南京鐵道職業技術學院 宣 慧
南京工程學院 陳 行
近年來,隨著計算機網絡的高速發展,計算機病毒爆發的次數和范圍也逐年快速上升。計算機病毒的大量傳播會造成重大的經濟損失,影響人民群眾的正常生活和社會穩定。防病毒技術已經成為網絡與信息安全中的一個重要部分。
傳統殺毒軟件一般是部署在網絡內部的主機上,是單機防毒產品。它是在病毒侵入網絡內部后的被動防御措施。然而只要網絡中部分節點已經被病毒感染,就可以將網絡資源迅速消耗殆盡,最終導致關鍵服務器的拒絕服務。所以,僅僅運用殺毒軟件保護單機無法保證網咯服務的正常運行。相對于在各個網絡節點上安裝防病毒產品的傳統方案,在病毒進入內部網絡前就阻斷它們才是保護內部網絡不受病毒侵犯的更有效的辦法。[1]
防毒墻部署在網關上,對網絡中正在傳輸的病毒進行檢測和過濾,阻止病毒從外網侵入內網。病毒被防毒墻阻擋在內網之外,從而降低了內網節點遭受病毒感染的概率,降低網絡資源的耗費,減輕服務器的負擔,提高了網絡的可用性。
病毒檢測的方法有特征匹配法、校驗和法、行為監測法、虛擬機技術和啟發式殺毒等。這里的特征匹配是指查找病毒特征字段在文本中位置的操作。這里的特征是指定義病毒特征的模式串,文本是指穿越網關的網絡報文數據。[2]校驗和法是指,當系統中的文件被病毒感染后,文件會發生變化。針對這種情況,殺毒軟件事先對系統中的關鍵核心文件作記錄,計算并記錄下這些文件內容的校驗和。一旦發現當前文件的檢驗和原校驗和不一致,就可以認定該文件已經被病毒感染。行為檢測法關注于記錄和監測病毒特有的行為特征。一旦發現病毒的行為特征出現,立即報警。一些會對自身進行加密,還有些病毒在每次感染后都會變自身的代碼,所以很難找出恒定不變的病毒特征字段。虛擬機技術和啟發式殺毒技術的思路是,當發現疑似病毒的程序后,啟動軟件模擬模塊,讓疑似病毒程序在虛擬模塊中運行。經過諸如脫殼和反編譯等虛擬分析后,讓疑似病毒程序在虛擬模塊中暴露真實代碼和行為,再用其他檢測方法識別其病毒類型。虛擬機技術對系統資源要求較高。
網絡可能遭到的攻擊行為一般有:病毒傳播、竊聽、報文篡改、電子欺騙、非授權訪問等等。網絡應用服務本身也可能存在安全漏洞,在缺乏完善安全防護的情況下,受到攻擊后造成服務拒絕或失效。用戶在瀏覽網頁、接收郵件等過程中,病毒、蠕蟲、木馬等惡意攻擊可能會隨著網絡應用數據傳入內網并破壞操作系統。[2]
防毒墻中的殺毒模塊針對經過網關的網絡報文中的計算機病毒、蠕蟲和木馬等進行分析和查殺。防毒墻中的狀態檢測模塊利用網絡協議中的校驗字段和序號字段等可以發現數據傳輸中的非授權修改,阻止非法用戶在插入TCP連接會話過程。殺毒模塊和狀態檢測模塊可以有效攔截網絡報文中的惡意代碼。而防毒墻中的防火墻模塊可以阻止不同網絡之間的非法連接,特別會在在邊界過濾出惡意的源IP地址和ICMP報文,限制echo流量等。為防止地址欺騙,防毒墻通過記錄全局IP地址的應用信息,可以對外部IP地址的假冒行為和釣魚網站進行識別和攔截。防毒墻還建立一個入侵檢測和響應模塊來監控網絡狀態。一旦上述安全防護措施失效,網絡遭到入侵,入侵檢測模塊也能根據網絡狀態的變化采取響應行動,阻止攻擊蔓延,恢復網絡狀態。
病毒掃描引擎主要包括如下個3個模塊:數據解析模塊、病毒掃描模塊和特征碼裝載模塊。[2]
數據解析模塊接收端口傳來的數據包,解析其中的數據格式,得到數據結果。數據解析步驟一般包括文件類型檢測、解壓縮、脫殼,腳本分析,宏預處理等。病毒掃描模塊用病毒特征碼掃描經過解析的數據。根據病毒特征碼和數據的匹配情況,判斷數據中是否包含病毒。特征碼裝載模塊則主要負責裝載和維護存儲毒特征碼的病毒庫。
病毒特征碼是指病毒體數據中特定位置上的一系列特征字節,病毒掃描模塊通過檢測這些特征字節及位置信息來檢驗某個文件是否病毒。病毒特征碼提取的準確性和及時性直接決定了反病毒引擎的防毒效率。病毒特征碼的格式一般有:MD5格式、字符串格式、二段校驗和格式。[3]
校園網防毒墻部署在校園網網關上,它能提高網絡系統的防毒效率,減小網絡遭到病毒入侵的風險。網關防毒系統一經部署便與局域網內部的結構變化基本無關,能夠一直起到對外部病毒的防范與過濾的作用,從而簡化安全管理,增強整體網絡安全性。防毒墻放置在校園網核心交換機的旁路,校園網關防毒墻部署流程:設置校園網連接廣域網的接入模式、配置防毒網關地址、部署DNS服務器、配置防火墻規則、配置訪問控制規則、配置殺毒模塊。
圖1 校園網防毒墻部署圖
防毒墻可以依據需要,針對不同協議和應用的內容進行檢查、清除病毒,同時具有防火墻體功能,不但解決了傳統防火墻性能低下的問題,而且從根本上解決了網絡安全防護的問題,并能夠從不同角度上滿足各層次對網絡安全的需要。[3]