校園網絡環境下網絡蠕蟲病毒的預警技術分析

◆李 可

校園網絡環境下網絡蠕蟲病毒的預警技術分析

◆李 可

（貴州大學 貴州 550025）

隨著我國社會經濟的發展進步，不斷有新的信息化應用出現，人們在信息安全方面的重視度越來越高，很大程度上增加了信息安全形式的嚴峻性，其主要表現為信息安全事件出現的頻率和規模日益擴大，以及信息安全事件造成的后果和危害越來越大。本文對計算機蠕蟲病毒的行為特征以及特點危害進行了簡單的介紹，針對計算機蠕蟲病毒校園網絡預警系統展開了深入的研究分析，并結合本次研究，發表了一些自己的建議看法，希望可以對計算機蠕蟲病毒校園網絡預警系統的設計與實現起到一定的參考和幫助，提高計算機蠕蟲病毒校園網絡預警的有效性。

校園網絡環境；網絡蠕蟲病毒；預警技術

0 前言

當前信息安全問題呈多樣化趨勢發展，不斷有新的信息安全問題出現，必須要提高信息安全手段才能夠更好的解決這些實際性問題。在當前的信息安全事件中，網絡蠕蟲病毒占有非常大的比例，在未來很長一段時間，網絡蠕蟲病毒仍是威脅我國信息安全的主要形式。傳統的以特征碼為主要手段反病毒技術已經很難滿足現階段信息安全的實際需求，在這種情況下，必須要采取新的病毒檢測預警技術，實現對網絡蠕蟲病毒的有效檢測和識別，本文就此進行了研究分析。

1 計算機蠕蟲病毒

1.1計算機蠕蟲病毒的行為特征

計算機蠕蟲主要是指通過網絡傳播的一種病毒形式，具有破壞性、隱蔽性以及傳播性等特點，蠕蟲病毒還具有不需要宿主程序文件寄生等特異性，非常容易出現拒絕服務的情況。在蠕蟲病毒的破壞方面，與普通病毒相比，蠕蟲病毒可以隨著網絡的發展在很短的時間內蔓延至整個網絡，導致網絡出現癱瘓。當前蠕蟲病毒從使用者情況角度出發可以為分為兩個類型，一種主要是針對企業以及局域網，通過系統漏洞，主動攻擊網絡，導致整個網絡出現故障和癱瘓，比如說“sq1蠕蟲王”，另一種主要是針對個人用戶，主要通過電子郵件等形式傳播，比如說愛蟲病毒等。

1.2計算機蠕蟲病毒的特點和危害

最早的計算機蠕蟲病毒主要以消耗計算機系統資源為主，降低系統性能，造成網絡阻塞，新的計算機蠕蟲病毒和危害主要表現在以下幾個方面：

第一，蠕蟲病毒會導致骨干網絡出現大規模的阻塞，情況嚴重時甚至會出現癱瘓，中斷網絡服務。蠕蟲病毒在感染計算機之后，會尋找下一個感染目標，需要發送大量數據包，網絡設備很難有效處理，最終出現癱瘓。第二，信息安全受到嚴重威脅，部分蠕蟲病毒在感染主機之后，會安裝后門程序，用戶主機信息會暴露在互聯網，嚴重威脅用戶信息安全。第三，降低計算機系統性能，計算機在感染蠕蟲病毒之后，需要運行大量進程實現對其他目標主機的掃描，最終降低計算機系統性能，計算機系統出現癱瘓。

2 計算機蠕蟲病毒校園網絡預警系統

當前隨著教育信息化的飛速發展，數字化校園教學模式有著非常廣泛的應用，高等院校的各項計算機應用系統相繼完成建立。但是隨著校園網絡用戶越來越多，不斷有多媒體教學等寬帶應用出現，很大程度上增加了校園內網和外網的安全風險。計算機蠕蟲病毒在爆發時會出現非常嚴重的網絡擁堵，最終導致網絡出現癱瘓，對校園網絡信息安全有著非常大的威脅和影響。

2.1計算機蠕蟲病毒預警技術實現原理

在蠕蟲程序的工作流程方面，主要有三個部分，分別為搜索、攻擊和復制。蠕蟲病毒在傳播方面以掃描為主，這種傳播形式也是導致蠕蟲病毒網絡擁堵的主要影響因素。

計算機蠕蟲病毒在尋找攻擊目標時會掃描大量IP，掃描頻率高，在掃描過程中，往往會針對隨機IP或者一個地址段IP進行掃描，這種形式的掃描存在有非常大的盲目性，成功率十分低。在掃描過程中，會持續高頻率搜索，能夠呈現出清晰地一對多通信模式，其源地址數量也會越來越多，這種現象與正常通訊存在有非常大的差異性，可以將其作為檢測依據，針對網絡中的ICMP等展開監測檢測蠕蟲。

在實際的監測過程中，通過數據結構描述主機發起的通信，當主機在短時間內出現大量連接請求時，目標端口相同，數據包的內容和大小相似性比較高，判斷為蠕蟲病毒。以分布式體系結構作為基礎，針對校園網絡的子網展開監控，統計分析各個監測點數據信息，當發現有蠕蟲病毒時，系統自動警報。

2.2計算機蠕蟲病毒預警系統的實現

（1）蠕蟲病毒預警系統

蠕蟲病毒預警系統主要包含有數據采集、統計分析、應急響應三個方面，在數據采集方面，主要是借助傳感器針對路由器鏡像端口進行監測，獲取網絡報文，并將其上傳至收集器；在收集器方面，主要是針對采集到的數據信息進行整理和緩存；在分析器方面，按照預設的流行和方式針對數據進行分析處理，當發現某一主機存在有掃描情況時，自動發出警報；關聯器主要是負責針對掃描警報進行整合，一旦某主機掃描行為超過閥值，自動警報。

（2）系統模塊

整個系統包含有五個模塊，第一，流量采集模塊，流量采集模塊布置在校園網絡關鍵點，主要針對網絡流量信息展開收集和整理，找到可以反映出當前網絡狀態的特征，并對特征進行統計分析；第二，預警分析模塊，與流量采集模塊所采集到的信息展開綜合分析，評價校園網絡安全總體，及時發現存在的異常情況，進行警報；第三，應急響應模塊，根據預警分析模塊的分析結果，及時響應存在問題的子網，采取切斷IP通信或者封堵端口通信等措施進行控制處理；第四，系統管理模塊，實時顯示系統的統計信息，方便管理人員的操作管理；第五，系統分析報告模塊，主要針對系統展開安全分析，以報告形式表現出來。

2.3 系統優化

想要實現針對網絡蠕蟲病毒的實時監測，提高檢測有效性，首先，必須要提高網絡蠕蟲預警技術實時性，隨著當前網絡傳播的速度不斷提高，在網絡采樣技術以及網絡數據捕獲技術方面都需要有進一步的優化提高，實現針對網絡流量的實時采集以及分析；其次，提高網絡蠕蟲病毒預警技術精度，隨著預警技術的不斷出現并應用，當前計算機蠕蟲病毒傳播隱蔽性越來越高，但是在實際應用過程中，網絡數據捕獲以及綜合分析方面還存在有一定的不足，必須要提高網絡異?，F場預警的準確性和有效性；最后，展開網絡內部檢測，當前網絡蠕蟲檢測和控制主要集中在城域網邊界部位，在蠕蟲病毒的網內攻擊方面還需要進一步的優化完善，保證系統內部的控制水平以及預警效果能夠更好的滿足蠕蟲病病毒預警需求。

3 結束語

隨著網絡傳輸速度的不斷提高，網絡應用的使用率以及普及率有了非常明顯的提高，很大程度上提高了計算機蠕蟲病毒在網絡傳播方面的速度。當前計算機蠕蟲病毒在網絡傳播的速度以及方式方面有著迅速性和隱蔽性特點，在實際的檢測過程中，會有漏報和誤報情況出現，導致計算機蠕蟲病毒傳播過程中在檢測方法方面存在有一定的滯后性，通過針對正常網絡流量與異常網絡流量的對比分析，能夠顯著提高計算機蠕蟲病毒的檢測率，保證網絡預警技術有效鑒別，實現對網絡數據采樣技術以及捕獲技術的改善。

[1]胡燕，曾小玲，白書琴等.網絡蠕蟲病毒的檢測與防范策略[J].科技展望，2015.

[2]陳興躍.勒索蠕蟲病毒事件反思:網絡安全能力急需協同[J].中國信息化，2017.

[3]張楠，蘇艷春.淺析如何利用網絡回溯分析技術檢測蠕蟲病毒[J].電子世界，2016.