本站原创摘 要:随着医院现代化建设的发展,网络成为支撑医院信息化的重要基石,因此网络安全显得尤为重要.然而病毒却对网络安全构成严重威胁,随着计算机的普及,以及人们对医疗信息化的依赖,使得人们愈加重视网络的安全,因为一旦造成病毒的传播将严重影响了人们的正常就医.该文分析了常见的几类病毒的攻击原理以及IPS(入侵防御系统)如何对其进行防御,并简要介绍网络防御病毒面临的挑战.
关 键 词:病毒;网络安全;IPS;网络防御
中图分类号:TP393文献标识码:A文章编号:1009-3044(2014)22-5192-03
计算机病毒是指编制者在计算机程序中插入的破坏计算机功能或者破坏数据、影响计算机使用并且能够自我复制的一组计算机指令或者程序代码.计算机病毒可以像生物病毒一样进行繁殖,但它不是自然产生的,而是人为编写的.因此是否具有繁殖性、感染性、破坏性等特征是判断某段程序为计算机病毒的主要条件.计算机病毒可以通过各种可能的渠道进行传播,如可移动存储介质、计算机网络去传染其他的计算机.当在一台机器上发现病毒时,往往曾在这台计算机上用过的U盘已感染上了病毒,而与这台机器相联网的其他计算机可能也被该病毒感染.要彻底解决病毒带来的安全威胁,除了计算机本地的查杀以外,必须切断病毒的传播途径,严防病毒的传播.随着计算机病毒的发展,只要是能够进行数据交换的介质都有可能成为计算机病毒的传播途径.就目前比较流行的病毒传播行为分析,传播途径主要有两种:一种是通过网络传播,一种是通过移动硬件设备传播.由于互联网的普及性及全球互联互通属性,网络传播是现代病毒几乎不可缺少的传播途径.网民们在收发电子邮件、浏览网页、下载软件、使用即时通讯软件聊天、进行网络游戏时,都有可能感染并传播病毒.网络连接的频繁性与广泛性,已被病毒充分利用,使其成为病毒防治的重要区域.
1文件型病毒与宏病毒
文件病毒一般是通过操作系统中的文件系统进行感染的病毒.这类病毒大多寄生在可执行文件上,使文件字节数变大,劫持启动主程序的可执行指令,跳转到自身的运行指令.一旦运行感染了病毒的程序文件,病毒便被激发,进行自我复制.宏病毒是寄生在文档或模板宏中的计算机病毒,这类病毒可以通过Word/Excel文档或模板进行传播,在Normal模板(Normal.dot)中可以被找到.宏是一段批处理程序指令,用于代替部分人工操作以提高效率.Word/Excel支持VBA(VisualBasicforApplications)做为宏的编写语言.
如图1所示,打开病毒文档会运行auto_open,首次运行会感染StartUp.xls.当打开未被感染的Excel文档时,StartUp.xls作为模板会自动运行auto_open,通过cop函数感染当前打开的Excel文档.
当感染Manalo宏病毒的文件在网络中被访问或拷贝、发送时,通过在网络中接入IPS等专业设备可以对数据报文进行深度分析检测.IPS首先进行协议分析,识别出流量中邮件附件的接收与发送,以及文件通过HTTP或FTP等方式的存取,并判断出传输文件的类型,然后IPS对Excel中的宏代码进行扫描,根据auto_open函数中感染StartUp.xls的指令判断此文件为病毒文件,并对当前数据报文进进拦截,使病毒文件的网络传输不能成功,从而阻断病毒在网络中的传播.通过相似的原理,可以根据病毒中的恶意指令序列对文件型病毒进行传输阻断.
2蠕虫病毒
蠕虫病毒是专门通过网络传播的病毒,它不需要像文件型病毒那样将其自身附着到宿主程序.这类型病毒一般会利用网络中计算机系统的漏洞进行传播,无需计算机使用者干预,能够自主的不断复制与传播.蠕虫病毒通过网络复制,传播速度极快,有可能会造成网络拥塞瘫痪.我院曾经使用IPS设备,截获了一个利用WindowsRPC(RemoteProcedureCall)漏洞进行传播的蠕虫病毒.感染该病毒的主机会向网络中的所有Windows主机发出RPC请求,该请求利用Windows的RPC漏洞可以使请求中携带的恶意指令得到执行.这些指令加载病毒运行必需的动态链接库urlmon.dll,调用该库中的URLDownloadToFileA函数从病毒作者所指定的怎么写作器路径(其URL为http://182.62.247.4:24553)下载文件到本地文件00.scr,并执行该文件.一旦00.scr被执行,一个完整的感染过程就完成了.接收RPC请求的主机被感染后会向网络中的所有Windows主机发送被感染时收到的RPC请求,开始下一个感染网络中其它主机的循环.
利用计算机系统漏洞进行传播的蠕虫是传播速度最快的,如果仅在本地主机上进行查杀,工作量很大而且相当困难.只有在网络层面进行防治,才能够有效的隔离蠕虫病毒的传播.以前文提到的蠕虫病毒为例,部署在网络中的IPS设备能够对RPC请求报文进行深度检测,如果发现有异常的RPC请求在利用RPC漏洞,将会对其进行阻断,如图2所示.由于是从蠕虫病毒利用的漏洞入手进行防御,只要是利用相同漏洞的任何蠕虫病毒变种,都无法进行传播.更为重要的是IPS上报的病毒日志信息能够引导管理员发现网络中已经感染蠕虫病毒的主机,修复网络中的安全短板,从而提升整个网络的安全性.
3
是指隐藏在正常程序中的一段具有特殊目的的恶意代码,是具备破坏或窃取文件、记录发送、远程控制等特殊功能的后门程序.木马与PcAnywhere等远程控制软件部分相似,区别在于远程控制软件是善意的、公开的,而是恶意的,而且具有很高的隐蔽性.感染的主机会监听某一端口等待木马控制者连接进行控制,或者主动连接恶意代码中指定好的控制端,上传窃取的文件、,甚至请求木马控制端进行控制.目前比较流行的银行帐号的木马,一般会通过邮件把帐号和发送到木马植入者的电子.目前的传播,比较重要的途径是网页浏览与电子邮件,一些访问量比较大而安全性比较差的网站,容易被入侵,网页中可能会被植入木马,即所谓的网页挂马.网页挂马可导致木马在网站访问人群中大面积传播.
网络防治可以从阻断传播与拦截远程控制两方面对病毒进行遏制.在传播方面,IPS等网络防御设备有深度检测的功能,能阻断携带的邮件、网页,对的传播可以进行有效的限制.在木马的远程控制方面,网络防治有特殊的优势,的远程控制部分相对来说功能与行为比较固定,一般不会随着的变异而变化,例如会向指定的或地址发送窃取的帐号,通过固定的协议接受或请求远程控制等.会把受害主机的系统信息,例如系统版本号,以固定协议格式发送到控制怎么写作器上.IPS通过这些、地址、协议信息可以对木马的远程控制环节进行拦截,使用木马植入者的恶意图谋不能够得逞,同样IPS的日志能精确指出网络中被植入木马的主机IP,为的查杀明确目标.
4网络防治病毒面对的挑战
病毒经常会被“加壳”(对程序指令进行压缩或加密),以隐藏和保护自己.由于加壳的方法变化万千,如果不对指令的执行进行动态跟踪,仅通过加壳后的文件本身很难判别文件是否携带病毒.而在网络环境下,受网络设备处理性能及缓存空间的限制,很难从数据流中重组完整的文件,更不要说动态跟踪执行程序指令.受制于网络检测环境的局限性,提高识别的成功率与降低误识别概率一直是网络安全检测设备的重要改进目标.因此,目前仅仅依靠网络安全设备来防御病毒是不完备的,终端防御与网络防御并重才是比较完备的解决方案.
5结论
随着网络的迅猛发展,各种新型病毒还将不断的出现,只有做好医院网络的防御工作,同时使用有效IPS系统才能抵御各种入侵.然而医院网络安全不能依赖单一的安全技术手段,必须要构建一个从管理上和技术上都比较完整的方案才能真正维护好医院的网络环境,抵御病毒的入侵.