恶意移动代码分析与研究郑辉博士,清华大学网络中心教程.pptVIP

Internet 蠕虫防治周期 预防阶段 检测阶段 遏制阶段 清除阶段 Internet 蠕虫主动防治系统 网络技术发展带来的变化 P2P Overlay网络构成的相对独立网络； IRC、MSN、QQ、BT、eMule IPv6 网络规模 加密传输 蠕虫的扫描策略 典型分类：J. Wu, S. Vangala, L. Gao, and K. Kwiat: Selective Random Scan（选择性随机扫描） 包括Local Preference（本地优先） Routable Scan （可路由地址扫描） Divide-Conquer Scan（地址分组扫描） Hybrid Scan （组合扫描） Extreme Scan （极端扫描），存在一些限制。如： DNS Scan Complete Scan IPv4 的Internet ，Slammer 蠕虫，10分钟后，感染了大多数有漏洞的计算机 IPv6 的Internet ， 28年后，感染第一台主机 IPv6网络的抗扫描特性 恶意移动代码的技术发展趋势 结合人工智能技术； 动态功能升级技术； 多平台传播技术； 分布式实体技术； Santy蠕虫 描述： 2004年12月21日发现，截止到12月22日，google可以统计到被santy蠕虫破坏的网站已经达到26000多； 利用论坛系统phpBB的漏洞传播； 智能特性： 从搜索引擎google得到攻击站点列表； 存在形式： 脚本代码； Santy蠕虫引出的新问题 如何检测智能蠕虫？ 不需扫描，流量无明显异常； 查询条件的无穷组合； 脚本代码的任意变化； 如何防治智能蠕虫？ IPv6的抗扫描特性不再适用； 封锁搜索引擎？海量信息如何查找； 搜索引擎屏蔽？查询合法性的不可判定； Open Problems 蠕虫爆发预警 仿真环境与蠕虫传播模拟 良性蠕虫的控制策略 恶意移动代码来源定位 网络安全生态理论 参考文献 蠕虫的行为特征描述和工作原理分析, /doc/spark/WormBehaviorPrincipleAnalysis.pdf Internet蠕虫研究，/doc/InternetWormResearch.pdf 大规模网络中Internet 蠕虫主动防治技术研究 -- 利用DNS 服务抑制蠕虫传播, /doc/spark/WormDefenseWithDNS.pdf 主动Internet蠕虫防治技术-接种疫苗, /doc/Vaccination.pdf Internet蠕虫主动防治系统原理与设计, /doc/spark/WormDefenseSystem.pdf 谢谢！ * 攻击的复杂性在增加，攻击者的知识和技能需求在下降。 80年代初，黑客需要手工测试系统的漏洞，自己发现系统的漏洞，猜测计算机系统的口令，手工编写代码利用系统的漏洞，他能够控制的计算机也很少10几台或几十台； 现在，关于网络和系统漏洞的站点有很多，利用这些漏洞的源代码也很容易得到，网络上已经有很多自动化的工具可以用（扫描目标系统、自动入侵、自动汇总攻击结果），而且经常交流，新的漏洞公布以后，黑客可以重用大部分代码，一夜之间可以控制成百、上前，甚至数十万台计算机 * Let’s revisit the nature of DDoS attacks * Most recent survey DDoS on top of CSO / CIO minds * 恶意移动代码原来仅仅指嵌入在网页中的脚本代码。 * Time between the exposure of a vulnerability and the release of a worm is becoming shorter. When a new vulnerability released, the hacker can reuse most of the code of old worms. The only work to create a new worm is to write a piece of code to exploit the vulnerability. 恶意移动代码分析与研究 郑 辉 清华大学网络中心 CERNET Computer Emergency Response Team zhenghui@ 主要内容 当前的安全状况 攻防主体 主要研究成果 防治周期理论 主动防治系统 Open Problems 漏洞越来越多… 攻击越来越容易… 病毒数量增长越来越快… 风险越来越大… 全球基础设施 区域性网络 多个网络 单个网络 单台计算机 攻击目标和破坏程度 First Gen Boot viruses 周 Second Gen Macr