大学计算机基础教程(第2版)：第12章 信息安全-2.pptVIP

12.4.1 病毒及相关的威胁—恶意程序 特洛伊木马（Trojan horse） 除了程序所具有的基本功能外，还有一些不易被人发觉的破坏作用。 12.4.1 病毒及相关的威胁—恶意程序 逻辑炸弹（Logic bomb） 在特定条件产生时被“引爆” (如：时间或日期、时间间隔、一个事件) Tim Lloyd事件： 1996年美国黑客Timothy Lloyd曾将一个六行的恶意软件放在了其雇主——Omega工程公司(美国航天航空局和美国海军最大的供货商)的网络上。 整个逻辑炸弹删除了 Omega公司所有负责生产的软件。 此事件导致Omega公司损失1000万美金。 12.4.1 病毒及相关的威胁—恶意程序 陷门或后门（trapdoor，backdoor） 陷门是通往系统内部的入口 刻意留出来便于工作人员进行维护等工作的，但可被恶意者利用进行破坏活动。 绕过安全控制、允许攻击者访问系统。 12.4.1 病毒及相关的威胁—恶意程序 bot，僵尸机（zombie） 在被感染的计算机中运行，激活后向其他计算机发动攻击的程序 12.4.1 病毒及相关的威胁—恶意程序 bot，僵尸机（zombie） 12.4.1 病毒及相关的威胁—恶意程序 bot，僵尸机（zombie） 12.4.1 病毒及相关的威胁—恶意程序 bot，僵尸机（zombie） 12.4.1 病毒及相关的威胁—恶意程序 bot，僵尸机（zombie） 12.4.1 病毒及相关的威胁—恶意程序 bot，僵尸机（zombie） 12.4.1 病毒及相关的威胁—病毒的特性 2．病毒的特性 计算机病毒是一种可以通过修改自身来感染其他程序的程序 执行时，能生成自身的复制品，复制后生成的新病毒同样具有感染其他程序的功能 病毒程序能够执行其他程序所能执行的一切功能，唯一不同的是，它必须将自身附着在其他程序（宿主程序）上，当运行该宿主程序时，病毒也跟着悄悄地运行 12.4.1 病毒及相关的威胁—病毒的特性 在其生命周期中，病毒一般会经历4个阶段： (1)潜伏阶段（Dormant phase）：处于休眠状态 (2)传染阶段（Propagation phase）：将自身复制到其他程序或磁盘的某个区域上 (3)触发阶段（Triggering phase）：病毒被激活 (4)发作阶段（Execution phase ）：由病毒发作体现出来的破坏程度是不同的，有些是无害的，如在屏幕上显示一些干扰信息；有些则会给系统带来巨大的危害，如破坏程序以及删除文件。 12.4.1 病毒及相关的威胁—病毒的种类 3． 病毒的种类 (3)引导扇区病毒： 感染主引导记录或引导记录，当系统从含有病毒的磁盘上引导装入程序时进行传播。 (4)隐蔽性病毒： 设计这种病毒的目的是为了躲避反病毒软件的检测。 (5)多态性病毒： 这种病毒在每次感染时，置入宿主程序的代码都不相同，采用特征代码法的检测工具不能识别它们。 12.4.1 病毒及相关的威胁—宏病毒 12.4.1 病毒及相关的威胁—蠕虫 网络蠕虫利用多种网络工具进行传播： 电子邮件设备：将自身的拷贝以邮件的形式发送到其它系统 远程执行功能：在其它系统中执行自身的拷贝 远程登录功能：以合法用户身份进入远程系统 通过浏览网页下载 共享文件 12.5 入侵检测技术 入侵检测系统（Intrusion Detection System，简称IDS） 网络系统面临的一个严重的安全问题是用户或软件的恶意入侵。 如果攻击者成功地绕过边界防御措施，渗透到网络中，如何检测出攻击行为呢？ 如何抵御内部人员发动的攻击?据统计，全球80%以上的入侵来自于内部。 确保网络的安全，就要对网络内部进行实时的检测，这就需要IDS无时不在的防护 12.5.2 入侵检测—入侵检测原理 入侵检测系统原理 管理员制定安全策略对感应器、分析器和管理器进行指导和监控。 感应器：检测设备，审计记录、网络数据包和其他可监视的行为特征 12.5.2 入侵检测— 基于主机型 (1) 基于主机型的体系结构（Host-based，HIDS） 早期的入侵检测系统结构 运行在单个工作站、客户端或主机上 保护目标是HIDS所在的主机 检测原理：通过主机的审计数据和系统监控器的日志发现可疑事件 12.5.2 入侵检测—基于网络型 嗅探器： 从网络上获取与入侵安全事件关联的数据包，直接传递给入侵分析引擎器进行归类筛选和安全分析判断 入侵分析引擎器： 接收来自嗅探器和网络安全数据库的信息并进行综合分析，将结果传递给管理/配置器 管理/配置器： 由配置器产生嗅探器需要的配置规则 通过管理器补充或更改网络安全数据库的内容 12.5.2 入侵检测—基于网络型 12.5.2 入侵检