蠕虫病毒的特征编程频道|福州电脑网

2024年1月18日发(作者：)

蠕虫病毒的特征

GF蠕虫病装订毒线——————————————————————————

————————————————————————————————

报告份数：西安邮电大学通信与信息工程学院网络攻防实验报告

专业班级：学生姓名：学号(班内序号): 2014

年 6 月 4 日实验蠕虫病毒 1.场景描述在虚拟机中进行蠕虫病毒的测试，包括其作用机制及相关杀毒工具的使用。

实验样本：暴风一号.vbs备注：实验工具（D盘-->攻防工具包-->蠕虫病毒：暴风一号.vbs、病毒专杀工具—BoyFineKiller、硬盘恢复工具—）2.实验目的1).学会简单分析病毒代码，从病毒代码中看懂病毒是通过何种方法对系统的篡改和破坏。

2).了解病毒是如何隐藏的，学会借助专门杀毒软件，查杀病毒。

3.需求分析蠕虫（WORM）病毒是通过分布式网络来扩散特定的信息或错误的，进而造成网络服务器遭到拒绝并发生死锁。

蠕虫病毒由两部分组成：一个主程序和另一个是引导程序。

主程序一旦在计算机中得到建立，就可以去收集与当前机器联网的其他机器的信息，它能通过读取公共配置文件并检测当前机器的联网状态信息，尝试利用系统的缺陷在远程机器上建立引导程序。

就是这个一般被称作是引导程序或类似于钓鱼的小程序，把蠕虫病毒带入了它所感染的每一台机器中。

蠕虫病毒程序能够常驻于一台或多台机器中，并有自动重新定位(autorelocation)的能力。

假如它能够检测到网络中的某台机器没有被占用，它就把自身的一个拷贝(一个程序段)发送到那台机器。

每个程序段都能把自身的拷贝重新定位于另一台机器上，并且能够识别出它自己所占用的哪台机器。

计算机网络系统的建立是为了使多台计算机能够共享数据资料和外部资源，然而也给计算机蠕虫病毒带来了更为有利的生存和传播的环境。

在网络环境下，蠕虫病毒可以按指数增长模式进行传染。

蠕虫病毒侵入计算机网络，可以导致计算机网络效率急剧下降、系统资源遭到严重破坏，短时间内造成网络系统的瘫痪。

因此网络环境下蠕虫病毒防治必将成为计算机防毒领域的研究重点。

4.技术分析以暴风一号病毒为例。

根据病毒的VBS脚本语言，病毒首先通过执行 strreverse() 函数，得到病毒的解密函数。

解密运行病毒之后，病毒会重新生成密钥，将病毒代码加密之后，再将其自复制。

所以病毒每运行一次之后，其文件内容和病毒运行之前完全不一样。

病毒会遍历各个磁盘，并向其根目录写入以及 .vbs

文件，当用户双击打开磁盘时，会触发病毒文件，使之运行。

病毒会将系统的复制到 C:如果是 FAT 格式，病毒会将自身复制到 C:WindowsSystem32 下，文件名为随机数字。

如果是 NTFS 格式，病毒将会通过 NTFS 文件流的方式，将其附加到如下文件中C: ，C:。

并且病毒会修改注册表，使进程异常，如果满足一定条件，则会触发锁定计算机等恶意行为。

5.实验步骤及结果1).实验环境：靶机——192.168.2.181 2).实验需求：暴风一号病毒样本暴风一号病毒专杀工具 3).实验过程：(1).查看中毒前的相关设置，在文件夹工具栏->文件夹选项设置不显示隐藏文件和文件夹。

(2).点击打开病毒文件，查看中毒后的电脑情况：(I).病毒自我变形，在压缩状态下打开病毒样本，打开后，提示文件已改变，是否保存到压缩文件中。

(II).病毒自我复制，病毒运行后，会将系统的复制到C:。

如果硬盘属性是FAT格式，病毒会将自身复制到C:WindowsSystem32下，文件名为随机数字。

如果硬盘属性是 NTFS 格式，病毒将会通过 NTFS 文件流的方式，

将其附加到如下文件C:中。

C: ， (III).修改注册表，文件夹工具栏->文件夹选项->显示隐藏文件和文件夹打钩，并取消勾选隐藏系统文件，但查看隐藏文件的选项失效。

(IV).在硬盘中创建所有文件的快捷方式，并隐藏部分真正的文件，对用户打开文件具有很大的诱惑性。

(3).病毒的清除：(I).利用暴风一号专杀病毒BoyFineKiller把病毒查杀。

(II).利用工具和来修复硬盘。

(III).除了利用专门的工具查杀和修复，还可以上网查找到该病毒的手动查杀方式。

6.问题答疑目前网络上危害大的蠕虫病毒有哪些？答：1）.熊猫烧香病毒2）.QQ群蠕虫病毒

—————————————————————————— 指导教师评语：

装订线————————————————————————————————

实验成绩: 指导(辅导)教师 : 蠕虫病毒的原理蠕虫病毒的原理如对大今家电的威胁脑最大就的网络蠕属虫毒病了！如今对大家的脑威电最胁大就属的网络蠕病虫毒了！络网虫蠕病毒的害之危简大令人吃直，从大惊名鼎鼎的爱虫到欢时乐光，到红再色代码，其坏破力越来强越因此我，们有必要解网了蠕络病虫毒。

蠕病虫与一般毒计的算病机毒不，它不同用将自采拷贝附身到加其他程中序方的来式制自复，己以所在病中毒也它是算个一另。

蠕类虫病毒的坏性很破强部，分虫蠕病毒仅可以不在因特网兴上作浪风，局域网也成了它们施身手展的舞台―蠕虫―毒病以可潜在基于客户伏机/务服机式的局模网域服务机的的上件内，当客软机访户服务机，问并有毒的对软件施实下载后病，毒就神不知鬼、觉不地服从机上务贝拷到户客上机了。

其实脚本病毒很是容制易造的它，们利用了视都窗系统的放性开特点。

的别是特CM到COO+M组的编程件思路一，个脚程序能调用功能更本大组的来完成件己的功自能。

V以B脚本病（如毒乐欢时、 I光Lo v You 、库e尼科娃病毒、尔Hoepmae病毒等）为例g，们他是把.都bv脚s本文件添在附件中，最使后用*.等欺骗性文件名的。

下我们面细了解一下详虫蠕病的几毒特性，从大中找对到蠕付虫毒的方法病。

一蠕、虫毒病有具自我复制能力我们普以的通V脚B本例来为看看：eS obtjsF=rCateebjOetc（ SteOmbejtc ）建创个一文系统对件象exttileF（"C v:rusitx."t,1）通过文系件对象统的方创法了建一TXT文件。

个如我果把们这两话句保成为存.bs的VBv脚本文件，击就点在C

会中创盘一个T建X文件了。

T倘我们把第二若改句为：e

（tFulNlame）.opC （"y:"）s就可以将身自制到复盘Cvrisuv.s这个b文。

本句件前是打开这个脚本文件，面ullaNm指e是明个程序本这身是一，个完的整路文件名。

径GeFtil函数获得e这文个件Co，y函p将数个这文复件到制C盘根目录v下这文个件这。

简么单两句就的现实了自复制的我能，功已具备经毒的病基特征―本自―复制能我力。

二蠕虫病毒具有很强的、传性播毒需要病传，播电邮件子毒病的播传疑无通过是子电邮传件的播。

对Ou于toLok说地址来簿功的能相当错，可是也不病给毒传播的打开了方便之门几。

乎所通过OutLoo有k播的传子邮电件病都毒向是地簿中址存储的电子邮件址发送内地相同的脚本附同完件成的。

看如看下的码代：蠕虫病毒与普通病毒的区别蠕虫病毒和一般的病毒有着很大的区别。

对于蠕虫，现在还没有一个成套的理论体系。

一般认为：蠕虫是一种通过网络传播的恶性病毒，它具有病毒的一些共性，如传播性、隐蔽性、破坏性等等，同时具有自己的一些特

征，如不利用文件寄生（有的只存在于内存中），对网络造成拒绝服务，以及和黑客技术相结合，等等。

在产生的破坏性上，蠕虫病毒也不是普通病毒所能比拟的，网络的发展使得蠕虫可以在短短的时间内蔓延整个网络，造成网络瘫痪！根据使用者情况将蠕虫病毒分为两类：一种是面向企业用户和局域网而言，这种病毒利用系统漏洞，主动进行攻击，可以对整个互联网可造成瘫痪性的后果。

以红色代码、尼姆达以及最新的SQL蠕虫王为代表。

另外一种是针对个人用户的，通过网络（主要是电子邮件、恶意网页形式）迅速传播的蠕虫病毒，以爱虫病毒、求职信病毒为代表。

在这两类蠕虫中，第一类具有很大的主动攻击性，而且爆发也有一定的突然性，但相对来说，查杀这种病毒并不是很难。

第二种病毒的传播方式比较复杂和多样，少数利用了微软的应用程序的漏洞，更多的是利用社会工程学对用户进行欺骗和诱使，这样的病毒造成的损失是非常大的，同时也是很难根除的，比如求职信病毒，在2001年就已经被各大杀毒厂商发现，但直到2002年底依然排在病毒危害排行榜的首位就是证明。

蠕虫一般不采取利用pe格式插入文件的方法，而是复制自身在互联网环境下进行传播，病毒的传染能力主要是针对计算机内的文件系统而言，而蠕虫病毒的传染目标是互联网内的所有计算机。

局域网条件下的共享文件夹、电子邮件Email、网络中的恶意网页、

大量存在着漏洞的服务器等，都成为蠕虫传播的良好途径。

网络的发展也使得蠕虫病毒可以在几个小时内蔓延全球，而且蠕虫的主动攻击性和突然爆发性将使得人们手足无措。

木马就是在没有授权的条件下，偷偷运行的程序。

木马与病毒有两点本质的不同：1、木马不会自动传染，病毒一定会自动传染；2、木马是窃取资料的，病毒是破坏文件的简单的木马只能盗取帐号、密码，很多木马可以窃取对方计算机上的全部资料，以达到完全监视完全控制的目的。

蠕虫通常是网络操作系统进行传播，目的是攻击服务器或子网，形成DDos攻击（拒绝服务）。

蠕虫会开启多个线程大面积传播，在传播过程中占用宽带资源，从而达到攻击的目的，其实本身对计算机没有太大伤害。

由于蠕虫是通过网络或操作系统漏洞进行感染，所以安装防火墙筛选端口可以有效防止蠕虫的感染和攻击。

蠕虫病毒的检测和防御研究青岛科技大学蠕虫病毒的检测和防御研究题目

____________________________________________________________________ 指导教师__________________________学生姓名__________________________学生学号__________________________

___________________________ 班院（部）____________________________专业________________ ______年 ___

月 ___日蠕虫病毒的检测和防御研究摘要随着网络技术的发展，蠕虫病毒不断扩大对网络安全构成了严重的威胁，本文基于当前蠕虫攻击破坏的严峻形势，对蠕虫病毒的检测和防御技术进行了研究。

首先对蠕虫病毒相关知识作了介绍，包括蠕虫病毒的定义、工作流程以及行为特征，并简要分析了蠕虫病毒国内外研究现状；在此基础上接着研究了蠕虫病毒检测技术，提出了基于蠕虫特征码、蠕虫行为特征、蜜罐和蜜网技术以及贝叶斯蠕虫检测技术；最后对蠕虫病毒的防御技术进行了研究，从企业网络用户和个人用户的角度分析了面对当前蠕虫攻击所需要注意和采取的措施，以尽最大可能减少蠕虫的侵害，营造一个良好的网络环境。

关键词：蠕虫病毒；检测；防御；网络安全目录前言 ........................................................................................................... 11蠕虫病毒相关知识介绍 ........................................................................

21.1蠕虫病毒定义 .............................................................................. 21.2蠕虫病毒工作流程和行为特征 .................................................. 21.3蠕虫病毒国内外研究现状 .......................................................... 42蠕虫病毒检测技术研究 ........................................................................ 52.1基于蠕虫特征码的检测技术 ...................................................... 52.2基于蠕虫行为特征的检测技术 .................................................. 52.3基于蜜罐和蜜网的检测技术 ...................................................... 62.4基于贝叶斯的网络蠕虫检测技术 .............................................. 63蠕虫病毒防御技术研

究 ........................................................................ 83.1企业防范蠕虫病毒措施 .............................................................. 83.2个人用户防范蠕虫病毒措施 ...................................................... 94总结 ...................................................................................................... 10致谢 ......................................................................................................... 11参考文献 ................................................................................................. 12前言随着网络技术的发展，人类社会正逐步进入到数字化时代，计算机已经应用到日常生活各个领域，人们在享受到网络便捷服务的同时，各种安全问题也随之出现。

从基于DOS界面的病毒发展到今天基于Windows、Unix等操作系统的各种蠕虫、病毒等，在网络的快速发展带动下，使得计算机不断遭受到了非法入侵，不法黑客人员盗取了一些重要信息，甚至造成了操作系统的瘫痪，对个人和企业都带来了相当巨大的经济损失，同时对国家网络安全也构成威胁，带来了无法估计的损失。

最早开始的网络蠕虫攻击是发生在1998年的Morris蠕虫病毒事件，从此后蠕虫病毒的研究成为了一项重要的课题。

2009年中国计算机病毒疫情调查技术的分析报告指出，中国网络安全态势发展进一步加大，网上制作和贩卖蠕虫、病毒以及木马等活动日益严重，并通过这些蠕虫病毒侵害网络的现象日趋上升。

2010年上半年期间，CNCERT/CC一共接收了4780次网络安全的事件报告，相比上一年增长了105%，其中恶意代码占到了57.57%的比例，

中国大陆地区有将近124万个IP地址对应的计算机受到了蠕虫木马程序的侵害和控制。

近几年，出现了很多病毒和蠕虫危害，比如说尼姆达、熊猫烧香、QQ尾巴、飞客等等，严重影响和干扰了计算机网络安全，侵害了个人和企业以及国家的财产安全，而且蠕虫病毒的网上传播仍然十分猖獗，对网络安全的威胁依然存在。

因此，网络蠕虫的研究是我们必须要关心的问题，对蠕虫病毒进行检测和防御技术研究具有重要意义。

基于此研究背景和网络安全形势，本文将对蠕虫病毒的检测和防御技术进行研究。

具体包括：(1)蠕虫病毒相关知识介绍。

介绍蠕虫病毒的定义、工作流程以及行为特征，并简要分析国内外研究现状；(2)蠕虫病毒检测技术研究。

介绍基于蠕虫特征码、行为特性等方面的检测控制技术；(3)蠕虫病毒防御技术研究。

从企业网络和个人用户角度，研究防御蠕虫攻击的主要措施。

1蠕虫病毒相关知识介绍1.1蠕虫病毒定义关于蠕虫病毒的定义很多，最早的定义是Eugene rd给出的：蠕虫是可以独立运行的，并且能够自我复制且传播到其他计算机上的一段程序代码。

但是随着网络的发展和科技的进步，蠕虫病毒出现了各种不同的变种，且产生了难以抑制的效果，因此学者们给予了多种多样的定义。

Elder 和Kienzle认为：网络蠕虫是通过计算机网络来进行传播，无须用户干预就能够独立运行或者依赖文件共享而去主动攻击其他计算机的一种恶意代码的形式。

尽管蠕虫病毒的形式多种多样，不同学者给出了不同的定义，但是从以上给出的几种定义中可以看出，蠕虫病毒的定义都具有共同的特性，主要体现在以下几个方面：(1)蠕虫病毒独立运行，不需要用户进行干预；(2)蠕虫病毒具有自我传播和自我复制的特性，并且传染的方式途径很多，传播的速度较快，对网络和计算机安全破坏性强。

蠕虫一般是通过计算机的漏洞进行传播，国家网络安全中心每年发现的计算机漏洞数量惊人，尤其是近几年来，蠕虫病毒利用了很多零日漏洞进行传播，对网络安全和计算机构成了严重威胁。

1.2蠕虫病毒工作流程和行为特征(1)蠕虫病毒工作流程网络蠕虫病毒的工作流程一般可以分为四个阶段：扫描、攻击、处理、复制。

扫描主要是对目标地址空间内存在漏洞的计算机，收集相关信息以备攻击电脑，为攻击目标而准备；攻击阶段则是对扫描出的存在漏洞的计算机进行攻击，并感染目标机器；处理阶段隐藏自己在已感染的主机上，并且给自己留下后门，执行破坏命令；复制阶段主要是自动生成多个副本，主动感染其他主机，达到破坏网络的效果。

蠕虫病毒的整个工作流程如图1-1所示。

图1-1蠕虫病毒工作流程(2)蠕虫病毒行为特征通过对网络蠕虫的定义介绍以及工作流程分析，可以归纳出蠕虫的行为主要特性，具体

如下：①自我复制和主动攻击。

蠕虫具有自我复制和主动攻击功能，当蠕虫病毒被释放后，它们会自动搜索当前网络系统是否存在机器漏洞，如果存在则进行攻击，反之则寻找新的系统查找漏洞，整个流程都是蠕虫自身完成，不需要人工进行任何干预。

②利用系统漏洞进行攻击。

蠕虫通过计算机系统漏洞进行攻击，没有漏洞则不能攻击系统，因此蠕虫最基本的行为特征是利用系统漏洞进行攻击。

③极具破坏性。

随着网络的发展，蠕虫病毒也越来越具有破坏性，造成了巨大的经济损失，使得计算机系统崩溃，深圳网络瘫痪等情况。

④反复攻击性。

即使清理掉了蠕虫病毒被，在计算机重新连接到网络之前没有为之漏洞打补丁，那么这台计算机依然可能会被感染，蠕虫病毒会反复攻击。

⑤使得计算机系统性能下降，整个网络塞堵甚至瘫痪。

蠕虫病毒进行攻击之前会进行网络大面积的扫描，对同一个端口不断的发送数据包，造成计算机系统性能下降；当扫描到存在系统漏洞的计算机时会产生额外的网络流量，引起网络拥塞，甚至可能造成瘫痪，带来巨大的经济损失。

⑥很好的伪装以及隐藏方式。

蠕虫病毒一般都具有较高隐藏功能，用户不容易发现，不能及时清理，同时它们会在感染计算机系统后留下逃脱后门。

1.3蠕虫病毒国内外研究现状随着蠕虫病毒的发展，网络安全技术厂商通过结合各种安全技术产品的方式对付蠕虫病毒，其中典型的方式是将网络杀毒软件、终端与防火墙、漏洞扫描系统、入侵检测相结合。

2005年以来，产生了很多具有代表性的安全方案，具体地主要有：2004年底，锐捷网络推出了全局安全网络解决方案，相比于简单的杀毒软件+防火墙这种体系来说，其安全措施加强了对于网络终端安全性的控制以及修复。

对每个用户计算机加载一个客户端软件，如果发现有蠕虫病毒侵入，立即通知服务器，服务器将会隔离此用户与正常用户，并修复入侵系统漏洞。

当修复完成之后，安全客户端软件还会自动重新检测用户系统，在确定系统已解除安全隐患之后才允许再次进入网络。

通过这种自动检测和拦截技术，将蠕虫病毒等安全隐患拒之门外，能够防患于未然。

趋势科技公司推出了企业安全防护战略-EPS(Enterprise Protection

Strategy)，主要是采用蠕虫病毒入侵检测技术，不断地侦听网络内部是否接入有蠕虫病毒数据包，一旦检测到蠕虫侵入，随即隔离所有的危险设备。

以上对蠕虫病毒的防护技术主要是针对于操作系统的漏洞而检测的，目前，随着科学技术的进步和网络的发展，蠕虫病毒不断扩大的同时检测和防御技术也在不断更新中，蠕虫病毒的研究始终是一项重要的研究内容。

2蠕虫病毒检测技术研究蠕虫技术的不断扩大对网络的安全构成了极大的威胁，甚至有可能带来网络瘫痪，造成巨大的经济损失，因此必须采取有效措施和途径，对网络蠕虫进行检测和控制，下面将对蠕虫病毒的检测技术进行研究。

2.1基于蠕虫特征码的检测技术基于蠕虫特征码的检测技术是目前使用最多的一种检测技术，其主要手段是通过特征进行匹配。

具体的检测原理是：首先收集一些蠕虫恶意代码的特征值，然后在这些特征值的基础上创建相应的特征码规则库，当检测计算机是否受到蠕虫病毒感染或者攻击时，将检测到的网络行为的特征码和特征码规则库中具体规则进行匹配，若是匹配成功则说明该网络存在异常，可能含有蠕虫病毒等危害，应当给出警告提示或者拒绝访问。

由以上检测原理可见，这种检测技术存在一定的限制，只有当特征码规则库中存在恶意行为的特征码规则时，才能够匹配成功，判定该网站存在恶意行为，进行抑制或者反击。

在这种情况下，若是有些蠕虫病毒并没有在规则库中匹配成功，不能被检测出来，那么该网络就可以通过检测，对计算机系统造成危害，带来不可预测的经济损失，因此需要对规则库实时进行维护和更

新，确保最新的蠕虫病毒特征码存储在特征库中，能够被识别出来。

目前比较熟知的基于蠕虫特征码的检测算法包括Earlybird和Autograh，这两种方法提供实时提取特征码功能，基于Rabin fingerprint算法。

当蠕虫病毒变形扩散后，单一连续的字符串不能够作为特征码使用，为此James Newsome提出了著名的Ploygraph检测系统，可以提取出具有蠕虫变形规律的特征码。

2.2基于蠕虫行为特征的检测技术基于蠕虫行为特征的检测技术主要包括四种方法：统计分类法、简单阈值法、信号处理法以及智能计算法。

其中简单阈值法的检测指标是与连接相关的指标，包括连接失败数、连接请求数、ICMP消息数以及连接端口的流量等等。

Bakos提出了一种蠕虫行为特征检测技术，利用了ICMP目标主机不可达报文来判断识辨蠕虫的随机扫描行为，并通过信息收集点来收集网络中由路由器产生的这种不可达报文信息，然后统计消息的个数，并和给定的阈值进行比较，以此判断蠕虫是否有传播行为。

但是这种方法中如果路由器个数较少，那么收集到的报文信息数就会较少，会影响到判断的准确性。

其他的行为特征检测方法是通过识别网络中不断重复出现的数据包内容进行识别蠕虫病毒，但是由于这些方法在检测时必须要有大量的统计信息，因此在时间上会有一个滞后的过程，造成不能够及时地

检测到蠕虫病毒。

2.3基于蜜罐和蜜网的检测技术1988 年5月，Clifford Stoll提出了蜜罐的概念，并明确指出蜜罐是一个了解黑客的手段的一种方法。

蜜罐是通过故意设计为一个有缺陷的系统，并且专门用来引诱那些蠕虫攻击者进入到受控环境中，接着充分利用各种监控技术来捕获蠕虫攻击者的行为，获取蠕虫行为特征。

其中蜜罐技术是一种虚拟环境，因此不会对真实网络造成瘫痪的影响。

目前，蜜罐技术得到了大量应用，在网络安全领域具有十分重要的意义，具体体现为：（1）蜜罐技术不提供真实的检测服务，而是在一个虚拟环境中进行，但是收集信息是真实有效的，并且可以从中捕获蠕虫病毒的行为特性；（2）变被动防御为主动控制；（3）网络蠕虫不能够判断目标系统的具体用途，因此蜜罐技术虚拟环境具有良好的隐蔽性。

随着蜜罐引诱技术的出现，蜜网检测相应产生，其实质仍然是一种蜜罐技术。

与传统意义上的蜜罐技术不同的是蜜网检测是一个网络系统，并不仅仅是一台具有系统漏洞的主机，存在一种简单的虚拟环境，此网络系统隐藏在防火墙内，可以监控、捕获以及控制所有进出信息，实现更加强大的蠕虫检测功能。

2.4基于贝叶斯的网络蠕虫检测技术贝叶斯定理是由英国学者贝

叶斯18世纪提出来的，其最初主要是用于概率论和数理统计方面的应用。

蠕虫在进行网络传播时，首先会对网络中那些存在漏洞的目标主机发送大量的连接请求数据包，从而判断这些目标主机是否开机、目标主机系统或者应用软件是否存在漏洞，以及是否可以被感染。

但是，在实际的网络应用中，网络蠕虫指向的大多数IP地址中的主机根本就不存在，有些要么就没有开机，要么被其它的网络设施所隐藏，比如采用了防火墙或者NAT设备对其进行了保护，所以网络蠕虫在进行传播的时候，所发送的链接失败的概率也比较大。

因为网络蠕虫感染的目的是在最短的时间内让尽可能多的目标主机受到感染，因此在进行传播时，它发送连接请求的时间间隔会非常的短，而正常的主机在进行网络通信的时候，其数据的发送相对比较规律，时间的间隔也比较固定，不会出现大幅度的波动。

据此，在进行蠕虫检测时我们把主机发起连接请求的时间间隔作为一个参数。

另一方面，在传播蠕虫的过程中，有些蠕虫在扫描阶段会加入一些正常的数据包去避免被检测到，从而引起网络的漏报。

之所以会产生这种情况，一个原因就是对当前失败次数的连接没有考虑到历史状态的影响，从而导致检测结果出现问题。

而采用贝叶斯的方法来计算数据的概率后可以通过后验的概率去更新先验的概率，从而获得比较高的检测精度。

因此我们在进行蠕虫的检测时，通过统计单位时间内针对目标机器的数据连接成功与否，即可对网络蠕虫进行检测。

3蠕虫病毒防御技术研究蠕虫病毒通过各种方式进行检测，往往将多种方法结合，对已知的蠕虫病毒和未知的蠕虫病毒进行检测，然后进行蠕虫控制。

然而，除了做好蠕虫检测控制技术外，个人和企业用户等需要积极做好蠕虫防御技术，定时定期清理修复系统漏洞，避免蠕虫的侵害，下面将对蠕虫病毒的防御技术进行讨论。

3.1企业防范蠕虫病毒措施企业网络的应用广泛，比如文件和打印服务共享、企业的业务系统办公、企业自动化办公系统等领域。

如果企业网络受到了蠕虫病毒的侵害，那么蠕虫可以快速阻塞网络，影响网络速度，甚至造成网络瘫痪。

因此，企业用户必须考虑蠕虫病毒等危害问题，以保护企业系统内部数据不被侵害。

具体地，企业在考虑如何防范蠕虫病毒时，需要考虑蠕虫病毒的查杀能力、监控能力以及对新病毒的反应能力，同时，对于日常的网络安全管理企业应该采取合理的科学制度，提高员工的网络安全意识，做到以下几点：(1)加强企业网络安全管理员的管理水平，提高其安全管理意识。

蠕虫病毒具有利用系统漏洞进行攻击的行为特性，因此，管理员需要时刻保持系统以及应用软件的安全性，及时地更新操作系统和系

统应用程序，修复系统漏洞，不给蠕虫病毒的侵入留下任何可乘之机。

随着蠕虫病毒不断扩大，侵害手段也越来越厉害，企业网络所受的攻击概率也越来越大，必须要求企业网络管理员具有很高的管理水平和安全意识。

(2)建立蠕虫病毒检测系统。

在修复漏洞的基础上，仍需要对网络中的蠕虫数据包进行实时检测，发现受到蠕虫病毒的攻击后采取相应的隔离和控制措施进行保护，并及时清理病毒，避免扩大。

(3)建立应急响应系统，尽可能减小风险。

蠕虫病毒的侵害是不可预测的，具有突然暴发性，若是发现蠕虫侵害时，整个网络已经受到感染，就需要采取应急响应方案，尽可能减小风险损失。

(4)建立数据备份系统。

数据备份是很有必要的，若是系统受到攻击数据无法恢复，备份系统可以恢复数据，避免过大的经济损失。

(5)对于企业内部局域网络安全，需要注意在网络入口处安装防火墙软件和杀毒软件，将病毒隔离在局域网之外，同时对网络内部员工进行必要的安全培训，限制一些用户操作，对邮件服务器进行网络监控，防止蠕虫病毒携带进入，对网络内部操作系统进行升级和修复补丁，最大可能地保证企业局域网内的安全性。

3.2个人用户防范蠕虫病毒措施网络蠕虫病毒攻击个人用户的主

要途径是利用社会工程学，通过网络各种形式携带病毒进入个人计算机，因此，个人用户需要从以下几个方面做好防范措施：(1)安装合适的杀毒软件。

蠕虫病毒发展不断扩大，传统的文件级实时监控系统杀毒软件已不能满足要求，必须要求具有内存实时监控和邮件实时监控功能的杀毒软件来保护电脑。

网页蠕虫的侵害也对杀毒软件提出了更高要求。

(2)升级病毒库。

杀毒软件对于蠕虫病毒的查杀是以病毒数据库中的病毒特征码为依据，进行比对查杀，而蠕虫病毒更新速度和传播速度快，变化多种多样，因此，必须实时更新病毒数据库，确保杀毒软件的最新查杀能力。

(3)提高个人网络安全意识。

随着网络的发展，网页上出现了各种不良的信息，携带的蠕虫病毒等很多，存在着很多恶意代码，因此，个人用户要有较高的网络安全意识，不轻易查看陌生网站，并把浏览器网络安全级别设置为高，并将ActiveX和Java脚本禁止运行，减小计算机被恶意代码感染攻击的可能性。

(4)不随意查看陌生的邮件。

蠕虫病毒往往通过自动发送功能，给用户发送邮件，病毒就携带在其中，尤其是存在不明附件的邮件。

用户要经常升级浏览器和补丁程序，防止过多陌生恶意邮件的侵入。

4总结随着网络技术的发展，蠕虫病毒不断扩大，给网络安全带来极大的安全隐患。

近年来，世界各国网络都受到了蠕虫病毒的侵害，造成了巨大的经济损失，对蠕虫病毒的研究一直是一项重要的研究课题。

在此研究背景下，本文介绍了蠕虫病毒的相关定义，详细探讨了其工作流程和行为特征，为蠕虫病毒的检测和控制防御技术奠定了基础。

然后本文对蠕虫病毒的国内外现状进行了简要分析，网络安全已被各国所重视，在此基础上，对蠕虫病毒的检测技术进行了研究，主要是基于蠕虫特征码、基于蠕虫行为特征、基于蜜罐和蜜网以及基于贝叶斯的网络蠕虫检测技术。

最后，本文对蠕虫病毒的防御技术进行了探讨，从企业网络和个人用户角度，详细研究了防御蠕虫病毒侵害需要采取的各项措施。

总之，蠕虫病毒的侵害无时无刻都存在，只有加强对其检测和防御，提高自身安全防护意识，将蠕虫病毒拒之于安全门之外，才能保证网络用户安全，保证企业数据安全，形成一个良好健康的网络环境。

致谢论文的研究工作是在***老师的精心指导下完成的。

***老师严谨的治学态度、渊博的学识、敏锐的洞察力和高瞻远瞩的学术思想令人敬佩。

本论文从开始思路，到过程中遇到各种问题，到最后的结果完成，都得到了***老师的大力支持。

在此，谨对***老师辛勤指导和无私的关怀表示最诚挚的谢意。

感谢父母一直以来对我学业上的鼓励和支持，是您们的关怀让我无忧虑地顺利完成本篇论文。

最后，向所有的论文评审老师并提出宝贵意见的专家们和答辩委员会全体老师表示深深的感谢和敬意! 参考文献[1]马林,王爱文,周燕北等.基于连接度的蠕虫病毒检测方法研究[J]. SILICIONVALLEY，113-114[2]彭智朝. 计算机蠕虫病毒检测和防御技术探讨[J]. 电脑知识与技术,Vol.6,No.8,March 2010, pp.1848-1850[3] 魏先勇. 蠕虫病毒的安全防范措施[J]. 工业经纬,2008年5月第5卷第1期[4]余伟,陈保国,孔陶茹.蠕虫病毒的研究和检测防御[J]. 科技创新导报,2009,No.29[5] 黄李昌. 网络蠕虫病毒的防御研究[D][硕士学位论文]. 成都：电子科技大学，2010[6]崔松江. 网络蠕虫病毒检测方法的研究[D][硕士学位论文]. 北京：清华大学，2005[7] Cliff C Zou, Don Towsley, Weibo Gong. A Firewall

Network System for WormDefense inEnterprise Networks, 34-67[8] S.

Chen and Y. Tang, Slowing Down Internet Worms , in Proceeding of

the24th International conference on Distributed Computing (ICDC’2004),

Tokyo, Japan, Mar. 2004,47-87[9] 杨庆涛. 网络蠕虫的检测技术研究与系统设计[D][硕士学位论文]. 重庆：重庆大学，2010[10]常青. 网络蠕虫的检测与控制技术研究[D][硕士学位论文]. 天津：天津理工大学，

2011蠕虫病毒深度解析蠕虫病毒深度解析日期：2004-11-22 15:44 作者：天极网来源：天极网 1．引言近年来，蠕虫、病毒的引发的安全事件此起彼伏，且有愈演愈烈之势。

从2001年爆发的CodeRed蠕虫、Nimda蠕虫，SQL杀手病毒（SQL

SLAMMER蠕虫），到近日肆掠的冲击波蠕虫病毒，无不有蠕虫的影子，并且开始与病毒相结合了。

蠕虫病毒通常会感染Windows 2000/ XP/Server 2003系统，如果不及时预防，它们就可能会在几天内快速传播、大规模感染网络，对网络安全造成严重危害。

看来，蠕虫病毒不再是黑暗中隐藏的"黑手"，而是已露出凶相的"狼群"。

各类病毒各有特色，大有长江后浪推前浪之势：CodeRed蠕虫侵入系统后留下后门，Nimda一开始就结合了病毒技术，而SQL杀手病毒与冲击波病毒有着惊人的相似之处，此次病毒大规模爆发是从装有WINDOWS 2000以上操作系统的计算机，尤其是从网络服务器上向外扩散的，利用微软存在的系统漏洞，不同的是，SQL杀手病毒用缓存区溢出进行攻击，病毒传播路径都是内存到内存，不向硬盘上写任何文件。

冲击波病毒则会发送指令到远程计算机，使其连接被感染的主机，下载并运行。

由此可见，计算机蠕虫和计算机病毒联系越来越紧密，许多地方

把它们混为一谈，然而，二者还是有很大不同的，因此，要真正地认识并对抗它们之前，很有必要对它们进行区分。

只有通过对它们之间的区别、不同功能特性的分析，才可以确定谁是对抗计算机蠕虫的主要因素、谁是对抗计算机病毒的主要因素；可以找出有针对性的有效对抗方案；同时也为对它们的进一步研究奠定初步的理论基础。

2．蠕虫原始定义蠕虫这个生物学名词在1982年由Xerox PARC 的John F. Shoch等人最早引入计算机领域，并给出了计算机蠕虫的两个最基本特征：可以从一台计算机移动到另一台计算机和可以自我复制。

他们编写蠕虫的目的是做分布式计算的模型试验，在他们的文章中，蠕虫的破坏性和不易控制已初露端倪。

1988年Morris蠕虫爆发后，Eugene H. Spafford 为了区分蠕虫和病毒，给出了蠕虫的技术角度的定义，计算机蠕虫可以独立运行，并能把自身的一个包含所有功能的版本传播到另外的计算机上。

（Worm is a program that can runby itself and can propagate a fully

working version of itself to other machines. ）。

3．病毒原始定义在探讨计算机病毒的定义时，常常追溯到David

Gerrold在1972年的发表的科幻小说《When Harlie Was One》，但计算机病毒从技术角度的定义是由Fred Cohen在1984年给出的，计算机病毒是一种程序，它可以感染其它程序，感染的方式为在被感染程序中加入计算机病毒的一个副本，这个副本可能是在原病毒基础上演变过

来的。

（A program that can infect other programs by modifying them to

include a possibly evolved copy of itself.）。

1988年Morris蠕虫爆发后，Eugene H. Spafford 为了区分蠕虫和病毒，将病毒的含义作了进一步的解释。

计算机病毒是一段代码，能把自身加到其它程序包括操作系统上。

它不能独立运行，需要由它的宿主程序运行来激活它。

（virus is a piece of code that adds itself to other programs, including

operating systems. It cannot run independently and it requires that its host

program be run to activate it.）。

4．蠕虫/病毒计算机蠕虫和计算机病毒都具有传染性和复制功能，这两个主要特性上的一致，导致二者之间是非常难区分的，尤其是近年来，越来越多的病毒采取了部分蠕虫的技术，另一方面具有破坏性的蠕虫也采取了部分病毒的技术，更加剧了这种情况。

下表1给出了病毒和蠕虫的一些差别：/article_03090033a5．蠕虫完整定义上述蠕虫原始定义和病毒原始定义中，都忽略了相当重要的一个因素，就是计算机使用者，定义中都没有明确描述计算机使用者在其整个传染机制中所处的地位。

计算机病毒主要攻击的是文件系统，在其传染的过程中，计算机使用者是传染的触发者，是传染的关键环节，使用者的计算机知识水平的高低常常决定了病毒所能造成的破坏程度。

而蠕虫主要是利用计算机系统漏洞（vulnerability）进行传染，搜索到网络中存在漏洞的计算机后主动进行攻击，在传染的过程中，与计算机操作者是否进行操作无关，从而与使用者的计算机知识水平无关。

另外，蠕虫的定义中强调了自身副本的完整性和独立性，这也是区分蠕虫和病毒的重要因素。

可以通过简单的观察攻击程序是否存在载体来区分蠕虫与病毒。

目前很多破坏性很强的病毒利用了部分网络功能，例如以信件作为病毒的载体，或感染Windows系统的网络邻居共享中的文件。

通过分析可以知道，Windows系统的网络邻居共享本质上是本地文件系统的一种扩展，对网络邻居共享文件的攻击不能等同与对计算机系统的攻击。

而利用信件作为宿主的病毒同样不具备独立运行的能力。

不能简单的把利用了部分网络功能的病毒统统称为蠕虫或蠕虫病毒，因为它们不具备上面提到的蠕虫的基本特征。

通过以上的分析和比较，重新给出的Internet蠕虫完整定义为：Internet蠕虫是无须计算机使用者干预即可运行的独立程序，它通过不停的获得网络中存在漏洞的计算机上的部分或全部控制权来进行传播。

通过简单的分析，可以得出结论，一些常见的以蠕虫为名的病毒，如Happy99蠕虫病毒、Mellisa网络蠕虫宏病毒、Lover Letter网络蠕虫病毒、SirCam蠕虫病毒，NAVIDAD网络蠕虫、Blebla.B网络蠕虫、

VBS_KAKWORM.A蠕虫等等，都是病毒，而不是蠕虫。

6．蠕虫发展现状从1988年CERT（计算机紧急响应小组）由于Morris蠕虫事件成立以来，统计到的Internet安全威胁事件每年以指数增长。

这些安全威胁事件给Internet带来巨大的经济损失。

美国每年因为网络安全造成的经济损失超过170亿美元，使网络信息安全问题得到了世界各国的重视。

2001年美国投资20亿美元加强网络安全建设，同样其它各国也都投入了巨大的人力和物力。

在全球信息化浪潮的冲击下，我国信息化建设也已进入高速发展阶段，电子商务、电子政务、网络金融和网络媒体等蓬勃发展起来，这些与国民经济、社会稳定息息相关的领域急需信息安全的保障。

因此，解决我国的信息安全问题刻不容缓。

在Internet安全问题中，恶意软件（malware）造成的经济损失占有最大的比例。

恶意软件主要包括计算机病毒（Virus）、蠕虫（Worm）、木马程序（Trojan Horse）、后门程序（Backdoor）、逻辑炸弹（Logic Bomb）等等。

另外，许多人提出，要把恶意软件作为网络战的一种攻击手段，这时的网络安全问题已经上升到国家安全的高度了。

Internet蠕虫是目前危害最大的恶意软件，几乎每次蠕虫发作都会因其造成的巨大经济损失：1988年11月2日，Morris 蠕虫发作，几

天之内6000台以上的Internet服务器被感染而瘫痪，损失超过一千万美元；2001年7月19日，CodeRed蠕虫爆发，在爆发后的9小时内就攻击了25万台计算机，造成的损失估计超过20亿美元；随后几个月内产生了威力更强的几个变种，其中CodeRed II造成的损失估计超过12亿美元；2001年9月18日，Nimda蠕虫被发现，对Nimda造成的损失评估数据从5亿美元攀升到26亿美元后，继续攀升，到现在已无法估计。

自从它诞生以来到现在，无论哪里、无论以什么因素作为评价指标排出的十大病毒排行榜，它都榜上有名。

日前全球爆发的冲击波蠕虫病毒及其变种，它们传播速度及危害之大是史无前例的，与以前的蠕虫病毒相比，冲击波的感染潜力大得多，由于全球微软操作系统这一漏洞影响的电脑数量庞大。

从因此，其危害很难在近期内统计出。

目前蠕虫爆发的频率越来越快，尤其是近两年来，越来越多的蠕虫出现，其传播速度成几何级增长，危害也大有过之而无不及。

7．蠕虫研究概况 Internet蠕虫虽然早在1988年就显示出它巨大破坏力和危害性，但当时Internet没有普及，因而也没有引起人们更多的注意。

从1990年开始，对抗恶意软件破坏的主要内容锁定在个人电脑的防病毒上，而且这种状况一直延续到现在。

科研人员的主要精力放在如何预防、检测和消除攻击个人电脑文

件系统的病毒。

虽然邮件病毒的出现，使人们认识到了Internet已经使病毒的性质发生了一些变化，需要调整研究方法和目标，但对于蠕虫的研究和防御到目前为止还比较少；近年来，新蠕虫层出不穷，危害越来越大，其造成的危害程度远远超过传统的病毒，由于对蠕虫研究的滞后，使人们在蠕虫面前手忙脚乱。

通过对蠕虫的研究，可以扩大反病毒技术涵盖的范围，推进反病毒技术的发展。

对蠕虫的实体特征、功能结构模型的研究，可以直接的转化应用到安全产品和反病毒产品中去，为减少恶意软件造成的经济损失提供相应的手段。

2001年CodeRed蠕虫爆发后，针对蠕虫的研究逐渐成为热点。

比较突出的有Nicholas Weaver，并预言了可以在半个小时之内感染整个Internet的蠕虫将要出现。

Slammer的出现证实了他的预言，但值得注意的是Slammer没有采用任何一种他提到的快速传播策略，而依然使用的是最原始的随机目标选择策略。

Cliff Changchun Zou以CodeRed蠕虫为例，讨论了基于微分方程描述的蠕虫传播模型，考虑了人为因素对蠕虫传播的影响，他的工作可以看作是SIR传播模型的一种扩展。

David Moore（CAIDA, the Cooperative Association for Internet Data

Analysis）提出了衡量防治蠕虫的技术有效性的三个参数：响应时间、防治策略、布置策略，他认为目前的防治技术在这三个参数上都远远达不到对蠕虫防治的要求。

Dug Song等人对蠕虫引起的网络流量统计特征做了研究。

这些工作中，一个比较突出的问题是，缺少对蠕虫整体特征的系统性分析，基本上都是针对特定的蠕虫（如CodeRed蠕虫）进行研究讨论和建模。

另外，在防治策略上，目前的方案大多停留在感性认识的基础上，或者仅提出功能性需求。

CodeRed蠕虫用到了很多相当高级的编程技术，它是通过微软公司IIS服务的.ida漏洞（Indexing Service中的漏洞）进行传播。

2001年9月18日，Nimda蠕虫被发现，与以前的蠕虫不同的是Nimda开始结合病毒技术。

它的定性引起了广泛的争议，著名的网络安全公司NAI把它归类为病毒，CERT把它归类为蠕虫，国际安全组织同时把它归入病毒和蠕虫两类。

Nimda蠕虫只攻击微软公司的WinX系列操作系统，它通过电子邮件、网络邻近共享文件、IE浏览器的内嵌MIME类型自动执行（Automatic

Execution of Embedded MIME Types）漏洞、IIS服务器文件目录遍历（directory traversal）的漏洞、CodeRed II和sadmind/IIS蠕虫留下的后门共五种方式进行传播。

其中前三种方式是病毒传播的方式。

冲击波(r)蠕虫病毒会持续利用IP扫描技术寻找网络上系统为Win2K或XP的计算机，找到后就利用DCOM RPC缓冲区漏洞攻击该系统，并向具有漏洞的系统的135端口发送数据。

然后攻击有RPC漏洞的计算机，一旦攻击成功，病毒体将会被传送到对方计算机中进行感染，值得注意的是，该病毒还会对微软的升级网站进行拒绝服务攻击，导致该网站堵塞，使用户无法通过该网站升级系统，这样就使更多的系统漏洞无法打补丁。

蠕虫在网络中持续扫描，寻找容易受到攻击的系统，它就会从已经被感染的计算机上下载能够进行自我复制的代码，蠕虫驻留系统后在注册表中创建键值，以达到随系统启动而自动运行的目的，使系统操作异常、不停重启、甚至导致系统崩溃。

8．结论在当前网络生存的世界中，随着网络及信息系统复杂度增大，其更新频率与利用率的提高，安全漏洞也大大增多，利用该漏洞的病毒也会越来越多。

升级杀毒软件是对付这些蠕虫病毒的解决之道，而定期上网更新系统，给系统打安全补丁则是预防之道。

另外，蠕虫及病毒防治工作还存在着许多深层次的问题需要解决：蠕虫病毒安全防护能力亟待加强，尚缺乏具有自主知识产权的先进反病毒核心引擎，信息安全管理和法制还不完善，全社会的防治计算机病毒安全意识需要增强。

但是，只要我们强化全民的安全防范意识，建立起反病毒技术的资源共享制度，积极支持反病毒新技术理论的研究，并与国内外病毒研究机构与厂商广泛地交流和合作，必将会有力推动我国反蠕虫病毒研究与技术的发展。

病毒或蠕虫传播规律立数学模型题目：请选择一种当前流行的病毒或蠕虫，运用数学建模与仿真验证法，研究其传播规律，建立数学模型，并设计有效的仿真测试方法，验证理论模型和仿真测试结论之间的一致性。

答：网络蠕虫是一种不需要计算机用户干预即可智能化地运行的攻击程序或代码，它会不断扫描和攻击计算机网络上存在有系统漏洞的节点主机，再通过计算机网络从一个节点传播到另一个节点。

1988年，Morris蠕虫事件让蠕虫首次进入到公众的视野。

此后，又陆续爆发了Code Red、Slammer和Blaster等蠕虫，都在短时间内攻击了网络上大量的主机，给整个互联网造成巨大的损失。

如Code Red V1出现在2001年7月12日，而真正流行则开始于7月17日，它利用微软Index Server 2.0上一个已知的内存溢出漏洞进行攻击。

虽然微软于6月18日就发布了这一漏洞的补丁，但Code Red仍然感染了数以百万计的电脑，给整个互联网带来巨大的经济损失。

在不影响传播特性的情况下，假设支撑模型的网络协议为IPv4，网络上的主机地位相等，性能没有差异。

模型的扫描策略采用典型的随机扫描策略。

所谓的随机扫描策略为受蠕虫感染的主机随机地扫描整个地址空间，发出探针以试探该主机是否可以被感染，即扫描地址空间为2，Code

Red、Slammer和Blaster蠕虫均采用这一扫描策略。

为了提高蠕虫的传播速度，Weaver提出hitlist的概念，即在蠕虫传播之前，先收集网络上一些性能比较好的主机，蠕虫传播时，首先感染这些主机，然后通过这些主机去感染网络上其它的主机。

本模型也假设蠕虫在传播开始时刻先感染各自的hitlist中的主机，且感染的时间忽略不计。

先定义模型用到的一些参数：N：网络中在线的主机总数，初始值500000；mi：ini：ih32时刻漏洞类主机的数目，初始值刻感染类主机的数目，初始值；时；：开始时刻蠕虫所感染的主机数据，初始值1；s：感染蠕虫的主机在单位时间里扫描的平均主机数，初始值2；d：死亡率，即无补丁状态下主机蠕虫被清除的比率，初始值0.00002；p：补丁率，即漏洞类主机打补丁成为修复类主机的比率，初始值0.000002；根据感染特征可以将所有主机的状态划分为三类：1）易感类，存在有漏洞，且暂未被蠕虫感染的主机；2）感染类，存在漏洞，且已被蠕虫所感染的主机；3）修复类，该类主机不存在漏洞。

通常将易感类和感染类的主机统称为漏洞类主机。

蠕虫爆发开始，主机的状态会有变化，易感类主机可以被蠕虫感染变为感染类主机；易感类主机和感染类主机都有一定的概率通过打

补丁等手段变为修复类主机。

模型假设这段时间为T，则，。

单位时间内，蠕虫随机扫描网络上主机的次数为sni。

则对于一台特定的易感主机被感染的概率为。

当时间间隔足够小时，可以不考虑这段时间内两个感染源同时攻击同一台主机的情况。

又因为i时刻，易感类主机的数目为感染的主机数目为。

，因此，单位时间内新再考虑网络上主机的死亡率i和补丁率，则有：而漏洞类主机的数目为：我们以2001年7月爆发的Code Red v2蠕虫为例，来分析我们的模型。

互联网分析协会CAIDA提供的仿真Code Red v2的实验结果如图1所示。

采用我们的模型用Matlab软件仿真Code Red v2蠕虫的传播过程如图2所示，可见我们的模型能够很好地模拟蠕虫的传播过程。

Fig.1. CAIDA的仿真结果 Fig.2. 本模型仿真结果图2中感染类主机数量在经过24小时后达到最大值，之后稍微有点下降，之所以出现这样的情况，除了有受补丁影响外，模型中感染主机也有一定的死亡率。

另外，主机总量数目是固定的，扫描的地址空间也一直是232，后

期蠕虫随机扫描感染新主机的数目少于通过补丁率和死亡率而造成感染类主机下降的数目，所以后期曲线有点下降。

参考文献1. David Moore, Colleen Shannon. The Spread of the

Code-Red Worm (CRv2).

/research/security/code-red/coderedv2_2. Craig Fosnock. Computer Worms: Past, Present and Future. East Carolina

University, NC, USA, 20053. 文伟平，卿斯汉，蒋建春，等．网络蠕虫研究与发展［J］．软件学报，2004，15( 8): 1208-12194. Zesheng Chen, Lixin

Gao, Kwiat Kevin． Modeling the spread of active worms［C］. INFOCOM

2003. Twenty-Second Annual Joint Conference of the IEEE Computer and

Communications．2003: 1890-1900电脑中毒必看-对付蠕虫病毒的八招电脑中毒必看-对付蠕虫病毒的八招第一招：选择可靠的防毒软件要对付蠕虫病毒，一款可靠的杀毒软件是必不可少的，它不仅可以进行病毒扫描来过滤掉有害病毒，同时还可以使用邮件监视功能，在接收邮件过程中对病毒进行处理，有效防止蠕虫病毒成功侵入的几率。

第二招：把邮件请出C盘因为C盘是病毒攻击频率最高的地方，一旦蠕虫透过杀毒软件的防护侵入到邮件系统的话，可以将损失降低到最低限度。

第三招：练就火眼金睛不少蠕虫病毒都具有广泛的共同特征，找出它们的共同点对于识别蠕虫病毒非常有帮助：1、看邮件大小。

邮件自身的大小有几十KB或者更大，而邮件中无内容，无附件，

那这极有可能是一封蠕虫病毒邮件；2、如果发现邮件地址非常陌生，或域名不像正常的国内邮箱，同样你要提高警惕了；3、看附件的后缀名。

如果是双后缀就极有可能是病毒，因为蠕虫病毒一般隐藏在附件中。

对上述三种邮件直接删除即可，然后清空废件箱，最后一定要压缩一遍邮箱，彻底消除蠕虫病毒的隐患。

第四招：小心保存邮件保存邮件时尽量使用另存为选项为邮件做备份，同时不要在同一个目录下放全部的邮件，这对于保护邮件不受侵害非常有作用。

第五招：慎用预览功能现在一些危害力极高的蠕虫病毒，往往都是在进行邮件预览时就会感染系统，而并不像以前需要打开邮件才会中招。

对于Outlook用户，一定要关闭邮件软件的预览功能或升级微软的最新补丁。

如果使用的是Foxmail，只需在用户属性的模板项选择纯文本格式即可。

第六招：给通讯簿减肥通讯簿是蠕虫病毒们最喜爱的东东了，因为病毒一发作，就自动复制无数拷贝发送到通讯簿里所有的用户。

所以通讯簿里的名单越少，蠕虫病毒带来的危害就越小，在通讯簿里不设置太多的名单，对于防止蠕虫病毒的进一步扩张非常有用。

第七招：当心可执行文件对于邮件附件为可执行文件或带有宏功能的附件时，不要选择打开，可以用下面的两种方法检测是否带有病毒：1、利用杀毒软件的邮件病毒监视功能来过滤掉邮件中的病毒;2、先把附件另存在硬盘上，然后利用杀毒软件进行查毒。

第八招：定期升级病毒库这似乎不是一个技巧，但不少朋友确实就是因为忘了升级病毒库，而惨遭蠕虫病毒的侵害！因此，一定要定期升级病毒库，不要让自己的杀毒软件成了花瓶一样的摆设。

关于网络蠕虫病毒的原理剖析维普资讯 htt:/p/.・网络通与讯安全本责辑：栏目任编蕾冯关网络蠕于病毒虫的原理剖析田震，金磊。

玉杨玲赫（东警学察，院东济南２００）山山５

１１摘要目：前．算机病毒可渗透以到信息社会的

各个领域．计给计算机系带来统了巨大破的坏和潜在

的威胁。

了确信保息的安全与畅为通，究计机算病毒的

范措施防迫在已眉睫。

近年来，日益毒猖獗，文主要剖析蠕虫毒病原的理。

研病本关键词：络：网病虫毒；蠕原理中分类图号Ｐ：９３Ｔ３文献标码识Ａ：章编号文：９３（４０７１— ０５— ２１ — ０４２００９）４００８０Ｔ

ＡＺｅ，ＮＧｎｌＪＥ，ｕＹｌｇＩＮｈｎＹＡｅ—

Ｈ— ｉｉｉｎＰｃｒｅｐＡｌｎｓｏｓｏＶｉｓｏｒｔ

ｒｉｉｌａｙｉＷｎｍｒｆｅｗｏｋＮｕｎ（ａｄ

ｎｏｃｓｔｔｉ，５ａ１１ＣｉＳａｎｏｇＰｅｌｔＩｅＪｕｎ２００，ｈｎｈｉｎｉ）ｎＡｔａｂｔＡｔｐｅｅｔｏｅｋｖｒｓｐｒａｓｎｖｅｄｒｏｆ

ｒｅｔｓｃｅｙａｅｃｕｉｇｇｔｄｍａｅｅｍｎｐｓｇｐｔｎａｈｅｔｒｓｃ：ｒｓｎ，ｔｒｉ

ｅｅｅｍｕｇｅｅｙｆｌｆｉｏｍａｉｏｉｔｒ，

ａｓｒａａｇｓｄｉｏｉａｏｅｔｒｌｓａｗ

ｎｕｉｎｖｎｎｉｔｔｈｏｅｃｍｐｔｒｓｓ．Ｉｍ

ｒｅＯｃｓｒｈａｅｎｕｙｏｎｒｆｔｉｎＳｑｉ

ｅｅｓｒｎｘｍｅｒｒｅｔｔｏｍｓｒｅ—Ｏｅｔｈｌｗｏｕｅｔｙｅｎｏｒｄｔｅｅｔｅｓｕｆｔａｄｆｃｆｉｅｏａｉｍｔ，ｕｔｎｓｙｃａｅｄｔｙｌｎｏ

ｅａｅｌｕｇｎＯｄｏｅｙｓｃａｎｄｆｎｅｍ

ｓｅｒｓａａｓｎｕｓｉｓｒｎｃｎａｓｉｕｒｅ

ｅｉａｐｏａａｙ，ｙｈａｓｅｓｙｍａｎａｌｚ

ｓｔｒｙｃｎｐｓｌｅｒｈｉｅｅｓｕｅｇａｉｔｖ

ｒｅ．Ｉｅｅｙｔｒｅｖ，ｒｓａｓｅｂｃｍｎｇｒ

ｍｎｄｙｔｂａｄｎｄｔｉａｓｉｎａｙｌｅｈｅｐ

ｉｉｅｏｗｏｆｍｖｒｓｒｉ．ｕ．Ｋｅｒｓｎｔｏｋｗｎｉｓｐｏｉｃｐｅｙｗｏ：ｄｅｗｒ：

Ｙｌｒ；ｒｉｌｖｕｎ近年来整个安全界都识意

到发愈严峻的网络环境毒病作者出于钱、金等利私利素因将病毒源代出售码或公开发布防范此名

类病毒导致于基原始代码的病毒变种层出穷不．加

了查难杀度增。

据计统计算机毒每年要给病世界来上千带亿

美元的损失可预以见，随着计算机、络运的用不断

普及入、，范计算机病网深毒防将来越越受到国各的高度重视ＰＥ式格．毒都修是改ＥＥ文件中引的入．表里面加入自己的病Ｘ在Ｄ的函Ｌ

数．样～运ＥＥ行就首运先行了Ｄ的Ｌ函．数们称

Ｌ这ＸＬ我其为Ｄ注Ｌ入有一种是将其病毒附

在加正常程序的头部或尾Ｌ还部．当于程给序添加了

个一外壳．被染感的序程行执．时毒相在病代先码被执行．后将正才常程序调入内存，种的区别

前者是然两病代码毒以ＩＤ形单式独存在，者直接

把病毒本省附带到正常Ｌ后的程上序了所杀以毒软件的Ｔ作就是修改被感染程序弓Ｉ的入表．删后掉病毒代码然１虫病蠕毒解释的蠕虫这个

生物学名在词１８９２由Ｘｒ年Ａ的ＣＪｈ．ｅ０ＰＲｘｏｎＦＳｏ等ｈ最人早引入计了算领域

机．他们给出了计算蠕机虫的ｈ两ｃｆ１坏码代论

理上一个病毒感染了操作系统了．后以完破３可

全支配个整系统任．意想要做的事情．管是ＭＢａ是ｔＳｓ做不Ｓ１还ｓ — ａｓｒ是都系统本身的

进程进溢行出，溢出后的权限直接是就都ａＳＳ

Ｅ了就．是ＲＮＯ权限了了，ＲＮＯ一切就尽在

掌握ＹＭＴ也ＩＧ有ＩＧ，一之中了最个基本特

征：可从以一台计算机移动到另一台计算机和

可以我复制自们他编写蠕虫的目的是分布做式计

算的模型验试在他的们文章中．虫的坏破性和易不控性制已初露端倪９８、１蠕８年，ｒｓ爆虫发后ｕｅｅＨ．，ｐｒｆＭｏ蠕ｒＥｉｎｇＳｏａ为ｄ了

分蠕虫区病毒和，从技术角度给了出蠕虫定的

义：计算蠕机虫以独可立运行．能并把身自一的个

含包所有功能版的本传播到他其计机上算３蠕虫毒

病的成组我可们把以一个蠕虫病毒看做个一工程

把．这个．程分成并ｒ个模４块１（击模块：虫病毒

爆发，先需要一有个能响影大量系攻１蠕首在国

上际对蠕病毒虫现在．没有还一成套个理论体的

系．也没通有用的定义但一般认为蠕虫病毒是以

计算机为载体．以网络为攻击对象．过络网传播

的恶病性毒通统的｝被，简单利用的严重漏洞

至．于机器能被远程控制＿能＿ｊ以（感染模块：计

机算在被攻后击，行执蠕虫编写者要想２１能让

现实的功能成．对一主机个感染的对程远溢出来说也

就是完完善ｓｅｄｃｈｌｅ的过ｏ，这程间中还要考

感虑染传播殖ｆ１途径的问ｌ繁题。

２蠕病虫毒的原理现流在行的蠕虫病毒基本都

是溢出代码＋染代码＋坏代感破码３分组成．面

我将逐分一部析下（出１代码相当黑于客攻击．般

都是操系作或应统用程序１一溢一中某一个函数存在溢

出，后黑们编客写ｅｏｔ①ｐ打乱程序ｘ然ｌ，ｉ的正常

执顺行序．接直转条到黑客精心们编写好的ＥＳＣ

ＤＨ［ＯＥＬ② 上去。

ＬＨＣＤ的作用就是让远的机器程执行的一

段代码．ＳＬＯＥＥ）播（模块：是扫以描个一网

段中有相关弱点的机器．３传可将弱点保存为一

个件文．后这些对Ｉ址进行攻击．随者生机然Ｐ地

或成ＩＰ地址然后对这些Ｉ行攻击。

等单地说Ｐ进．这简过个程就是扫描’ 防范薄弱

的机器它可是Ｂ以￣Ｎ一个Ｃ＠某到端某口，待ｔｎｔ．以可ＩＤＤＭ等ｅ ⑤ｅ也ｌ）ｆ能模块：视以为一个附加的模块．计算机被感在染４功可使

是反连接一个ＣＤ到Ｍ攻击者的机器上．当也然可

以是任你意想后保留一后个来发门分动布式绝拒服

务击攻ＤＳ（从趋势看Ｄ．ｏ）现实的能Ｏ功ＳＭｌｓ的Ｓ￣ＥＬＯＥ是直利用系统接的ｆｐ．ＢａｔＨ）

ＬＣ（Ｄｔｄ越来越的蠕多都虫附加会上这个模，

以便块造成更大的破坏ｘｅｅ￣开了一ｆ个）ｔ的服

务通过，ＴＴ传病毒播身本．圆ｓ是ｐＦＰＳｓａｅｒ直

接在ＳＬＥＯＥ里面完成了一个ＦＰ序程．ＤＩ一

个５５ＨＬＣＤＴＢＮ５４口端．持几种最基本

的Ｐ命令明显．Ｓｓｅ支很ａｓｒＭ比ＢａｔＳ１ｓ做的高明说再溢出．Ｂｔａ利用Ｗｉｄ了ｗＰＣ漏Ｍ

溢洞ＭＳ１ｓ是ｎｏＲｓＤＣＯ出．Ｓｓ是ｅ利用ｉＷｄｗＳＳ而ａｓｒｏｓＬＡｎ认Ｓ进程中证的

溢．出漏洞从一个蠕虫病毒最要的重是击模块攻和感染模块部分两．们它定决了蠕虫影的响范围和

播传速度．这是个蠕一是虫否能够造成而巨大破坏

关的键因素４蠕虫的播模传式及途径４传１播式模．模

式：描一击一扫攻复制现实在中．虫总是发送大

数据量包造成网络阻塞实际上蠕的重严性上

者．差不相多．认安装的２０ＰＰ溢出上的成功两

默００Ａ率高的的惊人）染（代首先我们码要知道ＷＩ

ＤＷＳ下可执行文的件的２感ＮＯ收稿日期：０７８

６２－００－１作者简介：震０３，年９参月加工作，

职于任山东察誓学院治安系学支队员队大长，０３年

月山６东警察学院毕业：金磊山东警察学田２现０

２０扬院治安２系００６级本一中科一班队长班；玉玲，警东察学治院系安０赫２山６级０本科一中组队织委员。

．５８裱电识铂与术技维普讯资h tt://本责编：辑蕾栏目任冯这不是蠕虫程序的本．成意络网拥塞对蠕虫程序的发者没布有造么好处什如果可

能的话，虫程序的发布者希更望虫隐蠕蔽的蠕传播去出．蠕为虫传播出后去．虫的发布者就以可获得大量因蠕可以利的用计算的机资源但．是有的蠕采虫用的扫描法方不现可避免的会引起大量的网络拥塞．这是蠕虫技术发展一个的瓶颈，果

能突这破个难．关技虫术的发展就会入进一个

的新阶如蠕段。

一网络通讯与安全）ｅｆｉｓ蠕虫可通以过Ｎ

ｔ．ｉ用打开的域局共网享资４ｔＮｏ：Ｂｏｅ

利ｓ源Ｂ进传行播，如Ｗ３比ａ￣．ｒ等：２Ｈｉｍ０ＷｆＲＣ此类蠕虫病通毒过ＭｉｏｏｎＯ操作

系统ｓ中的５：Ｐｃ）ｆｓＷｉｒｔＷ远ｄ过程调程用ＣＲＲｍＰｏｔｅｕｅＣｌ服务中的漏洞进

行传Ｐ（ｅｏｅｃｄｒｒａ）１播明。

显的例子是去年的冲击波蠕虫病毒（２ｌ￣

ｔ）ｒＷ３．ａｅｏｒＷ。

Ｂｒｎｓ此病毒造成巨大的了坏．破且而此ＲＣ

漏也被洞认为有是史以来Ｐ危害最严重、播最广泛的漏洞之一：传ｆ）据库虫：可以利用网络的上数据库进行传播，６数蠕比如利Ｍｉ用ｓｆＳＬＳｒｅｒ数据库的漏洞进行播传ｃｏｏＱｅｒｖ随着网ｔ络和病毒编写技的术发和展出于私利因素的诱惑．蠕虫毒会病来越越多。

因为蠕虫作为一种传迅播速．力坏大的病毒

破会自动用利多种途径播传，通过电子邮件、系用统漏洞侵如利现在流的行蠕采虫的用传播技术

标目一般尽是快地传播到尽量多的电脑中是，扫

描模采用的块扫描策略是这样的：于随机选取某一段

ＰＩ址．后地对这一地段址的上主机扫描功能然稍

欠的扫程描序会不断重复上面这一过程这

样．着随虫蠕的传播．感染的主也机开始进行这扫种描些扫．描程序知不新这那道些地址经已被扫描

过．只是简单的随机扫描联互网于是它蠕虫传

播越广的．络上的扫描包就越多即使扫描程序发

出的网测包探很。

小成少．积网络多拥塞就非严常重了高明的毒

病作者会对扫描策略进行一改些进．比如在ＩＰ地址段的选上择．以主要针当对前主机所的在网段

扫描．外网可对段则机随选择几个小的ＩＰ地址

段进行扫对扫描描次数进行限．制进只行几次扫描把扫描分散在不同的时间进行段４２虫的蠕播

途传 ‘径。

人用户统系、网邮络件各和种即时聊软件天。

等相在对自的由网条络件蠕下病虫毒必然还

会续继展发释注：① 漏洞及用利 ②。

溢出程序蠕和病毒虫的核心＠Ｂ伯克利ＮＩｔ

ｔｎ它因特由软件联合网会责负进ＩＤ：ｒｎｅ域名ｅ行维护开和发。

它属于免软件费．够运在行前大当多数系平统能台上之。

蠕虫一般通过以下几种方式进行传播：ｆＥ

ｉ电信子箱传播式方．这是一种比较普遍的式方。

１ａｍ：）ｌ这类蠕有虫求职信病毒（２ａｔｂ

ｗｒ等：３Ｗ．ｎｉｏｍ。

）ｗｏ‘ ｆｆＰ过利通某用些ＦＰ服务程序

（ＷｕｆＰ等２）Ｔ：ｒ１ｆ如Ｔｒ的漏④ｃ洞ｄ是ｍ

ｍｃｎｏｍａｄ缩写。

的ｅｅ是传控输协制议特网协／议（Ｃ／）网

（络如ｌｔｎ因ＴＰＩ例ＰＩｔｎ的ｔ录登仿和真

程序ｎｅｅ）ｒ⑥ 击冲病毒波，名是ｗ全１ｒｂａｔ现表系为无统法工作，ｏｒｓｌｓ。

ｆｍ．频繁启动进行传播，类蠕虫比较少见。

危害往往不是也很大。

子有此且例ＬｉＲｘｅｗａｏｍ；ｕｎ．ｍｎ

ｒ． ⑦程序用该实现于ＴＦＩｔｔｎＦｎｅＰｅ准标，标该准要求用不户名ｒ和码密ｆＨＩ类：虫蠕很常见．用

ｉＭｏｏＩ３Ｔ＇此Ｐ利）ｃｓｆＩｒｔ或ＡＳａｈｃｐ服ｅ务器的漏洞进来行播传红色代，码２Ｃ

（ｒｄＷｄｏｍ）如Ｗ３。

ｏｅｅ。

ｒ： ⑧ 荡震病波毒人数据及读出数据（接第上７５页））（会话束照上：述方法装数包据，序如下：

３结按程ｖｉｅｎｉｅＳｓｏ（ｔｏｄＥｃｐｕｋｏＣＰａａＣ・ｏＵＲｇｔｅｎｉｓｃ，ｆｎａｌｔｎ

ＩｓｅＨｄＩｄｒｓｉｎｓｉＰ）Ｈａｅｄｓｅｔｆ；ｉ＿ｓｚＣＰｎａ一ｎｓＣｍａｍｄ０＝０；

Ｉ６Ｈｃｄ＞ｉｏｔｎ０６ｘＣＩＨｅｄ＞ｉｔｅｇｈ：０００；Ｐ一ｓｎａｎＬｔ０ｘ０ＣＰ

ａ一ｉｔｔｔ：ｓ０ＩＨｃｄ＞ｎＳａｕ：ｉｉｌｎ；ｆ：；＜；＋）ｒｏ０ｉ８ｉ＋ＣＰａ一ｂｅｄｒｎｅｔ１：ＩＨｄ＞ｃＳｎＣｏｅｔ［ｘ＝０ｉ图３ＲｅｄＷｒｅＲｅｐｎｅａｉ／ｓｏｓｔＣＩ

Ｈｅｄ＞Ｏｎｐｉ＝０ｎａ一ｉＰｔｔ：ｏｓｉｓｅ＿ｚｔｎ：ｂｏｍｎＳａＲＣｍｏｔＤｕｓｎｄｃ）

ａｂｆｒ；４＝ａ（ｎｉｅｈｒ＆ｕ［ｅｇｆ１２Ｃａ

Ｐ一ｓｎＣｍｍａｄ＝０６０；ＩＨｄｃ＞ｉｔｏｎ

ｘ０５ＰＣａ一ｓｎＬｎｔ＝０００；ＩＨｄｃ＞ｉｔｅｈｘ０ｇＣ４Ｐａ一ｔｉｓｅｏＨａｅｄ０＝Ｉｃｄ＞ＨｎｓＳｎｉｎｌ：ＣＩＨｃｄ＞ｎＳａｕＰａ一ｉｔｔｔｓ＝０：＝ｗｎｉｃｆ（，Ｈ

ａＩ，４；ｒｓｋｅｄＣＰｄ２）ｅｔｏｉ（＝２）ｆ

ｎ４＝ｐＵＲｎｇｓｒｅｓｎＳｅｃ）ｓｉｆ坝ｎｅ

ｅＳｉｓｉｕｃｓｔｏ；｝５束结语用采以上方式开发

了多系统个．过经实验调试运行表明．系统性能稳定、时性强、行效果良。

实好运・ｆｆｒｏ＝ｊｉ０８＋ｉ：＜＋；１参考文献：Ｃ，Ｐａ一ｂｅｄｒｏｘｔ＝［Ｉ；ｅＨｄ＞ｎＳＣｅｅｔ］ｎｉ０ＣＰ一ａｉｔｐｎｉ＝０

ＩＨｃｄ＞ｎＯｔｏ：［］克佳，志宇，慧ＵＮＸ，程设序计教程北京：赵１沈赵等．ＩＭ．清华大出学版社．１０ —９２．２０：３５８４］Ｃ『ｎｌｒｔＩｒｔａｎｉａｌｄｐｎＤｉｅｅｔＶｅｄｒｄ

ａ２ｏＮｅｎｔｅｔａｎｅＯｖｃＮｅｎｏｎｏ

ｎｏｂＣｏＲＳｍｍｏＤａ０ａｔｎ１：Ｏ［１Ｏｘ：ｂ

ｏＣＲＳｍｍｏＤａａ：１００ｎｔ［１ｘ：ｂＣｏＲＳｍｏｍＤａａ２：００ｎｔ［１ｘ：ｂｏＣＲＳｍｍＤｏａ３ａｎｔ［１（０Ｉ：：ｘｎｗ：ｒｓｃｆｅ，ｕｒ２

ｆ）（ｋｉｄｂｆ，８：ｔｏｅＡｃｓｔｎＩｏｍｏｐｃｃｔｎＶｍｅｌＲｌ１ＺｓｓＩｉｏｉＣＰ

Ｃ．ｍｎＳａｉａｏｏｕ１ｅａｅ．ａｏｉｆｉｅ［０２１．００．６［Ｃｎｒｌ］ｅＩｔａｏａａｄＯ

ｅｅｅｉｅＶｎｏｎ３ｏｔＮｎｅｔｎｌｔｎ

蠕虫病毒的特征

发布评论取消回复

最近发表

相关推荐

标签列表

蠕虫病毒的特征

发布评论 取消回复

最近发表

相关推荐

标签列表

发布评论取消回复