時(shí)間:2023-05-29 18:02:55
開(kāi)篇:寫(xiě)作不僅是一種記錄,更是一種創(chuàng)造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇木馬檢測(cè),希望這些內(nèi)容能成為您創(chuàng)作過(guò)程中的良師益友,陪伴您不斷探索和進(jìn)步。
關(guān)鍵詞:HTTP隧道木馬;原理;檢測(cè)方法
中圖分類(lèi)號(hào):TP309.5文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):16727800(2012)009015202
0引言
隨著互聯(lián)網(wǎng)的飛速發(fā)展以及網(wǎng)絡(luò)中病毒木馬程序的日益泛濫,防火墻已經(jīng)成為保護(hù)局域網(wǎng)絡(luò)中主機(jī)免受惡意程序侵害的一道屏障。隨著防火墻技術(shù)的日益成熟,很多傳統(tǒng)遠(yuǎn)控型木馬程序已經(jīng)失去了其發(fā)展空間,然而一種新型的利用HTTP協(xié)議隧道的木馬又出現(xiàn)了。本文將主要介紹該類(lèi)木馬的運(yùn)行原理以及目前針對(duì)該類(lèi)木馬的主流檢測(cè)方法。
1HTTP協(xié)議隧道
HTTP協(xié)議隧道位于應(yīng)用層,是將需要傳輸?shù)臄?shù)據(jù)封裝在HTTP協(xié)議格式數(shù)據(jù)包中,通過(guò)HTTP協(xié)議在網(wǎng)絡(luò)中進(jìn)行傳輸,當(dāng)HTTP數(shù)據(jù)包抵達(dá)目的地后對(duì)HTTP數(shù)據(jù)包進(jìn)行解包,得到真實(shí)的數(shù)據(jù)。HTTP協(xié)議隧道分為直接型和中轉(zhuǎn)型兩種模式。
1.1直接型模式
此模式中每臺(tái)主機(jī)都既作客戶端又作服務(wù)器,可以相互通信。在客戶端中,數(shù)據(jù)經(jīng)過(guò)HTTP隧道軟件使用HTTP協(xié)議進(jìn)行封裝,然后通過(guò)80端口或者8080端口發(fā)送到對(duì)方主機(jī)。服務(wù)器端收到數(shù)據(jù)后對(duì)HTTP包進(jìn)行解包操作得到實(shí)際傳輸?shù)臄?shù)據(jù)。
1.2中轉(zhuǎn)型模式
此模式中有一個(gè)專(zhuān)門(mén)的HTTP隧道服務(wù)器,負(fù)責(zé)接收客戶機(jī)的請(qǐng)求,然后與目標(biāo)主機(jī)通信,將客戶端傳過(guò)來(lái)的數(shù)據(jù)交付給目標(biāo)主機(jī)。在客戶端與目標(biāo)主機(jī)之間仍使用HTTP協(xié)議對(duì)數(shù)據(jù)進(jìn)行封裝后傳輸。
2HTTP隧道木馬原理
HTTP隧道木馬與傳統(tǒng)木馬程序在功能上基本一致,主要差別在于通信方式上。傳統(tǒng)木馬,不論是正向連接型還是反向連接型,基本都是通過(guò)高于1024端口進(jìn)行通信,然而現(xiàn)在的很多殺毒軟件以及防火墻對(duì)于這些端口的檢測(cè)會(huì)較為嚴(yán)格,從而使得木馬程序容易暴露身份。而隨著B(niǎo)/S模式的廣泛應(yīng)用,越來(lái)越多的網(wǎng)上流量都是通過(guò)HTTP協(xié)議進(jìn)行傳輸,因此絕大多數(shù)防火墻對(duì)于HTTP協(xié)議都采取進(jìn)行簡(jiǎn)單協(xié)議結(jié)果判定后直接允許其通過(guò)的策略,而這樣的策略就給了木馬程序以可乘之機(jī)。
HTTP隧道木馬利用HTTP協(xié)議隧道,將自己需要傳輸?shù)臄?shù)據(jù)利用HTTP協(xié)議進(jìn)行封裝,然后經(jīng)由HTTP協(xié)議專(zhuān)用端口80端口或者8080端口與外部服務(wù)器進(jìn)行連接,服務(wù)器在得到數(shù)據(jù)以后進(jìn)行簡(jiǎn)單的HTTP協(xié)議解包就可以得到實(shí)際的數(shù)據(jù)。
一般此類(lèi)木馬選擇的HTTP協(xié)議隧道類(lèi)型均為上一節(jié)中介紹的中轉(zhuǎn)型模式。在木馬實(shí)際運(yùn)行過(guò)程中,客戶端(即控制端)首先將待執(zhí)行的命令以文件的形式存放在HTTP隧道服務(wù)器中,而對(duì)于服務(wù)端(及被控端),每次上線后會(huì)主動(dòng)請(qǐng)求連接HTTP隧道服務(wù)器,然后用GET或者POST命令請(qǐng)求服務(wù)器中的特定文件(預(yù)先設(shè)定好的存放命令的文件)。如果文件中有需要執(zhí)行的命令,則在被控端主機(jī)上執(zhí)行相應(yīng)操作,然后將數(shù)據(jù)封裝成HTTP數(shù)據(jù)包回送給HTTP隧道服務(wù)器,如果文件中沒(méi)有命令需要執(zhí)行,則服務(wù)端斷開(kāi)連接,一段時(shí)間后再次以相同方式詢問(wèn)是否有命令,如此往復(fù)。通過(guò)此流程,HTTP隧道木馬就可以借用HTTP協(xié)議躲避防火墻的阻攔與控制端進(jìn)行通信。
3主流檢測(cè)方法
針對(duì)HTTP隧道木馬的檢測(cè)方法目前主要存在下面的三大類(lèi):基于簽名的檢測(cè)、基于協(xié)議的檢測(cè)以及基于操作行為的檢測(cè)。下面分別對(duì)3種檢測(cè)方法進(jìn)行介紹。
3.1基于簽名的檢測(cè)(SIGNATUREBASED DETECTION)
該方法主要通過(guò)檢測(cè)HTTP協(xié)議數(shù)據(jù)包定的數(shù)據(jù)式樣來(lái)判斷是否是可疑的HTTP數(shù)據(jù)包。這里所謂的特定的數(shù)據(jù)式樣,指的是比如“cat c:”、“cat d:”、“del c:”、“PWD”、“RETR ”、“cmdc:”、“cmd net start”等字串。這些字串一般為計(jì)算機(jī)的一些操作指令,如果HTTP數(shù)據(jù)包中含有這些數(shù)據(jù)式樣則將其判定為使用HTTP隧道進(jìn)行傳輸。
然而這種方法也存在一些問(wèn)題,比如很難準(zhǔn)確找到有哪些數(shù)據(jù)樣式只存在于HTTP隧道木馬傳遞的數(shù)據(jù)包中而不可能或很少出現(xiàn)在正常網(wǎng)頁(yè)里,因?yàn)镠TTP協(xié)議是基于對(duì)象的協(xié)議,可以傳輸任何類(lèi)型的文件,我們不能保證這些文件中不會(huì)出現(xiàn)所定義的“數(shù)據(jù)式樣”,因此此方法在實(shí)際運(yùn)用中可行性較低。
3.2基于協(xié)議的檢測(cè)
由于很多HTTP隧道木馬在進(jìn)行HTTP隧道傳輸時(shí)都只是進(jìn)行了一個(gè)簡(jiǎn)單的HTTP協(xié)議封裝,即在數(shù)據(jù)外加上了一個(gè)HTTP頭部,然而這種簡(jiǎn)單的協(xié)議封裝往往在很多時(shí)候不符合實(shí)際的HTTP協(xié)議正常的格式。并且在數(shù)據(jù)交互的過(guò)程中,HTTP隧道木馬一般只是簡(jiǎn)單發(fā)送單個(gè)HTTP數(shù)據(jù)包,而不會(huì)完整執(zhí)行整個(gè)HTTP協(xié)議中規(guī)定的一整套交互流程。根據(jù)這些協(xié)議上的特點(diǎn)可以對(duì)HTTP隧道木馬進(jìn)行檢測(cè)。
然而在有些情況下這種方式仍不能正確地對(duì)該類(lèi)木馬進(jìn)行準(zhǔn)確識(shí)別。比如木馬程序?yàn)榱藗窝b而進(jìn)行一系列虛假的HTTP協(xié)議交互過(guò)程,從協(xié)議層面上看該過(guò)程完全無(wú)法分辨出是否為木馬程序。
3.3基于操作行為的檢測(cè)
該方法主要提取了HTTP隧道木馬程序在網(wǎng)絡(luò)會(huì)話上的一系列特征,如:數(shù)據(jù)包大小、數(shù)量、會(huì)話時(shí)長(zhǎng)、會(huì)話上傳數(shù)據(jù)量、會(huì)話上傳數(shù)據(jù)量和下載數(shù)據(jù)量之比以及會(huì)話平局上傳速率等。然后基于這些特征采取數(shù)據(jù)挖掘技術(shù),對(duì)HTTP隧道木馬進(jìn)行分類(lèi),對(duì)其建立相應(yīng)木馬網(wǎng)絡(luò)會(huì)話特征模型,根據(jù)此模型對(duì)其進(jìn)行檢測(cè)。
資料顯示,此種檢測(cè)方法在HTTP隧道木馬程序檢測(cè)方面的效果較好。此方向研究者較多,各研究者之間差別在于采取的特征選取有細(xì)微不同,以及采取的分類(lèi)算法存在一定差異。
3.4分析比較
分析了3種當(dāng)前主流HTTP隧道木馬檢測(cè)技術(shù)以后,我們可以看到,第一種技術(shù)基本無(wú)法單獨(dú)運(yùn)用于真實(shí)環(huán)境下的木馬檢測(cè),在某些情況下可以作為輔助條件進(jìn)行木馬判定;基于協(xié)議的檢測(cè)方法存在一定的適用性,但是也很容易被木馬繞過(guò),因此會(huì)導(dǎo)致實(shí)際使用的效果不佳;而第三種方式則相對(duì)顯得效果更好,有很好的實(shí)用性。
4結(jié)語(yǔ)
本文主要就HTTP隧道木馬的運(yùn)行原理進(jìn)行了介紹,然后對(duì)目前主流的HTTP隧道木馬檢測(cè)方法進(jìn)行了分析比較。通過(guò)分析幾種當(dāng)前提出較多的HTTP隧道木馬檢測(cè)方法,得到當(dāng)前檢測(cè)該類(lèi)木馬程序最有效的方法在于對(duì)木馬網(wǎng)絡(luò)回話中的一些特征進(jìn)行分類(lèi)處理,建立該類(lèi)木馬特征模型,然后進(jìn)行檢測(cè)。
參考文獻(xiàn):
[1]許治坤,王偉,郭添森,等.網(wǎng)絡(luò)滲透技術(shù)[M].北京:電子工業(yè)出版社,2005.
[2]李俊林.通用性HTTP隧道檢測(cè)技術(shù)研究[D].成都:電子科技大學(xué),2006.
關(guān)鍵詞 木馬 入侵 清除
隨著社會(huì)信息化技術(shù)的發(fā)展,網(wǎng)絡(luò)已成為人們生活中不可缺少的部分。人們?cè)诠ぷ鳌W(xué)習(xí)和業(yè)余等時(shí)間運(yùn)用電腦,在感受網(wǎng)絡(luò)帶來(lái)益處的同時(shí),各種各樣的病毒也讓使用者頭痛不已,木馬病毒就是其中一種。有的黑客會(huì)利用木馬來(lái)盜取計(jì)算機(jī)用戶的隱私去謀取利益,這給人們的生活帶來(lái)了巨大的損失和危害。木馬是黑客最常用的基于遠(yuǎn)程控制的工具,目前比較有名的主要有:“冰河”、“黑洞”、“黑冰”、“Bo2000”等。計(jì)算機(jī)一旦被木馬病毒侵入,可能會(huì)造成信息的丟失、系統(tǒng)的破壞甚至系統(tǒng)癱瘓,所以計(jì)算機(jī)的安全問(wèn)題是目前急需解決的問(wèn)題。
1 木馬病毒
所謂木馬(全稱(chēng)是特洛伊木馬)是利用計(jì)算機(jī)程序漏洞侵入后竊取文件的程序,它是一種與遠(yuǎn)程計(jì)算機(jī)之間建立起連接,使遠(yuǎn)程計(jì)算機(jī)能夠通過(guò)網(wǎng)絡(luò)控制本地計(jì)算機(jī)的程序。它包含兩部分:服務(wù)器和控制器,黑客利用控制器進(jìn)入運(yùn)行了服務(wù)器(被入侵的電腦)的計(jì)算機(jī)。運(yùn)行了程序的服務(wù)器,其計(jì)算機(jī)就會(huì)有一個(gè)或幾個(gè)端口被打開(kāi),使黑客可以利用這些打開(kāi)的端口進(jìn)入計(jì)算機(jī)系統(tǒng)。
2 木馬病毒的入侵
木馬入侵計(jì)算機(jī),一般都要完成“向目標(biāo)主機(jī)傳播木馬”、“啟動(dòng)和隱藏木馬”、“建立連接”、“遠(yuǎn)程控制”等環(huán)節(jié)。它的入侵方式主要有:
(1)電子郵件傳播。攻擊者將木馬程序偽裝成郵件的附件發(fā)送出去,收件人只要打開(kāi)附件系統(tǒng)就會(huì)感染木馬;(2)網(wǎng)絡(luò)下載傳播。一些非正規(guī)的網(wǎng)站利用木馬小的特點(diǎn)將木馬捆綁在軟件安裝程序上提供給用戶下載,只要用戶一運(yùn)行這些程序,木馬就會(huì)自動(dòng)安裝;(3)遠(yuǎn)程入侵傳播。黑客通過(guò)破解密碼和建立IPC$遠(yuǎn)程連接后登錄到主機(jī),將木馬服務(wù)端程序復(fù)制到計(jì)算機(jī)中的文件夾,然后通過(guò)遠(yuǎn)程操作來(lái)控制木馬進(jìn)而達(dá)到目的;(4)利用系統(tǒng)漏洞植入。有時(shí)候服務(wù)器會(huì)出現(xiàn)漏洞,黑客便利用這些漏洞將木馬植入計(jì)算機(jī)。譬如MIME漏洞,因?yàn)镸IME簡(jiǎn)單有效,加上寬帶網(wǎng)的流行,令用戶防不勝防;(5)修改文件關(guān)聯(lián)。隱蔽是木馬常用的攻擊手段,它們通常采用修改文件打開(kāi)關(guān)聯(lián)來(lái)達(dá)到加載的目的。著名的木馬冰河就是采用這種方式。
3 木馬的檢測(cè)
(1)進(jìn)程和端口檢測(cè)。木馬一般是以exe后綴形式的文件存在,因此當(dāng)木馬的服務(wù)器端運(yùn)行時(shí),一定會(huì)出現(xiàn)在進(jìn)程中。查看端口的方法一般有三種:使用Windows本身自帶netstat的工具,命令是C:\> netstat -an ;使用Windows命令行工具fport,命令是E:\software>Fport.exe ;使用圖形化界面工具Active Potrs,這個(gè)工具可以監(jiān)視到計(jì)算機(jī)所有打開(kāi)的TCP/IP/UDP端口,還可以顯示所有端口所對(duì)應(yīng)程序的所在的路徑。
(2)檢查Win.ini和System.ini系統(tǒng)配置文件。在win.ini文件中,[WINDOWS]下面如果“Run=”和“Load=”等號(hào)后面結(jié)果不是空的,很可能是計(jì)算機(jī)中了木馬病毒。在System.ini文件中,[BOOT]下面“shell= 文件名”,如果不是“shell=Explorer.exe”,也很可能是中了木馬病毒。
(3)查看啟動(dòng)程序。如果木馬自動(dòng)加載的文件是直接通過(guò)Windows菜單上自定義添加的,一般都會(huì)放在主菜單的“開(kāi)始->程序->啟動(dòng)”處。檢查是否有可疑的啟動(dòng)程序,便很容易查到是否中了木馬。
(4)檢查注冊(cè)表。注冊(cè)表中木馬一旦被加載,一般都會(huì)被修改。一般情況修改HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN, HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN SERVICES,HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN。目錄下,查看有沒(méi)有不熟悉的擴(kuò)展名為EXE的自動(dòng)啟動(dòng)文件。
(5)使用檢測(cè)軟件。除了手工檢測(cè)木馬外,還可以通過(guò)各種殺毒軟件、防火墻軟件和各種木馬查殺工具等檢測(cè)木馬。
4 木馬病毒的清除
檢測(cè)到計(jì)算機(jī)中了木馬后,馬上將計(jì)算機(jī)與網(wǎng)路斷開(kāi),然后根據(jù)木馬的特征來(lái)進(jìn)行清除。清除方法有:
(1)停止可疑的系統(tǒng)進(jìn)程。木馬程序在運(yùn)行時(shí)會(huì)在系統(tǒng)進(jìn)程中留下痕跡,通過(guò)查看系統(tǒng)進(jìn)程可以發(fā)現(xiàn)運(yùn)行的木馬程序。清除木馬時(shí),首先停止木馬程序的系統(tǒng)進(jìn)程,其次修改注冊(cè)表,最后清除木馬文件。
(2)用木馬的客戶端程序清除。查看系統(tǒng)啟動(dòng)程序和注冊(cè)表是否存在可疑的程序后,判斷是否中了木馬,如果存在木馬,則查出木馬文件并刪除外,同時(shí)將木馬自動(dòng)啟動(dòng)程序刪除。
(3)殺毒軟件和查殺工具。木馬程序大部分都是利用操作系統(tǒng)的漏洞將木馬加載到系統(tǒng)中,利用較好較新的殺毒軟件加上補(bǔ)丁程序,可自動(dòng)清除木馬程序。常用殺毒軟件包括Kill3000、瑞星、木馬終結(jié)者等。
(4)手工清除。在不知道木馬屬于何種程序的情況下應(yīng)用手工清除,打開(kāi)系統(tǒng)配置實(shí)用程序?qū)in.ini、System.ini進(jìn)行編輯,在Win.ini中將“Run=文件名”或“Load=文件名”更改為“Run= ”或“Load= ”, 在System.ini中將“Shell=文件名”更改為“Shell=Explorer.exe”,屏蔽非法啟動(dòng)項(xiàng),用Regedit打開(kāi)注冊(cè)表的鍵值及注冊(cè)項(xiàng)的默認(rèn)值或正常值,刪除木馬。
5 QQ卓越木馬的查殺程序設(shè)計(jì)
掌握了木馬的入侵和檢測(cè)等相關(guān)知識(shí)后,我們做了一個(gè)針對(duì)QQ卓越木馬的殺毒程序。整個(gè)程序的查殺毒流程如圖1所示。
該程序查殺過(guò)程,首先掃描內(nèi)存,接著是系統(tǒng)目錄,然后注冊(cè)表,最后對(duì)硬盤(pán)進(jìn)行掃描。
內(nèi)存中掃描木馬進(jìn)程主要用到了自定義函數(shù)FindProcByName,進(jìn)程掃描開(kāi)始及結(jié)束都會(huì)在狀態(tài)欄及查殺結(jié)果欄中顯示相應(yīng)信息。自定義函數(shù)FindProcByName應(yīng)用CreateToolhelp32Snapshot獲取進(jìn)程快照,若列表中有進(jìn)程存在,用Process32First獲取第一個(gè)進(jìn)程的信息,若進(jìn)程文件名與木馬進(jìn)程名字相同,則記錄木馬EXE程序同時(shí)記錄木馬DLL的程序并把他們添加到查殺列表,循環(huán)比較列表中的每個(gè)進(jìn)程。若停止的話就直接跳出殺毒程序。內(nèi)存掃描完之后,如果發(fā)現(xiàn)內(nèi)存中有卓越QQ木馬時(shí),找到該木馬程序的執(zhí)行程序所在目錄,并檢測(cè)此目錄下有沒(méi)有木馬文件,若有則進(jìn)行查殺。
接著掃描注冊(cè)表。主要查看系統(tǒng)及用戶啟動(dòng)項(xiàng)的Run鍵值下是否有卓越QQ木馬鍵值,若有將其刪除,同時(shí)將木馬計(jì)數(shù)器TrojanCnt及注冊(cè)表木馬計(jì)數(shù)器RegTrojanCnt加一。然后查看是否有木馬文件,若有木馬文件,根據(jù)卓越QQ木馬鍵值找到其真實(shí)路徑,將其.exe及.dll程序添加到查殺列表,掃描并中止該木馬進(jìn)程后再刪除木馬文件。
最后掃描硬盤(pán)。要對(duì)硬盤(pán)進(jìn)行木馬查殺,找到文件,經(jīng)判斷如果為病毒文件,將木馬計(jì)數(shù)器及硬盤(pán)木馬計(jì)數(shù)器加一,然后將檢測(cè)結(jié)果在查殺結(jié)果中顯示出。用自定義函數(shù)Length,Copy、ScanDir、CompareFileNames可以實(shí)現(xiàn)。
關(guān)鍵詞:溢出型網(wǎng)頁(yè)惡意代碼;運(yùn)行機(jī)理;防范
中圖分類(lèi)號(hào):TP393.08
網(wǎng)頁(yè)惡意代碼是木馬用來(lái)傳播的主要方式之一,各種有危害性的木馬都可以做成網(wǎng)頁(yè)惡意代碼來(lái)傳播危害用戶。因此,對(duì)溢出型網(wǎng)頁(yè)惡意代碼運(yùn)行機(jī)理分析與防范的探討有其必要性。
1 研究背景
隨著近來(lái)網(wǎng)絡(luò)技術(shù)的發(fā)展,網(wǎng)絡(luò)攻擊安全事故也地不斷發(fā)生,越來(lái)越受到人們的廣泛關(guān)注。而網(wǎng)頁(yè)惡意代碼的運(yùn)行則一種危害網(wǎng)絡(luò)安全的一種惡意傳播,其主要要通過(guò)木馬進(jìn)行傳播的一種主要方式,包括各種具有危害性的木馬,在構(gòu)成網(wǎng)絡(luò)危害的過(guò)程中,都可以通過(guò)網(wǎng)頁(yè)惡意代碼,對(duì)網(wǎng)絡(luò)用戶構(gòu)成嚴(yán)重的威脅,且在當(dāng)前的形勢(shì)下,這已經(jīng)構(gòu)成黑色網(wǎng)絡(luò)產(chǎn)業(yè)鏈的先鋒,導(dǎo)致網(wǎng)絡(luò)用戶的財(cái)產(chǎn)丟失,黑客利用其所形成的病毒木馬來(lái)竊取。
2 運(yùn)行機(jī)理
網(wǎng)頁(yè)惡意代碼最為基本的本質(zhì)就是網(wǎng)頁(yè),而并不是木馬本身,主要是通過(guò)一些特殊網(wǎng)頁(yè),利用病毒木馬的運(yùn)行,將執(zhí)行代碼進(jìn)行編碼處理,其作為網(wǎng)頁(yè)組成的重要部分,會(huì)在運(yùn)行中通過(guò)特殊網(wǎng)頁(yè)代碼獲取相關(guān)的木馬程序,通常情況下,網(wǎng)絡(luò)系統(tǒng)安全防御中心和殺毒軟件公司將其稱(chēng)之為網(wǎng)頁(yè)木馬,而防范和切斷木馬的一個(gè)主要的途徑就是切斷網(wǎng)絡(luò)惡意代碼的傳播,網(wǎng)絡(luò)惡意代碼的運(yùn)行則一種危害網(wǎng)絡(luò)安全的一種惡意傳播,其主要要通過(guò)木馬進(jìn)行傳播,包括各種具有危害性的木馬,在構(gòu)成網(wǎng)絡(luò)危害的過(guò)程中,都可以通過(guò)網(wǎng)頁(yè)惡意代碼,對(duì)網(wǎng)絡(luò)用戶構(gòu)成嚴(yán)重的威脅,且在當(dāng)前的形勢(shì)下,這已經(jīng)構(gòu)成黑色網(wǎng)絡(luò)產(chǎn)業(yè)鏈的先鋒,導(dǎo)致網(wǎng)絡(luò)用戶的財(cái)產(chǎn)丟失,黑客利用其所形成的病毒木馬來(lái)竊取,因而,可以通過(guò)網(wǎng)絡(luò)惡意代碼檢測(cè)來(lái)獲取,就是將混在網(wǎng)頁(yè)代碼中的一些漏洞檢測(cè)出來(lái),但是隨著現(xiàn)代網(wǎng)絡(luò)技術(shù)的發(fā)展,網(wǎng)頁(yè)中也會(huì)不斷地出現(xiàn)一些新的漏洞,這就使得查殺木馬將是一個(gè)艱巨且長(zhǎng)期的任務(wù)。
3 防范對(duì)策
某大學(xué)通過(guò)網(wǎng)頁(yè)惡意代碼機(jī)理的深入研究,從中獲得了主動(dòng)檢測(cè)方法以及相關(guān)的防范對(duì)策,據(jù)有關(guān)數(shù)據(jù)統(tǒng)計(jì)分析,其在4天可以一次對(duì)全國(guó)的160多萬(wàn)個(gè)網(wǎng)站例行周期性的檢測(cè),而每一項(xiàng)周期性的檢測(cè)中均可以獲得20000多個(gè)告警。
在上述指令中,可將指令中的符號(hào)運(yùn)算以及結(jié)果保存中的EAX進(jìn)行檢查,并對(duì)其內(nèi)存空間進(jìn)行進(jìn)一步處理,從而有效地防范和切斷木馬,這也是確保網(wǎng)絡(luò)安全的一個(gè)主要的途徑。
3.2 通用溢出設(shè)計(jì)分析。這種類(lèi)型的惡意代碼主要是要不同操作系統(tǒng)和軟件環(huán)境下所完成的,均可以很好地發(fā)現(xiàn)漏洞,為此,可以通過(guò)采用通用溢出分析法來(lái)防范網(wǎng)絡(luò)安全的發(fā)生,以切斷網(wǎng)絡(luò)惡意代碼的傳播,網(wǎng)絡(luò)惡意代碼的運(yùn)行防范必須要有針對(duì)性的處理和修改,規(guī)范相關(guān)的程序流程,跳轉(zhuǎn)到SHELLCODE所在位置,并且保證跳轉(zhuǎn)空間,使其能夠順利地執(zhí)行代碼空間,由于惡意代碼通過(guò)木馬傳播時(shí),具有很強(qiáng)的危害性,且在構(gòu)成網(wǎng)絡(luò)危害的過(guò)程中,都可以通過(guò)網(wǎng)頁(yè)惡意代碼,對(duì)網(wǎng)絡(luò)用戶構(gòu)成嚴(yán)重的威脅,為此,需要工作人員根據(jù)當(dāng)前形勢(shì),切實(shí)保證網(wǎng)絡(luò)用戶的財(cái)產(chǎn),反攻擊黑客利用其所形成的病毒木馬來(lái)竊取行為,盡可能地使得溢出漏洞具有通用性,并且選擇一個(gè)較好的跳轉(zhuǎn)地址,確保其在各個(gè)操作系統(tǒng)中和相關(guān)網(wǎng)絡(luò)安全配置中,保持基本不變,控制內(nèi)存中存在的MS07-04漏洞,通過(guò)網(wǎng)絡(luò)惡意代碼檢測(cè)來(lái)獲取,就是將混在網(wǎng)頁(yè)代碼中的一些漏洞檢測(cè)出來(lái),包括網(wǎng)頁(yè)中也會(huì)不斷地出現(xiàn)一些新的漏洞。
4 結(jié)束語(yǔ)
總而言之,隨著現(xiàn)代網(wǎng)絡(luò)技術(shù)的發(fā)展,網(wǎng)絡(luò)工作安全人員要加強(qiáng)防范對(duì)策的研究,強(qiáng)化網(wǎng)頁(yè)惡意代碼機(jī)理的深入研究,從中獲得了主動(dòng)檢測(cè)方法以及相關(guān)的防范對(duì)策,切實(shí)保證網(wǎng)絡(luò)的充分安全和網(wǎng)絡(luò)用戶的財(cái)產(chǎn)安全,獲取更好的社會(huì)效益,實(shí)現(xiàn)網(wǎng)絡(luò)的安全穩(wěn)定發(fā)展。
參考文獻(xiàn):
[1]胡娟.網(wǎng)頁(yè)惡意代碼攻擊與防御[J].電腦知識(shí)與技術(shù),2010(05):1063-1066.
[2]李志勇,陶然,王越,張昊.溢出型網(wǎng)頁(yè)惡意代碼運(yùn)行機(jī)理分析與防范[J].兵工學(xué)報(bào),2010(06):832-836.
[3]李志勇,薛亮,陶然,張昊.跨安全域網(wǎng)頁(yè)惡意代碼運(yùn)行機(jī)理與防范[J].計(jì)算機(jī)工程與應(yīng)用,2010(21):135-137.
[4]文偉平.惡意代碼機(jī)理與防范技術(shù)研究[D].中國(guó)科學(xué)院研究生院(軟件研究所),2010.
[5]王德君.Internet網(wǎng)頁(yè)惡意代碼淺析[J].沈陽(yáng)工程學(xué)院學(xué)報(bào)(自然科學(xué)版),2012(02):158-161.
目前各種網(wǎng)頁(yè)木馬層出不窮,給我們?nèi)粘g覽網(wǎng)頁(yè)帶來(lái)極大的安全隱患。前不久曝出的網(wǎng)頁(yè)ANI掛馬漏洞更是讓人觸目驚心。利用該漏洞木馬程序只須偽裝成一個(gè)圖片嵌入到網(wǎng)頁(yè)中,然后通過(guò)論壇、QQ、MSN、郵件或RSS等方式網(wǎng)頁(yè)鏈接,誘使他人登錄該網(wǎng)頁(yè),一旦網(wǎng)頁(yè)被打開(kāi)電腦就會(huì)立即感染上木馬程序,讓人防不勝防。雖然目前微軟已經(jīng)及時(shí)了漏洞補(bǔ)丁程序(補(bǔ)丁號(hào):KB925902),可以阻止該漏洞的危害,但也給我們提了一個(gè)醒,面對(duì)從論壇、QQ和郵件發(fā)來(lái)的未知網(wǎng)頁(yè)鏈接一定要謹(jǐn)慎小心,切忌隨意打開(kāi)未知網(wǎng)頁(yè),否則就很容易成為網(wǎng)頁(yè)木馬的受害者。
對(duì)于需要查看的未知網(wǎng)頁(yè)鏈接,我們也可以提前使用專(zhuān)門(mén)的網(wǎng)頁(yè)安全檢測(cè)工具來(lái)檢測(cè),將網(wǎng)頁(yè)木馬完全阻止在進(jìn)入系統(tǒng)之前。登錄網(wǎng)址/wm/,可以看到該網(wǎng)站提供了“網(wǎng)頁(yè)安全檢測(cè)”和“安全瀏覽”兩個(gè)工具。“網(wǎng)頁(yè)安全檢測(cè)”工具具備流行漏洞快速響應(yīng)框架,可以幫助用戶快速檢測(cè)和防范各種網(wǎng)頁(yè)漏洞、木馬和惡意代碼等。點(diǎn)擊“網(wǎng)頁(yè)安全檢測(cè)”按鈕,提交你要檢測(cè)的未知網(wǎng)頁(yè)鏈接,點(diǎn)擊“安全檢測(cè)”按鈕后,網(wǎng)站會(huì)在后臺(tái)分析該網(wǎng)頁(yè)是否存在網(wǎng)頁(yè)木馬和惡意代碼等潛在危害,稍后就會(huì)給出檢測(cè)結(jié)果,如果提示安全就可以正常登錄該網(wǎng)頁(yè),反之就要避免打開(kāi)該網(wǎng)頁(yè)了。如果你必須登錄未知的網(wǎng)頁(yè),則可以使用“安全瀏覽”工具,提交網(wǎng)址后,網(wǎng)站會(huì)在后臺(tái)解析該網(wǎng)頁(yè),過(guò)濾和屏蔽掉該網(wǎng)頁(yè)中包含的木馬和惡意代碼等,稍后會(huì)返回一個(gè)干凈安全的網(wǎng)頁(yè),我們就可以安心瀏覽未知的網(wǎng)頁(yè)了。
UAC管理任我控制TweakUAC
王志軍
對(duì)于已經(jīng)用上了windows Vista的朋友來(lái)說(shuō),UAC(user Account Control,用戶賬戶控制)自然是一道繞不開(kāi)的坎,雖然UAC在一定程度上讓系統(tǒng)變得更安全,但時(shí)不時(shí)彈出需要輸入管理員密碼或進(jìn)行確認(rèn)的警示框,總是覺(jué)得心里有些別扭。
在這種情況下,很多朋友選擇了在“系統(tǒng)配置/工具”中禁用UAC,或者在命令提示符環(huán)境下執(zhí)行“netuser Administrator/Active:yes”以激活超級(jí)管理員的賬戶,但這顯然不是一個(gè)好辦法,其實(shí)此時(shí)我們可以借助TweakUAC這款小工具來(lái)完成對(duì)UAC的管理和控制,而且操作也很方便。
TweakUAC不需要安裝即可運(yùn)行,直接雙擊下載回來(lái)的.exe文件,此時(shí)會(huì)彈出一個(gè)對(duì)話框,提示閱讀用戶授權(quán)協(xié)議,再次單擊“確定”按鈕就可看見(jiàn)程序窗口了,這里提供了三個(gè)選項(xiàng):
Turn UAC off now:立即關(guān)閉UAC,重新啟動(dòng)系統(tǒng),以后Windows Vista將不會(huì)再顯示任何UAC的警示框。
switch UAC to the quiet mode:這個(gè)選項(xiàng)相當(dāng)于折衷的一種UAC模式,具有管理員權(quán)限的賬戶進(jìn)行系統(tǒng)級(jí)操作時(shí),將自動(dòng)獲得管理員憑據(jù)而不會(huì)再?gòu)棾鯱AC示框,不過(guò)如果是以標(biāo)準(zhǔn)賬戶操作時(shí),仍然會(huì)出現(xiàn)UAC警示框。
Leave UAC on:這個(gè)選項(xiàng)表示將使用Windows Vista默認(rèn)的UAC設(shè)置。
我們需要做的工作非常簡(jiǎn)單,在這里選擇一個(gè)需要的選項(xiàng),然后單擊右下角的“確定”按鈕即可生效,不過(guò)有時(shí)還需要重啟系統(tǒng)。需要再次調(diào)整時(shí),可以進(jìn)入TweakUAC,反正直接運(yùn)行就可以,應(yīng)該說(shuō)還是比較方便的。
關(guān)鍵詞:木馬程序;攻擊;防范
中圖分類(lèi)號(hào):TP393.08 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1674-7712 (2012) 16-0050-01
隨著信息技術(shù)的不斷普及和發(fā)展,人們?cè)絹?lái)越多的接觸到“木馬”這個(gè)詞語(yǔ)。木馬隱蔽性極強(qiáng),危害性極大,是現(xiàn)階段來(lái)說(shuō)攻擊計(jì)算機(jī)系統(tǒng)的最主要的手段。因?yàn)槟抉R程序所導(dǎo)致的計(jì)算機(jī)系統(tǒng)遭到破壞的情況日益增加,這對(duì)信息系統(tǒng)的保密以及安全帶來(lái)了極大的危害。尤其是最近幾年,利用木馬程序進(jìn)行犯罪的事情層出不窮,造成了巨大的財(cái)產(chǎn)和精神損失。
一、關(guān)于木馬程序的概述
木馬,在計(jì)算機(jī)領(lǐng)域內(nèi)是指隱藏在合法的程序中或者偽裝成合法的程序的惡意代碼。這些惡意代碼或者執(zhí)行惡意的行為或者非法的訪問(wèn)未經(jīng)授權(quán)的系統(tǒng)。木馬程序本身就具有控制通信、反清除、反檢測(cè)、隱蔽性高的特點(diǎn)。
常見(jiàn)的木馬程序分為兩個(gè)部分,控制端與被控制端。它的工作原理,是先在本地計(jì)算機(jī)也就是控制端上面配置而且生成木馬程序,然后通過(guò)隱含或者直接在其它可執(zhí)行程序中將木馬程序傳播到對(duì)方計(jì)算機(jī)也就是被控制端上。然后,通過(guò)對(duì)控制端的木馬程度的控制從而直接的控制被控制端上的木馬程序和運(yùn)行。再接著,控制端通過(guò)發(fā)送命令的方式,比如說(shuō)文件操作命令、鍵盤(pán)記錄命令、獲取敏感信息命令等等,來(lái)控制和感染被控制端的木馬程序接收、執(zhí)行這些指令,而且返回控制端以相關(guān)的信息和數(shù)據(jù)。
根據(jù)木馬對(duì)計(jì)算機(jī)的操作方式,可以分為:遠(yuǎn)程控制型,密碼發(fā)送型,鍵盤(pán)記錄型,毀壞型,F(xiàn)TP型和多媒體型。
按照木馬的進(jìn)行層次,可以分為內(nèi)核級(jí)木馬和應(yīng)用及木馬。內(nèi)核級(jí)木馬一般會(huì)運(yùn)行在計(jì)算機(jī)操作系統(tǒng)的內(nèi)核之中,采取驅(qū)動(dòng)程序的手段實(shí)現(xiàn)木馬的加載。這種木馬運(yùn)行在系統(tǒng)的內(nèi)核之中,隱蔽性相當(dāng)高而且查殺難度大。應(yīng)用級(jí)木馬相對(duì)來(lái)說(shuō)對(duì)系統(tǒng)的危害性較小。
二、木馬攻擊的手段和方式
(一)捆綁方式。捆綁方式指的是,把正常程序與木馬程序捆綁在一起使用,然后達(dá)到入侵與存活的目的。與木馬程序捆綁在一起的正常程序一旦被客戶下載、安裝和使用,木馬程序就會(huì)自動(dòng)的加載到電腦上。就算清除了木馬,只要運(yùn)行捆綁的正常程序,木馬就會(huì)重新載入電腦并且繼續(xù)存活下去。
(二)QQ和郵件的冒名欺騙。通過(guò)盜取他人的QQ,然后冒充主人給其他的好友木馬程序,致使其他好友運(yùn)行木馬程序,然后達(dá)到相應(yīng)的目的。郵件的冒名欺騙,指的是冒充單位、大型企業(yè)或者好友向他人發(fā)送木馬附件,一旦他們下載并且運(yùn)行木馬軟件就會(huì)造成木馬病毒。
(三)網(wǎng)頁(yè)木馬方式。網(wǎng)頁(yè)木馬是指在個(gè)人的就、空間網(wǎng)頁(yè)上進(jìn)行木馬捆綁,再利用各種誘惑致使對(duì)方鏈接網(wǎng)頁(yè),然后木馬病毒就會(huì)入侵到這臺(tái)電腦上。比如說(shuō),在網(wǎng)頁(yè)上面有flash的動(dòng)畫(huà),在網(wǎng)頁(yè)上呈現(xiàn)流行軟件和視頻的下載等等。
(四)偽裝成一般的普通軟件。偽裝成一般的普通軟件,這是最近才剛剛興起的一種木馬入侵方式。對(duì)于操作系統(tǒng)不是很熟悉的用戶,往往容易上當(dāng)受騙。他們把可執(zhí)行的文件偽裝成文本或者圖片,通過(guò)更改文件擴(kuò)展名的形式,誘騙用戶進(jìn)行點(diǎn)擊,這樣的方式隱蔽性相當(dāng)高。
三、關(guān)于木馬程序的防范措施
(一)及時(shí)的安裝木馬查殺軟件、防火墻和系統(tǒng)補(bǔ)丁。現(xiàn)階段,我國(guó)大部分的黑客是通過(guò)網(wǎng)上已有的系統(tǒng)漏洞和木馬程序?qū)τ脩舻挠?jì)算機(jī)進(jìn)行攻擊,并不是真正意義的黑客,所以說(shuō)安裝木馬克星、the cleaner等木馬的查殺軟件,同時(shí)安裝防火墻,比如說(shuō)“天網(wǎng)”個(gè)人版防火墻,“諾頓網(wǎng)絡(luò)安全特警”等等,這樣可以有效的對(duì)電腦運(yùn)行狀態(tài)進(jìn)行實(shí)施的監(jiān)控,而且要定期的對(duì)電腦進(jìn)行掃描,從而有效的防止木馬病毒的入侵。除此之外,及時(shí)的下載并安裝官方的系統(tǒng)補(bǔ)丁是非常有必要的。
(二)關(guān)閉各種不必要的端口以及隱藏IP。隱藏IP地址皆可以提高提高網(wǎng)絡(luò)訪問(wèn)的速度和范圍,又可以在上網(wǎng)操作的時(shí)候預(yù)防他人的入侵和攻擊。最常見(jiàn)的隱藏IP地址的方式有兩種:一是運(yùn)用“multi proxy”的軟件來(lái)進(jìn)行IP地址的隱藏,另一種是利用sockscap32和“qq公布器”進(jìn)行地址隱藏。
現(xiàn)階段,使用一些比較通用的黑客工具,對(duì)掃描端口進(jìn)行攻擊的方式最普遍,所以說(shuō),在我們進(jìn)行上網(wǎng)的時(shí)候,要關(guān)閉各種不必要的端口,也就是杜絕了病毒的入侵通道,這樣的方式比較的簡(jiǎn)單、有效。
(三)虛擬計(jì)算機(jī)的使用。在虛擬計(jì)算機(jī)的環(huán)境下,我們可以進(jìn)行安全性比較高的操作。比較常用的此類(lèi)軟件VM ware,virtual pc等等。主機(jī)要用windows系列的兼容性比較好的操作系統(tǒng)進(jìn)行日常的工作、辦公。
(四)對(duì)不必要的服務(wù)項(xiàng)進(jìn)行關(guān)閉。Windows操作系統(tǒng)為用戶提供了許多的服務(wù)來(lái)方便管理,但是在其中有很大一部分是用戶基本上不需要開(kāi)啟的。這樣的話,不僅擴(kuò)大了整個(gè)系統(tǒng)的開(kāi)銷(xiāo),而且大大增加了木馬入侵的機(jī)會(huì)和可能。因此,我們要經(jīng)常檢查我們的服務(wù)器管理,及時(shí)的對(duì)不必要的服務(wù)項(xiàng)進(jìn)行關(guān)閉。
(五)定期對(duì)電腦的啟動(dòng)項(xiàng)進(jìn)行檢查。一般來(lái)說(shuō),木馬程序都會(huì)在計(jì)算的啟動(dòng)項(xiàng)中進(jìn)行隱藏,所以,要定期的對(duì)自己的電腦進(jìn)行定期的檢查的及時(shí)的木馬清除。
四、結(jié)語(yǔ)
綜上所述,本文針對(duì)木馬程序的概念、分類(lèi)以及運(yùn)行原理和木馬攻擊的手段與方式進(jìn)行入手分析,然后分別從五個(gè)大的方面:及時(shí)的安裝木馬查殺軟件、防火墻和系統(tǒng)補(bǔ)丁;關(guān)閉各種不必要的端口以及隱藏IP;虛擬計(jì)算機(jī)的使用;對(duì)不必要的服務(wù)項(xiàng)進(jìn)行關(guān)閉;定期對(duì)電腦的啟動(dòng)項(xiàng)進(jìn)行檢查,詳細(xì)分析了木馬程序的防范措施。
參考文獻(xiàn):
[1]李斯.淺析木馬程序攻擊手段及防范技術(shù)[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2009,1.
[2]康治平.特洛伊木馬可生存性研究及攻防實(shí)踐[D].重慶大學(xué)軟件工程學(xué)院,2009,10.
關(guān)鍵詞:Android 安全問(wèn)題 入侵檢測(cè)系統(tǒng)
中圖分類(lèi)號(hào):TP39 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1672-3791(2012)06(c)-0030-02
隨著3G通信網(wǎng)絡(luò)的普及,智能手機(jī)市場(chǎng)份額大幅提升,其中Android智能手機(jī)占市場(chǎng)份額最大,獲得52.5%的市場(chǎng)占有率[1]。由于Android智能手機(jī)用戶數(shù)龐大、開(kāi)源性強(qiáng),用戶可自行安裝軟件、游戲等第三方服務(wù)商提供的程序,很多病毒攻擊者把矛頭指向了它,制造了大量Android木馬,這嚴(yán)重影響了Android智能手機(jī)用戶的日常使用。如何有效的預(yù)防智能手機(jī)平臺(tái)上的入侵攻擊已經(jīng)成為亟待解決的問(wèn)題。Iker Burguera、Urko Zurutuza等人提出了Behavior-Based Malware Detection System for Android[2],Amir Houmansadr、Saman A.Zonouz和Robin Berthier提出了一個(gè)基于云端服務(wù)器的Android智能手機(jī)入侵檢測(cè)及響應(yīng)系統(tǒng)[3]。Android智能手機(jī)平臺(tái)的入侵檢測(cè)系統(tǒng)能及時(shí)有效的檢測(cè)到入侵攻擊,為用戶提供一個(gè)安全的使用環(huán)境。
1 Android智能手機(jī)存在的安全隱患
2011年,Android木馬呈現(xiàn)爆發(fā)式增長(zhǎng),新增Android木馬樣本4722個(gè),被感染人數(shù)超過(guò)498萬(wàn)人次[1]。雖然Android平臺(tái)的開(kāi)源、開(kāi)放、免費(fèi)等特性為google帶來(lái)了大量的市場(chǎng)占有率,但是這也給消費(fèi)者帶來(lái)了不少安全隱患,成為新的移動(dòng)互聯(lián)網(wǎng)安全檢測(cè)主戰(zhàn)場(chǎng)[1]。Android智能手機(jī)存在如下幾點(diǎn)安全問(wèn)題。
(1)惡意扣費(fèi)。據(jù)360安全中心調(diào)查,78%的Android平臺(tái)手機(jī)木馬旨在悄悄吞噬用戶的手機(jī)話費(fèi)。“白卡吸費(fèi)磨”、“Android吸費(fèi)王”等都是使Android用戶聞之色變的惡意扣費(fèi)軟件。這些惡意扣費(fèi)軟件安裝后會(huì)私自發(fā)送短信定制費(fèi)用高昂的SP服務(wù),并自動(dòng)屏蔽以10086開(kāi)頭的全部短信,在用戶不知不覺(jué)的情況下偷偷消耗用戶話費(fèi)。
(2)竊取用戶隱私。除惡意扣費(fèi)外,Android平臺(tái)木馬的另一主要危害是竊取用戶隱私。比如震驚全球的“CIQ事件”、DDL“隱私大盜”木馬、“索馬里海盜”木馬及“X臥底”系列木馬等。它們瞄準(zhǔn)了手機(jī)通訊錄、照片、短信、設(shè)備信息等用戶隱私,將用戶的個(gè)人信息出賣(mài)給其他不合法商家,從中牟取暴利。
(3)垃圾短信。在用戶舉報(bào)的各類(lèi)垃圾短信中,主要是打折促銷(xiāo)、發(fā)票假證、地產(chǎn)中介、移民留學(xué)、金融理財(cái)?shù)葟V告服務(wù)類(lèi)短信,另外就是冒充親友欺詐、中獎(jiǎng)釣魚(yú)詐騙、虛假慈善捐款等惡意欺詐類(lèi)短信。
(4)系統(tǒng)破壞。有些病毒,如“Root破壞王”,可以自動(dòng)獲取手機(jī)Root權(quán)限,然后隨意修改添加文件,刪除系統(tǒng)應(yīng)用,私自下載惡意軟件,而且這一切都是隱蔽進(jìn)行的。
2 Android智能手機(jī)入侵檢測(cè)系統(tǒng)設(shè)計(jì)
傳統(tǒng)計(jì)算機(jī)上的入侵檢測(cè)系統(tǒng)定義為:一種通過(guò)收集和分析各種系統(tǒng)行為、安全日志、審計(jì)數(shù)據(jù)或網(wǎng)絡(luò)數(shù)據(jù)包,檢查系統(tǒng)中是否有未經(jīng)授權(quán)的進(jìn)入和有不良企圖的活動(dòng)等入侵攻擊,并及時(shí)予以響應(yīng),阻止可能的入侵行為,降低甚至避免入侵危害的積極進(jìn)程或設(shè)備。在當(dāng)下,智能手機(jī)與個(gè)人計(jì)算機(jī)越來(lái)越靠近,智能手機(jī)已經(jīng)基本具備了個(gè)人計(jì)算機(jī)所具有的功能,因此Android智能手機(jī)平臺(tái)上的入侵檢測(cè)系統(tǒng)與傳統(tǒng)計(jì)算機(jī)上的入侵檢測(cè)系統(tǒng)模型相似。如圖1所示,Android智能手機(jī)入侵檢測(cè)系統(tǒng)主要包括以下幾部分:數(shù)據(jù)采集模塊、數(shù)據(jù)分析引擎模塊、控制臺(tái)模塊、數(shù)據(jù)管理模塊,各部分功能如以下幾點(diǎn)。
(1)數(shù)據(jù)采集模塊。
數(shù)據(jù)采集模塊主要負(fù)責(zé)采集數(shù)據(jù),采集的數(shù)據(jù)包括任何可能包含入侵行為線索的系統(tǒng)數(shù)據(jù)。比如說(shuō)網(wǎng)絡(luò)數(shù)據(jù)包、用戶行為日志和系統(tǒng)調(diào)用記錄等。其將這些數(shù)據(jù)收集起來(lái),然后發(fā)送到數(shù)據(jù)分析模塊進(jìn)行處理[4]。
由于Android平臺(tái)手機(jī)上的安全問(wèn)題大部分是通過(guò)網(wǎng)絡(luò)引發(fā)的(比如通過(guò)用戶點(diǎn)擊鏈接而偷偷定制SP服務(wù)、惡意軟件私自發(fā)送短信定制SP服務(wù)、竊取用戶隱私上傳到特定服務(wù)器等),所以在此處我們只采集進(jìn)出手機(jī)的所有網(wǎng)絡(luò)數(shù)據(jù)包。此模塊主要基于開(kāi)源的libpcap包。
(2)數(shù)據(jù)分析引擎。
收集到的所有數(shù)據(jù)被送到數(shù)據(jù)分析引擎,分析引擎一般通過(guò)三種技術(shù)手段進(jìn)行分析:模式匹配、統(tǒng)計(jì)分析和完整性分析[5]。
在本系統(tǒng)設(shè)計(jì)初期,我們根據(jù)Android平臺(tái)手機(jī)上惡意軟件攻擊行為的特征羅列出一定數(shù)量的規(guī)則組成規(guī)則集,然后在此規(guī)則集的基礎(chǔ)上建立分析引擎的核心——有限自動(dòng)機(jī)。考慮到這樣一來(lái)入侵檢測(cè)范圍很大程度受到已有知識(shí)的局限,無(wú)法檢測(cè)出未知的攻擊手段[6],在系統(tǒng)設(shè)計(jì)后期,我們會(huì)通過(guò)機(jī)器學(xué)習(xí)的方法來(lái)動(dòng)態(tài)建立自動(dòng)機(jī),這樣就能動(dòng)態(tài)的檢測(cè)到所有的入侵攻擊。
分析引擎將發(fā)送過(guò)來(lái)的數(shù)據(jù)與自動(dòng)機(jī)進(jìn)行匹配,即與規(guī)則集中的各種規(guī)則進(jìn)行比較與分析,以判斷是否有入侵事件發(fā)生。如果數(shù)據(jù)與自動(dòng)機(jī)匹配成功,就意味著檢測(cè)到一個(gè)入侵攻擊,此時(shí)分析引擎會(huì)給控制臺(tái)發(fā)送一個(gè)檢測(cè)到入侵攻擊的消息,同時(shí)把此網(wǎng)絡(luò)數(shù)據(jù)包發(fā)送給數(shù)據(jù)管理模塊。
(3)控制臺(tái)模塊。
控制臺(tái)模塊按照警告產(chǎn)生預(yù)先定義的響應(yīng)采取相應(yīng)的措施,可以是重新配置網(wǎng)絡(luò)防火墻、終止進(jìn)程、切斷連接、改變文件屬性,也可以只是簡(jiǎn)單的警告[5]。當(dāng)發(fā)現(xiàn)入侵攻擊時(shí),本系統(tǒng)會(huì)向用戶產(chǎn)生一個(gè)警告,告知用戶是哪個(gè)應(yīng)用程序隱含安全隱患,用戶可根據(jù)這個(gè)警告采取相應(yīng)的措施。
(4)數(shù)據(jù)管理模塊。
一個(gè)好的入侵檢測(cè)系統(tǒng)不僅僅應(yīng)當(dāng)為管理員提供實(shí)時(shí)、豐富的警報(bào)信息,還應(yīng)詳細(xì)地記錄現(xiàn)場(chǎng)數(shù)據(jù),以便于日后需要取證時(shí)重建某些網(wǎng)絡(luò)事件[5]。
當(dāng)檢測(cè)到入侵攻擊時(shí),本系統(tǒng)會(huì)把相應(yīng)的數(shù)據(jù)存儲(chǔ)到指定數(shù)據(jù)庫(kù),以供用戶日后查證。數(shù)據(jù)庫(kù)采用Android平臺(tái)內(nèi)置的sqlite3輕量級(jí)數(shù)據(jù)庫(kù)實(shí)現(xiàn)。由于Android系統(tǒng)存儲(chǔ)空間有限,當(dāng)數(shù)據(jù)量到達(dá)一定大小時(shí),可以轉(zhuǎn)儲(chǔ)到pc機(jī)上或者定時(shí)清理。
3 結(jié)語(yǔ)
計(jì)算機(jī)上的入侵檢測(cè)系統(tǒng)研究一直都是網(wǎng)絡(luò)安全領(lǐng)域的研究熱點(diǎn),并且也有了一定的研究成果。隨著智能手機(jī)安全問(wèn)題日趨嚴(yán)重,智能手機(jī)上的入侵檢測(cè)系統(tǒng)也將成為全球性的課題。Android智能手機(jī)入侵檢測(cè)系統(tǒng)能及時(shí)有效的檢測(cè)到入侵攻擊,保障用戶的安全使用。
參考文獻(xiàn)
[1] 360安全中心2011年中國(guó)手機(jī)安全狀況報(bào)告.
[2] Iker Burguera,Urko Zurutuza,Simin Nadjm-Tehrani.Crowdroid:Behavior-Based Malware Detection System for Android[J].18th ACM Conference on Computer and Communications Security.
[3] Amir Houmansadr,Saman A.Zonouz,Robin Berthier.A Cloud-based Intrusion Detection and Response System for Mobile Phones[J].2011 IEEE/IFIP 41st International Conference on Dependable System and Networks.
[4] 唐正軍,李建華.入侵檢測(cè)技術(shù)[M].北京:清華大學(xué)出版社,2004.
形成原理
《卡巴斯基》為了防止盜版,采用了實(shí)時(shí)檢測(cè)Windows系統(tǒng)日期的方法來(lái)判斷是否超過(guò)授權(quán)的使用期限。如果檢測(cè)到已經(jīng)超出,《卡巴斯基》就會(huì)關(guān)閉所有的實(shí)時(shí)監(jiān)控,托盤(pán)上的圖標(biāo)也會(huì)變成灰色。這時(shí)無(wú)法再進(jìn)行病毒掃描等操作,須要輸入新的序列號(hào)或者添加新的授權(quán)文件才可以恢復(fù)正常使用。
利用這一特性,調(diào)整系統(tǒng)時(shí)間后就能繞過(guò)《卡巴斯基》的實(shí)時(shí)監(jiān)控,避開(kāi)它的主動(dòng)防御功能。下面我們就通過(guò)實(shí)際操作,來(lái)感受《卡巴斯基》脆弱的一面,準(zhǔn)備一個(gè)木馬程序,再對(duì)它進(jìn)行一番改造,讓它能夠繞過(guò)《卡巴斯基》的主動(dòng)防御檢測(cè)。
改造木馬
首先用WinRAR壓縮木馬程序,雙擊生成的RAR文件,點(diǎn)擊工具欄上的“自解壓格式”圖標(biāo)。在彈出的對(duì)話框中點(diǎn)擊“高級(jí)自解壓選項(xiàng)”按鈕,在彈出的“高級(jí)自解壓選項(xiàng)”窗口中填入自解壓路徑,注意這個(gè)解壓路徑要和后面代碼中的路徑一致,這里我們?cè)O(shè)置為“C:\”。
點(diǎn)擊“模式”選項(xiàng)標(biāo)簽,選中“全部隱藏”和“覆蓋所有文件”這兩個(gè)選項(xiàng),最后點(diǎn)擊“確定”按鈕將壓縮包轉(zhuǎn)換成為一個(gè)自解壓文件。
設(shè)置腳本文件
這個(gè)腳本文件的作用是先獲取Windows系統(tǒng)當(dāng)前的時(shí)間,接著將它修改成設(shè)置好的時(shí)間,讓木馬程序延遲一段時(shí)間再運(yùn)行,最后再恢復(fù)系統(tǒng)的正常時(shí)間。將圖中的代碼保存下來(lái),保存為一個(gè)VBS格式的腳本文件。
文件捆綁
現(xiàn)在我們通過(guò)文件捆綁器對(duì)木馬的自解壓文件和腳本文件進(jìn)行捆綁,我采用的是一款多文件捆綁工具《萬(wàn)能文件捆綁器》。
點(diǎn)擊“添加文件”按鈕首先添加自解壓文件,再點(diǎn)擊“添加文件”按鈕添加腳本文件,這樣設(shè)置可以讓自解壓文件先運(yùn)行。如果有必要的話,還可以在下面的圖標(biāo)窗口選擇需要的文件圖標(biāo),最后點(diǎn)擊“捆綁文件”按鈕即可。
通過(guò)前面的一系列操作,生成的木馬程序就可以繞過(guò)《卡巴斯基》的實(shí)時(shí)監(jiān)控。這個(gè)過(guò)程還是比較麻煩,有人將這些操作進(jìn)行組合,通過(guò)一個(gè)程序即可實(shí)現(xiàn)。也有一些木馬程序,比如黑洞、熊寶寶、Evilotus等,生成的服務(wù)端程序可以自動(dòng)地繞過(guò)《卡巴斯基》的監(jiān)控。
防范方法
瑞星2009擁有三大攔截、兩大防御功能:木馬入侵?jǐn)r截(網(wǎng)站攔截+U盤(pán)攔截)、惡意網(wǎng)址攔截、網(wǎng)絡(luò)攻擊攔截;木馬行為防御、出站攻擊防御。這五大功能都是針對(duì)目前肆虐的惡性木馬病毒設(shè)計(jì),可以從多個(gè)環(huán)節(jié)狙擊木馬的入侵,保護(hù)用戶安全。
通過(guò)對(duì)“云安全”系統(tǒng)獲取數(shù)據(jù)的深入分析,瑞星研發(fā)團(tuán)隊(duì)對(duì)“智能主動(dòng)防御”功能進(jìn)行了多項(xiàng)重大改進(jìn),對(duì)“遠(yuǎn)程使用攝像頭”、“修改系統(tǒng)日期及時(shí)間”、“底層磁盤(pán)訪問(wèn)”等常見(jiàn)惡意行為進(jìn)行監(jiān)控,徹底杜絕黑客利用遠(yuǎn)程攝像頭進(jìn)行偷窺,更好地保護(hù)用戶隱私。
基于“云安全”策略的新一代互聯(lián)網(wǎng)安全軟件
瑞星云安全:通過(guò)互聯(lián)網(wǎng),將全球瑞星用戶的電腦和瑞星“云安全”平臺(tái)實(shí)時(shí)聯(lián)系。組成覆蓋互聯(lián)網(wǎng)的木馬、惡意網(wǎng)址監(jiān)測(cè)網(wǎng)絡(luò),能夠在最短時(shí)間內(nèi)發(fā)現(xiàn)、截獲、處理海量的最新木馬病毒和惡意網(wǎng)址,并將解決方案瞬時(shí)送達(dá)所有用戶,提前防范各種新生網(wǎng)絡(luò)威脅。每一位“瑞星全功能安全軟件2009”的用戶,都可以共享上億瑞星用戶的“云安全”成果。
三大攔截
1.木馬入侵?jǐn)r截 U盤(pán)攔截:通過(guò)對(duì)木馬行為的智能分析,阻擋U盤(pán)病毒運(yùn)行。
通過(guò)對(duì)木馬病毒傳播行為的分析,阻止其通過(guò)U盤(pán)、移動(dòng)硬盤(pán)入侵用戶電腦,阻斷其利用存儲(chǔ)介質(zhì)傳播的通道。U盤(pán)攔截取代了原來(lái)的U盤(pán)監(jiān)控,控制范圍更廣,能夠更好地控制執(zhí)行區(qū)域。當(dāng)U盤(pán)攔截范圍內(nèi)的程序試圖自動(dòng)運(yùn)行或直接運(yùn)行的時(shí)候,進(jìn)行攔截。并提示用戶。
網(wǎng)站攔截:利用分析網(wǎng)頁(yè)腳本的行為特征,阻擋網(wǎng)頁(yè)掛馬。
目前,有90%以上的病毒通過(guò)網(wǎng)頁(yè)掛馬傳播,瑞星2009特別加入了以“網(wǎng)頁(yè)腳本行為特征”為分析基礎(chǔ)的網(wǎng)站攔截技術(shù)。它可以分析所有加密、變形的網(wǎng)頁(yè)腳本,直接探測(cè)這些腳本的惡意特征,從而比原有的特征碼攔截效果更好。同時(shí),用戶可以根據(jù)自己需求,設(shè)置獨(dú)特的行為檢測(cè)范圍,使網(wǎng)站攔截可以最大限度地保護(hù)系統(tǒng)。
網(wǎng)站攔截突破了原來(lái)網(wǎng)頁(yè)腳本掃描只能通過(guò)特征進(jìn)行查殺的技術(shù)壁壘。解決了原網(wǎng)頁(yè)腳本監(jiān)控?zé)o法對(duì)加密變形的病毒腳本進(jìn)行處理的問(wèn)題。由于采用的是行為檢測(cè)查殺,對(duì)于網(wǎng)頁(yè)掛馬一類(lèi)的木馬有很好的防御和處理能力。此功能是支持瑞星“云安全”計(jì)劃的主要技術(shù)之一。
2.網(wǎng)絡(luò)攻擊攔截:將網(wǎng)絡(luò)中存在危險(xiǎn)的攻擊數(shù)據(jù)包攔截在電腦之外。
入侵檢測(cè)規(guī)則庫(kù)每日隨時(shí)更新,攔截來(lái)自互聯(lián)網(wǎng)的黑客、病毒攻擊,包括木馬攻擊、后門(mén)攻擊、遠(yuǎn)程溢出攻擊、瀏覽器攻擊、僵尸網(wǎng)絡(luò)攻擊等。網(wǎng)絡(luò)攻擊攔截作為一種積極主動(dòng)的安全防護(hù)技術(shù),在系統(tǒng)受到危害之前攔截入侵,在不影響網(wǎng)絡(luò)性能的情況下能對(duì)網(wǎng)絡(luò)進(jìn)行監(jiān)測(cè)。
網(wǎng)絡(luò)攻擊攔截也是網(wǎng)絡(luò)監(jiān)控的一項(xiàng)基本功能,能夠防止黑客/病毒利用本地系統(tǒng)或程序的漏洞,對(duì)本地電腦進(jìn)行控制。通過(guò)使用此功能,可以最大限度地避免因?yàn)橄到y(tǒng)漏洞等問(wèn)題而遭受黑客/病毒的入侵攻擊。
一旦網(wǎng)絡(luò)監(jiān)控檢測(cè)到黑客/病毒入侵,如2003蠕蟲(chóng)王攻擊,則會(huì)攔截入侵攻擊并提示相關(guān)信息。
3.惡意網(wǎng)址攔截:依據(jù)瑞星“云安全”成果,對(duì)惡意網(wǎng)址進(jìn)行屏蔽。
依托瑞星“云安全”計(jì)劃,每日隨時(shí)更新惡意網(wǎng)址庫(kù),阻斷網(wǎng)頁(yè)木馬、釣魚(yú)網(wǎng)站等對(duì)電腦的侵害。用戶可以通過(guò)這個(gè)功能屏蔽不適合青少年瀏覽的網(wǎng)站,給孩子創(chuàng)建一個(gè)綠色健康的上網(wǎng)環(huán)境。因?yàn)榫W(wǎng)址過(guò)濾下包含了[網(wǎng)站黑名單]與[網(wǎng)站白名單]。用戶可以把可疑或不適合瀏覽的網(wǎng)絡(luò)地址設(shè)置到[網(wǎng)站黑名單]中,把信任的網(wǎng)絡(luò)地址設(shè)置到[網(wǎng)站白名單]中。此外,惡意網(wǎng)址攔截功能也可針對(duì)具體的端口號(hào)、以及可疑程序進(jìn)行監(jiān)控。
兩大防御
1.木馬行為防御
通過(guò)基于行為分析的內(nèi)置規(guī)則和用戶自定義規(guī)則,對(duì)木馬破壞系統(tǒng)的動(dòng)作進(jìn)行攔截。
通過(guò)對(duì)木馬等病毒的行為分析,智能監(jiān)控未知木馬等病毒,搶先阻止其偷竊和破壞行為。此部分分為瑞星內(nèi)置規(guī)則和用戶自定義規(guī)則。內(nèi)置規(guī)則是瑞星多年反病毒經(jīng)驗(yàn)的匯總,而用戶自定義規(guī)則是根據(jù)不同用戶的需求和實(shí)際情況而自行編輯的。用戶可以將自己編輯的規(guī)則上傳給瑞星,如果該規(guī)則應(yīng)用范圍較廣,瑞星可將用戶自定義規(guī)則升級(jí)為瑞星內(nèi)置規(guī)則。
2.出站攻擊防御
阻止電腦被黑客操縱,變?yōu)楣艋ヂ?lián)網(wǎng)的“肉雞”,保護(hù)帶寬和系統(tǒng)資源不被惡意占用,避免成為“僵尸網(wǎng)絡(luò)”成員。使用“出站攻擊防御”功能,可以對(duì)本地與外部連接所收發(fā)的SYN、ICMP、UDP報(bào)文進(jìn)行檢測(cè)。
智能主動(dòng)防御的改進(jìn)
在瑞星2009中,“智能主動(dòng)防御”更開(kāi)放、更智能、更靈活。尤其是其中的“系統(tǒng)加固”和“應(yīng)用程序控制”,可以加固系統(tǒng)的脆弱點(diǎn),抵御惡意程序的侵害。尤其是針對(duì)“攝像頭控制”、“病毒安裝驅(qū)動(dòng)”的流行入侵行為進(jìn)行了防御,可以更好保護(hù)用戶安全。
系統(tǒng)加固:針對(duì)惡意程序容易利用的操作系統(tǒng)脆弱點(diǎn)進(jìn)行監(jiān)控、加固,以抵御惡意程序?qū)ο到y(tǒng)的侵害。系統(tǒng)加固對(duì)系統(tǒng)動(dòng)作、注冊(cè)表、關(guān)鍵進(jìn)程和系統(tǒng)文件進(jìn)行監(jiān)控,防止惡意程序?qū)Σ僮飨到y(tǒng)進(jìn)行修改系統(tǒng)進(jìn)程、操作注冊(cè)表、破壞關(guān)鍵進(jìn)程和系統(tǒng)文件等危險(xiǎn)行為。
文件壓縮的安全性
自己的東西放在網(wǎng)盤(pán)中擔(dān)心不安全,怎么辦?加密壓縮!壓縮過(guò)程中是否可以加密,是衡量壓縮軟件的一個(gè)實(shí)用指標(biāo)。
壓縮軟件首先要能對(duì)文件的內(nèi)容進(jìn)行加密,360壓縮、好壓、WinRAR均提供了加密碼壓縮的功能。此外,若對(duì)壓縮包中的文件名信息也能加密,使其在打開(kāi)之后連文件名也無(wú)法顯示,則更能起到保密作用。好壓僅支持7Z格式文件名加密,360壓縮不支持ZIP格式的文件名加密(圖1),而WinRAR 5不僅支持RAR、RAR5、ZIP格式的加密壓縮,還支持RAR兩種格式的文件名加密。
網(wǎng)上下載的壓縮包擔(dān)心不安全,怎么辦?解包后再找勞駕殺毒軟件嗎?那樣可能會(huì)為時(shí)已晚!如果壓縮軟件帶有安全檢測(cè)功能,能自動(dòng)檢測(cè)甚至預(yù)測(cè)壓縮包的安全性,則更加方便。因此,對(duì)壓縮包的安全檢測(cè)便成了衡量壓縮軟件的又一個(gè)指標(biāo)。
360壓縮提供“打開(kāi)壓縮文件時(shí)進(jìn)行360木馬掃描”選項(xiàng),同時(shí)可以設(shè)定文件容量為多大時(shí)進(jìn)行木馬掃描(圖2)。用360壓縮打開(kāi)一個(gè)壓縮包后,會(huì)自動(dòng)對(duì)壓縮包內(nèi)的文件進(jìn)行云木馬檢測(cè),保證使用安全。經(jīng)過(guò)云木馬檢測(cè)后,360壓縮會(huì)對(duì)壓縮包內(nèi)不同類(lèi)型的文件進(jìn)行安全評(píng)級(jí),有效識(shí)別木馬、腳本、普通文件、風(fēng)險(xiǎn)文件,并在界面右上角會(huì)有相應(yīng)的圖片提示。需要說(shuō)明的是:在安全級(jí)別為木馬的文件上雙擊文件會(huì)彈出阻止點(diǎn)擊對(duì)話框,有效防止誤雙擊打開(kāi)木馬,更安全。針對(duì)木馬、風(fēng)險(xiǎn)級(jí)別的文件會(huì)有彈出窗口進(jìn)行警示。
好壓在安全方面則提供更多的選擇,可以設(shè)置選擇“強(qiáng)力雙核云查殺”、“QQ管家云查殺”、“360云查殺”三種云查殺引擎模塊(圖3)。
WinRAR軟件本身沒(méi)有自帶安全檢測(cè)模塊,但有一個(gè)提示選擇外部病毒掃描軟件的選項(xiàng)(圖4)。
壓縮管理的方便性
把屬于不同人的資料一次壓縮到不同的文件中,或者把屬于不同人的壓縮包解壓到不同人的文件夾中。成批文件在壓縮時(shí)是否能按不同意愿生成不同類(lèi)型的壓縮包,成批壓縮包在解壓時(shí)能否按用戶的意愿來(lái)生成不同結(jié)果的文件存儲(chǔ)結(jié)構(gòu)。這些又是衡量壓縮軟件的一個(gè)實(shí)用指標(biāo)。
360壓縮和好壓能壓縮每一個(gè)文件到單獨(dú)的壓縮包中,例如可實(shí)現(xiàn)分別給不同客戶的資料一次性壓縮完成。而三款軟件都可以將成批壓縮包分別解壓到獨(dú)自的文件夾中(圖5),這樣做的好處是,可以避免同名內(nèi)容的覆蓋。例如幾個(gè)產(chǎn)品的壓縮包中,均有一個(gè)“說(shuō)明.PDF”文件,如果統(tǒng)統(tǒng)解壓到本目錄中,則以“說(shuō)明.PDF”為名的文件,前一產(chǎn)品的說(shuō)明會(huì)被后一產(chǎn)品的覆蓋掉。因此,有必要將每個(gè)產(chǎn)品的資料分別解壓到一個(gè)單獨(dú)的文件夾中存放。
此外,WinRAR在定義不同類(lèi)別的文件壓縮和解壓過(guò)濾方面有更加詳細(xì)的設(shè)置可供用戶選擇,還可以定制較為復(fù)雜的自動(dòng)安裝文件。好壓次之,360壓縮在這方面的選擇最少。
壓縮過(guò)程的智能高效性
壓縮的主要目的是縮小文件體積、減少文件個(gè)數(shù)。但壓縮也需要效率,越快越好。對(duì)于文件中摻雜有壓縮率很低的資料,如何繞過(guò)壓縮這一關(guān)實(shí)現(xiàn)高效打包呢?不同于普通的TXT文檔或其他常用文檔格式,有的文件已經(jīng)是經(jīng)過(guò)壓縮的格式(如一些壓縮視頻),若再用壓縮軟件來(lái)壓縮,很費(fèi)時(shí)間,但最后得到的壓縮文件與源文件大小差別不大。因此,我們需要尋求高效的壓縮方法。
在360壓縮中,有一個(gè)選項(xiàng)“對(duì)壓縮率很低的文件直接存儲(chǔ)”,如果在處理一些已經(jīng)經(jīng)過(guò)壓縮的文件的壓縮項(xiàng)目時(shí),選中這個(gè)選項(xiàng),則可以大大提高壓縮效率,節(jié)省壓縮所需時(shí)間。雖然三種壓縮軟件都有選擇“存儲(chǔ)”壓縮方式和其他幾種壓縮方式的選項(xiàng),但這些都需要人為選擇,不夠智能化。相比之下,360壓縮這方面做得最好。
文件格式的通用性
選用壓縮軟件生成壓縮文件包,我們不能不考慮壓縮格式的通用性。如果生成的壓縮文件格式使用不很方便,這樣的工具肯定不是最受歡迎的。
1.計(jì)算機(jī)病毒綜述
計(jì)算機(jī)病毒是一種人為制造的,專(zhuān)門(mén)用來(lái)破壞或者攻擊計(jì)算機(jī)軟件系統(tǒng),并復(fù)制本身傳染其他應(yīng)用程序的代碼,隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的逐漸發(fā)展和應(yīng)用,計(jì)算機(jī)病毒已經(jīng)成為信息系統(tǒng)安全的主要威脅之一。計(jì)算機(jī)病毒能夠像生物病毒一樣進(jìn)行繁殖,在程序正常運(yùn)行的時(shí)候,能夠進(jìn)行運(yùn)行自身復(fù)制,也就是說(shuō)計(jì)算機(jī)病毒具有繁殖性,再有計(jì)算機(jī)病毒具有傳染性,一旦病毒被復(fù)制或者是產(chǎn)生變種,那么它的傳播速度是很難預(yù)防的,傳染性是計(jì)算機(jī)病毒基本的特征。此外計(jì)算機(jī)病毒還具有潛伏性,這跟定時(shí)炸彈是差不多的,在之前設(shè)計(jì)好病毒爆發(fā)的時(shí)間,給人以措手不及,還具有隱蔽性、破壞性等特性。計(jì)算機(jī)病毒大致上被分為宏病毒、木馬病毒、黑客工具、腳本病毒等種類(lèi),下面我們將對(duì)這些病毒進(jìn)行系統(tǒng)的分析。第一,宏病毒,這是腳本病毒中的一種,但是由于其特性故將其分為一類(lèi),宏病毒的前綴是Macro,第二前綴是Word、Excel等,較為著名的宏病毒有著名的美麗莎。第二,腳本病毒,腳本病毒的前綴是Script,腳本病毒的共有特性是使用腳本語(yǔ)言編寫(xiě)的,借助網(wǎng)頁(yè)進(jìn)行傳播的病毒。第三,木馬病毒和黑客病毒,木馬病毒的前綴Trojan,木馬病毒是通過(guò)網(wǎng)絡(luò)或者是系統(tǒng)漏洞進(jìn)入用戶的系統(tǒng)并隱藏的,并向外界泄露用戶信息的病毒,它和黑客病毒,前綴Hack一般都是成對(duì)出現(xiàn)的,木馬病毒負(fù)責(zé)入侵電腦,而黑客病毒通過(guò)木馬病毒進(jìn)行控制,共同散播用戶的信息。計(jì)算機(jī)病毒除了上述的幾種還有較多的種類(lèi),而隨著計(jì)算機(jī)病毒的不斷入侵,加大對(duì)計(jì)算機(jī)病毒檢測(cè)就成為防止計(jì)算機(jī)病毒入侵的有效措施。
2.計(jì)算機(jī)病毒檢測(cè)技術(shù)探究
計(jì)算機(jī)病毒檢測(cè)技術(shù)的種類(lèi)比較多,比如智能廣譜掃描技術(shù)、虛擬機(jī)技術(shù)、特征碼過(guò)濾技術(shù)以及啟發(fā)掃描技術(shù),其征碼過(guò)濾技術(shù)在近些年的計(jì)算機(jī)病毒查殺過(guò)程中經(jīng)常使用,并且這一技術(shù)也是目前的主流病毒檢測(cè)技術(shù),我們將對(duì)這些計(jì)算機(jī)病毒檢測(cè)技術(shù)進(jìn)行系統(tǒng)的探究,全面提高計(jì)算機(jī)病毒檢測(cè)技術(shù)。
第一,智能廣譜掃描技術(shù)。這一技術(shù)是為了躲避殺毒軟件的查殺,通過(guò)對(duì)非連續(xù)性和轉(zhuǎn)變性較大的病毒的所有字節(jié)進(jìn)行分析,并且進(jìn)行整合的一種高變種的病毒,被稱(chēng)為智能廣譜掃描技術(shù),這一技術(shù)是按照目前病毒的類(lèi)型和形式的千變?nèi)f化的情況研發(fā)而出的。由于傳統(tǒng)的病毒在目前一些殺毒軟件中都有一定的資料,檢測(cè)技術(shù)也就相對(duì)比較簡(jiǎn)單,那么為了使用殺毒軟件找出病毒,必須要對(duì)計(jì)算機(jī)病毒檢測(cè)技術(shù)進(jìn)行改革,智能廣譜掃描技術(shù)能夠?qū)Σ《镜拿恳粋€(gè)字節(jié)進(jìn)行分析,在發(fā)現(xiàn)程序代碼中的字節(jié)出現(xiàn)相同或者是相近的兩個(gè)病毒編碼就可以確定其為病毒。這一技術(shù)的優(yōu)點(diǎn)有準(zhǔn)確性高,查找病毒速度快等優(yōu)點(diǎn),但是需要收集較多的信息,針對(duì)于新的病毒并沒(méi)有殺毒功能,主要是針對(duì)已經(jīng)存在的病毒進(jìn)行殺毒。第二,虛擬機(jī)技術(shù)。虛擬機(jī)技術(shù)也就是用軟件先虛擬一套運(yùn)行環(huán)境,讓病毒在虛擬的環(huán)境中進(jìn)行,以此來(lái)分析病毒的執(zhí)行行為,并且由于加密的病毒在執(zhí)行的時(shí)候需要解密,那么就可以在解密之后通過(guò)特征碼來(lái)查殺病毒,在虛擬的環(huán)境中病毒的運(yùn)行情況都被監(jiān)控,那么在實(shí)際的環(huán)境中就可以有效的檢測(cè)出計(jì)算機(jī)病毒。虛擬機(jī)技術(shù)主要針對(duì)的是一些新生代的木馬、蠕蟲(chóng)病毒等,這一技術(shù)具有提前預(yù)知性,識(shí)別速度較快等優(yōu)點(diǎn)。第三,特征碼過(guò)濾技術(shù)。在病毒樣本中選擇特征碼,特征碼在一般情況下選得較長(zhǎng),甚至可以達(dá)到數(shù)十字節(jié),通過(guò)特征碼對(duì)各個(gè)文件進(jìn)行掃描,在發(fā)現(xiàn)這一特征碼的時(shí)候就說(shuō)明該文件感染了病毒。一般在選擇特征碼的時(shí)候可以根據(jù)病毒程序的長(zhǎng)度將文件分成幾份,這能夠有效的避免采用單一特征碼誤報(bào)病毒現(xiàn)象的發(fā)生,此外在選擇特征碼的時(shí)候要避免選出的信息是通用信息,應(yīng)該具有一定的特征,還要避免選取出來(lái)的信息都是零字節(jié)的,最后需要將選取出來(lái)的幾段特征碼,以及特征碼的偏移量存入病毒庫(kù),再表示出病毒的名稱(chēng)也就可以。特征碼過(guò)濾技術(shù)具有檢測(cè)準(zhǔn)確快速,誤報(bào)警率低,可識(shí)別病毒名稱(chēng)等優(yōu)點(diǎn),但是它也存在著一些缺點(diǎn),例如:速度慢,不能夠?qū)Ω峨[蔽性的病毒等,主要是針對(duì)已知病毒進(jìn)行分析和記憶貯存。第四,啟發(fā)掃描技術(shù)。
由于新的病毒的不斷出現(xiàn),傳統(tǒng)的特征碼查殺病毒很難查出新的病毒,那么為了能夠更好的檢測(cè)病毒的相關(guān)代碼,研發(fā)了啟發(fā)式掃描技術(shù),啟發(fā)掃描技術(shù)不能夠?qū)σ恍┠@鈨煽傻牟《具M(jìn)行準(zhǔn)確的分析,容易出現(xiàn)誤報(bào),但是這一技術(shù)能夠在發(fā)現(xiàn)病毒的時(shí)候及時(shí)的提示用戶停止運(yùn)行程序。這一技術(shù)是通過(guò)分析指令出現(xiàn)的順序,或者是特定的組合情況等一些常見(jiàn)的病毒來(lái)判斷文件是否感染了病毒。由于病毒需要對(duì)程序進(jìn)行感染破壞,那么在進(jìn)行病毒感染的時(shí)候都會(huì)有一定的特征,可以通過(guò)掃描特定的行為或者是多種行為的組合來(lái)判斷程序是否是病毒,我們可以根據(jù)病毒與其他程序的不同之處進(jìn)行分析,來(lái)判斷病毒是否存在,這一技術(shù)主要是針對(duì)熊貓燒香病毒等。此外還有主動(dòng)防御技術(shù),雖然這一技術(shù)是近些年才出現(xiàn)的新技術(shù),但是它同樣能夠?qū)共《镜耐{,在目前依靠特征碼技術(shù)已經(jīng)很難適應(yīng)反病毒的需求,而主動(dòng)防御技術(shù)就是全程監(jiān)視病毒的行為,一旦發(fā)現(xiàn)出現(xiàn)異常情況,就通知用戶或者是直接將程序的進(jìn)行結(jié)束。利用這些計(jì)算機(jī)反病毒技術(shù)能夠有效的防止病毒入侵計(jì)算機(jī),給用戶一個(gè)較好的使用環(huán)境。這一技術(shù)會(huì)主動(dòng)出現(xiàn)造成誤差,并且難以檢測(cè)出行為正常技術(shù)較高的病毒,它能夠在病毒出現(xiàn)后及時(shí)的提醒用戶,主要針對(duì)的是global.exe病毒等。
3.結(jié)語(yǔ)
綜上所述,計(jì)算機(jī)病毒的種類(lèi)較多,有木馬病毒、黑客病毒、宏病毒等,這些病毒的出現(xiàn)直接危害了計(jì)算機(jī)的安全使用,并且暴露了用戶的相關(guān)信息,所以必須要加強(qiáng)對(duì)計(jì)算機(jī)病毒檢測(cè)技術(shù)的研究,比如現(xiàn)行的虛擬機(jī)技術(shù)、智能廣譜掃描技術(shù)以及特征碼過(guò)濾技術(shù)等,合理的利用這些技術(shù)能夠有效的減少計(jì)算機(jī)受到病毒的危害,全面保證用戶使用計(jì)算機(jī)的安全。
作者:任艷艷 單位:陜西省天然氣股份有限公司
1.1來(lái)自惡意程序的威脅
該類(lèi)程序主要有計(jì)算機(jī)病毒、木馬,通過(guò)網(wǎng)絡(luò)及可移動(dòng)介質(zhì)進(jìn)行傳播.由于網(wǎng)絡(luò)應(yīng)用的普及,社區(qū)軟件應(yīng)用的流行為其傳播提供了有效的途徑,人們?cè)诮邮沼行畔⒌耐瑫r(shí)也可能接收到惡意程序而被“掛馬”或感染病毒,導(dǎo)致計(jì)算機(jī)中的信息遭到破壞或被竊取.人為點(diǎn)擊錯(cuò)誤的鏈接導(dǎo)致打開(kāi)下載未知的惡意程序也是遭受信息欺詐的形式之一.木馬(Trojan),也被稱(chēng)為木馬病毒,是指通過(guò)特定的程序(木馬程序)來(lái)控制另一臺(tái)計(jì)算機(jī).其通常有兩個(gè)可執(zhí)行程序:控制端與被控制端.木馬這個(gè)名字來(lái)源于古希臘傳說(shuō)(荷馬史詩(shī)中木馬計(jì)的故事,Trojan一詞的特洛伊木馬本意是特洛伊的,即代指特洛伊木馬,也就是木馬計(jì)的故事)“.木馬”程序是目前比較流行的病毒文件,與一般的病毒不同,它不會(huì)自我繁殖,也并不“刻意”地去感染其他文件,它通過(guò)將自身偽裝吸引用戶下載執(zhí)行,向施種木馬者提供打開(kāi)被種主機(jī)的門(mén)戶,使施種者可以任意毀壞、竊取被種者的文件,甚至遠(yuǎn)程操控被種主機(jī).木馬病毒的產(chǎn)生嚴(yán)重危害著現(xiàn)代網(wǎng)絡(luò)的安全運(yùn)行.常見(jiàn)的木馬程序有:網(wǎng)游木馬、網(wǎng)銀木馬、下載類(lèi)、類(lèi)、FTP木馬、通訊軟件類(lèi)、網(wǎng)頁(yè)點(diǎn)擊類(lèi)等.計(jì)算機(jī)木馬程序雖然沒(méi)有病毒程序那樣的傳染能力,但是其破壞性非常大,對(duì)個(gè)人信息、隱私,對(duì)國(guó)家安全、機(jī)密的威脅都非常大.計(jì)算機(jī)病毒是人為編制的具有破壞作用的計(jì)算機(jī)程序.任何程序和病毒都一樣,不可能十全十美,所以一些人還在修改以前的病毒,使其功能更完善,病毒在不斷的演化,使殺毒軟件更難檢測(cè).現(xiàn)在操作系統(tǒng)很多,因此,病毒也瞄準(zhǔn)了很多其它平臺(tái),不再僅僅局限于MicrosoftWindows平臺(tái)了.一些新病毒變得越來(lái)越隱蔽,同時(shí)新型電腦病毒也越來(lái)越多,更多的病毒采用復(fù)雜的密碼技術(shù),在感染宿主程序時(shí),病毒用隨機(jī)的算法對(duì)病毒程序加密,然后放入宿主程序中,由于隨機(jī)數(shù)算法的結(jié)果多達(dá)天文數(shù)字,所以,放入宿主程序中的病毒程序每次都不相同.這樣,同一種病毒,具有多種形態(tài),每一次感染,病毒的面貌都不相同,猶如一個(gè)人能夠“變臉”一樣,檢測(cè)和殺除這種病毒非常困難.同時(shí),制造病毒和查殺病毒永遠(yuǎn)是一對(duì)矛盾,既然殺毒軟件是殺病毒的,而就有人卻在搞專(zhuān)門(mén)破壞殺病毒軟件的病毒,一是可以避過(guò)殺病毒軟件,二是可以修改殺病毒軟件,使其殺毒功能改變.病毒的傳播性極強(qiáng),而且有多重傳播介質(zhì),對(duì)于用戶的個(gè)人信息和企業(yè)的機(jī)密信息都是一個(gè)較大的威脅,無(wú)論是木馬還是病毒程序,都需要進(jìn)行有針對(duì)性的研究,并且及時(shí)采取應(yīng)對(duì)措施,保證計(jì)算機(jī)網(wǎng)絡(luò)信息安全.
1.2駭客(Cracker)與黑客(Hacker)攻擊行為
駭客指那些利用現(xiàn)有程序進(jìn)行計(jì)算機(jī)系統(tǒng)入侵,專(zhuān)門(mén)進(jìn)行破壞計(jì)算機(jī)或影響計(jì)算機(jī)安全的人.他們未必具有高超的技術(shù),而是利用自己的技術(shù)進(jìn)行網(wǎng)絡(luò)犯罪.黑客是指在計(jì)算機(jī)界中那些“用巧妙的方式解決問(wèn)題的人”,他們熱衷于挑戰(zhàn),崇尚自由并主張信息共享.網(wǎng)絡(luò)信息安全技術(shù)與黑客攻擊技術(shù)都源于同一技術(shù)核心(網(wǎng)絡(luò)協(xié)議和底層編程技術(shù)),所不同的是如何使用這些技術(shù).其主要的威脅有兩種,一種是對(duì)網(wǎng)絡(luò)信息的,另一種是對(duì)網(wǎng)絡(luò)設(shè)備的.黑客的攻擊原理通常是,第一步收集網(wǎng)絡(luò)系統(tǒng)中的信息,第二步檢測(cè)出目標(biāo)網(wǎng)絡(luò)存在的安全漏洞,第三步建立一個(gè)虛擬的環(huán)境,進(jìn)行模擬攻擊,最后進(jìn)行實(shí)際的網(wǎng)絡(luò)攻擊.黑客攻擊大體有兩種,一種是誘騙式的攻擊方法,這種方式黑客通過(guò)交流軟件(QQ,MSN,OISQ等)、電子郵件、網(wǎng)頁(yè)信息、軟件下載等來(lái)進(jìn)行病毒和木馬的傳播,通常這種方法較為被動(dòng),但是傳播速度較快.另一種是頂點(diǎn)式攻擊方法,這種攻擊方法的使用者大多數(shù)以獲取攻擊對(duì)象機(jī)密信息或者資料為目的,需采集服務(wù)端口、IP地址等信息;然后得知漏洞并利用其攻擊口令文件實(shí)施破解以得到對(duì)被攻擊對(duì)象的控制權(quán)限;第三植入后門(mén)程序;第四步訪問(wèn)其它主機(jī)獲取文件等信息.從黑客的攻擊方式和原理中我們不難看出,這些黑客對(duì)個(gè)人、企業(yè)甚至國(guó)家計(jì)算機(jī)的攻擊都可能會(huì)造成較大的損失,對(duì)整個(gè)計(jì)算機(jī)網(wǎng)絡(luò)信息安全也是一個(gè)重要的威脅,對(duì)這種行為進(jìn)行防治我們要從計(jì)算機(jī)網(wǎng)絡(luò)和軟件開(kāi)發(fā)等方面入手,使計(jì)算機(jī)網(wǎng)絡(luò)自身的漏洞盡量減少,一旦發(fā)現(xiàn)漏洞及時(shí)進(jìn)行補(bǔ)丁的研究.
1.3人為無(wú)意失誤與各種誤操作或計(jì)算網(wǎng)絡(luò)系統(tǒng)故障
網(wǎng)絡(luò)中大量盜鏈與釣魚(yú)軟件的存在使得缺乏操作知識(shí)與安全意識(shí)的人,很容易點(diǎn)擊錯(cuò)誤的鏈接,下載并打開(kāi)安裝了未知程序致使計(jì)算機(jī)中毒、被掛本馬或是在網(wǎng)上交流過(guò)程中受騙,毫無(wú)防范意識(shí)地將信息提供給他人,這些都是造成信息丟失或信息受侵的原因.而且計(jì)算機(jī)網(wǎng)絡(luò)本身已不是一個(gè)非常穩(wěn)定、可靠的系統(tǒng),無(wú)論是由于目前的技術(shù)缺陷還是設(shè)備問(wèn)題,都是導(dǎo)致計(jì)算機(jī)網(wǎng)絡(luò)自身穩(wěn)定性和可靠性存在不足的原因,但是計(jì)算機(jī)用戶可以說(shuō)是一個(gè)較為穩(wěn)定并且在逐漸擴(kuò)大的群體,用戶需要一個(gè)穩(wěn)定、安全的網(wǎng)絡(luò)環(huán)境使自己的信息安全受到保護(hù),這就與計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的現(xiàn)狀產(chǎn)生了沖突.一旦計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)產(chǎn)生故障或者工作過(guò)程中產(chǎn)生波動(dòng),很可能導(dǎo)致用戶和系統(tǒng)信息丟失或者泄露,而且計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的基礎(chǔ)是ip協(xié)議,協(xié)議的自身運(yùn)行會(huì)增加許多代碼和程序的應(yīng)用,而這些代碼和程序的本身就存在一些漏洞,存在安全問(wèn)題.另一方面,計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)硬件故障、自然災(zāi)害及人為對(duì)通信線路與設(shè)施進(jìn)行破壞與竊聽(tīng)都會(huì)給信息安全造成威脅.
2計(jì)算機(jī)網(wǎng)絡(luò)信息安全防護(hù)策略
2.1增強(qiáng)對(duì)木馬、病毒的檢測(cè)和防御
首先,安裝反病毒程序、防火墻并開(kāi)啟實(shí)時(shí)防護(hù)與檢測(cè),以直觀的方式對(duì)已知病毒木馬進(jìn)行查殺,對(duì)未知病毒進(jìn)行隔離,做到實(shí)時(shí)防范與定期查檢.通過(guò)防火墻有效對(duì)內(nèi)網(wǎng)與外網(wǎng)信息進(jìn)行隔離過(guò)濾,對(duì)外封鎖或隱藏掉內(nèi)網(wǎng)信息,屏蔽掉大量的有害外網(wǎng)應(yīng)用保障內(nèi)網(wǎng)信息不受威脅.使防范具有主動(dòng)性與前瞻性.其次,對(duì)系統(tǒng)進(jìn)行及時(shí)的軟硬件的升級(jí)與漏洞修復(fù).開(kāi)啟軟件的定期自動(dòng)更新功能與安裝新軟件后的漏洞即時(shí)檢測(cè)功能,將系統(tǒng)修復(fù)自動(dòng)化,減少病毒偵查漏洞入侵系統(tǒng)的機(jī)會(huì),預(yù)防用戶信息與數(shù)據(jù)免遭篡改攻擊或破壞.對(duì)操作系統(tǒng)也要及時(shí)更新修補(bǔ)漏洞,打補(bǔ)丁是修復(fù)漏洞的有效方法.最后,增強(qiáng)法律、法規(guī)意識(shí),通過(guò)正確途徑獲得正版軟件與有效真實(shí)信息.很多用戶由于對(duì)某一軟件的急切需求,導(dǎo)致軟件來(lái)源不明,又無(wú)法斷定軟件的安全性就貿(mào)然安裝使用致使軟件中惡意攜帶的有害程序被植入本地計(jì)算機(jī)系統(tǒng).因此不非法拷貝與使用來(lái)源不明的軟件,是有效防預(yù)的措施之一.
2.2規(guī)范上網(wǎng)行為,養(yǎng)成良好的上網(wǎng)習(xí)慣
關(guān)鍵詞:網(wǎng)絡(luò)安全;網(wǎng)絡(luò)攻擊與防御;監(jiān)聽(tīng)掃描
一、網(wǎng)絡(luò)安全概述
網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)中的數(shù)據(jù)受到保護(hù),不受惡意的或者偶然的原因而遭到破壞、更改、泄露,以及系統(tǒng)中的軟件、硬件連續(xù)、可靠正常地運(yùn)行。隨著計(jì)算機(jī)網(wǎng)絡(luò)的飛速發(fā)展,網(wǎng)絡(luò)中的安全問(wèn)題也日趨突出。網(wǎng)絡(luò)容易遭受到惡意攻擊,例如數(shù)據(jù)被竊取,服務(wù)器不能正常的工作等等。針對(duì)這些攻擊,人們采用了一些防御手段,不斷的增強(qiáng)系統(tǒng)本身的安全性,同時(shí)還采用了一些輔助設(shè)備,比如網(wǎng)絡(luò)系統(tǒng)和防火墻。防火墻一般作為網(wǎng)關(guān)使用,在檢測(cè)攻擊的同時(shí),還能阻斷攻擊,網(wǎng)絡(luò)一般作為并行設(shè)備使用,不具有阻斷攻擊的能力,它檢測(cè)到攻擊后,發(fā)出警報(bào)通知管理員,由管理員進(jìn)行處理。不同的攻擊,有不同的防御方法,我們?cè)趯?duì)攻擊的有一定的了解后,制定相應(yīng)的防御策略,才能保證網(wǎng)絡(luò)安全。
二、攻擊方法分類(lèi)
網(wǎng)絡(luò)入侵的來(lái)源一般來(lái)說(shuō)有兩種,一種是內(nèi)部網(wǎng)絡(luò)的攻擊,另一種是外網(wǎng)的入侵。
攻擊行為可分為:?jiǎn)斡脩魡谓K端,單用戶多終端,多用戶多終端3大類(lèi)。
(1)端口掃描攻擊:網(wǎng)絡(luò)端口監(jiān)聽(tīng)就是一種時(shí)刻監(jiān)視網(wǎng)絡(luò)的狀態(tài)、計(jì)算機(jī)數(shù)據(jù)流程以及在網(wǎng)絡(luò)中傳輸?shù)男畔⒌墓芾砉ぞ?當(dāng)計(jì)算機(jī)網(wǎng)絡(luò)的接口處于監(jiān)聽(tīng)模式的狀態(tài)時(shí),其可以快速的截取在網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)信息,以此來(lái)取得目標(biāo)主機(jī)的超級(jí)管理用戶的權(quán)限。另外還在系統(tǒng)掃描的過(guò)程中,可以掃描到系統(tǒng)中那個(gè)端口是開(kāi)放的,對(duì)應(yīng)開(kāi)放的端口提供的是什么服務(wù),在捕獲的服務(wù)中的操作信息是什么,此后攻擊者就能利用它獲取到的操作系統(tǒng)信息對(duì)目標(biāo)主機(jī)進(jìn)行網(wǎng)絡(luò)入侵。
(2)緩沖區(qū)溢出攻擊:緩沖區(qū)溢出攻擊就是利用緩沖區(qū)溢出漏洞來(lái)進(jìn)行攻擊,在某種程度上可以說(shuō)是一種非常危險(xiǎn)的漏洞,在各種操作系統(tǒng)、應(yīng)用軟件中存在比較多。其原理在于程序獲得了過(guò)量的數(shù)據(jù),系統(tǒng)并沒(méi)有對(duì)接收到的數(shù)據(jù)及時(shí)檢測(cè)。結(jié)果使系統(tǒng)的堆棧遭到嚴(yán)重的損壞,從而使計(jì)算機(jī)被攻擊者操控或者是造成機(jī)器癱瘓,使其不能正常工作。如果黑客進(jìn)行遠(yuǎn)程攻擊時(shí),就必須使用系統(tǒng)服務(wù)中出現(xiàn)的溢出漏洞。在各個(gè)不相同的系統(tǒng)中,它產(chǎn)生的服務(wù)的攻擊代碼也各不相同。常用到的攻擊檢測(cè)的方法就是使用字符串匹配。出現(xiàn)緩沖區(qū)溢出的攻擊還有一方面在于,現(xiàn)在大多是的應(yīng)用程序都是由C語(yǔ)言構(gòu)成的.在C、C++語(yǔ)言的語(yǔ)法中,對(duì)其數(shù)組下標(biāo)的訪問(wèn)一般不做越界檢查,因此導(dǎo)致緩沖區(qū)溢出的現(xiàn)象。
(3)拒絕服務(wù)攻擊:拒絕服務(wù)攻擊就是攻擊者想辦法讓目標(biāo)主機(jī)無(wú)法訪問(wèn)資源或提供服務(wù),是黑客常用的攻擊手段。這些資源包括磁盤(pán)硬盤(pán)空間、線程、內(nèi)存等。拒絕服務(wù)攻擊是指對(duì)計(jì)網(wǎng)絡(luò)帶寬進(jìn)行消耗攻擊。帶寬攻擊這一話題也并不陌生它是指用大量的通信數(shù)據(jù)量來(lái)攻擊網(wǎng)絡(luò)帶寬。從而使網(wǎng)絡(luò)帶寬中的的大部分資源都被消耗完了,以至于主機(jī)不能正常的處理合法用戶進(jìn)行的請(qǐng)求。攻擊者產(chǎn)生拒絕服務(wù)攻擊,從而導(dǎo)致服務(wù)器的緩沖區(qū)溢出,無(wú)法接收新的請(qǐng)求,同時(shí)攻擊者還可以采用IP地址欺騙的方式,使合法用戶的請(qǐng)求被攻擊者竊取,無(wú)法正常達(dá)到信息請(qǐng)求的目的地,嚴(yán)重影響用戶請(qǐng)求的連接。
(4)病毒攻擊:提到病毒攻擊,最為直觀的就是木馬攻擊。木馬對(duì)電腦系統(tǒng)的破壞很強(qiáng)大,一般來(lái)說(shuō)它具有通常有兩個(gè)可執(zhí)行程序:一個(gè)是客戶端,即控制端,另一個(gè)是服務(wù)端,即被控制端。木馬的設(shè)計(jì)者為了防止木馬被發(fā)現(xiàn),多采用多種手段來(lái)隱藏木馬,這樣,即使是發(fā)現(xiàn)感染了木馬,由于不能確定木馬的正確位置,也無(wú)法清除。木馬的服務(wù)端一旦運(yùn)行并被控制端連接,其控制端將享有服務(wù)端的大部分操作權(quán)限,而這對(duì)于服務(wù)端的用戶是非常危險(xiǎn)的。一旦計(jì)算機(jī)被植入木馬,攻擊者就能竊取密碼,更該系統(tǒng)配置,發(fā)送錯(cuò)誤信息,終止進(jìn)程,修改注冊(cè)表等。攻擊者就可以遠(yuǎn)程實(shí)現(xiàn)像操縱自己的計(jì)算機(jī)一樣來(lái)操縱被植入木馬的計(jì)算機(jī)。木馬入侵的方式主要有錯(cuò)誤的服務(wù)信息,電子郵件,捆綁在游戲中等。
三、網(wǎng)絡(luò)防御策略
(1)防火墻技術(shù)。防火墻是設(shè)置在內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的一個(gè)隔離層,能夠有效的防止未知的或者是潛在的入侵者。內(nèi)部網(wǎng)絡(luò)安全的實(shí)現(xiàn)主要是通過(guò)監(jiān)測(cè)進(jìn)入內(nèi)網(wǎng)的數(shù)據(jù)信息或者直接限制其信息流入內(nèi)網(wǎng)。從而實(shí)現(xiàn)外網(wǎng)無(wú)法獲得內(nèi)網(wǎng)的網(wǎng)絡(luò)構(gòu)成、數(shù)據(jù)流轉(zhuǎn)和信息傳遞等情況,以此達(dá)到實(shí)現(xiàn)保護(hù)內(nèi)部網(wǎng)絡(luò)安全的目的。防火墻是不同網(wǎng)絡(luò)間信息傳遞的重要關(guān)口,它能夠有效的控制外網(wǎng)和內(nèi)網(wǎng)的數(shù)據(jù)流交換,而且它本身具有較強(qiáng)的抗攻擊能力。從某種程度上說(shuō),防火墻是實(shí)現(xiàn)了分離和限制的作用,可以監(jiān)控內(nèi)部網(wǎng)和外部網(wǎng)之間信息交換活動(dòng),來(lái)達(dá)到保護(hù)內(nèi)部網(wǎng)絡(luò)安全的目的。
(2)入侵檢測(cè)。入侵檢測(cè)系統(tǒng)(IDS)就是對(duì)現(xiàn)在的系統(tǒng)或正在使用的網(wǎng)絡(luò)資源進(jìn)行實(shí)時(shí)監(jiān)測(cè),以能夠及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)中的入侵者。入侵檢測(cè)技術(shù)一般來(lái)說(shuō)分為,非正常檢測(cè)和常規(guī)檢測(cè)。非正常檢測(cè)就是通過(guò)檢測(cè)系統(tǒng)中是否存在異常行為以此來(lái)達(dá)到檢測(cè)目的,它能快速的地檢測(cè)出網(wǎng)絡(luò)中未知的網(wǎng)絡(luò)入侵者,漏報(bào)率非常低,但是由于在檢測(cè)中無(wú)法確地定義正常的操作特征,所以引發(fā)信息的誤報(bào)率高。常規(guī)檢測(cè)方法。這種檢測(cè)方法最大的缺點(diǎn)是它自身依賴于函數(shù)特征庫(kù),只能檢測(cè)出已存在的入侵者,不能檢測(cè)未知的入侵攻擊,從而引發(fā)漏報(bào)率較高,但誤報(bào)率較低。
(3)建立安全管理。它是指通過(guò)一些的組織機(jī)構(gòu)、制定制度,把含有信息安全功能的設(shè)備和使用此信息的人融合在一起,以確保整個(gè)系統(tǒng)達(dá)到預(yù)先制定的信息安全程度,以此能夠達(dá)到保證信息的保密性、完整性和實(shí)用性的目的。安全管理主要包括安全管理策略和技術(shù)兩個(gè)方面的內(nèi)容。要想安全管理實(shí)現(xiàn)就必須在規(guī)章制度制定、安全體系中充分考慮技術(shù)方面,只有制度和技術(shù)的有效結(jié)合才能真正發(fā)揮作用,并取得預(yù)期的效果。
(4)多層次的安全系統(tǒng)建立。計(jì)算機(jī)網(wǎng)絡(luò)安全系統(tǒng)可劃分為不同級(jí)別的安全制度。其主要包括:對(duì)系統(tǒng)實(shí)現(xiàn)結(jié)構(gòu)的分級(jí),對(duì)傳輸數(shù)據(jù)的安全程度的分級(jí)(絕密、機(jī)密、秘密、公開(kāi));對(duì)計(jì)算機(jī)網(wǎng)絡(luò)安全程度的進(jìn)行分級(jí),對(duì)用戶操作權(quán)限的分級(jí)等。針對(duì)網(wǎng)絡(luò)中不同級(jí)別的安全對(duì)象.從而提供不同的安全算法和安全體制.用以以滿足現(xiàn)代計(jì)算機(jī)網(wǎng)絡(luò)中不同層次的實(shí)際需求.
四、網(wǎng)絡(luò)安全技術(shù)的前景
隨著網(wǎng)絡(luò)的迅速發(fā)展,網(wǎng)絡(luò)的攻擊方法已由最初的零散知識(shí)發(fā)展為一門(mén)完整系統(tǒng)的科學(xué)。與此相反的是,成為一名攻擊者越來(lái)越容易,需要掌握的技術(shù)越來(lái)越少,網(wǎng)絡(luò)上隨手可得的攻擊實(shí)例視頻和黑客工具,使得任何人都可以輕易地發(fā)動(dòng)攻擊。因此我們的防御技術(shù)顯得尤為重要,從攻擊趨勢(shì)分析中發(fā)現(xiàn),目前網(wǎng)絡(luò)安全防范的主要難點(diǎn)在于:攻擊的“快速性”—漏洞的發(fā)現(xiàn)到攻擊出現(xiàn)間隔的時(shí)間很短;安全威脅的“復(fù)合性”—包括多種攻擊手段的復(fù)合和傳播途徑的復(fù)合性。這一切均是傳統(tǒng)防御技術(shù)難以對(duì)付的,因此人們需要更加先進(jìn),更全面化的主動(dòng)防御技術(shù)和產(chǎn)品,才能在攻擊面前泰然自若。(作者單位:河南師范大學(xué)軟件學(xué)院)
參考文獻(xiàn):
[1]高飛,申普兵.網(wǎng)絡(luò)安全主動(dòng)防御技術(shù).計(jì)算機(jī)安全.2009.1:38-40.
[2]王秀和,楊明.計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)淺析.中國(guó)教育技術(shù)裝備.2007.5.49-53
[3]周軍.計(jì)算機(jī)網(wǎng)絡(luò)攻擊與防御淺析.電腦知識(shí)與技術(shù).2007.3:1563-1606
[4]趙鵬,李之棠.網(wǎng)絡(luò)攻擊防御的研究分析.計(jì)算機(jī)安全.2003.4:35-38
