操作系统原理课件作者周苏教学课件第13章节操作系统安全.ppt

13.7.2 反病毒技术 （2）数字免疫系统 数字免疫系统是由IBM公司开发且由赛门铁克公司改进的一种防病毒的综合方法，其动机是为了应对不断上升的基于因特网传播的病毒的威胁。 13.7.2 反病毒技术 传统意义上的病毒威胁其新病毒和新变体扩散相对缓慢，并且当时因特网在病毒传播方面还扮演着一个比较小的角色。但近年来因特网技术方面的两个主要趋势已经对病毒传播速度产生了越来越大的影响： 集成化的邮件系统。诸如Lotus Notes和Microsoft Outlook这样的系统，使得给任何人发送任何内容和使用收到的内容非常简单。 可移动程序系统。Java和ActiveX允许程序把自己从一个系统移动到另一个系统。 13.7.2 反病毒技术 为应对这些基于因特网能力而构成的威胁，IBM开发了一个数字化免疫系统的原型，该系统扩展了程序仿真的应用，并且提供了一套通用的仿真和病毒检测方法。该系统的目标是提供快速响应时间，以便几乎在病毒刚问世时就可以消灭它。当一种新病毒进入一个组织时，免疫系统自动捕获它，分析它，检测和屏蔽它，删除它，并且向运行IBM反病毒软件的系统传送关于那种病毒的信息，以便在别处允许它运行之前，就可以发现它。 图13-3中给出了数字化免疫系统中典型的操作步骤。 图13-3 数字免疫系统 13.7.2 反病毒技术 1）每台PC上的监控程序使用多种基于系统的行为、可疑程序或家族签名的启发式方法，来推断出一种病毒可能存在。监控程序将任何它认为受感染的程序发送给组织内的管理机器。 2）管理机器加密这个样本并且把它发送到一台中心病毒分析计算机。 3）为了分析，这台机器建立一个可以让被感染程序安全运行的环境。用于此目的的技术包括仿真，或者创建一个可疑程序能运行和受监控的受保护环境。接着病毒分析机器提供一个用于识别和移除病毒的指令。 4）结果指令被返还到管理机器。 13.7.2 反病毒技术 5）管理机器把这个指令转发到受感染的客户端。 6）该指令也被转发到组织里的其他客户端。 7）全世界的用户得到有规律的防病毒更新，以保护他们免受新病毒的危害。 数字免疫系统的成功依赖于病毒分析机器检测新出现的和变异的病毒株的能力。通过经常分析和监控自然状态下发现的病毒，连续不断改进数字化免疫软件以跟上威胁应该是可能的。 13.7.3 蠕虫对策 处理病毒和蠕虫的技术有相当多的重叠。一旦蠕虫入侵机器，反病毒软件就能检测它。另外，因为蠕虫传播会产生相当多的网络活动，所以对网络活动和使用的监控能形成防御蠕虫的基础。 首先，考虑一种有效的蠕虫对策方案的要求： 通用性：采用的方法能应付多种蠕虫攻击，包括多态蠕虫。 及时性：应该反应迅速，以便限制被感染系统数量和由被感染系统产生的传输数量。 适应性：应该对攻击者为躲避蠕虫对策而采用的躲避技术有抵抗力。 13.7.3 蠕虫对策 最小拒绝服务代价：应该导致能力或服务方面的最小削弱，这种削弱是对策软件的行动导致的。也就是说，试图控制蠕虫传播，对策不应该明显地干扰正常的操作。 透明性：对策软件和设备不应该要求修改现有的（遗留）操作系统、应用软件和硬件。 全球和本地覆盖：该方法应该能应对企业网内部和外部的攻击源。 现有的蠕虫对策方案都无法满足所有这些要求。因此，系统管理员通常需要使用多种方法来防御蠕虫攻击。 13.7.3 蠕虫对策 典型的蠕虫防御措施包括： 1）基于签名的蠕虫扫描策略：这类方法产生一个蠕虫签名。通常该方法包括识别可疑的流和生成一个蠕虫签名。该方法易受多态蠕虫的伤害，该方案可能需要很长的响应时间。 2）基于过滤器的蠕虫抑制：该方法与1）类方法相似，但集中于蠕虫的内容而非一个扫描签名。过滤器检查一条消息以决定它是否包含蠕虫代码。 3）基于有效载荷分类的蠕虫抑制：这些基于网络的技术通过检查包来了解其中是否包含蠕虫。可以使用各种各样的异常检测技术，但要避免误报率和漏报率太高。 13.7.3 蠕虫对策 4）速度阻止：当输出链接速度或连接企图的多样性超过某个阈值时，该方法立刻阻止输出流量。该方法必须包含以一种透明的方式快速解除阻塞那些被错误阻塞的主机的办法。速度阻止可以与基于签名或过滤器的方法结合，以便一旦生成一个签名或过滤器，每个被阻塞的主机都能解除阻塞。速度阻止似乎提供了一种非常有效的对策。 Thanks！ 13.5.2 基于令牌的身份验证 用户使用自身拥有的一个对象来验证自己的身份，这一对象就称为令牌。记忆卡和智能卡是两种应用广泛的令牌，它们是一些具有银行卡外形的卡片。 记忆卡 记忆卡可以存储数据，但不能处理数据，它和银行卡的共同点是，在卡的背面都有一个磁条，这个磁条可以存储简单的安全代码，并能够被一个并不贵重的卡阅读器读取。也有些记忆卡的内部使用的是电子记忆体。 13.5.2 基于令牌的身份验