【IT168 专稿】“利益”是目前病毒发展的驱动剂，有人想盗用网游装备，有人想“免费”用QQ服务，有人想窥探他人隐私，有人想提高网站流量，有人想迅速“抢占”桌面…… 让运营商和企业网络的管理人员头疼，不断地有发展新的变种，发作时所造成的损害也越来越严重。尽管程序代码本身通常并不破坏任何的数据，但是所带来的直接和间接的破坏，会使得网络和系统拥塞，严重地影响我们正常工作。

    分析网络
    面对受感染的系统的计算机资源，病毒的传播则会消耗大量的链路带宽，更可怕的是网络基础设备受到影响而造成网络的不稳定甚至瘫痪。如今的大型企业越来越多地把关键业务应用融合到IP承载网络上，相对来说，一个安全、可靠的网络是企业业务成功的关键。面对当前的企业网络的内部和外部的界限越来越模糊，用户的移动性越来越强，安全的内部局域网已经潜伏着威胁。在这样环境下，我们很难保证病毒不会被带入到企业安全网络内，由于局域网的广泛分布和高速连接，也许很可能成为快速泛滥的温床。如何应对现在新的网络安全环境呢？如何在我们的局域网上防范病毒入侵，及时地发现、跟踪和阻止其泛滥，是我们每个网络管理人员所思考的问题。

    从网络到主机，从核心层到分布层、接入层，我们都要采取全方面的企业安全策略来保护整个网络和其所连接的系统。当病毒入侵所造成的后果，我们都要有相应的措施，将其影响尽量缓解，并保护我们的网络基础设施，保证网络的稳定运行。 我们以在局域网中防范蠕虫病毒为例：

    首先我们要了解蠕虫的异常行为，并有相应的手段来尽早发现它异常行为。及时发现可疑行为后，要能很快速定位其来源，并跟踪到其源IP地址、MAC地址、登录用户名、所连接的交换机和端口号等等。搜集到相关的证据后，并作出相应的判断。如果确定是蠕虫病毒，就要及时做出响应的动作，例如端口隔离，对被感染机器进行处理。

    我们知道接入交换机遍布于每个工作间，为企业的桌面系统提供边缘接入，由于成本和管理的原因，我们不可能在每个接入层交换机旁都放置一台IDS设备。如果是在分布层或核心层部署IDS，对于汇聚了成百上千个百兆/千兆以太网流量的分布层或核心层来说，工作在第7层的软件实现的IDS无法处理的数据，就不加选择地对所有流量都进行监控是不现实的。

    发现可疑流量
    可以利用设备管理软件采集和输出的网络流量的统计信息，可以发现单个主机发出超出正常数量的连接请求，这种不正常的大数量的流往往是蠕虫爆发或网络滥用的迹象。因为蠕虫的特性就是在发作时会扫描大量随机IP地址来寻找可能的目标，会产生大量的TCP或ICMP流。流记录里其实没有数据包的载荷(payload)信息。如果分析和利用得当，记录非常适用于蠕虫或其他网络滥用行为的检测。

    了解流量模式的基线非常重要。例如，一个用户同时有50-100个活动的连接是正常的，但是如果一个用户发起大量的(例如200个)活动的流就是非正常的了。