网络安全管理―木马与僵尸网络监测系统.docVIP

网络安全管理―木马与僵尸网络监测系统 　　[摘 要]随着计算机及通信技术的飞速发展，网络在人们的生活中占据了越来越重要的位置，但在它带来便利的同时，也造成了病毒、木马的泛滥，给国家、政府、企业及个人都带来了不可估量的损失。木马和僵尸网络监测已被国家计算机网络应急技术处理协调中心列于“被篡改网站监测、恶意代码捕获”之首的核心监测项目。 　　[关键词]网络安全、木马僵尸 　　中图分类号：TP 文献标识码：A 文章编号：1009-914X（2014）31-0374-01 　　一、背景 　　工信部保[2009]157号《木马和僵尸网络监测与处置机制》指出，木马是指由攻击者安装在受害者计算机上秘密运行并用于窃取信息及远程控制的程序。僵尸网络是指由攻击者通过控制服务器控制受害计算集群。木马和僵尸网络通常都包括控制端和被控端两部分。木马和僵尸网络是造成个人隐私泄露、泄密、垃圾邮件和大规模拒绝服务攻击的重要原因。2009年2月，一款名为“猫藓”的恶性木马下载器在我国境内大肆传播，感染了数百万台主机。该病毒通过下载一些热门网游、QQ以及网上银行的盗号木马，盗窃用户网游及网上银行的账号和密码，对互联网个人隐私和财产造成严重危害。木马和僵尸网络的存在不仅侵害了用户利益，造成经济损失和用户隐私信息泄露，并且严重威胁运营商网络安全稳定和日常业务开展，严重影响了企业的品牌形象。因此，在日常网络运行维护管理和定期的自检自查中加强对木马的监测与评估，防止木马窃取敏感信息，保护重要数据，不仅成为当前信息网络安全监管或维护部门的重中之重，也应该成为运营商的首要任务。 　　二、系统建设必要性 　　根据工信部保[2009]157号《木马和僵尸网络监测与处置机制》，国家计算机网络应急技术处理协调中心（以下简称CNCERT）受工业和信息化部委托，负责对木马和僵尸网络进行检测、分析、通报，协调处置传播服务器、控制服务器和攻击源。 　　2.1CNCERT对木马和僵尸网络的监测和通报 　　1、CNCERT、基础电信运营企业负责对木马和僵尸网络进行监测。 　　2、基础电信运营企业按照本机制第七条对监测到的事件进行分级，特别重大、重大、较大事件应在发现后2小时内报送通信保障局，同时抄报CNCERT；一般事件应在发现后5个工作日内报送CNCERT。报送内容包括：控制端IP地址、端口、发现时间及其使用的恶意域名。 　　3、CNCERT汇总自主监测、基础电信运营企业报送和从其他渠道收集的事件，进行综合分析、分级。对于特别重大、重大、较大事件，CNCERT应在2小时内向通信保障局报告，并及时通报相关通信管理局。通信保障局认为必要时，组织有关单位和专家进行研判。事件情况及研判结果由通信保障局直接或委托 　　CNCERT通报相关单位。对于一般事件，CNCERT应在发现后5个工作日内通报相关单位。事件通报内容包括： 　　（1）威胁较大的木马和僵尸网络IP地址、端口、发现时间、所属基础电信运营企业。 　　（2）木马和僵尸网络使用的恶意域名。 　　（3）木马和僵尸网络的规模和潜在危害。 　　2.2对木马和僵尸网络的处置和反馈 　　基础电信运营企业、互联网域名注册管理机构、互联网域名注册服务机构接到CNCERT木马和僵尸网络事件通报后，应按如下流程处理： 　　1、通知与木马和僵尸网络IP地址和恶意域名相关的具体用户进行清除，并跟踪用户处置情况。对于域名注册信息不真实、不准确、不完整的，互联网域名注册管理机构、互联网域名注册服务机构根据《中国互联网域名管理办法》有关规定进行处置。 　　2、反馈用户的处置情况。特别重大、重大、较大事件的处置情况应在接到事件通报后4小时内向CNCERT反馈，一般事件的处置情况应在5个工作日内向CNCERT反馈。反馈内容包括：用户已处置的IP地址和恶意域名、单位名称、用户未处置的IP地址和恶意域名及未处置的原因。 　　3、监测单位验证处置情况： 　　（1）对于CNCERT自主监测的事件，由CNCERT对处置情况进行验证。特别重大、重大、较大事件应在接到处置单位反馈后2小时内向处置单位反馈验证结果， 　　一般事件应在5个工作日内反馈验证结果。 　　（2）对于基础电信运营企业监测到的事件由基础电信运营企业自行验证。特别重大、重大、较大事件应在接到CNCERT事件通报后6小时内向CNCERT反馈 　　验证结果，一般事件应在10个工作日内向CNCERT反馈验证结果。 　　4、对于未处置或经验证仍存在恶意连接的木马和僵尸网络IP地址和恶意域名，按如下方式处置：对于重要信息系统单位，向通信保障局反馈用户相关情况，抄报CNCERT，由通信保障局或当地通信管理局书面通知其主管部门。对于其他单位用户和个人用户，应依据与用户签署的服务协议、合