防病毒系统自身的鲁棒性幻灯片.pptVIP

防病毒系统自身的鲁棒性 CA-Jinchen * 计算机病毒的发展趋势 感染方式 系统漏洞 网络共享 传播渠道 Web浏览 E-Mail传输 传播方式 ICQ Flash 隐藏方式 电子邮件附件后缀名称 多重加密 病毒和入侵者行为的融合 入侵者行为特点：采用系统安全漏洞达到对系统的控制或毁坏 病毒行为特点：利用自我复制和快速的传播达到病毒设计者的特定目的 文件破坏 系统破坏 信息窃取 资源占用 成果展示 逻辑炸弹 恐吓 无目的 二者的融合 导致了远程快速系统控制或破坏的可能性 融合点 病毒的感染方式 借助了系统存在的安全漏洞 80‘s蠕虫病毒 2001年Nimda病毒 病毒的欺骗战术 Social Engineering攻击方式 I love you爱虫病毒 贺卡病毒 入侵者对病毒的利用 攻击的前奏（如DDoS） 利用病毒造成的后门 直接利用病毒窃取敏感信息(如口令文件) Zero-Day攻击 攻击过程自动化 攻击工具的复杂化 漏洞发现的快速化 渗透网络防护 全球攻击趋势 防病毒系统的重任 广泛驻留在每一台计算机 实时对恶意代码防范 监视多渠道的数据来源 高可用性 频繁升级 高安全性 防病毒系统面临的问题 入侵者对防病毒系统的利用 病毒攻击 人为攻击 防火墙端口的开放 网络资源的占用 管理负载 网络发现 策略分发 升级负载 病毒攻击 Maldal.D（ZaCker）病毒 2001年12月28日编写并传播 采用VB编写，Aspack压缩 采用Outlook散布，发送给所有的联系人 试图删除以下后缀的文件：.ini, .php, .exe, .com, .mpeg, .dat, .zip, .txt, .exe, .xls, .doc, .jpg 试图删除数种防病毒软件 人为攻击 防病毒软件破坏 防病毒软件中种植木马 特征码篡改 控制指令假冒 升级程序（脚本）篡改 防火墙端口的开放 防病毒服务器为了升级特征代码 从厂家提供的升级服务器升级 内部跨越不同安全网段的升级 一般升级方式 FTP 网络共享 HTTP 安全隐患 网络负载 管理负载 可能导致的大量的网络广播 策略分发对网络的负荷 升级负载 特征库越来越大 1~2Mb 病毒爆发时对网络的瞬时压力 防病毒系统的鲁棒性 安全可靠 效率高 适应当前病毒发展的趋势 安全性 自身程序和特征文件的保护 管理台和客户端通信的保护 特征文件安全升级的保障 升级系统对防火墙开放端口的要求 微型入侵检测系统 利用数字签名实现的自我防护 利用private key对主要模块进行数字签名 签名的部分 所有二进制文件 升级特征文件 策略文件 补丁程序 运行机理 在动态调用DLL之前进行检查 开始运行EXE文件时进行自检 调用EXE文件之前进行检查 程序没有签名保护的运行流程 程序有签名保护的运行流程 防病毒客户端和管理台通讯安全 会话之前的认证 会话过程的加密 分发策略的签名 对特征文件升级端口的控制 应该提供多种方式可以选择 HTTP（最符合安全策略) FTP Active mode Passive mode SMB 本地路径 微型入侵检测系统 对现代防病毒软件的要求 抵御蠕虫感染后留下的后门 了解蠕虫病毒的特征 分析蠕虫病毒的破坏结果 修复被破坏和篡改的文件、注册表项等 效率的考虑 网络管理效率 特征文件升级效率 对集中升级请求的处理 低负载网络发现过程 层次化的策略代理和升级代理机制 利用策略代理实现对大网的分割 每一个小网设置一个代理 最终客户端的策略分发由最低级别的代理实现 特征文件升级 同策略代理的实现方式一致 对升级流量和负载进行分散处理 增量升级实现方式 特征码升级步骤 其他升级要考虑到的问题 安全性 全网升级之前的测试升级 避免失败的升级将影响范围扩大 效率 将升级时间设定为指定固定升级时间周围的一个时间段，随机选择。 比如统一在中午1点钟左右10分钟升级。 更多信息…… 请访问Web站点: 或致电 8008100412免费热线 Zero-Day攻击，指漏洞刚刚被发现就迅速被利用进行攻击的事件。病毒是发起Zero-Day攻击的最有力手段 “红色代码”蠕虫病毒在因特网上传播的最初九小时内就感染了超过250，000的计算机系统。该感染导致的代价以每天2亿美圆飞速增长，最终损失估计高达26亿美圆。现在，如“红色代码”，“红色代码II”，及“尼姆达”、“求职信”快速传播的威胁显示出现有的网络防御的严重的局限性。 下面是CERT CC在2002年给出的一些关于必威体育精装版的入侵者的攻击方式的趋势。 趋势一：攻击过程的自动化；攻击工具的快速更新 攻击工具的自动化程度继续不断增强。自动化攻击涉及到的四个阶段都发生了变化。 1．扫描潜在的受害者。从1997年起大量的扫描活动就开始了。目前，