2021-4-9 | 计算机病毒治理论文
本文作者:蒋叙 倪峥 单位:重庆市大足区公安局
随着计算机以及网络技术的全面普及和发展,网络病毒利用网络全球互联的优势和计算机网络系统的漏洞进行传播,已成为计算机网络系统安全的重要威胁.深入研究计算机网络病毒传播的技术特征、传播模型以及仿真结果,对计算机网络病毒传播及自动化防御进行研究,具有极为重要的意义与价值.
目前,关于计算机网络病毒的理解主要有两类思想和观点[1-2],一类是狭义的思想和观点,另一类是广义的思想和观点.狭义的思想和观点认为,计算机网络病毒应当严格局限于计算机网络范围之内.换句话说,就是充分利用计算机网络协议及计算机网络体系、结构等作为其传播途径、方式和机制,同时该类病毒的破坏对象也仅仅是面向计算机网络的,就称之为计算机网络病毒;广义的思想和观点认为,不论计算机网络的破坏是针对网络计算机本身,还是针对计算机网络的,只要能够在计算机网络上进行传播,并能够产生一定的破坏作用的病毒就可称之为计算机网络病毒.凡本文提到网络病毒之处,均指计算机网络病毒这一广义概念.
1计算机网络病毒的现状[3]
1.1网络己成为病毒传播的主要途径
在人们的日常生活中,Internet越来越普及,通过网络以及电子邮件进行传播的病毒逐步增多,比如木马、邮件、恶意程序、网络蠕虫等等,通过网络传播以后,在短时间里就可在全世界广泛传播.计算机网络使得病毒传播已不受时间及空间的制约,现代网络已经成为病毒传播的主要媒介及途径.
1.2病毒种类越来越多
随着科技信息的日新月异,计算机技术得到全面快速发展,计算机软件日益呈现多元化.同样,计算机病毒的种类也呈现多元化发展趋势.实际上,计算机病毒已经不仅仅为一种引导型病毒了,不但简单型、混合型以及宏病毒层出不穷,而且还出现了专门针对特定文件或者程序的高难度病毒.另外,一些病毒制造者还充分利用Ja-va、VB和ACtiveX的基本特性来编写特定病毒.此外,随着无线网络的开通,目前还出现能在无线网络上进行传播的手机病毒.
1.3病毒的破坏性越来越大
过去,计算机病毒破坏主要表现在DOS下对硬盘数据进行格式化处理.目前,针对计算机硬件进行破坏的新型病毒已经发展到利用Win-dows的Vxd技术,对计算机主板BIOS和硬盘数据进行破坏.甚至有的还通过植入木马程序等技术手段,大量对计算机目标系统的数据、资料进行窃取、破坏和攻击,从而使得计算机系统无法正常运行.值得一提的是,越来越多的网络病毒已经大肆占据了网络资源,使得网络在短时间内出现瘫痪等不良现象.
2计算机网络病毒的传播模式研究
2.1网络病毒传播的基本模式分析
2.1.1通过E-mail传播
通过E-mail进行传播是计算机网络病毒在网络上得以全面传播的主要途径之一.很多网络病毒都使用这一传播途径.实际上,在网络上传送电子邮件,染毒邮件正不断增加.染毒邮件在网络上泛滥,已严重影响了正常的信息交换.病毒在E-mail中的存在,主要有以下几种方式:1)感染E-mail正文.E-mail正文可以是纯文本或者html文本,能够被病毒感染的就是E-mail正文的html文本.病毒感染html文件主要有两种方法,一是在其中直接加入恶意的脚本语言代码,二是加入对恶意程序的引用.这里所说的恶意程序,可存在于电子邮件的附件中,也可利用URL的远程进行调用.2)存在于E-mail附件中,并把病毒体自身或者染毒程序作为附件进行发送.值得注意的是,有的病毒比如VBSKJ病毒,虽不会主动发送电子邮件,但是如果修改了计算机系统中的Mi-erosoftOutlookExpreSS或者MierosoftOutlook2000/XP设置,采用了html格式的信纸撰写邮件,所有的信纸就会被全部感染.所以,当发送电子邮件时,计算机网络病毒就可以自动感染电子邮件正文,这一方式更具隐蔽性.3)获取计算机系统控制权.当病毒通过E-mail到达接收端以后,一般都是通过以下方法获取计算机系统的控制权.一是利用欺骗手段,使计算机用户执行被感染的文件,而病毒就会用多变的特征,吸引和诱骗人们,进而达到传播的目的.二是利用系统漏洞.如前面分析,html格式的E-mail正文可以被感染病毒.如果使用浏览器为IE5.0的话,且其安全等级设定在中级或者更低级时,病毒就能够直接启动并运行,期间,IE不会给用户任何的提示.病毒常常利用微软IE异常处理MIME漏洞进行,因为这一漏洞使IE在解释一些html电子邮件时,由于不能正确处理一些代码而引起附件自动下载,且更为严重的是下载结束后会自动打开附件.即使IE在解释带病毒邮件时提示用户,其提示信息也可能被病毒修改为txt之类的无害信息等.三是前面两种方式综合运用.在一些计算机系统漏洞中,并不会使病毒直接运行,但是可能会被病毒利用并作为其伪装.特别是含有那些双扩展名的文件,即使关闭了“隐藏已知文件类型的扩展名”选项后,仍能显示为txt文件,具有很强的欺骗性.
2.1.2通过自动扫描传播
1)直接改写系统文件.这是病毒通过局域网络进行传播时的独特方法.有的局域网络上的机器,其系统文件都为远程可写的.此外,有的病毒可以通过在局域网络中寻找可写win.ini或者注册表文件并进行修改,便于下次重新启动以后蠕虫病毒被自动执行.有的病毒还可以直接拷贝本身到局域网络内可写启动目录中.2)通过服务器传播.病毒可以利用一些常见的漏洞,使得病毒获得远程服务器主机的控制权.随后,病毒就可以随意传染和攻击计算机系统及网络服务器.而后,又通过网络服务器,传染到访问这个服务器的所有客户计算机.此外,还有的病毒可以在局域网络内自动搜索FTP,并向其上传一些带毒的文件,然后再利用社交工程对用户进行欺骗,进而实现下载并自动被执行.
2.2网络病毒传播的模型研究
因为计算机网络病毒是以网络传播为主要途径,实际上,计算机网络病毒在潜伏、传染以及攻击方面都同生物病毒传播的模型比较相似,所以在计算机网络病毒的模型研究及其防御系统研究中,都在很大程度上运用了生物学病毒的很多研究成果及方式[4].本文研究的计算机网络病毒传播模型,就是以生物学模型为前提和基础的.
2.2.1计算机网络病毒传播模型探讨
一般而言,计算机网络作为由若干计算机按一定连接方式组成的集合之一,这些计算机在物理连接方面具有一定的结构与特征.而计算机网络病毒的传播,则需要借助一定的载体,比如E-mail或者用户操作等.此外,计算机网络病毒传播有不同的条件以及途径.因此,所处的传播环境可以抽象地分为同构混合环境与随机结构环境两种.从这种意义上看,这个结构并不是网络连接的结构,而是指网络节点之间通过信息交流,包括传输文件、电子邮件等形式产生联系而具有的结构.计算机网络病毒也正是通过这种联系而得以广泛传播的.1)同构混合环境.在计算机网络中,其任意节点都是其它节点的邻居,每一节点都可以感染其它节点和被其它节点所感染,其被感染的概率几乎相同,即每一被感染节点都有相同数量的没有被感染的邻居,每一未被感染的节点也都可能会被数量相同的感染节点感染.在这种环境下,计算机网络病毒传播的模型是一个具有确定性、连续的分析模型.这个模型是在生物学病毒传播的基本原理上,根据同构混合环境的基本特点而构建的,这一模型属于白箱模型.2)随机结构环境.随机结构的计算机网络环境就是指计算机网络中的用户通过一定的方式进行信息交流,这种个体间联系的特征,就是计算机网络中每一个节点的邻居只为整个计算机网络中的一个部分,且发生联系的事件具有一定的随机性.按照建模的目的,我们又可以把其分为分析、描述以及预报等模型.而按对客观现象内部机理的了解程度,则又可以分为白箱、灰箱和黑箱等模型.