ComputerKnowledgeAndTechnology电脑知识与技术2008年第3卷第5期(总第23期)ISSN1009-3044ComputerKnowledgeAndTechnology电脑知识与技术
Vol.3,No.5,August2008,pp.902-904,949E-mail:info@cccc.net.cnhttp://www.dnzs.net.cnTel:+86-551-56909635690964网络蠕虫介绍、分析与防范
施杰1,蒋磊2
(1.华东理工大学数学系,上海200237;2.江南大学理学院计算机系,江苏无锡214122)
摘要:凡能够引起计算机故障,破坏计算机数据的程序统称为计算机病毒,从这个意义上说,蠕虫也是一种病毒。网络蠕虫病毒,作为对互联网危害严重的一种计算机程序,其破坏力和传染性不容忽视。与传统的病毒不同,蠕虫病毒以计算机为载体,以网络为攻击对象。文章将蠕虫病毒分为针对企业网络和个人用户2类,并从企业用户和个人用户两个方面探讨蠕虫病毒的特征和一些防范措施。
关键词:蠕虫;病毒;预防;检测;原理
中图分类号:TP393文献标识码:A文章编号:1009-3044(2008)23-902-03
NetworkWormsIntroduction,AnalysisandPrevention
SHIJie1,JIANGLei2
(1.EastChinaUniversityofScienceandTechnology,DepartmentofMathematics,Shanghai200237,China;2.JiangnanUniversity,DepartmentofComputerSicence,Wuxi214122,China)
Abstract:Wormsarethenewmethodofvirustoinfectcomputerprograms.Inthispaperwewilldiscussallthepossiblemethodthewormwillhavetoattacknetworkcomputersandnetworkitself.Companiesandsinglepersonwillhavedifferentexperienceofwormat-tack.Andwewilldiscussitfromdifferentviews.Finallywewillgiveoutapracticalsolutiontothisthreat.
Keywords:Worms;virusprevention;detection;principle
1蠕虫病毒的定义
1.1蠕虫病毒的定义
计算机病毒自出现之日起,就成为计算机的一个巨大威胁,而当网络迅速发展的时候,蠕虫病毒引起的危害开始显现!从广义上定义,凡能够引起计算机故障,破坏计算机数据的程序统称为计算机病毒。所以从这个意义上说,蠕虫也是一种病毒!但是蠕虫病毒和一般的病毒有着很大的区别。对于蠕虫,现在还没有一个成套的理论体系,一般认为,蠕虫是一种通过网络传播的恶性病毒,它具有病毒的一些共性,如传播性,隐蔽性,破坏性等等,同时具有自己的一些特征,如不利用文件寄生(有的只存在于内存中),对网络造成拒绝服务,以及和黑客技术相结合等等!在产生的破坏性上,蠕虫病毒也不是普通病毒所能比拟的,网络的发展使得蠕虫可以在短短的时间内蔓延整个网络,造成网络瘫痪!
根据使用者情况可将蠕虫病毒分为2类,一种是面向企业用户和局域网而言,这种病毒利用系统漏洞,主动进行攻击,可以对整个互联网可造成瘫痪性的后果!以“红色代码”,“尼姆达”,以及“sql蠕虫王”
为代表。另外一种是针对个人用户的,通过网络(主要是电子邮件,恶意网页形式)迅速传播的蠕虫病毒,以爱虫病毒,求职信病毒为例.在这两类中,第一类具有很大的主动攻击性,而且爆发也有一定的突然性,但相对来说,查杀这种病毒并不是很难。第二种病毒的传播方式比较复杂和多样,少数利用了微软的应用程序的漏洞,更多的是利用社会工程学对用户进行欺骗和诱使,这样的病毒造成的损失是非常大的,同时也是很难根除的,比如求职信病毒,在2001年就已经被各大杀毒厂商发现,但直到2002年底依然排在病毒危害排行榜的首位就是证明!出得在接下来的内容中,将分别分析这两种病毒的一些特征及防范措施。
自从2007年开始,蠕虫的作用方式已经从直接感染文件并加以破坏转为更为商业化和利益化的攻击方式:恶意广告和僵尸网络已经成为利用蠕虫手段进行商业牟利的重要手段。蠕虫往往会通过向宿主注入各种恶意代码使得宿主被动访问一些收费站点或者在宿主机中执行各种广告软件来为蠕虫作者带来各种收益,最近的形势看来这种蠕虫的倾向越来越有预谋有组织,有时甚至可能是某些商业软件公司的公司行为。对于僵尸网络的利用目前也逐渐从黑客工具变为商业牟利的手段。僵尸网络,顾名思义就是一群中了蠕虫而被获得管理员权限的网络计算机的群体,利用这些群体可以轻而易举的造成各种网络攻击或者流量阻塞的破坏。在以前这些网络主机往往是作为黑客的攻击工具而存在,但在现在,这些主机往往被挂牌出租,未那些没有成熟的攻击主机的黑客提供平台。1.2蠕虫病毒与一般病毒的异同
蠕虫也是一种病毒,因此具有病毒的共同特征。一般的病毒是需要的寄生的,它可以通过自己指令的执行,将自己的指令代码写到其他程序的体内,而被感染的文件就被称为”宿主”,例如,Windows下可执行文件的格式为pe格式(PortableExecutable),当需要感染pe文件时,在宿主程序中,建立一个新节,将病毒代码写到新节中,修改的程序入口点等,这样,宿主程序执行的时候,就可以先执行病毒程序,病毒程序运行完之后,在把控制权交给宿主原来的程序指令。可见,病毒主要是感染文件,当然也还有像DIRII这种链接型病毒,还有引导区病毒。引导区病毒他是感染磁盘的引导区,如果是软盘被感染,这张软盘用在其他机器上后,同样也会感染其他机器,所以传播方式也是用软盘等方式。
蠕虫一般不采取利用pe格式插入文件的方法,而是复制自身在互联网环境下进行传播,病毒的传染能力主要是针对计算机内收稿日期:2008-04-10
作者简介:施杰,华东理工大学数学系;蒋磊,江南大学理学院计算机系,武警江苏总队通信处工作,主要从事武警总队专用骨干网
络维护、网站程序开发维护等工作。
施杰等:网络蠕虫介绍、分析与防范903
的文件系统而言,而蠕虫病毒的传染目标是互联网内的所有计算机.局域网条件下的共享文件夹,电子邮件email,网络中的恶意网页,大量存在着漏洞的服务器等都成为蠕虫传播的良好途径。网络的发展也使得蠕虫病毒可以在几个小时内蔓延全球,而且蠕虫的主动攻击性和突然爆发性将使得人们手足无策。
表1
可以预见,未来能够给网络带来重大灾难的主要必定是网络蠕虫病毒!
1.3蠕虫的破坏和发展趋势
1988年一个由美国CORNELL大学研究生莫里斯编写的蠕虫病毒蔓延造成了数千台计算机停机,蠕虫病毒开始现身网络;而后来的红色代码,尼姆达病毒疯狂的时候,造成几十亿美元的损失;北京时间2003年1月26日,一种名为“2003蠕虫王”的电脑病毒迅速传播并袭击了全球,致使互联网网路严重堵塞,作为互联网主要基础的域名服务器(DNS)的瘫痪造成网民浏览互联网网页及收发电子邮件的速度大幅减缓,同时银行自动提款机的运作中断,机票等网络预订系统的运作中断,信用卡等收付款系统出现故障!专家估计,此病毒造成的直接经济损失至少在12亿美元以上。
表2
由表2可以知道,蠕虫病毒对网络产生堵塞作用,并造成了巨大的经济损失!
通过对以上蠕虫病毒的分析,可以知道,蠕虫发作的一些特点和发展趋势:
1)利用操作系统和应用程序的漏洞主动进行攻击。此类病毒主要是“红色代码”和“尼姆达”,以及至今依然肆虐的”求职信”等.由于IE浏览器的漏洞(IframeExeccomand),使得感染了“尼姆达”病毒的邮件在不去手工打开附件的情况下病毒就能激活,而此前即便是很多防病毒专家也一直认为,带有病毒附件的邮件,只要不去打开附件,病毒不会有危害。“红色代码”是利用了微软IIS服务器软件的漏洞(idq.dll远程缓存区溢出)来传播。Sql蠕虫王病毒则是利用了微软的数据库系统的一个漏洞进行大肆攻击。
2)传播方式多样如“尼姆达”病毒和”求职信”病毒,可利用的传播途径包括文件、电子邮件、Web服务器、网络共享等等。
3)病毒制作技术与传统的病毒不同的是,许多新病毒是利用当前最新的编程语言与编程技术实现的,易于修改以产生新的变种,从而逃避反病毒软件的搜索。另外,新病毒利用Java、ActiveX、VBScript等技术,可以潜伏在HTML页面里,在上网浏览时触发。
4)与黑客技术相结合,潜在的威胁和损失更大!以红色代码为例,感染后的机器的web目录的\scripts下将生成一个root.exe,可以远程执行任何命令,从而使黑客能够再次进入。
2网络蠕虫病毒分析和防范
蠕虫和普通病毒不同的一个特征是蠕虫病毒往往能够利用漏洞,这里的漏洞或者说是缺陷,我们分为2种,软件上的缺陷和人为上的缺陷。软件上的缺陷,如远程溢出,微软ie和outlook的自动执行漏洞等等,需要软件厂商和用户共同配合,不断的升级软件。而人为的缺陷,主要是指的是计算机用户的疏忽。这就是所谓的社会工程学(socialengineering),当收到一封邮件带着病毒的求职信邮件时候,大多数人都会报着好奇去点击的。对于企业用户来说,威胁主要集中在服务器和大型应用软件的安全上,而个人用户而言,主要是防范第二种缺陷。
2.1利用系统漏洞的恶性蠕虫病毒分析
在这种病毒中,以红色代码,尼姆达和sql蠕虫为代表,他们共同的特征是利用微软服务器和应用程序组件的某个漏洞进行攻击,由于网上存在这样的漏洞比较普遍,使得病毒很容易的传播,而且攻击的对象大都为服务器,所以造成的网络堵塞现象严重。
以2003年1月26号爆发的sql蠕虫为例,爆发数小时内席卷了全球网络,造成网络大塞车。亚洲国家中以人口上网普及率达七成的韩国所受影响较为严重。韩国两大网络业KFT及南韩电讯公司,系统都陷入了瘫痪,其它的网络用户也被迫断线,更为严重的是许多银行的自动取款机都无法正常工作,美国许美国银行统计,该行的13000台自动柜员机已经无法提供正常提款。网络蠕虫病毒开始对人们的生活产生了巨大的影响。
这次sql蠕虫攻击的是微软数据库系MicrosoftSQLServer2000的,利用了MSSQL2000服务远程堆栈缓冲区溢出漏洞,Mi-crosoftSQLServer2000是一款由Microsoft公司开发的商业性质大型数据库系统。SQLServer监听UDP的1434端口,客户端可以通过发送消息到这个端口来查询目前可用的连接方式(连接方式可以是命名管道也可以是TCP),但是此程序存在严重漏洞,当客户端发送超长数据包时,将导致缓冲区溢出,黑客可以利用该漏洞在远程机器上执行自己的恶意代码。
微软在200年7月份的时候就为这个漏洞发布了一个安全公告,但当sql蠕虫爆发的时候,依然有大量的装有mssqlserver2000的服务器没有安装最新的补丁,从而被蠕虫病毒所利用,蠕虫病毒通过一段376个字节的恶意代码,远程获得对方主机的系统控制权限,取得三个Win32API地址,GetTickCount、socket、sendto,接着病毒使用GetTickCount获得一个随机数,进入一个死循环继续传播。在该循环中蠕虫使用获得的随机数生成一个随机的ip地址,然后将自身代码发送至1434端口(MicrosoftSQLServer开放端口),该蠕虫传播速度极快,其使用广播数据包方式发送自身代码,每次均攻击子网中所有255台可能存在机器。由于这是一个死循
904
ComputerKnowledgeAndTechnology电脑知识与技术2008年第3卷第5期(总第23期)
环的过程,发包密度仅和机器性能和网络带宽有关,所以发送的数据量非常大。该蠕虫对被感染机器本身并没有进行任何恶意破坏行为,也没有向硬盘上写文件,仅仅存在与内存中。对于感染的系统,重新启动后就可以清除蠕虫,但是仍然会重复感染。由于发送数据包占用了大量系统资源和网络带宽,形成UdpFlood,感染了该蠕虫的网络性能会极度下降。一个百兆网络内只要有一两台机器感染该蠕虫就会导致整个网络访问阻塞。
通过以上分析可以知道,此蠕虫病毒本身除了对网络产生拒绝服务攻击外,并没有别的破坏措施.但如果病毒编写者在编写病毒的时候加入破坏代码,后果将不堪设想。
2.2企业防范蠕虫病毒措施
此次sql蠕虫病毒,利用的漏洞在2002年7月份微软的一份安全公告中就有详细说明!而且微软也提供了安全补丁提供下载,然而在时隔半年之后互联网上还有相当大的一部分服务器没有安装最新的补丁,其网络管理员的安全防范意识可见一斑。
当前,企业网络主要应用于文件和打印服务共享、办公自动化系统、企业业务(MIS)系统、Internet应用等领域。网络具有便利信息交换特性,蠕虫病毒也可以充分利用网络快速传播达到其阻塞网络目的。企业在充分地利用网络进行业务处理时,就不得不考虑企业的病毒防范问题,以保证关系企业命运的业务数据完整不被破坏。
企业防治蠕虫病毒的时候需要考虑几个问题:病毒的查杀能力,病毒的监控能力,新病毒的反应能力。而企业防毒的一个重要方面是是管理和策略。推荐的企业防范蠕虫病毒的策略如下:
1)加强网络管理员安全管理水平,提高安全意识。由于蠕虫病毒利用的是系统漏洞进行攻击,所以需要在第一时间内保持系统和应用软件的安全性,保持各种操作系统和应用软件的更新!由于各种漏洞的出现,使得安全不在是一种一劳永逸的事,而作为企业用户而言,所经受攻击的危险也是越来越大,要求企业的管理水平和安全意识也越来越高。
2)建立病毒检测系统。能够在第一时间内检测到网络异常和病毒攻击。
3)建立应急响应系统,将风险减少到最小!由于蠕虫病毒爆发的突然性,可能在病毒发现的时候已经蔓延到了整个网络,所以在突发情况下,建立一个紧急响应系统是很有必要的,在病毒爆发的第一时间即能提供解决方案。
4)建立灾难备份系统。对于数据库和数据系统,必须采用定期备份,多机备份措施,防止意外灾难下的数据丢失。
5)对于局域网而言,可以采用以下一些主要手段:①在因特网接入口处安装防火墙式防杀计算机病毒产品,将病毒隔离在局域网之外;②对邮件服务器进行监控,防止带毒邮件进行传播;③对局域网用户进行安全培训;④建立局域网内部的升级系统,包括各种操作系统的补丁升级,各种常用的应用软件升级,各种杀毒软件病毒库的升级等等。
2.3对个人用户产生直接威胁的蠕虫病毒
在以上分析的蠕虫病毒中,只对安装了特定的微软组件的系统进行攻击,而对广大个人用户而言,是不会安装iis(微软的因特网服务器程序,可以使允许在网上提供web服务)或者是庞大的数据库系统的!因此上述病毒并不会直接攻击个个人用户的电脑(当然能够间接的通过网络产生影响),但接下来分析的蠕虫病毒,则是对个人用户威胁最大,同时也是最难以根除,造成的损失也更大的一类蠕虫病毒。
对于个人用户而言,威胁大的蠕虫病毒采取的传播方式一般为电子邮件(Email)以及恶意网页等等。
对于利用email传播得蠕虫病毒来说,通常利用的是社会工程学(SocialEngineering),即以各种各样的欺骗手段那诱惑用户点击的方式进行传播。
恶意网页确切的讲是一段黑客破坏代码程序,它内嵌在网页中,当用户在不知情的情况下打开含有病毒的网页时,病毒就会发作。这种病毒代码镶嵌技术的原理并不复杂,所以会被很多怀不良企图者利用,在很多黑客网站竟然出现了关于用网页进行破坏的技术的论坛,并提供破坏程序代码下载,从而造成了恶意网页的大面积泛滥,也使越来越多的用户遭受损失。
对于恶意网页,以前常常采取vbscript和javascript编程的形式!由于编程方式十分的简单!所以在网上非常的流行!但是目前对于此种病毒的防范软件较多,这种传播方式已经不流行了。目前经常使用的恶意网络蠕虫传染方式往往是基于主机的操作系统漏洞进行主动传播,有些甚至利用到了ARP欺骗等手段想尽办法欺骗客户下载含有病毒主题的可执行模块并运行,更有甚者直接利用微软操作系统的RPC机制,远程控制直接下载病毒并远程运行。对于个人用户来说,不通过防火墙或者是网关直接暴露于因特网上无异于羊在狼群之中。
2.4个人用户对蠕虫病毒的防范措施
通过上述的分析,我们可以知道,病毒并不是非常可怕的,网络蠕虫病毒对个人用户的攻击主要还是通过社会工程学,而不是利用系统漏洞!所以防范此类病毒需要注意以下几点:
1)购合适的杀毒软件!网络蠕虫病毒的发展已经使传统的杀毒软件的“文件级实时监控系统”落伍,杀毒软件必须向内存实时监控和邮件实时监控发展!另外面对防不胜防的网页病毒,也使得用户对杀毒软件的要求越来越高!现有的依靠特征识别的杀毒软件对于日新月异发展的蠕虫病毒已经越来越力不从心,唯有改变现有的病毒识别模式才是能够真正有效预防蠕虫病毒的手段!
2)经常升级系统补丁。由于越来越多的网络蠕虫依靠操作系统自身的漏洞进行传播,因此及时对操作系统的漏洞进行补丁操作已经成为当前网络蠕虫病毒防治的一个重要环节。在有条件有能力的局域网环境中可以安排专门的更新服务器对局域网内部所有的主机进行集体升级操作。
3)提高防杀毒意识。不要轻易去点击陌生的站点,有可能里面就含有恶意代码!
当运行IE时,点击“工具”→“Internet选项”→“安全”→“Internet区域的安全级别”,把安全级别由“中”改为“高”。因为这一类网页主要是含有恶意代码的ActiveX或Applet、JavaScript的网页文件,所以在IE设置中将ActiveX插件和控件、Java脚本等全部禁止就可以大大减少被网页恶意代码感染的几率。具体方案是:在IE窗口中点击“工具”→“Internet选项”,在弹出的对话框中选择“安全”标签,再点击“自定义级别”按钮,就会弹出“安全设置”对话框,把其中所有ActiveX插件和控件以及与Java相关全部选项选择“禁用”。但是,这样做在以后的网页浏览过程中有可能会使一些正常应用ActiveX的网站无法浏览。
4)不随意查看陌生邮件,尤其是带有附件的邮件,由于有的病毒邮件能够利用ie和outlook的漏洞自动执行,所以计算机用户需要升级ie和outlook程序,及常用的其他应用程序!(下转第949页)
(上接第904页)
3小结
网络蠕虫病毒作为一种互联网高速发展下的一种新型病毒,必将对网络产生巨大的危险。在防御上,已经不再是由单独的杀毒厂商所能够解决,而需要网络安全公司,系统厂商,防病毒厂商及用户共同参与,构筑全方位的防范体系!
蠕虫和黑客技术的结合,使得对蠕虫的分析,检测和防范具有一定的难度,同时对蠕虫的网络传播性,网络流量特性建立数学模型也是有待研究的工作!
参考文献:
[1]SchneierB.Secretsandlies:digitalsecurityinanetworkedworld[M].NewYork:JohnWileyPress,2000.
[2]BrentonC.Activedefense:acomprehensiveguidetonetworksecurity[M].SanFrancisco:SybexPress,2001:100-146.
[3]山秀明,李旲,焦健,等.网络病毒行为模式分析[J].TheModeofNet-virusActions[中国工程科学EngineeringScience].
[4]任勇,山秀明,李旲.网络安全概述[J].中国工程科学,2004,6(1):10-15.
[5[徐春玉,陈亚天.新的网络病毒——
—网页中的恶意代码[J].盐城工学院学报(自然科学版),2003,(03):41-42.[6]李川阳.企业网防病毒系统方案需求分析及实施策略[J].新疆钢铁,2002,(02):14-15.
重的则应到专业公司开盘处理来恢复数据。
下面主要讨论软恢复,又分为没有覆盖数据的恢复及被覆盖数据的恢复。所谓数据被覆盖,指当数据被删除后写入新的数据。未被覆盖数据的恢复较被覆盖数据的恢复简单的多。因此一旦当数据被误删除后,立即停止磁盘的读写,以免造成更大的破坏,增大恢复的难度。
未被覆盖数据的恢复。系统删除文件时,它将该文件在DIR区中的第一个字符改成E5,在文件分配表中把该文件占用的各簇表项清0,就表示将该文件删除,而它实际上并不对DATA区进行任何改写。因此数据恢复是可能的,只需要将E5改写就可以了。高级格式化并没有把硬盘上的文件数据清除,而是重写了Fat表而,因此利用恢复软件重建Fat表即可以对数据恢复。对于硬盘分区操作,系统只是修改了硬盘主引导记录(MBR)和操作系统引导扇区(DBR),数据区中绝大部分的数据并没有被修改。此时文件不能被读取的原因是MBR和DBR的改变导致了文件路径被破坏。但是因为数据区中的数据仍然存在,所以恢复时也只需要重新创建MBR及DBR。
被覆盖数据的修复。可以采用“深层信号还原”法。以前的数据虽然被覆盖了,但在介质的深层,仍然会留存着原有数据的“
残影”,通过使用不同波长、不同强度的射线对这个晶体进行照射,可以产生不同的反射、折射和衍射信号,也就是说,用这些设备发出
不同的射线去照射磁盘盘面,然后通过分析各种反射、
折射和衍射信号,就可以帮助我们“看到”在不同深度下这个磁介质晶体的残影。利用此原理可以恢复被覆盖过4次甚至5次的数据。
当然此难度较大,只有少数几个国家拥有此技术,成本很高,一般用于国家级安全数据的恢复。
5数据恢复软件
5.1EasyRecovery
无论是误删除、误格式化还是重新分区而造成的数据丢失,它都可以轻松恢复,它甚至可以不依靠分区表,按簇进行硬盘扫描。因此,适合分区表严重损坏时使用,或者在其他恢复软件不能恢复的情况下使用。
5.2WinHex
WinHex是目前使用最多的一款工具软件。有着完善的分区管理能力和文件管理功能,能自动分析分区链和文件簇链,并能以不同的方式进行不同程度的备份,直至克隆整个硬盘。它能够完整的显示和编辑任何一种文件类型的二进制内容,其磁盘编辑器可以编辑物理磁盘和逻辑磁盘的任一扇区,内存编辑器可以直接编辑内存。可以说,它是目前功能最强大的软件之一,是系统维护的最好工具。
5.3FinalData
它的最大优势是恢复速度快,可以免去搜索丢失数据漫长的时间等待。不仅恢复速度快,而且在数据恢复方面功能十分强大,不仅可以按照物理硬盘或者逻辑分区来进行扫描,还可以通过对硬盘的绝对扇区来扫描分区表,找到丢失的数据。
6数据恢复存在的困难及展望
一方面,数据恢复技术有了很大提高,另一方面,数据销毁技术也在蓬勃发展,从而使数据恢复变得难度更大,甚至有时无法恢复。主流的数据销毁技术,主要有数据删除、数据清除、物理销毁。磁盘数据删除的常规方法主要有删除和格式化,这种数据恢复较容易。数据清除的方法主要是数据覆写,这种数据恢复难度较大。最彻底的数据销毁方法是物理销毁,如消磁,化学腐蚀等,这种数据恢复几乎不可能。尽管数据恢复仍存在不少困难,但是作为信息安全领域的一个新兴的热点领域,且有着广泛的应用前景,此技术必将日新月异。
参考文献:
[1]岳明.浅析硬盘数据恢复[J].大众科技,2008,(4):62-64.
[2]王建锋.数据销毁:数据安全领域的重要分支[J].计算机安全,2006,(8):53-54.
[3]刘三满.计算机数据恢复技术分析[J].山西电子技术,2007,(1):5-6.
[4]刘文立,王彩玲,刘春征.硬盘数据结构与数据恢复[J].河南水利,2006,(09):141-142.
任亚洲:数据恢复技术的研究949
研究生课程论文 蠕虫病毒的特征与防治 摘要 随着网络的发展,以网络传播的蠕虫病毒利用网络全球互联的优势和计算机系统及网络系统安全性上的漏洞,己经成为计算机系统安全的一大的威胁。采用网络传播的蠕虫病毒与传统的计算机病毒在很多方面都有许多不同的新特点。本文对蠕虫病毒的特征和防御策略进行了研究,透彻分析了几个流行的蠕虫病毒的本质特征和传播手段,并提出了防治未知病毒以及变形病毒的解决方案与虚拟机相结合的基于攻击行为的着色判决PN机蠕虫检测方法。 关键词: 蠕虫,病毒特征,病毒防治
1引言 “蠕虫”这个生物学名词于1982年由Xerox PARC的John F. Shoeh等人最早引入计算机领域,并给出了计算机蠕虫的两个最基本的特征:“可以从一台计算机移动到另一台计算机”和“可以自我复制”。最初,他们编写蠕虫的目的是做分布式计算的模型试验。1988年Morris蠕虫爆发后,Eugene H. Spafford为了区分蠕虫和病毒,给出了蠕虫的技术角度的定义。“计算机蠕虫可以独立运行,并能把自身的一个包含所有功能的版本传播到另外的计算机上。”计算机蠕虫和计算机病毒都具有传染性和复制功能,这两个主要特性上的一致,导致二者之间是非常难区分的。近年来,越来越多的病毒采取了蠕虫技术来达到其在网络上迅速感染的目的。因而,“蠕虫”本身只是“计算机病毒”利用的一种技术手段[1]。 2蠕虫病毒的特征及传播 1、一般特征: (1)独立个体,单独运行; (2)大部分利用操作系统和应用程序的漏洞主动进行攻击; (3)传播方式多样; (4)造成网络拥塞,消耗系统资源; (5)制作技术与传统的病毒不同,与黑客技术相结合。 2、病毒与蠕虫的区别 (l)存在形式上病毒寄生在某个文件上,而蠕虫是作为独立的个体而存在;
外文译文 僵尸网络(节选) 一种网络威胁 摘要 僵尸网络常源于网络攻击,他能对我们的网络资源和组织的财富造成严重威胁。僵尸网络是一系列没有抵抗能力的计算机的集合(肉鸡),他们能够被始发人(控制机)在一个普通的指挥-控制架构下远程控制。在许多种恶意软件中,僵尸网络是现在兴起的最严重的网络安全威胁,因为他提供一种分布式平台让许多非法活动如发射许多分散的拒绝服务攻击特定的目标、病毒扩散、钓鱼和点击欺诈。僵尸网络最重要的特点就是可以使用指挥控制通道,通过这个通道他们可以更新和指挥肉鸡。僵尸网络对用户完整性和资源的攻击目的是多样的,包括青少年证实其组织犯罪的黑客技术,让基础设施瘫痪和给政府和组织造成经济上的损失。本文中,了解系统如何被盯上是很重要的。分类的重要优势在于发现问题和找到具体的防范和回复的方法。这篇文章旨在基于攻击的技术而提供针对主流存在的僵尸网络类型的简明的概述。 一般综述 僵尸网络是一种正在兴起的面向在线生态环境和计算机资源的最重要的危险,恶意的僵尸网络是分散的计算平台,主要用作非法活动,如发动分布式拒绝服务攻击、发送垃圾邮件、含特洛伊木马和钓鱼软件的电子邮件,非法散布盗版媒介和软件,强制分布、盗取信息和计算资源,电子商务勒索、进行点击诈骗和身份盗窃。僵尸网络最重要的价值在于能通过使用多层次的指挥控制架构提供匿名的功能。另外,个别的肉鸡并不比被控制机物理拥有,因而可以散布在世界各地。时间、地点、语言以及法律让跨疆域追踪恶意僵尸网络变得困难。这种特性让僵尸网络成为网络犯罪很有吸引力的一种工具,事实上给网络安全造成了巨大威胁。
关键词僵尸网络肉鸡僵尸网络的检测 介绍 僵尸网络是一个由无反抗力的计算机(称为肉鸡)被远程的一个人为操控端(称为主控机)控制下构成的网络。术语“Bot”来源于单词“机器人”。类似于机器人,僵尸程序被设计来自动地完成一些预定义的动能。换句话说,单个的僵尸程序是运行在宿主机上并允许控制机远程控制主机的行为的软件程序。 僵尸网络是当下基于网络的最危险的网络攻击形式之一,是因为其包含采用大型的、许多组协调运行的主机为强制攻击和狡猾的攻击服务。一组肉鸡,当被一个指挥控制架构控制的时候,就形成所谓的“僵尸网络”。僵尸网络通过提供一定的间接性来掩盖发动攻击的机器,发动进攻的机器被一层肉鸡与被攻击的机器分离出来,而攻击本身又在任意的总时间内和一个僵尸网络群分离开。技术进步同时推动人们的生活走向安逸和麻烦。不断产生的信息技术让人们可以前所未有地轻松接触信息。但另一方面,它恶化了信息安全水平。僵尸网络被证明是信息技术领域最新的和最灾难性的威胁。一个门外汉关于僵尸网络的理解是一个促进恶意攻击用户机器的网络,但理论上讲“僵尸网络是一个计算机集合,软件“bot”,是自动安装无需用户干预并且被指挥与控制服务器远程控制着”。尽管这一事实暗示该网络可既为邪恶的和有益的目的利用,其在犯罪中的广泛使用和毁灭性的目的使标题“僵尸网络”等于恶意软件。一个活跃的僵尸网络首先利用用户电脑的漏洞初始化它的攻击。然后它下载恶意二进制代码并在本地执行。这个程序登录到指挥与控制服务器,并通知它的主人,俗称主控机,这样该计算机就转换为一个肉鸡。现在它可以被用来通过使用相同的步骤感染其他机器。僵尸网络和其他的安全威胁的主要区别是一个主控机定期与肉鸡通过集中或分散的网络通信信道。这些机器人按照从主控机收到的命令执行任何类型的破坏。这些主控机发送命令,控制所有的肉鸡,然后可以作为一个单位攻击受害者。僵尸网络的发展速度非常快使它难以被检测,并恢复他们的损害。然而,它们广泛使用的一些类型可以被划分。本报告主要涉及三大类型的僵尸网络:IRC僵尸网络,点对点和HTTP僵尸网络,提出了一些技术来识别和检测他们。第一部分给出了一个僵尸网络的介绍。第二部分回顾了他们的历史和拓扑结构。第三章是关于他们的生命周期,僵尸网络的指挥与控制、僵尸网络拓扑结构,根据是指挥控制的信道和僵尸网络生命周期。三种主要类型的僵尸网络及其检测方案在3.1.1节,3.1.2节和3.1.3节分别谈到了。第3.2部分所提出的“僵尸网络”检测框架和组件;第四部分提出了该领域未来工作的一些预期的进展。第五部分是致力于对我们的研究的总体结论。
第1章网络安全概述 练习题 1.选择题 (1)在短时间内向网络中的某台服务器发送大量无效连接请求,导致合法用户暂时无法访问服务器的攻击行为是破坏了( C )。 A.机密性B.完整性 C.可用性D.可控性 (2)Alice向Bob发送数字签名的消息M,则不正确的说法是( A ) 。 A.Alice可以保证Bob收到消息M B.Alice不能否认发送消息M C.Bob不能编造或改变消息M D.Bob可以验证消息M确实来源于Alice (3)入侵检测系统(IDS,Intrusion Detection System)是对( D )的合理补充,帮助系统对付网络攻击。 A.交换机B.路由器C.服务器D.防火墙(4)根据统计显示,80%的网络攻击源于内部网络,因此,必须加强对内部网络的安全控制和防范。下面的措施中,无助于提高局域网内安全性的措施是( D )。 A.使用防病毒软件B.使用日志审计系统 C.使用入侵检测系统D.使用防火墙防止内部攻击 2. 填空题 (1)网络安全的基本要素主要包括机密性、完整性、可用性、可控性与不可抵赖性。 (2)网络安全是指在分布式网络环境中,对信息载体(处理载体、存储载体、传输载体)和信息的处理、传输、存储、访问提供安全保护,以防止数据、信息内容遭到破坏、更改、泄露,或网络服务中断或拒绝服务或被非授权使用和篡改。 (3)网络钓鱼是近年来兴起的另一种新型网络攻击手段,黑客建立一个网站,通过模仿银行、购物网站、炒股网站、彩票网站等,诱骗用户访问。 (4)防火墙是网络的第一道防线,它是设置在被保护网络和外部网络之间的一道屏障,以防止发生不可预测的、潜在破坏性的入侵, (5)入侵检测是网络的第二道防线,入侵检测是指通过对行为、安全日志或审计数据或其他网络上可以获得的信息进行操作,检测到对系统的闯入或闯入的企图。
【摘要】:凡能够引起计算机故障,破坏计算机数据的程序统称为计算机病毒。所以从这个意义上说,蠕虫也是一种病毒。蠕虫病毒,作为对互联网危害严重的一种计算机程序,其破坏力和传染性不容忽视。与传统的病毒不同,蠕虫病毒以计算机为载体,以网络为攻击对象。本文主要介绍蠕虫病毒的分类、概念、特点传播途径、典型蠕虫、防范措施和发展趋势等。 【关键词】:蠕虫病毒影响防范发展
目录 第一章蠕虫病毒概述 (1) 1.1 蠕虫病毒的概念 (1) 1.2 蠕虫病毒的成因 (1) 1.3 蠕虫病毒的特性 (1) 第二章蠕虫病毒分析 (2) 2.1 蠕虫病毒分类分析 (2) 2.1.1主机蠕虫 (2) 2.1.2 网络蠕虫 (2) 2.2 蠕虫病毒传播途径 (2) 2.3 典型蠕虫病毒 (3) 2.3.1 熊猫烧香病毒的概念 (3) 2.3.2 熊猫烧香病毒的危害 (3) 2.3.3熊猫烧香病毒的现象 (3) 第三章蠕虫病毒的防范 (5) 3.1 怎样防范蠕虫病毒 (5) 3.2 蠕虫病毒的解决方案(例:熊猫烧香病毒) (6) 第四章蠕虫病毒发展趋势 (11) 参考文献 (12)
第一章蠕虫病毒概述 1.1 蠕虫病毒的概念 1.2 蠕虫病毒的成因 利用操作系统和应用程序的漏洞主动进行攻击此类病毒主要是“红色代码”和“尼姆亚”,以及依然肆虐的“求职信”等。由于IE浏览器的漏洞(IFRAMEEXECCOMMAND),使得感染了“尼姆亚”病毒的邮件在不去手工打开附件的情况下病毒就能激活,而此前即便是很多防病毒专家也一直认为,带有病毒附件的邮件,只要不去打开附件,病毒不会有危害。“红色代码”是利用了微软IIS服务器软件的漏洞(idq.dll远程缓存区溢出)来传播,SQL蠕虫王病毒则是利用了微软的数据库系统的一个漏洞进行大肆攻击。 1.3 蠕虫病毒的特性 蠕虫和传统病毒都具有传染性和复制功能,这两个主要特性上的一致,导致人们在二者之间非常难区分。尤其是近年来,越来越多的传统病毒采取了部分蠕虫的技术,而具有破坏性的蠕虫也采取了部分传统病毒的技术,从而更加剧了这种情况。表1-2给出了传统病毒和蠕虫病毒的一些差别。
关于网络蠕虫及防范 近年来,随着互联网产业的飞速发展,人们生活以及经济的发展与互联网越来越密切。计算机和网络已经成为社会不可或缺的重要部分,而互联网的安全问题也随之而来。网络安全问题受到众多复杂的因素影响,如目前网络安全政策不健全,计算机软件漏洞多和计算机用户安全常识缺乏等,这些因素都导致互联网上的安全事故不断爆发。其中,网络蠕虫是最重大的安全隐患之一。网络蠕虫不同于普通的电脑病毒,它能够以极快的速度在网络上传播,感染大量的个人用户和企业计算机系统,造成用户的资料受损,网络瘫痪以及其他不可估量的经济损失。 对于其中进行恶意侵犯的,我们首当其冲想到了黑客。黑客一词起源于20世纪50年代,最初的黑客一般都是一些高级的技术人员,他们热衷于挑战、崇尚自由并主张信息的共享。但随着网络技术的越来越发达,人们的生活越来越和网络接轨,其中就产生了第三方的经济等效益。于是,黑客便兴起了,逐渐形成了黑帽子,白帽子,灰帽子。 同时,随着黑客们对个人用户及企业的计算机的入侵,网络蠕虫便诞生了。它与病毒是存在区别的,两者是不同的。一般认为,蠕虫是一种通过网络传播的恶性型病毒,它不但具有病毒的一些共性而且还具有自己的一些特性。如不利用文件寄生,对网络造成拒绝服务,以及和黑客技术相结合等。目前危害比较大的蠕虫病毒主要通过三种途径传播:系统漏洞,聊天软件和电子邮件。 对于网络蠕虫,我们需要做好防范措施。对于一些不知名的邮件和充满诱惑力的邮件,我们要学会选择性的筛选一下,在进行观看。同时,要对一些网站以及别人发过来的东西进行谨慎的下载观看。同时,随着网络蠕虫的发展,我们更需要对电脑进行杀毒处理。虽然国外有一款杀毒软件效果非常不错,但是,随着发展,现在中国市场上的杀毒软件也做的非常不错。有金山毒霸等等。现在,大多数人或许都用的是360杀毒软件吧。不过,不管使用的是哪一款杀毒软件,最重要的是要常常更新病毒库,随着一些新病毒的发现,漏洞的发现,病毒库的更新就显得尤为重要了。 谢谢。
电脑编程技巧与维护 浅议僵尸网络攻击 邹本娜 (中共葫芦岛市委党校,鞍山125000) 摘要:僵尸网络是指采用一种或多种传播手段,将大量主机感染僵尸程序,从而在控制者和被感染主机之间所形成的一对多控制的网络。僵尸网络,有别于以往简单的安全事件,它是一个具有极大危害的攻击平台。本文主要讲解了僵尸网络的原理、危害以及相应的应对方法。 关键词:僵尸网络;因特网中继聊天;控制服务器 1引言 2007年4月下旬,爱沙尼亚当局开始移除塔林这个繁忙海港城市一个公园的二战苏军士兵铜像,同情俄罗斯的僵尸网络第一次让世人真正地感受到了僵尸网络的可怕,攻击者使用了分布式拒绝服务攻击(DDOS)。利用数据轰炸网站的手段,攻击者不仅能够瘫痪一个国家的服务器,而且也能够让路由器、网关等专门传送网络数据的设备失去作用。为了让这种攻击效果加倍,黑客们利用僵尸软件(bot)侵入了全球的计算机中,这种被侵入的电脑组成了僵尸攻击网络,它们充当了攻击网站的主要进攻武器。爱沙尼亚一方获得的数据是正常流量的几千倍,5月10日,数据负担依然沉重,爱沙尼亚最大的银行被迫关闭自己的网络服务一小时多。这让银行至少损失了1百万美元,这一次攻击极大地引起了各国网监部门的重视。 为了降低僵尸网络的威胁,欧美地区已经开始尝试采用黑名单方式屏蔽僵尸网络控制服务器,我国大陆的大量IP地址面临着被列入黑名单的危险,然而更危险的是,我国大量主机已经在用户毫不知情的情况下被黑客暗中控制,僵尸网络已经成为威胁我国网络与信息安全的最大隐患。目前,中国互联网用户已达1.62亿户,仅次于美国,互联网连接主机数占全世界的13%;根据赛门铁克最近的统计,中国是受僵尸病毒感染的电脑最多的国家,占感染总数的78%,成为拒绝服务攻击最频繁的攻击对象[1]。 2僵尸网络 僵尸网络己经逐渐成为互联网的主要威胁之一,但目前仍然没有统一给出僵尸网络的定义,反病毒领域对僵尸程序也没有明确的定义。2005年网络与信息安全技术研讨会上,国家计算机网络应急技术处理协调中心和北京大学计算机科学技术研究所信息安全工程研究中心的狩猎女神项目组对僵尸网络的定义如下僵尸网络指的是攻击者利用互联网秘密建立的可以集中控制的计算机群。其组成通常包括被植入“僵尸”程序的计算机群、一个或多个控制服务器、控制者的控制终端等。 3Botnet结构和原理以及危害 Bot的种类很多,主要有IRC Botnet、AOL Botnet、PZP Botnet等。其中最广泛的是IRC Bot,它利用IRC协议相互通信[2],同时攻击者利用该协议进行远程控制,在IRC Bot植入被攻击者主机后,它会主动连接IRC服务器,接受攻击者的命令。下面就IRC Rot方式进行分析。 3.1IRC Botnet结构 Botnet的典型结构如图1。被安装在主机中的bot能够自己拷贝到一个安装目录,并能够改变系统配置,以便开机就能够运行。攻击者首先通过介入一个扫描和攻击漏洞程序精心编写一个bot或者修改能够得到的bot来获得将要投放的bot,这些bot能够模拟IRC客户端IRC服务器进行通信,然后利用bot某段网络,一旦发现目标,便对目标进行试探性攻击[3]。 A Discussion of the Botnet Network Attack ZOU Benna (Party School of CPC Huludao Municipal Committee,Anshan125000) Abstract:The Botnet is a kind of net controlled by hacker who spread bot program and control fall victim computers by any way.The Botnet is different from other kind of net,just because it is much more dangerous.This paper includes the princip-ium,harm and anti-step of the Botnet. Key word:Botnet;IRC;Control Server 本文收稿日期:2008年10月21 日图1IRC Botnet结构图 78 --
局域网蠕虫病毒的传播方式和保护方法 近来,威金(w32.looked系列)、熊猫烧香(w32.fujacks系列)等局域网蠕虫病毒大肆流行,这种病毒具有传播速度快,覆盖面广,破坏性大,自我恢复功能强等特点,并且还会自动连接到Internet升级变种并下载其它木马和恶意软件,给广大计算机用户带来了很大的麻烦。良好的基本安全习惯配合具有最新病毒定义和扫描引擎的杀毒软件,能够最大限度地保护您的电脑不受此类蠕虫病毒的影响,以及重复感染。了解蠕虫病毒的在局域网内传播机制,能让我们采用更有针对性的防护,下面就介绍这种局域网蠕虫的传播机制和保护方法:局域网蠕虫的传播安先后顺序分为扫描、攻击、复制三个过程。假设您局域网中有一台电脑感染了蠕虫,而这台脑又没有安装杀毒软件或者杀毒软件的病毒定义比较旧,没有办法检测出这个蠕虫病毒,那么它就会成为一个局域网内的攻击源。 第一步:扫描的过程就是用扫描器扫描主机,探测主机的操作系统类型、版本,主机名,用户名,开放的端口,开放的服务,开放的服务器软件版本等。这一过程中,扫描的范围一般是随机选取某一段IP地址,然后对这一地址段上的主机扫描。但是有些蠕虫会不断的重复扫描过程,就会造成发送大量的数据包,造成网络拥塞,影响网络通信速度等危害。但是这样,管理员也会很快找出感染源所在的地址,因此有些蠕虫会有意的减少数据发送量,包括不重复扫描几次以上,随机选择扫描时间段,随机选择小段IP地址段等等。根据扫描返回的结果确定可以攻击的电脑。
第二步:攻击的过程一般分为两种类型。一种是利用漏洞的攻击,如果扫描返回的操作系统信息或者某些软件的信息是具有漏洞的版本,那么就可以直接用对该漏洞的攻击代码获得相应的权限。例如利用windows的MS04-011漏洞的震荡波(w32.sasser系列)病毒,利用MS06-040漏洞的魔鬼波 (w32.ircbot系列)等。另外一种就是基于文件共享和弱密钥的功击,这种攻击需要根据搜集的信息试探猜测用户密码,一般的蠕虫都有试探空密码,简单密码,与已知密码相同密码等机制。猜出正确的密码后也就有了对远端主机的控制权。威金、熊猫烧香等病毒都基于这种攻击方式。 第三步:复制的实际上就是一个文件传输的过程,就是用相应的文件传输的协议和端口进行网络传输。 为了防止您的电脑受到局域网蠕虫病毒的攻击而感染此类病毒,赛门铁克现建议用户采取以下基本安全措施:1)开启个人防火墙:无论是SCS的防火墙,还是其它安全厂商的个人防火墙,还是windows系统自带的防火 墙,都可以对扫描、攻击、复制三个过程起到保护的 作用。例如,在一般的默认规则下,供击者扫描后不 会得到返回结果;攻击代码不会到达被防火墙保护的 电脑;无法向被防火墙保护的电脑复制病毒文件等。 如果管理员根据公司的应用情况和针对某类病毒,设 定诸如一些协议、端口、程序、入侵检测等的防护规 则,其防护效果就会更佳。 2)尽量关闭不需要的文件共享。除了用户自行设定的共享文件windows操作系统一般都有C$, D$,ADMIN$, IPC$等默认的共享,而一般情况下普通用户不一定需
1. 特洛伊木馬程式原理7n 一、引言otnpy 特洛伊木馬是Trojan Horse 的中譯,是借自"木馬屠城記"中那只木馬的名稱。古希臘有大軍圍攻特洛伊城,逾年無法攻下。有人獻計製造一隻高二丈的大木馬假裝作戰馬神,攻擊數天後仍然無功,遂留下木馬拔營而去。城中得到解圍的消息,及得到"木馬"這個奇異的戰利品,全城飲酒狂歡。到午夜時份,全城軍民盡入夢鄉,匿於木馬中的將士開暗門垂繩而下,開啟城門及四處縱火,城外伏兵湧入,焚屠特洛伊城。後世稱這只木馬為"特洛伊木馬",現今電腦術語借用其名,意思是"一經進入,後患無窮"。特洛伊木馬原則上它和Laplink 、PCanywhere 等程式一樣,只是一種遠端管理工具。而且本身不帶傷害性,也沒有感染力,所以不能稱之為病毒(也有人稱之為第二代病毒);但卻常常被視之為病毒。原因是如果有人不當的使用,破壞力可以比病毒更強。iagavi ?摩尼BBS網路社區-- 音樂.歌詞.小遊戲.MTV.桌布.圖庫.笑話.影片.星座.下載.動漫畫.免費留言板申請BBS網路社區-- 音樂.歌詞.小遊戲.MTV.桌布.圖庫.笑話.影片.星座.下載.動漫畫.免費留言板申請E(/I 二、木馬攻擊原理cHt 特洛伊木馬是一個程式,它駐留在目標電腦裡,可以隨電腦自動啟動並在某一連接進行偵聽,在對接收的資料識別後,對目標電腦執行特定的****作。木馬,其實只是一個使用連接進行通訊的網路客戶/伺服器程式。e2/ 基本概念:網路客戶/伺服器模式的原理是一台主機提供伺服器(伺服端),另一台主機接受伺服器(客戶端)。作為伺服端的主機一般會開啟一個預設的連接埠並進行監聽(Listen),如果有客戶端向伺服端的這一連接埠提出連接請求(Connect Request),伺服端上的相對應程式就會自動執行,來回覆客戶端的請求。對於特洛伊木馬,被控制端就成為一台伺服器。DJ ?摩尼BBS網路社區-- 音樂.歌詞.小遊戲.MTV.桌布.圖庫.笑話.影片.星座.下載.動漫畫.免費留言板申請 G5 iCf 三、特洛伊木馬隱身方法= 木馬程式會想盡一切辦法隱藏自己,主要途徑有:在工作程序中隱形:將程式設為「系統伺服器」可以偽裝自己。當然它也會悄無聲息地啟動,木馬會在每次使用者啟動時自動載入伺服器端,Windows系統啟動時自動載入應用程式的方法,「木馬」都會用上,如:win.ini、system.ini、註冊表等等都是「木馬」藏身的好地方。/x$l_ 在win.ini檔案中,在[WINDOWS]下面,「run=」和「load=」是可能載入「木馬」程式的途徑,一般情況下,它們的等號後面什麼都沒有,如果發現後面跟有路徑與檔案名稱不是您熟悉的啟動檔案,電腦就可能中「木馬」了。當然也得看清楚,因為好多「木馬」,如「AOL Trojan木馬」,它把自身偽裝成command.exe 檔案,如果不注意可能不會發現它不是真正的系統啟動檔案。g(hmry 在system.ini檔案中,在[BOOT]下面有個「shell=檔案名稱」。正確的檔案名稱應該是「explorer.exe」,如果不是「explorer.exe」,而是「shell= explorer.exe 程式名」,那麼後面跟著的那個程式就是「木馬」程式,就是說已經中「木馬」了。H 在註冊表中的情況最複雜,使用regedit指令開啟註冊表編輯器,在點擊至:「HKEY-LOCAL-MACHINE \Software \Microsoft \Windows \Current Version \Run」目錄下,檢視鍵值中有沒有自己不熟悉的自動啟動檔案,副檔名為EXE,這裡切記:有的「木馬」程式產生的檔案很像系統自身檔案,想使用偽裝矇混過關,如「Acid Battery v1.0木馬」,它將註冊表「HKEY-LOCAL-MACHINE \SOFTWARE
电脑病毒和木马的概念介绍 病毒、蠕虫和特洛伊木马是可导致您的计算机和计算机上的信息损坏的恶意程序。下面由我给你做出详细的!希望对你有帮助! : 什么是病毒: 计算机病毒(Computer Virus),根据《中华人民共和国计算机信息系统安全保护条例》,病毒的明确定义是"指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码"。 病毒必须满足两个条件: 条件1、它必须能自行执行。它通常将自己的代码置于另一个程序的执行路径中。 条件2、它必须能自我复制。例如,它可能用受病毒感染的文件副本替换其他可执行文件。病毒既可以感染桌面计算机也可以感染网络服务器。此外,病毒往往还具有很强的感染性,一定的潜伏性,特定的触发性和很大的破坏性等,由于计算机所具有的这些特点与生物学上的病毒有相似之处,因些人们才将这种恶意程序代码称之为"计算机病毒"。一些病毒被设计为通过损坏程序、删除文件或重新格式化硬盘来损坏计算机。有些病毒不损坏计算机,而只是复制自身,并通过显示文本、视频和音频消息表明它们的存在。即使是这些良性病毒也会给计算机用户带来问题。通常它们会占据合法程序使用的计算机内存。结果,会引起操作异常,甚至导致
系统崩溃。另外,许多病毒包含大量错误,这些错误可能导致系统崩溃和数据丢失。令人欣慰的是,在没有人员操作的情况下,一般的病毒不会自我传播,必须通过某个人共享文件或者发送电子邮件等方式才能将它一起移动。典型的病毒有黑色星期五病毒等。 什么是蠕虫: 蠕虫(worm)也可以算是病毒中的一种,但是它与普通病毒之间有着很大的区别。一般认为:蠕虫是一种通过网络传播的恶性病毒,它具有病毒的一些共性,如传播性、隐蔽性、破坏性等等,同时具有自己的一些特征,如不利用文件寄生(有的只存在于内存中),对网络造成拒绝服务,以及和黑客技术相结合,等等。普通病毒需要传播受感染的驻留文件来进行复制,而蠕虫不使用驻留文件即可在系统之间进行自我复制,普通病毒的传染能力主要是针对计算机内的文件系统而言,而蠕虫病毒的传染目标是互联网内的所有计算机。它能控制计算机上可以传输文件或信息的功能,一旦您的系统感染蠕虫,蠕虫即可自行传播,将自己从一台计算机复制到另一台计算机,更危险的是,它还可大量复制。因而在产生的破坏性上,蠕虫病毒也不是普通病毒所能比拟的,网络的发展使得蠕虫可以在短短的时间内蔓延整个网络,造成网络瘫痪!局域网条件下的共享文件夹、电子邮件Email、网络中的恶意网页、大量存在着漏洞的服务器等,都成为蠕虫传播的良好途径,蠕虫病毒可以在几个小时内蔓延全球,而且蠕虫的主动攻击性和突然爆发性将使得人们手足无措。此外,蠕虫会消耗内存或网络带宽,从而可能导致计算机崩溃。而且它的传播不必通过"宿主"程序或文件,因此可潜入您的系统并允许其他人远程控制您的计算机,这也使它的危害
网络与信息安全概论作业3 一、思考题: 3.1为什么说研究Feistel密码很重要? 答: Feistel 密码结构是用于分组密码中的一种对称结构。Feistel提出利用乘积密码可获得简单的代换密码,乘积密码指顺序的执行两个或多个基本密码系统,使得最后结果的密码强度高于每个基本密码系统产生的结果。他的优点在于: 由于它是对称的密码结构,所以对信息的加密和解密的过程就极为相似,甚至完全一样。这就使得在实施的过程中,对编码量和线路传输的要求就减少了几乎一半。此外,Feistel密码结构开辟了新的加密算法模式,很多密码标准都采用了Feistel 结构,其中包括DES。 3.2分组密码和流密码的区别是什么? 答: 分组密码是将一个明文分组作为整体加密并且通常得到的是与明文等长的密文分组。 流密码是每次xx一个字节或一个位。 3.3为什么使用表3.1所示的任意可逆代替密码不实际? 答: 对于像N=4这样的较小分组,密码系统等价于传统代替密码。用明文的统计分析方法攻击它是轻而易举的。这种脆弱性并非来自于代替密码,而是因为使用的分组规模太小。 如果N充分大,并且允许明密文之间采用任意的变换,那么明文的统计特征将被掩盖从而不能用统计方法来攻击这种体制,但是对于系统来说不切实
际。从实现的角度来看,分组长度很大的可逆代换结构是不实际的。如果分组长度太小,系统则等价于古典的代换密码,容易通过对明文的统计分析而被攻破。表3.1定义了n=4时从明文到密文的一个可逆映射,其中第2列是每个明文分组对应的密文分组的值,可用来定义这个可逆映射。因此从本质上来说,第2列是从所有可能映射中决定某一特定映射的密钥。这个例子中,密钥需要64比特。一般地,对n比特的代换结构,密钥的大小是n×2n比特。如对64比特的分组,密钥大小应是64×264=270≈1021比特,因此难以处理。 3.4什么是乘积密码? 答: 乘积密码就是以某种方式连续执行两个或多个简单密码(如替代、置换),以使得所得到的最后结果或乘积从密码编码的角度比其任意一个组成密码都更强的分组密码。 3.5混淆与扩散的差别是什么? 答: (1)扩散(diffusion): 将明文的统计特性散布到密文中去,实现方式是使得明文的每一位影响密文中多位的值,使得每一字母在密文中出现的频率比在明文中出现的频率更接近于相等。其方法是尽可能的使明文和密文间的统计关系变得复杂,以挫败推倒出密钥的企图。 (2)混淆则是尽可能的使密文和加密密钥间的统计关系变得更加复杂,以阻止攻击者发现密钥。其目的在于使作用于明文的密钥和密文之间的关系复杂化,使明文和密文之间、密文和密钥之间的统计相关特性极小化,从而使统计分析攻击不能奏效。 3.6哪些参数与设计选择决定了实际的Feistel密码算法? 答: (1)分组xx:
Expert's Forum 专家观点https://www.doczj.com/doc/c316157938.html, Expert's Forum 专家观点
互联网及IT技术的应用在改变人类生活的同时,也滋生了各种各样的新问题,其中信息网络安全问题将成为其面对的最重要问题之一。网络带宽的扩充、IT应用的丰盛化、互联网用户的膨胀式发展,使得网络和信息平台早已成为攻击爱好者和安全防护者最激烈斗争的舞台。Web时代的安全问题已远远超于早期的单机安全问题,正所谓“道高一尺,魔高一丈”,针对各种网络应用的攻击和破坏方式变得异常频繁,安全防护也在不断发展。 本文对当今信息网络安全应用中的攻防热点问题作了较为深入的分析,首先分析了当前网络环境下的主要威胁趋势,重点阐述了新网络时代下主要的网络安全攻击方式,进而从安全博弈的角度探讨了漏洞挖掘的新发展方向,最后阐述了近期主要的安全技术发展趋势和技术热点问题。 1. 信息网络安全威胁的主要 方式 1.1 信息网络威胁的趋势分析 当今的信息化发展及演变已极大改变了人类的社会生活,伴之信息 化快速发展的信息网络安全形势愈加严峻。信息安全攻击手段向简单化综合化演变,而攻击形式却向多样化复杂化发展,病毒、蠕虫、垃圾邮件、僵尸网络等攻击持续增长,各种软硬件安全漏洞被利用并进行攻击的综合成本越来越低,而内部人员的蓄意攻击也防不胜防,以经济利益为目标的黑色产业链已向全球一体化演进。表1总结了国内外主要公司及媒体对2009年信息网络安全威胁的趋势分析。 本文主要基于近期安全威胁的主要发展趋势,探讨当前信息网络时代下主要的安全攻击种类及演进模式,分析了目前影响最为常见木马、僵尸网络、蠕虫等恶意软件,无线智能终端、P2P及数据泄露等内部攻击。 1.2 新时期下的安全攻击方式 1.2.1 恶意软件的演变 随着黑色地下产业链的诞生,木马、蠕虫、僵尸网络等恶意软件对用户的影响早已超过传统病毒的影响,针对Web的攻击 成为这些恶意软件新的热点,新时期下这 些恶意软件攻击方式也有了很多的演进: 木马攻击技术的演进。网页挂马成 为攻击者快速植入木马到用户机器中的最 常用手段,也成为目前对网络安全影响最 大的攻击方式。同时,木马制造者也在不 断发展新的技术,例如增加多线程保护功 能,并通过木马分片及多级切换摆脱杀毒
利用Netflow在大规模网络 进行蠕虫和网络异常行为监测
https://www.doczj.com/doc/c316157938.html, yiming@https://www.doczj.com/doc/c316157938.html,
宫一鸣
中盈优创资讯系统有限责任公司
July 2004
提纲
电信网安全特性 netflow? Netflow和电信带宽安全
如何预警和监控
中盈 netflow在电信的应用
电信网的安全特性
电信网核心竞争力
带宽资源
带宽资源面临
蠕虫 网络滥用 DoS/DDoS
电信网的安全特性
如何保护和监控
防火墙 ? 部署问题,侧重于点而非面 IDS ? IDS工作在7层,海量数据 需要详细的信息?
电信网的安全特性
如何保护和监控
Netflow Passive monitoring No device Traffic profile! Arbor/NTG/flow-scan…. CERT SiLK while traffic summaries do not provide packet-by-packet (in particular, payload) information, they are also considerably more compact and consequently can be used to acquire a wider view of network traffic problems.
专家新论 本栏目由网御神州科技有限公司协办 44 赵佐,蔡皖东,田广利 (西北工业大学计算机学院,陕西 西安 710072) 【摘 要】僵尸网络作为近年来危害互联网的重大安全威胁之一,引起了研究者的广泛关注。论文通过分析僵尸网络工作过程中各阶段表现出的异常行为特征,提出了基于异常行为监控的僵尸网络发现技术,详细阐述了僵尸网络发现系统的原理及系统框架结构,并对其关键技术进行了设计实现。【关键词】僵尸网络;异常行为特征;发现机制;监控规则 【中图分类号】TP391 【文献标识码】A 【文章编号】1009-8054(2007) 09-0044-03 Research on technology for Botnet Detection Based on Abnormal Behavior M onitoring Z H A O Z u o , C A I W a n -d o n g , T I A N G u a n g -l i (S c h o o l o f C o m p u t e r S c i e n c e , N o r t h w e s t e r n P o l y t e c h n i c a l U n i v e r s i t y , X i ?a n S h a n x i 710072, C h i n a ) 【Abstract 】I n r e c e n t y e a r s , B o t n e t h a s b e e n o n e o f t h e e m e rg i n g s e r i o u s th r e a t s t o t h e I n t e r n e t a n d a t t r a c t e d w i d e a t t e n -t i o n f r o m r e s e a r c h e r s . B y a n a l y z i n g t h e c h a r a c t e r i s t i c s o f a b n o r m a l b e h a v i o r s h o w n b y B o t n e t a t i t s d i f f e r e n t s t a g e s , t h e p a p e r p r o p o s e s a B o t n e t -d e t e c t i n g m e t h o d b a s e d o n a b n o r m a l -b e h a v i o r -m o n i t o r i n g , d e s c r i b e s t h e p r i n c i p l e a n d t h e s t r u c -t u r a l f r a m e w o r k o f t h e s y s t e m , i n c l u d i n g t h e d e s i g n a n d i m p l e m e n t a t i o n o f i t s k e y t e c h n o l o g y .【Keywords 】b o t n e t ; a b n o r m a l b e h a v i o r ; d e t e c t i n g m e t h o d ; m o n i t o r i n g r u l e s 基于异常行为监控的 僵尸网络发现技术研究 * 0 引言 僵尸网络(Botnet)是指控制者和大量感染僵尸程序(Bot)主机之间形成一对多控制的网络,是近年来危害互联网的重大安全威胁之一。攻击者利用Botnet远程控制大量僵尸计算机(Zombie)作为攻击平台,实施各种恶意行为。由于Botnet能够实施众多攻击行为并从中获取经济利益,Internet上Botnet的数量和规模急剧膨胀,技术日趋成熟和复杂,逐渐发展成规模庞大、功能多样、不易检测的恶意网络,对互联 网的安全构成了不容忽视的威胁。 本文根据Botnet在工作过程各阶段表现出的异常行为特征,提出基于异常行为检测的Botnet发现思路,详细阐述了系统设计及关键技术的实现。 1 僵尸网络结构及其工作过程分析 1.1 僵尸网络结构 Botnet并不是物理意义上具有拓扑结构的网络,可以认为是一个受控逻辑网络[2]。网络架构依据控制和通信方式分为IRC Botnet、AOL botnet和P2P Botnet三大类,现有大多数Botnet都采用IRC协议。典型IRC Botnet结构采用 了命令与控制体系结构,如图1所示。 1.2 Botnet工作过程分析 Botnet工作过程分为传播、加入、等待和控制四个阶段。(1) 传播阶段:Botnet控制者通过几种手段传播Bot控制一定规模的僵尸主机。研究发现,有些Bot具有自动扫描大规模网段,利用系统漏洞和弱口令等手法查找脆弱主机进行传播,传播方式与蠕虫相类似。
[信息网络安全资料] 信息网络安全主要内容 u 基础概述 u 风险威胁 u 建设应用 u 安全管理第一部分信息网络基础概述虚拟世界虚拟世界:高科技的网络信息时代,把意识形态中的社会结构以数字化形式展示出来。 虚拟世界:数字空间、网络空间、信息空间。 现实世界与虚拟世界的不同: 交往方式不同,(面对面,视距; 点对点,非视距)生存基础不同(自然,科技)实体形态不同(原子,比特)自由空间不同(心灵空间,网络空间)科技是第七种生命形态人类已定义的生命形态仅包括植物、动物、原生生物、真菌、原细菌、真细菌,人造物表现得越来越像生命体; 生命变得越来越工程化。 失控——全人类的最终命运和结局信息的及时传输和处理技术变成当代社会的生产力、竞争力和发展成功的关键。 一、基本概念信息定义1:信息是事物现象及其属性标识的集合。 定义2:以适合于通信、存储或处理的形式来表示的知识或消息。
信息构成是由: (1)信息源(2)内容(3)载体(4)传输(5)接受者信息一般有4种形态:①数据②文本③声音④图像人类信息活动经历: 1、语言的获得 2、文字的创造人类四大古文字体系: ①古埃及圣书文字②苏美尔楔形文字(伊拉克东南部幼发拉底河和底格里斯河下游)③印地安人玛雅文字④中国甲古文 3、印刷术的发明唐朝有印刷; 宋代毕升创造活字印刷术; 元代王祯创造木活字,又发明转轮排字盘; 明代铜活字出现; 再到油印,发展到现在利用磁的性质来复印。 4、摩尔斯电报技术的应用 5、计算机网络的应用网络一、概念定义1:由具有无结构性质的节点与相互作用关系构成的体系。 定义2:在物理上或/和逻辑上,按一定拓扑结构连接在一起的多个节点和链路的集合。 ★计算机信息系统指由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。(94年国务院147号令)信息网络是一个人机系统。 基本组成:网络实体、信息和人。 ★信息网络安全保护计算机信息系统免遭拒绝服务,未授权(意外或有意)泄露、修改和数据破坏的措施和控制。
Internet网络中的蠕虫病毒扩散传播模型 1 简单传播模型 在简单传播模型(Simple Epidemic Model)中,每台主机保持两种状态:易感染和被感染。易感个体(Susceptible)是未染病但与已感染的个体接触会被感染的一类;另一类为感染个体(Infective),这类个体已染病且其具有传染性。假定一台主机一旦被感染就始终保持被感染的状态。其状态转换关系可表示为: 由此可见这种模型的蠕虫传播速度是由初始感染数量I(0)和主机感染率这两 个参数决定的。其微分方程表达式为 dI(t)/dt=βI(t)[N-I(t)] 其中I(t)为时刻t 已被感染的主机数;N为网络中主机总数;β 为时刻t 的感染率。当t=0 时,I(0)为已感染的主机数,N-I(0)为易感染主机数。 取节点数N=10000000,感染概率因子为β=1/10000000,即K=βN=1,当蠕虫繁殖副本数量I(0)=3 时,仿真结果如图3-2 所示,横坐标为传播时间,纵坐标为整个网络被感染的百分比。 此模型能反映网络蠕虫传播初期的传播行为,但不适应网络蠕虫后期的传播状态。此外,其模型过于简单,没有体现蠕虫扫描策略和网络特性对蠕虫传播所产生的影响。 2 KM 模型 在Kermack-Mckendrick 传播模型(简称KM 模型)中,主机保持 3 种状态:易感染、被感染和免疫。用状态转换关系表示为: 对感染节点进行免疫处理,是指把此节点从整个网络中去除。因为,每当对一台主机进行免疫处理,网络节点总数在原有基础上减1,最终将使得所有被感染的主机数量减少到0,也就是所有的主机最终都将处于免疫状态。KM 模型的微分方程表达式为: dJ(t)/dt=βJ(t)[N-J(t)] dR(t)/dt=γI(t)
蠕虫病毒深度解析 https://www.doczj.com/doc/c316157938.html,日期:2004-11-22 15:44 作者:天极网来源:天极网 1.引言 近年来,蠕虫、病毒的引发的安全事件此起彼伏,且有愈演愈烈之势。从2001年爆发的CodeRed蠕虫、Nimda蠕虫,SQL杀手病毒(SQL SLAMMER蠕虫),到近日肆掠的“冲击波” 蠕虫病毒,无不有蠕虫的影子,并且开始与病毒相结合了。蠕虫病毒通常会感染Windows 2000/ XP/Server 2003系统,如果不及时预防,它们就可能会在几天内快速传播、大规模感染网络,对网络安全造成严重危害。看来,蠕虫病毒不再 是黑暗中隐藏的"黑手",而是已露出凶相的"狼群"。 各类病毒各有特色,大有长江后浪推前浪之势:CodeRed蠕虫侵入系统后留下后门,Nimda一开始就结合了病毒技术,而SQL杀手病毒与“冲击波”病毒有着惊人的相似之处,此次病毒大规模爆发是从装有WINDOWS 2000以上操作系统的计算机,尤其是从网络服务器上向外扩散的,利用微软存在的系统漏洞,不同的是,SQL杀手病毒用“缓存区溢出”进行攻击,病毒传播路径都是内存到内存,不向硬盘上写任何文件。“冲击波”病毒则会发送指令到远程计算机,使其连接被感染的主机,下载并运行Msblast.exe。 由此可见,计算机蠕虫和计算机病毒联系越来越紧密,许多地方把它们混为一谈,然而,二者还是有很大不同的,因此,要真正地认识并对抗它们之前,很有必要对它们进行区分。只有通过对它们之间的区别、不同功能特性的分析,才可以确定谁是对抗计算机蠕虫的主要因素、谁是对抗计算机病毒的主要因素; 可以找出有针对性的有效对抗方案;同时也为对它们的进一步研究奠定初步的理论基础。 2.蠕虫原始定义 蠕虫这个生物学名词在1982年由Xerox PARC 的John F. Shoch等人最早引入计算机领域,并给出了计算机蠕虫的两个最基本特征:“可以从一台计算机移动到另一台计算机”和“可以自我复制”。他们编写蠕虫的目的是做分布式计算的模型试验,在他们的文章中,蠕虫的破坏性和不易控制已初露端倪。1988年Morris 蠕虫爆发后,Eugene H. Spafford 为了区分蠕虫和病毒,给出了蠕虫的技术角度的定义,“计算机蠕虫可以独立运行,并能把自身的一个包含所有功能的版本传播到另外的计算机上。”(Worm is a program that can run by itself and can propagate a fully working version of itself to other machines. )。 3.病毒原始定义 在探讨计算机病毒的定义时,常常追溯到David Gerrold在1972年的发表的科幻小说《When Harlie Was One》,但计算机病毒从技术角度的定义是由Fred Cohen在1984年给出的,“计算机病毒是一种程序,它可以感染其它程序,感染的方式为在被感染程序中加入计算机病毒的一个副本,这个副本可能是在原病毒基础上演变过来的。” (A program that can infect other programs by modifying them to include a possibly evolved copy of itself.)。1988年Morris蠕虫爆发后,Eugene H. Spafford 为了区分蠕虫和病毒,将病毒的含义作了进一步的解释。“计算机病毒是一段代码,能把自身加到其它程序包括操作系统上。它不能独立运行,需要由它的宿主程序运行来激活它。”(virus is a piece of code that adds itself to other programs, including operating systems. It cannot run independently and it requires that its host program be run to activate it.)。 4.蠕虫/病毒