防火墙病毒检测技术.pdfVIP

高红，刘永峰，韦卫‘ 联想研究院北京8鹋8信箱l∞嘴5 搬：网络已成为病毒传播的新的途径，网络病毒也成为了黑客对用户或系统进行攻击的 有效工其．本文分析了网络病毒的机理，描述了在防火墙上基于w曲和邮律的防病毒技术。 关t诃：罔络病毒网络安全防火墙 1引言 通常人们将计算机病毒认为是通过附加到可执行文件或文本文件中来进行传播的恶意 代码，其传播的主要手段是软盘。随着互联网络的迅速发展，病毒的传播变得越来越无声 无吸了，髑如WEB页面的浏览、通过同限下载文件和阅读电子邮件中的附件等同上冲浪 活动帮有可麓受到病毒的威胁，黑客利用病毒可以获取用户的银行帐号和信用卡密码等信 息．这就要求我们对病毒的定义和传播途径进行新的认识和研究． 2l世纪同络的发展为企业和个人孕育着无限的商机。但是．伴随网络接踵而来的暴客 大肆攻击舟站事件、蠕虫病毒导致严重隔络瘫痪事件．已经不断向人们敲响了网络安全的 警钟．据对当前病毒传播手段的统计表明，企业当前面临的网络不安全因素主要源于邮件 系统和w曲系统；而对个人用户构成最大、最多威胁的病毒也多通过邮件、网络进行传播。 最近．‘以“美丽杀手～Z口蠕虫”“爱虫”等大量通过互联网邮件系统传播的病毒呈现出 辱发频率加快的势态。其中“爱虫”病毒公布的当天，造成全球损失I亿美圆．当天的被 毒染用户达4千万．因此，企业级的网络安全产品必须具备优秀先进的实时防护技术， 同 时安全产品应针对病毒、蠕虫这些频繁出现的不安全因素提供病毒快速捕捉及病毒库升级 功能． 现在，国内外的防火墙产品很多，但同时具备病毒扫描的防火墙产品极少，由于病毒 和一些恶意代码(如A血vex con订nl和java印plet)能穿透防火墙，当内部客户上网接收 邮件、浏览主页或下载文件时，感染客户的主机．对企业内部网络进行攻击，使企业蒙受 巨大的损失。目前，病毒已成为黑客对系统进行攻击的一个有效的手段。这就使得对于在 防火墙中嵌入病毒检测技术的研究和实践具有根现实的意义． hI自m#t网络病毒是利阁网络传播的计算机病毒．计算机病毒的种类虽多，但对痫毒 代码进行分析、比较可以看出。它们的主要结构是类似的，有其共同特点．传统的计算机 病毒包括了引导部分、传染部分和表现部分．而网络病毒在计算机病毒的基础上增加了自 动传播机制．网络病毒通常包含四个部分：传播部分，引导部分．传染部分，表现部分。 +毫虹，工蠢师．刺拳一．■士．工程师．韦卫． 1髓 ————————酊■■—雨]既F—————————————————————一 传播部分是病毒利用网络自动地将病毒传播到用户的主机系统，其传插手段有： 电子邮件．H1下载信息，FTP下载或上载文件。 引导部分的作用是将病毒主体加载到内存．为传染部分做准备(如驻留内存，修 改中断，修改高端内存，保存原中断向璧等操作)。网络病毒通常在用户点激打开 邮件中的带病毒附加文件或点激带病毒的主页时，病毒主体加载到用户的计算机 内存。 3 阿络病毒的传染部分的最大特点是传播迅速，传染部分的作用是将病毒代码复制 到传染目标上去。不同类型的病毒在传染方式，传染条件上各有不同。如通常的 邮件病毒．将病毒邮件自动发给被感染用户的邮件表中的所有女口件用户。 4 表现部分是病毒间差异最大的部分，前两个部分也是为这部分服务的。大部分的 病毒都是有一定条件才会触发其表现部分的。如：以时钟、计数器作为触发条件 的或用键盘输入特定字符来触发的。这一部分也是最为灵活的部分．这部分根据 编制者的不同目的而千差万别，或者根本没有这部分。 2．1Activex和Java病毒 颇具效果的动画和立体感，然而，也正是由于它竹J的存在．使上网的企业霸1个人用户面临 新的不安全因素。 众所周知，由于内御I带宽的限制，用户下载网页