信息安全原理与实践-第二版11-软件缺陷和恶意软件.pptVIP

3. 异常检测 异常检测着眼于发现潜在的任何不正常的、或者类似病毒的、抑或其他形式的恶意活动及行为。 异常检测方法的基本挑战在于确定什么是正常的、什么是不正常的，以及如何能够对二者进行区分。这种方法的另外一个重大难题则是对于正常的定义可能会发生变化，于是系统就必须做出调整以适应这样的变化；否则，用户就很有可能会被错误告警淹没，弄得无所适从。 优势： 某种程度上有望检测出之前所不知道的恶意软件。 不足： 异常检测方法基本上还没有在实践中获得有效验证。因为有耐心的攻击者可能会让异常活动看起来像是正常的行为。 异常检测方法的鲁棒性不够好，以至于无法作为独立的检测系统来使用。 * 11.3.7 恶意软件的未来 在恶意软件的演化过程中，下一步是多态代码(polymorphic code)的使用。在多态病毒中，病毒体是加密的，而解密代码则是改头换面的。所以，病毒自身(也就是病毒体)的特征通过加密被隐藏了，而解密代码由于自身的变化多端当然也不会有任何共同的特征。 变形(metamorphic)恶意软件将多态性发挥到了极致。变形蠕虫在感染新的系统之前会先变异。如果变异足够多的话，这样的蠕虫就有可能躲过任何基于特征的检测系统。 病毒编写者追求的另外一个非常明显的发展方向就是速度。也就是说，就像诸如红色代码病毒和SQL Slammer蠕虫之类的病毒，要力求在尽量短的时间之内感染尽可能的机器。 * 蠕虫： SQL Slammer蠕虫 Warhol蠕虫 flash蠕虫 设计精良的 flash蠕虫病毒能够在15秒钟之内将感染力传遍整个互联网。 一种设想的针对flash蠕虫病毒的防御措施： 部署多台个人入侵检测系统(IDS)，再使用一台主IDS来监控这些个人IDS。当主IDS检测到非正常的活动时，就可以设法令其仅在少数的网络节点上继续活动，而暂时性地阻塞通向其他节点的活动。如果被牺牲的网络节点受到不利的影响，那么就说明攻击正在进行当中，但其在另外的节点上将会被阻击。另一方面，如果这是错误告警，那么其他节点上的情况只是稍有延迟而已。 * 11.3.8 计算机病毒和生物学病毒 当前流行使用生物学来比拟计算机科学与技术。在安全领域，就使用了很多这样的类比。在恶意软件这个行当里，尤其是计算机病毒方面，这样的类比相当直观。 在计算机疾病和生物学疾病之间还是存在一些重要的差异。例如，对于互联网，实际上几乎没有距离的概念，所以许多用于生物学疾病的模型无法照搬到计算机疾病和网络疾病上。另外，在自然界，疾病的来袭或多或少地有些随机性，但是在计算机系统中，黑客们往往是特别针对那些最有价值或是最易感染的系统发起攻击。 恶意软件对于蜂窝电话的影响还远没有达到像计算机系统那样备受摧残苦不堪言的程度。 * 11.4 僵尸网络 僵尸网络(botnet)是指大量被感染计算机的集合，这些计算机均在被称为僵尸主控机(botmaster)的控制之下。 一直到最近，僵尸主控机通常都是利用互联网中继聊天(Internet Relay Chat，IRC)协议来实现对所属僵尸(bots)的管理和控制。不过，比较新一些的僵尸网络常常会使用 Peer-to-Peer(P2P)协议架构，因为这样对于实施追踪和关停等措施来说会更为困难。 僵尸网络已经被证明是发送垃圾邮件和发起分布式拒绝服务(DDoS)攻击最为理想的工具。 * 11.5 基于软件的各式攻击 本章将要讨论的主题包括 腊肠攻击(salami attacks) 线性攻击(linearization attacks) 定时炸弹(time bombs) * 11.5.1 腊肠攻击 在腊肠攻击中，程序设计者从单笔交易中悄无声息地截留下一小部分的钱，这种方式就仿佛从一根意大利腊肠上面切下来薄薄的一片一样。这些切片对于受害者来说必然是难以觉察出来的。 例子： 程序员在薪资扣缴税款的计算中给每个雇员都增加了几美分，只是在入账时把这些额外的钱作为他自己的税计入。 位于佛罗里达州的一家租车专营公司适度夸大了油箱的容积，以便能够从顾客那里收取更多的油钱。 有4个人，在洛杉矶拥有一座加油站。他们破解了一个计算机芯片，从而使得加油机能够多计算已输出油的数量。 * 11.5.2 线性攻击 线性化是一种方法，可以应用于广泛的攻击类型，从传统的溜门撬锁一直到最顶尖的密码分析技术，都不乏其身影。 例子： * Trudy如何利用这段程序代码呢？ Trudy就可以选择一个包含8个字符的字符串，并通过变化第一个字符来遍历所有的可能性。 总结来说，利用上述方法，Trudy可以在线性时间内完成对序列号检查程序的攻击，而不需要执行一种指数级的搜索尝试。 在这种线性攻击中，Trudy究竟能够获得多大的优势呢？ 假设某个序列号的