计算机病毒的正确防御与探讨.docx
《计算机病毒的正确防御与探讨.docx》由会员分享,可在线阅读,更多相关《计算机病毒的正确防御与探讨.docx(16页珍藏版)》请在冰豆网上搜索。
计算机病毒的正确防御与探讨
XXXX大学
年毕业设计(论文)
计算机病毒的正确防御与探讨
学院:
专业:
班级:
学号:
学生姓名:
指导教师:
年月日
摘要:
随着全球因特网继续快速发展和因特网用户的快速增多,网络安全问题这一问题逐渐变的重要和引人注目。
自2001年我国信息产业开始蓬勃发展,因特网用户继续快速增长。
因特网的开放性决定网络系统的脆弱性加上国内网络的发展客观环境的特殊性,安全问题尤其是企业网络的安全问题变的十分突出。
目前,病毒已成为困扰计算机系统安全和网络发展的重要问题。
但是,对于大多数计算机的一般用户来说,病毒似乎是个深不可测难以琢磨的东西。
但其实,计算机病毒是可以预防的。
计算机水平随着现代科技的发展在迅速的发展,对于计算机病毒的预防也不断的受到计算机用户的重视。
作为一个计算机的使用者,应该了解计算机病毒的基本原理、入侵以及防范维护,以确保计算机能够在一个安全的环境下工作。
本论文就浅谈计算机病毒的原理和防范。
关键词:
网络安全,计算机病毒,入侵检测
Abstract:
WiththerapidincreasingoftheInternetcontinuestodeveloprapidlyandInternetusers,thenetworksecurityproblemthisproblemhasgraduallybecomeanimportantandattractsb.'sattention.Since2001,China'sinformationindustrybegantoflourish,Internetuserscontinuestogrowrapidly.SpecialopenInternetdeterminesvulnerabilityinnetworksystemwiththedomesticnetworkdevelopmenttheobjectiveenvironment,safetyproblemsespeciallytheproblemofnetworksecuritybecomesveryprominent.
目前,病毒已成为困扰计算机系统安全和网络发展的重要问题。
但是,对于大多数计算机的一般用户来说,病毒似乎是个深不可测难以琢磨的东西。
但其实,计算机病毒是可以预防的。
计算机水平随着现代科技的发展在迅速的发展,对于计算机病毒的预防也不断的受到计算机用户的重视。
作为一个计算机的使用者,应该了解计算机病毒的基本原理、入侵以及防范维护,以确保计算机能够在一个安全的环境下工作。
本论文就浅谈计算机病毒的原理和防范。
Atpresent,thevirushasbecomeanimportantproblemofcomputersystemsecurityandnetworkdevelopmentofdistress.However,forthegeneraluserofmostcomputershavenobottom,thevirusseemstobeanelusivething.Butinfact,acomputerviruscanbeprevented.Computerlevelwiththedevelopmentofmodernscienceandtechnologyrapiddevelopment,forthepreventionofcomputervirushasbeensubjecttotheattentionofcomputerusers.Asauserofthecomputer,shouldunderstandthebasicprinciple,theinvasionofcomputervirusandpreventivemaintenance,toensurethatthecomputercanworkinasafeenvironment.Thisthesisisontheprincipleofcomputervirusandprevention.
Keywords:
Networksecurity,computervirus,intrusiondetection
前言
今天,迅速发展的Internet正在对全世界的信息产业带来巨大的变革和深远的影响。
市场的全球化竞争已成为趋势。
21世纪的中国正在向市场多元化、全球化的方向发展。
对于企业来说,在调整发展战略时,必须考虑到市场的全球竞争战略,而这一切也将以信息化平台为基础,借助计算机网络原理及网络规划技术,以网络通畅为保证。
国内越来越多的企业也已经或正在考虑使用Internet/Intranet技术,以建设企业规划化的信息处理系统。
因为现代企业的信息大多都来自于互连网,通过网络,企业可以更快速的接收到来自全球的市场信息;通过Internet与外部世界交换信息,企业规划者可以更快地对企业作出正确的宏观调控与决策,以适应市场趋势。
企业与全世界联系起来,极大地提高了信息收集的能力和效率。
本论文简单的讲述了计算机病毒的基本含义,让大家对计算机病毒做初步的了解,所谓知己知彼方能百战百胜,我们要学会去了解计算机病毒的原理还有目的,这样对于我们来说计算机病毒就没有那么深奥,难以琢磨了。
我们把病毒的特性,生病周期,传播途径,主要危害和它的分类要弄清楚,这样我们才能对症下药,做好必要的防范措施。
我们要有计算机病毒防范的意识,知道计算机病毒防范的基本原理和方法,对计算机进行有效的保护。
如果计算机感染的病毒,还要学会如何清除病毒。
这些都是必必须清楚的。
虽然计算机病毒也在随着科技的发展计算机水平的进步也在不断的进步,但是我们只要把它的基本原理弄清楚了,在不断加以对计算机病毒的认识,我们是不必要为之而感到恐慌的。
1计算机病毒概述
1.1计算机病毒的定义
计算机病毒(ComputerVirus)是编制者在计算机程序中插入的破坏计算机功能或者数据的代码,能影响计算机使用,能自我复制的一组计算机指令或者程序代码。
计算机病毒具有传播性、隐蔽性、感染性、潜伏性、可激发性、表现性或破坏性。
计算机病毒的生命周期:
开发期→传染期→潜伏期→发作期→发现期→消化期→消亡期。
计算机病毒与医学上的“病毒”不同,计算机病毒不是天然存在的,是人利用计算机软件和硬件所固有的脆弱性编制的一组指令集或程序代码。
它能潜伏在计算机的存储介质(或程序)里,条件满足时即被激活,通过修改其他程序的方法将自己的精确拷贝或者可能演化的形式放入其他程序中。
从而感染其他程序,对计算机资源进行破坏,所谓的病毒就是人为造成的,对其他用户的危害性很大。
1.2计算机病毒发展历程
第一份关于计算机病毒理论的学术工作("病毒"一词当时并未使用)于1949年由约翰·冯·诺伊曼完成。
以"TheoryandOrganizationofComplicatedAutomata"为题的一场在伊利诺伊大学的演讲,后改以"Theoryofself-reproducingautomata"为题出版。
冯·诺伊曼在他的论文中描述一个计算机程序如何复制其自身。
1980年,JürgenKraus于多特蒙德大学撰写他的学位论文"Self-reproductionofprograms"。
论文中假设计算机程序可以表现出如同病毒般的行为。
“病毒”一词最早用来表达此意是在弗雷德·科恩(FredCohen)1984年的论文《电脑病毒实验》。
1983年11月,在一次国际计算机安全学术会议上,美国学者科恩第一次明确提出计算机病毒的概念,并进行了演示。
1986年年初,巴基斯坦兄弟编写了“大脑(Brain)”病毒,又被称为“巴基斯坦”病毒。
1987年,第一个电脑病毒C-BRAIN诞生。
由巴基斯坦兄弟:
巴斯特(Basit)和阿姆捷特(Amjad)编写。
计算机病毒主要是引导型病毒,具有代表性的是“小球”和“石头”病毒。
1988年在财政部的计算机上发现的,中国最早的计算机病毒。
1989年,引导型病毒发展为可以感染硬盘,典型的代表有“石头2”。
1990年,发展为复合型病毒,可感染COM和EXE文件。
1992年,利用DOS加载文件的优先顺序进行工作,具有代表性的是“金蝉”病毒。
1995年,当生成器的生成结果为病毒时,就产生了这种复杂的“病毒生成器”,幽灵病毒流行中国。
典型病毒代表是“病毒制造机”“VCL”。
1998年台湾大同工学院学生刘盈豪编制了CIH病毒。
2000年最具破坏力的10种病毒分别是:
Kakworm,爱虫,Apology-B,Marker, Pretty ,Stages-A,Navidad,Ska-Happy99,WM97/Thus,XM97/Jin。
2003年,中国大陆地区发作最多的十个病毒,分别是:
红色结束符、爱情后门、FUNLOVE、QQ传送者、冲击波杀手、罗拉、求职信、尼姆达II、QQ木马、CIH。
2005年,1月到10月,金山反病毒监测中心共截获或监测到的病毒达到50179个,其中木马、蠕虫、黑客病毒占其中的91%,以盗取用户有价账号的木马病毒(如网银、QQ、网游)为主,病毒多达2000多种。
2007年1月,病毒累计感染了中国80%的用户,其中78%以上的病毒为木马、后门病毒。
熊猫烧香肆虐全球。
2010年,越南全国计算机数量已500万台,其中93%受过病毒感染,感染电脑病毒共损失59000万亿越南盾。
1.3计算机病毒运行机制
病毒依附存储介质软盘、 硬盘等构成传染源。
病毒传染的媒介由工作的环境来定。
病毒激活是将病毒放在内存,并设置触发条件,触发的条件是多样化的,可以是时钟,系统的日期,用户标识符,也可以是系统一次通信等。
条件成熟病毒就开始自我复制到传染对象中,进行各种破坏活动等。
病毒的传染是病毒性能的一个重要标志。
在传染环节中,病毒复制一个自身副本到传染对象中去。
1.4计算机病毒分类
破坏性
良性病毒、恶性病毒、极恶性病毒、灾难性病毒。
传染方式
引导区型病毒主要通过软盘在操作系统中传播,感染引导区,蔓延到硬盘,并能感染到硬盘中的"主引导记录"。
文件型病毒是文件感染者,也称为“寄生病毒”。
它运行在计算机存储器中,通常感染扩展名为COM、EXE、SYS等类型的文件。
混合型病毒具有引导区型病毒和文件型病毒两者的特点。
宏病毒是指用BASIC语言编写的病毒程序寄存在Office文档上的宏代码。
宏病毒影响对文档的各种操作。
连接方式
源码型病毒攻击高级语言编写的源程序,在源程序编译之前插入其中,并随源程序一起编译、连接成可执行文件。
源码型病毒较为少见,亦难以编写。
入侵型病毒可用自身代替正常程序中的部分模块或堆栈区。
因此这类病毒只攻击某些特定程序,针对性强。
一般情况下也难以被发现,清除起来也较困难。
操作系统型病毒可用其自身部分加入或替代操作系统的部分功能。
因其直接感染操作系统,这类病毒的危害性也较大。
外壳型病毒通常将自身附在正常程序的开头或结尾,相当于给正常程序加了个外壳。
大部份的文件型病毒都属于这一类。
1.5计算机病毒感染征兆
屏幕上出现不应有的特殊字符或图像、字符无规则变或脱落、静止、滚动、雪花、跳动、小球亮点、莫名其妙的信息提等。
图1操作系统蓝屏
发出尖叫、蜂鸣音或非正常奏乐等。
经常无故死机,随机地发生重新启动或无法正常启动、运行速度明显下降、内存空间变小、磁盘驱动器以及其他设备无缘无故地
变成无效设备等现象。
磁盘标号被自动改写、出现异常文件、出现固定的坏扇区、可用磁盘空间变小、文件无故变大、失踪或被改乱、可执行文件(exe)变得无法运行等。
打印异常、打印速度明显降低、不能打印、不能打印汉字与图形等或打印时出现乱码。
收到来历不明的电子邮件、自动链接到陌生的网站、自动发送电子邮件等。
1.6病毒传播途径
和生物界的病毒一样,计算机病毒也会根据其自身特点,选择合适的途径进行繁殖。
第一种途径:
通过不可移动的计算机硬件设备进行传播。
第二种途径:
通过移动存储设备来传播这些设备包括软盘、磁带等。
第三种途径:
通过计算机网络进行传播。
第四种途径:
通过点对点通信系统和无线通道传播。
2常见病毒入侵检测系统及的优点和不足
2.1常见入侵检测系统的特点
入侵检测系统触了检测器,还有很多系统特征。
这些特征对入侵检测系统的性能有着很大的影响。
(1)检测时间:
有些系统以实时或近乎实时的方式检测入侵活动,而另一些系统在处理审计数据时则存在一定的延时。
一般的实时系统可以对历史审计数据进行离线操作,系统就能够根据以前保存的数据重建过去发生的重要安全事件。
(2)数据处理:
有些系统采用了连续处理的方式,而另一些系统则在特定的时间间隔内对数据进行批处理操作,这就涉及到处理的问题。
(3)审计数据来源:
主要有两种来源:
网络数据和基于主机的安全日志文件。
后者包括操作系统的内核日志、应用程序日志、网络设备(如路由器和防火墙)日志等。
(4)入侵检测响应方式:
分为主动响应和被动响应。
主动响应系统可以分为:
对被攻击系统实施控制。
它通过调整被攻击系统的状态,阻止或减轻攻击影响,例如断开网络连接、增加安全日志、杀死可疑进程等;对攻击系统实施控制的系统。
这种系统多被军方所重视和采用。
(5)数据收集地点:
审计数据源可能来自某单一节点,也可能来自于网络中多个分布式节点。
(6)数据处理地点:
审计数据可以集中处理,也可以分布处理。
(7)安全性:
指系统本身的抗攻击能力。
(8)互操作性:
IDS与其他IDS或其他安全产品之间的互操作性是衡量其先进与否的一个重要标志。
IDS系统特征分类表
系统名称
检测时间
粒度
审计来源
响应类型
数据处理
数据收集
安全性
互操作性
IDES
实时
连续
主机
被动
集中式
分布式
低
低
NADIR
非实时
连续
主机
被动
集中式
分布式
低
低
DIDS
实时
连续
皆有
被动
分布式
分布式
低
低
Snort
实时
批处理
主机
被动
分布式
分布式
低
低
NIDES
实时
连续
主机
被动
集中式
集中式
低
较高
GrIDS
非实时
批处理
皆有
被动
分布式
分布式
低
低
EMERALD
实时
连续
皆有
主动
分布式
分布式
中等
高
aafid
实时
连续
网络
被动
集中式
集中式
较高
低
2.2主要入侵检测系统的比较
入侵检测系统,主要分为基于主机的(IDS),HIDS;基于网络的(IDS),NIDS;分布式的(IDS),DIDS。
它们的性能有着显著的区别。
2.2.1HIDS与NIDS的比较分析
HIDS全称是Host-basedIntrusionDetectionSystem,即基于主机型入侵检测系统。
作为计算机系统的监视器和分析器,它并不作用于外部接口,而是专注于系统内部,监视系统全部或部分的动态的行为以及整个计算机系统的状态。
HIDS运行依赖与这样一个原理:
一个成功的入侵者一般而言都会留下他们入侵的痕迹。
这样,计算机管理员就可以察觉到一些系统的修改,HIDS亦能检测并报告出检测结果。
HIDS只能检测单个主机系统,而NIDS可以对本网段的多个主机系统进行检测,多个分布于不同网段上NIDS可以协同工作以提供更强的入侵检测能力。
HIDS将探头(代理)安装在受保护系统中,它要求与操作系统内核和服务紧密捆绑在一起,监控各种系统事件,如对内核或API的调用,以此来防御攻击并对这些事件进行日志;还可以监测特定的系统文件和可执行文件调用,以及WindowsNT下的安全记录和Unix环境下的系统记录。
对于特别设定的关键文件和文件夹也可以进行适时轮询的监控。
HIDS能对检测的入侵行为、事件给予积极的反应,比如断开连接、封掉用户账号、杀死进程、提交警报等等。
如果某用户在系统中植入了一个未知的木马病毒,可能所有的杀病毒软件、IDS等等的病毒库、攻击库中都没有记载,但只要这个木马程序开始工作,如提升用户权限、非法修改系统文件、调用被监控文件和文件夹等,就会立即被HIDS的发现,并采取杀死进程、封掉账号,甚至断开网络连接。
现在的某些HIDS甚至吸取了部分网管、访问控制等方面的技术,能够很好地与系统,甚至系统上的应用紧密结合。
HIDS技术要求非常高,要求开发HIDS的企业对相关的操作系统非常了解,而且安装在主机上的探头(代理)必须非常可靠,系统占用小,自身安全性要好,否则将会对系统产生负面影响。
HIDS关注的是到达主机的各种安全威胁,并不关注网络的安全。
HIDS不受加密传输的影响,能够了解被监视主机应用层的活动细节,有效检测发生在应用层的入侵活动,并且了解某一入侵行为是否最终成功。
它在作为用户进程运行时,依赖于操作系统底层的支持。
同时,入侵者可以篡改这些进程的输出、关闭进程,推迟日志机制,甚至更换系统核心而逃避检测。
此外,HIDS无法了解发生在下层协议的入侵活动;它存在于被监视的主机中,占用主机资源、CPU、存储空间等,管理不便,实时性较差。
基于网络的IDS(NetworkIntrusionDetectionSystems,NIDS)最大的特点在于不需要改变服务器等主机的配置。
NIDS是以网络包作为分析数据源。
它通常利用一个工作在混杂模式下的网卡来实时监视并分析通过网络的数据流,其分析模块通常使用模式匹配、统计分析等技术来识别攻击行为。
一旦检测到了攻击行为,IDS的响应模块就作出适当的响应,比如报警、切断相关用户的网络连接等。
与SCANER收集网络中的漏洞不同,NIDS收集的是网络中的动态流量信息。
因此,攻击特征库数目多少以及数据处理能力,就决定了NIDS识别入侵行为的能力。
大部分NIDS的处理能力还是100兆级的,部分NIDS已经达到1000兆级。
NIDS设在防火墙后一个流动岗哨,能够适时发觉在网络中的攻击行为,并采取相应的响应措施。
由于它不需在业务系统的主机中安装额外的软件,不会影响这些机器的CPU、I/O与磁盘等资源的使用,也不会影响业务系统的性能。
另外,NIDS不是系统中的关键路径,即使发生故障也不会影响正常业务的运行。
基于策略的预防性反应。
NIDS超越了被动的事件识别和告警功能,为网络提供积极的防护。
ManHunt通过被称为异常协议检测的技术来分析网络流,以此来识别新型和未知攻击。
异常协议检测在检测大多数类型的攻击时不要求事先特征,甚至在发布特征前也允许ManHunt检测和识别zero-day攻击。
NIDS的优点很多,它能实时得到目标系统与外界交互的所有信息,包括一些很隐蔽的端口扫描和没有成功的入侵尝试,响应迅速,占用资源少,与具体的操作系统无关。
缺点是只能检测同一网段内的数据包,不能跟踪各个子网上的数据活动;难以检测发现在应用层的攻击。
2.2.2基于Agent系统的IDS
基于Agent系统的IDS是DIDS的一种实现技术,它具有自治性(指的是agent可以在没有用户干预或者很少用户干预的情况下,可以执行一定的任务.)、可适应性(指agent可以根据环境的变化,做出相应的响应)和移动性(指agent可以在计算机网络中漫游的能力.在移动过程中agent可以保持自己的内部状态不变,到另外一个地点执行命令,也可以携带数据返回.具有这种性质的agent称为移动mobile agent)等智能化的特点。
采用Agent,可以克服传统的使用静态结构的IDS的许多固有限制。
Agent能够到远程节点直接执行操作,实时对环境的改变做出响应;由于在网络中传输的是对数据的处理程序,减少了网络负载;Agent能够独立于其创建平台而存在和运行,能够自我复制或者寻求其它Agent的支持。
IDS的主要性能比较
集中性
MIDAS,IDES,NADIR,NIDES,Bro
层次性
GrtDS,EMERALD,DIDS
协作性
CSM,AAFID
3病毒防范及查杀解决方案
3.1相应防御措施
众所周知,安全才是网络的生存之本。
没有安全保障的信息资产,就无法实现自身的价值。
作为信息的载体,网络亦然。
网络安全的危害性显而易见,而造成网络安全问题的原因各不相同,因此采取安全防御措施很有必要。
物理隔离,不接入公用网络或采用专用、封闭式的网络体系能够将外部攻击者拒之网外,从而极大地降低了外部攻击发生的可能性。
对于一些关键部门或重要的应用场合,物理隔离是一种行之有效的防御手段;信号控制接入,直扩、跳频或扩跳结合等信号传输方面的安全措施都是相当有效的网络接入控制手段。
访问控制,访问控制的目的是保证网络资源不被未授权地访问和使用。
资源访问控制通常采用网络资源矩阵来定义用户对资源的访问权限;对于信息资源,还可以直接利用各种系统(如数据库管理系统)内在的访问控制能力,为不同的用户定义不同的访问权限,有利于信息的有序控制。
同样,设备的使用也属于访问控制的范畴,网络中心,尤其是主机房应当加强管理,严禁外人进入。
对于跨网的访问控制,签证(Visas)和防火墙是企业CIMS网络建设中可选择的较好技术。
身份认证,身份认证也称身份鉴别,其目的是鉴别通信伙伴的身份,或者在对方声称自己的身份之后,能够进行验证。
身份认证通常需要加密技术、密钥管理技术、数字签名技术,以及可信机构(鉴别服务站)的支持。
可以支持身份认证的协议很多,如Needham-schroedar鉴别协议、X.509鉴别协议、Kerberos鉴别协议等。
实施身份认证的基本思路是直接采用不对称加密体制,由称为鉴别服务站的可信机构负责用户的密钥分配和管理,通信伙伴通过声明各自拥有的秘密密钥来证明自己的身份。
防火墙是网络间互联互通的一道安全屏障,它根据用户制定的安全策略对网络间的相互访问进行限制,从而达到保护网络的目的。
同时,基于代理技术的应用网关防火墙还能够屏蔽网络内部的配置信息,从而抑制部分网络扫描活动。
充当TCP连接中介的防火墙对SYNflood攻击也有一定的防御作用;
防火墙虽然可以将非预期的访问请求屏蔽在外,但不能检查出经过他的合法流量中是否包含着恶意的入侵代码。
在这种需求背景下,入侵检测系统(IDS)应运而生。
入侵检测技术是一种主动保护自己免受攻击的一种网络安全技术。
入侵检测技术帮助系统对付网络攻击,拓展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高了信息安全基础结构的完整性。
3.2病毒入侵检测解决方案
通过网络整体进行系统分析,考虑到网上运行的业务需求,本入侵检测解决方案本方案对原有网络系统进行全面的安全加强,主要实现以下目的:
(1)保障现有关键应用的长期可靠运行,避免病毒和黑客攻击;
(2)防止内外部人员的非法访问,特别是对内部员工的访问控制;
(3)确保网络平台上数据交换的安全性,杜绝内外部黑客的攻击;
(4)方便内部授权员工(如:
公司领导,出差员工等)从互联网上远程方便地、安全地访问内部网络,实现信息的最大可用性;
(5)对网络的异常行为进行监控,并作出回应,建立动态防护体系。
3.2.1NIDS入侵检测系统解决方案
主动防御体系由漏洞扫描
升级会员 