- 1、本文档共34页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
商尔从,防病毒软件还是防病毒服务?8
防病毒软件还是防病毒服务?
ARP欺骗木马治理与对策
商尔从 SYSU-CSIRT
中山大学信息与网络中心
议题
防病毒软件还是防病毒服务?
ARP欺骗木马治理与对策
防病毒软件还是防病毒服务?
07’9-10提交VirusTotal
41个样本首次提交检出率
2007年9月-10月收集的41个病毒样本首次提交检出率统计
2007年9月-10月收集的41个病毒样本首次提交检出率统计
08’1-3 Symantec无法检出的样本
首次提交VirusTotal对比检出率(1)
2008年1月-3月收集的39个样本Symantec首次无法检出
2008年1月-3月收集的39个样本Symantec首次无法检出
08’1-3 Symantec无法检出的样本
Symantec修订病毒定义检出率会变化
2008年1-3月收集的39个样本Symantec增加到病毒定义中
2008年1-3月收集的39个样本Symantec增加到病毒定义中
Symantec修订病毒定义后检出率会发生变化。
Symantec修订病毒定义后检出率会发生变化。
SYSU-CSIRT提交样本
Symantec新增补的定义
VirusTotal有助样本提交及提高样本提交的准确性
VirusTotal有助样本提交及提高样本提交的准确性
专业的防病毒服务支持
防病毒软件产品(仅是防病毒服务中的一部分)
CSIRT现场事件响应服务
帮助台支持/知识库
风险分析威胁管理
披露与公告
教育与培训
安全意识
正确认识防病毒软件
防病毒软件不是万能的
防病毒软件需要配合辅助工具
防御工具
清理工具
修复工具
“主动防御” 尚待成熟
正确使用防病毒软件
高校信息安全部门提供一线服务与支持
要与防病毒软件厂家共享信息
要对防病毒软件产品作出“贡献”
善用防病毒软件厂家的二线支持服务
善用防病毒软件病毒数据库进行风险评估
广泛性
危害性
分发能力
提高意识取得信任是关键
提升意识和信任需要精密策划与长时间的积累
拒绝求助将会丧失信任
错误的安全意识比无安全意识更糟
盗版防病毒软件=假冒伪劣安全产品
安全意识与教育(1)
ENISA 2007年工作纲要中
提升意识和建立信任的地位
资料来源: ENISA http://www.enisa.europa.eu/
安全意识与教育(2)
安全意识与教育(3)
ARP欺骗木马治理与对策
对《治理ARP欺骗围堵下载器和安装器木马》
的补充
ARP欺骗的目的和类型
ARP欺骗的目的是信息犯罪者为截获盗取有价值
的信息资产,并将盗取的信息资产用于黑市交
易,谋取暴利。
ARP欺骗的类型
入侵型:信息犯罪者入侵有漏洞的服务器,使用专用
黑客工具进行ARP欺骗劫持通讯,并在HTTP通讯中插
入恶意代码,导致访问同网段的服务器时感染木马(一
般为下载器或者安装器木马),是信息犯罪者首次分发
木马的重要机制。
木马型:普通计算机感染了ARP欺骗木马后劫持同一
网段通讯的重要手段,以收集用户的有价值的信息资
产。
封锁木马网站的有效性
下载器木马使用域名下载木马(1)
下载器木马使用域名下载木马(2)
下载器木马使用域名下载木马(3)
下载器木马使用域名下载木马(4)
下载器木马使用域名下载木马(5)
下载器木马使用域名下载木马(6)
下载器木马不使用域名下载木马
下载器木马使用域名带来的危害
信息犯罪者可以频繁更换域名对应的IP地址
绕过基于IP地址的ACL 的封锁
需要使用DNS Blacklist封锁木马站点的域名
dnrd (Domain Name Relay Daemon),一般认为
是一种DNS Proxy
dnrd可以设置Blacklist,对Blacklist中的域名作出
“权威的”应答,但并不会返回IP地址,达至封锁域
名的目的
原DNS拓扑
增加DN
文档评论(0)