网络型病毒分析与计算机网络安全技术构建

2022-02-02马斐

科技资讯 2022年24期

马斐

(国家能源集团山东石横热电有限公司山东泰安 271621)

信息时代背景下，网络化、信息化趋势愈加明显，在社会生产生活中所起到的作用愈加显著。计算机网络为代表的现代化信息技术飞快发展，打破了时空壁垒限制，在加快信息传播速度和范围的同时，有效提升信息利用率。计算机网络可以促进国家机关工作效率提升，也可以为市场上的企业创造更大的经济效益，但由于网络型病毒传播速度快、范围广，在无形中威胁着计算机网络安全。所以，为了有效抵御病毒入侵，应大力发展计算机网络安全技术，在摸索病毒活动规律和运作过程基础上，才能因地制宜，选择合理有效的安全技术进行防范，维护计算机网络运行安全。

1 网络型病毒的定义和特点

1.1 网络型病毒的定义

网络型病毒是计算机病毒中具有代表性的一种，尽管人们对网络型病毒的认知水平逐步提升，但是对其定义仍然存在一定分歧。大致可以归结为两种观点：一种是计算机网络型病毒主要是通过计算机网络结构框架、网络协议体系来传播。因此，网络型病毒仅仅是局限于计算机网络范围内，攻击对象时计算机网络内部的用户[1]；另一种观点与之相比更加广泛，清掉病毒破坏的对象不仅仅局限于网络或是网络内用户，只要编写的病毒程序都可以在计算机网络上成功传播的病毒，均属于计算机网络型病毒。

1.2 网络型病毒的特点

随着时代进步和发展，计算机网络技术也在不断推陈出新，进入新的发展阶段，相应的网络型病毒也发生了翻天覆地的变化，其特点变得更加多样化。

1.2.1 病毒传播更加迅速、广泛，传播途径多样化

由于网络型病毒自身特点，依托于互联网邮件、通信接口和网络端口等途径传播，相较于传统磁介质传播渠道而言有着本质差异。攻击对象也不再局限于单一主机，而是扩展到移动客户端、工作站以及无线网络覆盖的所有设备[2]。

1.2.2 病毒清理难度大

信息时代背景下，网络已经渗透人们工作、学习和生活各个角落，仅凭一个网络端口，即可感染所有连接的计算机设备，借由网络提供计算服务的端口和设备更进一步传播蔓延。因此，新型的网络型病毒彻底清理难度较大。

1.2.3 病毒编写方式多样化

目前，病毒编写语言工具多样，包括C语言、Delphi、ASM 汇编语言、VC++、C++、VBScript 以及JavaScript 等。为了躲避计算机杀毒软件搜索，很多新型网络型病毒基于复合编程语言来编写，可以实现快速复制和传播。而且还有部分不法运营商为了提升病毒出现速度，花费高价编写病毒程度，造成病毒的大肆传播[3]。

1.2.4 病毒携带方式多样化

网络型病毒可以依附在各种应用程序或是文件中，便于大范围传播。携带病毒的除了网络程序或是网页下载的文件以外，还可以是电子邮件、电子公告栏等。

1.2.5 病毒趋于智能化和隐蔽化

计算机网络技术升级同时，网络型病毒也在不断更新，尤其是目前自我防御、加密隐身和跟踪型网络安全技术广泛应用下，导致出现的很多新型网络病毒更加隐蔽化、智能化，为计算机网络安全带来了更大的威胁[4]。对部分新型病毒，相较于传统网络型病毒而言有着显著差异，新型的网络型病毒将多种病毒特性，不仅破坏性增强，清理难度也大大增加。

1.2.6 病毒攻击对象更加精准化

对一些不法分子，网络型病毒已经成为一种武器，具有精准攻击目标的特点。网络型病毒可能会针对性攻击经济、政治安全相关信息，导致很多涉及重大商业机密、国家安全的重要信息被窃取，破坏社会秩序和国家稳定。

2 网络型病毒的分类及危害

网络型病毒具有极强破坏性，就目前常见的网络型病毒来看，主要有蠕虫病毒、木马病毒这几种，如果是按照传播途径划分，则包括漏洞型病毒和邮件病毒。

2.1 蠕虫病毒

对于蠕虫病毒，主要是依托于htm文件和MIRC脚本传播，在感染计算机后自动寻找本地驱动器，搜索目录可以感染文件，病毒代码会直接覆盖原本的文件内容，文件扩展名也会调整为vbs。而且蠕虫病毒会占据大量的计算机资源，因此计算机中了蠕虫病毒的一个典型特点就是运行速度变慢，卡顿现象严重。比如：尼姆达是一种典型的蠕虫病毒，邮件是传播主要途径[5]。基于邮件扩展类型（MIME）信息存在，包含一个text/html类型的空文本以及一个audio/x2wav类型的可执行文件进行传播。借助IIS WEB提供计算服务的设备传播，蠕虫病毒会启动一个TFTP 提供计算服务的设备，实现UDP/69端口监听。确定供给IP地址后，Nimda开始扫描IP 地址。对于尼姆达病毒而言，会先扫描/scripts/Root.exe 后门程序，基于这个程序来执行命令，如以下代码。

此种方式主要是为了传播本机IP地址的admin.dll文件，而这即是病毒，是扩展名转换为dll，病毒控制权限进一步提升。指令下达成功后，已经传播蠕虫病毒到攻击主机上，然后激活运行蠕虫病毒，代码如下。

请求激活运行蠕虫病毒，这时的蠕虫病毒则是按照管理员权限运行，可以有效躲避杀毒软件的扫描查杀。

如果是通过网页传播，对于已经感染蠕虫病毒的服务器，Nimda会修改www网页文件，用户只要浏览该网站即可被感染。蠕虫通过Admin.dll运行，生成新程序Mmc.exe，在计算机系统硬盘中自动搜索后缀名是*.html，*.asp，*.htm，文件名则是Readme、Main、Index 以及Default 的文件。发现此类文件后，会在该目录下创建格式为Readme.eml 的文件，其中包含了蠕虫拷贝，在文件末位增加如下代码。

这样用户在浏览有病毒的网页时，借助IE浏览器异常处理MIME 头软硬件和协议具体实现上的缺陷，传播蠕虫病毒到新的客户端上。由此看来，如果蠕虫病毒大范围传播蔓延，将导致整个系统瘫痪、崩溃。而且此种病毒查杀难度较大，网络环境下只要有一台主机中的病毒清理不干净，那么病毒将很快会重新传播蔓延[6]。

2.2 木马病毒

木马病毒包含了服务器和客户端两个部分，可以将其归结为一种后门程序。通常情况下，木马病毒是黑客用于入侵、攻击的一种工具，在用户不知情下来盗取、篡改重要信息。即便木马程序自身无法自我复制，但用户计算机设备运行木马程序后，黑客则会获得掌控计算机控制权，此种情况下将带来严重的破坏，因此黑客多是将木马程序植入服务器上，被用户不经意间下载下来。

2.3 邮件病毒

对于邮件病毒而言，可以理解是常规病毒，通过邮件形式来传播，主要是由于电子邮件是人们交流沟通，以及企业办公的重要工具手段，如love you 病毒、求职信病毒以及库尔尼科娃病毒等。此类病毒，通过微软公司outlook 客户端可编程特点，用户在打开邮件后，在病毒驱使下自动发送带病毒的邮件给通信录中的用户，传播速度较快[7]。

3 基于网络型病毒的计算机网络安全技术构建

3.1 防火墙技术

作为一项代表性的计算机网络安全技术，防火墙技术在实际应用中，主要是用于隔离开危险区域和安全区域，增强计算机网络安全性。防火墙可以看作是网络过滤器，具有较强的抗病毒冲击能力，结合用户设定的标准来筛选进出网络的信息，解译有效抵御病毒信息入侵计算机设备端口，实现内部网络和公共网络可靠连接，阻隔病毒在外部网络[8]。伴随着防火墙技术不断推陈出新，技术水平得到了大幅度提升，并且得到了广泛应用。防火墙技术是依托于网络，对特定地址和服务过滤筛选，并且对传输的数据源信息进行必要检测，保证数据包通信效率同时，扫描查杀常见的病毒载体。防火墙技术除了作用在网管技术和信息过滤层面，其中还包含了身份验证以及各类加密技术，基于防火墙构建VPN网络。通过此种方式，可以显著增强网络抗病毒入侵能力。可以将防火墙设置为不同保护级别，对于高级别保护，会禁止某些服务，如视频流。目前的网络防火墙架构是粗颗粒度访问控制，将内部网络充当一个逻辑单元进行处理。但此种访问控制机制无法满足计算机网络高层次安全防护要求。在采用防火墙技术时，要重点考虑防火墙功能作用[9]。实际上，防火墙是无法防护病毒入侵的，而且数据在防火墙之间的更新是一个技术难题，延迟大则无法响应服务器的实时访问请求。而且防火墙选择滤波技术，会降低网络性能50%左右。所以，防火墙技术是一种复合型的技术，结合了多种先进技术，并非是简单地隔绝病毒于外部网络[10]。

3.2 信息加密技术

信息加密技术，是保障计算机网络信息安全的一个关键技术，原理是基于加密算法将明文转换为无法直接读取的秘文，隔绝非法用户获取原始数据，以此来增强数据信息保密性[11]。在明文和秘文之间相互转化过程，需要密钥加密或解密。最佳的加密算法，几乎不会影响到系统性能，具有鲜明的优势。比如：pkzip 具有压缩和加密数据功能；dbms 中的软件包含加密算法，导致敏感数据是无法复制的，或是获取用户账户和密码。置换表是一种较为简单的加密算法，每个手段对应“置换表”的一个偏移量，对应数值输出后为加密文件。无论是加密程序还是解密程序，均需要置换表提供对应。实际上，对于80×86CPU 系列有一个指令xlat，在硬件上完成加密工作。尽管此种加密算法操作简单，但如果置换表被对方获取，则会识破这个加密方案。

相较于置换表而言，变换数据位置也是在计算机网络安全防护中的一个广泛应用的信息加密技术，但执行时间较多，读取明文到一个buffer中，重排序，然后再输出。解密过程则是相反流程，反向还原数据。此种加密算法可以同其他加密算法联合使用，这样可以增加黑客破译难度。比如：一个词，变换字母顺序，slient 转化为listen，但仍然是哪些字母，只是顺序有所变化。

3.3 入侵检测技术

入侵检测系统，主要是为了抵御网络型病毒入侵感染，保护重要数据信息不被盗取、篡改，实现网络活动实时监测的一种系统。基于入侵检测系统，对于网络信息可以快速甄别、分析，或是主机上对用户审计分析，并通过集中控制台检测和管理。实际上，入侵检测系统属于较为典型的窥探设备，不与多个物理网段连接，多数情况下配备一个监听端口，不需要转发任何流量，在网络上无声无息地收集关注的报文信息[12]。入侵检测可以快速检测异常信息，结合进程、用户正常状态下的特点，建立模型，然后同正常行为模型比较分析，如果偏差大，则说明出现异常。此项技术可以不需要获取攻击特点，对已知的攻击或是未知的攻击行为检测，随着用户行为变化，用户模型也会随之自动更新。滥用检测，是结合已知的攻击行为特征库，用户当前行为同特征库的攻击签名依次对比分析，匹配则说明出现了入侵行为。此项入侵检测技术精准度较高，可以识别多类型攻击行为，第一时间阻拦攻击行为。但此项技术的缺点是面对新出现的攻击，可能无法检测攻击的变形情况，因此需要持续更新攻击签名库，这样才能及时发现和遏制攻击行为。

3.4 特征代码技术

作为一种传统的网络型病毒防护技术，主要是设立病毒数据库，确定程序功能范围，并采集目标病毒样本深入分析。综合分析病毒数据库的病毒代码，寻找相似代码的病毒，将总结的代码作为检测目标，检测同时与病毒库特征代码对比分析。扫描检测文件，同病毒库代码对比，检测计算机中的文件是否被病毒感染，相似性达到一定程度，则说明文件被感染到某种病毒。目前，病毒类型逐渐多样化，需要病毒数据库随之更新和完善，但是对于一些隐蔽性较强的病毒，检测耗费时间长，检测精度不高。

3.5 安装杀毒软件

为了有效抵御网络型病毒入侵，用户在使用搞计算机前应安装杀毒软件，定期查杀病毒，便于及时发现潜在病毒，及时清理干净，保护计算机内部文件安全的同时，规避系统运行瘫痪。通过安装杀毒软件可以实时监测计算机网络运行情况，也可以采用个性化措施来隔离重要文件，实现内部重要信息安全防护。另外，系统要定期更新补丁，及时弥补计算机漏洞，尽可能降低病毒入侵概率，提升计算机网络安全防护效果。