关于新形势下计算机网络病毒检测模型构建思考.docVIP

关于新形势下计算机网络病毒检测模型构建思考[摘 要] 随着网络的普及,人们的生活越来越离不开网络。但随着其发展,以网络传播的病毒利用网络全球互联的优势和计算机系统及网络系统安全性上的漏洞,已经成为计算机系统安全的最主要的威胁。如何在病毒发作的初期及时地遏止计算机网络病毒的传播趋势对于计算机网络病毒的控制十分重要,因而本文将对网络病毒检测和报警系统进行研究 [关键词] 网络,计算机病毒,检测 中图分类号:TP393 文献标识码:A 文章编号:1003-8809(2010)-08-0215-01 1、计算机网络病毒检测机制的原理 首先,位于子网出入口处的探针可以将整个子网的数据报文捕获,其通过特定的协议栈可以正确地还原出子网中每一台主机发送、接受的数据。然后,本报警系统将捕获的数据报文进行包级检测,主要分为特征码检测(已知病毒)、流量检测(未知病毒);对于仍不能确定的数据报文进行连接还原,做文件级检测(已知病毒)、虚拟机检测(病毒变种)。通过这种机制,可以使本报警系统能够以最大的可能检测出病毒并降低病毒的误报率 2、计算机网络病毒检测体系的框架 网络报警系统整体结构采用分布式检测集中式管理模型,网络报警系统的探针(检测网络病毒的并行处理机)放在监控的网络出入口上,其所检测的网络可以与病毒疫情管理中心(VESPC)异地,并采用专线连接。病毒检测程序的病毒库升级采用被动方式,由VESCP主动向探针提供升级服务。探针需要将检测到的己知病毒通过专线写入数据库,而中央控制台主要可以对病毒库进行升级,对探针进行远程控制。同时可以通过对各地探针写入数据库的日志进行监控,时时生成各地的疫情影响指数,对于可能发生疫情的地区进行及时预警。其分布式拓扑图如图1所示 图1 分布式拓扑检测图 3、计算机局域网之子网划分模型 传统的网络属于共享式的,在局域网中的任何一个主机可以监听到所有节点机的数据报文。随着网络技术的飞速发展,交换式的网络设备逐渐普及到各个子网,这就造成网络中可能会出现盲点,即处于网络出口的探针监听不到交换式子网之何的通信数据。所以在子网的划分时需要考虑这种所谓的“盲点”的问题,探针监听的子网过大,肯定会造成盲点过多的问题。这种探针监听的子网过小的问题,必然会带来探针探测开销增加的问题 为了解决这种问题,本报警系统在构造网络拓扑模型时采用根据实际情况动态增加、减少探测点,且不需要改变程序的作法。对于这种情况,典型的网络模型如图2所示,探针A所在的网络出入口为一级检测对象。但由于交换式网络的出现,探针B、C、D所在网络(如市县级网络)内部节点机之间传输的数据报文探针A检测不到,又由于其重要性不可忽视,所以在其出入口也放上了探针,视为二级检测对象。同样选取探针E所在网络作为三级检测对象 图2 可扩展子网划分模型 这个子网的模型是随着子网在整个网络中重要性增强,可以随时设置该子网的探针;反之亦可。实际应用中不可能将每个盲点都找到,毕竟资金、设备等都是有限制的,可以根据实际情况选择性地添加探针 4、可扩展的探测模型 网络带宽的高速增长对计算机的处理能力提出了新的挑战。为了解决不同网络带宽情况下的探针适应性问题,本文在网络病毒的报警系统中针对探针提出了具有可扩展性的并行处理体系结构。探针由数据分流器和N节点并行处理机构成。实际环境下,在400M流量以内只用一个节点机就可以正常处理;当大于400M流量的时候就得根据流量添加节点并行处理机和数据分流器了。数据分流器对接收的数据按数据连接进行均衡地划分,这是实现集群式体系结构模型高性能的关键所在。其不仅担负着负载均衡的作用,同时由于病毒预警系统分析的特殊性,需要将同一个传输层的连接数据报文分发到同一台处理机上,从而才能避免并行处理机之间的数据依赖。在TCP/IP中,一些协议分为控制连接和数据连接(如TFP),控制连接和数据连接源目的地址是相同的,端口是不同的,像这样的连接我们称之为具有依赖性的连接。在病毒报警系统中需要正常处理这种情况,从而能够避免节点机之间的数据通信 总之,随着信息的网络化和全球化,人们日常生活中的许多活动将逐步转移到网络上来。主要原因是由干网络交易的实时性、方便性、快捷性及低成本性。互联网最大的优点是消除了地域上的限制,使得地球上的每一个人均可方便地与另一端的用户通讯。可以说网络在政治、经济、军事甚至是人们的日常生活中发挥的作用越来越大,有时是无可替代。但是随着互联网的广泛应用,计算机病毒问题特别是网络病毒也给人们带来了巨大的损失和困扰,也严重影响着网络的安全。因此,本文将对计算机网络病毒进行研究 参考文献 [1] 韩杨,网络病毒的特点及其防治策略,计算机工程,2008(1) [2] 李霞等,基