本文作者：蔣敘 倪崢 單位：重慶市大足區(qū)公安局

隨著計(jì)算機(jī)以及網(wǎng)絡(luò)技術(shù)的全面普及和發(fā)展，網(wǎng)絡(luò)病毒利用網(wǎng)絡(luò)全球互聯(lián)的優(yōu)勢(shì)和計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的漏洞進(jìn)行傳播，已成為計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全的重要威脅．深入研究計(jì)算機(jī)網(wǎng)絡(luò)病毒傳播的技術(shù)特征、傳播模型以及仿真結(jié)果，對(duì)計(jì)算機(jī)網(wǎng)絡(luò)病毒傳播及自動(dòng)化防御進(jìn)行研究，具有極為重要的意義與價(jià)值．

目前，關(guān)于計(jì)算機(jī)網(wǎng)絡(luò)病毒的理解主要有兩類思想和觀點(diǎn)［1－2］，一類是狹義的思想和觀點(diǎn)，另一類是廣義的思想和觀點(diǎn)．狹義的思想和觀點(diǎn)認(rèn)為，計(jì)算機(jī)網(wǎng)絡(luò)病毒應(yīng)當(dāng)嚴(yán)格局限于計(jì)算機(jī)網(wǎng)絡(luò)范圍之內(nèi)．換句話說(shuō)，就是充分利用計(jì)算機(jī)網(wǎng)絡(luò)協(xié)議及計(jì)算機(jī)網(wǎng)絡(luò)體系、結(jié)構(gòu)等作為其傳播途徑、方式和機(jī)制，同時(shí)該類病毒的破壞對(duì)象也僅僅是面向計(jì)算機(jī)網(wǎng)絡(luò)的，就稱之為計(jì)算機(jī)網(wǎng)絡(luò)病毒;廣義的思想和觀點(diǎn)認(rèn)為，不論計(jì)算機(jī)網(wǎng)絡(luò)的破壞是針對(duì)網(wǎng)絡(luò)計(jì)算機(jī)本身，還是針對(duì)計(jì)算機(jī)網(wǎng)絡(luò)的，只要能夠在計(jì)算機(jī)網(wǎng)絡(luò)上進(jìn)行傳播，并能夠產(chǎn)生一定的破壞作用的病毒就可稱之為計(jì)算機(jī)網(wǎng)絡(luò)病毒．凡本文提到網(wǎng)絡(luò)病毒之處，均指計(jì)算機(jī)網(wǎng)絡(luò)病毒這一廣義概念．

1計(jì)算機(jī)網(wǎng)絡(luò)病毒的現(xiàn)狀［3］

1．1網(wǎng)絡(luò)己成為病毒傳播的主要途徑

在人們的日常生活中，Internet越來(lái)越普及，通過(guò)網(wǎng)絡(luò)以及電子郵件進(jìn)行傳播的病毒逐步增多，比如木馬、郵件、惡意程序、網(wǎng)絡(luò)蠕蟲等等，通過(guò)網(wǎng)絡(luò)傳播以后，在短時(shí)間里就可在全世界廣泛傳播．計(jì)算機(jī)網(wǎng)絡(luò)使得病毒傳播已不受時(shí)間及空間的制約，現(xiàn)代網(wǎng)絡(luò)已經(jīng)成為病毒傳播的主要媒介及途徑．

1．2病毒種類越來(lái)越多

隨著科技信息的日新月異，計(jì)算機(jī)技術(shù)得到全面快速發(fā)展，計(jì)算機(jī)軟件日益呈現(xiàn)多元化．同樣，計(jì)算機(jī)病毒的種類也呈現(xiàn)多元化發(fā)展趨勢(shì)．實(shí)際上，計(jì)算機(jī)病毒已經(jīng)不僅僅為一種引導(dǎo)型病毒了，不但簡(jiǎn)單型、混合型以及宏病毒層出不窮，而且還出現(xiàn)了專門針對(duì)特定文件或者程序的高難度病毒．另外，一些病毒制造者還充分利用Ja-va、VB和ACtiveX的基本特性來(lái)編寫特定病毒．此外，隨著無(wú)線網(wǎng)絡(luò)的開通，目前還出現(xiàn)能在無(wú)線網(wǎng)絡(luò)上進(jìn)行傳播的手機(jī)病毒．

1．3病毒的破壞性越來(lái)越大

過(guò)去，計(jì)算機(jī)病毒破壞主要表現(xiàn)在DOS下對(duì)硬盤數(shù)據(jù)進(jìn)行格式化處理．目前，針對(duì)計(jì)算機(jī)硬件進(jìn)行破壞的新型病毒已經(jīng)發(fā)展到利用Win-dows的Vxd技術(shù)，對(duì)計(jì)算機(jī)主板BIOS和硬盤數(shù)據(jù)進(jìn)行破壞．甚至有的還通過(guò)植入木馬程序等技術(shù)手段，大量對(duì)計(jì)算機(jī)目標(biāo)系統(tǒng)的數(shù)據(jù)、資料進(jìn)行竊取、破壞和攻擊，從而使得計(jì)算機(jī)系統(tǒng)無(wú)法正常運(yùn)行．值得一提的是，越來(lái)越多的網(wǎng)絡(luò)病毒已經(jīng)大肆占據(jù)了網(wǎng)絡(luò)資源，使得網(wǎng)絡(luò)在短時(shí)間內(nèi)出現(xiàn)癱瘓等不良現(xiàn)象．

2計(jì)算機(jī)網(wǎng)絡(luò)病毒的傳播模式研究

2．1網(wǎng)絡(luò)病毒傳播的基本模式分析

2．1．1通過(guò)E－mail傳播

通過(guò)E－mail進(jìn)行傳播是計(jì)算機(jī)網(wǎng)絡(luò)病毒在網(wǎng)絡(luò)上得以全面?zhèn)鞑サ闹饕緩街唬芏嗑W(wǎng)絡(luò)病毒都使用這一傳播途徑．實(shí)際上，在網(wǎng)絡(luò)上傳送電子郵件，染毒郵件正不斷增加．染毒郵件在網(wǎng)絡(luò)上泛濫，已嚴(yán)重影響了正常的信息交換．病毒在E－mail中的存在，主要有以下幾種方式:1)感染E－mail正文．E－mail正文可以是純文本或者h(yuǎn)tml文本，能夠被病毒感染的就是E－mail正文的html文本．病毒感染html文件主要有兩種方法，一是在其中直接加入惡意的腳本語(yǔ)言代碼，二是加入對(duì)惡意程序的引用．這里所說(shuō)的惡意程序，可存在于電子郵件的附件中，也可利用URL的遠(yuǎn)程進(jìn)行調(diào)用．2)存在于E－mail附件中，并把病毒體自身或者染毒程序作為附件進(jìn)行發(fā)送．值得注意的是，有的病毒比如VBSKJ病毒，雖不會(huì)主動(dòng)發(fā)送電子郵件，但是如果修改了計(jì)算機(jī)系統(tǒng)中的Mi-erosoftOutlookExpreSS或者M(jìn)ierosoftOutlook2000/XP設(shè)置，采用了html格式的信紙撰寫郵件，所有的信紙就會(huì)被全部感染．所以，當(dāng)發(fā)送電子郵件時(shí)，計(jì)算機(jī)網(wǎng)絡(luò)病毒就可以自動(dòng)感染電子郵件正文，這一方式更具隱蔽性．3)獲取計(jì)算機(jī)系統(tǒng)控制權(quán)．當(dāng)病毒通過(guò)E－mail到達(dá)接收端以后，一般都是通過(guò)以下方法獲取計(jì)算機(jī)系統(tǒng)的控制權(quán)．一是利用欺騙手段，使計(jì)算機(jī)用戶執(zhí)行被感染的文件，而病毒就會(huì)用多變的特征，吸引和誘騙人們，進(jìn)而達(dá)到傳播的目的．二是利用系統(tǒng)漏洞．如前面分析，html格式的E－mail正文可以被感染病毒．如果使用瀏覽器為IE5．0的話，且其安全等級(jí)設(shè)定在中級(jí)或者更低級(jí)時(shí)，病毒就能夠直接啟動(dòng)并運(yùn)行，期間，IE不會(huì)給用戶任何的提示．病毒常常利用微軟IE異常處理MIME漏洞進(jìn)行，因?yàn)檫@一漏洞使IE在解釋一些html電子郵件時(shí)，由于不能正確處理一些代碼而引起附件自動(dòng)下載，且更為嚴(yán)重的是下載結(jié)束后會(huì)自動(dòng)打開附件．即使IE在解釋帶病毒郵件時(shí)提示用戶，其提示信息也可能被病毒修改為txt之類的無(wú)害信息等．三是前面兩種方式綜合運(yùn)用．在一些計(jì)算機(jī)系統(tǒng)漏洞中，并不會(huì)使病毒直接運(yùn)行，但是可能會(huì)被病毒利用并作為其偽裝．特別是含有那些雙擴(kuò)展名的文件，即使關(guān)閉了“隱藏已知文件類型的擴(kuò)展名”選項(xiàng)后，仍能顯示為txt文件，具有很強(qiáng)的欺騙性．

2．1．2通過(guò)自動(dòng)掃描傳播

1)直接改寫系統(tǒng)文件．這是病毒通過(guò)局域網(wǎng)絡(luò)進(jìn)行傳播時(shí)的獨(dú)特方法．有的局域網(wǎng)絡(luò)上的機(jī)器，其系統(tǒng)文件都為遠(yuǎn)程可寫的．此外，有的病毒可以通過(guò)在局域網(wǎng)絡(luò)中尋找可寫win．ini或者注冊(cè)表文件并進(jìn)行修改，便于下次重新啟動(dòng)以后蠕蟲病毒被自動(dòng)執(zhí)行．有的病毒還可以直接拷貝本身到局域網(wǎng)絡(luò)內(nèi)可寫啟動(dòng)目錄中．2)通過(guò)服務(wù)器傳播．病毒可以利用一些常見的漏洞，使得病毒獲得遠(yuǎn)程服務(wù)器主機(jī)的控制權(quán)．隨后，病毒就可以隨意傳染和攻擊計(jì)算機(jī)系統(tǒng)及網(wǎng)絡(luò)服務(wù)器．而后，又通過(guò)網(wǎng)絡(luò)服務(wù)器，傳染到訪問(wèn)這個(gè)服務(wù)器的所有客戶計(jì)算機(jī)．此外，還有的病毒可以在局域網(wǎng)絡(luò)內(nèi)自動(dòng)搜索FTP，并向其上傳一些帶毒的文件，然后再利用社交工程對(duì)用戶進(jìn)行欺騙，進(jìn)而實(shí)現(xiàn)下載并自動(dòng)被執(zhí)行．

2．2網(wǎng)絡(luò)病毒傳播的模型研究

因?yàn)橛?jì)算機(jī)網(wǎng)絡(luò)病毒是以網(wǎng)絡(luò)傳播為主要途徑，實(shí)際上，計(jì)算機(jī)網(wǎng)絡(luò)病毒在潛伏、傳染以及攻擊方面都同生物病毒傳播的模型比較相似，所以在計(jì)算機(jī)網(wǎng)絡(luò)病毒的模型研究及其防御系統(tǒng)研究中，都在很大程度上運(yùn)用了生物學(xué)病毒的很多研究成果及方式［4］．本文研究的計(jì)算機(jī)網(wǎng)絡(luò)病毒傳播模型，就是以生物學(xué)模型為前提和基礎(chǔ)的．

2．2．1計(jì)算機(jī)網(wǎng)絡(luò)病毒傳播模型探討

一般而言，計(jì)算機(jī)網(wǎng)絡(luò)作為由若干計(jì)算機(jī)按一定連接方式組成的集合之一，這些計(jì)算機(jī)在物理連接方面具有一定的結(jié)構(gòu)與特征．而計(jì)算機(jī)網(wǎng)絡(luò)病毒的傳播，則需要借助一定的載體，比如E－mail或者用戶操作等．此外，計(jì)算機(jī)網(wǎng)絡(luò)病毒傳播有不同的條件以及途徑．因此，所處的傳播環(huán)境可以抽象地分為同構(gòu)混合環(huán)境與隨機(jī)結(jié)構(gòu)環(huán)境兩種．從這種意義上看，這個(gè)結(jié)構(gòu)并不是網(wǎng)絡(luò)連接的結(jié)構(gòu)，而是指網(wǎng)絡(luò)節(jié)點(diǎn)之間通過(guò)信息交流，包括傳輸文件、電子郵件等形式產(chǎn)生聯(lián)系而具有的結(jié)構(gòu)．計(jì)算機(jī)網(wǎng)絡(luò)病毒也正是通過(guò)這種聯(lián)系而得以廣泛傳播的．1)同構(gòu)混合環(huán)境．在計(jì)算機(jī)網(wǎng)絡(luò)中，其任意節(jié)點(diǎn)都是其它節(jié)點(diǎn)的鄰居，每一節(jié)點(diǎn)都可以感染其它節(jié)點(diǎn)和被其它節(jié)點(diǎn)所感染，其被感染的概率幾乎相同，即每一被感染節(jié)點(diǎn)都有相同數(shù)量的沒有被感染的鄰居，每一未被感染的節(jié)點(diǎn)也都可能會(huì)被數(shù)量相同的感染節(jié)點(diǎn)感染．在這種環(huán)境下，計(jì)算機(jī)網(wǎng)絡(luò)病毒傳播的模型是一個(gè)具有確定性、連續(xù)的分析模型．這個(gè)模型是在生物學(xué)病毒傳播的基本原理上，根據(jù)同構(gòu)混合環(huán)境的基本特點(diǎn)而構(gòu)建的，這一模型屬于白箱模型．2)隨機(jī)結(jié)構(gòu)環(huán)境．隨機(jī)結(jié)構(gòu)的計(jì)算機(jī)網(wǎng)絡(luò)環(huán)境就是指計(jì)算機(jī)網(wǎng)絡(luò)中的用戶通過(guò)一定的方式進(jìn)行信息交流，這種個(gè)體間聯(lián)系的特征，就是計(jì)算機(jī)網(wǎng)絡(luò)中每一個(gè)節(jié)點(diǎn)的鄰居只為整個(gè)計(jì)算機(jī)網(wǎng)絡(luò)中的一個(gè)部分，且發(fā)生聯(lián)系的事件具有一定的隨機(jī)性．按照建模的目的，我們又可以把其分為分析、描述以及預(yù)報(bào)等模型．而按對(duì)客觀現(xiàn)象內(nèi)部機(jī)理的了解程度，則又可以分為白箱、灰箱和黑箱等模型．