研究P2P网络中的病毒检测与防御论文

研究P2P网络中的病毒检测与防御论文（精选7篇）

篇1：研究P2P网络中的病毒检测与防御论文

P2P 网络之中具有大量的节点，在网络环境之中，节点以及节点之间的数据通信的安全性都相对比较低。而P2P 网络又具有匿名，共享速度快，等特点。P2P 网络的这些特点为网络病毒的传播奠定了良好的基础。同时P2P 网络由于其自身的特点，一旦一个节点被病毒感染，很快就会造成整个网络的瘫痪。P2P 网络巨大的安全隐患给用户的生活和工作以及社会的稳定带来了巨大的威胁。目前有关P2P 网络安全防护方面的研究比较缺乏和滞后。本文总结了前人的研究结果，对P2P 的安全性问题展开深入的探讨和研究。P2P 网络病毒分析

P2P 网络由于其自身的特点，决定着其中的病毒能够利用和蔓延开来。因此，P2P 网络病毒的泛滥与P2P 网络自身的结构和特点有着密切的关系，因此在探讨P2P 网络病毒之前我们需要对P2P 网络有一个简单的认识。

1.1 P2P 网络结构

P2P 网络在经过这些年的发展之后得到广泛运行的结构模式有三种三种，本文对着三种结构模式作了简要的介绍。第一种是集中式P2P 网络结构。这种网络结构的突出特点是“使用一个或多个节点索引服务器来提供节点查询应答服务”P2P网络之中的节点在其上线之后，索引服务器之中将会存储它的所有的信息，通过索引服务器，用户可以查询节点上共享的其他节点的所有的信息。这种模式的P2P 结构之中，虽然存在一个结构中心服务器，但是它与其他的文件下载模式采用的客户端/服务端模式仍然存在本质上的不同。这种不同的突出表现就是信息的存储位置不同。在P2P 结构之中，信息存在于各个节点上，而客户端/服务端这种模式下信息存在与服务器之中，同时这种模式之中客户端的用户无法实现相互之间的通信，而在P2P 模式之中用户端是可以实现互相通信的。P2P 网络的这种集中式网络结构的优点是不需要复杂的算法，通过节点就可以查询索引服务器进而获得存储于节点上的信息。这是一种非常简单有效的方法，但是它的缺点也非常的明显和突出。最直接的体现就是一旦索引服务器出现故障或受到攻击而导致其不能正常工作，那么整个P2P 网络体制就会无法运转。在这种模式下，运营和维护索引服务器是非常重要的。

P2P 网络的第二种模式是完全分布式网络结构。在这种P2P网络结构下，没有集中的索引服务器，节点间通过端与端之间的连接实现一个逻辑覆盖网络。整个网络结构是一个松散的组织，网路之中相邻的节点之间通过广播进行信息的查询和传递。这种结构的优点是不需要中心服务器，解决了网络结构中心化的问题。在这种结构模式之中通常不会出现单个节点的问题，但是在这种模式之中，所有的节点都是未知的，在网络规模较大时，查询的泛洪会导致信息的泛滥以及消耗大量的宽带从而造成沉重的网络负担。这种模式下信息的查询还存在查询结果不确定，网络半径不确定的风险。

第三种P2P 网络结构是混合式。这种模式总吸收了集中式P2P 结构良好的可扩展性和完全分布式的较强容错性两方面的优点。混合式结构的三个组成部分别是索引节点，搜素节点，用户节点。

这三种节点的划分是根据各个节点在整个网络结构之中所起的不同作用而划定的。在网络运作的过程之中用户节点仅仅是资源共享节点，不处理额外的信息;搜索节点是用来进行信息的存储与信息的查询工作，索引节点的作用是进行网络范围内的搜索记录工作，索引节点是从搜索节点之中选取出来的。混合式P2P 结构的查询速度比完全分布式有极大的提升，同时查询的结果也更加的准确还消除了完全分布式之中的搜素迟缓问题。

1.2 P2P 网络的特点分析

为进一步说明P2P 网络的行为特点和运行机制，本文选取了第三代混合型P2P 网络结构之中的Bit Torrent 网络做为实例进行一次详细的分析。选取Bit Torrent 做为实例是因为目前的统计数据显示Bit Torrent 流量占据了整个P2P 流量之中的50%以上。同时Bit Torrent 协议也是目前运用最广泛的P2P 技术协议。BitTorrent 网络目前已经成为世界上最重要的资源共享平台。

Bit Torrent 网络做为一种典型的P2P 结构网络，其具有P2P 网络的所有典型的特点。第一个特点就是“每个下载数据的客户端也会同时将数据上传给其他客户端，因而能充分利用用户富余的上行宽带”。第二个特点是在Bit Torrent 网络之中，没有“服务器”与“客户机”的区别。在网络实际的运行过程之中每一个“客户机”就是“服务器”。在运行的过程之中，一个用户在下载的同时上行的宽带也会向其他的用户提供该用户已经下载完成的部分。

在这种情况下，下载的人数越多，实际的网络宽带就越大，下载的传播速度就越快。Bit Torrent 网络协议与传统的网络协议也存在着巨大的差别，Bit Torrent 网络协议与传统的网络协议的区别在于:Bit Torrent 在数据的应用层之中将所有的数据分割成了体积较小的数据块，在传输的过程之中，是以数据块为基本单位进行传输，这样传输的优点在于能够进一步提高传输速度和并行性，并且能够降低资源共享者的宽带消耗。

信息的发布者在Bit Torrent 网络之中发布信息时是根据共享资源来生成特定的种子文件。所谓的种子文件具体是指依据一定的编码规则描述共享资源的概要信息，索引信息以及资源的校验码信息。校验码是通过哈希算法而生成的。哈希计算的基本原理是“把待发布的目标文件虚拟的分成若干个体积相等的分片，而后在对每个分片计算哈希值。”种子文件是整个Bit Torrent 网络之中的共享资源的索引文件。在用户需要通过Bit Torrent 网络获取资源时首先将自己想要获取的资源对应的种子添加到Bit Torrent 软件之中，然后创建下载任务。下载节点会通过种子查询到所需资源的共享点信息，当用户连接上共享点之后，用户便可以从节点之中获取自己想要的资源信息。在这个过程之中，由于每一个用户可以同时向多个共享点请求共享，因此每一个节点的宽带负担都比较小，故流量分布比较均匀整个网络还能保持比较高的数据传输速度。

一般情况下一个完整的Bit Torrent 网络由5 个部分组成:第一个部分是静态元信息文件。这个文件是由共享资源的初始拥有者制作的这一文件也称做torrent 文件。实质上该文件就是前文所论述的种子文件。第二部分是普通Web 服务器，该服务器的主要功能就是为用户发布种子文件和为用户提供种子文件的下载。第三部分是Tracker 服务器，该服务器是一个中心服务器，它的作用是保存，追踪和传输各个节点的信息，该服务器实质上就是前文所论述的索引服务器。用户可以在这个服务器上搜索到自己需要的资源的下载节点，然后自行选择其中的节点进行下载。第四部分是指分布式哈希表网络。该网络的作用是查询下载同一资源的用户并对节点之中的信息进行分布式的存储。第五部分是下载用户。在P2P 网络之中，下载用户既是原始的“下载者”同时也是原始文件的拥有者。在P2P 网络之中，节点的作用分为两个方面。第一个方面是从别的地方下载文件分片;第二个方面是将自己所拥有的文件分片提供给其他的需求者。

1.3 P2P 网络病毒传播机理分析

P2P 病毒就是指以“P2P 网络为活动空间和传播途径的病毒”。在P2P 网络之中节点担负着服务器，路由器，客户端等多种角色，这直接导致了节点的拓扑信息极易被病毒利用。利用这一特点病毒在P2P 模式之中不需要进行大量的无用扫描，只需要以自身的身份混入正常的信息之中，就可以在不引起任何网络异常的前提下快速的在P2P 网络之中快速的进行大范围传播。P2P 病毒的在传播的过程之中通常是依附在正常的P2P 信息之中，因此用户在通过P2P 网络下载资源时就在不知不觉之中感染了P2P病毒。P2P 病毒检测与预防方法

完整的P2P 网络之中具有数量众多的节点，不同的节点检测与防御病毒的能力存在比较大的差距。在进行P2P 网络的安全防护时首先应以节点为核心建立P2P 对等端的病毒检测节点。在以节点为核心的保护措施的建立的过程之中，我们要考虑到如果病毒的检测节点只具有自身的病毒检测和防御能力，那么我们设计的P2P 网络保护机制将无法确保那些自身防护能力较弱的节点是否能够面对病毒的攻击。为平衡P2P 网络之中各个节点的防卫能力的差异，我们需要构建的等端P2P 网络病毒检测节点不仅能检测自身是否带有病毒，还可以对病毒进行有效的抵御。

P2P 网络中的病毒检测与防御节点是基于P2P 对等端的构建而实现的。这一安全保护机制是在P2P 网络正常进行信息交互的过程之中，对信息进行病毒检测的。在P2P 网络工作的过程之中，节点可以在一定的范围之内进行针对病毒传播的防御工作。节点通过加载P2P 病毒的三元列表进而识别出P2P 网络之中带有P2P病毒片段的数据分片。此后该分片会通过Tracker 注册及DHT 扩散的方式除去携带病毒资源之中的swarm。此后在此节点上的传输过程之中便不会再有病毒的数据分片，这种方法将最大限度的减少资源的下载者下载到的资源之中包含的病毒。这样以对等端构建的P2P 网络中的检测与防御节点，既能让P2P 资源传输更加的便利与快捷，还能够有效的增强P2P 网络病毒的检测与防御功能。

在 P2P 网络之中，当普通下载的过程之中对等端与病毒的防御节点连接之后，病毒的防御节点请求之中包含了一部分病毒的数据片段之后，实质的下载完成之后，下载的对等端也会得到若干并不包含病毒的数据分片，造成这样一个结果的原因是，此刻下载用户得到的数据并不是上一个请求节点之中对应的数据，而是防御节点为避免病毒进一步快速传播而构造的无害数据，实质上当节点检测到病毒之后，节点就会进入受防御的节点保护状态进行节点的隔离保护。含有病毒的数据在重复的传播的过程之中，下载节点会不断的向病毒所在的节点请求数据块时，防御节点并不将含有病毒的数据分片传递下去，而是生成一个无毒的数据块进行传输，在传输的过程之中，当包含病毒的数据分片的校验码错误之后，此一数据分片失去继续传播的能力。结语

P2P 网络之中匿名，自由等一系列优点使它无法避免的成为了病毒和恶意代码的攻击对象。本文在充分的研究了P2P 网络的各种结构的结构特点之后，分析了P2P 病毒的传播机理，最后提出了一种确保P2P 网络安全运行的方法。

篇2：研究P2P网络中的病毒检测与防御论文

关键词：P2P；结构化；流量识别

P2P（Peer-to-Peer）并非一种全新的技术，互联网最基本的协议TCP/IP并没有客户机和服务器的概念，所有的设备都是通讯平等的一端。由于受早期计算机性能、资源等因素的限制，大多数连接到互联网上的普通用户并没有能力提供网络服务，从而逐步形成了以少数服务器为中心的客户机/服务器（Client/Server）模式。但是，随着互联网跟人们生活的联系日益紧密和深入，人们需要更直接、更广泛的信息交流，P2P技术充分利用互联网广泛分布的资源，扩大了资源利用范围，改变共享方式，提高了资源共享效率，比C/S模式更具稳定性和健壮性，去中心化，使其应用日益丰富，流量迅速增长。

1、P2P基本概述

对等网络技术起源于最早的网络互联时代，当时的计算机可以不通过服务器而能直接互相访问，例如上世纪70年代的USENET和FidoNet网络就是基于资源共享的。随着计算机网络化进程的不断前进，互联网主要以客户机/服务器（C/S）为主体模式，在此应用中必须在网络中拥有服务器，信息则是通过服务器与客户端进行交流。服务器作为资源的拥有者，对各个客户端提供资源下载，这就是传统意义上的C/S模式。但是此种模式有一个共同的弊端：服务器端的资源有限，伴随着连接用户数的激增，服务器的性能和服务器的带宽将经受严重考验，这在一定程度上降低了服务质量，从而制约了客户数的增长。

对等网络的出现打破了传统C/S模式的概念，它允许各终端与另一个终端直接进行通信，上传或下载资源，并且随着加入P2P网络的节点的增多，上传或下载资源的速度就越快，这就远远增强了信息传输的速度和效率。所以，P2P网络是一种不通过中继设备直接交换资源和服务的技术，它允许网络用户直接获取对方的文件。所有的用户都能访问到别人的电脑资源，并进行文件的共享，而不需要链接到服务器上再进行浏览与下载。

2、P2P体系结构

P2P体系结构大致归纳为两种，一种是非结构化的P2P，另一种是结构化的P2P[1]。

结构化P2P采用纯分布式的消息传递机制和根据关键词查找的定位服务。分布式哈希表（DHT）[2]技术是如今主要采纳的技术，此类系统代表的有加州大学伯克利分校的CAN项目和TaPestry项目，麻省理工学院的Chord项目以及微软研究院的Pastry[3]项目等。

如今大多数P2P系统都是采用的非结构化的P2P网络，这种非结构化的P2P网络总共经历了四代的发展，现在就此四代的历程做以简述：

第三代混合式的结构。如图3所示，混合式P2P模型综合了以上两种结构的特点，在此模式中，依然去除集中服务器，只建立超级节点，也叫搜索节点，其他节点叫普通节点。搜索节点用来处理普通节点的搜索请求，拥有强大的处理器、硬盘空间、连接速率，和普通节点相互协作，共同管理整个网络，它们之间组成了一个自治的簇。所有的簇就构成了一个混合式的结构。每个簇内结构与集中服务器结构类似，如果普通节点要进行资源搜索，首先是在本地所在的簇内查询，仅当搜索结果不完全时，才在其他搜索节点之间采取有限的广播，得到查询的目的后，就可以同时对拥有资源的多个节点进行获取。这就要判断资源是否为相同资源，是的话就要对资源进行分片处理。

篇3：研究P2P网络中的病毒检测与防御论文

关键词：主动防御,模式识别,行为模式,虚拟执行

0 引言

恶意程序通常是指带有攻击意图所编写的一段程序。这些威胁可以分成两个类别:需要宿主程序的威胁和彼此独立的威胁。

病毒行为分析技术是对未知病毒查杀问题的一种解决方案。由于行为分析技术是基于程序的行为特征进行判断,属于一种模糊判别。因此,行为分析不可避免的会遇到误判的问题。

1 主动防御技术

主动防御是一种阻止恶意程序执行的技术。它比较好的弥补了传统杀毒软件采用“特征码查杀”和“监控”相对滞后的技术弱点,可以在病毒发作时进行主动而有效的全面防范,从技术层面上有效应对未知病毒的肆虐。

由于传统的基于病毒库扫描的反病毒软件都是很被动的,只能在新病毒出现之后才能有应付措施,即杀毒软件的滞后性,而主动防御却很好的解决了这个问题。主动防御技术主要是针对未知病毒提出来的病毒防杀技术,在没有病毒样本的情况下,对病毒进行全面而有效的全面防护,阻止病毒的运作,从技术层面上有效应对未知病毒的肆虐,一是在未知病毒和未知程序方面,通过“行为判断”技术识别大部分未被截获的未知病毒和变种。另一方面,通过对漏洞攻击行为进行监测,这样可防止病毒利用系统漏洞对其它计算机进行攻击,从而阻止病毒的爆发。

根据反病毒行业长期的经验可以知道,同家族的恶意程序的执行行为存在共同的模式,称之为行为模式。对程序执行行为进行关联性分析,识别同类程序的行为模式的技术,称之为行为分析技术。

当前的行为分析技术是发现和识别各个恶意软件家族的行为模式,并根据这些模式发现和判断未知病毒。但是如果通过学习恶意程序的行为模式来提升防护能力,仍然属于被动防御。为此,本文提出一种新型防御策略:针对用户行为模式的主动防御策略。系统通过监控用户的正常操作,识别了用户的执行模式。如果符合用户行为模式,则表明系统正常,否则证明系统感染病毒。

2 行为拦截工具

行为拦截工具是在应用程序执行时分析其行为,并封锁任何危险活动的程序。其主要工作原理是分析所有执行于系统中的处理程序行为,并将所有对档案系统与登录档案作出变更的行为资讯储存起来。

行为拦截工具具有一定的控制应用程序与Microsoft Windows系统登录的完整性的能力。封锁工具会监控针对注册机码所进行的变更,并可定义不同应用程序对注册机码的存取权限规则。因此便可在检测到系统中危险的活动,或甚至当未知的程序执行恶意活动后,恢复变更,借以还原系统至感染前的状态。行为拦截工具较为少见。卡巴斯基实验室产品中的Proactive Defense Module(主动防御模块)便是有效的新时代行为拦截工具之其中一例。

行为拦截工具可预防已知及未知病毒扩散,这是此类防护方式的优势。但是其缺点:部分正常程序的行为可能被辨识为可疑动作。此外,决定应用程序是否具有恶意,尚需要使用者输入,这代表使用者必须具备足够的知识。现存的主动防御技术本身不足以确保高恶意程序的检测率,此外,较高的检测率也伴随着较高的误判率。用户行为的识别就成为整个策略在实现上的一个关键,也是一个难点。

3 行为模式识别及实验方案

3.1 行为模式识别

该技术的主要思想是,搜集大量已知类型的训练样本,从中提取出特征,并利用这些特征值构造出一个分类器,这个分类器就可以对未知类型的样本进行分类。

根据这个思想,需要收集病毒样本,然后通过监控获取其程序执行行为报告,同时对于用户的正常操作也截获类似的报告。

3.2 实验方案

恶意程序一般会表现出与正常程序不同的行为特点,比如修改注册表、创建进程或禁用系统服务等。虚拟执行技术可以通过程序的动态执行获取其执行信息,并广泛应用到病毒防治领域。虚报执行技术的工作原理是通过虚报执行的方法查杀病毒,可以对付加密、变形及病毒生产机的病毒。例如HOOKING是一种基础技术,可以控制一段代码的执行。它提供了一个直截了当的机制,能够在不知道源码的情况下,轻易的改变系统行为或者是第3方软件。从虚拟执行环境中截获程序的执行行为即行为监测技术。行为监测过程可以获取程序执行行为报告。

主动防御技术检测系统的基本框架共分三部分:分别为系统框架、分析器构造、未知病毒检测。

样本收集器的作用是收集病毒样本,虚拟执行环境模块的作用是获取程序行为,生成报告。行为分析器的作用有两个:

一是对训练样本虚拟执行后生成的报告进行分析,生成分类器;二是对测试样本虚拟执行后生成的报告进行分析,生成检测报告。

实验步骤如下:

(1)收集病毒样本并打上标签;(2)监测训练样本行为;(3)监测测试样本行为,并进行行为分析,得到分类准确率。

4 结束语

本文在病毒主动防御技术的启发下,在已有病毒行为分析和模式识别技术的基础上,提出了针对用户行为模式的病毒防御策略,并将此策略在以病毒行为分析算法为核心的病毒检测系统进行测试。实验表明,该策略的应用能够使病毒检测系统作出比较准确的判断,通过用户行为模式对病毒实施主动防御的方法是可行的。

参考文献

[1]谈文明.病毒防治技术的前沿地带[Z].

[2]曹骞.大型分布式管理信息系统的安全问题研究[J].计算机应用研究,2007.

[3]李辉,管晓宏.基于支持向量机的网络入侵检测[J].计算机研究与发展.

篇4：研究P2P网络中的病毒检测与防御论文

关键词 ARP；ARP病毒；ARP防御

中图分类号 TP 文献标识码 A 文章编号 1673-9671-(2010)121-0024-01

1 ARP和ARP欺骗

1）ARP。ARP协议是“Address Resolution Protocol”（地址解析协议）的缩写。在局域网中，网络实际传输的是“帧”，帧里有目标主机的MAC地址。在以太网中，主机和主机间进行直接通信，必须知道目标主机的MAC地址。但这个目标MAC地址如何获得呢？它是通过地址解析协议获得的，所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的顺利进行。

2）ARP欺骗。利用ARP的漏洞，攻击者可对整个局域网的安全构成威胁，从影响网络连接的方式来看，ARP欺骗分为二种，一种是对路由器ARP表的欺骗；另一种是对内网PC的网关欺骗。

第一种ARP欺骗的原理是截获网关数据。它给予路由器错误的内网MAC地址，并按照一定的频率不断进行，使真实的地址信息无法通过更新保存在路由器中，结果路由器的所有数据只能发送给错误的MAC地址，造成正常PC无法收到信息。第二种ARP欺骗的原理是伪造网关。它的原理是建立假网关，让被它欺骗的PC向假网关发数据，不能通过正常的路由途径上网，在PC看来，就是 “网络掉线了”。

2 找出ARP欺骗主机

当局域网中出现ARP欺骗时，局域网中就会出现以下症状：

网络时断时通；网络中断，重启网关设备，网络短暂连通；

内网通讯正常、网关不通；频繁提示IP地址冲突；

硬件设备正常，局域网不通； 特定IP网络不通，更换IP地址，网络正常；

禁用-启用网卡，网络短暂连通；网页被重定向。

1）命令提示符法。局域网遭受ARP欺骗时，中毒主机会向全网不停地发送ARP欺骗广播，局域网中其它主机就会更新自身的ARP缓存表，将网关的MAC地址改成ARP病毒主机的MAC地址；在受到欺骗的主机上选择开始→运行输入CMD→在命令提示符下输入ARP-A，查看ARP缓存表中的内容：

Internet AddressPhysical AddressType

192.168.0.1 00-b0-0c-05-13-c6dynamic

以上ARP缓存表中Physical Address并不是网关192.168.0.1 的MAC地址，实为中毒主机地址00-b0-0c-05-13-c6，这时我们就根据00-b0-0c-05-13-c6找出中毒主机；在物理上断开主机（拨掉网线），再对主机进行ARP杀毒处理。

2）抓包查找法。当局域网中有主机中ARP病毒时，整个局域网中会产生大量的ARP欺骗广播包，这时可以用windump抓包进行分析，使用windump -i 2 -n arp and host 192.168.0.1（192.168.0.1是网关地址）抓下来的包我们只分析有reply字符的内容，格式如下：

12:15:35.602255 arp reply 192.168.0.1 is-at 00-b0-0c-05-13-c6

这时查看MAC地址00-b0-0c-05-13-c6是否为网关真实MAC地址，如果不是，00-b0-0c-05-13-c6就是那台进行ARP欺骗主机的MAC。

3）ARP工具软件法。采用AntiARP（ARP防火墙）进行检查，通过网络下载ARP防火墙单机版进行安装，如果本机不能正常上网，也可在正常的主机进行下载后拷贝安装；软件安装成功后，在高级参数里选择“自动获取网关IP/MAC”，设置好后，当局域网中有ARP欺骗时，软件就会提示是哪一台主机中了ARP病毒。

4）三层交换机上查询ARP缓存表。登陆局域网的上联三层交换机，并查看交换机的ARP缓存表（各种品牌的交换机命令有差异），如果在ARP表中存在一个MAC对应多个端口（请注意：不是一个端口上存在多个MAC）的情况，那么就表明存在ARP欺骗攻击，而这个MAC就是欺骗主机的MAC。

3 ARP欺骗防御

3.1 双向绑定法

1）主机静态绑定网关MAC。在用户主机端进行绑定，使用arp命令静态绑定网关MAC，格式如下：

arp -s 网关IP 网关MAC

例：网关地址为：192.168.0.1 MAC：00-10-0D-2F-1F-4F

arp -d//清空本机ARP缓存

arp -s 192.168.0.1 00-10-0D-2F-1F-4F

这样操作比较麻烦，也可新建一个批处理文件，添加到开机启动项中，操作如下：

编写一个批处理文件arp.bat，如下：

@echo off

arp －d

arp -s 192.168.0.1 00-10-0D-2F-1F-4F

保存为：arp.bat

运行批处理文件并将这个批处理文件拖到“Windows开始→程序→启动”中，每次电脑启动时就会自动运行此文件。

2）在交换机上绑定。在交换机启用静态ARP绑定功能，将用户主机的IP与MAC进行静态绑定，防止ARP欺骗发生。

3.2 主机安装防火墙和杀毒软件

局域网管理员可以根据需要，在所有主机上安装ARP防火墙或杀毒软件，现在比较流行的ARP防火墙有ARP防火墙单机版、360防火墙和风云防火墙等，杀毒软件有瑞星、卡巴斯基和360等，但一般防火墙和杀毒软件安装好后是没有启动ARP防御功能的，现以360为例：

启动360防火墙—>木马防火墙—>系统防御—>启动ARP防火墙—>重启主机。

3.3 定期检查ARP缓存

定期检查ARP缓存，可以有效避免主机被局域网中其它主机感染ARP病毒。

开始—>运行输入CMD—>在命令提示符下输入ARP-A，查看ARP缓存表中的内容：

Internet AddressPhysical AddressType

192.168.0.100-10-0D-2F-1F-4Fdynamic

查看局域网网关192.168.0.1的MAC地址是否被修改，如果发现被修改，应及时断开中毒主机（拨掉网线），再对主机进行ARP杀毒处理。

4 结束语

以往ARP病毒使用ARP欺骗的目的绝大多数都是为了窃取用户的敏感信息，但是最近监测到ARP欺骗在病毒中又得到了新的应用，那就是作为网页木马病毒的传播手段，面对病毒的不断变异和进化，作为用户自己应认真做好个人电脑的病毒防御工作，不安装来历不明的软件、定期安装系统补丁、安装正版杀毒软件并定期对其升级等，这样才能确保用户电脑的安全。

参考文献

[1]胡建伟.网络安全与保密,第1版,西安电子科技大学出版社,2003,11.

作者简介

潘峰（1977—），男，汉族，籍贯：福建，职称：助教，专业：计算机科学与技术。

篇5：网络蠕虫病毒防御方法研究

随着1988年11月2号由Robert Morris J r编写的一只基于BSD Unix的“Internet W orm”蠕虫出现, 到2001年8月5号的红色代码“Code Red”蠕虫发作, 直至2003年8月12号的冲击波“Blaster”蠕虫的大规模爆发。互联网的安全威胁正逐渐逼近每一个普通用户。从1988年CERT (计算机紧急响应小组) 由于Morris蠕虫事件成立以来, 统计到的Internet安全威胁事件每年以指数增长, 近年来的增长态势变得的尤为迅猛。

每一次蠕虫的爆发都会给社会带来巨大的损失1988年11月2日, Morris蠕虫发作, 几天之内6000台以上的Internet服务器被感染而瘫痪, 损失超过一千万美元。2001年7月19日, CodeRed蠕虫爆发, 在爆发后的9小时内就攻击了25万台计算机, 造成的损失估计超过20亿美元, 随后几个月内产生了威力更强的几个变种, 其中CodeRed II造成的损失估计超过12亿美元。2001年9月18日, Nimda蠕虫被发现, 对Nimda造成的损失评估数据从5亿美元攀升到26亿美元后, 继续攀升, 到现在已无法估计。目前蠕虫爆发的频率越来越快, 尤其是近两年来, 越来越多的蠕虫 (如冲击波、振荡波等) 出现。对蠕虫进行深入研究, 并提出一种行之有效的解决方案, 为企业和政府提供一个安全的网络环境成为我们急待解决的问题。

本文介绍了蠕虫病毒的行为特征及传播方式, 提出了蠕虫病毒的检测方法, 并设计了一种基于操作系统底层函数的防御蠕虫攻击的新方法, 此方法能及时地发现网络蠕虫攻击并中断恶意代码的执行, 从而更好的保护操作系统和应用软件的安全。

1 网络蠕虫传播流程及行为特征

Internet蠕虫是无须计算机使用者干预即可运行的独立程序, 它通过不停的获得网络中存在漏洞的计算机上的部分或全部控制权来进行传播。

蠕虫与病毒的最大不同在于它不需要人为干预, 且能够自主不断地复制和传播。蠕虫程序的传播流程可以分为漏洞扫描、攻击、传染、现场处理四个阶段。蠕虫程序扫描到有漏洞的计算机系统后, 将蠕虫主体迁移到目标主机。然后, 蠕虫程序进入被感染的系统, 对目标主机进行现场处理。现场处理部分的工作包括:隐藏、信息搜集等。同时, 蠕虫程序生成多个副本, 重复上述流程。不同的蠕虫采取的IP生成策略可能并不相同, 甚至随机生成。各个步骤的繁简程度也不同, 有的十分复杂, 有的则非常简单。

由此, 归纳得到蠕虫病毒的行为特征: (1) 自我繁殖, 蠕虫在本质上已经演变为黑客入侵的自动化工具, 当蠕虫被释放 (release) 后, 从搜索漏洞, 到利用搜索结果攻击系统, 到复制副本, 整个流程全由蠕虫自身主动完成。就自主性而言, 这一点有别于通常的病毒。 (2) 利用软件漏洞:任何计算机系统都存在漏洞, 这些就蠕虫利用系统的漏洞获得被攻击的计算机系统的相应权限, 使之进行复制和传播过程成为可能。这些漏洞是各种各样的, 有操作系统本身的问题, 有的是应用服务程序的问题, 有的是网络管理人员的配置问题。正是由于漏洞产生原因的复杂性, 导致各种类型的蠕虫泛滥。 (3) 造成网络拥塞:在扫描漏洞主机的过程中, 蠕虫需要:判断其它计算机是否存在;判断特定应用服务是否存在;判断漏洞是否存在等等, 这不可避免的会产生附加的网络数据流量。同时蠕虫副本在不同机器之间传递, 或者向随机目标的发出的攻击数据都不可避免的会产生大量的网络数据流量。即使是不包含破坏系统正常工作的恶意代码的蠕虫, 也会因为它产生了巨量的网络流量, 导致整个网络瘫痪, 造成经济损失。 (4) 消耗系统资源:蠕虫入侵到计算机系统之后, 会在被感染的计算机上产生自己的多个副本, 每个副本启动搜索程序寻找新的攻击目标。大量的进程会耗费系统的资源, 导致系统的性能下降。这对网络服务器的影响尤其明显。 (5) 留下安全隐患:大部分蠕虫会搜集、扩散、暴露系统敏感信息 (如用户信息等) , 并在系统中留下后门。这些都会导致未来的安全隐患。

2 截获蠕虫攻击的基本策略

可以通过两个步骤来实现对网络蠕虫攻击的防范: (1) 截获网络蠕虫对Win32函数的功能调用。防范程序中可以集成了常被网络蠕虫调用的Win32函数, 每当这些函数被调用时, 实施防御作用的函数就会立即被执行。 (2) 安全检查。检查Win32函数调用者是否来自正常代码, 如果调用来自正常代码, 就跳回到原函数的入口处, 如果调用来自网络蠕虫或其他的恶意代码, 防御函数就会终止程序的执行并进行日志记录。

2.1监视函数功能调用

网络蠕虫需要获得远程Shell (Windows系列操作系统主要是运行一个System的CMD) 、打开一个端口 (开启一定的服务) 、修改系统重要的配置文件 (留下后门) 或者通过另一个攻击来复制或者传播自身 (例如:冲击波、SQL sla mmer、Ni md a和CodeRed等蠕虫) , 它们需要调用Win32函数来实现它们的攻击目的。表1中列出了一部分常被网络蠕虫调用的Win32函数。

这些函数集合能够轻易的进行扩展, 而扩展后的集合不用重新加载监控就能够应用, 将安全检查代码放到DetourFunc tion () 中来检测函数是否是被恶意代码所调用。当通过调用TargetFunction () 和Deto urFunction () 将想要监视的函数注册后, 每当这些目标函数被调用时安全检查代码就会自动执行。该程序可作为一个动态链接库来实现的, 每当可执行性文件将DllM ain () 捆绑在自身之上时, 监视就开始起作用了。这种监视在整个系统范围内都是有效的, 这就意味着这个动态链接库应该捆绑到每个易受到溢出攻击的应用程序之上, 一种实现方式是指定注册值AppInit_D LLs, 它能在注册键:[HKL MSoftwa reM i c r o s o f tW i n d o w s N TC u r r e n t V e r s i o n Windows]中找到。当那些调用Kernel32.d ll中函数的应用程序启动时, 这个键值指定的动态链接库同时被装载。由于很多系统程序和应用程序都调用Kernel32.dll的函数, 所以对Win32函数实现系统范围内动态监视是非常容易的。

结语

本文提出一种基于系统函数调用检测和防御网络蠕虫攻击的新方法, 克服了传统单机防范的缺陷, 通过截获网络蠕虫对操作系统函数的异常调用来检测网络蠕虫攻击, 及时中止蠕虫的攻击行为并做进一步日志记录。这种方法在操作系统底层函数被调用的时候就能及时地发现网络蠕虫攻击并阻止网络蠕虫的进一步扩散。

参考文献

[1]C Zou, L Gao, W Gong, D Towsley.Monitoring and Early Warning for Internet Worms.Umass ECE Technical Report TR-CSE-03-01, 2003.

[2]蒋蘋, 胡华平, 王奕.计算机信息系统安全体系设计。计算机工程与科学[J].2003.

[3]蒋文保, 杨大鉴, 任晓明, 宽带网络入侵检测系统的分析与实现[J].计算机工程, 第29卷第1期.

篇6：研究P2P网络中的病毒检测与防御论文

关键词：网络环境,计算机病毒,检测和防御

1 概述

如今, 网络在信息交流中成为了主要媒介, 而网络也成为了计算机病毒的温床。如今线上交易和网络交流日益频繁, 如何保证个人信息和线上财产的安全、防范计算机病毒的破坏是当今的热门话题。

2 计算机病毒介绍

2.1 计算机病毒定义

计算机病毒可以是一段程序或者一段可执行代码, 并且能自我复制, 能够破坏计算机的正常使用或者存储的数据。计算机病毒按照寄生对象和驻留方式, 一般分为:引导性病毒、文件性病毒和混合性病毒。

2.2 计算机病毒特性和发展趋势

潜伏性:有些计算机病毒潜伏在宿主的计算机中, 等到时机成熟的时候, 集中爆发和扩散, 会对系统造成严重的伤害。一般潜伏时间越长, 破坏性就越大。

传染性:计算机病毒的最基本特征就是传染性。计算机病毒自我复制后会通过各种渠道在计算机之间传播, 如果不加以控制, 蔓延速度会越来越快。

破坏性:计算机病毒会导致系统资源被占用、计算机处理能力下降;重者导致系统瘫痪、重要的个人数据丢失等。

随着网络技术和杀毒能力的提升, 计算机病毒也会向传播方式多样化、破坏性增强、隐藏能力提高等方面发展。

2.3 计算机病毒的传播模型

2.3.1 SIS模型

SIS (Susceptible Infected Susceptible) 模型将网络节点分为易感染状态 (S) 和已感染状态 (I) 。一个感染节点治愈后称为易感染节点, 而感染了病毒的节点就是感染节点。

2.3.2 SIR模型

SIR (Susceptible Infected Removed) 模型将网络节点分为易感染状态 (S) 、已感染状态 (I) 和免疫状态 (R) 。SIR模型和SIS模型是在生物病毒的基础上建立起来的。当然计算机病毒和生物性病毒还是有很大区别的, 此两种模型就没有考虑到外来因素对病毒传播的影响, 所以还需要改进。

2.3.3 SEIR模型

S E I R (S u s c e p t i b l e E x p o s e d I n f e c t e d Removed) 模型是在SIR模型的基础上心添加了E状态即潜伏状态, 此模型的原理说明病毒对系统的感染是有一定的潜伏期, 在合适的时间才会感染宿主。所以感染节点治愈后有两种可能:成为免疫节点或者重新成为易感染节点。

3 计算机病毒诊断及防御模型设计

计算机病毒诊断技术: (1) 虚拟机技术。虚拟机技术实质上就是虚拟CPU, 相当于通用解密器。虚拟CPU有和真的CPU同样的功能:取指、译码、执行, 也可以模拟代码在CPU中运行的结果。当病毒侵入虚拟CPU时, 病毒的特点 (自我复制、传染等) 就会被反映出来, 虚拟机的作用就是能反映任何的程序动态。但是虚拟机执行程序时速度太慢, 所以只能部分执行程序代码, 这样可能就会漏掉病毒代码。 (2) 启发式代码扫描技术。病毒不会像正常程序一样检查命令行是否有参数项、执行清屏操作后保持屏幕原来的显示内容, 病毒的指令通常是直接执行解码指令, 进行写操作或者搜索特别路径下的可执行程序的操作指令序列。启发式代码扫描技术就是在具体的反病毒软件中接入病毒特征的经验, 就能及时检测出和消除病毒。

4 网络病毒的防御模型

4.1 已有的网络病毒防御技术

如前所述网络病毒防御技术包括: (1) 网络病毒在网络中传播时就对其进行防御; (2) 病毒注入主机之后进行防御。据统计, 病毒通过网络传播的概率大约为80%, 所以第一种病毒防御措施更有效。网络病毒的实时防御措施主要有误用检测技术和校验和技术。

一般的网络病毒防御模型是杀毒软件商收集数据、分析数据和发布数据;用户客户端接收数据后, 杀毒软件对程序进行特征码扫描、流量监控、实时监控、病毒隔离等。但是此模型的缺点是: (1) 经常要更新病毒库数据, 占用用户的系统资源; (2) 特征码增长过快; (3) 对未知的病毒没有主动防御。

4.2 NVDDM模型

根据一般网络病毒防御模型的缺点, 提出了NVDDM (Network Virus Detection And Defense Model) 即网络病毒检测和防御模型。此模型以局域网为平台, 把基于主机和基于网络的两类防御方法结合在一起。模型分为三部分:杀毒软件厂商、网络病毒检测和防御模型的服务端即NVDDM-SS (Network Virus Detection And Defense Model-Server System) 、网络病毒检测和防御客户端即NVDDM-CS (Network Virus Detection And Defense ModelClient System) 。

三者是互相联系的统一的整体。三者作用分别为:

杀毒软件厂商:发布NVDDM服务端和NVDDM客户端, 同时收集、分析、整理和发布数据。

NVDDM服务端:负责网络数据安全、监控和数据收集。

NVDDM客户端:实时监控和主动防御, 并对可疑程序上传数据资料给杀毒软件厂商。

NVDDM服务端应用误用检测法对来自网络的数据请求进行检测, 如果是病毒就及时查杀;非病毒就及时放行, 使申请该数据的主机得到。因为80%的病毒来自网络, 所以对来自主机的请求数据, NVDDM服务端会对数据进行检测, NVDDM客户端不对其进行检测, 而是监控主机实时状态, 通过计算某个程序的权值来达到主动防御的目的。

4.3 NVDDM服务端设计

4.3.1 网络服务数据收集

网络服务数据收集就是给网络服务权值提供源数据, 主要从客户和杀毒软件厂商自身测试和研发两种方式获取。网络服务数据处理行为表现为:服务端对网络服务阈值集合和用户所需求的网络数据进行比较, 得出相应的处理行为:转发、丢弃和保留。

NVDDM服务端的安全数据库包括特征码数据、完整性校验数据和网络服务阈值集合。当NVDDM客户端向NVDDM服务端请求网络服务时, NVDDM服务端就对服务端对网络服务阈值集合和用户所需求的网络数据进行比较, 以此来决定相应的处理行为。服务端通过网络服务阈值集合最终能够切断病毒侵入主机的路径, 并保护主机所在局域网内的其他用户。

4.3.2 服务端审计

当然, NVDDM服务端对于用户的保护没有绝对的安全性, 也不能排除用户的误操作, 所以审计也非常关键。审计就是监控、记录并分析主机和主机在网络中的操作信息, 不定期的对数据进行处理和统计, 评估主机在网络中的安全性并能够发现威胁实时报警。NVDDM服务端审计模块是基于主机审计和基于网络审计。基于主机的审计有:注册表监控、文件监控、进程监控、移动设别监控和日志管理;基于网络的审计有:数据包监控、IP地址监控和行为监控。这些监控任务的完成需要组合使用SPI技术、hook技术等技术。

NVDDM服务端当然首先需要保证自身能抵御病毒攻击, 同时对网络数据进行监控并作出实时回应。

4.4 NVDDM客户端设计

NVDDM客户端和NVDDM服务端两者结合共同防御网络病毒, 而NVDDM客户端主要负责网络病毒的主动检测和防御。NVDDM客户端有五个部分组成:管理、策略、监控、分析和处理。NVDDM客户端所要达到的目标是:能够完成常规病毒检测例如特征码检验等。在此基础上, 主动防御对象包括文件、进程、注册表、内存和移动设备。并且还能够与NVDDM服务端进行通信, 所以系统需要相应的移动通信模块。能够对可疑目标进行处理和审计。

网络病毒和普通程序的区别在行为上表现为API函数。NVDDM客户端防御病毒的方法就是给予API函数以权值, 通过计算程序的权值, 并与预先设置的阈值进行比较, 在病毒侵入主机之前进行拦截。

4.4.1 NVDDM客户端管理和策略

NVDDM客户端管理的对象有策略、人和技术。对策略的管理包括策略的选择、改进和制定。对技术的管理主要有策略所决定。而对人的管理主要是对客户端用户安全知识的讲解、操作行为的规范等。

NVDDM客户端策略的选择: (1) 首先选择适合系统的技术, 比如SPI技术; (2) 系统所要监控的网络病毒经常用到的函数, 例如文件、操作内存的一些函数; (3) 选择函数赋予的权值和阈值; (4) 选定权值和阈值之后, 选择对程序的处理方式, 这里主要有三种:拦截和禁止、放行、上传可疑程序代码并分析和处理。 (5) 最后, 对可以程序进行日志记录。

4.4.2 NVDDM客户端监控和分析

NVDDM客户端需要监控的部分有:文件、内存、进程、注册表和移动设备。文件监控:监控主机对文件的操作, 记录重要的删除和修改信息。内存监控:监控内存的分配、释放和内存中的堆栈注入等。进程监控:监控进程和线程的创建和删除, 同时监控如远程线程注入等一些异常行为。注册表监控:因为注册表包括了计算机应用程序和计算机系统的全部配置信息, 所以对其监控十分必要, 主要监控注册表的增加和修改的信息。移动设备监控:自启动病毒感染主机和设备中带病毒的文件释放后感染主机两种。这五部分的监控行为可以组合使用。

5 总结

本文主要检测和研究对象为局域网内的网络病毒。在此基础上提出了NVDDM病毒防御模型。指出了网络环境下的计算机病毒防御技术的中心思想是应该主动防御, 而不是被动防御。

参考文献

[1]李凤梅.网络环境下的计算机病毒及其防范技术[J].科技创新论坛, 2009.

篇7：研究P2P网络中的病毒检测与防御论文

1 数据挖掘技术概述

所谓数据挖掘技术, 指的是以所处一定范围之内的所有数据为研究对象, 对其进行收集、分类、归类, 根据数据处理结果, 判断是否存在某种潜在关系和数据规律的技术。它主要包含三个环节:即准备数据、寻找数据存在的规律、表现数据规律, 数据挖掘技术的工作流程如下:当设置好数据挖掘模式后, 挖掘引擎就会根据数据库的相关要求展开工作, 即对准备好的数据进行分析、归类, 利用相关技术找出各个数据之间存在的关系, 或是数据规律, 从而为后期的数据分析提供依据。 在实际的应用中, 数据挖掘技术的过程比较繁杂, 很大一部分属于准备、规划阶段, 但其重点在于对数据的预处理, 它属于基础环节, 同时也是后续工作的必要条件[2]。 数据预处理阶段涉及的操作过程也比较多, 比如数据的净化过程、转化过程、整合过程等。

2 数据挖掘技术的计算机网络病毒防御技术

近年来, 随着人们对数据挖掘技术研究的深入, 人们将其用于保障计算机信息安全中, 即防御计算机网络病毒。

(一) 数据挖掘技术的构成分析

计算机网络病毒发展迅速, 严重威胁计算机信息安全。 在计算机网络病毒进行传播时, 通过对有关数据进行扫描, 比如系统数据、网络用户数据, 可以为数据挖掘技术提供依据。在计算网络病毒防御中, 数据挖掘技术的应用过程比较复杂, 涉及的步骤也比较繁杂, 为了有效掌握每个环节的特征, 需要进行分模块分析研究, 包括预处理模块、数据挖掘模块等。

从数据挖掘技术的构成来看, 主要包括以下几个成分: (1) 数据预处理模块, 它主要是借助数据预处理模块, 可以对数据挖掘、分析操作进行简化, 并且还能整体提高数据挖掘效果, 确保其准确度、辨识度。 具体来讲, 其操作流程如下:完成数据收集后, 对数据进行导入处理, 将其传输到预处理模块, 对数据进行分析、归类, 并且使其转变成可被系统识别、处理的内容, 然后以数据包 (比如目标IP地址、端口信息等) 所包含的信息为依据, 事实相关流程。 (2) 决策模块, 它主要是通过对数据的挖掘来构建数据库, 实施匹配处理, 并且将数据库与关联库二者联系起来, 若二者之间出现高度联系的信息, 则提示可能感染计算机病毒。 (3) 数据收集模块, 它通过抓取、收集计算机网络中的数据包, 实现对数据信息的收集。通常情况下, 当数据信息被收集后, 就会获取比较重要的功能信息。 (4) 数据挖掘模块, 它是数据挖掘技术中最核心的部分。 在数据挖掘模块中, 同样包含多个部位, 但比较关键的是事件库和数据库挖掘算法。 通过数据挖掘, 可以获取较为准确的数据结构。 (5) 规则库模块, 它的作用在于帮助优化数据挖掘信息库。若网络病毒出现在计算机系统中, 启动规则库模块, 可以分析、识别数据信息。当然, 在实际的运行中, 在数据挖掘时, 网络病毒属性的获取规则会被改变或调整, 并且还会将其保留、使用于数据挖掘中, 从而协助计算机系统, 分析潜在的网络病毒。

(二) 计算机网络病毒防御系统分析

以数据挖掘技术为基础的计算机网络病毒防御系统中, 其主要包括三个主要的操作过程中, 即关联规则、聚类、分类。

(1) 关联规则分析

它指的是在同一类别的数据中, 存在可以被发现的知识, 以≥2 个变量为对象, 实施取值处理, 若结果显示数据存在一定的规律, 则提示数据之间具有某种关联。在数据挖掘技术中, 主要的几种关联关系包括:简单关联、及时序关联、因果关联。在计算机网络病毒防御中, 要想找到数据库中的关联网, 关联分析这一环节必不可少。

(2) 聚类分析

在数据挖掘技术中, 聚类操作同样发挥着不可取代的作用, 它主要是根据数据的不同类别、特点, 分解所获取到的数据信息。 当完成系统中所有数据的聚类操作后, 就可以有效了解系统中数据分布的情况, 主要是疏密情况, 这样一来, 一方面, 它可以呈现出组与组之间数据存在的关系;另一方面, 还能体现出全局的分布模式。

(3) 分类分析

所谓分类分析, 它指的是对个体进行分类、归类处理, 使其处于预先设定的类别当中。该操作的主要目的是利用多种机器学习方法、统计方法, 并且采用相关计算机处理技术, 建立数据的分类模型, 然后以数据库中存在的数据为对象, 实施分类出来, 并以此为依据, 对其他数据进行分析、归类处理。

3 结语

综上所述, 在互联网的发展是一把双刃剑, 既给人们的生产、生活带来极大便利, 同时也给用户的计算机信息安全带来严重威胁。

参考文献

[1]王娜.数据挖掘技术在计算机网络病毒防御中的应用分析[J].计算机光盘软件与应用, 2013 (08) :155, 157.