恶意代码与校园网管理.ppt

恶意代码发展与校园网管理 稍后的工作组讨论会 校园网ARP木马防范 石油大学网络中心主任 陈义陆 老师 华中科技大学网络中心 涂 皓 老师 讨论 校园网P2P流量控制 东南大学 陈亮 “校园网安全与管理论坛”的讨论 提纲 近年来网络攻击的趋势 恶意代码及其对抗技术 网络安全技术的反思 校园网安全管理讨论 近年来网络攻击的趋势 2004年以来，影响互联网主干的安全攻击事件并不多见 安全机制也许发挥了很大作用 系统软件的补丁及时更新 防病毒软件在线更新 防火墙技术，入侵检测技术？ 0-Day威胁是否被夸大了？ 网络管理者的努力 用户安全意识和技能的提高 近年来网络攻击的趋势（续） 很多人有过被安装恶意软件的经历 不影响计算机系统的正常功能，但可能造成经济或其他方面更大的损失 对主干网络的影响不大，但对局域网的影响增大，如ARP木马 僵尸网络事件常见于媒体新闻 规模可达上万个节点 从经济犯罪到政治间谍 近年来网络攻击的趋势（续） 攻击者和病毒作者的动机 从恶作剧到有目的的攻击 攻击者主体 从Script-kiddy 到有组织的产业链 受害主机 不是孤立的节点，而是形成恶意网络 网络更新、集中控制 感染后的症状 隐蔽传播，长期潜伏 不太影响主干网，只影响网络边缘 更加难于检测和防范 恶意代码传播方式的演变 感染可执行程序和分区表 移动介质 通过人、社会工程方式 感染数据文件 系统和软件漏洞 电子邮件 Web网站和网页 P2P文件共享 即时通信工具 ARP欺骗方式：在HTML页面中插入木马 恶意代码对抗技术的发展 逃避防病毒软件的检测和分析 加壳/多态技术 变形技术 文件、进程、端口隐藏 反制：杀死防病毒程序 突破防火墙 反向连接 线程注入 逃避入侵检测 动态端口 加密通信 防范技术的发展及其局限 防病毒软件脱壳以后再进行特征码扫描 不认识的加壳/加密工具怎么办？ 脱壳程序要执行多久呢？ 反制的反制：哪个可以活到最后？ 主机上的主动防御，监测系统调用 修改注册表、破坏可执行程序和系统程序完整性端口，通信端口 用户不懂得，无所适从 从底层摘除主动防御的hook和驱动 网络安全技术的发展和反思 用户：无处发泄的愤怒 谁该为我的电脑中毒负责？ 厂商：忽悠之后的无奈 管理者：无奈 研究人员：从paper到paper的“创新” 有没有办法改变“道高一尺、魔高一丈”？ 有没有一劳永逸的、革命性的方案？ 网络安全技术的发展和反思 公钥基础设施（PKI）：To live or dead ? 防火墙能够完成了防病毒功能吗？ 防火墙和NAT阻碍互联网了吗？ IDS和IPS : 神话？ 互联网的革命与改良 期望一种新技术能够一劳永逸，一夜之间彻底改变网络安全的现状是不可能的 一种新技术，宣布它的死亡也是武断的 由市场、由用户去选择 校园网管理的特殊性 资产不明确，难以实施强制性的安全政策 校园网业务种类多、变化快、开放性强 校园网用户复杂，活跃，密度高 多个厂商、不同时期的网络设备 安全厂商为企业设计的产品或方案，在校园网中实施有一定的困难 校园网管理问题讨论 主干网在保护校园网安全方面能力有限 主干网流量分析、告警信息等 技术和管理发生变化，现在的效果不好，不了解校园网的具体情况和需求 主干网的安全依赖于校园网的安全 校园网的安全管理 各校园网面临类似的安全或管理问题 很多校园网管理者积累了宝贵的经验和成果 校园网之间需要信息共享、交流 成立“校园网安全与管理论坛”的设想 目的 促进校园网之间的交流和信息共享，共同提高校园网的安全管理水平 内容 针对校园网运行中的常见问题，通过网络、研讨会、视频会议、电子期刊等形式，共同探讨解决方案 成员 免费，开放、平等、自由的互联网精神 与校园网运行管理相关的教师、学生，企业技术人员 组织与联系 CCERT 郑先伟： zxw@ 《中国教育网络》 傅宇凡： fuyf@ 总结 攻击技术在发展，防范技术有点慢； 忽悠技术不间断，谁来为我做指南？ 相信专家、权威的意见？还是相信成功运行的经验、加上自己的独立思考？ 互联网哲学：我们拒绝国王、总统和投票，我们只相信大多数人的意见和运行的代码 从来就没有什么救世主，也不靠神仙皇帝。要创造人类的幸福，全靠我们自己！ 谢谢！ 稍后的工作组讨论会 校园网ARP木马防范 石油大学网络中心主任 陈义陆 老师 华中科技大学网络中心 涂 皓 老师 讨论 校园网P2P流量控制 东南大学 “校园网安全与管理论坛”的讨论 *