网络蠕虫的检测与抑制办法
- 格式:doc
- 大小:26.00 KB
- 文档页数:6
下载文档原格式
合集下载
检测与防治网络安全攻击的方法与技巧
检测与防治网络安全攻击的方法与技巧网络安全攻击已经成为当今数字化社会中的一大隐患。
面对不断增长的网络威胁,我们需要采取适当的方法和技巧来检测和防治这些攻击。
本文将探讨一些有效的网络安全攻击检测和防治的方法与技巧。
一、入侵检测系统(IPS)和入侵防御系统(IPS)入侵检测系统(IPS)和入侵防御系统(IPS)是两种常用的网络安全技术。
IPS可以通过监控网络流量和系统日志来检测潜在的攻击,它能够快速识别并阻止攻击者的恶意行为。
而IDS则是一种主动的安全措施,它能够主动阻止攻击者的入侵尝试。
使用IPS和IDS 的组合可以大大增强网络的安全性。
二、改善密码安全性很多网络安全攻击都是通过猜解密码或强行破解密码来实现的。
因此,提高密码的安全性是预防网络攻击的重要一环。
密码的复杂性是关键,使用包含字母、数字和特殊字符的复杂密码可以增加破解的难度。
此外,定期更改密码并避免重复使用密码也是必要的。
对于比较敏感的账号,可以采用多因素身份验证,例如短信验证码或指纹识别。
三、网络流量监控网络流量监控是一种有效的方法来检测和防治网络安全攻击。
通过监控网络流量,可以及时发现异常的活动或恶意行为。
网络流量监控工具可以帮助管理员检测到潜在的攻击流量,并提供实时警报来通知管理员采取必要的防御措施。
网络流量监控还可以帮助发现潜在的内部威胁,例如非授权的访问或数据泄露。
四、网络安全培训和意识提高网络安全攻击通常利用用户的无知和疏忽来实施。
因此,提高员工和用户的网络安全意识是非常重要的。
定期进行网络安全培训,教授员工识别和应对各种网络安全威胁的方法,可以大大减少成功的攻击。
此外,加强用户的密码和账号管理意识也是必要的,例如避免使用简单的密码、共享密码或将密码存储在易受攻击的位置等。
五、更新和修补系统漏洞系统漏洞是网络攻击的另一个常见入口。
及时更新和修补操作系统、应用程序和安全补丁是防止网络攻击的关键措施。
定期检查系统漏洞并及时应用相关的安全更新可以减少攻击者利用漏洞的机会。
网络入侵防范与检测
网络入侵防范与检测随着互联网的快速发展和普及,网络入侵的风险也在不断增加。
网络入侵指的是未经授权的人或程序进入他人的计算机系统或网络,从而获取、篡改或破坏计算机系统中的数据和信息。
这对个人和企业的信息安全构成了严重威胁。
为了保障网络安全,网络入侵防范与检测成为当今社会不可忽视的重要任务。
一、网络入侵的类型及危害网络入侵的类型可分为远程入侵和本地入侵。
远程入侵是指攻击者通过互联网与目标计算机建立连接,并通过远程执行攻击代码实施入侵;本地入侵则是指攻击者通过物理或逻辑的直接接触与目标计算机建立连接,进行地理位置接近的攻击。
无论是远程入侵还是本地入侵,网络入侵都可能导致以下危害:1. 数据泄露:入侵者可能获取到用户的个人信息、密码、银行账户等重要数据,这将导致用户的隐私暴露和金钱损失。
2. 数据篡改:入侵者可能修改或删除目标计算机中的重要数据,造成信息的不一致和混乱。
3. 服务中断:入侵者可能通过拒绝服务攻击,使目标计算机无法正常运行,从而导致网络服务中断和用户体验下降。
二、网络入侵防范措施为了保护网络安全,我们应该采取一系列有效的网络入侵防范措施。
下面是几个值得注意的方面:1. 严格访问控制:建立和完善用户访问权限管理体系,限制不同用户的访问权限。
同时,采用多因素认证等技术手段,提高用户身份验证的安全性。
2. 安全密码策略:设定复杂度较高的密码要求,定期更换密码,并禁止使用弱密码,以防止入侵者通过破解密码进行入侵。
3. 更新和维护系统:及时安装最新的操作系统和应用程序补丁,修复系统漏洞,防止被已知的攻击手段入侵。
4. 防火墙设置:建立有效的网络防火墙,过滤网络流量,禁止非法访问和恶意行为。
5. 加密通信:对敏感数据进行加密传输,确保数据在传输过程中不被窃听或篡改。
三、网络入侵检测方法即使采取了一系列网络入侵防范措施,也不能保证网络的绝对安全,因此网络入侵检测变得至关重要。
下面介绍几种常见的网络入侵检测方法:1. 基于签名的入侵检测系统(IDS):通过识别预先定义的网络攻击特征和模式,检测和阻止已知的入侵行为。
电脑技术中如何进行网络病毒的检测与清除
电脑技术中如何进行网络病毒的检测与清除随着互联网的普及和电脑技术的发展,网络病毒也越来越多地侵袭着我们的电脑。
网络病毒不仅会危害我们的个人隐私和数据安全,还会导致电脑系统崩溃和性能下降。
因此,学会如何进行网络病毒的检测与清除是非常重要的。
首先,我们需要了解网络病毒的种类和特点。
网络病毒通常分为病毒、蠕虫、木马和间谍软件等几类。
病毒是通过感染其他文件或程序来传播的恶意软件,蠕虫则是通过网络自动传播的恶意程序。
木马是指隐藏在正常程序中的恶意代码,可以远程控制被感染的电脑。
而间谍软件则是指通过监视用户活动来窃取个人信息的恶意软件。
了解这些基本知识可以帮助我们更好地进行网络病毒的检测与清除。
其次,我们可以通过安装杀毒软件来进行网络病毒的检测与清除。
杀毒软件是一种专门用于检测和清除电脑中的病毒和恶意软件的工具。
市面上有很多知名的杀毒软件,如卡巴斯基、诺顿和360安全卫士等。
这些软件可以实时监测电脑中的文件和程序,一旦发现病毒就会立即进行清除。
此外,杀毒软件还可以进行定期全盘扫描,以确保电脑的安全。
除了安装杀毒软件,我们还可以通过更新操作系统和软件来预防和清除网络病毒。
网络病毒通常会利用操作系统或软件的漏洞进行传播和感染。
因此,及时更新操作系统和软件是非常重要的。
操作系统和软件的更新通常会修复已知的漏洞,提高系统的安全性。
此外,我们还应该注意下载和安装软件时的来源,尽量避免下载和安装来路不明的软件,以防止网络病毒的感染。
此外,我们还可以通过设置电脑的防火墙来提高网络病毒的检测与清除能力。
防火墙是一种用于监控和控制网络流量的安全设备。
它可以过滤和阻止潜在的恶意流量,从而减少网络病毒的感染。
设置电脑的防火墙可以帮助我们更好地保护个人隐私和数据安全。
最后,如果我们的电脑已经感染了网络病毒,我们可以尝试使用专门的病毒清除工具进行清除。
市面上有很多免费的病毒清除工具,如瑞星、360安全卫士等。
这些工具可以扫描电脑中的病毒和恶意软件,并将其彻底清除。
网络蠕虫病毒的防范与检测
网络蠕虫病毒的检测及防范1.引言蠕虫可以被分成两个部分,一部分是一个引导程序或称为传病媒体,这部分程序首先进入目标系统,用于引入蠕虫的其他部分;另一部分是蠕虫的主体程序。
2.网络蠕虫病毒攻击原理网络蠕虫是一种可以通过永久性网络连接或拨号网络进行自身复制的程序,它与普通病毒的不同之处在于普通病毒需要在计算机的硬盘或文件系统中繁殖,而蠕虫程序具有自给能力。
典型的蠕虫程序只会在内存中维持一个活动副本,甚至根本不向硬盘中写入它自己的任何信息,十分具有隐蔽性。
实际上,蠕虫程序具有两种不同的变形。
第一种只会在第一台计算机中运行,像一般应用程序一样。
这种程序只会把系统的网络连接作为自己的信道,从而把自身复制到其他系统中,或者进行信息中继。
根据蠕虫程序编写者的设计意图。
它既可能在原始系统中留下一份副本,也可能在完成向另一个主机进行复制后,就不再留下副本。
第二种计算机蠕虫程序实际上使用网络连接作为神经系统,使程序代码中的不同段运行在多个系统上。
如果在此基础上有一个中心点对这些代码段的工作进行协调(就像人的大脑一样),则这种蠕虫程序就被称为“章鱼程序”。
3.网络蠕虫病毒的破坏性:网络蠕虫程序是一个程序或者说是一个程序序列,它由两部分组成:一个主程序和一个引导程序。
主程序一旦在计算机上建立,就会去读取公共配置文件并运行显示当前网络上联机状态信息的系统使用程序,来达到它收集与当前计算机联网的其他计算机信息的目的。
然后,它会尝试利用网络缺陷到这些远程计算机上建立其引导程序(也称为“钓鱼”程序)。
正是通过这个程序,蠕虫进入了它感染的每一台计算机。
当蠕虫程序通过窃取口令、盗取特权、借助操作系统本身的错误和漏洞来达到非法入侵的目的后,蠕虫程序已经获取了系统用户的特权,可以读取被保护的敏感数据,可以做种种特权动作,具备了做严格破坏动作的能力。
蠕虫程序的破坏行为类似于抢夺系统资源、影像系统效率,通常造成的后果是系统崩溃。
如Robert Morris编写的蠕虫实际上并没有任何有意的破坏目的,就是在它遇到的每台计算机的后台都运行一个小进程。
实训7-2蠕虫病毒的查杀与防范.
实训7-2蠕虫病毒的查杀与防范引言蠕虫病毒是一种恶意软件,通过网络传播并感染计算机系统。
蠕虫病毒可以自动复制和传播自己,对网络安全造成严重威胁。
在本文中,我们将介绍蠕虫病毒的特征和传播方式,并提供一些常用的查杀和防范方法。
蠕虫病毒的特征蠕虫病毒与其他恶意软件不同之处在于其具备自我复制和传播的能力。
蠕虫病毒可以通过网络传播,并在感染新主机后再次复制并传播自己。
这种自我复制和传播的能力使得蠕虫病毒具有迅速传播和蔓延的潜力。
另一个蠕虫病毒的特征是其破坏性。
蠕虫病毒可以危害计算机系统的正常功能,并可能导致数据损失、系统崩溃等严重后果。
一些蠕虫病毒还具备隐藏性,可以在感染主机之后长时间潜伏而不被察觉。
蠕虫病毒的传播方式蠕虫病毒可以通过多种方式传播。
以下是一些常见的传播途径:1.电子邮件附件:蠕虫病毒可以通过电子邮件附件传播。
当用户打开蠕虫病毒的电子邮件附件时,病毒将被激活并感染用户的计算机系统。
2.可执行文件:蠕虫病毒可以附加在可执行文件中,当用户运行该可执行文件时,病毒将开始感染用户的计算机系统。
3.共享文件夹:蠕虫病毒可以通过共享文件夹传播。
当用户访问感染的共享文件夹时,病毒将利用网络传播自己到其他计算机系统。
4.操作系统漏洞:蠕虫病毒可以利用操作系统的漏洞来传播自己。
一旦蠕虫病毒感染了具有漏洞的计算机系统,它可以利用该漏洞来感染其他主机和系统。
蠕虫病毒的查杀方法及时发现和查杀蠕虫病毒对于保护计算机系统的安全至关重要。
以下是一些常用的蠕虫病毒查杀方法:1.使用杀毒软件:杀毒软件是查杀蠕虫病毒的最常见和有效的方法之一。
杀毒软件可以及时检测和清除计算机系统中的病毒,并提供实时保护。
2.更新操作系统:定期更新操作系统是防范蠕虫病毒传播的重要措施。
操作系统提供的更新补丁通常包含了对已知漏洞的修复,减少了蠕虫病毒感染的机会。
3.禁用自动运行:蠕虫病毒通常利用自动运行功能来感染计算机系统。
禁用自动运行功能可以阻止蠕虫病毒在用户运行可执行文件时自动启动。
网络入侵检测与防御的技术与工具
网络入侵检测与防御的技术与工具网络入侵是指未经授权的个人或组织尝试进入一台计算机或网络系统,以获取、修改或破坏数据的行为。
它是当前互联网环境下普遍存在的威胁之一。
为了保护企业和个人的信息安全,网络入侵检测与防御成为了必不可少的任务。
本文将介绍网络入侵检测与防御的技术与工具,帮助用户更好地了解和应对网络入侵。
一、网络入侵检测技术1. 网络流量分析网络流量分析是指对网络传输数据的监控、解码和分析。
通过分析网络流量,可以发现异常行为和潜在威胁。
常用的网络流量分析工具包括Wireshark、tcpdump 等,它们能够捕获和分析网络数据包,识别恶意流量并提供实时报警。
2. 异常行为检测异常行为检测是通过建立基线模型,监测网络上的实时行为,识别出不正常的活动。
这些活动可能是异常流量、异常登录、异常访问等。
主要的异常行为检测工具包括Snort、Suricata等,它们基于规则和统计方法来识别异常行为。
3. 入侵检测系统(IDS)入侵检测系统是一种用于主动监控网络流量并检测入侵行为的设备或软件。
IDS可以分为网络IDS(NIDS)和主机IDS(HIDS)。
NIDS通过监测网络流量来检测入侵行为,而HIDS则通过监测主机上的行为来进行检测。
常见的IDS产品有Snort、Bro、OSSEC等。
二、网络入侵防御技术1. 防火墙防火墙是网络安全的基础设施,它可以监控和控制网络流量,保护内部网络免受未授权访问和恶意攻击。
防火墙分为软件防火墙和硬件防火墙两种。
软件防火墙在计算机系统上运行,而硬件防火墙则是一种专用设备。
常见的防火墙产品有iptables、Cisco ASA等。
2. 入侵防御系统(IPS)入侵防御系统是一种主动防御机制,它可以监控和阻止入侵行为。
IPS可以在入侵尝试发生时立即作出响应,阻止攻击并保护网络资源。
与IDS相比,IPS更加积极主动。
常见的IPS产品有Suricata、Snort等。
3. 加密技术加密技术是保护网络通信和信息的重要手段,它可以防止数据被窃取或篡改。
网络安全防护网络入侵检测与防范的方法
网络安全防护网络入侵检测与防范的方法网络安全是当今社会中非常重要的一个话题,随着互联网的高速发展,网络入侵事件也日益增多。
因此,网络入侵检测与防范的方法成为了保护个人隐私和企业安全的关键。
本文将重点介绍几种常用的网络入侵检测与防范的方法,以帮助读者了解并采取有效的安全防护措施。
一、网络入侵检测的方法1. 入侵检测系统(IDS)入侵检测系统(Intrusion Detection System, IDS)是一种通过监控网络流量和系统日志,识别和报告潜在的入侵行为的安全设备。
IDS可以分为网络IDS和主机IDS两种类型。
网络IDS主要工作在网络层次上,监测网络流量中的异常行为;而主机IDS则是在主机上运行,监测主机的系统日志和进程活动。
通过使用IDS,可以及时发现并响应网络入侵事件,提高系统的安全性。
2. 异常检测异常检测是一种通过建立正常网络行为模型,检测出网络流量中的异常行为的方法。
它基于人工智能和机器学习技术,通过分析网络通信的历史数据和行为模式,发现与正常行为不符的异常活动。
通过不断调整和更新异常检测算法,可以提高检测的准确性和可靠性。
3. 漏洞扫描漏洞扫描是一种主动检测系统和网络中潜在漏洞的方法。
通过使用专门的扫描工具,对系统和网络进行全面的扫描,寻找存在的漏洞和安全弱点。
漏洞扫描能够帮助管理员及时发现并修补系统中的漏洞,从而减少遭受网络入侵的风险。
二、网络入侵防范的方法1. 防火墙防火墙是一种位于网络边界的安全设备,用于控制进出网络的数据流量。
防火墙可以根据事先设定的安全策略,对流入和流出的数据进行过滤和审查。
通过合理配置防火墙规则,可以阻止未经授权的访问和恶意攻击,从而提供有效的网络入侵防范。
2. 加密通信加密通信是一种通过使用加密算法对网络通信数据进行加密的方法。
加密可以有效防止非法用户窃取和篡改通信数据。
而且,在现实应用中,加密通信已经被广泛应用于邮件、聊天、网上支付等领域,可以保证通信的私密性和完整性。
常见的网络蠕虫病及防范方法
常见的网络蠕虫病及防范方法网络蠕虫病是指攻击计算机系统的一种恶意软件。
它通过利用计算机系统上的漏洞进行自我复制,从而迅速传播到其他计算机系统上。
网络蠕虫病的传播速度惊人,一旦感染计算机系统,就会破坏计算机系统的正常工作,对计算机系统安全造成威胁。
本文将介绍几种常见的网络蠕虫病及其防范方法。
首先,最常见的网络蠕虫病是黑客利用漏洞攻击计算机系统的蠕虫病。
这种蠕虫病通过利用操作系统、网络服务以及应用程序等漏洞进行传播。
黑客通常会在漏洞曝光后迅速发动攻击,所以及时打补丁是最有效的预防方法。
另外,为计算机安装杀毒软件和防火墙也是必要的。
其次,还有一种名为自我复制病毒的网络蠕虫病。
这种病毒通常会通过电子邮件或者网络文件共享等方式传播。
为避免感染自我复制病毒,建议不随意打开附件,特别是不信任的来源。
此外,定期清理垃圾邮件和无效邮件也是很有必要的。
第三,蠕虫病的另一种形态是僵尸网络,也称为DDoS攻击。
这种攻击会消耗网络带宽,致使正常的网络服务无法正常运行。
对此,建议企业和个人用户定期备份数据和重要文件,避免受到攻击时遭受重大损失。
最后,网络蠕虫病的应对方法还包括:定期更新操作系统、防火墙和应用程序,以便修补漏洞,确保计算机系统的安全性;不要随意下载未知来源的文件或使用未知来源的软件,以免引入蠕虫病;使用复杂密码和定期更换密码也是重要的。
如果发现计算机系统受到了蠕虫病攻击,要立即断开网络并寻求尽早的专业技术支持。
总之,网络蠕虫病给计算机系统的安全带来了巨大挑战。
针对网络蠕虫病的病毒特征和传播规律,制定科学的防范策略是必不可少的。
通过坚持定期备份、打补丁、杀毒和更新操作系统等措施,可以有效地降低网络蠕虫病的危害,确保计算机和网络的安全运行。
网络安全中的入侵检测方法和防范措施分析
网络安全中的入侵检测方法和防范措施分析网络安全一直是如今信息社会中亟需关注的重要问题之一。
随着互联网的迅速发展,网络攻击日益猖獗,网络入侵事件也层出不穷。
为了确保网络系统安全,我们需要及时检测并防范入侵行为。
本文将就网络安全中的入侵检测方法与防范措施进行分析与论述。
一、入侵检测方法入侵检测方法是保护网络免受恶意活动威胁的关键步骤之一。
它有助于识别并及时采取措施来阻止潜在攻击,确保网络系统的安全。
常见的网络入侵检测方法主要包括以下几种。
1. 基于特征的入侵检测(Signature-based Intrusion Detection)基于特征的入侵检测方法使用攻击特征的特定匹配模式来识别已知的入侵行为。
这些特征模式可以是特定的IP地址、端口号、攻击类型或其他攻击特征。
当网络流量中出现匹配模式时,系统就会发出警报,提示管理员可能存在安全风险。
这种方法的优点是能够迅速识别已知的入侵行为,但缺点是无法检测未知的攻击类型。
2. 基于异常行为的入侵检测(Anomaly-based Intrusion Detection)基于异常行为的入侵检测方法通过分析网络系统的正常行为模式,建立基准模型,并与实际行为进行比较,以检测出异常行为。
这种方法能够检测出未知的入侵行为,适用于新型攻击的识别。
但是,由于系统正常行为的复杂性和变化性,这种方法也容易产生误报。
3. 混合入侵检测(Hybrid Intrusion Detection)混合入侵检测方法结合了基于特征与异常行为的两种方法,以弥补各自方法的短处。
它可以综合利用特征与行为两个方面的信息,提高入侵检测的准确性和效率。
二、入侵检测防范措施除了入侵检测方法之外,还有一些防范措施可以帮助保护网络免受入侵和攻击。
以下是一些有效的入侵检测防范措施,可以帮助组织提高网络安全性。
1. 强化系统安全配置及时更新和安装操作系统和应用程序的安全补丁,加强系统安全配置,限制不必要的服务和开放的端口,以最小化系统面临的潜在攻击面。
网络攻击排查与处置预防措施
网络攻击排查与处置预防措施在当今信息化社会,网络攻击已经成为一种常见现象,给互联网用户造成了严重的危害,因此网络攻击排查与处置预防措施显得尤为重要。
网络攻击可以是针对个人用户、企业机构、政府部门等各种网络实体的,其中最常见的网络攻击类型包括病毒、蠕虫、木马、DDoS攻击等。
首先,对于网络攻击的排查过程,可以通过网络审计、日志分析等手段来检测是否遭受攻击。
网络审计可以监控网络流量、系统日志,及时发现异常行为。
通过日志分析,可以追踪攻击者的行为轨迹,找出被攻击目标和攻击方法。
此外,还可以通过安全设备进行流量分析,检测是否有异常访问或攻击行为发生。
在排查过程中,需要充分了解各种攻击手段及其特征,以便更好地确认网络攻击事件。
其次,网络攻击的处置预防措施至关重要。
一旦发现网络攻击行为,应立即停止受攻击服务,隔离受感染的系统,及时更新系统补丁,修复漏洞,防止攻击者再次入侵。
同时,建立网络安全事件响应团队,协同处理网络攻击事件,快速响应,有效控制事件蔓延。
定期对网络安全防护措施进行漏洞扫描和安全评估,保证网络安全系统的健康运行。
另外,关于网络攻击的预防措施,首先要加强网络安全意识培训,提高用户对网络安全的重视程度。
建立完善的网络安全管理制度,明确责任分工,加强对网络设备、系统、数据等安全防护措施。
采取有效的网络访问控制策略,限制内部员工和外部用户对网络资源的访问权限,提高网络系统的抗攻击能力。
另外,及时更新网络安全防御设备和安全软件,保持网络安全防护设备的最新状态,降低遭受攻击的风险。
总的来说,网络攻击排查与处置预防措施是保障网络安全的一个重要环节,必须时刻保持高度警惕,加强网络安全防护,及时应对各种网络攻击行为,确保网络信息安全。
只有通过不断的排查和处置措施,加强网络安全防护,才能有效预防各种网络攻击,确保网络系统的安全稳定运行。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
网络蠕虫的检测与抑制办法
[摘要]:网络病毒的传播方式使得它们的寄生空间不再局限于孤立的计算机,而是漫布于整个的网络,因此病毒的查杀、清除及其防治措施不得不考虑整体网络的层面。
[关键词]:蠕虫检测抑制
中图分类号:s941.52 文献标识码:s 文章编号:
1009-914x(2012)26-0303-01
随着计算机技术的不断发展,计算机病毒己从早期借助软盘、利用人机交互进行传播的文件型病毒、宏病毒发展到了现在借助网络、利用操作系统或软件的漏洞进行自我复制和自动传播的蠕虫、木马阶段。
近年来,网络病毒的泛滥也说明了网络整体防御的必要性。
如蠕虫和木马的防治问题,当某一蠕虫传播时,仅仅查杀网络中一个节点(一台计算机)中的蠕虫是毫无用处的,只要一个被感染节点清除不了,那么其他节点还会被感染。
木马的防治更是如此,仅仅清除被攻击端的木马也没有太大的用处,远程的控制端才是木马的根源。
所以网络病毒的防御有其特殊性,必须考虑网络整体。
各种层出不穷的蠕虫始终威胁着internet的安全,精心编写的蠕虫能够在几分钟内传遍internet,严重影响人们的正常生活。
目前,病毒检测和防御主要针对其内容特征进行匹配,而特征码的获得又主要依靠人工进行代码分析。
这种方法可以有效识别和阻止慢速传播的早期文件型病毒,但无法高效识别和阻止在数小时甚至数
分钟内就能在全球范围内传播的蠕虫。
因此,在未知蠕虫传播的早期进行检测预警,快速生成其特征,并支持后续的自动防御,就成为亟待解决的问题。
因为蠕虫不必寄生在某一个程序之上,所以与其说蠕虫感染了一个文件,不如说蠕虫感染了一个系统或一个网络。
所以检测蠕虫,更应该从网络的层面和蠕虫的特有传播特点来进行检测。
很多蠕虫传播是依靠选择性随机扫描方式,如code red蠕虫,大范围的随机扫描往往是蠕虫爆发时的征兆,因此收集这些扫描活动就能在一定程度上发现蠕虫。
外国研究人员通过统计对未用地址进行的扫描来分析是否有蠕虫活动。
他们提出了一个蠕虫预警系统模型,该模型主要包含两个部分:蠕虫预警中心和大量的监视器。
这些监视器分布在internet 的各个位置上,主要是收集本地蠕虫扫描的相关数据,然后将统计数据发送到预警中心。
预警中心则综合分析收集到的数据。
为了减少预警中心需要处理的数据量,在传送到预警中心之前,需要对这些原始数据进行预处理,因此系统增加了多个数据混合器。
监视器分为两种,即入口监视器和出口监视器。
其中,入口监视器在网络的入口处监视输入数据流,其目的就是检测是否有对内部网络未用ip的扫描活动;出口监视器设置在网络的出口处,用来监视网络输出数据流,以发现对外的扫描。
监视器在一定时间间隔内都会向预警中心发送自己收集到的信息,包括某段时间内已经发现的感染主机数,在某时间范围内收集到的扫描数据包个数及扫
描速率等。
预替中心收集这些数据后,进行计算。
如果这些扫描不是蠕虫引起的,那么感染率估计值会在附近波动或没有一个中心点,反之则会稳定在一个正数附近。
这种方法可以在蠕虫刚开始传播不久就进行预警。
该方法的一个主要缺点就是系统的监控范围必须很广,如监控的地址空间数为220,否则会导致很大的误差。
显然,要维护这么一个规模庞大的防范体系,代价也会很高。
另外,该方法只能检测局域网内某计算机感染蠕虫,并可以定位到这台计算机,但并不能直接去清除蠕虫,阻止蠕虫对网络的破坏,保障网络性能。
通过仔细分析现有各种蠕虫的特点可以发现,这些蠕虫具有一个明显的共性:蠕虫数据包的内容是相似的。
因此一些系统,如autograph和earlybird均利用此性质来检测蠕虫并自动提取特征。
其基本方法是;如果在一段时间内出现大量的重复数据包,则认为出现蠕虫,并将重复部分作为蠕虫特征。
目前autograph只针对基于tcp方式的蠕虫,其检测步骤如下:
步骤1,将输入的网络数据分为正常数据和可疑数据,并将可疑数据放入缓冲池中进行流重组,形成基于tcp的连接会话。
步骤2,对每一个连接会话的应用层数据,划分出若干长度不同的子串。
步骤3,统计所有子串在各个连接会话中出现的频率,选出频率较高的子串组成蠕虫的特征,并将这些特征串加入ids特征库中。
eaelybird使用的方法与autograph有所不同,主要表现在以下
几个方面。
(1) eaelybird对输入数据没有预先过滤。
它对每一个数据包均进行处理,处理对象不仅包括tcp流,而义还包括udp流。
(2)eaelybird对tcp数据没有进行流重组,而只是单独处理每一个数据包;其优点是节省了大量的时间,缺点是难以发现以分片方式进行传播的蠕虫。
(3)eaelybird采用固定长度的滑动窗口来划分序列(在原型系统中,窗口大小为39b)。
(4)检测时,eaelybird不仅考虑子串出现的频率,还考虑所发现重复包的>源地址,目的地址>数量,这可以有效地减少误报。
在网络中并入专门或兼职(基于dns服务的蠕虫传播模型)的检测设备,通过监控网络中的数据特点,看是否带有蠕虫爆发的特征,从而检测出网络中是否有蠕虫的存在,甚至定位到某台计算机上。
如果考虑在网络中的各台计算机上就对自身的数据进出进行检测,分析是否带有感染蠕虫的特征,从而判断自身是否已经被感染,进而找出可疑进程作为进一步的处理。
这就是基于终端安全的蠕虫抑制模型。
整个模型分为三个模块:蠕虫检测模块、中心控制模块和蠕虫定位模块。
1、蠕虫检测模块
监控终端发出的网络数据包,使用蠕虫识别算法对数据包进行处理,如果出现蠕虫特征,则立即切断网络,并通知中心控制模块;待查杀蠕虫病毒成功后,恢复网络正常工作。
为了防止蠕虫病毒绕
过驱动程序,通过别的非授权的途径进行传播,对终端上的网络连接状况进行监测,监测终端中的所有网络连接状况,每当出现新的网络连接时,将该网络连接的信息发送给认证服务器,等待认证服务器的认证结果。
收到认证结果后,首先验证数字签名的合法性,然后按照认证结果决定该网络连接是否可以正常工作。
2.中心控制模块
接收来自蠕虫监控模块和蠕虫定位模块的信息,记录可疑蠕虫进程与行为,向蠕虫监控模块和蠕虫定位模块发布命令,完成网络的切断与自动恢复及蠕虫查杀等工作。
3、蠕虫定位模块
接收到中心控制模块的指令后,定位可疑的进程,报告给中心控制系统。
该模型与现有的蠕虫检测抑制方法相比,具有以下的优点。
(1)基于终端进行检测,由于所有的监控与操作都在每个终端上完成,所以不会对网络带宽造成影响,可以在大型的网络环境中使用,对网络的性能不会有影响。
即使网络中的一台终端感染了蠕虫病毒,也会被及时切断网络连接,不会危害整个网络。
(2)控制蠕虫病毒的传播,这种方法将蠕虫病毒消灭在单个终端上,不会对网络中的其他终端造成影响。
(3)由于这种方法是基于蠕虫传播特征进行的蠕虫病毒检测、查杀,所以不仅可以查杀已知的蠕虫,对于新出现的蠕虫也可以进行查杀。
在网络病毒的宏观防治策略中,免疫策略和网络隔离策略是两个研究的热点。
虽然真正的免疫技术有待完善,但网络中可以模拟免疫机制来实现对网络病毒的整体防御。
网络隔离技术早己出现,但最初网络隔离技术不是用来隔离网络病毒的,而是用来隔离非法访问的。
我们将网络隔离策略引入到网络病毒的防御中,提出了一整套网络病毒隔离的相关课题:感染区的确定、隔离路径的确定、隔离墙的确定等。
参考文献:
[1] 尹俊艳.蠕虫病毒传播机理研究及其实现[j]. 湖南科技学院学报. 2005(11)
[2] 田雪峰,钟求喜,苏金树.蠕虫早期检测系统研究[j]. 信息安全与通信保密. 2005(07)
[3] 李志东,云晓春,杨武,辛毅.基于公共特征集合的网络蠕虫特征码自动提取[j]. 计算机应用. 2005(07)
[4] 张立秋,常会友,刘翔.基于网络的入侵防御系统[j]. 计算机工程与设计. 2005(04)。