导　　师： 李仲麟

学科专业： H1202

授予学位： 硕士

作　　者： ;

机构地区： 华南理工大学

摘　　要： 计算机病毒对社会经济生活的影响越来越大，计算机反病毒技术是网络安全的一个重要研究内容。随着计算机技术的发展和网络的普及，网络蠕虫成为目前出现最多、影响最大的计算机病毒。 网络蠕虫与传统的计算机病毒不同，它不需要依附宿主程序，不需要借助用户或其他程序的干涉就可以自主的运行或传播，是一种独立的可执行程序。它不仅可以像传统病毒那样对被感染的系统(操作系统、应用程序、数据等)造成危害，而且对网络产生巨大的影响，浪费网络带宽，甚至造成网络瘫痪。所以网络蠕虫不仅具有传统计算机病毒的传染性和破坏性的特性，还具有一些网络入侵的特性(如：某些蠕虫对外传播可以造成对网络的拒绝服务攻击)。 现有比较成熟的反病毒软件可以对已知的网络蠕虫进行查杀，但其利用的反病毒技术主要是基于特征码扫描技术，忽略了蠕虫的网络特性，把网络蠕虫作为一般的计算机病毒来对待。现有的专门对网络蠕虫检测技术的研究多是基于入侵检测技术，重点根据蠕虫的网络入侵特性而忽略了蠕虫的病毒特性。以上两种防治蠕虫的方法没有对蠕虫特性进行全面考虑，存在一定的缺陷。 本文对蠕虫的特性进行了全面的考虑，综合传统的反病毒技术和入侵检测技术提出一个基于单个节点的蠕虫检测模型。该模型充分考虑了蠕虫的病毒特性和网络特性，解决了从单个节点预防已知和未知蠕虫的问题。该模型分为三个模块：网络监听模块借鉴网络监听和防火墙技术，用于截取可能存在蠕虫的网络数据包；蠕虫判断模块使用了特征码扫描和虚拟机技术，用于判断已知和未知的蠕虫病毒，其中虚拟机技术中还借鉴了入侵检测技术中的异常性检测技术来判断未知蠕虫的行为；响应模块实现蠕虫的清除和特征字段的提取。 本文对在WINDOWS操作系统下如何实现该模型进行了技术上的研究，并进行了网络监听模块的模拟实现和实验。验证了蠕虫的PE格式结构。总结了该模型存在的问题、需要进一步研究的问题和发展的方向。 各种安全技术的相互渗透和结合是网络安全发展的方向。本文针对网络蠕虫的防治进行了这方面的设计、研究和实现。

关 键 词： 反病毒 蠕虫病毒 病毒检测模型 网络监听 虚拟机 计算机病毒 网络安全 网络蠕虫 网络瘫痪 反病毒软件 网络蠕虫检测技术

分 类 号： [TP309.5 TP393.08]

领　　域： [自动化与计算机技术] [自动化与计算机技术] [自动化与计算机技术] [自动化与计算机技术]