浅谈基于气象大数据环境下的网络病毒问题及防范措施.pdf

1、常晏平：浅谈基于气象大数据环境下的网络病毒问题及防范措施浅谈基于气象大数据环境下的网络病毒问题及防范措施常晏平1（青海省气象信息中心，西宁8 10 0 18）摘要：在网络空间安全理论中，网络病毒以传染性、破坏性强等特点持续危害着网络空间以及个人计算机的安全，针对气象系统大数据的环境，计算机与服务器呈现高度集约化的状态，防范病毒十分重要。本文主要针对现阶段流行的网络挖矿蠕虫病毒WannaMine为例，简要介绍该病毒状况、工作原理及工作流程，提出相应的防范措施，同时阐述目前气象系统使用的NGSOC态势感知平台在防范此类病毒方面的作用。的数据包，导致中毒系统或服务器卡死无法使用。引言近年来，青海气象

2、信息化发展迅猛，大部分业务病毒，是网络中能够对计算机产生较强危害性系统以及平台都已实现高度集群化和自动化，气象的主体之一，广义上认为，能够危害计算机服务器组防灾减灾能力大幅度提升，监测预报预警能力不断件以及一系列操作系统或软件的都被定义为网络病提高，随着业务能力提高的同时，青海气象信息的网毒。网络病毒,这个病毒的定义针对于网络世界中某络安全防护能力也在不断提升。随着信息时代高速个程序员为实施攻击或破坏行为而编写的恶意代发展，网络病毒的种类以及攻击手段也在不断更新，码,而非现实世界中生物病毒的定义。网络病毒,通对于新型病毒进行及时研判，针对性地分析并且得过其运转的原理和特点可以大概分为主动型病毒

3、和到对应防范措施，能够有效地提升青海气象信息系潜伏性病毒，主动型病毒例如蠕虫病毒,通过利用计统的动态防护能力，这对于进一步提升气象业务能算机或者服务器中操作系统的漏洞对目标内网中的力具有深刻的现实意义的。设备进行大范围、破坏性极强的攻击行为；潜伏性病1研究对象毒比如木马程序，木马程序一般利用网站或者系统的后门,从而潜伏在系统或者网站中,木马会在后台将用户的qq密码、个人资料、关键文件等敏感信息偷偷截取下来，通过隐秘手段发给收集者。无论那种病毒，对于计算机或者网站服务器的危害都是十分明显的，中了蠕虫病毒的电脑,通常表现为系统内存占用率一直在9 0%左右且无法下降，网络速度也会变慢，这是因为蠕虫病

4、毒会在后台向电脑发送大量1.1#挖矿蠕虫病毒简介2017年，相关研究人员在网络上曝光美国国家安全局下属网络安全部门黑客组织和部分社会黑客组织的攻击工具，其中就包括一款利用“永恒之蓝”漏洞叫进行SMB攻击的功能模块,并被挖矿蠕虫病毒WannaMine利用。挖矿病毒简单理解就是非法人侵计算机或者服务器并且通过调用资源进行入侵者1作者简介：常晏平（19 9 5年一），男，大学本科，助理工程师，主要从事气象信息网络安全工作。E-mail:。-104-第4期2022年12 月个人的非法盈利或者其他非法活动。以最近网络攻防中监控到的WannaMine挖矿蠕虫病毒为例，该病毒主要利用系统预留给用户的动态链接

5、库形成系统后门预加载的恶意动态链接，该链接会阻止正常库函数的调用，造成正常库函数的“短路”，本来这种技术的产生是为了重写系统中有漏洞的函数从而达到修复库函数漏洞的目的，但是这一系统后门却被黑客加以利用，通过屏蔽所有可操作病毒文件的库函数，从而达到自我保护与隐秘破坏的目的。watchdogs青海气象Journal of Qinghai Meteorology1.2挖矿蠕虫病毒工作原理watchdogs病毒进程会添加恶意动态链接，覆盖掉原有的系统库函数，类似在原有的系统库函数外面加了一个壳,当某个地方执行access 函数的时候，病毒脚本就会被添加进 crontab2，c r o n t a b

6、2 执行病毒脚本，而脚本会执行watchdogs 病毒进程，如此反复。仅删除crontab2脚本并不能起到作用,因为病毒的自我保护措施，覆盖了几乎所有能操作到病毒的命令，很难通过系统命令来清除病毒链接库。自我保护措施短路库函数(stat、r md i r)动态链接库中添加恶意动态链接NO.4Dec.2022access创建攻击函数病毒脚本添加到crontab图1挖矿蠕虫病毒工作原理1.3挖矿病毒的工作流程首先观察系统中1s库函数。1.rootLinux:$which ls2./bin/1s从上命令可以看到ls命令在/bin/ls下，然后去寻找ls函数所属的包。1.rootLinux:$dpkg

7、-s/bin/ls2.coreutils:/bin.1sls命令属于coreutils包，通过分析函数包的ls.c文件可以看到ls命令的工作原理。1.CaSe DEREF_COMMAND_LINE_ARGUMENTS:2.Case DEREF_COMMAND_LINE_SYMLINK_TO_DIR:3.if(explicit_arg)-105-青海气象信息网络4.5.6.7.8.9.10.11.12.13.14.break;9.15.16.or stat succeeded,PATH does not refer to a17.directory,and-dereference-command

8、-line-symlink-to-dir isin effect.Fall through so that we call lstat instead.*/18.int need_lstat;err=stat(path,&filesfiles_index.stat);if(dereference=DEREF_COMMAND_LINE_ARGUMENTS)break;need_lstat=(err 现、迅速处理和有效回溯，从根本上杜绝了相同病毒、相同攻击的人侵行为再次发生。4总结与展望病毒，是对网络空间和个人数据资产安全的重大威胁，在各个时段，世界各地都有过大面积爆发病毒并且导致个人甚至国家资产

9、蒙受巨大损失的历史，网络病毒的发展历经脚本、嵌人式的发展，到现在已经呈现出更加隐蔽化、迅速化和手段更加多样化的趋势。本文以挖矿虫病毒为例,从病毒工作原理得出相应的防范措施，并且就气象系统使用的NGSOC平台的先进性和功能性人手,对整个平台的功能和特点进行了简要概述。针对目前网络病毒的发展态势，未来网络空间防范病毒要从病毒的工作原理人手,将病毒去隐蔽化,降低已入侵病毒的破坏性,提升网络使用者的安全意识,阻断病毒滋生和传播的途径。参考文献：1张德政,王娜娜“永恒之蓝”变种挖矿蠕虫WannaMine的安全技术防护研究.信息安全研究，2 0 19,5(0 2)：135144.2郭迪,赵政文,王玺.基于cron的计划任务时间管理的设计与实现.现代电子技术,2 0 11,34(14):6 2 6 4+7 4.3般亚玲.基于态势感知系统的网络安全防护与应用.科技风,2 0 2 0(33):10 2 10 3.-108-