第11章网络病毒防范技术讲解.ppt

* 曾湘黔主编： 网络安全技术 清华大学出版社出版 随着计算机技术的广泛发展和网络技术的日益普及，对计算机的依赖性也越来越高。但是计算机病毒的疫情，尤其是病毒通过网络的迅速蔓延，给计算机系统带来了极大的危害。在Internet的普及和发展的同时，计算机病在毒破坏能力、传播速度、传播途径、传播方法上也有很大的变化和发展，病毒全球化的现象日益明显，新病毒的产生频率、传播速度明显加快，破坏力也越来越强。这些主要依靠电子邮件和网络传播的恶意病毒已给网络的安全构成严重威胁。 一个完善的防病毒系统应该立体的、多层次的防御体系，并要求针对特定的网络结构、应用特点来制定并实施可靠的防病毒方案。 第11章　网络病毒防范技术 11.1　网络病毒基础 11.1.1　计算机病毒的概念 11.1.2　计算机病毒的特征 11.1.3　计算机病毒的结构 11.1.4 网络病毒的特征与传播方式 11.2　病毒检测与防范技术 11.2.1　病毒检测技术 12.2.2 病毒防范技术 11.3 典型病毒检测与防范产品简介 11.4　网络病毒防范实例 11.4.1 病毒特征码的提取及应用技术 11.4.2 宏病毒及防范 11.4.3 网络病毒及防范 11.4.4 恶意代码及防范 第11章　网络病毒防范技术 曾湘黔主编： 网络安全技术 清华大学出版社出版 “计算机病毒”最早是由美国计算机病毒研究专家Fred Cohen博士正式提出的，“病毒”一词来源于生物学，因为计算机病毒与生物病毒在很多方面有着相似之处。 Fred Cohen博士对计算机病毒的定义是：“病毒是一种靠修改其他程序来插入或进行自身拷贝，从而感染其他程序的一段程序。”这一定义作为标准已被普遍的接受。 在《中国人民共和国、计算机信息系统安全保护条例》中的定义为：“计算机病毒是指编制者在计算机程序中插入的破坏计算机功能或者数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。” 11.1　网络病毒基础 11.1.1　计算机病毒的概念 曾湘黔主编： 网络安全技术 清华大学出版社出版 1.传染性 病毒通过各种渠道从已被感染的计算机扩散到未被感染的计算机。病毒成素一旦进入计算机并得以执行，就会寻找符合感染条件的目标，将其感染，达到自我繁殖的目的。 2.隐蔽性 病毒一般是具有很高编程技巧的，短小精悍的一段代码，躲在合法程序当中。如果不经过代码分析，病毒程序与正常程序是不容易区别开来的，这是病毒成素的隐蔽性。 3.潜伏性 病毒进入系统之后一般不会马上发作，可以在几周或者几个月甚至几年内隐蔽在合法程序中，默默地进行传染扩散而不被人发现，潜伏性越好，在系统中，存在时间就会月长，传染范围也就会越大。 4.多态性 病毒试图在每一次感染时改变它的形态，使对它的检测变得更困难。一个多态病毒还是原来的病毒，但不能通过扫描特征字符串来发现。 5.破坏性 病毒一旦被触发而发作就水造成系统或数据的损伤甚至毁灭。 11.1.2　计算机病毒的特征 曾湘黔主编： 网络安全技术 清华大学出版社出版 计算机病毒主要由潜伏机制，传染机制和表现机制构成。 1.潜伏机制 潜伏机制的功能包括初始化，隐蔽和捕捉。 2.传染机制 传染机制的功能包括判断和感染。 3.表现机制 表现机制的功能包括判断和表现。 11.1.3　计算机病毒的结构 曾湘黔主编： 网络安全技术 清华大学出版社出版 1．网络病毒的特征 （1）感染速度快。在单机环境下，病毒只能通过软盘从一台计算机带到另一台，而在网络中则可以通过网络通讯机制进行迅速扩散。 　　（2）扩散面广。由于病毒在网络中扩散非常快，扩散范围很大，不但能迅速传染局域网内所有计算机，还能在瞬间通过远程工作站将病毒传播到千里之外。 　　（3）传播的形式复杂多样。计算机病毒在网络上一般是通过“工作站-