恶意代码的分析与防范--网络蠕虫.ppt

恶意代码的分析与防范  --网络蠕虫;引言;网络蠕虫的传播过程;研究网络蠕虫的动机;研究蠕虫的科学意义;如何防御网络蠕虫攻击;目录;网络蠕虫的定义;;病毒、网络蠕虫和木马的区别 ; 恶意代码和网络蠕虫、计算机病毒、木马的关系 ;网络蠕虫的分类(1);网络蠕虫的分类(2);网络蠕虫的分类(3);网络漏洞的类型;蠕虫的行为特征;网络蠕虫的攻击方法 ;网络蠕虫的现状和趋势;漏洞越来越多… 1995 到 2008;;从漏洞发现到蠕虫爆发的时间越来越短…;;Code Red v1 ;Code Red v 1扩展速度（7.19-7.20);Code Red 扩散速度（7.19-7.20）;每分钟检测到的新感染主机数;打补丁的速度;Code Redv1 在不同国家的分布;Code Red II ;Code Red II;CR2 国家/地区的分布(9.2-9.9);中国不同互联网单位的分布;各行业分布情况;攻击次数最多的前十个IP地址; 蠕虫的组成; 弹头;传播引擎;目标选择算法;扫描引擎;有效荷载;蠕虫的工作流程;案例分析--Nimda;案例分析--Nimda;案例分析--Nimda;案例分析--Nimda;MyDoom;Sasser;Santy蠕虫;Santy蠕虫;网络蠕虫的传播模型;网络蠕虫传播模型;Kermack-McKendrick 模型;双因素传播模型;;状态转移:;Worm-Anti-Worm模型(WAW);8月18日中午13：00左右 Nachi;网络蠕虫的扫描策略;随机均匀扫描;基于目标列表的扫描;基于目标列表的扫描;路由扫描;分治扫描;本地子网扫描;顺序扫描 ;基本原理：所有易感主机共同使用一个与所有IP地址空间相对应的伪随机置换表，并通过该表来选择新的扫描列表。 置换扫描的工作机制如下：感染主机以其在置换表中的位置为扫描起点，并由该起点沿着置换表向下扫描，以查找新的易感主机。当扫描到某一IP地址并发现该地址所对应的主机已经被感染，就停止扫描，并在置换表中随机选择一个新的IP地址继续扫描。 优点：保持了随机扫描方法的很多优点，确保了对整个网络空间的彻底扫描，避免了重复扫描同一台主机，扫描效率得到了很大改善。在置换扫描过程中，蠕虫共享IP地址空间的一个伪随机置换。;采用D.H Lehmer在1948年提出的线性同余产生器(Linear Congruential Generator, LCG)来实现置换。 其基本原理如下：假设Xi是原始空间中的一个地址，Xi+1为置换空间内相应的地址，Xi+1和Xi间的关系为 其中常数a=214013，b=2531011，m= ，这样利用LCG就产生了区间[0, -1]内所有整数的一个置换，如图所示。 ;;DNS扫描;;蠕虫传播的障碍;未来的蠕虫;未来的蠕虫;防御蠕虫;防御蠕虫--Firewall ;防御蠕虫—AntiVirus;防御蠕虫—补丁检测;MBSA;MBSA;;恶意代码防范建议;网络蠕虫的防御策略;基于主机的防御技术;;基于网络的检测技术;;;基于良性蠕虫的防御技术;技术对比;;将来的计划(目前的研究热点);ER模型(p=0.2, n=20) ER模型的度分布 (p=0.0015, n=10000) ;无尺度网络;;;;初始无尺度网络 遭受意外攻击后无尺度网络 遭受蓄意攻击后的无  尺度网络 ;互联网的自然特性;自然特性带来的好处;;成长性+优先连接;;众多的无尺度网络;无尺度网络与病毒传播;复杂网络的特性;;;;无线网络蠕虫的传播模型;;Thank you！