病毒与其防范技术.ppt

教学目标 主要内容包括病毒概述，蠕虫病毒，流氓软件 病毒防范与检测，移动终端安全及防范 要点内容 计算机病毒、网络病毒 蠕虫、木马、流氓软。 病毒防范与检测 移动终端安全问题 能力要求 掌握病毒一般知识，包括蠕虫病毒、特洛伊木马等 了解流氓软件及其危害性 掌握病毒防范与检测方法 了解移动终端安全问题及其防范 7.1 病 毒 随着信息技术的发展，信息技术成为国民经济的基础。计算机病毒也日益猖獗，成为危害计算机安全、信息安全的重要原因，至今全世界已发现数万种病毒，并且还在高速增加 各种计算机病毒的产生和蔓延，给计算机系统的安全造成了巨大的威胁和损害，其造成的计算机资源的损失和破坏，不但会造成资源和财富的巨大浪费，而且有可能造成社会性的灾难 病毒概念 为了把自身的副本传播给其他程序而修改并感染目标程序的程序”定义为“计算机病毒” 计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码 木马、蠕虫、流氓软件等 病毒概念 病毒产生的原因： 版权保护；报复心理；炫耀、玩笑或是恶作剧；以及用于特殊目的 病毒的生命周期： 计算机病毒和生物世界的病毒一样，都有其独特的生命周期。创造期、孕育期、潜伏感染期、发作期、发现期和根除期 病毒概念 病毒的特性 传染性、隐蔽性（潜伏性）、破坏性、针对性、衍生性（变种）、寄生性和不可预见性等 病毒的传播途径 能够进行数据交换的介质都是病毒传播途径，随着因特网的高速发展，病毒也走上了高速传播之路，网络已经成为计算机病毒的第一传播途径 病毒概念 病毒发作的表现及危害 侵占内容和CPU资源，影响系统运行速度 攻击系统数据区 破坏用户文件，破坏磁盘 干扰、控制外设尤其摄像头的正常工作 攻击CMOS造成系统硬件伤害 病毒的分类及命名规则 病毒的分类 按感染的途径以及采用的技术区分：文件型计算机病毒、引导型计算机病毒、宏病毒和目录（链接）型计算机病毒等 病毒的命名规则 采用前、后缀法来进行命名的，可以是多个前缀、后缀组合，中间以小数点分隔，一般格式为[前缀].[病毒名].[后缀] 病毒的分类及命名规则 病毒的命名规则 病毒名为该病毒的名称及其家族，如CIH病毒、Sasser病毒等 前缀表示该病毒发作的平台或者病毒的类型，如木马病毒的前缀是trojan；蠕虫病毒的前缀是worm；脚本病毒的前缀是script；系统病毒的前缀为win32、pe、win95、w32、w95等；宏病毒的前缀是macro； 第二前缀有word、excel等，根据感染的文档类型来选择相应的第二前缀；捆绑机病毒的前缀是binder；后门病毒的前缀是backdoor 后缀一般不要，只是以此区别在该病毒家族中各病毒的不同，可以为字母，或者为数字以说明此病毒的大小，如“worm.Sasser.c”是指振荡波蠕虫病毒的变种c 7.2 蠕 虫 病 毒 蠕虫是一种通过网络传播的恶性病毒，它具有病毒的一些共性，如传播性、隐蔽性、破坏性等，同时具有自己的一些特征，如不利用文件寄生（有的只存在于内存中），对网络造成拒绝服务，以及和黑客技术相结合等 在破坏性上，蠕虫病毒也不是普通病毒所能比拟的，网络的发展使得蠕虫可以在短短的时间内蔓延整个网络，造成网络瘫痪 7.2 蠕 虫 病 毒 蠕虫病毒是无需计算机使用者干预即可运行的独立程序，它通过不停地获得网络中存在漏洞的计算机上的部分或全部控制权来进行传播 蠕虫病毒由两部分组成：一个主程序和一个引导程序。主程序一旦在机器上建立就会去收集与当前机器联网的其他机器的信息，随后尝试利用那些缺陷在这些远程机器上建立其引导程序 蠕虫病毒的工作过程 扫描IP地址，随机选取一个 判断对应此IP 地址的机器是否可被感染 如果可被感染，则感染之 重复上面3步共m次，m为蠕虫产生的繁殖副本数量 蠕虫病毒的检测 通过对蠕虫病毒各个阶段不同行为的检测，并进行关联分析，根据蠕虫病毒的多个行为特征进行判断，结合丰富的行为特征库，可以对目前流行的病毒进行检测 首先通过对TCP半连接状态的检测发现蠕虫的扫描行为，发现可疑的扫描源 其次在TCP的连接建立时间中检测可疑扫描源对漏洞主机特定端口（4454）的攻击行为，进一步确认感染了蠕虫的主机 再次检测蠕虫的自我传播过程，对震荡波来说，它通过4454端口的FTP服务来进行传播 最后通过传播文件的特征（如123_up.exe）来进一步确认振荡波的传播 蠕虫病毒的防范 企业防范蠕虫病毒措施 加强安全管理水平，提高安全意识 建立病毒检测系统，能够在第一时间内检测到网络异常 建立应急响应系统，将风险减少到最小 建立灾难备份系统 蠕虫病毒的防范 个人用户对蠕虫病毒的防范措施