篇一:网络安全技术论文
课程论文
课程名称 网络安全技术
题目名称__常见病毒种类与杀毒软件分析
学生学院 管理学院_
专业班级12级财务管理4班
学 号
学生姓名_ ________庄清耿__________
指导教师________曾启杰 ___________
2015 年1 月 日
常见病毒种类与杀毒软件分析
庄清耿指导教师:曾启杰
(广东工业大学管理学院,广州,510520)
摘 要 :本文主要介绍常见病毒产生,种类,并分析现有杀毒软件的工作原理。
关键词 :网络 病毒 种类 杀毒软件 ?
1. 计算机病毒的产生
1.1计算机病毒的起源
1977年,美国著名的ATT贝尔实验室中,三个年轻人在工作之余,很无聊的玩起一种游戏:彼此撰写出能够吃掉别人程序的程序来互相作战。这个叫做磁芯大战(core war)的游戏,将电脑病毒感染性的概念体现了出来。
1983年11月3日,一位南加州大学的学生弗雷德·科恩(Fred Cohen)在UNIX系统下,写了一个会引起系统死机的程序,但是这个程序并未引起一些教授的注意与认同。科恩为了证明其理论而将这些程序以论文发表,在当时引起了不小的震撼。科恩的程序,让电脑病毒具备破坏性的概念具体成形。
不过,这种具备感染与破坏性的程序被真正称之为病毒,则是在两年后的一本《科学美国人》的月刊中。一位叫作杜特尼(A.K.Dewdney)的专栏作家在讨论磁芯大战与苹果二型电脑时,开始把这种程序称之为“病毒”。
1.2计算机病毒的基本概念
计算机病毒是某些人利用计算机软、硬件所固有的脆弱性,编制的具有特殊功能的程序。它能通过某种途径潜伏在计算机存储介质(或程序)里,当达到某种条件时即被激活,它用修改其他程序的方法将自己的精确拷贝或者可能演化的形式放入其他程序中,从而感染它们,对计算机资源进行破坏。
我们可以从不同角度给出计算机病毒的定义:
(1)计算机病毒是通过磁盘、磁带和网络等媒介传播扩散,能“传染”其他程序的程序。
(2)计算机病毒是能够实现自身复制且借助一定的载体存在的具有潜伏性、传染性和破坏性的程序。
(3)计算机病毒是一种人为制造的程序,它通过不同的途径潜伏或寄生在存储媒体(如磁盘、内存)或程序里,当某种条件或时机成熟时,它会自生复制并传播,使计算机的资源受到不同程度的破坏等等。
《中华人民共和国计算机信息系统安全保护条例》第二十八条中明确对计算机病毒下了定义:“计算机病毒,是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码”。
综上所述,可知计算机病毒的产生原理及传播途径,如图1所示。
? 庄清耿(1993-),男,财务管理专业2012级(4)班。
(如:图1 框状流程图)
2. 计算机病毒的分类
根据病毒感染计算机途径的不同,可以把计算机病毒大致分为以下十类.
(1)系统病毒。系统病毒的前缀为WIN32等。这些病毒的一般公有的特性是可以感染Windows操作系统的*.exe和*.dll文件,并通过这些文件进行传播。如CIH病毒。
(2)蠕虫病毒。蠕虫病毒的前缀是Worm.这种病毒等的共有特性是通过网络或者系统漏洞进行传播,很大部分的蠕虫病毒都有向外发送带病毒邮件,阻塞网络的特性。
(3)木马病毒、黑客病毒。木马病毒的前缀是Trojan,黑客病毒前缀名一般为Hack。木马病毒的公有特性是通过网络或者系统漏洞进入用户的系统并隐藏,然后向外界泄露用户的信息,而黑客病毒则有一个可视的界面,能对用户的计算机进行远程控制。
(4)脚本病毒。脚本病毒的前缀是Script。脚本病毒的公有特性是使用脚本语言编写,通过网页进行传播的病毒。
(5)宏病毒。其实宏病毒也是脚本病毒的一种,由于它的特殊性,这里把它单独算成一类。该类病毒的公有特性是能感染Office系列文档,然后通过Office模板进行传播。
(6)后门病毒。后门病毒的前缀是Backdoor。该类病毒的公有特性是通过网络传播,给系统开后门,给用户计算机带来安全隐患。
(7)病毒种植程序病毒。这类病毒的公有特性是运行时会从体内释放出一个或几个新的病毒到系统目录下,由释放出来的新病毒产生破坏。
(8)破坏性程序病毒。破坏性程序病毒的前缀是Harm。这类病毒的公有特性是本身具有好看的图标来诱惑用户单击,当用户单击这类病毒时,病毒便会直接对用户计算机产生破坏。
(9)玩笑病毒。玩笑病毒的前缀是Joke,也称恶作剧病毒。这类病毒的公有特性是本身具有好看的图标来诱惑用户单击,当用户单击这类病毒时,病毒会做出各种破坏操作来吓唬用户,其实病毒并没有对用户计算机进行任何破坏。
(10)捆绑机病毒。捆绑机病毒的前缀是Binder。这类的公有特性是病毒作者会使用特定的捆绑程序将病毒与一些应用程序程序捆绑起来,表面上看是一个正常的文件,当用户运行这些文件时,会表面上运行这些应用程序,然后隐藏运行捆绑在一起的病毒,从而给用户造成危害。
通过以上的介绍,我们可以在查出某个病毒后通过以上所说的方法来初步判断所中病毒的基本情况。如图2所示。
(如:图2 树状结构图)
3. 杀毒软件的工作原理
3.1安装杀毒软件
杀毒软件从一定程度上讲,也可以算作一种病毒,但是它破坏和删除的只有病毒程序,从而避免正规文件程序受到病毒的攻击。杀毒软件需要取得计算机的最高权限,并在计算机未受到计算机病毒感染的情况下,才能起到监控保护作用。因此,当计算机系统安装完成的时候,首先就应该安装一款杀毒软件,如现在中国地区运用比较多的360安全卫士等,然后才能将计算机接入到网络,进行系统升级,只有将这些基本的安全措施做好以后,才能浏览网页。
3.2杀毒软件的相关功能
下面以360安全卫士为例,介绍常规杀毒软件的功能。
(1)电脑体检
体检功能可以全面的检查计算机的各项状况,同时可以让用户快速全面的了解自己的计算机,并提醒用户对计算机采取一些必要的维护措施。如:木马查杀,垃圾清理,漏洞修复等。定期体检可以有效的保持计算机的健康。点击360安全卫士的界面,体检会自动开始进行,体检完成后会提交给用户一份优化计算机的意见,用户可以根据个人的需要对计算机进行优化,也可以便捷的选择一键优化。
(2)木马查杀
木马查杀功能可以找出用户计算机中疑似木马的程序并在取得用户允许的情况下删除这些程序。木马对计算机的危害非常大,可能导致包括支付宝,网络银行在内的重要账户密码丢失。木马的存在还可能导致用户的隐私文件被拷贝或删除。所以及时查杀木马对安全上网来说十分重要。点击进入木马查杀的界面后,用户可以选择“快速扫描”“全盘扫描”和“自定义扫描”来检查您的电脑里是否存在木马程序。扫描结束后若出现疑似木马,您可以选择删除或加入信任区 。
这里我区分一下“快速扫描”“全盘扫描”和“自定义扫描”。因为计算机病毒大多被写入可执行程序,这样当病毒被激活时,才能起到破坏作用,而这就是区分快速扫描和全盘扫描的关键之处。
快速扫描:只扫描计算机中可执行程序部分和病毒容易入侵的区域,扫描范围窄,
速度
快,用时少。
全盘扫描:扫描计算机的全部磁盘文件,包括可执行程序和不可执行程序,如图片和影像视频,扫描范围广,速度慢,用时多。
自定义扫描:扫描用户指定的文件或文件夹,精准查杀木马。
(3)系统修复
Windows操作系统在逻辑上的缺陷或在编写时产生的错误,被称作是“系统漏洞”。系统漏洞可以被不法者或者电脑黑客利用,通过植入木马、病毒等方式来攻击或控制整个计算机,从而窃取计算机中的重要资料和信息,甚至破坏计算机的系统。 可通过单击页面上的“常规修复”和“漏洞修复”达到修复漏洞的目的,也就是我们常说的“打补丁”。
3.3杀毒原理
常规杀毒软件检测病毒的方法有:特征代码法、校验和法、行为监测法。这些方法依据的原理不同,实现时所需开销不同,检测范围也不同,各有所长。
(1)特征代码法:通过采集已知病毒样本,病毒如果既感染COM文件,又感染EXE文件,对这种病毒要同时采集COM型病毒样本和EXE型病毒样本。在病毒样本中,抽取特征代码时,要依据如下原则:抽取的代码比较特殊,不大可能与正常程序代码吻合。抽取的代码要有适当长度,一方面维持特征代码的唯一性,另一方面又不要有太大的空间与时间的开销。打开被检测文件,在文件中搜索,检测文件是否含有病毒数据库中的病毒特征代码。如果发现病毒特征代码,由于特征代码与病毒一一对应,便可以断定被查文件中患有何种病毒。
(2)校验和法:将正常文件的内容,计算其校验和,将该校验和写入文件中或写入别的文件中保存。在文件使用过程中,定期地或每次使用文件前,检查文件现在的内容算出的校验和与原来保存的校验和是否一致,因而可以发现文件是否感染。
(3)行为检测法:利用病毒的特有行为特征性来检测病毒的方法。通过对病毒多年的观察、研究,有一些行为是病毒的共同行为,而且比较特殊。在正常程序中,这些行为比较罕见。当程序运行时,监视其行为,如果发现了病毒行为,立即报警。
参考文献
1 许伟,廖明武主编,网络安全基础教程,北京:清华大学出版社,2009
篇二:网络安全技术:浅析网络安全技术
网络安全技术论文 :
浅析网络安全技术
摘要::随着计算机网络技术和互联网的飞速发展,网络攻击和入侵事件与日俱增,安全性已经成为网络安全技术中最关键的问题。本文主要介绍常见防火墙技术的分类及其主要特征。
关键词: 防火墙技术特征网络安全
1 引言
计算机网络的普及和网络技术的发展深刻地改变了传统的生产、经营、管理和生活方式,在构建信息防卫系统时,应着力发展自己独特的安全产品,要想真正解决网络安全问题,要从系统的规划上去考虑它,从技术上、产业上、政策上来发展它。网络安全是一个系统的概念,有效的安全策略或方案的制定,是网络信息安全的首要目标。通过运用多种网络安全技术,如数据加密技术、访问控制、认证授权、防火墙、入侵检测和防病毒等来实现信息安全。计算机网络的高速发展带给了人类巨大利益的同时,也带来了许多负面的影响,在网络安全体系中,为了弥补TCP/IP协议等各种安全漏洞,防火墙技术是很常用、很有效的防御系统,是网络安全防护的重要组成部分。
2 防火墙
防火墙是设置在不同网络或者不同网络安全域之间的一系列控制装置的组合。防火墙产品主要有堡垒主机、包过滤路由器、应用层网关以及电路层网关、屏蔽主机防火墙、双宿主机等类型。在逻辑上,防火墙是一个分离器、一个限制器,也是一个分析器,它有效地监控了所要保护的内部网和外部公共网络之间的任何活动。从理论上看,防火墙处于网络安全的最底层,负责网络间的安全认证与传输,但随着网络安全技术的整体发展和网络应用的不断变化,现代防火墙技术已经逐步走向网络层之外的其他安全层次,不仅要完成传统防火墙的过滤任务,同时还能为各种网络应用提供相应的安全服务。对网络之间传输的数据包依照一定的安全策略进行检查,用于确定网络哪些内部服务允许外部访问,以及内部网络主机访问哪些外部服务等,从而保证了所要保护的内部计算机网络的稳定正常运行以及内部网络上数据和信息资源的完整性、可用性和保密性。不同技术的防火墙实现的功能的侧重点不同,防火墙实际上代表了一个网络的访问控制原则。
2.1 防火墙的种类
从技术上看,防火墙有包过滤型、代理服务器型等几种基本类型。它们之间各有所长,具体使用哪一种或是否混合使用,要根据具体需求确定。
2.1.1 包过滤型
包过滤型防火墙是建立在路由器上,在服务器或计算机上也可以安装包过滤防火墙软件。包过滤型产品是防火墙的初级产品,网络上的数据都是以“包”为单位进行传输的,数据被分割成为一定大小的数据包,每一个数据包中都会包含一些特定信息,如数据的源地址、目标地址、TCP/UDP源端口和目标端口等。防火墙通过读取数据包中的地址信息来判断这些“包”是否来自可信任的安全站点,与网络管理员预先设定的访问控制表进行比较,确定是否符合预定义好的安全策略并决定数据包的放行或丢弃。这种防火墙的优点是简单、方便、速度快、透明性好,对网络性能影响不大,可以用于禁止外部不合法用户对企业内部网的访问,也可以用来禁止访问某些服务类型,但是不能识别内容有危险的信息包,无法实施对应用级协议的安全处理。发现来自危险站点的数据包,防火墙便会将这些数据拒之门外。包过滤技术的优点是简单实用,实现成本相对较低,能够以较小的代价在一定程度上保证系统的安全。包
过滤技术的缺陷也是明显的。包过滤在网络层上拦截所有的信息流,不保存与传输和应用相
关的状态信息。体现出一种无状态性。在包过滤技术里只要符合过滤规则的数据包就可以穿过防火墙,在内网和外网间建立连接,这样使得外部网可以访问内部网,无形中增加了内部网的危险性。
2.1.2 代理服务器型
代理服务器型防火墙是在计算机或服务器上运行代理的服务程序,直接对特定的应用层进行服务,因此也称为应用层网关级防火墙。安全性要高于包过滤型产品,并已经开始向应用层发展。代理服务防火墙在内部网中设置了一个代理服务器,并将外部网和内部网之间的连接分为两段,一段是从外部网上的客户端主机请求引到代理服务器,另一段由代理服务器连到内部网的某个主机服务器上。代理服务器型防火墙的核心,是运行于防火墙主机上的代理服务器进程,实质上是为特定网络应用连接企业内部网与Internet的网关。代理服务器型防火墙的缺点是可能影响网络的性能,对用户不透明,且对每一种TCP/IP服务都要设计一个代理模块,建立对应的网关,实现起来比较复杂。代理型防火墙的优点是安全性较高,可以针对应用层进行侦测和扫描,对付基于应用层的侵入和病毒都十分有效。
2.1.3 网络地址转化—NAT
网络地址转换是一种将私有地址转化为合法IP地址的转换技术,它被广泛应用于各种类型Internet接入方式和各种类型的网络中。NAT不仅解决了IP地址紧缺的问题,而且能使得内外网络隔离,提供一定的网络安全保障。内部网络通过安全网卡访问外部网络时,将产生一个映射记录。系统将外出的源地址和源端口映射为一个伪装的地址和端口,让这个伪装的地址和端口通过非安全网卡与外部网络连接,这样对外就隐藏了真实的内部网络地址。在外部网络通过非安全网卡访问内部网络时,它并不知道内部网络的连接情况,而只是通过一个开放的IP地址和端口来请求访问。
2.1.4 监测型
监测型防火墙技术超越了最初的防火墙的网络层定义以及只位于内部网络与外部网络间接口的位置定义。监测型防火墙产品带有分布式探测器,这些探测器安置在各种应用服务器和其他网络的节点之中,不仅能够检测来自网络外部的攻击,同时对来自内部的恶意破坏也有极强的防范作用。监测型防火墙能够对各层的数据进行主动的、实时的监测,在对这些数据加以分析的基础上,监测型防火墙能够有效地判断出各层中的非法侵入。基于对系统成本与安全技术成本的综合考虑,用户可以选择性地使用某些监测型技术。
3 结束语
随着网络的飞速发展,网络中的恶意软件越来越猖狂。为了尽最大可能地防范它们对网络和系统的破坏,需要采用防火墙等网络安全工具,在网络边界保护内部网络的安全。从以上分析来看各种网络安全技术都有各自的侧重点和优缺点,只有在网络系统中将各种安全防护技术结合起来使用,才能使网络安全得到最大限度的保护。
参考文献
李华飚等,防火墙核心技术精解,中国水利水电出版社,2005
.林晓东,杨义先.网络防火技术.电信科学出版社,1997.
.黎连业,张维.防火墙及其应用技术.北京:清华大学,2004.
篇三:网络安全技术论文
《网络安全技术》课程期
末考核(论文)
题目名称:Arp欺骗程序的实现
院系名称:计算机学院
班 级:网络122
学 号:201200824208
学生姓名:简进祥
授课教师:倪亮
2014 年 12月
目录
1.前言 ..................................................................................................... 2
1.1ARP简介 ............................................................................................................... 3
1.2课程研究目的和意义 .............................................................................................. 3
2.需求分析 ................................................................................................ 4
3.开发环境及程序框架 ................................................................................... 5
3.1开发环境 ............................................................................................................. 5
3.2程序框架 ............................................................................................................. 5
3.2实现设计的内容 .................................................................................................... 6
4.安装WinPcap........................................................................................ 7
4.1WinPcap简介 .................................................................................................... 7
4.2WinPcap功能 .................................................................................................... 7
4.1WinPcap安装 .................................................................................................... 8
5.程序主要代码 ........................................................................................ 10
5.1主程序代码 ........................................................................................................ 10
6.程序的运行 ........................................................................................... 17
6.1程序运行过程 ..................................................................................................... 17
7. ................................................................................................... 19
7.1程序总结 ........................................................................................................... 19
1.前言
2
1.1ARP简介 ARP(Address Resolution Protocol,地址解析协议)是获取物理地址的一个TCP/IP协议。某节点的IP地址的ARP请求被广播到网络上后,这个节点会收到确认 其物理地址的应答,这样的数据包才能被传送出去。ARP(是一个位于TCP/IP协议)栈中的底层协议,对应于数据链路层,负责将某个IP地址解析成对应的MAC地址。ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的进行。ARP是一种将IP地址转化成物理地址的协议。从IP地址到物理地址的映射有两种方式:表格方式和非表格方式。ARP具体说来就是将网络层(IP层,也就是相当于OSI的第三层)地址解析为数据连接层(MAC层,也就是相当于OSI的第二层)的MAC地址。
1.2课程研究目的和意义
ARP欺骗是黑客黑客常用的攻击手段之一,ARP欺骗分为二种,一种是对路由器ARP表的欺骗;另一种是对内网PC的网关欺骗。
第一种ARP欺骗的原理是——截获网关数据。它通知路由器一系列错误的内网MAC地址,并按照一定的频率不断进行,使真实的地址信息无法通过更新保存在路由器中,结果路由器的所有数据只能发送给错误的MAC地址,造成正常PC无法收到信息。第二种ARP欺骗的原理是——伪造网关。它的原理是建立假网关,让被它欺骗的PC向假网关发数据,而不是通过正常的路由器途径上网。在PC看来,就是上不了网了,“网络掉线了”。
一般来说,ARP欺骗攻击的后果非常严重,大多数情况下会造成大面积掉线。有些网管员对此不甚了解,出现故障时,认为PC没有问题,交换机没掉线的“本事”,电信也不承认宽带故障。而且如果第一种ARP欺骗发生时,只要重启路由器,网络就能全面恢复,那问题一定是在路由器了。为此,宽带路由器背了不少“黑锅”。
我们研究的目的就是为了程序实现ARP欺骗,对ARP欺骗进行进一步的认识并提出防范。
? 3 ?
2.需求分析
现在的网络已经越来圆全了,ARP欺骗也越来越多,而ARP欺骗带来的问题也随之增多。我们要学会解决这些问题。
ARP的工作原理是首先,每台主机都会在自己的ARP缓冲区中建立一个 ARP列表,以表示IP地址和MAC地址的对应关系。当源主机需要将一个数据包要发送到目的主机时,会首先检查自己 ARP列表中是否存在该 IP地址对应的MAC地址,如果有﹐就直接将数据包发送到这个MAC地址;如果没有,就向本地网段发起一个ARP请求的广播包,查询此目的主机对应的MAC地址。此ARP请求数据包里包括源主机的IP地址、硬件地址、以及目的主机的IP地址%a
