- 1、本文档共12页,可阅读全部内容。
- 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
家庭物联智能终端系统软件
用户手册
一、 系统简介
恶意程序代码检测系统是一款非常专业的代码检测软件。通过这款恶意程序代码检测系统,就能帮助用户随意进行代码安全检测,让你日常放心进行编程使用。功能主要包括:垃圾邮件分析、取证分析、终端扫描等。
二、系统的功能
1. 恶意代码
恶意代码的行为表现各异,破坏程度千差万别,但基本作用机制大体相同,其整个作用过程分为5个部分:
(1)侵入系统。侵入系统是恶意代码实现其恶意目的的必要条件。恶意代码入侵的途径很多,如:从互联网下载的程序本身就可能含有恶意代码;接收已经感染恶意代码的电子邮件;从光盘或软盘往系统上安装软件;黑客或者攻击者故意将恶意代码植入系统等。
(2)维持或提升现有特权。恶意代码的传播与破坏必须盗用用户或者进程的合法权限才能完成。
(3)隐蔽策略。为了不让系统发现恶意代码已经侵入系统,恶意代码可能会改名、删除源文件或者修改系统的安全策略来隐藏自己。
(4)潜伏。恶意代码侵入系统后,等待一定的条件,并具有足够的权限时,就发作并进行破坏活动。
(5)破坏。恶意代码的本质具有破坏性,其目的是造成信息丢失、泄密,破坏系统完整性等
2.静态检测
静态检测不实际运行软件,主要是对软件的编程格式、结构等方面进行评估。静态测试包括代码审查、桌面检查、代码走查等。
3、动态检测
动态测试是指通过运行被测程序来检查运行结果与预期结果的差异,并分析运行效率与健壮性等指标的测试方法。
?4、垃圾邮件分析
垃圾邮件分析是分析可疑的邮件消息。
例主机发出警报
从上图中可以看到选中时段内有两次针对MSSQL应用的疑似主机扫描行为。系统还增加了针对选中对象的分析功能(如选中某应用或某IP地址),在这里我们选中其中某警报日志条目,点击鼠标右键,选择“分析”菜单项,就可以针对选中时段的MSSQL应用进行单独分析,这样可以快速判断警报是否误报。
从上图中可以看出,警报发生的时段某外网IP在短时间内尝试与内网所有主机的TCP?1433端口建立连接,由于内网主机都没有安装SQL?Server,所以每个连接请求都没有得到应答,每个会话都只有1个数据包。可以断定这个外网IP在做全网段的MSSQL服务主机扫描。在案例中的网络中,我们利用这个自定义的扫描警报发现了大量的类似扫描行为。这些行为的共同特点是发生时间很短(整个扫描过程一般在3秒内完成),一次扫描会触发1~3次警报。扫描针对的应用主要集中在MSSQL、MySQL、Oracle等数据库端口以及CIFS、NetBios等共享端口,通常这些端口会容易受到漏洞攻击或弱口令攻击。现在我们可以及时的发现并在边缘设备上针对这些扫描的端口或IP地址进行过滤,避免更大的安全问题发生。
这一分钟的时间段里触发了56次扫描警报,这明显与其他时段发生的扫描行为有区别。通常主机扫描者不会针对一个应用端口持续很长时间反复扫描。一般情况下,针对SMTP端口的SYN?flood攻击才有可能持续触发我们定制的扫描警报,然而这种SYN?flood攻击往往会在“TCP分析”趋势图上看到明显的TCP同步包数量增加,而从上图的“TCP分析”趋势图上却看不到这一现象。为了进一步分析判断这一事件的原因,我们使用系统的应用统计分析功能,对这一时段的SMTP会话进行了统计分析。
从上图中的流量趋势图上明显看到SMTP流量在警报发生的时段内有明显增加,最大流量超过150Kbps;在TCP会话视图中,我们看到一个内网IP在短时间内与若干个外网IP的TCP?25端口建立了很TCP会话,这些会话并不像扫描行为那样只有很少量的数据包,而是每个会话有几个到几十个不等(截图中碰巧都是11个数据包)。
?至此基本排除了这些警报是扫描行为的可能性,但可以判断这些TCP会话不是正常的邮件发送,因为正常的邮件发送不会产生如此多的会话,而且正常邮件发送的平均数据包长度不会小于72字节。
要了解些异常会话的真正作用,就需要对这些会话进行数据包级解码分析,于是我们将这一时段的SMTP应用的数据包下载到控制台,利用控制台自带的科来网络分析模块进行解码分析。
从数据流信息中我们看到1这个外网IP有可能是21CN的邮件服务器,触发警报的内网IP在尝试向21的某个不存在的用户发送邮件,21CN的邮件服务器拒绝了这次邮件发送。继续查看其他与21CN的TCP会话,发现每个会话的发件人都是“tyco110@163.com”,收件人邮箱地址在不断变化,每个会话的收件人都不相同但邮件后缀都是“@12”。说明这个内网IP的主机的邮件发送程序并不知道收件人的真实信息,而是在不断变换邮件前缀尝试向21CN的用户发送邮件。
由于该内网IP在短时间内向21CN的邮件服务器发起了大量SMTP会话,一段时间后21CN的邮件服务器拒绝了该IP的邮件发送请求。在该内
您可能关注的文档
最近下载
- 数学丨2025届T8联考(八省八校)高三第一次学业质量评价数学试卷含答案及解析.pdf
- JJG 99-2022 砝码检定规程.docx
- 大学生职业生涯规划设计大赛--获奖作品.pdf
- 趣谈天体物理(南京大学)中国大学MOOC 慕课 章节测验期末考试答案.docx
- 苏教版小学五年级数学上学期期末考试试卷.pdf VIP
- 2024年山东省第三届中小学生海洋知识竞赛题库及答案(小学组第1200题).docx VIP
- 国开大学2023年01月11026《经济学(本)》期末考试参考答案.docx VIP
- 《物联网设备安装与调试》课程标准V0.5.docx
- 工程监理的毕业设计.doc
- 2023-2024学年北师大版九年级数学上册期末复习:期末压轴题分类1(必刷60题15种题型专项训练)解析版.pdf VIP
文档评论(0)