网络安全技术第七章

第一节网络病毒及特征本章主要内容第二节网络反病毒原则及策略第三节网络反病毒的实施一、网络病毒的概念二、网络病毒的主要特点三、典型的网络病毒介绍第一节网络病毒及特征一、网络病毒的概念（1）狭义的网络病毒:即网络病毒应该是充分利用网络的协议以及网络的体系结构作为其传播的途径或机制，同时网络病毒的破坏对象也应是针对网络的。（2）广义的网络病毒:只要能够在网络上传播并能对网络产生破坏的病毒，不论它破坏的是网络还是联网计算机，就可称为网络病毒。二、网络病毒的主要特点1．技术门坎低，任何人皆可撰写新病毒2．蠕虫病毒和木马病毒是最大的威胁3．愈来愈快的传播“毒速”4．愈来愈短的攻击时间差5．不断创新的自我防御技术6．令人眼花缭乱的庞大变种7．乱“件”齐发的垃圾邮件8．有洞就钻9．混合式攻击网络病毒的特征主要是相对于单机病毒来说的，其特点主要表现在以下几个方面:三、网络病毒实例几种典型的网络病毒：2、木马病毒3、蠕虫病毒4、网页脚本病毒1、宏病毒5、即时通讯病毒1．宏病毒宏病毒是使用某个应用程序自带的宏编程语言编写的病毒。宏病毒目前主要是针对应用组件，类型分为二类：感染Word系统的Word宏病毒、感染Excel系统的Exce1宏病毒和感染LotusAmiPro的宏病毒。Word宏病毒具有以下的特征：（1）危害性大。（2）感染数据文件。（3）多平台交叉感染。（4）容易制作。（5）传播方便快捷。（6）检测、清除比较困难。三、网络病毒实例宏病毒举例三、网络病毒实例简单自制宏病毒发作表象2．木马病毒将自己伪装成某种应用程序来吸引用户下载或执行，并进而破坏用户计算机数据、造成用户不便或窃取重要信息的程序，称为“特洛伊木马”或“木马”病毒。木马病毒有以下基本特征：（1）隐蔽性（2）自动运行性（3）欺骗性（4）具备自动恢复功能（5）能自动打开特别的端口（6）功能的特殊性三、网络病毒实例木马病毒举例（“落雪”）三、网络病毒实例“落雪”病毒在系统文件夹中添加的文件它由VB语言编写，加的是nSPack3.1的壳，该木马文件图标一般是红色的，很像网络游戏的登陆器。它可以盗取包括魔兽世界、传奇世界、征途、梦幻西游、边锋游戏在内的多款网络游戏的帐号和密码，对网络游戏玩家的游戏装备构成了极大的威胁。它可以把木马克星和卡巴斯基自动禁用，卡巴斯基还可以手工启用，木马克星手工已无法启用。即便是用户中毒之后将C盘的病毒杀干净了，一旦双击D盘还会重新感染落雪木马。3．蠕虫病毒蠕虫（worm）病毒无论从传播速度、传播范围还是从破坏程度上来讲，都是以往的传统病毒所无法比拟的，可以说是近年来最为猖獗、影响最广泛的一类计算机病毒，其传播主要体现在以下两方面：（1）利用微软的系统漏洞攻击计算机网络。“红色代码”、“Nimda”、“Sql蠕虫王”等病毒都是属于这一类病毒。（2）利用Email邮件迅速传播。如“爱虫病毒”和“求职信病毒”。“蠕虫”病毒由两部分组成：一个主程序和另一个是引导程序。主程序的主要功能是搜索和扫描，这个程序能够读取系统的公共配置文件，获得与本机联网的客户端信息，检测到网络中的哪台机器没有被占用，从而通过系统的漏洞，将引导程序建立到远程计算机上。引导程序实际上是蠕虫病毒主程序（或一个程序段）自身的一个副本，而主程序和引导程序都有自动重新定位的能力。三、网络病毒实例蠕虫病毒举例（“魔鬼波”蠕虫）三、网络病毒实例魔鬼波病毒发作时现象“魔鬼波”（Backdoor/Mocbot.b）蠕虫利用微软MS06-040漏洞，通过TCP端口445进行传播。其传播过程可以在用户不知情的情况下主动进行，可能造成services.exe崩溃等现象。还可通过AOL等即时通讯工具自动发送包含恶意链接的消息。运行成功后，病毒会连接IRC服务器接收黑客命令。通过黑客命令，“魔鬼波”蠕虫可以运行下载任意程序，进行拒绝服务攻击(DDoS)等活动，使得用户计算机完全被黑客控制。4．网页脚本病毒脚本病毒是指利用.asp、.htm、.html、.vbs、.jsp类型的文件进行传播，基于VBScript和JavaScript脚本语言并由WidowsScriptingHost解释执行的一类病毒。脚本病毒具有如下特点：（1）隐藏性强。（2）传播性广。（3）病毒变种多。可以采用下面的步骤来避免该类病毒的入侵：（1）用regsvr32scrrun.dll/u命令禁止文件系统对象（2）卸载WindowsScriptingHost项。（3）删除VBS、VBE、JS、JSE文件后缀名与应用程序的链接。（4）更改或者删除Windows目录中，WScript.exe（5）将“Internet选项”中所有“ActiveX控件及插件”设为禁用。（6）将安全级别设置至少为“中等”。（7）禁止IE的自动收发邮件功能。（8）安装杀毒软件，在安全模式用新版杀毒软件全面查杀，并及时更新杀毒软件三、网络病毒实例4．网页脚本病毒三、网络病毒实例网页脚本病毒对IE属性的修改5．即时通讯病毒即时通讯病毒具有以下几个特点：（1）更强的隐蔽性。（2）攻击更加便利。（3）更快的传播速度。目前，袭击即时通讯软件的病毒主要分三类：第一类是只以QQ、MSN等即时通讯软件为传播渠道的病毒第二类为专门针对即时通讯软件本身的窃取用户帐号、密码的病毒第三类是不断给用户发消息的骚扰型病毒三、网络病毒实例即时通信病毒举例（MSN性感鸡）三、网络病毒实例“MSN性感鸡”病毒在系统盘根目录下释放的小鸡图片针对前面讲的内容，我们该怎么做好网络病毒的防范工作呢？思考第一节网络病毒及特征第七章网络病毒与防范第二节网络反病毒原则及策略第三节网络反病毒的实施如何有效地在网络环境下防治病毒是一个比较新的课题，各种方案、技术很多，我们认为最重要的是应当先研究网络防治病毒的基本原则和策略，在这方面业内人士已基本达成共识。这些基本原则的策略归纳起来可以分为以下几条：第二节网络反病毒原则与策略一、防重于治防重在管二、综合防护三、最佳均衡原则四、管理与技术并重五、正确选择网络反毒产品六、多层次防御七、注意病毒检测的可靠性一、防重于治防重在管一般来讲，计算机病毒的防治在于完善操作系统和应用软件的安全机制。在网络环境下，可相应采取新的防范手段，网络防病毒最大的优势在于网络的管理功能。所谓网络管理就是管理全部的网络设备中所有病毒能够进来的部位，可以从两方面着手解决：一是严格管理制度，对网络系统启动盘、用户数据盘等从严管理与检测，严禁在网络工作站上运行与本部门业务无关的软件；二是充分利用网络系统安全管理方面的功能。第二节网络反病毒原则与策略网络本身提供了4级安全保护措施：①注册安全，网络管理员通过用户名、入网口令来保证注册安全；②权限安全，通过指定授权和屏蔽继承权限来实现；③属性安全，由系统对各目录和文件读、写等的性质进行规定；④可通过封锁控制台键盘等来保护文件服务器安全。二、综合防护网络系统的安全防护能力，取决于系统中安全防护能力最薄弱的环节，在某一特定状态下整个网络系统对病毒的防御能力只能取决于网络中病毒防护能力最薄弱的一个节点或层次。网络的安全体系应从防病毒、防黑客、灾难恢复等几方面综合考虑，形成一整套的安全机制，这才是最有效的网络安全手段。防病毒软件、防火墙产品通过设置、调整参数，能够相互通信，协同发挥作用。这也是区别单机防病毒技术与网络防病毒技术的重要标志。第二节网络反病毒原则与策略三、最佳均衡原则要采取网络防病毒措施，肯定会导致网络系统资源开销的增加，如增加系统负荷，占用CPU时间、占用网络服务器内存等。针对这一问题，有业内人士对网络防病毒技术提出了“最小占用原则”，以保证网络防病毒技术在发挥其正常功能的前提下，占用最小网络资源。第二节网络反病毒原则与策略四、管理与技术并重解决网络病毒问题应从加强管理和采取技术措施两方面着手，在管理方面要形成制度，加强网管人员的防病毒观念，在内部网与外界交换数据等业务活动中进行有效控制和管理，同时抵制盗版软件或来路不明软件的使用。同时辅以技术措施，选择和安装网络防病毒产品，这是以围绕商品化的网络防杀病毒软件及其供应商向用户提供的技术支持、产品使用、售后服务、紧急情况下的突发响应等专业化反病毒工作展开的。第二节网络反病毒原则与策略五、正确选择网络反毒产品由于网络环境的操作系统种类繁多，目前世界上各种网络反病毒产品中还没有一种能以同一主程序跨越多种网络系统平台，所以用户要根据自己的网络平台有针对性地选择网络反病毒产品。第二节网络反病毒原则与策略六、多层次防御多层次防御病毒的解决方案应该既具有稳健的病毒检测功能，又有客户机／服务器数据保护功能。在个人计算机的硬件和软件、LAN服务器、服务器网关、Internet及Intranet站点上，层层设防，对每种病毒都实行隔离、过滤。在后台进行实时监控，发现病毒随时清除，实施覆盖全网的多层次防护。第二节网络反病毒原则与策略新的网络防毒策略是把病毒检测、多层数据保护和集中式管理功能集成起来，形成多层次的防御体系，它易于使用和管理，也不会对管理员带来额外的负担，极大地降低了病毒的威胁，同时也使病毒防治任务变得更经济、更简单、更可靠。多层次防御病毒软件主要采取了三层保护功能：1．后台实时扫描2．完整性保护3．完整性检验病毒扫驱动器能对未知病毒包括变形病毒和加密病毒进行连续的检测该措施用于阻止病毒从一个受感染的工作站传染到网络服务器。完整性检验使系统无需冗余的扫描过程，能提高检验的实时性六、多层次防御第二节网络反病毒原则与策略七、注意病毒检测的可靠性要定期对网络上的共享文件卷进行病毒检测。但要注意的是，检测结果没有发现病毒并不等于就真的没有病毒。最好使用两种以上的反毒软件对网络系统进行检测，这样可以有效地增加检查结果的可靠性。第二节网络反病毒原则与策略第一节网络病毒及特征第七章网络病毒与防范第二节网络反病毒原则及策略第三节网络反病毒的实施一、病毒诊断技术原理二、网络反病毒的基本技术措施三、网络反病毒技术与方案介绍四、主流反病毒产品特点介绍第三节网络反病毒的实施一、病毒诊断技术原理1、病毒比较法诊断的原理比较法是用原始的或正常的与被检测的进行比较，包括长度比较法、内容比较法、内存比较法、中断比较法等。比较时可以对打印的代码清单进行比较，也可以用程序来进行比较。一、病毒诊断技术原理2、病毒校验和法诊断的原理计算正常文件的内容的校验和，并将该校验和写入文件中或写入其文件中保存。在文件使用过程中，定期地或每次使用文件前检查文件当前的校验和与原来保存的校验和是否一致可以发现文件是否被感染，这种方法叫校验和法。一、病毒诊断技术原理3、病毒扫描法诊断的原理扫描法是用每一种病毒体还有的特定字符串对被检测的对象进行扫描。如果在被检测对象内部发现了某一种特定字符串，就表明发现了该字符串所代表的病毒。扫描法包括特征代码扫描法和特征字扫描法。扫描法的优点是可以识别病毒的名称、误报警率低、依据检测结果可以做杀毒处理。一、病毒诊断技术原理4、病毒行为检测法诊断的原理利用病毒的特有行为特性监测病毒的方法称做行为监测法。行为监测法的长处在于不仅可以发现已知病毒，而且可以相当准确地预报多数未知病毒。但行为监测法也有短处，即可能误报警和不能识别病毒名称，而且实现起来有一定难度。监测病毒的行为特征可列举如下：（1）占用INT13H：所有的引导型病毒都攻击BOOT扇区或主引导扇区。（2）修改DOS系统数据区的内存总量：病毒常驻内存后，为了防止DOS系统将其覆盖，必须修改内存总量。（3）对COM和EXE文件做写入操作：病毒要进行感染，必须写COM和EXE文件。（4）病毒程序与宿主程序的切换染毒程序运行时，先运行病毒，而后执行宿主程序。在两者切换时，有许多特征行为。一、病毒诊断技术原理5、病毒行为感染实验法诊断的原理感染实验是一种简单实用的病毒检测方法，采用感染实验法可以检测出病毒检测工具不认识的新病毒，从而摆脱对病毒检测工具的依赖，自主地检测可疑的新病毒。这种方法的原理就是利用了病毒的最重要的特征——感染特性。一、病毒诊断技术原理6、病毒行为软件模拟法诊断的原理