- 1、本文档共41页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
恶意移动代码分析与研究 郑 辉 清华大学网络中心 主要内容 当前的安全状况 攻防主体 主要研究成果 防治周期理论 主动防治系统 Open Problems 漏洞越来越多… 攻击越来越容易… 病毒数量增长越来越快… 风险越来越大… 病毒、蠕虫、DDoS组合攻击 DDoS 增长趋势 Internet面临的安全挑战 如何防范自动化攻击? 如何防范快速突发攻击? 如何防范大规模攻击? 恶意移动代码主要特性 破坏性(Malicious Code, Malware) 移动性(Mobile Code) 通过网络 通过人 恶意移动代码主要种类 Internet 蠕虫 病毒邮件 文件系统病毒 网页脚本 木马 恶意移动代码的简单比较 各种恶意移动代码的融合趋势 病毒、蠕虫、木马之间的界限已经不再明显; 综合使用多种攻击手段: 传播:计算机系统的漏洞、电子邮件、文件共享、Web浏览等 社会工程(social engineering ) 攻防主体 影响网络安全的三支力量 Hacker VXer Cracker 防范主体 网络运营商、服务提供商、用户; 系统厂商、防毒产品厂商; 科研技术人员、政府主管部门; 蠕虫的历史回顾 Xerox PRAC, 1980年 Morris Worm, 1988年11月2日 WANK Worm, 1989年10月16日 ADM Worm, 1998年5月 Millennium, 1999年9月 Ramen Worm, 2001年1月 Lion Worm, 2001年3月23日 Adore Worm, 2001年4月3日 Cheese Worm, 2001年5月 Sadmind/IIS Worm, 2001年5月 CodeRed Worm, 2001年7月19日 Nimda Worm, 2001年9月18日 Slapper, 2002年9月14日 Slammer, 2003年1月25日 Dvldr32, 2003年3月7日 MSBlaster, 2003年8月12日 Nachi, 2003年8月18日 2004年蠕虫 MyDoom.C 2004年2月9日 Witty Worm 2004年3月20日 Sasser Worm 2004年4月30日 Santy Worm 2004年12月21日 蠕虫的爆发周期越来越短… 漏洞公布和蠕虫爆发的间隔越来越短 恶意移动代码主要研究内容 恶意代码的工作机制 其他工作的基础 传播模型 现有模型忽略太多因素而缺乏指导意义 仿真 仿真Internet难度较大 检测 检测结果出来为时已晚 抑制 现实需求 CCERT的科研优势 长期对恶意移动代码研究的积累; 迅速有效的响应机制; 第一手的网络数据; CodeRed蠕虫监测数据 Blaster Nachi监测数据 Sasser蠕虫监测数据 Witty 蠕虫监测数据 主要研究成果 针对蠕虫个体 实体结构模型 功能结构模型 针对网络 利用DNS服务抑制蠕虫传播 Internet 蠕虫主动防治系统 实体结构模型 功能结构模型 利用DNS服务抑制蠕虫传播 Internet 蠕虫防治周期 预防阶段 检测阶段 遏制阶段 清除阶段 Internet 蠕虫主动防治系统 网络技术发展带来的变化 P2P Overlay网络构成的相对独立网络; IRC、MSN、QQ、BT、eMule IPv6 网络规模 加密传输 蠕虫的扫描策略 典型分类:J. Wu, S. Vangala, L. Gao, and K. Kwiat: Selective Random Scan(选择性随机扫描) 包括Local Preference(本地优先) Routable Scan (可路由地址扫描) Divide-Conquer Scan(地址分组扫描) Hybrid Scan (组合扫描) Extreme Scan (极端扫描),存在一些限制。如: DNS Scan Complete Scan IPv6网络的抗扫描特性 恶意移动代码的技术发展趋势 结合人工智能技术; 动态功能升级技术; 多平台传播技术; 分布式实体技术; Santy蠕虫 描述: 2004年12月21日发现,截止到12月22日,google可以统计到被santy蠕虫破坏的网站已经达到26000多; 利用论坛系统phpBB的漏洞传播; 智能特性: 从搜索引擎google得到攻击站点列表; 存在形式: 脚本代码; Santy蠕虫引出的新问题 如何检测智能蠕虫? 不需扫描,流量无明显异常; 查询条件的无穷组合; 脚本代码的任意变化; 如何防治智能蠕虫? IPv6的抗扫描特性不再适用; 封锁搜索引擎?海量信息如何查找; 搜索引擎屏蔽?查询合
您可能关注的文档
最近下载
- 整本书阅读《中国古代寓言 》(导读课 推进课分享课)教学设计.doc
- 火电机组启动调试管理办法.doc
- 3.5.2 C-2.1医院感染监测计划.docx
- 2024年河南省中考作文真题:我的成功密码(青春追梦、拼搏坚持、心灵成长)佳作5篇.docx
- 锂电池火灾事故专项应急预案.pptx
- 2024人美版美术小学一年级上册期末练习卷及参考答案.docx VIP
- 鞍山市东台污水处理厂工程投资建设可研报告.doc VIP
- SHS 01037-2019 球形储罐维护检修规程.docx VIP
- 手术室利用PDCA循环提高患者手术室健康教育知晓率品管圈.pptx
- BSSlondonBLU产品详细说明资料.ppt
文档评论(0)