林世飞互联网企业应对恶意网址的思考applelin.ppt

不管是通过购买 还是自己建设 * * * * * * * * * * * * 对于互联网公司如何应对恶意网站这个内容可以探讨的很多。 最后抛出我个人的一些思考，因为能够引起大家更多的思考。 希望互联网公司能够共同努力，毕竟用户机器中毒 对于任何一家互联网公司不是一件什么好消息。 * * 互联网企业应对恶意网站的思考 安全中心 applelin 目录 形势概述与危害分析 问题与难点分析 互联网企业如何应对恶意网站 腾讯产品安全现状与规划 0.02% 7997696 35% … 形势概述与危害分析 形势概述与危害分析 利益驱动，恶意软件专业化，集团化 通过第三方挂马，间接挂马方式流行 第三方软件漏洞大量利用，0day频出，防不胜防 针对诈骗问题，互联网企业很难独善其身 形势概述与危害分析 木马下载器大量传播，危害游戏产业帐号体系 催生僵尸网络，DDOS攻击流行 通过肉鸡进行点击欺诈，危害广告、搜索产业 诈骗带来大量投诉，运营成本高，企业信誉受损 电子商务，银行用户受损较大，用户流失 问题与难点分析 挂马网站危害用户过程分析: 问题与难点分析 不同时期打击成本金字塔: 互联网企业如何应对恶意网站 搜索 Google，Yahoo搜索结果加入恶意评价 Google Safe Browsing API提供恶意库 浏览器 IE、firefox等添加恶意检查特性 安全浏览器：sandboxie 、360安全浏览器 安全厂商 杀毒客服端，云安全 IE 插件，过滤防火墙 评价体系McAfee SiteAdvisor 互联网企业如何应对恶意网站 互联网公司需要面对的挂马威胁策略： 办公网：不受渗透威胁 建立认证web 访问控制 建立出口exe下载，url访问审计日志 产品：不挂马传播渠道，保护帐号体系 建立统一过滤库，定期更新 各个产品联动，整体打击 关键域名DNS 解析情况实时监控 第三方 建立第三方登记和认证中心，进行检测拦截 建立高效，完善应急处理体制，迅速响应 互联网企业必须具备恶意网站检测发现能力 互联网企业如何应对恶意网站 剖析恶意代码攻击的几个特点： 基础：必须利用ActiveX漏洞、逻辑漏洞、浏览器漏洞 通道：通过DNS劫持，ARP欺骗，SQL注入挂马方式多样 对抗：Web2.0技术普遍应用，自动检测困难 对抗：代码混淆技术形式多样，查杀困难 互联网企业如何应对恶意网站 剖析恶意代码的代码混淆技术： 变量：计算拼接，Unicode变量名 函数：分块，重定义 编码：base64 、MD5、自定义 加密 运行时修改：eval、window.exeScript、document.write 条件激发：是否已中毒、IE版本是否符合、是否安装杀毒软件 当代码和数据混在一起，问题变复杂了 互联网企业如何应对恶意网站 网页木马代码混淆技术对抗杀毒 软件的实例 一段利用InstallShield 漏洞的网马 混淆前，赛门铁克可以查杀 混淆后，赛门铁克不能查杀 互联网企业如何应对恶意网站 检测恶意代码的常见方案： 特征码：利用特征病毒库判断病毒的方式 例子：JS.Dropper-33:3:200,30:756e6573636…… 行为监控：在虚拟机中访问网页，监控程序网络访问行为 脚本解析：使用脚本引擎解析网页，获取最终执行代码 互联网企业如何应对恶意网站 一个利用虚拟机技术检测挂马页面例子，系统构成： 互联网企业如何应对恶意网站 一个利用虚拟机技术检测挂马页面例子，工作流程 互联网企业如何应对恶意网站 一个利用虚拟机技术检测挂马页面例子，结果分析 ： 机器 运行时间（小时） 扫描URL数（个） 捕获可执行文件数（个） 捕获cab压缩文件数（个） 捕获其他文件数（个） 扫描总文件数（个） 有风险文件数（个） 扫描效率（条/小时） A 25 364 493 338 37 1221 354 15 B 48 586 607 591 68 1840 353 12 C 71 767 966 45 4216 9402 560 11 互联网企业如何应对恶意网站 基于脚本解释引擎的挂马检测系统，引擎对比： 测试环境：2G RAM，CPU 3.0GHz * 4。系统：32bit SuSE 10 + gcc 4.1.2 样本总计：63854个 Js 引擎 性能 稳定性 扩展性 tracemonkey ?82.44%的页面能在15ms内处理完毕；91.11%的页面能在20ms内处理完毕 ???????? 随机性的短代码（4~6行）来测试，连续测试10万次。 内存占用较多 拥有比较灵活的api来控制js代码的执行时间以及垃圾收集频率，对于应用的稳定性有很大