《入侵检测》第1章.pptVIP

1.1　网络安全的主要威胁　　随着信息和网络技术广泛而深入地渗透到商业、金融、科研、教育、军事以及人们日常生活的各个领域(如图1.1所示)，网络和信息安全对人们生活和国家安全的影响越来越重要。 图1.1　Internet应用发展示意图 图1.2　目前网络安全的主要威胁 　　金山毒霸全球反病毒监测中心等发布的近几年中国电脑病毒疫情及互联网安全报告等表明，病毒的“工业化”入侵以及“流程化”攻击越来越明显。团伙犯罪分子为获取金钱而制作了越来越多的恶意软件；黑客的攻击行为组织性更强，其目的已经从单纯的追求“荣耀感”向获取多方面实际利益的方向转移；网上木马、间谍程序、恶意网站、网站仿冒、僵尸网络等日趋泛滥，以熊猫烧香、灰鸽子、AV终结者为代表的恶性病毒频繁出现，危害程度逐步加深。 　　2008年，中国新增计算机病毒、木马数量呈爆炸式增长，总数量已突破千万。病毒制造的模块化、专业化以及病毒“运营”模式的互联网化成为2008年中国计算机病毒发展的三大显著特征。同时，病毒制造者的“逐利性”依旧没有改变，网页挂马、漏洞攻击成为黑客获利的主要渠道。据金山毒霸“云安全”中心监测数据显示，2008年，金山毒霸共截获新增病毒、木，与2007年相比增长48倍。图1.3所示为近几年新增病毒数量对比示意图。据2009年5月中国必威体育精装版安全报告显示，电脑病毒一个月新增2389476个，较上月增加38%，感染电脑的数量也增至2000万台。 图1.3　近年新增病毒数量 1.1.1　互联网已经进入木马/病毒经济时代　　目前,网络游戏、QQ聊天、网上银行和网上炒股、网上购物等互联网应用日益流行，用户在这些应用中的账户变得越来越有经济价值，其账号直接关系到用户在现实世界中的财产。网络游戏中的道具、装备，QQ中的Q币、QQ秀等虚拟物品，由于可以在C2C平台以及众多专业网站上进行交易，因此具有非常高的经济价值网络购物有两种模式,一种是B2C（BusinessToCustomer，在英文中的2的发音同to，所以这里的to简写为2）模式，即商品和信息从企业直接到消费者;另一种是C2C（CustomerToCustomer），即商品和信息从消费者直接到消费者，俗称“网上开店”。 根据中国互联网络信息中心(CNNIC)于2007年7月发布的《第20次中国互联网络发展状况统计报告》，仅中国的1.62亿网民中,就有69.8%的用户（超过1亿用户）在使用即时通信软件（以腾讯QQ和MSN为主）；47%的用户（超过7600万用户）玩过网络游戏；20%的用户（超过3200万用户）使用网上银行和进行网上炒股。这几类互联网应用成为黑客、木马制作者等不法分子攻击的主要目标。越来越多的网络犯罪分子编写及传播木马类程序，目的就是为了窃取网民的账号信息，从而获取经济利益。 1.1.2　“0Day”等漏洞和系统缺陷令人防不胜防　　网络威胁主要是利用系统（包括操作系统、支撑软件及应用系统）固有的漏洞、缺陷或系统配置及管理等过程中的安全漏洞，穿透或绕过安全设施的防护，达到非法访问直至控制系统的目的，并以此为跳板，继续攻击其它系统。攻击手段包括隐通道攻击、特洛伊木马、口令猜测、缓冲区溢出等。 　　漏洞，是指与安全相关的缺陷，能够被利用来做“原本以为”不能做的事。入侵能够成功的主要原因就在于漏洞的存在。漏洞是客观存在的，它是随软件和系统产生的，在一定程度上具有不可避免性。无论是Windows还是Unix几乎都存在或多或少的安全漏洞，众多的各类服务器、浏览器、应用软件、桌面软件等都被发现存在安全隐患或后门，如尼母达、中国黑客等病毒都利用微软系统的漏洞给用户造成巨大损失。当前网络安全的主要漏洞分类情况见附录2。 　　当前第三方软件漏洞成为病毒攻击的热点。第三方软件是指除系统本身自带的软件（操作系统本身及其自带的应用程序之外的应用类软件，例如QQ、AdobeReader等。第三方软件漏洞，是指一些第三方软件由于自身软件设计的原因，在它们提供给IE的组件上存在一些漏洞，而这些漏洞会被黑客以及恶意网站利用，在用户浏览网页过程中，通过漏洞下载木马病毒以入侵用户系统，进行远程控制、盗窃用户的账号和密码等，从而使用户遭受损失。 　　随着微软操作系统安全性的日益加强以及用户对系统漏洞警惕性的提升，病毒已经很难再利用系统漏洞大施拳脚，而第三方流行软件的漏洞越来越多地被病毒利用。以AdobeFlashPlayer漏洞为例，AdobeFlashPlayer9.0.115在播放恶意构造的swf文件时，会自动下载一个可执行文件并执行，而swf文件可能会自动下载一个病毒下载器并运行，然后再由这个病毒下载器下载其它预先指定的木马程序，危险指数非常高。在手机等新平台上传播的病毒/木马