发作。曾经破坏性能很强的CIH就是以此未触发条件的。也可以在中断的第N次设置为触发条件等等。触发条件满足后,就开始破坏操作。也就相当于生物中的生病。

3计算机病毒的分类

计算机可以采用多种分类方式,比如根据伤害程度,根据损害软件和硬件、

根据病毒编写原理、根据病毒传染的载体等等。这些相对是大家了解比较多的,本文介绍算法分类。

伴随型病毒:伴随型病毒并不改变文件本身, 而是根据算法产生.exe文件的伴随体, 与文件具有同样的名称和不同的扩展名。当DOS加载文件时, 伴随体优先被执行, 再由伴随体加载执行原来的.exe文件。

蠕虫型病毒蠕虫型病毒通过计算机网络进行传播, 它不改变文件和资料信息, 而是根据计算机的网络地址, 将病毒通过网络发送, 蠕虫病毒除了占用内存外一般不占用其他资源。

寄生型病毒除伴随型病毒和蠕虫型病毒之外的其他病毒均可称为寄生型病毒。它们依附在系统的引导区或文件中, 通过系统的功能进行传播, 按算法又可分为练习型病毒、诡秘型病毒和变型病毒。

练习型病毒自身包含错误, 不能很好的传播, 例如一些处在调试阶段的病毒。 诡秘型病毒一般不直接修改DOS中断和扇区数据, 而是通过设备技术和文件缓冲区等进行DOS内部修改, 由于该病毒使用比较高级的技术, 所以不易清除。 变型病毒又称幽灵病毒, 这种病毒使用较复杂的算法, 使自己每传播一份都具有不同的内容和长度。它们通过由一段混有无关指令的解码算法和变化过的病毒体组成。

4病毒的防范与查杀技术

病毒的防范与查杀可以说是一门具体的学科,不能一一细述。这里介绍常用的方法与工具。

首先对于病毒的防范,初学者可以采用一些成型的软件,比如保护箱、360卫士开启实时保护等等。都可以起到病毒的防范作用。如果对安全度需求较高,就要从物理角度、操作系统角度、软件、网络多个角度进行设置。需要一定的计算机网络知识。

其次在被感染前可以使用防火墙和杀毒软件进行预防。

最后在被病毒感染后,要及时安装杀毒软件。比如卡巴斯基、诺顿、瑞星等等可以实时更新的软件,都具有较好的杀毒效果。另外辅助使用注册表技术可以使病毒的查杀事半功倍。

摘要：计算机技术发展迅猛。网络技术更加是呈现几何模式的立体增长。带来的好处不胜枚举,足不出户遍览世界美景,无师自通不再是聪明决定的人的专利,只需借用搜素引擎的力量,便可信手拈来。工作可随时随地完成,利用信息沟通来实现任务的传送。但是利弊共存是亘古不变的真理。计算机网络的发展给了病毒同样的发展空间。因为病毒可以未经授权闯入网络空间,盗取私人数据资料,非法获得帐户密码。满足了部分人的好奇心,还能通过网络非法获取利益。本文针对病毒,从病毒的种类,工作原理特性,做出了介绍,并简单介绍了病毒的一些常用防范与查杀方法。

浅析计算机病毒的传播与防御 篇9

计算机病毒的出现由来已久, 关于计算机病毒的研究也一直是一个热门的研究课题。随着互联网的发展, 现有的计算机病毒绝大多数是基于网络进行传播的病毒了[1]。人们关于计算机病毒的研究也取得了一定的成果, 不仅揭示了病毒传播的一些特性, 也提出了相应的对抗措施。

1 基于网络的病毒传播模式

1.1 通过Em ail进行传播通过将病毒代码附属在Em ail中进行传播是网络病毒传播的一个主要途径。

由于电子邮箱使用的广泛性, 使得这种传播方式深受许多病毒制造者的青睐。病毒通过Email进行传播的方法有两种, 一是直接将恶意代码本身加入到Email中, 二是将恶意代码的URL连接加入到Email中。病毒利用Email进行传播的过程如下:

1.1.1 寻找目标地址。病毒在感染主机的Em ail地址簿、历史记录或硬盘中搜索可用的Email地址。

如Internet临时文件夹中存放的html文件就可能包含有效的Em ail地址。如果用户安装了诸如Outlook的邮件收发软件, 病毒还能从中提取出邮件地址。

1.1.2 将自身复制并发送出去。

病毒扫描到可用的目标地址后, 就将自身复制并发送出去。然而, 有的病毒非常隐蔽, 它并不直接发送带毒的电子邮件, 而是感染用户的信纸, 并通过修改系统的设置, 使得邮件的默认信纸格式为html格式。当用户发送邮件时, 病毒就会自动感染邮件正文。

1.1.3 激活病毒代码。

病毒代码到达接收端后, 并不会自动运行, 而是需要用户的激活。因此, 病毒要想尽办法诱导用户激活病毒代码。病毒会用各种各样具有欺骗性的标题和内容来诱骗人们。例如“爱虫”病毒, 就是利用人们对其标题的好奇心, 引诱用户打开附件, 从而激活病毒代码。

1.2 通过扫描系统漏洞传播蠕虫病毒代码是以独立程序的方式存在的, 它不嵌入到任何宿主文件中。

其传播过程是靠远程扫描Inte m e t中存在漏洞的主机, 利用这些漏洞将自己注入远程计算机中并取得系统控制权。然后就可以对受控主机进行攻击破坏了。

蠕虫取得系统权限的方法主要有以下几种:

1.2.1 利用系统漏洞。

蠕虫常利用一些系统或应用软件的漏洞进行传播。如某些版本的浏览器为了实现预览功能, 会自动执行其中的EML文件。与Email传播不同的是, 利用系统漏洞, 蠕虫常常可以在远程获得联网主机的控制权。也就是说, 它们首先控制目标主机, 再将自己复制过去, 进而实施攻击破坏。

1.2.2 利用局域网传播。

有些局域网的管理员由于缺乏安全意识或工作疏忽, 使得某些机器上的系统文件夹是远程可写的。这往往会给蠕虫病毒留下了一个可利用的空子。蠕虫可以直接拷贝自身到局域网中可写的启动目录中, 从而进行传播。有些病毒通过在局域网中寻找可写的win.ini或修改注册表, 使得下次重新启动后蠕虫被自动运行。

1.2.3 利用服务器漏洞。

蠕虫还可以利用一些常见的服务器漏洞, 如IIS漏洞, IFrame漏洞等, 获取远程服务器的控制权。之后, 蠕虫就可以随意将恶意代码上传至服务器。从而导致所有访问该服务器的客户机都感染该蠕虫病毒。

2 计算机病毒防御策略

解决病毒攻击的理想办法是对病毒进行预防, 即抑制病毒在网络中的传播, 但由于受网络复杂性和具体技术的制约, 预防病毒仍很难实现[2]。当前, 对计算机病毒的防治还仅仅是以检测和清除为主[2]。目前的病毒防御措施主要有两种:基于主机的病毒防治策略和基于网络的病毒防治策略。

2.1 基于主机的检测策略基于主机的病毒防治策略主要有:特征码匹配技术、权限控制技术和完整性验证技术三大类。

2.1.1 特征码匹配:

通过对到达主机的代码进行扫描, 并与病毒特征库中的特征码进行匹配以判断该代码是否是恶意的。特征码扫描技术认为“同一种病毒或同类病毒具有部分相同的代码”。也就是说, 如果病毒及其变种具有某种共性, 则可以将这种共性描述为“特征码”, 并通过比较程序体和“特征码”来查找病毒。采用病毒特征码扫描法的检测工具, 对于出现的新病毒, 必须不断进行更新, 否则检测就会失去价值。病毒特征码扫描法不认识新病毒的特征代码, 自然也就无法检测出新病毒。

2.1.2 权限控制技术:

恶意代码进入计算机系统后必须具有运行权限才能造成破坏。因此, 如果能够恰当控制计算机系统中程序的权限, 使其仅仅具备完成正常任务的最小权限, 那么即使恶意代码嵌入到某程序中也不能实施破坏口。这种病毒检测技术要能够探测并识别可疑程序代码指令序列, 对其安全级别进行排序, 并依据病毒代码的特点赋予不同的加权值。如果一个程序指令序列的加权值的总和超过一个许可的阈值, 就说明该程序中存在病毒。

2.1.3 完整性技术:

通常大多数的病毒代码都不是独立存在的, 而是嵌入或依附在其它文档程序中的, 一旦文件或程序被病毒感染, 其完整性就会遭到破坏。在使用文件的过程中, 定期地或每次使用文件前, 检查文件内容是否与原来保存的一致, 就可以发现文件是否被感染。文件完整性检测技术主要检查文件两次使用过程中的变化情况。病毒要想成功感染一个文件而不做任何改动是非常难的, 所以完整性验证技术是一个十分有效的检测手段。

基于主机的防治策略要求所有用户的机器上都要安装相应的防毒软件, 并且要求用户能够及时更新防毒软件。因此, 存在着可管理性差、成本高的缺点。

2.2 基于网络的检测策略基于网络的病毒检测技术主要有异常检测和误用检测两大类。

2.2.1 异常检测:

病毒在传播时通常发送大量的网络扫描探测包, 导致网络流量明显增加。因此, 检测病毒的异常行为进而采取相应的控制措施是一种有效的反病毒策略。异常检测具有如下优点:能够迅速发现网络流量的异常, 进而采取措施, 避免大规模的网络拥塞和恶意代码的传播;不仅能够检测出已知的病毒, 而且也能够检测到未知病毒。缺点在于误报率较高。

2.2.2 误用检测:

该技术也是基于特征码的。误用检测通过比较待检测数据流与特征库中的特征码, 分析待测数据流中是否存在病毒。用于检测的特征码规则主要有协议类型、特征串、数据包长度、端口号等。该策略的优点在于检测比较准确, 能够检测出具体的病毒类型。缺点是不能检测出未知的病毒, 且需要花费大量的时间和精力去管理病毒特征库。基于网络的防治策略能够从宏观上控制病毒的传播, 并且易于实现和维护。

3 结语

首先针对计算机病毒发展的趋势-利用互联网进行传播, 分析了病毒通过网络进行传播的模式。着重分析了病毒通过Email进行传播和通过扫描漏洞进行传播这两种最常见的模式。研究计算机的传播模型就是为了更好地了解病毒的传播特性, 从而制定高效的病毒检测和防御策略, 用于对抗日益增长的计算机病毒。本文介绍了当前的几种病毒检测策略, 包括基于主机的检测技术和基于网络的检测技术。

摘要：计算机病毒通过窃取机密信息、破坏文件系统、修改注册表或系统指令等手段给用户的工作和生活造成了严重的危害。本文在分析基于网络的病毒传播模式基础上, 对于计算机病毒防御策略进行分析, 以其提高网络计算机病毒防御能力。

关键词：计算机病毒,传播模式,防御策略,网络

参考文献

[1]张瑜, 李涛, 吴丽华, 等.计算机病毒演化模型及分析[J].电子科技大学学报.2009.38 (3) .

计算机网络防御策略模型分析 篇10

关键词：计算机,计算机网络防御策略,模型

1 计算机网络防御策略模型 (CNDPM) 的概述

1.1 组织

主要是指根据所构成部分及其之间的有序关系所组成的有机体, 例如图书馆、计算机网络等的内、外网, 均可以称为组织。

1.2 主体

主体主要是指能够使得计算机的信息流动、系统状态改变的实体, 具有明显的主动性质。一般CNDPM主体可以表示为:

其中, Active (e) 说明实体e是主动的, 而Operational (e) 则说明它是操作的。一般来说, 主体主要具有两种重要的表现形式, 即节点、用户。节点的构成要素有节点名、子网掩码、IP地址等, 用户则主要是由用户名和用户口令构成。

1.3 角色

角色一般是指特征相同的主体集合, 可以表示如下:

ROLE::{s|Own (s, ch) ∧ (Relate (ch, obligation) ∨Relate (ch, right)

ch∈CHARSCTER,

s∈SUB JECT,

right∈RIGHT, obligation on OBL IGATION}

由ch此可看出, Own (s, ch) 说明s拥有ch;Relate (ch, obligation) 和Relate (ch, right) ) 分别表示ch与obligation和right相关;而SUBJECT、RIGHT及OBLIGATION则分别表示主体类型、权限类型和职责类型。

由于角色r作为组织org当中的构成部分之一, 其相关关系可通过Relate (r, org) 来进行表示。

2 计算机网络防御策略的模型分析

2.1 策略分析

将策略形式化描述成6元组, 表示为:

POLICY::=

其中, org属于ORG;r属于ROLE;a属于ACTIVITY;v属于VIEW;c属于CONTEXT;m属于MEASURE。另外, F:OBG×R×A×V×C→M用于说明该策略中的实体彼此间具有偏函数关系。

将规则形式化描述成5元组, 表示为:

RULE::=

其中, 规则指主体对客体的全部判断动作及不良行为响应的声明;表示组织org中主体s对客体o的动作a应用措施m。

2.2 模型分析

2.2.1 网络拓扑

如图1。将模型的网络H划分成与防火墙各接口相对应的区域, 上边与网络IDS相连接, 下边属于DMZ区域, 具备2个用于供外部访问的服务器, 分别用于提供DNS服务和HTTP、E-mail和FTP服务。

2.2.2 模型构建

在组织网络H当中, 将角色Public Host分配给所有外网主机, 同时, 用ip=111.222.2.0∧mask=24来为角色Private Host进行定义。在视图分配方面, multiserver对应Multi Server视图, dnsserver对应Dns Server视图;在记录方面, 用protocol=tcp来对alltcp进行记录, 用protocol=tcp∧dport=21来对ftp进行记录, 用protocol=tcp∧ (dport110∨dport25∨dport=80∨dport=21) 来对multitcp进行记录, 另外, dns设置用protocol=udpdport=53来记录。

在本组织网络H中, ftp的溢出攻击为default和ftpoverflow_attack, 可作为组织的两种上下文类型。组织策略及其生成的位于防火墙ACL列表的配置分别为7项和11项, 结合其第一项和最后一项来看, 主要包含以下信息:

编号:ACL 1 (ACL 11)

接口:External In (External Out)

记录:access-list100permit udpanyeq53host111.222.1.2.eq53

(access-list 102 permit tcp 111.222.0 0.0.0.255 any any any)

2.2.3 模型防御规则的实现

(1) 由策略1开始, 赋予外网中的Public Host角色对Dns Server视图的DNS服务进行访问的权利。

(2) 外网主机均对应防火墙ACL列表中的源地址, 并用any表示。

(3) 结合上述DNS定义以及相关规则来看, udp和目的端口分配给53的访问活动, 可视为协议部分。其中, udp、53作为动作, 对应ACL列表里的协议和目的端口。由于ACL和DNS服务中的源端口通常保持一致, 为此, 可知acl与dns的源端口一致, 为53。

(4) 一般节点dnsserver仅对应Dns Server视图, 结合上述ACL 1的目的IP=host 111.222.1.2来看, 由RD可实现对ACL1的获取, 并实现对External In接口的配置。

(5) 由此可推断出策略2~5分别对应ACL2~5、ACL6、ACL7~10和ACL11;另外策略6和策略7能够根据实际情况, 检测和响应ftp的溢出攻击。

3 结语

计算机网络防御策略模型作为一个运行机制, 与其防御策略均具有不断发展和变化的特征。通过构建合适的计算机网络防御策略模型, 能够为计算机网络的稳定、正常运行提供重要保障, 提高计算机网络的安全性和可靠性。为此, 本研究通过结合实例, 对计算机网络防御策略模型的构建及其相关知识点进行了一些分析和探究, 希望能够为相关的研究人员提供一些参考和帮助, 为进一步实现网络安全共同努力。

参考文献

[1]夏春和, 魏玉娣, 李肖坚, 等.计算机网络防御策略模型[J].北京航空航天大学学报, 2008, 11 (8)

[2]程相然, 陈性元, 张斌, 等.基于属性的访问控制策略模型[J].计算机工程, 2010, 9 (15)

计算机病毒分析与防御 篇11

关键词主动防御特征值扫描启发式查毒

中图分类号:TP393.08文献标识码:A

近几年随着计算机和网络技术的发展,网络给人们提供了极大的便利,互联网作为一个社会公共环境,其所面临的安全威胁也越来越严重。在我们享受网络资源带来的巨大利益的同时,针对网络和计算机系统的网络病毒传播和黑客攻击变得越来越普遍。网络病毒不仅给广大网络用户带来了不便,甚至影响到我国信息化建设的进一步深化,威胁到国家的信息安全和经济发展。因而,保障计算机系统、网络系统及整个信息基础设施的安全已经成为刻不容缓的重要课题。

1网络防治技术比较

传统的反病毒技术主要使用特征值扫描技术,这是目前国际上反病毒公司普遍采用的查毒技术。其核心是从病毒体中提取病毒特征值构成病毒特征库,杀毒软件将用户计算机中的文件或程序等目标,与病毒特征库中的特征值逐一对比,判断该目标是否被病毒感染。反病毒公司把捕获到并已处理的病毒称为已知病毒,否则就称为未知病毒。只有采用特征值扫描技术时,才需要区分已知和未知病毒。由于这种传统的反病毒软件都是很被动的,只能在新病毒出现之后才能有应付措施,一个病毒制造者所编写的病毒很有可能在被杀毒软件厂商截获并添加到产品病毒库之前进入用户电脑。此时,由于该病毒的特征码还未添加到杀毒软件病毒库中,杀毒软件会将病毒认为是正常文件而放过,使得用户电脑被病毒所感染。因此,业界将能够主动检测和拦截未知威胁的防御方法称为“主动防御”。

杀毒软件具有滞后性,这是业界公认的一个杀毒软件弊端,而主动防御却很好的解决了这个问题。主动防御技术主要是针对未知病毒提出来的病毒防杀技术,在没有病毒样本的情况下,对病毒进行全面而有效的全面防护,阻止病毒的运作,从技术层面上有效应对未知病毒的肆虐,一是在未知病毒和未知程序方面,通过“行为判断”技术识别大部分未被截获的未知病毒和变种;另一方面,通过对漏洞攻击行为进行监测,这样可防止病毒利用系统漏洞对其它计算机进行攻击,从而阻止病毒的爆发。

2主动防御技术分析

主动防御是最新的安全防护概念,各个安全厂商有不同的观点,通常用规则来控制。一般的规则控制流程是通过挂接系统建立进程的API,反病毒系统就在一个进程建立前对此进程的代码进行扫描,如果触发安全规则就进行提示,如果用户放行,就让进程继续运行,例如监视进程调用API的情况,如果发现以读写方式打开一个EXE文件,可能进程的线程想感染PE文件,或某个应用程序进行远程调用,主动防御监控系统就会发出警告。普通用户在运行程序时可能会被监控程序提示选择允许或禁止,主动防御系统检测的基本模式是通过动态仿真反病毒专家系统对各种进程行为进行自动监视,自动分析程序动作之间的逻辑关系,综合应用操作系统安全规则和病毒识别规则知识,自动建立新的病毒行为模式,实现自动判定新病毒,达到主动防御的目的。主动防御系统检测的基本模式如下图所示:

在某权威杂志对全球17款主要杀毒软件进行了测试中表明,在新病毒查杀方面,杀毒软件的平均检测率只有20%～30%,甚至低于去年的40%～50%。相比之下,只有ESET NOD32和BitDefender表现较好,查杀率分别为68%和41%。值得一提的是, ESET NOD32采用世界领先的高级启发式ThreatSense@引擎,可同时支持基因码,虚拟机,以及代码分析这三种启发式防毒技术,在查杀大部分未知病毒的同时只产生了极少的误报,为业界最低,因此ESET NOD32的ThreatSense技术被公认为主动防御技术成熟和稳定的集大成者。

何谓启发式查毒技术,启发式指 “自我发现的能力”或“运用某种方式或方法去判定事物的知识和技能”,是杀毒软件能够分析文件代码的逻辑结构是否含有恶意程序特征,或者通过在一个虚拟的安全环境中前摄性的执行代码来判断其是否有恶意行为。在业界前者被称为静态代码分析,后者被成为动态虚拟机。静态启发技术指的是在静止状态下通过病毒的典型指令特征识别病毒的方法,是对传统特征码扫描的一种补充。由于病毒程序与正常的应用程序在启动时有很多区别,通常一个应用程序在最初的指令,是检查命令行输入有无参数项、清屏和保存原来屏幕显示等,而病毒程序则通常是最初的指令是直接写盘操作、解码指令,或搜索某路径下的可执行程序等相关操作指令序列。静态启发式就是通过简单的反编译,在不运行病毒程序的情况下,核对病毒头静态指令从而确定病毒的一种技术。

而相比静态启发技术,动态启发技术要复杂和先进很多。动态启发式通过杀软内置的虚拟机技术,给病毒构建一个仿真的运行环境,诱使病毒在杀软的模拟缓冲区中运行,如运行过程中检测到可疑的动作,则判定为危险程序并进行拦截。这种方法更有助于识别未知病毒,对加壳病毒(下转第134页)(上接第132页)依然有效,但如果控制得不好,会出现较多误报的情况。动态启发因为考虑资源占用的问题,因此目前只能使用比较保守的虚拟机技术。尽管如此,由于动态启发式判断技术具有许多不可替代的优势,因此仍然是目前检测未知病毒最有效、最可靠的方法之一,并在各大杀软产品中得到了广泛的应用。

由于诸多传统技术无法企及的强大优势,必将得到普遍的应用和迅速的发展。纯粹的启发式代码分析技术的应用(不借助任何事先的对于被测目标病毒样本的研究和了解),已能达到80%以上的病毒检出率,而其误报率极易控制在0.1%之下,这对于仅仅使用传统的基于对已知病毒的研究而抽取“特征字串”的特征扫描技术的查毒软件来说,是不可想象的,启发式杀毒技术代表着未来反病毒技术发展的必然趋势,具备某种人工智能特点的反毒技术,向我们展示了一种通用的、不依赖于升级的病毒检测技术和产品的可能性。作为启发式杀毒软件的代表产品ESET NOD32,以其完善的启发式引擎ThreatSense,超过68%的未知病毒检测率以及低于0.1%的误报率闻名遐迩。成为业界的最高水准,同时也被冠以“启发之王”的美誉。

计算机病毒分析与防御 篇12

关键词：数据挖掘技术,计算机,网络病毒,防御,应用

计算机技术飞速发展的同时, 网络病毒的种类越来越多, 给网络安全带来不容忽视的影响, 所以病毒防御技术领域的研究受到人们的高度重视[1]。数据挖掘技术作为新兴技术, 能够有效预防蠕虫病毒问题, 从而为网络安全提供可靠的保障。

一、数据挖掘技术概述

数据挖掘技术可以从大量的信息知识以及应用数据当中, 构建起模型与规则, 从而体现数据的价值。就当前情况下该技术的发展势头而言, 不仅仅属于信息科技领域, 同时还被很多企业当作防御网络病毒的重要途径, 希望通过应用这一技术来构建其更加可靠的防御机制[2]。应用数据挖掘技术实现病毒防御主要基于记下几个方面的原因。首先是当前反病毒软件开始展现成果, 同时在应用环节积累大量的病毒样本, 从而为应用数据挖掘技术提供的前提条件。通过分析数据挖掘技术的特点, 发现该技术能够生人不同类型网络防御机制的构建[3]。其次是当前信息时代背景下, 大数据信息的价值越来越重要, 需要合理使用该技术来分析网络当中的有用信息。在挖掘信息的过程当中, 通过分析大量的病毒样本, 能够帮助技术人员发现数据之间的关系, 通过分析这些关系来发现网络病毒甚至是未知病毒的威胁, 最终建立起病毒的主动防御机制[4]。再次是数据挖掘技术当中使用的关联规则非常有价值, 能够拓展的范围毕竟丰富, 基于这一方面的研究也能够拓展网络病毒防御的内涵。

二、计算机网络病毒的特点

第一, 网络病毒的种类比较多同时变化速度快。制作传播网络病毒非常方便, 一些通过程序编写的网络病毒容易进行修改以及再编写, 通过简单的指令衍生出很多变化, 这就导致网络病毒数量繁多同时类型较为模糊[5]。第二, 破坏性比较强。网络病毒通常联合使用其他技术而制作的, 部分病毒融合黑客技术以及木马技术, 因此有着比较厉害的破效果[6]。这种网络病毒的特征比较复杂, 网络环境当中及时发现的难度比较高, 有可能会导致计算机网络的瘫痪, 从而丢失关键数据, 甚至是泄露网络当中的机密信息, 给网络带来不可估量的严重破坏[7]。第三, 传播速度快并且波及范围广。网络病毒同计算机网络密不可分, 借助于多种不同的方法来入侵并且破坏, 其中电子邮件、安全漏洞以及不良网站都是传播网络病毒的常见途径[8]。第四, 针对性特点。制作传播计算机病毒的目的不断变化。一开始制作网络病毒的主要目的在于彰显设计人员的编程技术, 随着网络的不断发展, 网络病毒的制作以及传播目的也随之改变, 主要是借助于病毒破坏来牟取经济利益, 例如盗取网行账号甚至拦截资金等[9]。

三、数据挖掘技术的计算机网络病毒防御中的应用

(一) 数据挖掘技术的组成

计算机病毒防御当中涉及到的数据挖掘技术可以分成五个不同的内容, 这五个方面相互联系相互影响, 联合构成了网络病毒防御机制。

第一, 预处理模块。这一模块的主要作用是深化数据源工作, 在接收到数据源模块处理过的数据之后, 借助于对数据进行变换、分析还有处理, 能够进一步实现归类划分, 在转换数据之后能够得到及时准确的处理与识别[10]。预处理模块对数据进行处理之后, 一方面能够显著减少数据挖掘所需要使用的时间, 另一方面也能够明显节约数据分析所需要的事件, 不断改进数据识别的准确度以及效率。比如通过分析数据包当中的源IP、目标IP端口信息等方面的息, 从而实现对各种数据的分析、整理还有归类, 最终实现数据预处理。

第二, 数据源模块。这一模块的主要作用是抓包程序, 也就是通过计算机网络把获取的数据传输给主机。数据源模块当中有部分网络数据包比较原始, 数据包当中存在着比较特殊的数据结构。数据源模块当中的程序负责接收这方面的数据包, 然后发送到预处理模块, 进一步预处理相关的数据。

第三, 规则库模块。这一模块主要在网络病毒泛滥之后出现, 通过深度挖掘分析数据, 还有特征识别等技术, 来得到规则集。要是在规则集当中存在网络病毒属性等方面的具体内容, 可以在挖掘过程当中充分应用这些记录, 还可以分析网络当中潜在病毒威胁, 从而真正做到防患于未然。与此同时, 规则库模块当中还能够通过使用聚类分析来分析网络病毒, 比如划分之后不过没有进行标记的有关数据集当中, 就能通过聚类分析来进一步归纳数据, 从而划分成为各个小组。在此基础上划分差异度比较小的数据, 并且不同组的数据差异度往往会比较明显。从数据挖掘的层面而言, 主要目的在于分析聚类数据.这一方面可以不断完善数据挖掘的规则, 另一方面还可以借助于分析数据而得到网络病毒的特点。

第四, 决策模块。这一募款主要作用于数据挖掘之后得到的数据库, 也就是在确保数据匹配的前提下同规则库相联系。在在数据库当中要是部分信息以及规则库存在着较为密切的联系, 可以代表决策模块当中的信息存在病毒特点, 也就意味着这部分数据可能遭到病毒的感染。要是规则数据还有结果数据库当中的数据难以有效匹配, 往往意味着数据包当中存在着新出现的病毒, 因此需要将这种类型的病毒纳入到规则库当中。

第五, 数据挖掘模块。这一模块主要是使用数据挖掘算法来具体分析得到的数据库。数据库主要是包括连接请求方面的相关记录。数据挖掘技术的组成当中, 这一模块非常关键, 有着不可替代的重要作用。具体而言, 这一模块是利用相关的算法还有数据库, 使用挖掘算法来不断收集数据, 然后分析之后加以归纳, 最终得到特点明确并且规则清晰的分析结果。

(二) 数据挖掘技术的具体应用

第一, 关联规则。所谓关联规则是指数据库里面设定的能够互相关联的数据信息, 也就是说要是在数据库当中存在着超过两个的变量, 在取值的时候二者之间有某种特定的联系, 这就意味着这部分信息数据间存在关联性。通过应用数据挖掘技术, 可以从简单关联、因果关联还有时序关联等三个方面来加以分析。通过分析这三种关联, 可以分析得到数据库当中信息的关联网, 发现数据彼此之间存在的联系, 从而确定不同数据关联的具体规则。

第二, 分类分析。所谓分类分析指的是在设定的几个分类当中, 根据这些分类的规则, 来把个体分别纳入到不同的类别下面。分类的主要作用在于使用相关的统计方法还有机器学习技术, 来构造数据的分类模型。在特定类的数据库当中映射数据, 之后通过相关的分类规则来进一步实现其它数据的分类。

第三, 聚类分析。所谓聚类分析是把得到的数据包加以分解, 从而划分成为不同的组。每个组在分类的时候, 彼此之间都有一种或者是集中比较类似的地方, 不同组的数据则有着明显的区别。这样一来借助于通过聚类数据, 就可以及时判断出数据分布当中的疏密程度, 确保全局模式能够从整体上得到呈现, 最终体现数据之间潜在的联系。

第四, 异类分析。所谓异类分析有时候也叫孤立点分析, 是对数据库当中特点较为明显的数据所展开的分析。这里分析的数据同常规模式存在着比较严重的偏离。异类分析的过程当中, 主要目的在于发现孤立点, 然后对这些孤立点展开详细的分析, 往往会发现孤立点存在有悖常理的地方, 从而发现网络病毒的存在。

综上所述, 计算机网络已经渗透到我国学习工作的方方面面, 并且给工作方式以及生活方式带来深远影响, 推动计算机技术的不断进步。不过在此过程当中计算机网络面临着病毒威胁, 需要人们不断提高安全意识, 应用各种技术来提高计算机网络的安全水平。

参考文献

[1]李智勇.数据挖掘在计算机网络病毒防御中的应用探究[J].电子测试, 2014, 15 (12) :46-48.

[2]黄应红, 孙发, 张坤, 等.计算机网络病毒检测的数据挖掘技术应用[J].网络安全技术与应用, 2014, 10 (11) :37, 39.

[3]孙健, 陈浩.论数据挖掘在计算机网络病毒防御中的应用[J].科学与财富, 2015, 20 (12) :239-239.

[4]郑卓远, 周娅.数据挖掘对信息安全的影响[J].现代计算机, 2014, 6 (3) :36-39.

[5]胡华平, 黄遵国.网络安全深度防御与保障体系研究[J].计算机工程与科学, 2015, 9 (6) :7-10.

[6]贺蓉, 赵振西, 周学海, 等.联合挖掘发现网络安全事件[J].计算机系统应用, 2014, 3 (2) :41—43.

[7]王娜.数据挖掘技术在计算机网络病毒防御中的应用分析[J].计算机光盘软件与应用, 2015, 10 (8) :155-157