网络攻防技术 - 淮海工学院凌风数字化网络教学平台.ppt

网络攻防技术 徐馨 E-MAIL:Leo_smile@ 淮海工学院计算机工程学院 漏洞越来越多… 攻击越来越容易… 病毒数量增长越来越快… 风险越来越大… 病毒、蠕虫、DDoS组合攻击 DDoS 增长趋势 Internet面临的安全挑战 如何防范自动化攻击？ 如何防范快速突发攻击？ 如何防范大规模攻击？ 恶意移动代码主要特性 破坏性(Malicious Code, Malware) 移动性(Mobile Code) 通过网络 通过人 恶意移动代码主要种类 Internet 蠕虫 病毒邮件 文件系统病毒 网页脚本 木马 恶意移动代码的简单比较 各种恶意移动代码的融合趋势 病毒、蠕虫、木马之间的界限已经不再明显； 综合使用多种攻击手段： 传播：计算机系统的漏洞、电子邮件、文件共享、Web浏览等 社会工程（social engineering ) 攻防主体 影响网络安全的三支力量 Hacker VXer Cracker 防范主体 网络运营商、服务提供商、用户； 系统厂商、防毒产品厂商； 科研技术人员、政府主管部门； 蠕虫的历史回顾 Xerox PRAC， 1980年 Morris Worm， 1988年11月2日 WANK Worm， 1989年10月16日 ADM Worm， 1998年5月 Millennium， 1999年9月 Ramen Worm， 2001年1月 Lion Worm， 2001年3月23日 Adore Worm， 2001年4月3日 Cheese Worm， 2001年5月 Sadmind/IIS Worm， 2001年5月 CodeRed Worm， 2001年7月19日 Nimda Worm， 2001年9月18日 Slapper， 2002年9月14日 Slammer， 2003年1月25日 Dvldr32， 2003年3月7日 MSBlaster， 2003年8月12日 Nachi， 2003年8月18日 2004年蠕虫 MyDoom.C 2004年2月9日 Witty Worm 2004年3月20日 Sasser Worm 2004年4月30日 Santy Worm 2004年12月21日 蠕虫的爆发周期越来越短… 漏洞公布和蠕虫爆发的间隔越来越短 恶意移动代码主要研究内容 恶意代码的工作机制 其他工作的基础 传播模型 现有模型忽略太多因素而缺乏指导意义 仿真 仿真Internet难度较大 检测 检测结果出来为时已晚 抑制 现实需求 恶意软件概述 1. 恶意软件的概念 恶意软件也称恶意代码，具有扰乱社会和用户，甚至起着干扰破坏正常操作功能的代码程序。 从广义的严格概念上讲，计算机病毒也是恶意软件的一种。 狭义上恶意软件是介于病毒和正规软件之间的代码程序。 “流氓软件”介于两者之间，同时具备正常功能（下载、媒体播放等）和恶意行为（弹广告、开后门），给用户带来危害。 其特点是：它具有一定的实用价值，一般是为方便用户使用计算机工作、娱乐而开发，面向社会公众公开发布的软件，并且一般是免费的，不属于正规的商业软件；同时也具有恶意软件的种种特征，给用户带来一定危害 恶意代码关键技术分析 恶意代码侵入技术 恶意代码隐藏技术 1、文件和运行隐藏 2、通信隐藏 3、启动方式的隐藏 恶意代码生存技术 1、反跟踪技术 2、加密技术 3、模糊变换技术 恶意代码的防范技术 基于主机的恶意代码防范技术 1、基于特征的扫描技术 2、校验和 3、沙箱技术 基于网络的恶意代码防范技术 注册表启动 Run键 这是最常用的注册表启动方法，在Run键下面的所有程序在用户每次登陆后都会自动执行，其键位置如下： HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run; HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run; RunOnce键 RunOnce键只在用户首次登陆时才运行，其键位置如下： HKEY_LOCAL_MACHINE\ SOFTWARE \Microsoft\Windows\CurrentVersion\RunOnce; RunOnceEx键 这个键值只有windows XP和windows 2003才有，也可以实现自启动： HKEY_ LOCAL _MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEx; RunServices键 HKEY_LOCAL_MACHINE\SOFTWARE \Microsoft\Windo