恶意代码攻击技术.pptVIP

4. 基于CCDC的检测防御 防范恶意代码的CCDC体系实现以下功能：①鉴别恶意代码的爆发期；②恶意代码样本特征分析；③恶意代码传染对抗；④恶意代码新的传染途径预测；⑤前摄性恶意代码对抗工具研究；⑥对抗未来恶意代码的威胁。 4. 基于CCDC的检测防御 CCDC 能够实现对大规模恶意代码入侵的预警、防御和阻断。但CCDC也存在一些问题：①CCDC是一个规模庞大的防范体系，要考虑体系运转的代价；②由于CCDC体系的开放性，CCDC自身的安全问题不容忽视；③在CCDC 防范体系中，攻击者能够监测恶意代码攻击的全过程，深入理解CCDC防范恶意代码的工作机制，因此可能导致突破CCDC 防范体系的恶意代码出现。 * 网络蠕虫 7.4 1 蠕虫的结构 2 网络蠕虫的定义 网络蠕虫 随着网络系统应用及复杂性的增加，网络蠕虫成为网络系统安全的重要威胁。 在网络环境下，多样化的传播途径和复杂的应用环境使网络蠕虫的发生频率增高、潜伏性变强、覆盖面更广，网络蠕虫成为恶意代码研究中重中之重。 网络蠕虫的定义 网络蠕虫是一种智能化、自动化的计算机程序，综合了网络攻击、密码学和计算机病毒等技术，是一种无需计算机使用者干预即可运行的攻击程序或代码，它会扫描和攻击网络上存在系统漏洞的节点主机，通过局域网或者国际互联网从一个节点传播到另外一个节点。 1 网络蠕虫的定义 蠕虫具有主动攻击、行踪隐蔽、利用漏洞、造成网络拥塞、降低系统性能、产生安全隐患、反复性和破坏性等特征，网络蠕虫是无须计算机使用者干预即可运行的独立程序，它通过不停地获得网络中存在漏洞的计算机上的部分或全部控制权来进行传播。 1 网络蠕虫起源 蠕虫病毒（Worm）源自第一种在网络上传播的病毒。1988年，22岁的康奈尔大学研究生罗伯特·莫里斯（Robert Morris）通过网络发送了一种专为攻击UNIX系统缺陷、名为“蠕虫”（Worm）的病毒。蠕虫造成了6000个系统瘫痪，估计损失为200万到6000万美元。由于这只蠕虫的诞生，在网上还专门成立了计算机应急小组（CERT）。现在蠕虫病毒家族已经壮大到成千上万种，并且这千万种蠕虫病毒大都出自黑客之手。 蠕虫的结构 网络蠕虫的功能模块可以分为主体功能模块和辅助功能模块。实现了主体功能模块的蠕虫能够完成复制传播流程，而包含辅助功能模块的蠕虫程序则具有更强的生存能力和破坏能力。网络蠕虫功能结构如图 2 1、主体功能模块 主体功能模块由四个模块构成： ①信息搜集模块。该模块决定采用何种搜索算法对本地或者目标网络进行信息搜集，内容包括本机系统信息、用户信息、邮件列表、对本机的信任或授权的主机、本机所处网络的拓扑结构，边界路由信息等等，这些信息可以单独使用或被其他个体共享； 1、主体功能模块 ②扫描探测模块。完成对特定主机的脆弱性检测，决定采用何种的攻击渗透方式； ③攻击渗透模块。该模块利用②获得的安全漏洞，建立传播途径，该模块在攻击方法上是开放的、可扩充的； 1、主体功能模块 ④自我推进模块。该模块可以采用各种形式生成各种形态的蠕虫副本，在不同主机间完成蠕虫副本传递。例如“Nimda”会生成多种文件格式和名称的蠕虫副本；“W32.Nachi.Worm”利用系统程序（例如TFTP）来完成推进模块的功能等等。 2. 辅助功能模块 辅助功能模块是对除主体功能模块外的其他模块的归纳或预测，主要由五个功能模块构成： ①实体隐藏模块。包括对蠕虫各个实体组成部分的隐藏、变形、加密以及进程的隐藏，主要提高蠕虫的生存能力； ②宿主破坏模块。该模块用于摧毁或破坏被感染主机，破坏网络正常运行，在被感染主机上留下后门等； 2. 辅助功能模块 ③信息通信模块。该模块能使蠕虫间、蠕虫同黑客之间能进行交流，这是未来蠕虫发展的重点；利用通信模块，蠕虫间可以共享某些信息，使蠕虫的编写者更好地控制蠕虫行为； ④远程控制模块。控制模块的功能是调整蠕虫行为，控制被感染主机，执行蠕虫编写者下达的指令； ⑤自动升级模块。该模块可以使蠕虫编写者随时更新其它模块的功能，从而实现不同的攻击目的。 恶意代码防范方法 7.5 1 基于网络的恶意代码防范方法 2 基于主机的恶意代码防范方法 恶意代码防范方法 目前，恶意代码防范方法主要分为两方面： 基于主机的恶意代码防范方法 基于网络的恶意代码防范方法。 基于主机的恶意代码防范方法 主要包括： 基于特征的扫描技术 校验和 沙箱技术 安全操作系统对恶意代码的防范，等等。 1 1. 基于特征的扫描技术 基于主机的恶意代码防范方法是目前检测恶意代码最常用的技术，主要源于模式匹配的思想。扫描程序工作之前，必须先建立恶意代码的特征文件，根据特征文件中的特征串，在扫描文件中进行匹配查找。用户通过更新特征文件更新扫描软件，查找最新的恶意代码版