网络安全（第六章）.pptVIP

第六章 恶意代码分析与防治 本章要求 ◎ 了解恶意代码的分类及其攻击过程 ◎ 理解和掌握恶意代码实现机理及关键 实现技术 ◎ 了解网络蠕虫的特征及结构 ◎ 了解恶意代码防范方法：基于主机的检测方法和基于网络的检测方法 章节安排 第一节 恶意代码及其攻击过程 第二节 恶意代码实现关键技术 第三节 网络蠕虫 第四节 恶意代码防范方法 第一节 恶意代码及其攻击过程 恶意代码是一种程序，它通过把代码在不被察觉的情况下镶嵌到另一段程序中，从而达到破坏被感染电脑数据、运行具有入侵性或破坏性的程序、破坏被感染电脑数据的安全性和完整性的目的。 恶意代码种类 恶意代码种类（按传播方式） 计算机病毒（Virus） 蠕虫（Worm） 木马程序（Trojan Horse） 后门程序（Backdoor） 逻辑炸弹（Logic Bomb ） 恶意代码的相关定义 恶意代码的发展 恶意代码攻击过程 恶意代码攻击过程一般分为6个部分： ①侵入系统。恶意代码入侵的途径很多，如：从互联网下载的程序本身就可能含有恶意代码；接收已经感染恶意代码的电子邮件；从光盘或软盘往系统上安装软件；黑客或者攻击者故意将恶意代码植入系统等。 ②维持或提升现有特权。恶意代码的传播与破坏必须盗用用户或者进程的合法权限才能完成。 恶意代码攻击过程 ③隐蔽策略。为了不让系统发现恶意代码已经侵入系统，恶意代码会改名、删除源文件或者修改系统的安全策略来隐藏自己。 ④潜伏。恶意代码侵入系统后，等待一定的条件，并具有足够的权限时，就发作并进行破坏活动。 ⑤破坏。实现恶意代码的目的，如：造成信息丢失、泄密，破坏系统完整性等。 ⑥重复①至⑤对新的目标实施攻击过程。恶意代码的攻击流程如图所示。 恶意代码攻击流程示意图 章节安排 第一节 恶意代码及其攻击过程 第二节 恶意代码实现关键技术 第三节 网络蠕虫 第四节 恶意代码防范方法 第二节 恶意代码实现关键技术 2.1 恶意代码传播技术（补充） 2.2 恶意代码生存技术 2.3 恶意代码攻击技术 2.4 恶意代码隐藏技术 2.1 恶意代码传播技术 恶意代码一般利用三类手段来传播恶意代码：软件漏洞、用户本身或者两者的混合。比如： (1) 部分恶意代码是自启动的蠕虫和嵌入脚本，本身就是软件，这类恶意代码对人的活动没有要求。特洛伊木马、电子邮件蠕虫等恶意代码，利用受害者的心理操纵他们执行不安全的代码，还有一些是哄骗用户关闭保护措施来安装恶意代码。  恶意代码的传播技术 (2)利用商品软件缺陷。此类著名的恶意代码有KaK 和BubbleBoy。原理一般为溢出漏洞或在不适当的环境中执行任意代码。像没有打补丁的IIS软件就有输入缓冲区溢出方面的缺陷。 (3)利用Web 服务缺陷。此类著名攻击代码有Code Red、Nimda等，Linux 和Solaris上的蠕虫也利用了远程计算机Web服务的缺陷。 恶意代码的传播技术 (4) 通过邮件传播。原理为包含恶意代码的邮件伪装成其他恶意代码受害者的感染报警邮件，恶意代码受害者往往是Outlook地址簿中的用户或者是缓冲区中WEB页的用户，这样做可以最大可能的吸引受害者的注意力。 补充: 一般用户对来自陌生人的邮件附件越来越警惕，附件的使用受到网关过滤程序的限制和阻断，恶意代码的编写者会设法绕过网关过滤程序的检查。使用的方法如采用模糊的文件类型，将公共的执行文件类型压缩成zip文件等。  恶意代码的传播技术 (5) 对聊天室IRC（Internet Relay Chat）和即时消息IM(instant messaging)系统进行攻击。其方法多为欺骗用户下载和执行自动的Agent软件，让远程系统用作分布式拒绝服务(DDoS)的攻击平台，或者使用后门程序和特洛伊木马程序对其进行控制。  恶意代码传播趋势 恶意代码的传播具有下面的趋势：  （1）种类更模糊 　　恶意代码的传播不单纯依赖软件漏洞或者社会工程中的某一种，而是它们的混合。比如蠕虫产生寄生的文件病毒，特洛伊程序，口令窃取程序，后门程序，进一步模糊了蠕虫、病毒和特洛伊的区别。  恶意代码传播趋势 （2）混合传播模式  “混合病毒威胁”和“收敛（convergent）威胁” 成为新的病毒术语。“红色代码”利用的是IIS的漏洞，Nimda实际上是1988年出现的Morris 蠕虫的派生品种，它们的特点都是利用系统漏洞，病毒的模式从引导区方式发展为多种类病毒蠕虫方式。 恶意软件（malware）的制造者可能会将一些有名的攻击方法与新的漏洞结合起来，制造出下一代的Code Red, 下一代的 Nimda。对于防病毒软件的制造者，改变方