恶意代码发展与校园网管理.pdf

恶意代码发展与校园网管理 段海新 duanhx＠ 2007年11月7日，厦门 稍后的工作组讨论会 • ARP 校园网 木马防范 石油大学网络中心主任 陈义陆 老师 – 华中科技大学网络中心 涂 皓 老师 – – 讨论 • P2P 校园网 流量控制 东南大学陈亮 – • “ ” 校园网安全与管理论坛 的讨论 提纲 • 近年来网络攻击的趋势 • 恶意代码及其对抗技术 • 网络安全技术的反思 • 校园网安全管理讨论 近年来网络攻击的趋势 • 2004年以来，影响互联网主干的安全攻击 事件并不多见 • 安全机制也许发挥了很大作用 – 系统软件的补丁及时更新 – 防病毒软件在线更新 – 防火墙技术，入侵检测技术？ – 0-Day威胁是否被夸大了？ • 网络管理者的努力 • 用户安全意识和技能的提高 近年来网络攻击的趋势（续） • 很多人有过被安装恶意软件的经历 • 不影响计算机系统的正常功能，但可能造 成经济或其他方面更大的损失 • 对主干网络的影响不大，但对局域网的影 ARP 响增大，如 木马 • 僵尸网络事件常见于媒体新闻 – 规模可达上万个节点 – 从经济犯罪到政治间谍 近年来网络攻击的趋势（续） • 攻击者和病毒作者的动机 – 从恶作剧到有目的的攻击 • 攻击者主体 – 从Script-kiddy 到有组织的产业链 • 受害主机 – 不是孤立的节点，而是形成恶意网络 – 网络更新、集中控制 • 感染后的症状 – 隐蔽传播，长期潜伏 – 不太影响主干网，只影响网络边缘 • 更加难于检测和防范 恶意代码传播方式的演变 • 感染可执行程序和分区表 • 移动介质 • 通过人、社会工程方式 • 感染数据文件 • 系统和软件漏洞 • 电子邮件 • Web网站和网页 • P2P文件共享 • 即时通信工具 • ARP欺骗方式：在HTML页面中插入木马 恶意代码对抗技术的发展 • 逃避防病毒软件的检测和分析 加壳多态技术 – / – 变形技术 – 文件、进程、端口隐藏 – 反制：杀死防病毒程序 • 突破防火墙 – 反向连接 – 线程注入 • 逃避入侵检测 – 动态端口 – 加密通信 防范技术的发展及其局限 • 防病毒软件脱壳以后再进行特征码扫描 不认识的加壳加密工具怎么办？ – / – 脱壳程序要执行多久呢？ • 反制的反制：哪个可以活到最后？ • 主机上的主动防御，监测系统调用 – 修改注册表、破坏可执行程序和系统程序完整 性端口，通信端口 – 用户不懂得，无所适从 – 从底层摘除主动防御的hook和驱动 网络安全技术的发展和反思 • 用户：无处发泄的愤怒 – 谁该为我的电脑中毒负责？ • 厂商：忽悠之后的无奈 •