蠕虫病毒的检测和防御分析研究
- 格式:doc
- 大小:52.00 KB
- 文档页数:15
下载文档原格式
合集下载
怎么理解蠕虫病毒有哪些恶意行为
怎么理解蠕虫病毒有哪些恶意行为一些被窃的恶意程序,它们可以多方传播,以首次中毒的计算机为跳板,通过邮件,后门,漏洞等各种方式传播,这种恶意程序,我们可以称之为病毒,其中病毒种类也有很多,如木马,蠕虫等等,今天我们具体介绍蠕虫病毒,有兴趣的朋友们一起看看!什么是蠕虫?蠕虫(worm)也可以算是病毒中的一种,但是它与普通病毒之间有着很大的区别。
一般认为:蠕虫是一种通过网络传播的恶性病毒,它具有病毒的一些共性,如传播性、隐蔽性、破坏性等等,同时具有自己的一些特征,如不利用文件寄生(有的只存在于内存中),对网络造成拒绝服务,以及和黑客技术相结合,等等。
普通病毒需要传播受感染的驻留文件来进行复制,而蠕虫不使用驻留文件即可在系统之间进行自我复制,普通病毒的传染能力主要是针对计算机内的文件系统而言,而蠕虫病毒的传染目标是互联网内的所有计算机。
它能控制计算机上可以传输文件或信息的功能,一旦您的系统感染蠕虫,蠕虫即可自行传播,将自己从一台计算机复制到另一台计算机,更危险的是,它还可大量复制。
因而在产生的破坏性上,蠕虫病毒也不是普通病毒所能比拟的,网络的发展使得蠕虫可以在短短的时间内蔓延整个网络,造成网络瘫痪!局域网条件下的共享文件夹、电子邮件Email、网络中的恶意网页、大量存在着漏洞的服务器等,都成为蠕虫传播的良好途径,蠕虫病毒可以在几个小时内蔓延全球,而且蠕虫的主动攻击性和突然爆发性将使得人们手足无措。
此外,蠕虫会消耗内存或网络带宽,从而可能导致计算机崩溃。
而且它的传播不必通过“宿主”程序或文件,因此可潜入您的系统并允许其他人远程控制您的计算机,这也使它的危害远较普通病毒为大。
典型的蠕虫病毒有尼姆达、震荡波、熊猫烧香等。
蠕虫病毒恶意行为样本会在QQ群共享文件中上传诱导性的网站链接。
如果用户被其欺骗,则会点击进入蠕虫的诱导下载网站,此时不管用户点击什么位置,都会触发蠕虫的下载,得到一个压缩包。
虽然压缩包不大,仅有1、2M,但是会解压出一个100多M的巨大的可执行文件。
网络蠕虫
2013-3-26 48
静态缓冲区溢出机理
内存低端
程序段 数据段 堆栈 内存高端 stack低端 …… 局部变量 (Ebp for debug) 返回地址 Argc的值 Stack的使用
Argv的地址
stack高端
2013-3-26 49
For example
• • • • • • • • • • • • • • • • void foo(const char*input) { char buf[10]; strcpy(buf,input); printf("my name is foo\r\n");} void bar(void) { printf("You have been hacked\n");} int main(int argc, char* argv[]) { char buf[33]={"AAAABBBBCCCCDDDD EEEEFFFFGGGGHHHH"}; unsigned long bar_add; bar_add=(unsigned long)bar; memcpy(&buf[12],&bar_add,4); foo(buf); return 0; }
2013-3-26
13
目标选择算法
• • • • • • 电子邮件列表 主机列表(hosts) 被信任的系统(MAC/IP) 邻域网 域名服务查询 任意选择一个目标网络地址 (A/B/C,32bits)
14
2013-3-26
扫描引擎
检测有效的目标: • NMAP; • Xscan; …… Ref: /tools/1.html
2013-3-26
20
案例分析--Nimda
静态缓冲区溢出机理
内存低端
程序段 数据段 堆栈 内存高端 stack低端 …… 局部变量 (Ebp for debug) 返回地址 Argc的值 Stack的使用
Argv的地址
stack高端
2013-3-26 49
For example
• • • • • • • • • • • • • • • • void foo(const char*input) { char buf[10]; strcpy(buf,input); printf("my name is foo\r\n");} void bar(void) { printf("You have been hacked\n");} int main(int argc, char* argv[]) { char buf[33]={"AAAABBBBCCCCDDDD EEEEFFFFGGGGHHHH"}; unsigned long bar_add; bar_add=(unsigned long)bar; memcpy(&buf[12],&bar_add,4); foo(buf); return 0; }
2013-3-26
13
目标选择算法
• • • • • • 电子邮件列表 主机列表(hosts) 被信任的系统(MAC/IP) 邻域网 域名服务查询 任意选择一个目标网络地址 (A/B/C,32bits)
14
2013-3-26
扫描引擎
检测有效的目标: • NMAP; • Xscan; …… Ref: /tools/1.html
2013-3-26
20
案例分析--Nimda
蠕虫病毒原理
邮件蠕虫
主要是利用 MIME(Multipurpose Internet Mail Extension Protocol, 多用途的网际邮件扩 充协议)漏洞
MIME描述漏洞
蠕虫ห้องสมุดไป่ตู้漏洞
网页蠕虫(木马)
主要是利用IFrame漏洞和MIME漏洞 网页蠕虫可以分为两种
用一个IFrame插入一个Mail框架,同样利用MIME漏洞执行蠕虫, 这是直接沿用邮件蠕虫的方法 用IFrame漏洞和浏览器下载文件的漏洞来运作的,首先由一个包含 特殊代码的页面去下载放在另一个网站的病毒文件,然后运行它, 完成蠕虫传播
蠕虫与漏洞
网络蠕虫最大特点是 利用各种漏洞进行自 动传播 根据网络蠕虫所利用 漏洞的不同,又可以 将其细分
包含蠕虫 的邮件
非法的 MIME头部
解出的 蠕虫程序
Content-Type: audio/x-wav; name="worm.exe" Content-Transfer-Encoding: base64 TVrozAAAAAYAAQACAHhNVHJrAAAIBQD/Awi T8ZBsgsyOng/AgdLT05BTUkgAP8BD5XSi8i BXori keORvphZCgD/fwMAAEEA8ApBEEISQAB/AEH 3AP9YBAQCGAgA/1kCAAAA/1EDB0Deg2r/UQ MHUwCD 感染机器 JP9RAwdiH4Mu/1EDB3F9gy7/UQMHgRuDJP9 RAweQ/IMu/1EDB6Eggy7/UQMHsYqDJP9RAw
独立病毒分析的准备工作
谈网络蠕虫病毒的全面防范
2 网络 蠕 虫 病毒 实例 分 析
目前 , 已经 知 晓 的 产 生 严 重 影 响
比如近 几年危 害很大 的 “ 尼姆达 ”病
毒 就 是 一 种 蠕 虫 病 毒 。 这 一 病 毒 利 用 了微软 W i d ws操作 系统 的漏 洞 , n o 计 算机 感染这 一病毒之 后 ,会不 断地 自动拨 号上 网 ,并利 用文件 中 的地 址 信 息或者 网络共 享进 行传播 ,最终 破 坏 用户 的大 部分 重要数 据 。 蠕 虫是一 种通过 网络 传播 的恶性 病毒 ,它具 有病毒 的一般 特性 ,如 传 播性 、隐蔽 性 、破 坏性 等 ,同时具 有 自己的一些 特征 ,如不 利用文件 寄生 、 对 网络 造成 拒绝服 务 、以及 与黑客技
速 普 及 的今 天 ,蠕 虫病毒 给 用 户造 成 不 少的 损 失 。 该 文主 要 从 企业 和 个 人 两个 角度 阐 述 一 下应 该 如何 做 好 网络 蠕 虫病毒 的 全‘ 面
防范 。
关键 词 :蠕 虫 ;病毒 ;防 范
Di c s t e s u s h Co r h n v Pr e t o of t n t r wo m viu mp e e si e ev n i n he e wo k r r s
t e e wok h n t r wo m vr s r i . u
Ke W ors: wom, vrs pe e t n y d r i , rv n i u o
网络蠕 虫病 毒 可分 为 主 动传 播 (
术相 结合 等。在 产生 的破坏性 上 ,蠕
虫病 毒 也不 是 普 通 病毒 所 能 比拟 的 , 网络 的飞速 发展 ,使 得蠕 虫可 以在短 时间 内蔓延 整个 网络 ,造 成 网络瘫痪 。 根据 被攻 击者 的情况 可 以将蠕 虫
病毒、木马、蠕虫等恶意软件区别及防治
返回
病毒对你的文件造成浩劫
(1/3)‘计算机病毒’这一术语通常与‘恶意软件’替换使用,尽 管这两个词含义并不真正相同。从严格意义上说,病毒是一种程序, 它能自我复制并感染一台电脑,从一个文件传播到另一个文件,然后 随文件被复制或共享而从一台电脑传到另一台。 (2/3)大多数病毒都附身于可执行文件,但有些也可以锁定主引导 记录、自动运行脚本、微软Office宏文件、甚至某些情况下依附于任 意文件。许多这类病毒,譬如CIH病毒,其设计目的都是为了使你的 电脑彻底瘫痪,而另外一些病毒仅仅删除或破坏你的文件,其共同点 在于,病毒的设计目的就是制造混乱、进行破坏。 (3/3)要保护自己远离病毒,你应确保你的防病毒应用程序时常更 新最新病毒定义,避免通过电子邮件或其他方式发来的形迹可疑文件。 要特别注意文件名,如果文件应该是一个mp3,而文件名后缀 为.mp3.exe,那么它就是病毒无疑。
返回
如何有效的避开蠕虫病毒
返回
如何有效的避开蠕虫病毒
1.大多数蠕虫通过都是 利用了微软Outlook的漏洞 进行传播的,因此需要特 别注意微软网站提供的补 丁。及时打补丁是一个良 好的习惯,可以让你的系 统时时保持最新、最安全。 注意补丁最好从信任度高 的网站下载。如果你生性 懒惰,那干脆不要用 Outlook了,改用Foxmail 是一个不错的选择。
返回
木马程序安装一扇后门
(1/2)看上去木马程序所做之事无伤大雅,实则暗藏另 有它图的恶意代码。在许多情况下,木马程序会创建一扇 后门,使得你的电脑或直接或作为僵尸网络(也感染了木 马或其他恶意软件的一个计算机网络)的一部分受到远程 控制。病毒和木马的主要区别在于,木马不进行自我复制, 它们只能由不知情的用户进行安装。 (2/2)一旦你的电脑感染了木马,它就会被用于任意多 次数的邪恶目的,譬如针对一个网站的拒绝服务攻击,对 代理服务器的隐藏攻击,甚至更糟的是向外群发垃圾邮件。 防木马与防病毒工作原理相同,就是要确保防病毒应用程 序时常更新,不要打开可疑的附件,深思熟虑后再尝试使 用下载版——这是恶意软件开发者最喜欢的一个木马隐藏 地。
蠕虫病毒的原理
蠕虫病毒的原理
蠕虫病毒产生于上世纪70年代,它是根基与网络的,所以随着网络的发展,蠕虫病毒也越来越强大、破坏力越来越强大。
下面是店铺跟大家分享的是蠕虫病毒的原理,欢迎大家来阅读学习。
蠕虫病毒的原理
方法/步骤
1首先,扫描侦测存在漏洞的主机。
随机选取某一段的IP地址,然后对这一地址段上的主机进行扫面。
被感染的主机也会加入扫面的行列中来。
积少成多,大量蠕虫程序的扫描将引起网络阻塞。
2攻击,当蠕虫扫描到网络中存在的主机后,就开始利用自己的破坏模块获取主机的管理员权限。
3最后,利用原主机同被感染主机的交互,将蠕虫程序复制到新主机中并启动。
蠕虫病毒
2018/7/31
34
2) 放置特洛伊木马程序 3) WWW的欺骗技术 在网上用户可以利用IE等浏览器进行各 种各样的Web站点的访问. 一般的用户恐怕不会想到有这些问题存 在:正在访问的网页已经被黑客篡改过, 网页上的信息是虚假的!
2018/7/31
35
9.2.1 黑客攻击常用方法
2018/7/31
39
9.2.1 黑客攻击常用方法
7) 寻找系统漏洞 许多系统都有这样那样的安全漏洞 (Bugs),其中某些是操作系统或应用软 件本身具有的,这些漏洞在补丁未被开 发出来之前一般很难防御黑客的破坏, 除非用户将网线拔掉。
2018/7/31
40
8) 利用账号进行攻击 有的黑客会利用操作系统提供的默认账 户和密码进行攻击,这类攻击只要系统 管理员提高警惕,将系统提供的默认账 户关掉或提醒无口令用户增加口令一般 都能克服。
无法估计主机的安全性
主机系统的安全性无法很好地估计。随着一个 局域网的主机数量的增多,确保每台主机的安 全性都处在高水平的能力却在下降。只用管理 一台主机的能力来管理如此多的系统就容易犯 错误。
2018/7/31
30
9.1.4 网络安全的基本措施 1. 安全立法
随着网络的发展和普及,虚拟世界中各种各样 的纠纷和犯罪日趋增加。自20世纪90年代网络 方面的案例出现以来,网络立法已经成为各国 法律建设中的一个重要组成部分。
2018/7/31
1
蠕虫病毒
蠕虫病毒是一种常见的计算机病毒。 它是利用网络进行复制和传播,传染途径 是通过网络和电子邮件。
2018/7/31
2
最初的蠕虫病毒定义是因为在DOS 环境下,病毒发作时会在屏幕上出现一 条类似虫子的东西,胡乱吞吃屏幕上的 字母并将其改形。
关于FakeFolder病毒的介绍及防治
关于FakeFolder病毒的介绍及防治摘要:在内网中出现的大量伪造成文件夹的可疑exe文件,删掉以后仍会反复,这是一个蠕虫病毒FakeFolder,该病毒会通过U盘及共享文件夹进行传播,一旦主机感染了该病毒,文件系统中的文件夹都会被隐藏,取而代之的是一个伪装的病毒文件。
当用户运行病毒文件时,也会弹出对应文件夹的窗口,因此不易被察觉;只要系统中还残留着一个FakeFolder病毒文件,就会对主机进行反复感染。
本文就对这种病毒进行介绍并对其防治措施进行分析。
关键词:FakeFolder病毒病毒防治病毒传播近期,在安装建设单位内部园区网络的过程中,发现了一种极为顽强的病毒Worm.Win32.FakeFolder(中文名“文件夹模仿者”),该病毒是一种伪装文件夹型蠕虫病毒,它通过隐藏U盘中的真实文件、替换U盘中的文件夹图标为自己图标的方式,诱使用户在每次查看文件时都必须点击木马图标,激活木马运行。
而一旦运行,“文件夹模仿者”就会弹出指向某些网站的IE窗口,随后才允许用户进入文件夹内。
一、FakeFolder病毒现状文件夹模仿者并不是今年新出现的病毒,该病毒已经出现了五六年,且一直在各大网络安全公司及机构公布的计算机病毒疫情排行榜中“名列前茅”,是感染量较高的U盘病毒系列,始终被各大杀毒软件公司所关注。
但是该病毒作者也相当狡猾,先后进行了多次变种,更改了病毒的特征码,而且该病毒的作者正在追逐用户,当越来越多用户开始尝试WIN7系统时,病毒作者也将战场转移至这一平台,如同逐水草而居的牧民一般。
总的来说,FakeFolder病毒具有较强的传染性、隐藏性和破坏性。
1.传染性。
该病毒具有很强的感染性,主要通过U盘进行传播,一旦带有病毒的U盘插入电脑中,用户双击伪装成正常文件夹的病毒时,病毒将会被激活并遍历硬盘和网络共享进行感染,从而使这台电脑也变为毒源。
2.隐藏性。
FakeFolder病毒利用系统默认文件夹选项为“隐藏受保护的操作系统文件(推荐)”、“不显示隐藏的文件、文件夹或驱动器”、“隐藏已知文件类型的扩展名”,将自身伪装成正常文件夹,即将原文件夹属性修改为隐藏属性,创建一个与原文件夹相同文件夹名及图标的新文件,扩展名为.exe,并通过用户双击该文件进行运行。
深入解析网络蠕虫病毒
维普资讯
20 0 6年第 8期
福
建
电
脑
6 9
深入解析 网络蠕 虫病毒
张瑞春
( 南 交通 职 业 技 术 学院 计 算 机 科 学 系 河 南 郑 州 4 0 0 ) 河 5 0 5
【 摘
要】 :对计算机 网络危 害程度最严重的 网络蠕 虫病毒 ,其破坏 力和传 染性不容忽视 。本文根据 蠕 虫病毒 的发 作机
制. 深入 探 讨 蠕 虫病毒 的特 征 , 而指 导 用 户如 何 采 取 防 范措 施 。 从
【 关键词】 :蠕 虫;病毒 ; 网络 ; 分析
1 认 识 蠕 虫病 毒 .
18 9 8年 1 月 2 日 .美 国 康乃 尔大 学 一 年 级 研 究 生莫 里 斯 1 为 了求 证 计 算 机 程 序 能 否 在 不 同 的计 算 机 之 间 自我 复 制 传 播 而 编 写 的世 界上 第 一 个 计 算 机 蠕 虫 .蠕 虫病 毒 即成 为 目前 危 害 最 大 的 一类 计 算 机 病 毒 . 随着 互 联 网 时 代 的 飞速 发展 , 络 蠕 虫 病 网 毒 已经成 为最 大 的 安 全 障 碍 。 在 还 没 有 一个 成 套 的 理 论体 系 , 现 般 认 为 . 虫 是 一 种通 过 网络 传 播 的 恶 性病 毒 , 具 有 病 毒 的 蠕 它 些 共性 。 传 播 性 , 蔽 性 , 坏 性 等 等 , 如 隐 破 同时 具 有 自己的 一 些 特 征 . 不 利 用 文件 寄生 ( 的 只存 在 于 内存 中 )对 网 络 造 成 拒 如 有 , 绝服务 . 以及 和 黑 客技 术 相 结 合 等 等 。在 产 生 的破 坏 性 上 , 虫 蠕 病 毒 也 不 是普 通 病 毒 所 能 比拟 的 .网络 的发 展 使 得 蠕 虫 可 以在 短 短 的 时 间 内蔓 延 整 个 网 络 。 成 网络 瘫 痪 。 造 蠕 虫病 毒 对 计 算 机 网 络 的 危 害 分两 类 情 形 .一 种 是 针 对 自 行 组 网 的单 位 计 算 机 网 络 .蠕 虫病 毒 利用 软 件 系 统 漏 洞 主 动 进 行 攻 击 , 通 过 与互 联 网 的接 入 进 行 传 播 , 整 个 互 联 网 造 成 瘫 并 对 痪 性 的后 果 ;另 一 种 是 针 对普 通 的个 人 使 用 者 。通 过 网 络 应 用 ( 是 电子 邮 件 , 意 网 页形 式 ) 速传 播 蠕 虫 病 毒 。在 这 两 类 主要 恶 迅 中 .第 一 种具 有 很 大 的 主 动 攻 击性 ,而 且 爆 发 也 有 一 定 的 突 然 性 . 相 对 来 说 , 范 这 种 病毒 并 不 是 很 困难 。第 二 种 蠕 虫 病 毒 但 防 的 传播 方 式 比较 复 杂 和 多 样 .少 数 利用 了微 软 的 应 用 程 序 的 漏 洞 . 多 的是 利 用对 用 户 进 行 欺 骗 和 诱使 。 类 病 毒 造 成 的 损 失 更 这 是 非 常大 的 . 时也 是 很 难 根 除 的 。 面分 析这 两 种病 毒 的 特 征 同 下 从 而 帮助 用 户 找 到 防 范措 施 .
20 0 6年第 8期
福
建
电
脑
6 9
深入解析 网络蠕 虫病毒
张瑞春
( 南 交通 职 业 技 术 学院 计 算 机 科 学 系 河 南 郑 州 4 0 0 ) 河 5 0 5
【 摘
要】 :对计算机 网络危 害程度最严重的 网络蠕 虫病毒 ,其破坏 力和传 染性不容忽视 。本文根据 蠕 虫病毒 的发 作机
制. 深入 探 讨 蠕 虫病毒 的特 征 , 而指 导 用 户如 何 采 取 防 范措 施 。 从
【 关键词】 :蠕 虫;病毒 ; 网络 ; 分析
1 认 识 蠕 虫病 毒 .
18 9 8年 1 月 2 日 .美 国 康乃 尔大 学 一 年 级 研 究 生莫 里 斯 1 为 了求 证 计 算 机 程 序 能 否 在 不 同 的计 算 机 之 间 自我 复 制 传 播 而 编 写 的世 界上 第 一 个 计 算 机 蠕 虫 .蠕 虫病 毒 即成 为 目前 危 害 最 大 的 一类 计 算 机 病 毒 . 随着 互 联 网 时 代 的 飞速 发展 , 络 蠕 虫 病 网 毒 已经成 为最 大 的 安 全 障 碍 。 在 还 没 有 一个 成 套 的 理 论体 系 , 现 般 认 为 . 虫 是 一 种通 过 网络 传 播 的 恶 性病 毒 , 具 有 病 毒 的 蠕 它 些 共性 。 传 播 性 , 蔽 性 , 坏 性 等 等 , 如 隐 破 同时 具 有 自己的 一 些 特 征 . 不 利 用 文件 寄生 ( 的 只存 在 于 内存 中 )对 网 络 造 成 拒 如 有 , 绝服务 . 以及 和 黑 客技 术 相 结 合 等 等 。在 产 生 的破 坏 性 上 , 虫 蠕 病 毒 也 不 是普 通 病 毒 所 能 比拟 的 .网络 的发 展 使 得 蠕 虫 可 以在 短 短 的 时 间 内蔓 延 整 个 网 络 。 成 网络 瘫 痪 。 造 蠕 虫病 毒 对 计 算 机 网 络 的 危 害 分两 类 情 形 .一 种 是 针 对 自 行 组 网 的单 位 计 算 机 网 络 .蠕 虫病 毒 利用 软 件 系 统 漏 洞 主 动 进 行 攻 击 , 通 过 与互 联 网 的接 入 进 行 传 播 , 整 个 互 联 网 造 成 瘫 并 对 痪 性 的后 果 ;另 一 种 是 针 对普 通 的个 人 使 用 者 。通 过 网 络 应 用 ( 是 电子 邮 件 , 意 网 页形 式 ) 速传 播 蠕 虫 病 毒 。在 这 两 类 主要 恶 迅 中 .第 一 种具 有 很 大 的 主 动 攻 击性 ,而 且 爆 发 也 有 一 定 的 突 然 性 . 相 对 来 说 , 范 这 种 病毒 并 不 是 很 困难 。第 二 种 蠕 虫 病 毒 但 防 的 传播 方 式 比较 复 杂 和 多 样 .少 数 利用 了微 软 的 应 用 程 序 的 漏 洞 . 多 的是 利 用对 用 户 进 行 欺 骗 和 诱使 。 类 病 毒 造 成 的 损 失 更 这 是 非 常大 的 . 时也 是 很 难 根 除 的 。 面分 析这 两 种病 毒 的 特 征 同 下 从 而 帮助 用 户 找 到 防 范措 施 .
计算机网络蠕虫病毒及防治
广, 网络 上 的扫描 包 就越 多。 即使 扫 描程 序 发 出 的
() 1 利用 软件 系统 的 漏 洞 主 动进 行 攻 击 。此类
病 毒攻击 不仅 仅 是操 作 系 统 的 漏 洞 , 时 也攻 击应 同
用软件 的漏洞 。比如 : QL蠕 虫 王 病毒 则 是利 用 了 S S ev r QL S re 系统 远 程 堆 栈 缓 冲 区溢 出漏 洞 进 行 大
蒋卫 国 , 寿祥 魏
( 国石 油 兰 州 石 化 公 司 石 油 化工 研 究 院 , 中 甘肃 兰 州 70 6 ) 30 0
摘 要 : 分析蠕 虫病 毒 的特 点和传播 方 式的基础 上 , 企业 用 户和 个人 用户 两个方 面探 讨 蠕 虫病 在 从
毒的 一些 防 范措 施 。 关键 词 : 虫; 毒 ; 蠕 病 传播模 式 ; 漏洞 ; 范措 施 防
1 2 蠕 虫 病 毒 的 传 播 方 式 .
“ 冲击 波 ” “ 、震荡 波 ” 等 , 破坏 力 越 来越 强 , 企 等 其 给 业 和个人 带来 了 巨大的 经济损 失 。下面 先概述蠕 虫
病毒 的一 些特性 , 从 中找到 蠕虫 病毒 的防治 方法 。 再
蠕虫 采用 的 自动人 侵技术 , 有很强 的智 能性 , 没
模 式 出现 。比如 , 们 可 以把 利 用 邮件 进 行 自动传 我
播 也作 为一种 模式 。这 种 模 式 的描 述 为 : 由邮 件地
维普资讯
第 5期
蒋 卫 国等 : 算 机 网络 蠕虫 病毒及 防治 计
来越 高 !
浏览 时触 发 。
程 主机的 系统控 制 权 。然后 , 毒 会 利 用 自身 的复 病 制功 能将蠕 虫程 序复制 到新 主机并激 活 。复制 过程 也 有很多种 方法 , 以利 用 系统本 身的程 序实 现 , 可 也 可 以用蠕 虫 自带 的程 序 实 现 , 制 过程 实 际 上 就是 复
() 1 利用 软件 系统 的 漏 洞 主 动进 行 攻 击 。此类
病 毒攻击 不仅 仅 是操 作 系 统 的 漏 洞 , 时 也攻 击应 同
用软件 的漏洞 。比如 : QL蠕 虫 王 病毒 则 是利 用 了 S S ev r QL S re 系统 远 程 堆 栈 缓 冲 区溢 出漏 洞 进 行 大
蒋卫 国 , 寿祥 魏
( 国石 油 兰 州 石 化 公 司 石 油 化工 研 究 院 , 中 甘肃 兰 州 70 6 ) 30 0
摘 要 : 分析蠕 虫病 毒 的特 点和传播 方 式的基础 上 , 企业 用 户和 个人 用户 两个方 面探 讨 蠕 虫病 在 从
毒的 一些 防 范措 施 。 关键 词 : 虫; 毒 ; 蠕 病 传播模 式 ; 漏洞 ; 范措 施 防
1 2 蠕 虫 病 毒 的 传 播 方 式 .
“ 冲击 波 ” “ 、震荡 波 ” 等 , 破坏 力 越 来越 强 , 企 等 其 给 业 和个人 带来 了 巨大的 经济损 失 。下面 先概述蠕 虫
病毒 的一 些特性 , 从 中找到 蠕虫 病毒 的防治 方法 。 再
蠕虫 采用 的 自动人 侵技术 , 有很强 的智 能性 , 没
模 式 出现 。比如 , 们 可 以把 利 用 邮件 进 行 自动传 我
播 也作 为一种 模式 。这 种 模 式 的描 述 为 : 由邮 件地
维普资讯
第 5期
蒋 卫 国等 : 算 机 网络 蠕虫 病毒及 防治 计
来越 高 !
浏览 时触 发 。
程 主机的 系统控 制 权 。然后 , 毒 会 利 用 自身 的复 病 制功 能将蠕 虫程 序复制 到新 主机并激 活 。复制 过程 也 有很多种 方法 , 以利 用 系统本 身的程 序实 现 , 可 也 可 以用蠕 虫 自带 的程 序 实 现 , 制 过程 实 际 上 就是 复
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
青 岛 科 技 大 学 专 科 毕 业 设 计 正统文化网络执笔
题 目 __________________________________
__________________________________
指导教师__________________________
学生姓名__________________________
学生学号__________________________
___________________________院班 ______年 ___月 ___日
蠕虫病毒的检测和防御研究 蠕虫病毒的检测和防御研究 摘 要 随着网络技术的发展,蠕虫病毒不断扩大对网络安全构成了严重的威胁,本文基于当前蠕虫攻击破坏的严峻形势,对蠕虫病毒的检测和防御技术进行了研究。首先对蠕虫病毒相关知识作了介绍,包括蠕虫病毒的定义、工作流程以及行为特征,并简要分析了蠕虫病毒国内外研究现状;在此基础上接着研究了蠕虫病毒检测技术,提出了基于蠕虫特征码、蠕虫行为特征、蜜罐和蜜网技术以及贝叶斯蠕虫检测技术;最后对蠕虫病毒的防御技术进行了研究,从企业网络用户和个人用户的角度分析了面对当前蠕虫攻击所需要注意和采取的措施,以尽最大可能减少蠕虫的侵害,营造一个良好的网络环境。
关键词:蠕虫病毒;检测;防御;网络安全 目录 前言1 1蠕虫病毒相关知识介绍2 1.1蠕虫病毒定义2 1.2蠕虫病毒工作流程和行为特征2 1.3蠕虫病毒国内外研究现状4 2蠕虫病毒检测技术研究5 2.1基于蠕虫特征码的检测技术5 2.2基于蠕虫行为特征的检测技术5 2.3基于蜜罐和蜜网的检测技术6 2.4基于贝叶斯的网络蠕虫检测技术6 3蠕虫病毒防御技术研究8 3.1企业防范蠕虫病毒措施8 3.2个人用户防范蠕虫病毒措施9 4总结10 致谢11 参考文献12 前言 随着网络技术的发展,人类社会正逐步进入到数字化时代,计算机已经应用到日常生活各个领域,人们在享受到网络便捷服务的同时,各种安全问题也随之出现。从基于DOS界面的病毒发展到今天基于Windows、Unix等操作系统的各种蠕虫、病毒等,在网络的快速发展带动下,使得计算机不断遭受到了非法入侵,不法黑客人员盗取了一些重要信息,甚至造成了操作系统的瘫痪,对个人和企业都带来了相当巨大的经济损失,同时对国家网络安全也构成威胁,带来了无法估计的损失。最早开始的网络蠕虫攻击是发生在1998年的Morris蠕虫病毒事件,从此后蠕虫病毒的研究成为了一项重要的课题。 2009年中国计算机病毒疫情调查技术的分析报告指出,中国网络安全态势发展进一步加大,网上制作和贩卖蠕虫、病毒以及木马等活动日益严重,并通过这些蠕虫病毒侵害网络的现象日趋上升。2018年上半年期间,CNCERT/CC一共接收了4780次网络安全的事件报告,相比上一年增长了105%,其中恶意代码占到了57.57%的比例,中国大陆地区有将近124万个IP地址对应的计算机受到了蠕虫木马程序的侵害和控制。近几年,出现了很多病毒和蠕虫危害,比如说尼姆达、熊猫烧香、QQ尾巴、飞客等等,严重影响和干扰了计算机网络安全,侵害了个人和企业以及国家的财产安全,而且蠕虫病毒的网上传播仍然十分猖獗,对网络安全的威胁依然存在。因此,网络蠕虫的研究是我们必须要关心的问题,对蠕虫病毒进行检测和防御技术研究具有重要意义。 基于此研究背景和网络安全形势,本文将对蠕虫病毒的检测和防御技术进行研究。具体包括: (1>蠕虫病毒相关知识介绍。介绍蠕虫病毒的定义、工作流程以及行为特征,并简要分析国内外研究现状; (2>蠕虫病毒检测技术研究。介绍基于蠕虫特征码、行为特性等方面的检测控制技术; (3>蠕虫病毒防御技术研究。从企业网络和个人用户角度,研究防御蠕虫攻击的主要措施。 1蠕虫病毒相关知识介绍 1.1蠕虫病毒定义 关于蠕虫病毒的定义很多,最早的定义是Eugene H.Spafford给出的:“蠕虫是可以独立运行的,并且能够自我复制且传播到其他计算机上的一段程序代码”。但是随着网络的发展和科技的进步,蠕虫病毒出现了各种不同的变种,且产生了难以抑制的效果,因此学者们给予了多种多样的定义。Elder 和Kienzle认为:“网络蠕虫是通过计算机网络来进行传播,无须用户干预就能够独立运行或者依赖文件共享而去主动攻击其他计算机的一种恶意代码的形式”。 尽管蠕虫病毒的形式多种多样,不同学者给出了不同的定义,但是从以上给出的几种定义中可以看出,蠕虫病毒的定义都具有共同的特性,主要体现在以下几个方面: (1>蠕虫病毒独立运行,不需要用户进行干预; (2>蠕虫病毒具有自我传播和自我复制的特性,并且传染的方式途径很多,传播的速度较快,对网络和计算机安全破坏性强。 蠕虫一般是通过计算机的漏洞进行传播,国家网络安全中心每年发现的计算机漏洞数量惊人,尤其是近几年来,蠕虫病毒利用了很多零日漏洞进行传播,对网络安全和计算机构成了严重威胁。
1.2蠕虫病毒工作流程和行为特征 (1>蠕虫病毒工作流程 网络蠕虫病毒的工作流程一般可以分为四个阶段:扫描、攻击、处理、复制。扫描主要是对目标地址空间内存在漏洞的计算机,收集相关信息以备攻击电脑,为攻击目标而准备;攻击阶段则是对扫描出的存在漏洞的计算机进行攻击,并感染目标机器;处理阶段隐藏自己在已感染的主机上,并且给自己留下后门,执行破坏命令;复制阶段主要是自动生成多个副本,主动感染其他主机,达到破坏网络的效果。蠕虫病毒的整个工作流程如图1-1所示。 图1-1蠕虫病毒工作流程 (2>蠕虫病毒行为特征 通过对网络蠕虫的定义介绍以及工作流程分析,可以归纳出蠕虫的行为主要特性,具体如下: ①自我复制和主动攻击。蠕虫具有自我复制和主动攻击功能,当蠕虫病毒被释放后,它们会自动搜索当前网络系统是否存在机器漏洞,如果存在则进行攻击,反之则寻找新的系统查找漏洞,整个流程都是蠕虫自身完成,不需要人工进行任何干预。 ②利用系统漏洞进行攻击。蠕虫通过计算机系统漏洞进行攻击,没有漏洞
是 是
是
开始 按一定的扫描方式扫描地址空间内的主机
主机是否存在?
漏洞是否存在? 开始攻击 攻击成功 处理、传染、复制
否 否
否 则不能攻击系统,因此蠕虫最基本的行为特征是利用系统漏洞进行攻击。 ③极具破坏性。随着网络的发展,蠕虫病毒也越来越具有破坏性,造成了巨大的经济损失,使得计算机系统崩溃,深圳网络瘫痪等情况。 ④反复攻击性。即使清理掉了蠕虫病毒被,在计算机重新连接到网络之前没有为之漏洞打补丁,那么这台计算机依然可能会被感染,蠕虫病毒会反复攻击。 ⑤使得计算机系统性能下降,整个网络塞堵甚至瘫痪。蠕虫病毒进行攻击之前会进行网络大面积的扫描,对同一个端口不断的发送数据包,造成计算机系统性能下降;当扫描到存在系统漏洞的计算机时会产生额外的网络流量,引起网络拥塞,甚至可能造成瘫痪,带来巨大的经济损失。 ⑥很好的伪装以及隐藏方式。蠕虫病毒一般都具有较高隐藏功能,用户不容易发现,不能及时清理,同时它们会在感染计算机系统后留下逃脱后门。
1.3蠕虫病毒国内外研究现状 随着蠕虫病毒的发展,网络安全技术厂商通过结合各种安全技术产品的方式对付蠕虫病毒,其中典型的方式是将网络杀毒软件、终端与防火墙、漏洞扫描系统、入侵检测相结合。2005年以来,产生了很多具有代表性的安全方案,具体地主要有: 2004年底,锐捷网络推出了全局安全网络解决方案,相比于简单的“杀毒软件+防火墙”这种体系来说,其安全措施加强了对于网络终端安全性的控制以及修复。对每个用户计算机加载一个客户端软件,如果发现有蠕虫病毒侵入,立即通知服务器,服务器将会隔离此用户与正常用户,并修复入侵系统漏洞。当修复完成之后,安全客户端软件还会自动重新检测用户系统,在确定系统已解除安全隐患之后才允许再次进入网络。通过这种自动检测和拦截技术,将蠕虫病毒等安全隐患拒之门外,能够防患于未然。 趋势科技公司推出了企业安全防护战略-EPS(Enterprise Protection Strategy>,主要是采用蠕虫病毒入侵检测技术,不断地侦听网络内部是否接入有蠕虫病毒数据包,一旦检测到蠕虫侵入,随即隔离所有的危险设备。 以上对蠕虫病毒的防护技术主要是针对于操作系统的漏洞而检测的,目前,随着科学技术的进步和网络的发展,蠕虫病毒不断扩大的同时检测和防御技术也在不断更新中,蠕虫病毒的研究始终是一项重要的研究内容。 2蠕虫病毒检测技术研究 蠕虫技术的不断扩大对网络的安全构成了极大的威胁,甚至有可能带来网络瘫痪,造成巨大的经济损失,因此必须采取有效措施和途径,对网络蠕虫进行检测和控制,下面将对蠕虫病毒的检测技术进行研究。
2.1基于蠕虫特征码的检测技术 基于蠕虫特征码的检测技术是目前使用最多的一种检测技术,其主要手段是通过特征进行匹配。具体的检测原理是:首先收集一些蠕虫恶意代码的特征值,然后在这些特征值的基础上创建相应的特征码规则库,当检测计算机是否受到蠕虫病毒感染或者攻击时,将检测到的网络行为的特征码和特征码规则库中具体规则进行匹配,若是匹配成功则说明该网络存在异常,可能含有蠕虫病毒等危害,应当给出警告提示或者拒绝访问。 由以上检测原理可见,这种检测技术存在一定的限制,只有当特征码规则库中存在恶意行为的特征码规则时,才能够匹配成功,判定该网站存在恶意行为,进行抑制或者反击。在这种情况下,若是有些蠕虫病毒并没有在规则库中匹配成功,不能被检测出来,那么该网络就可以通过检测,对计算机系统造成危害,带来不可预测的经济损失,因此需要对规则库实时进行维护和更新,确保最新的蠕虫病毒特征码存储在特征库中,能够被识别出来。 目前比较熟知的基于蠕虫特征码的检测算法包括Earlybird和Autograh,这两种方法提供实时提取特征码功能,基于Rabin fingerprint算法。当蠕虫病毒变形扩散后,单一连续的字符串不能够作为特征码使用,为此James Newsome提出了著名的Ploygraph检测系统,可以提取出具有蠕虫变形规律的特征码。
2.2基于蠕虫行为特征的检测技术 基于蠕虫行为特征的检测技术主要包括四种方法:统计分类法、简单阈值法、信号处理法以及智能计算法。其中简单阈值法的检测指标是与连接相关的指标,包括连接失败数、连接请求数、ICMP消息数以及连接端口的流量等等。Bakos提出了一种蠕虫行为特征检测技术,利用了ICMP目标主机不可达