病毒系统范文

病毒系统范文（精选12篇）

病毒系统 第1篇

校园网络环境中最常见的蠕虫病毒主要有Sys Anti病毒和暴风一号等,俗称U盘病毒。这些蠕虫病毒的共同特点是由一个可执行文件和一个Autorun.inf文件组成,传播的机理是当用户双击了病毒所在的驱动盘(最初是U盘,少数情况右击也可能),计算机系统就执行了驱动盘中的Autorun.inf文件,由该文件击活关联的可执行文件,于是病毒开始传播,并很快感染计算机系统所有的驱动盘。

考虑到校园网络中计算机的数量庞大,U盘的使用极其普遍,本文将研究一种经济实用的防御系统,该系统可以解决常见的U盘蠕虫病毒传播问题,能基本保证校园网络中教学和科研的用机安全。

1 蠕虫防御系统构成

本系统将由两个模块构成:一个应用程序模块和一个驱动程序模块。

驱动程序模块是一个文件过滤系统,属于NT式驱动程序,其作用是给U盘设备加载一个钩子设备,拦截用户对U盘的操作。基本原理是:当用户通过双击或右击操作打开U盘时,产生的IRP(I/O Request Package,I/O请求包)不象往常一样发送到U盘设备对应的文件系统,而是先发送到钩子设备对应的文件过滤系统,由文件过滤系统中的特定例程判断是否存在蠕虫病毒。如果存在蠕虫病毒,先删除病毒文件,然后往下传递IRP;否则,直接往下传递IRP,让文件系统正常处理用户操作。

应用程序模块设置成计算机系统启动后自动执行,其主要作用是加载文件过滤系统,并遍历计算机系统所有驱动盘,找出U盘;然后通过Device Io Control函数发送IRP_MJ_DEVICE_CONTROL类型的IRP给文件过滤系统,通知其对U盘加载钩子设备。

2 蠕虫防御系统的实现

应用程序模块和驱动程序模块分开实现,如图1所示:

驱动程序模块由VC6.0+DDK2000工具包开发,采用NT式驱动程序类型,程序中主要包含一个DriverEntry入口函数,一个Dispatch派遣函数和若干Routine例程函数。

应用程序模块由VC6.0开发,采用Win32 Application程序类型,程序中主要包含一个Win Main主函数和一个Wnd Proc消息处理函数。

2.1 驱动程序模块

驱动程序模块的主要函数有:Driver Entry,DriveMonDispatch,DriveMonDeviceRoutine,DriveMonHook Routine。

2.1.1 Driver Entry函数

驱动程序的入口,名字固定,主要完成的功能如下。

(1)创建功能设备对象(FDO),语句如下:

(2)创建符号连接(Symbolic Link),符号连接提供应用程序访问功能设备的另外名称,因为应用程序不能直接使用功能设备名称。语句如下:

(3)定义派遣函数,派遣函数用以分发处理发送到驱动程序的不同类型的IRP。语句如下:

这里简单的把所有的IRP请求都发送到统一的派遣函数Drive Mon Dispatch,在该函数中再区分是操作系统发送的IRP还是防御系统中应用程序发送的IRP。

2.1.2 Drive Mon Dispatch函数

统一接收不同类型的IRP,然后判断具体某个IRP是来自操作系统(由用户操作产生)还是来自本防御系统中的应用程序模块,分别交由Drive MonHook Routine和Drive Mon Device Routine例程来处理。关键语句如下:

2.1.3 Drive Mon Device Routine函数

用以处理来自应用程序模块的IRP,主要类型有IRP_MJ_CREATE,IRP_MJ_CLOSE,IRP_MJ_DEVICE_CONTROL等。IRP_MJ_CREATE和IRP_MJ_CLOSE分支中只要简单的加入以下语句,表示成功完成IRP即可[1]。

而IRP_MJ_DEVICE_CONTROL分支是重点,该IRP来自应用程序的Device Io Control函数调用,在这里主要完成对指定的U盘加载钩子,加载钩子的具体实现要经过以下步骤。

(1)对指定的U盘,比如I:,在C语言中对应的符号连接名称为"Dos DevicesI:",首先把它当成设备文件打开。

其中,File Name Unicode String参数为符号连接名"DosDevicesI:"。

(2)取得该设备文件的文件对象句柄

ntStatus=ObReferenceObjectByHandle

(ntFileHandle,FILE_READ_DATA,

NULL,KernelMode,&File Object,NULL);

(3)获取与文件对象关联的文件系统设备

File Sys Device=Io Get RelatedDeviceObject(File Object);

(4)创建一个钩子设备,并把钩子设备加载到上面获取的文件系统设备上,完成钩子的加载。

至此,钩子的加载完成,这样一来,用户对U盘的操作,比如双击操作,产生的IRP不会象以前一样直接发送到文件系统设备对应的文件系统驱动程序(File System Driver,FSD),而是先发送到钩子设备对应的驱动程序,即本驱动程序。该IRP将由Drive MonHook Routine处理。

2.1.4 Drive Mon Hook Routine函数

用以处理来自操作系统的IRP,该IRP由用户的操作产生。这里主要处理IRP_MJ_CREATE,此IRP是由用户双击某驱动盘触发的。我们拦截它,以判断被钩住的U盘中是否存在病毒文件(主要是Autorun.inf)。如果存在,删除病毒文件,再向下传递IRP;否则,直接向下传递IRP到FSD,让FSD正常处理IRP。主要的语句如下:

2.2 应用程序模块

应用程序模块由Win Main主函数和Wnd Proc消息处理函数组成。Win Main完成应用程序窗口界面的创建和窗口消息的循环派遣;Wnd Proc完成各种窗口消息的处理,主要是WM_CREATE消息和WM_TIMER的处理。WM_CREATE分支完成驱动程序模块的安装,而WM_TIMER分支负责查找U盘设备,并通知驱动程序对U盘加载钩子。下面仅对Wnd Proc函数的功能进行介绍。

2.2.1 安装驱动程序

本系统的驱动程序属NT式驱动程序,而NT式驱动程序一般采用加载服务的方式进行安装,用到SCM(Service Control Manager,服务控制管理器)和相关的API函数[2]。步骤如下。

(1)打开服务控制管理器

hServiceMgr=OpenSCManager(NULL,NULL,SC_MANAGER_ALL_ACCESS);

(2)创建服务

(3)打开服务

(4)开启服务

bRet=StartService(hServiceDDK,0,NULL);

(5)打开设备

其中,设备名称为".Drive Mon",与驱动程序中的"Dos DevicesDrive Mon"对应。在结束服务时,用以下的语句分别关闭设备、关闭服务和关闭SCM。

Close Handle(hDevice);

Close Service Handle(hServiceDDK);

Close Service Handle(hServiceMgr);

2.2.2 查找U盘

查找U盘的过程放在WM_TIMER中完成,分以下几个步骤实现。

(1)取得系统中所有驱动盘的集合,为32位的掩码,从左至右位为1表示存在该盘。

Drive Set=Get Logical Drives();

(2)遍历Drive Set,转换成盘符。

for(drive=0;drive<32;++drive)

if(Drive Set&(1<

sprintf(name,("%c:"),'A'+drive);//name表示盘符,如C:

(3)由盘符得知该驱动盘的类型,如果类型值为5,则是可移动磁盘,包括U盘。

Drive Type=GetDriveType(name);

需要说明的是,可设计专门的USB驱动程序代替WM_TIMER消息查找可移动磁盘,以提高计算机系统工作效率。

2.2.3 通知驱动程序

应用程序与驱动程序通信的一个常用方法是调用Device Io Control函数向驱动程序发送IRP_MJ_DE-VICE_CONTROL类型的IRP,由操作系统将IRP转发到驱动程序的派遣函数中。

在Device Io Control函数中,Sys Handle参数转存了安装驱动程序时所打开设备的句柄;IOCTL_FILE-MON_SETDRIVES是I/O控制码,指明IRP的具体操作;Cur Drive Set既作为输入参数,也作为输出参数,记录了需要加载钩子的盘符集合。

3 结束语

本文阐述了一个蠕虫防御系统的实现过程,该系统主要针对高校校园网络中移动磁盘包括U盘使用非常普遍、蠕虫病毒传播极其严重的情况,具有较强的针对性。同时,本文所阐述的一些理念对一般病毒的防御技术研究也具有较好的借鉴意义。

参考文献

[1]尤晋元,史美林,等.Windows操作系统原理[M].北京:机械工业出版社,2001.

[2]张帆,史彩成,等.Windows驱动开发技术详解[M].北京:电子工业出版社,2009.

企业防病毒系统面面观病毒防治 第2篇

病毒问题是一个网络离散问题，即病毒的可控程度随着网络规模的变大而趋于无法控制的状态。整个互联网就像公海一样，连通全世界，传播能力强的病毒一旦进入了互联网，瞬间就会传遍世界的每个角落，给个人与企业带来威胁。只要我们分析清楚了整个网络面临的安全风险，就可以很好地对其进行管理。那么在这个与狼共舞的时代，我们应当如何防范呢?

防病毒就得面面俱到

病毒如洪水猛兽，因此要善于疏导与分流。实际上，经过病毒和防病毒技术的长期较量和病毒不断的变化，防病毒体系目前趋向于立体化，任何单一的防病毒产品技术、防火墙技术、入侵检测技术、物理隔离技术、vlan、访问控制技术以及新出现的防毒墙、入侵防护技术等都不能全面有效地对付病毒。防治病毒，需要各种技术综合利用，共同发力。企业网络的安全防护也要因此分为三个层次，才能做到面面俱到。

桌面安全是短板

桌面安全即企业网络中员工使用的安全，这是最基本的安全，也恰恰是企业网络最难控制的“神经末梢”。对于普通员工来说，他们可能不知道网段的概念，甚至不了解网络，但是他们每天至少有8个小时的时间都在使用电脑，一旦主机受到病毒的感染，轻则占用系统资源，影响工作，重则使用户电脑崩溃，无法工作。

另一方面，一旦企业网络中一台终端感染了病毒，就会形成链式反应，影响整个企业网。而事实上，一些上网条件比较好的企业，员工可以不受限制地上网，由于员工计算机操作水平的良莠不齐，对安全的重视程度也大相径庭，在这种情况下，员工的电脑是很容易感染上一些如qq病毒、msn病毒、木马、网络蠕虫等病毒，而员工的电脑也就成了整个企业网络安全中的那块短板。

服务器对应关键业务

一般企业要想维持网络的正常运转，都要配置不同的服务器，而且随着企业规模的增大，服务器的种类与数量也会不断增多。服务器是一组能够高强度执行单一功能的设备，负责整个网络的某一项事务的集中处理。比如邮件服务器，企业所有邮件的流出与流入都要经过邮件服务器的处理。一旦恶性邮件蠕虫病毒爆发，将会迅速耗尽邮件服务器的资源，使企业无法进行正常的邮件投递。而一旦这些邮件中的病毒被用户误运行，病毒就会在企业内部来回震荡，最终造成一场企业灾难。

网关把守企业门户

网关是每个企业网络的门户，是通往互联网的惟一途径，如果在网关处控制得不好，病毒就会任意长驱直入，很快就会在内部网络进行蔓延，最终导致整个网络瘫痪。

防病毒要对症下药

我们对安全问题进行了分层分析，那么只要分层部署，对症下药，就可以很好地提高整个网络的安全系数。

桌面防毒不留死角

对于桌面安全来说，目前只有杀毒软件这一种产品可以选择。杀毒软件是随着病毒一路走来的，随着病毒的发展也在不断完善，如今已经成为电脑安全防护的首选品牌。

不过，对于杀毒软件，用户也面临着选择，即选择单机版还是网络版。这两种版本使用的是一套反病毒引擎，因此病毒查杀能力是一样的，惟一的区别在于网络版集成一个网络管理模块，可以将整个网络的反病毒工作统一起来完成，这样的好处在于软件的安装、升级、维护都由被称为“控管中心”的模块统一完成，而这个控管中心只需要一个人在远程操作，就能够轻松完成全网所有节点的反病毒工作，确保整个网络内不留安全死角。所以，我们推荐使用网络版软件。

但是目前还是有许多中小企业选择单机版的软件来进行主机保护，这一方面是由于网络版的价格很高，是按照模块数收费的，而其中服务器模块与控管中心是必备模块，价格上又占了大头儿，

当一个企业内部电脑数量很少时，那么平均每台电脑分摊下来的成本将会很高，一般都会是单机软件的数倍

肥兔病毒不可爱 破坏系统没商量 第3篇

最近有一款名为“肥兔”的木马病毒，通过伪装成“37游戏在线”等软件的安装包，在网上大肆推广传播。该木马首先会锁定浏览器的主页，如果用户发现自己的浏览器主页被改成了某个莫名的网站，那么很可能就表示系统已经中了“肥兔”木马。其次这款木马最可怕的地方在于，它通过替换系统目录中的关键文件，使得病毒的自身文件得以隐藏，从而可以躲过不少杀毒软件的安全检测。然后该木马会接受黑客的云端控制，向用户的电脑系统安装推广各种各样的流氓软件进行营利，同时黑客可以通过远程命令随时对木马文件进行更新升级。

防范措施：

这种破坏系统文件的病毒，往往在清除的时候非常麻烦，因为这涉及到系统文件的修复。所以还是建议大家开启杀毒软件自带的主动防御功能，在病毒试图篡改系统文件的时候进行拦截。

移花接木新骗局全新木马来上演

病毒名称：新型“白利用”远控木马

病毒危害：

随着国家对网络入侵的立法，各种各样的远程控制木马已经越来越少，但是仍然有人甘愿以身试法。最近就有一类新型的“白利用”远控木马，通过伪装成“美女图片”在社交软件、电子邮件里面大肆进行传播。该木马通过利用杀毒软件白名单中的文件来加载dll文件，接着再次利用白名单文件卸载进程中的内存空间，然后重新填充上病毒代码执行。正是由于这种全新的“移花接木”的手法，使得病毒代码能够绕过多数安全软件的主动防御规则，从而在系统里面长时间的存活下来。一旦木马被黑客远程激活，黑客就可以执行摄像头监控、屏幕监控等控制操作。

防范措施：

由于这类木马病毒不容易被杀毒软件所拦截，所以只能要求用户从防范的角度做文章。因此用户在从网上下载文件的时候，一定要看清楚文件的后缀名，不要轻易地被文件的图标所迷惑。

接二连三的漏洞用户防不胜防

漏洞名称：Adobe Flash 0day远程执行漏洞

漏洞危害：

不久以前互联网中最大的安全新闻，就是知名的黑客公司Hacking Team被黑，包含该公司的电子邮件、文档和攻击代码在内的400GB数据被泄漏。而在这其中就包括多个和Adobe Flash相关的安全漏洞，利用漏洞可以针对IE浏览器、Chrome浏览器和Office软件进行攻击。黑客只需要通过嵌入精心构造的恶意Flash文件到网页或Office文档里面，就可以使得访问指定网页或打开Office文档的用户被感染上恶意代码。如果恶意代码通过结合Windows内核字体权限提升漏洞，还可以成功绕过IE浏览器、Chrome浏览器和Office软件的沙盒保护，最终使得黑客完全控制用户的电脑系统。

防范措施：

浅议计算机病毒与系统安全 第4篇

信息社会的实现, 不仅是由于社会的发展使人类对信息的高度流通、共享和利用产生强烈的、迫切的社会需求, 同时, 也得益于因这种需求的驱动而产生的能够使其得以实现的信息技术。网络信息化在给人们带来种种的方便同时, 我们也正受到日益严重的来自网络的安全威胁。尽管我们广泛地使用各种复杂的安全技术, 如防火墙、数据加密技术、访问控制技术、通道控制机制, 但是, 仍然有很多黑客的非法入侵, 对社会造成了严重的危害。据统计, 目前70%以上的病毒是通过网络途径传播的[1]。

在各个不同的应用网络中, 虽然网络设计和管理人员可能已经从文件目录结构、用户组织、用户访问、数据安全性、备份与恢复方法和系统容错技术上采取了较为严格的硬软件措施, 但是也不能全部排除病毒的入侵。世界各国遭受计算机病毒感染和攻击的事件数以亿计, 严重地干扰了正常的人类社会生活, 给计算机网络和系统带来了巨大的潜在威胁和破坏。与此同时, 病毒技术在战争领域也曾广泛的运用, 在海湾战争、科索沃战争中, 双方都曾利用计算机病毒向敌方发起攻击, 破坏对方的计算机网络和武器控制系统, 达到了一定的政治目的与军事目的[2]。可以预见, 随着计算机网络运用的不断普及和深入, 如何防范计算机病毒侵入计算机局域网和确保计算机的安全已成为当前面临的一个重要且紧迫的任务, 计算机的防病毒与反病毒技术已成为计算机操作人员与网络工作人员所必须了解与掌握的一项重要技术。

2. 计算机病毒的特点

计算机病毒是一种人为编制的专门用来破坏计算机系统的程序。常见的网络病毒有以下几种。电子邮件病毒、Java程序病毒、Active X病毒、网页病毒。它隐藏在计算机系统的数据资源或程序中, 借助系统运行和共享资源而进行繁殖、传播和生存, 扰乱计算机系统的正常运行, 破坏系统和用户的数据及程序。计算机病毒虽是一个小小程序, 但它和普通的计算机程序不同, 具有以下特点。第一, 计算机病毒的程序性 (可执行性) 。计算机病毒与其他合法程序一样, 是一段可执行程序, 但它不是一个完整的程序, 而是寄生在其他可执行程序上, 因此它享有切程序所能得到的权力。病毒因某个事件或数值的出现, 诱使病毒实施感染或进行攻击的特性。第二, 计算机病毒的传染性。传染性是病毒的基本特征, 计算机病毒会通过各种渠道从已被感染的计算机扩散到未被感染的计算机。病毒程序代码一旦进入计算机并得以执行, 它就会搜寻其他符合其传染条件的程序或存储介质, 确定目标后再将自身代码插入其中, 达到自我繁殖的目的, 目前的三维病毒还会产生很多变种。第三, 计算机病毒的潜伏性。一个编制精巧的计算机病毒程序, 进入系统之后一般不会马上发作, 可以在几周或者几个月内甚至几年内隐藏在合法文件中。对其他系统进行传染, 而不被人发现。第四, 计算机病毒的破坏性。系统被病毒感染后, 病毒一般不即时发作, 而是潜藏在系统中, 等条件成熟后, 便会发作。一旦发作, 轻则干扰系统的正常运行, 重则破坏磁盘数据、删除文件, 导致整个计算机系统的瘫痪。第五, 计算机病毒攻击的主动性。病毒对系统的攻击是主动的, 计算机系统无论采取多么严密的保护措施都不可能彻底地排除病毒对系统的攻击, 而保护措施充其量是一种预防的手段而已。第六, 计算机病毒的针对性强。计算机病毒是针对特定的计算机和特定的操作系统的, 其病毒的效能可以准确地加以设计, 满足不同环境和时机的要求。例如, 有针对IBM PC机及其兼容机的, 有针对Apple公司的Macintosh的, 还有针对UNIX操作系统的[3]。

3. 计算机病毒产生的主要原因

计算机病毒产生的原因和途径呈多样化、多渠道的特点[5]。笔者经过多年的工作经验, 现总结出以下两个方面:

3.1 计算机病毒的产生在硬件方面的原因

计算机系统的各个组成部分, 接口界面, 各个层次的相互转换, 都存在着不少漏洞和薄弱环节。硬件设计缺乏整体安全性考虑, 软件方面也更易存在隐患和潜在威胁。对计算机系统的测试, 目前尚缺乏自动化检测工具和系统软件的完整检验手段, 计算机系统的脆弱性, 为计算机病毒的产生和传播提供了可乘之机。表现在:一是网络系统本身存在稳定性和可扩充性方面问题。由于系统设计的不规范、不合理, 缺乏安全方面的考虑, 因而使网络安全性受到影响。二是在网络设备的配置上不协调。文件服务器是网络的中枢, 其运行稳定性、功能完善性直接影响网络系统的质量, 在设计和选型方面考虑欠周密, 从而使网络功能不能充分发挥, 影响了网络的可靠性。另外, 访问控制配置的复杂性, 容易导致配置错误, 从而给他人以可乘之机。三是缺乏安全策略。许多站点在防火墙配置上无意识地扩大了访问权限, 安全密码设置过于简单, 导致使用权限被他人盗用。

3.2 计算机病毒的产生是由于管理制度的不健全

许多部门对计算机病毒的防治认识不足, 对计算机的使用和管理没有具体的管理制度, 单位的工作人员又缺乏主动防毒的意识, 盲目使用软件, 混用、交叉使用移动存储设备, 给病毒传播和攻击以可乘之机。一是普遍对计算机漏洞了解不够, 据粗略调查, 机关内部60%的干部职工不知道计算机操作系统存在漏洞, 对补丁安装不及时。一些机关局域网计算机仅依靠一种杀毒软件, 难以防范当前新型病毒的攻击。而现今的传统反病毒软件还是采取按病毒特征码扫描文件的方式查杀病毒, 随着“蠕虫病毒”和木马恶意软件隐蔽性、顽固性的极大提高, 传统、单一的杀毒软件很难胜任安全工作, 而出于商业利益, 安装一种杀毒软件后, 其他杀毒软件一般将很难正常使用, 这种排他性, 给单位局域网防治病毒工作带来了极大不便。二是联动防范措施不足, 技术手段落后。现阶段一些机关单位病毒防治还仅仅停留在单机防治上, 系统整体性防治措施不够, 存在着“头痛医头, 脚痛医脚”的现象。三是机关内部工作人员缺乏相应的技术手段, 在传统防治工具无效的情况下, 操作人员普遍感到力不从心, 尤其是计算机感染一些顽固病毒后, 很难彻底清除。一般单位局域网对病毒攻击不能实施联动阻击, 也不能提前预防。同时, 由于各单位操作人员的计算机管理水平和病毒技术水平的缺陷, 发现病毒攻击后, 难以及时定位处理, 造成病毒危害加剧。

4. 计算机网络安全的防范策略

计算机病毒的防范, 应从计算机网络的构建、计算机设备的管理技术和计算机使用人员的管理等方面进行规范[3,4]。才能确保计算机的安全运行。

4.1 网络系统设计合理与否是网络安全运行的关键

防范计算机病毒应从源头抓起, 因此必须全面分析网络系统的各个设计环节, 这是建立安全可靠的网络环境的首要任务。应在认真研究、组织论证的基础上抓好网络系统的设计方案。在总体设计上应注意以下问题:由于局域网采用的是以广播方式为技术基础的以太网, 任何两个节点之间的数据包传输, 不仅被两个节点的网卡所接收, 同时也被处在同一以太网上的任何一个节点的网卡所截取。因此, 只要对接入以太网上的任何一个节点进行侦听, 就可以捕获发生在这个以太网上传输的所有数据包, 并对其进行解包分析, 从而可窃取关键信息。因此, 为了消除这个网络系统固有的安全隐患, 可采用网络分段技术, 从源头上杜绝网络的安全隐患, 因为局域网采用的是以交换机为中心、以路由器为边界的传输格局, 通过中心交换机的访问控制功能和三层交换功能, 对网络节点采取物理分段与逻辑分段两种设置, 可将非法用户与敏感的网络资源相互隔离, 从而防止非法侦听, 保证信息的安全畅通, 实现对局域网的安全控制。

4.2 强化计算机管理是网络系统安全的保证

网络病毒的防治, 单纯依靠技术手段是不够的, 只有把技术手段和管理机制紧密结合起来, 才有可能从根本上保护网络系统的安全运行[4]。目前在网络病毒防治技术方面, 基本处于被动防御的地位, 但管理上应该积极主动。应从硬件设备及软件系统的使用、维护、管理、服务等各个环节制定出严格的规章制度, 对网络系统的管理员及用户加强法制教育和职业道德教育, 规范工作程序和操作规程, 严惩从事非法活动的集体和个人尽可能采用行之有效的新技术、新手段, 建立“防杀结合、以防为主、以杀为辅、软硬互补、标本兼治”的最佳网络病毒安全模式。

(1) 强化设施管理, 确保网络系统实体安全

要依据实际建立和健全安全管理制度, 防止非法用户进入网管中心和各种非法行为的发生;通过有效措施确保计算机系统、网络服务器等设备和通信链路的正常运行, 并定期对运行环境条件 (温度、湿度、清洁度、三防措施、供电接头、网线及设备) 进行全面检查、系统测试和维护;着力抑制和防止电磁泄漏, 确保整个计算机网络系统有一个良好的电磁兼容的工作环境。

(2) 加强访问控制, 确保网络系统运行正常

访问控制是网络安全防范和保护的主要措施, 其任务是保证网络资源不被非法用户使用和非常访问, 这是网络安全最重要的核心策略之一。主要措施如下:第一, 建立入网访问功能模块。通过用户名的识别与验证、用户口令的识别与验证、用户账号的检查的3个过程, 规定哪些用户可以登录到网络服务器并获取网络资源, 控制准许用户入网的地址, 从而完成入网访问控制。另外, 网络管理员开展对普通用户的账号使用、访问网络时间、方式进行管理, 以及控制用户登录入网的站点以及限制用户入网的工作站数量。第二, 建立网络权限控制模块。对用户和用户组赋予一定的权限, 通过权限控制, 防止网络非法操作。访问权限一般将用户分为3种类型:特殊用户 (系统管理员) ;一般用户、审计用户。第三, 建立网络服务器安全设置模块。网络服务器的安全控制包括设置口令锁定服务器控制台;设置服务器登录时间限制、非法访问者检测和关闭的时间间隔;安装防火墙设施, 控制信息进、出两个方向的通信, 防止非法用户访问。第四, 建立完善的备份及恢复机制。计算机使用人员要养成良好的习惯, 对重要的文件数据进行定期备份, 对重要数据要及时拷贝存档, 以防计算机染毒后, 丢失数据, 造成损失。为了防止存储设备的异常损坏, 可采用由热插拔硬盘进行系统的实时热备份。

(3) 加强技术培训, 提高网络管理与维护水平

坚持以人为本, 建立健全计算机病毒防治管理制度是计算机管理的另一个重要方面, 一要严格制度落实, 加强系统管理员培训。通过加强计算机用户网络安全和反病毒技术普及培训, 提高全员网络安全与计算机病毒防范的认知水平。要完善《局域网计算机病毒防治工作实施细则》, 进一步明确计算机安全员的权力和职责, 建立行之有效的奖惩机制, 积极对操作人员防病毒工作进行督察。要加强计算机设备登记及使用管理工作, 详细登记计算机的存放位置、负责人、用途、软件配置、联网情况及网络参数等, 一旦发现安全漏洞或病毒, 能够方便、及时、准确地定位处理;严禁在局域网计算机上安装与工作无关的软件;加强移动存储器的管理, 禁止在局域网计算机上使用不明U盘等, 对已知U盘等存储介质, 应先通过病毒软件检查后, 方可使用。二要积极开展计算机安全和病毒防治培训。以全面普及为目的, 举办形式多样的培训, 聘请专家对全体工作人员进行培训, 同时依托局域网站, 普及全员培训。三要成立技术小组, 专门跟踪当前计算机病毒发展动态, 从全局的角度提出预防措施和应对办法, 对工作人员进行病毒防治工作指导和技术支持, 坚持定期或不定期地发布病毒公告。

5. 结论

网络安全是一项复杂的系统工程, 防御病毒对网络入侵与攻击是保障网络信息安全的重要一个部分。随着网络的广泛普及和应用的不断深入, 网络安全的不确定因素也会越来越多, 因此, 我们必须根据具体情况, 综合考虑各种安全因素, 认真分析各种可能的入侵和攻击形式, 及早采取有效的技术措施加以防范, 制定合理的网络安全策略和配套的管理办法, 以防止各种可能的对网络的入侵和攻击行为, 避免由此带来的不必要的损失。

参考文献

[1]赵君梅, 计算机网络安全技术[J].重庆职业技术学院学报, 2008 (3)

[2]梅云红, 计算机网络安全隐患与防范策略的探讨, 计算机与信息技术, 2007 (9)

[3]陈霜霜, 浅谈计算机网络安全, 网络安全技术与应用, 2009 (8)

[4]耿辉建, 计算机网络安全问题及其防范措施[J], 现代商业, 2008 (5)

病毒系统 第5篇

日前，全球首个Window／Linux双系统病毒现身网络，并被命名为“Bi病毒(Parasite.Bi)”，据反病毒专家介绍，该病毒可同时感染两种操作系统下的可执行文件，

目前，电脑操作系统分几大类，包括微软Window系统和公开源文件的Linux系统。据常理，病毒往往只感染一个系统文件，不会对另一个操作系统产生危害。而此次现身的“Bi病毒”，通过感染可执行文件传播，病毒运行后将搜寻当前目录下全部可执行文件，并试图感染和传播。尽管目前该病毒为实验性病毒，破坏能力有限，但编写者已在网上公布了它的源代码。通过对源代码的研究， 可能编写出危害性更强的跨平台病毒。

病毒系统 第6篇

关键词：病毒软件；占用；系统资源

中图分类号：TP307 文献标识码：A 文章编号：1007-9599 (2012) 10-0000-02

一、病毒检测机制

反病毒软件也称杀毒软件，一般由扫描器、病毒库与虚拟机组成，并由主程序将他们结为一体。扫描器是杀毒软件的核心，用于发现病毒，一个杀毒软件的杀毒效果好坏就直接取决于它的扫描器编译技术与算法是否先进，而且杀毒软件不同的功能往往对应着不同的扫描器，也就是说，大多数杀毒软件都是由多个扫描器组成的。而病毒库存储的特征码形式则取决于扫描器采用哪种扫描技术。它里面存储着很多病毒所具有的独一无二的特征字符，我们称之为“特征码”。特征码总的说来只有两个，文件特征码与内存特征码。文件特征码存在于一些未执行的文件里，例如EXE文件、RMVB文件、jpg文件甚至是txt文件中都有可能存在文件特征码，也都有可能被查杀。而内存特征码仅仅存在于内存中已运行的应用程序。而虚拟机则是最近引进的概念，它可以使病毒在一个由杀毒软件构建的虚拟环境中执行，与现实的CPU、硬盘等完全隔离，从而可以更加深入的检测文件的安全性。

早期的反病毒技术是采取单纯的病毒特征判断，将病毒从带毒文件中清除掉。这种方式可以准确地清除病毒，可靠性很高。后来病毒技术发展了，特别是加密和变形技术的运用，使得这种简单的静态扫描方式失去了作用。随之而来的反病毒技术也发展了一步。

随后的技术是采用静态广谱特征扫描方法检测病毒，这种方式可以更多地检测出变形病毒，但另一方面误报率也提高，尤其是用这种不严格的特征判定方式去清除病毒带来的风险性很大，容易造成文件和数据的破坏。

之后反病毒技术的主要特点是将静态扫描技术和动态仿真跟踪技术结合起来，将查找病毒和清除病毒合二为一，形成一个整体解决方案，能够全面实现防、查、消等反病毒所必备的各种手段，以驻留内存方式防止病毒的入侵，凡是检测到的病毒都能清除，不会破坏文件和数据。随着病毒数量的增加和新型病毒技术的发展，静态扫描技术将会使查毒软件速度降低，驻留内存防毒模块容易产生误报。

近来反病毒技术则是针对计算机病毒的发展而基于病毒家族体系的命名规则、基于多位CRC校验和扫描机理，启发式智能代码分析模块、动态数据还原模块（能查出隐蔽性极强的压缩加密文件中的病毒）、内存解毒模块、自身免疫模块等先进的解毒技术，较好的解决了以前防毒技术顾此失彼、此消彼长的状态。

二、反病毒软件与系统资源的关系

反病毒软件在运行时，除了本身虚拟机的运行需要耗费系统资源外，还担负着查毒杀毒的工作，存储设备的监控、外接端口设备的监控、缓存区的监控、病毒库更新检查、病毒的查杀隔离工作，这些工作无一不耗用系统的宝贵资源，很多反病毒软件还带有防火墙功能，这将耗费很大一笔系统开销。

占用大量内存，耗尽电脑CPU。现在电脑的硬件比以前是越来越好，网速也越来越快，但是系统为什么越来越慢？这与杀毒软件的特征库越来越大、升级越来越頻繁有关。以前一年才出几千个病毒，现在一年要冒出几千万个新木马，增长1万倍，特征库就像恶性肿瘤一样膨胀。传统杀毒引擎在扫描和监控时，需要把特征库写入电脑内存，特征库越大，系统就被拖得越慢，特征库自身升级下载的速度也越慢。杀毒软件带着特征库，就像乌龟背着壳，要跑得快几乎很难做到，但是如果没有特征库，杀毒软件又相当于手无寸铁。

现在，一款杀毒软件的大小动辄就是50兆起步，有的甚至到了七八十兆、100兆，电脑硬盘要给它腾出很大的空间来存放病毒库。所以，杀毒软件成了电脑里占用资源较大、对CPU运算能力提出了考验。

三、目前流行的杀毒软件占用系统资源情况

反病毒软件的资源占用情况一直颇受用户关注，如果占用过高，会影响到实际的运行速度和整体效果，所以，很多用户也将资源占用的高低算作了重要的考核手法，而目前8款主流杀毒软件中，整体的资源占用情况如何呢，我们就以在检测过程中的实际数值情况，简单进行一番横向对比。

经过测试，分别截取包括瑞星全功能安全软件2010、卡巴斯基2010、ESET NOD32、熊猫全功能2010、诺顿2009、江民杀毒2009、金山毒霸2009、360杀毒1.0等版本软件在启动和扫描过程中的资源占用情况，对其进行深度对比。看哪款软件的资源占用更低，更加适合用户使用。

（一）在启动过程中的资源占用情况

下面则是各款杀毒软件产品在启动过程中的资源占用情况：

从上图的数据中可以看得出，熊猫全功能2010、360杀毒1.0等软件对CPU和内存的占用率较低。

（二）在动态模式下的资源占用情况：

为详细测试杀毒软件在动态模式下的资源占用情况，我们特别对其进行了多次取值，并每次截取5组数值，下面则是详细的评测数据和图表信息。

从实际数据我们可以看出，熊猫全功能2010软件、ESET NOD32、瑞星全功能安全软件2010等软件在动态模式下的资源占用相对较低，特别是来自国外的熊猫全功能安全软件，更是相对平稳，整体数据非常理想。

四、减少占用系统资源的几点设想和建议

综合前述，减少软件占用系统资源，主要从两个方面着手，一个是用户，另一个就是软件生产厂商。（一）在用户方面，主要是正确使用软件，养成良好的安全意识习惯。首先很多反病毒软件在扫描到病毒或可疑文件时进行清除或隔离处理，随着时间的推移被隔离的文件就会越来越多，这无疑也占用了不少的磁盘空间，以卡巴斯基为例，本人在半年的时间内观察到被隔离的文件多达200百兆，并定期对被隔离的文件清除以节省磁盘空间；其次在使用某一反病毒软件时，把更新补丁或病毒库文件存放分区与系统盘分开。在保存清除病毒效果的前提下，选用占用系统资源少的杀毒软件。（二）在软件生产厂商方面。1.缩小安装文件的体积。一般来说，安装文件体积越大，机器启动后，实时监控就必须调入更多的文件到系统内存中，因此占用的资源也就越多；一些动辄安装包在30-40MB以上的杀软就属于此类。这类杀软常常缺乏执行代码的优化，使用多个进程达到实时监控、自我保护、计划任务等的目的，加大了系统内存的负担，使得系统可分配资源减少，机器运行效率显著下降。NOD32商业版的安装文件仅12MB左右大小，安装后的文件夹占用硬盘30MB，属于杀软中非常轻巧的类型，两个进程占用内存8-25MB，有执行方面的优势。2.改进程序设计思想。NOD32只有两个进程：核心进程和图形界面进程。核心进程nod32krn.exe负责文件监控、文档监控、网络数据流监控和电子邮件的监控，以及计划任务和病毒库升级所有工作。核心进程是IceSword无法成功终止的，终止后会立即自动生成。这种单进程多任务的监控机理，使NOD32降低了资源占用，因此不会有卡机的感觉。3.接下来谈谈杀毒引擎。一些杀软如KAV运行时，两个进程加起来常在10-15MB左右，貌似资源占用很少。其实在这个时候，软件使用了SetProcessWorkingSetSize这样的API函数，将内存占用值强行推至虚拟内存，造成了内存占用数值降低的假象。虚拟内存的占用虽节省了资源，但带来的后果就是频繁的虚拟内存交换引起频繁的读盘操作，系统速度自然就会受到很大影响。此外，KAV的引擎缺乏执行效率的优化，导致后台对加载和读取的文件进行扫描时，尤其是进入压缩包扫描时，耗时过长、CPU占用率过高，导致机器很卡。NOD32自主开发的引擎，具有业界领先的高启发式技术，即使在动态虚拟机环境下，也不会有卡机的感觉。4.最后再说一下病毒库数量。杀软在实时监控的过程中，会完整调用自身病毒库，以方便比对和认定恶意程序。因此病毒库数量越多、需要调用的特征码就越多，资源占用也就会越大。NOD32有业界称道的基因特征码技术，将同类病毒变种的共同特征提取出来，升级一条病毒特征往往可以查杀数种甚至数十种同类病毒，因此减少病毒库特征码数量的同时，却保持同样的查杀效果

目前在杀毒领域中解决传统杀毒软件占用系统资源较多的弊端的办法，通过互联网化的云安全技术来实现无需升级的病毒查杀。云查杀引擎能否借助互联网技术手段，提高扫描速度，把传统的需要耗时耗资源的模式改成了不再需要频繁升级木马库。实现只要用户上网，就能实时与“云安全”数据中心无缝对接，利用服务器端的最新木马库对用户电脑进行扫描和查杀。若真能实现，那么哪怕是刚出现的木马，几分钟之内就能捕获并具备查杀能力，而且占用系统资源极小。

参考文献：

[1]卓新建,郑康锋,辛阳.计算机病毒原理与防治.（第2版）.北京邮电大学出版社,2007

医院HIS系统计算机病毒与防范 第7篇

目前计算机病毒主要有以下几种特性。

1 计算机病毒特性

1.1 潜伏性

潜伏性是进入系统之后不会马上发作, 它会隐藏一段是时间在一些合法文件中对其他的系统进行破坏, 潜伏性愈好, 病毒的传染范围就会愈大。

1.2 触发性

触发性病毒是需要在某种特定的条件下, 来促使病毒进行感染。促使的条件一般为, 时间、日期、文件类型或者是某些特定的数据, 一段条件满足之后, 病毒就开始运行。反之, 病毒继续潜伏。

1.3 传染性

传染性是病毒的基本特征。病毒通过各种方式从被感染病毒的文章扩散到未感染的文件, 而使其被感染的文件变成新的传染源, 来继续攻击其他的文件。

1.4 衍生性

计算机病毒的衍生性是从原始病毒经过修改代码后变成危害性更大的新病毒这也称为计算机病毒的可变性。

1.5 破坏性

所有的计算机病毒都是一种可执行程序, 它们都必须运行起来, 对于系统来说所有的病毒都存在一个共同的危害, 占有系统资源, 降低计算机的工作效率。同时每个病毒的破坏性取决于设计病毒的设计者, 病毒可以破坏程序的数据, 甚至整个系统都出现瘫痪, 使其无法正常工作。

2 病毒攻击出现的一般现象

计算机网络不可能百分之百没有漏洞, 这些漏洞都是黑客进行攻击的首选目标, 一旦被其攻击, 对医院HIS系统的数据进行破坏, 或者使其系统无法正常工作那么将会造成不堪设想的后果, 轻者使其短暂不能运作, 重者使整个系统的客户数据丢失或者遭到破坏, 使其无法恢复。计算机在感染病毒后, 会出现下面的一些异常现象。

2.1 病毒攻击后的几种常见的表现

通常一旦计算机感染病毒之后, CPU会出现不停的增加直到达到100%使系统运行的速度变慢、硬盘莫名丢失、硬盘分区损坏、数据被修改、网络瘫痪、系统无法正常开机等等现象。

3 计算机安全防治

3.1 硬件设备的安全保障

随着HIS系统及临床信息系统的应用, 系统提供了越来越多的信息给医生, 一旦系统的硬件发生故障, 大量的信息随着系统的瘫痪而无法读取, 给医生治病救人带来了极大的不方便。因此, 保证硬件设备的安全运行, 是非常重要的工作。通过增设相同的设备及线路来保障硬件系统的安全。具体为:对于数据库服务器来说, 采用双机热备。这样, 双机热备可以保证服务器硬件一旦损坏, 将会在极短的时间内自动切换到另一台硬件中。这样, 就可以保证数据库服务器能够在极高的安全度下工作。除此之外, 为了保证整个硬件系统的安全运行, 还采用了其它相关的保障措施。

(1) 供电线路多路备份:解决断电问题。机房采用了双路供电的方式, 一条线路从UPS引出, 另一条线路直接从电网引出, 两个电源分别接在两个不同的地方, 即使其中一条线路出了故障, 服务器及网络设备也能够正常运行。

(2) 应用服务器采用负载均衡机制:解决了应用层的故障。对于访问比较平凡的系统可以采用负载均衡机制来减轻系统的使用效率。

(3) 采用双网卡相互监测:主网卡工作时, 备用网卡并不工作, 只是负责监测主网卡工作情况。当备用网卡发现主网卡出现了故障时, 就会自动将主网卡断掉, 并在5s内接管主网卡的工作。

(4) 交换机采用新的双机网络级容错方法:当系统检测到某台交换机的负载过重时, 会自动根据交换机均衡负载的算法将一台交换机上的工作转换到另一台交换机上去, 从而在保障高可靠性的同时保证了高效率。

(5) 增设辅服务器:有两种方式, 一种是采用N+1台数据库服务器, 平时所有运行中的数据备份的一份将会存储在该台辅服务器中。如果某台服务器出现问题, 就立刻将数据备份在该台辅服务器中启用。另一种是采用服务器镜像, 数据写到主服务器上后, 它还写到了辅服务器上;通过锁定服务器数据保持了数据的完整性。一旦主服务器出现问题, 可以快速切换到辅服务器上。

(6) 增加异地备份:使用光纤或高速以太网, 定时将数据库中的数据进行异地备份, 以备不测。异地的最低要求是不同楼层之间, 最好是可以在两栋楼之间。异地备份要求可以长期保存。

3.2 安装防火墙

防火墙是在通信的两个网络之间执行访问控制策略的系统, 是使本地网络与外部网络之间的边界安全系统。计算机可以通过设置防火墙使病毒与内部网络隔离。

3.3 网络访问控制安全策略

各种安全策略必须相互配合才能真正起到保护作用, 但访问控制可以说是保证网络安全最重要的核心策略之一, 它的主要任务是访问控制识别并验证用户, 将用户限制于已授权的活动和资源范围之内, 保证网络资源不被非法使用和访问, 是维护网络系统安全、保护网络资源的重要手段。

3.4 严格控制计算机安装内容

严格控制局域网内的医院管理软件和临床应用软件, 不能安装任何与工作无关的软件, 尽量限制接入外来的移动硬盘, 如果万不得已必须对外来的移动硬盘进行查毒之后才可以进行数据的交互。

3.5 业务用机不得与外网联接

医院的业务用机一定不能与外网进行联接, 因为访问外网的时候会有很多不确定的信息会加载在网络中进行传播, 尤其是下载一些信息的时候, 病毒大多数就是通过这种方式来攻击机器的, 一旦被感染了, 那么后果不堪设想。

4 结语

本文从如何防范病毒阐述了各种提高系统安全性的方法, 这些安全措施大多经过实践的检验是行之有效的方法, 对保障医院信息系统的安全性至关重要。在实施各项安全保障时, 还应根据医院的实际情况有目的、有计划地分步实施, 来确保医院的信息系统不受病毒的攻击。

参考文献

[1]阮兴云, 等.医学工程实践与探索[M].昆明:云南科技出版社, 2005, 6.

[2]杨霜英, 等.医院信息管理系统局域网改造的研究与实施[D].医疗设备信息, 2006 (12) :13～15.

计算机系统病毒综合防治问题探讨 第8篇

1 计算机病毒防治方法

1.1 计算机病毒防治原则

(1) 计算机病毒的清除工作最好在无毒的环境中进行, 以确保清除病毒的有效性。这要求杀毒前, 用无毒的计算机系统引导盘重新启动系统;或者清除内存中的计算机病毒, 恢复正常的中断向量。

(2) 在启动系统的系统盘和杀毒软件盘上加写保护标签, 以防止其在清除病毒的过程中感染上病毒。

(3) 在清除病毒之前, 一定要确认系统或文件确实存在病毒, 并且准确判断出病毒的种类, 以保证杀毒的有效性, 否则, 可能会破坏原有的系统和文件。还要对要杀毒的文件或系统备份, 以便于在杀毒失败后恢复。

(4) 不能用病毒标识免疫方法清除病毒。标识免疫的方法是利用病毒进入系统的条件性来实现的, 通常病毒在进入系统之前都要判断内存是否已驻留了病毒, 如果是, 则退出其加载过程。根据这一免疫原理, 编写病毒标识存入内存, 以防止病毒入侵。此方法理论上可行, 但实际应用中却不保险, 因为病毒变种繁多, 流传广而快, 将引导区存人所有这些病毒的标识, 也就无法起到引导系统的功能了。因此, 免疫方法常带有很大的欺骗性, 原则上不能作为杀毒工具。

1.2 计算机病毒防治基本技术

1.2.1 清除引导型病毒的基本技术

引导型计算机病毒主要是感染磁盘的引导扇区。在使用被感染的磁盘 (无论是软盘还是硬盘) 启动计算机时它们就会首先取得系统控制权, 驻留内存之后再引导系统, 并伺机感染其他软盘或硬盘的引导区。纯粹的引导型计算机病毒一般不对磁盘文件进行感染。

计算机被感染了引导型计算机病毒, 最好用防杀计算机病毒软件加以清除, 或者在“干净”的系统启动软盘引导下, 用备份的引导扇区覆盖。

1.2.2 清除文件型病毒的基本技术

多数的计算机病毒都属于文件型计算机病毒。文件型计算机病毒一般只感染磁盘上的可执行文件 (扩展名为COM、EXE) , 在用户调用染毒的可执行文件时, 计算机病毒首先被运行, 然后计算机病毒驻留内存伺机感染其他文件, 其特点是附着于正常程序文件, 成为程序文件的一个外壳或部件。基于隐蔽病毒自身的考虑, 病毒一般都要保证原文件代码还能真实地执行。这就意味着原文件能被妥善保存, 从而为清除病毒、恢复原文件提供了可能。

文件型病毒的感染通常采用替代法、链接法和独立存在法。替代法, 也称作覆盖法, 一般会破坏可执行文件, 而且不可恢复;链接法又可分为“头部”链接、“尾部”链接、“中间插入”链接、“空洞利用”链接等几种;采用独立存在法感染的病毒也称伴随型病毒, 一般删除产生的伴随文件 (即病毒) 即可清除病毒。

1.2.3 清除混合型病毒的基本技术

混合型病毒既感染系统引导区又感染可执行文件, 清除这种病毒一般会比较麻烦。感染引导区的病毒一般截留盗用中断向量INT13H, 感染文件的病毒一般截留盗用INT21H中断向量。从这两个中断向量的变化我们可以检测到混合型病毒的存在。清除这种混合型病毒实际上就是对引导区中病毒的清除和对被感染文件中病毒清除的综合, 其方法就是前面所讲的清除感染引导区病毒与清除文件型病毒两种方法的结合。

综上所述, 一旦发现计算机系统中存在计算机病毒, 就应该立即设法清除病毒, 恢复系统, 使计算机在安全环境下继续运行。但是, 世界上总是先有计算机病毒, 才有相应的杀毒软件, 虽然也有很多杀毒软件声称可以对付未知的病毒或对付所有的病毒, 但作为攻和守这一矛盾中主动的一方, 计算机病毒总是能找到计算机系统新的薄弱地方, 所以再好的杀毒软件也不是万能的, 往往在对付新的病毒时无能为力。因此, 为确保计算机信息安全, 我们在清除病毒的同时, 还可以结合其他的方法。

2 确保信息安全的其他方法

2.1 系统访问控制

系统访问控制是对进入系统的控制。其主要作用是对需要访问系统及其数据的人进行识别, 并检验其合法身份。我们可以采用选择性访问控制和强制性访问控制两种方法。其中, 选择性访问控制是基于主体或主体所在组的身份的, 这种访问控制是可选择性的, 也就是说, 如果一个主体具有某种访问权, 则它可以直接或间接地把这种控制权传递给别的主体;强制性访问控制为访问系统中的信息提供了更为严格的控制, 这种访问控制基于被访问信息的敏感性, 这种敏感性是通过标签 (Label) 来表示的。

2.2 数据库备份

常用的数据库备份的方法有冷备份、热备份和逻辑备份三种。

冷备份的思想是关闭数据库系统, 在没有任何用户对它进行访问的情况下备份。这种方法在保持数据的完整性方面是最好的一种。冷备份通常在系统无人使用的时候进行。冷备份的最好办法之一是建立一个批处理文件, 该文件在指定的时间先关闭数据库, 然后对数据库文件进行备份, 最后再启动数据库。

数据库正在运行时所进行的备份称为热备份。数据库的热备份依赖于系统的日志文件。在备份进行时, 日志文件将需要作更新或更改的指令“堆起来”, 并不是真正将任何数据写入数据库记录。当这些被更新的业务被堆起来时, 数据库实际上并未被更新, 因此, 数据库能被完整地备份。

参考文献

[1]张恒星, 王明标, 胡志明.医院HIS系统计算机病毒与防范[J].科技资讯, 2010 (14) .

[2]张丽.浅谈计算机病毒的解析与防范[J].黑龙江科技信息, 2010 (31) .

[3]惠洲鸿.计算机病毒传播之数学模型的试建[J].西北民族学院学报 (自然科学版) , 1999 (03) .

病毒系统 第9篇

1 临床资料

1.1 一般资料

选择急性RV肠炎患儿67例, 男37例、女30例;年龄1～6个月19例, 7～12个月33例, 13个月～3岁15例;所有患儿发育无异常, 既往无心脏病、肝炎病、惊厥病史。入院时病程6 h～5 d (平均3.2 d) 。所有患儿入院当日即收集粪便和血液标本, 分别查粪便RV和肠道细菌培养;查血生化、血心肌酶谱、肌钙蛋白I;查心电图;有呼吸道症状者摄胸片;对伴惊厥者加做脑电图、脑脊液及头颅CT检查。

1.2 诊断标准

所有患儿因腹泻住院, 粪便RV检测为阳性, 肠道细菌培养阴性, 符合《儿科疾病诊断标准》[1]。

1.3 实验室检查

1.3.1 心肌损害:

入院早期心脏听诊心率不齐、心音低钝等异常37例, 经血心肌酶谱及心电图检查结果为心电图异常32例 (47.76%) , 其中窦性心动过速24例 (35.82%) , T波改变13例 (19.40%) , 不完全性右束支阻滞5例 (7.46%) , Q-T间期延长3例 (4.48%) , 窦性心动过缓2例 (2.99%) , 房性早搏1例 (1.49%) ;血心肌酶谱检查结果为乳酸脱氢酶 (LDH) 增高34例 (50.75%) , 肌酸激酶 (CK) 增高20例 (29.85%) , 肌酸激酶同工酶 (CK-MB) 增高38例 (56.72%) , α-羟丁酸脱氢酶 (α-HBD) 增高32例 (47.76%) , 天门冬氨酸转移酶 (ALT) 增高29例 (43.28%) ;血肌钙蛋白I (cTnI) 增高6例 (8.96%) 。按《诸福棠实用儿科学》[2]中诊断标准 (主要指标中只要有1项改变者即诊断为心肌损害) , 证实有心肌损害的36例 (53.73%) , 其中6例 (8.96%) 诊断为病毒性心肌炎。

1.3.2 呼吸道感染:

67例患儿中有24例于腹泻前后2～3 d出现咳嗽、发热等呼吸道症状, 其中部分肺部可及罗音, 摄胸片提示肺炎9例 (13.43%) 、肺纹理增粗15例 (22.39%) 。1.3.3肝脏损害:根据我院肝功能的正常参考值, 拟定如下诊断标准即谷丙转氨酶>50 U/L, 谷草转氨酶>50 U/L。本组病人有19例 (28.36%) 肝功能异常, 其中1例肝脏略肿大, 除外溶血及肝胆疾病。

1.3.4 神经系统症状:

本组病人中25例 (37.31%) 有精神萎靡、烦躁、惊厥等症状, 其中7例 (10.45%) 惊厥病人中4例无热惊厥;7例查脑电图、脑脊液常规及生化;4例查头颅CT。7例脑电图检查中, 4例出现弥漫性异常慢波, 其中轻度异常3例, 中度异常1例, 重度异常未见。脑脊液及头颅CT检查均未见明显异常。

1.3.5 电解质检测:

血钠低于130 mmol/L者1例;血钙低于2.1 mmol/L者3例;血镁低于0.74 mmol/L者1例;惊厥病人中仅1例血电解质异常。

1.4 治疗方法

以抗病毒、对症、补液维持水电解质平衡为主, 同时控制饮食、予思密达及微生态疗法辅助治疗。对伴心肌损伤者加用能量合剂、1, 6-二磷酸果糖;对伴呼吸道感染者根据症状予止咳化痰、抗炎等药物;对伴肝脏损伤者加用能量合剂;对伴惊厥者加用安定止痉。

2 结果

67例患儿治疗3～7 d后消化道症状好转;36例伴心肌损害患儿 (其中6例为病毒性心肌炎) 经治疗5～7 d后, 其中34例血心肌酶谱、 (CTnI) 及心电图均恢复正常, 2例治疗7 d后心电图仍示T波异常, 自动出院后2周门诊复查心电图正常。15例伴呼吸道感染者 (非肺炎) 治疗3～5 d后好转, 9例肺炎患儿治疗7～12 d后好转。伴肝脏损伤者治疗5～7 d后复查肝功能正常。7例伴惊厥者在纠正脱水、维持电解质平衡、控制体温后, 未再次出现惊厥, 其中3例治疗7～10 d复查脑电图正常、1例临床病情好转拒绝复查。

3 讨论

RV是婴幼儿秋冬季急性胃肠炎最常见的病原体, 约占所有婴幼儿肠道感染病因的50%以上。人群普遍易感, 感染后免疫力短暂。儿童期各年龄段感染胃肠炎的普遍原因是RV作怪, 全世界3岁以下的儿童中, 90%感染过RV, 5岁以上的儿童几乎无人能幸免[3], 但主要侵犯6～24个月婴幼儿。RV肠炎常导致一系列病理生理改变:脱水、电解质、酸碱平衡紊乱等。近年来, 各国科学工作者不断发现RV不仅可以引起肠道内感染, 而且发病早期即可发生病毒血症, 并引起全身多脏器损害[4]。RV肠炎并发心肌损害发生率较高, 本文有36例心肌损害, 6例病毒性心肌炎。其发病机制比较复杂, 至今未明, 一般认为与病毒直接侵犯心脏, 以及机体免疫损伤有关。CK是一种器官特异酶, CK-MB几乎只存在心肌内, 因此是心肌损害特异而敏感的指标。α-HBD也主要存在心肌内, 当心肌受损时α-HBD释放入血中, 因此也有较重要的参考价值[5]。cTnI仅存于心肌收缩蛋白的细肌丝上, 是心肌损害的特异性和敏感性较好的标记物, 是小儿心肌损害诊断的金标准。本文CK增高20例 (29.85%) , CK-MB增高38例 (56.72%) , α-HBD增高32例 (47.76%) , cTnI增高6例 (8.96%) ;心电图结果异常32例 (47.76%) , 以窦性心动过速及T波改变最多见, 这些异常心电图不能以腹泻原因解释, 部分患儿在病情好转后一定时间内, 心电图仍不能恢复正常。因此RV肠炎患儿应及时查血心肌酶谱、 (CTnI) 和心电图, 以了解心脏受损情况, 病情好转后应适时复查, 避免病情变化。

67例RV肠炎患儿中28.36%出现肝功能异常, 考虑肝损害的原因可能是RV通过胃肠道屏障经血扩散形成病毒血症, 或经门静脉逆行入肝脏造成直接感染。有报道说:小儿年龄越小, 肝脏相对越大, 肝脏血管丰富, 代谢旺盛, 各种酶活性不稳定, 解毒功能差;另一方面, 婴幼儿肠道免疫功能不成熟, 特别是分泌型IgA水平低、黏附、中和病毒能力差, 婴幼儿肠黏膜细嫩、肠壁薄、通透性高、屏障功能差, 病原菌易经血管或淋巴扩散引起肠道外感染[6]。肺炎和支气管炎24例 (35.82%) , 其中部分是RV肠炎并发症, 还有部分患儿是在呼吸道感染的基础上, 合并RV肠炎。有资料认为40%～50%RV肠炎患儿伴有咳嗽等呼吸道症状, 提示RV也可能是呼吸道感染的病原之一, 并可通过呼吸道传播。

虽然腹泻可引起血电解质异常导致神经系统症状, 7例惊厥患儿中仅1例血电解质异常, 4例脑电图检查中出现异常改变, 提示血电解质异常并非是惊厥的主要原因;部分患儿中枢神经系统也有改变, 但持续时间短, 大多7～10 d复查恢复正常, 这可能是RV感染的急性期, RV血症侵犯脑组织引起中枢神经系统一过性功能紊乱所致。7例惊厥患儿中有4例为无热惊厥 (血电解质正常) , 更要引起注意和思考。目前认为RV感染波及中枢神经系统时, 一般在患病前几日有RV腹泻症状, 且无热是其特征[6]。

综上所述, 临床上应重视RV感染, 加强对RV感染患儿胃肠道外其他系统的检查, 及早发现和治疗各种合并症。

参考文献

[1]李毅.儿科疾病诊断标准[M].北京:北京科学出版社, 2001.

[2]胡亚美, 江载芳.诸福棠实用儿科学[M].北京:人民卫生出版社, 2002.

[3]刘俊凌, 杨俊文.腹泻病儿致泻病原学及临床研究[J].中国妇幼保健, 2004, 19 (3) :111-112.

[4]张传仓, 李宁, 姚英民.轮状病毒的病毒血症及肠道外损害[J].中国实用儿科杂志, 2002, 17 (12) :753-755.

[5]郑凤莲, 霍开明.心肌酶谱测定在婴幼儿轮状病毒性肠炎并心脏损害的意义[J].实用儿科临床杂志, 2003, 18 (3) :239.

病毒系统 第10篇

1 资料与方法

1.1 一般资料

选取收治于该院的76例小儿轮状病毒肠炎患者, 该组患者中有男性患儿42例, 女性患儿34例, 其中位于1~6月年龄段的患儿有9例, 7个月~1岁年龄段的患儿有49例, 13个月~3岁年龄段的患儿有18例。76例患者既往均无心脏病史、惊厥史或肝炎病史, 发育均无异常。患儿的病程为3~10 d, 平均为6 d。76例患儿全部由于腹泻住院, 其粪便轮状病毒检测均呈阳性, 肠道细菌培养均为阴性, 与《儿科疾病诊断标准》相符[2]。

1.2 方法

76例小儿轮状病毒肠炎患者在入院当日, 均进行了粪便收集及血液标本收集。分别检查粪便轮状病毒及常规细菌培养。以及血生化、肌钙蛋白I、血心肌酶谱、心电图检查。对伴有呼吸道症状患儿, 进行摄胸片。对伴惊厥患儿, 加做脑电图、头颅CT或MRI检查, 以及脑脊液检查。

1.2.1 进行实验室检查

①在心肌损害检查中, 患儿入院早期, 42例心脏听诊异常, 包括心率不齐, 心音低钝等。通过血心肌酶谱及心电图检查, 显示36例心电图异常。包括15例T波改变, 6例不完全性右束支阻滞。27例窦性心动过速, 4例Q-T间期延长, 3例窦性心动过缓, 2例房性早搏。在患儿血心肌酶谱检查中, 39例乳酸脱氢酶 (LDH) 增高, 23例肌酸激酶 (CK) 增高, 33例肌酸激酶同工酶 (CK-MB) 增高。36例α-羟丁酸氢酶 (α-HBD) 增高, 31例天门冬氨酸转移酶 (AST) 增高, 7例血肌钙蛋白I (c Tn I) 增高。根据《诸福棠实用儿科学》诊断标准[3], 35例证实为单纯心肌损害, 7例确诊为病毒性心肌炎。②在呼吸道感染检查中, 76例小儿轮状病毒肠炎患者中, 27例于腹泻前后48~72 h内, 出现呼吸道症状, 包括咳嗽及发热等。少数患儿肺部可闻及罗音, 摄胸片提示, 12例为肺炎, 15例为肺纹理增粗。③在肝脏损害检查中, 按照本院肝功能正常参考值, 拟定诊断标准, 即谷丙转氨酶超过40 U/L, 谷草转氨酶超过40 U/L。该组76例患儿中, 21例肝功能异常, 其中, 肝脏略肿大1例, 除外溶血和肝胆疾病。④进行神经系统症状检查, 在该组76例患儿中, 27例有烦躁、惊厥或精神萎靡等症状。其中, 9例惊厥患儿中, 5例为无热惊厥。9例均查脑电图、血生化及脑脊液常规, 5例无热惊厥加查头颅CT或MRI。在脑电图检查中, 5例有弥漫性异常慢波, 其中4例为轻度异常, 1例为中度异常, 无重度异常者。在头颅CT或MRI检查及脑脊液检查中, 无一例见明显异常。⑤在电解质检测中, 血镁<0.74mmol/L者, 为1例, 血钠<130 mmol/L者, 为5例, 4例血钙<2.1mmol/L, 在9例惊厥患儿中, 血电解质异常者2例。

1.2.2 临床治疗方法

治疗组:主要为抗病毒、补液纠正脱水及维持水电解质酸碱平衡等对症治疗。同时, 控制患儿饮食, 结合辅助治疗, 即给予思密达及微生态疗法。如患儿合并心肌损伤, 加用能量合剂、l, 6一二磷酸果糖或磷酸肌酸营养心肌。如患儿合并呼吸道感染, 可根据临床症状, 给予止咳化痰及抗炎等药物。

对照组:对照组采用常规药物治疗。首先改善患儿的脱水症状, 并补充电解质, 然后给予其妈咪爱纠正其肠道菌紊乱症状, 每天服用2~3次, 0.8 g/次, 不适用抗毒药物。

1.3 治疗效果评价标准

治愈:患者临床症状消失, 无腹泻或其他不适症状;治疗有效:患者接受治疗后, 临床症状得到有效好转, 且无不适症状;无效:患者接受治疗后, 临床症状无明显变化。

1.4 统计方法

应用SPSS16.0统计学软件对上述治疗进行数据的分析, 计数资料采用χ2检验。

2 结果

通过对两组患者的临床治疗效果对比发现, 治疗组中有68例患者痊愈, 7例患者治疗有效, 总有效率为98.7%;观察组中有36例患者痊愈, 30例患者治疗有效, 总有效率为86.8%。两组患者在治疗效果上差异有统计学意义 (P<0.05) 。见表1。

76例小儿轮状病毒肠炎患者的消化道症状, 均有所改善。其中42例伴心脏损害患儿, 经治疗, 39例心电图、血心肌酶谱, 恢复至正常, 3例在治疗1周后, 患者的心电图, 仍然显示T波异常, 出院14 d后复查, 心电图亦恢复正常。15例支气管炎感染患儿, 经治疗4 d左右, 症状均有所好转, 12例肺炎患儿, 经治疗1~2周后, 症状消失。9例伴惊厥患儿, 通过纠正脱水, 维持电解质平衡及控制体温后, 无一例出现再次惊厥。21例伴肝损伤患儿, 经治疗1周左右, 肝功能恢复至正常。

3 讨论

根据相关文献显示[3], 在婴幼儿肠道感染病因中, 由轮状病毒所致>50%, 其在急性胃肠炎中, 为常见的病原体, 在<3岁的儿童中, 超过85%曾感染轮状病毒, 而在五岁以上的儿童中, 则很少见, 它主要的侵犯群体为6~24个月的婴幼儿[4]。对于轮状病毒肠炎而言, 其可引发一系列病理生理改变, 如电解质、酸碱平衡紊乱及脱水等[5]。随着近年来轮状病毒感染患者的不断增多以及医疗技术水平的提高, 对该病的研究也更加深入。临床研究表明, 轮状病毒不仅可导致肠道内感染, 且在其发病的早期, 就可发生病毒血症, 导致全身多脏器损害。由轮状病毒引起的肠炎并发心肌损害具有较高的发病率[6]。

由于婴幼儿还处于成长阶段, 肠道免疫功能还不够成熟, 尤其是分泌型Ig A水平比较低[7], 中和病毒和黏附的水平就比较低, 由于肠黏膜细嫩、肠壁薄、通透性高、屏障功能差, 最终导致了病原菌易经血管或淋巴扩散引起肠道外感染[8]。在该组研究中, 有15例患者为支气管炎, 12例为肺炎, 其中一部分是轮状病毒肠炎的并发症, 另外是有少数的患儿是在呼吸道感染的基础上合并轮状病毒肠炎。有临床研究资料表明, 大约有半数的轮状病毒肠炎患儿伴有咳嗽等临床表现, 由此提醒我们轮状病毒也有可能引起呼吸道感染。同时它也能够通过呼吸道进行传播。

通过有效的治疗方法对这类疾病会产生较好的治疗效果, 从该组研究的患者中可看出, 采用综合治疗的治疗组中有75例患者治疗有效, 总有效率为98.7%, 这表明通过有效的治疗方法, 有利于帮助患者改善病情。

综上, 轮状病毒感染可引起非常严重的后果, 对小儿的身体健康和生命安全造成了严重的影响。因此, 在临床上, 应对轮状病毒感染加以足够重视, 增强患者胃肠道外其它系统的检查, 及时发现各种合并症, 并进行及时治疗。

摘要：目的 分析探讨小儿轮状病毒 (RV) 肠炎多系统损害的临床特点和疗效。方法 选取于该院采用综合治疗法的76例小儿轮状病毒肠炎患儿, 收集其临床资料并做回顾性分析, 将其治疗效果与同时期采用常规治疗法的76患儿进行对比。前者为治疗组, 后者为对照组。结果 治疗组76例患儿经治疗后, 消化道症状均有所改善。42例伴心肌损害者经治疗1周后, 39例患儿的心电图、血心肌酶谱, 均恢复至正常, 3例患儿治疗1周后, 心电图仍然显示T波异常, 自动出院14 d后, 门诊复查3例患儿心电图均恢复正常。经研究后发现, 治疗组中共有75例患者治疗有效, 总有效率为98.7%, 对照组中有66例患者治疗有效, 总有效率为86.8%。两组患者在治疗效果上存在较大差异有统计学意义 (P<0.05) 。结论 增强胃肠道外其它系统的检查, 可对小儿轮状病毒肠炎患者的各种合并症, 进行及时的发现与治疗。

关键词：小儿轮状病毒肠炎,多系统损害, 研究

参考文献

[1]徐康, 朱海蛟, 谷国华, 等.左卡尼汀治疗小儿轮状病毒肠炎合并心肌损害临床观察[J].药物流行病学杂志, 2013 (6) :285-287.

[2]司徒桦.防风颗粒治疗小儿轮状病毒肠炎临床研究结题报告[C]//第25届全国中医儿科学术研讨会暨中医药高等教育儿科教学研究会会议学术论文集.北京中华中医药学会儿科分会, 2009:3.

[3]王艳艳, 孙晓平, 李琦, 等.小儿轮状病毒肠炎合并心肌损害的综合治疗与护理[C]//中华护理学会.中华护理学会全国儿科护理学术交流暨专题讲座会议论文汇编.北京:中华护理学会, 2009:4.

[4]骆秋龙, 平明芳, 吴鸣.热毒宁注射液治疗小儿轮状病毒肠炎96例临床研究[C]//2012年江浙沪儿科学术年会暨浙江省医学会儿科学分会学术年会、儿内科疾病诊治新进展国家级学习班论文汇编.杭州:浙江省医学会, 2012:2.

[5]马春明.口服清热止惊汤加布洛芬混合液灌肠治疗小儿轮状病毒肠炎合并惊厥效果观察[J].浙江临床医学, 2013 (8) :1222-1223.

[6]杨秀榕, 黄梅英, 曹巧玲.金双歧联合利巴韦林治疗小儿轮状病毒肠炎疗效观察[J].中国当代医药, 2013 (21) :81-82.

[7]钱发英.葡萄糖酸锌口服液联合消旋卡多曲治疗小儿轮转病毒肠炎的疗效观察[J].海峡药学, 2013 (2) :172-173.

鸭病毒性肝炎病毒特性简介 第11篇

鸭病毒性肝炎是雏鸭高度致死性的传播迅速的病毒性疾病，以肝脏损伤为其主要症状。每年雏鸭的发生率较高，死亡率较高，是夏季养鸭必防的雏鸭传染病。

1 病毒分类

按病原学分类，鸭肝炎病毒（DHV）可分为1型、2型、3型，三个型之间没有交叉免疫力，发病最严重的是1型病毒，而2、3型病毒还可以使免疫了1型DHV的雏鸭发病。因此，我们很有必要了解病毒性肝炎病毒的相关知识，以便采取相关措施应对。

1.1 鸭肝炎病毒1型 鸭肝炎病毒1型含RNA，属于小核糖核酸病毒属，大小约为20～40nm，其生物学特性是细胞培养物不能吸附和凝集鸡、鸭、鹅、绵羊、马、豚鼠、小白鼠、蛇、猪及家兔的红细胞。

1.1.1 物理因素及抵抗力 1型鸭肝炎病毒可耐受乙醚和碳氟化合物、氯仿、胰酶、pH3和30%的甲醇或硫酸铵的处理，在1%的甲醛或2%的氢氧化钠2h（15～20℃）、2%次氯酸钙中3h或0.2%福尔马林2h可完全灭活。1型鸭肝炎病毒在热环境中有一定的耐受性，50℃加热1h不受影响，56℃加热30min部分失活，62℃加热30min后失活。1型鸭肝炎病毒在37℃的条件下可存活21d。在自然环境中病毒可在未清洗的污染的孵化器中存活10周，在阴凉处的垃圾、湿粪中能存活37d以上。在4℃的环境条件下能存活2年以上，在-20℃环境中可存活达9年。因此说，在夏季1型鸭肝炎病毒可在自然环境中长期存活，必须认真防范。

1.1.2 变异性 国外发现一个1型鸭肝炎病毒的明显的血清学变异株。

1.1.3 细胞培养 1型鸭肝炎病毒弱毒株可在鹅、火鸡、鹌鹑、雉、珍珠鸡和鸡的胚细胞培养物上生长，而1型鸭肝炎病毒强毒只能在珍珠鸡、鹌鹑和火鸡的胚细胞上有不同程度的生长。鸭胚成纤维细胞接种1型鸭肝炎病毒鸡胚适应毒后可连续生长，并产生很强的细胞致病作用，正是这一特有特性可进行疫苗生产。

1.1.4 致病力 鸭1型肝炎病毒接种9日龄的鸡胚，经6d可致鸡胚60%的死亡，继续用鸡胚绒毛尿囊膜和胚液的匀浆接种传代，在第63代时可致鸡胚100%的死亡，说明对鸡胚有致病力。而1型鸭肝炎病毒通过鸭胚传代后，可失去对雏鸭的致病力。

1.2 鸭肝炎病毒2型

1.2.1 鸭肝炎病毒2型 鸭肝炎病毒2型归类于星状病毒（astrovirus），将来可能称为鸭星状病毒（duckastrpvirus）。

1.2.2 形态 在电子显微镜下病毒颗粒的形状类似星状病毒，直径为28～30nm，可耐受氯仿、pH3和胰酶的处理，50℃加热60min病毒的感染性不受影响，甲醛熏蒸消毒和标准的消毒药消毒措施可以有效控制感染。

1.2.3 细胞培养 2型鸭肝炎病毒不能在多种鸭和鸡的继代细胞上生长。

1.2.4 致病力 通过鸡胚传代可使2型鸭肝炎病毒的致病力减弱。

1.3 鸭肝炎病毒3型

1.3.1 鸭肝炎病毒3型 鸭肝炎病毒3型含有RNA，归类于小核糖核酸属，但与1型鸭肝炎病毒无关，没有共同的抗原成分。

1.3.2 形态 电镜下的鸭肝炎病毒3型的形态可见胞浆中有大约直径30nm的呈晶子格排列的颗粒。可耐受氯仿和pH3的处理，对50℃的加热敏感。

1.3.3 培养 接种9～10日龄鸭胚绒毛尿囊膜敏感，而接种鸡胚则不敏感。可在鸭胚或雏鸭的肝或肾细胞培养物中增殖。

1.3.4 致病力 3型鸭肝炎病毒对雏鸭的致病力较低，用鸭胚绒毛尿囊膜传代接种可使3型鸭肝炎病毒对雏鸭的致病力减弱，而对鸭胚的致病力增强。

2 传播与媒介

2.1 自然宿主 在自然环境中，1型鸭肝炎仅发生于雏鸭，成年的种鸭即使在污染的环境中也无临床症状，也不影响产蛋。而鸡和火鸡对该病毒有抵抗力，人工感染雏鸡、雏火鸡、雏番鸭、幼鸽、鹌鹑未发生死亡和死亡率很低，而雏雉、鹅和珍珠鸡死亡率则很高，而该病毒不能传染给家兔、豚鼠、小白鼠和狗。

2.2 传播途径 自然条件下，鸭病毒性肝炎在雏鸭中传播很快，死亡率很高。传播速度快说明有很强的接触传染性。

在有感染存在的地区孵化出的种鸭后代，孵出就变换新的环境饲养，则不发病，说明不会经过种蛋传播鸭肝炎病毒。

总之，雏鸭肝炎病毒的特性揭示了自然界中的媒体不是该病毒的传播媒介，而易感染的雏鸭才是易感群体传播的根源，做好自然环境的消毒和雏鸭的免疫接种，才是防止接触传染本病的根本有效措施。

病毒系统 第12篇

随着信息化进程的深入和互联网的迅速发展，信息交流共享日益频繁，网络活动呈级数式增加。与此同时，网络的安全问题也给我们带来了难以想象的影响，人们在享受网络便利的同时又深受安全问题的困扰。其中实现简单、运行高效的TCP/IP协议，它所提供的信息和资源共享是建立在网络内部各节点之间相互信任基础之上的，这使得TCP/IP协议的完全开放性具有诸多安全隐患。作为网络中一种典型的攻击方式，ARP利用TCP/IP协议的漏洞进行欺骗攻击，现已严重影响到人们正常上网和通信安全[1]。而且ARP攻击手段不断升级，攻击方式复杂多样，攻击力度大大增强。

2 ARP欺骗攻击

2.1 ARP协议

在局域网中，当一个主机和另一个主机进行通信，必须知道目标主机的MAC地址，而目标主机的MAC地址通过ARP协议获得。ARP协议是地址解析协议(Address Resolution Protocol)的英文缩写，负责将网络层32位的IP地址转换成48位数据链路层的MAC硬件地址，以保证通信的顺利进行。在局域网络中实际传输的是“帧”，里面含有目标主机的MAC地址[2]。地址解析就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程，ARP协议的基本功能就是执行地址解析，以保证通信的顺利进行。

2.2 ARP攻击方式

ARP协议的缺陷性导致ARP病毒在局域网内的泛滥，其攻击方式一般分为欺骗主机、欺骗网关和双向欺骗3类[3]。

2.2.1 欺骗主机

具体有两种形式，攻击者通过发送错误的网关MAC地址给受攻击者或发送错误的终端MAC地址给受攻击者，从而导致受攻击主机无法与网关或者本网段内的其它计算机终端进行通信。

2.2.2 欺骗网关

攻击者通过发送错误的终端MAC地址给网关，从而导致网关无法和受攻击计算机终端用户进行通信。

2.2.3 双向欺骗

攻击者通过欺骗主机和欺骗网关相结合的方法，导致网关和计算机终端用户无法正常进行通信。

2.3 ARP攻击危害

ARP欺骗攻击可以使局域网内的计算机网速变慢，时断时续，甚至是网络中断。而且这种现象只要在局域网内的任何一台计算机上感染，很快便会蔓延到局域网的其他计算机，极有可能造成整个局域网的网络中断，严重的可能造成整个网络的瘫痪，ARP攻击除了可以影响到用户的正常上网外，还可能在网络上窃取用户密码，盗取账号等[4]。归纳ARP类欺骗攻击的危害可归纳为如下几大类：

(1)网络异常。具体表现为：掉线、IP冲突等。

(2)数据窃取。具体表现为：个人隐私泄漏(例如邮件)、账号被盗用(例如银行账号)。

(3)数据篡改。具体表现为：访问的网页被添加了恶意内容。

(4)非法控制。具体表现为：网络速度、网络访问行为(例如某些网页打不开、某些网络应用程序用不了)受第三者非法控制。

3 ARP防御系统建设

3.1 主要内容

ARP病毒攻击防范系统软件是一款局域网管理软件，用于管理局域网，可以在局域网中任意一台机器上运行主程序，可限制各用户上线时所用的IP、时段，并将非法用户隔离出局域网。网络中任一台主机，开机即会被实时检测并记录其网卡地址、所用的IP、上线时间、下线时间等信息，这些信息自动永久保存，并可依各种条件进行查询。一旦有未登记主机接入，软件会自动将其MAC、IP、主机名、上下线时段等信息作永久记录，并可采用声音、向指定主机发消息等多种方式报警，还可以根据管理员的设定，自动对该主机采取IP冲突、与关键主机隔离、与网络中其他所有主机隔离等控制措施。

3.2 功能简析

(1)软件开发了“设置”模块，实现了网络实时“监视”功能，即系统能够实时显示网内所有用户的上网信息，包括网内所有用户的网卡号、所用的IP、上线时间、下线时间等，使网络管理者能够随时掌握网络的运行情况和上网行为，实现了网络管理方式的新突破。

(2)通过开发“用户”管理功能，实现自动拒绝非法用户的上网行为。即可通过系统设置，对非法用户实施“管制”，一旦有未登记主机接入，软件会自动记录其信息并对该主机采取IP冲突、与关键主机隔离等控制措施，使其无法进入网络，从而大幅度降低网络遭受非法侵入的概率，起到了有效保护网络安全的作用。

(3)通过开发“控制”管理功能，解决了网络“病毒源”的查找繁琐、排除困难的问题，系统自动报警，形象地显示“中毒”计算机终端，管理人员可利用该软件进行控制，将其从整个网络中“隔离”，阻止了网内病毒的传播，保证其它用户正常上网，起到了网络畅通率和利用率的作用。

(4)通过开发“用户列表”管理功能，解决了网内计算机用户长期存在的IP地址不能有效管理、时而发生地址冲突的问题。系统可对网内每台主机指定一个固定的IP，当该主机采用超出范围的IP时，系统会判定其为“非法用户”并对其进行控制，使其无法上网。从而防止了网内用户IP地址的人为随意更改,有效保护了广大网络用户的合法权益。

4 结语

ARP病毒攻击防范系统具有可靠性高、监控范围广、占用网络资源少、可实时监控等优势，可以穿透防火墙、对整个局域网用户进行实时监控，部署成本低、利用效率高，全面提高了网络安全维护的效率和质量，提升了局域网网络的安全性和稳定性，适用于局域网内部部署使用。

摘要：本文通过分析ARP攻击的原理、方式和危害,介绍了局域网ARP攻击主动防护系统的功能以及在局域网部署该系统的良好作用。

关键词：ARP攻击,主动防范,局域网,系统

参考文献

[1]李军锋.基于计算机网络安全防ARP攻击的研究[J].武汉工业学院学报,2009,28(1):57-59.

[2]郭征,吴向前,刘胜全.针对校园网ARP攻击的主动防护方案[J].计算机工程,2011,37(5):181-183.

[3]史子新.校园网ARP攻击原理与防范[D].兰州:兰州大学,2011.