多方联动全面构建我国网络病毒综合防控体系.pdfVIP

多方联动 全面构建我国网络病毒综合防控体系 梁宏，张鑫，张健 (国家计算机病毒应急处理中心，天津300457) 2007是不平静的一年，包括病毒在内的恶意代码数这类病毒对于局域网用户影响尤为明显，局域网中的计算 量持续大幅度增长，虽然没有出现大规模的网络拥塞和系 机很快被恶意代码感染，受到黑客的远程控制。而且，由 统瘫痪事件，但“熊猫烧香”、“艾妮”、“AV终结者”等 于在局域网中ARP欺骗的源头不容易查出，所以这种攻 影响较大的病毒事件相继发生，ARP欺骗、对抗安全软 击方式具有极大的危害性。 件、零日攻击等技术被广泛应用于病毒制作，病毒的趋利 ARP欺骗病毒主要通过ARP欺骗实施破坏行为。 性进一步显现，网上制作，贩卖病毒、木马的活动日益猖． ARP欺骗通常分两种，一种是对路由器ARP表的欺骗l 獗，利用病毒、木马技术进行网络盗窃、诈骗的网络犯罪 另一种是对内网PC的网关欺骗。第一种ARP欺骗的 活动呈快速上升趋势。2008年除了延续2007年恶意代码原理是截获网关数据。它通知路由器一系列错误的内网 MA 的发展趋势之外，由于“奥运会”这一举世瞩目的盛会即 C地址，并按照一定的频率不断进行，使真实的地址 将在中国召开，围绕着奥运网站的攻击和网络钓鱼事件也 信息无法通过更新保存在路由器中，结果路由器的所有数 会大量发生，这些情况进一步显示出2008年我国计算机据只能发送到错误的MAC地址，造成正常的PC无法收 病毒防治工作的艰巨性和复杂性。 到信息。第二种ARP欺骗原理—’蓖过交换机的MAC地 址学习机制，伪造网关。它的原理是建立假的网关，让被 1 2007年恶意代码情况综述 它欺骗的PC向假网关发送数据，而不是通过正常的路由 “ 1．1木马成为网络安全主要危害 器或交换机途径寻找网关，造成处于同一网关的所有PC 根据公安部发布的“2007年全国信息网络安全状况与在访问网络时出现各种异常现象。如局域网中任何一台计 计算机病毒疫情调查分析报告”，木马已成为我国当前网 算机被ARP病毒感染后，就通过发送大量的ARP欺骗 络安全的主要威胁。并且在2007年“十大流行病毒”中， 包声称自身是网关，将数据包劫持，病毒会对所有的数据 主要是木马、后门程序，其中“木马代理”蝉联了2007包进行分析，过滤出HTTP应答包，并在包里面插入网 年的最流行病毒的榜首，这也是自2001年开始病毒疫情页攻击代码，使用户看到的网页最前面被插入网页攻击代 调查工作以来，首次出现同一种病毒连续两年成为十大病 码，该网页会利用系统漏洞下载并运行木马程序，或者使 毒榜首的情况，这充分表明了木马具有强大的生存能力。 用户浏览器自动访问黑客预设的网站来下载恶意程序。 随着网络的发展，信息交换与共享的渠道和方式更加 1．3AV终结者类病毒愈演愈烈 便捷多样化，但随之带来了恶意代码传播方式的多样化。 该类病毒通过多种途径进行传播，包括利用局域网共 木马可以通过网上挂马、漏洞攻击、移动存储设备、网络 享、猜测弱口令以及优盘等移动存储介质等。病毒传播速 共享、网络下载、即时通讯工具(IM)等多种方式传播。度快，影响范围广，并且可对计算机系统中的文件造成破 继病毒、蠕虫之后，木马已经成为网络安全的主要危害。 坏，因此危害严重。这类病毒最典型的特征就是自我保护 1．2ARP欺骗类病毒危害局域网安全 机制加强，能够与安全软件进行对抗。由于各种杀毒软件 前几年，ARP欺骗方式就开始被应用到恶意代码的 的功能越来越强大，病毒为了隐藏自身并提高存活率，对 编制中。在2007年，国内出现了多种带有ARP欺骗的