防火墻及防病毒技術(shù)

1、1,2024/3/28,防火墻及防病毒技術(shù),2,2024/3/28,第一部分：防火墻技術(shù),3,2024/3/28,防火墻的定義,傳統(tǒng)的防火墻概念概念：防火墻被設(shè)計(jì)用來防止火從大廈的一部分傳播到另一部分,4,2024/3/28,I T 領(lǐng)域使用的防火墻概念,,,兩個(gè)安全域之間通信流的唯一通道,,,根據(jù)訪問控制規(guī)則決定進(jìn)出網(wǎng)絡(luò)的行為,,一種高級(jí)訪問控制設(shè)備，置于不同網(wǎng)絡(luò)安全域之間的一系列部件的組合，它是不同網(wǎng)絡(luò)安全域間通信流的唯一通道，能根

2、據(jù)企業(yè)有關(guān)的安全政策控制（允許、拒絕、監(jiān)視、記錄）進(jìn)出網(wǎng)絡(luò)的訪問行為。,5,2024/3/28,防火墻發(fā)展,6,2024/3/28,防火墻分類,包過濾防火墻應(yīng)用代理防火墻狀態(tài)檢測(cè)防火墻,7,2024/3/28,防火墻在網(wǎng)絡(luò)中的位置,防火墻放置于不同網(wǎng)絡(luò)安全域之間,8,2024/3/28,第一代防火墻和最基本形式防火墻檢查每一個(gè)通過的網(wǎng)絡(luò)包，或者丟棄，或者放行，取決于所建立的一套規(guī)則。所以稱為包過濾防火墻。,包過濾防火墻的特點(diǎn),9,2

3、024/3/28,包過濾防火墻,,10,2024/3/28,包過濾防火墻,缺點(diǎn)： 配置困難,因?yàn)榘^濾防火墻的配置很復(fù)雜，人們經(jīng)常會(huì)忽略建立一些必要的規(guī)則，或者錯(cuò)誤配置了已有的規(guī)則，在防火墻上留下漏洞。 為特定服務(wù)開放的端口存在著危險(xiǎn)，可能會(huì)被用于其他傳輸。 可能還有其他方法繞過防火墻進(jìn)入網(wǎng)絡(luò)，例如撥入連接。,優(yōu)點(diǎn)： 防火墻對(duì)每條傳入和傳出網(wǎng)絡(luò)的包實(shí)行低水平控制。 防火墻可

4、以識(shí)別和丟棄帶欺騙性源IP地址的包。,11,2024/3/28,,,,,數(shù)據(jù)包,數(shù)據(jù)包,數(shù)據(jù)包,數(shù)據(jù)包,數(shù)據(jù)包,查找對(duì)應(yīng)的控制策略,拆開數(shù)據(jù)包,根據(jù)策略決定如何處理該數(shù)據(jù)包,控制策略,數(shù)據(jù)包,過濾依據(jù)主要是TCP/IP報(bào)頭里面的信息，不能對(duì)應(yīng)用層數(shù)據(jù)進(jìn)行處理,,分組過濾判斷信息,包過濾防火墻工作原理圖,12,2024/3/28,應(yīng)用代理防火墻,應(yīng)用程序代理防火墻接受來自內(nèi)部網(wǎng)絡(luò)特定用戶應(yīng)用程序的通信，然后建立于公共網(wǎng)絡(luò)服務(wù)器單獨(dú)的連接。

5、網(wǎng)絡(luò)內(nèi)部的用戶不直接與外部的服務(wù)器通信，所以服務(wù)器不能直接訪問內(nèi)部網(wǎng)的任何一部分。,13,2024/3/28,,應(yīng)用代理防火墻,14,2024/3/28,優(yōu)點(diǎn)： 　　 指定對(duì)連接的控制，例如允許或拒絕基于服務(wù)器IP地址的訪問，或者是允許或拒絕基于用戶所請(qǐng)求連接的IP地址的訪問。 　　 通過限制某些協(xié)議的傳出請(qǐng)求，來減少網(wǎng)絡(luò)中不必要的服務(wù)。 　　 大多數(shù)代理防火墻能夠記錄所有的連接，包括地址和持續(xù)時(shí)間。這些信息對(duì)追蹤攻擊

6、和發(fā)生的未授權(quán)訪問的事件事很有用的。 缺點(diǎn)： 　　 必須在一定范圍內(nèi)定制用戶的系統(tǒng)，這取決于所用的應(yīng)用程序。 一些應(yīng)用程序可能根本不支持代理連接。,應(yīng)用代理防火墻,15,2024/3/28,,,,,數(shù)據(jù)包,數(shù)據(jù)包,數(shù)據(jù)包,數(shù)據(jù)包,查找對(duì)應(yīng)的控制策略,拆開數(shù)據(jù)包,根據(jù)策略決定如何處理該數(shù)據(jù)包,數(shù)據(jù)包,應(yīng)用代理可以對(duì)數(shù)據(jù)包的數(shù)據(jù)區(qū)進(jìn)行分析，并以此判斷數(shù)據(jù)是否允許通過,控制策略,,,,分組過濾判斷信息,應(yīng)用代理判斷信息,應(yīng)

7、用代理防火墻原理圖,16,2024/3/28,狀態(tài)/動(dòng)態(tài)檢測(cè)防火墻,狀態(tài)檢測(cè)技術(shù)：在包過濾的同時(shí)，檢察數(shù)據(jù)包之間的關(guān)聯(lián)性，數(shù)據(jù)包中動(dòng)態(tài)變化的狀態(tài)碼。跟蹤通過防火墻的網(wǎng)絡(luò)連接和包，使用一組附加的標(biāo)準(zhǔn)，以確定是否允許和拒絕通信。監(jiān)測(cè)引擎技術(shù)：采用一個(gè)或若干個(gè)在網(wǎng)關(guān)上執(zhí)行網(wǎng)絡(luò)安全策略的軟件模塊，抽取有關(guān)數(shù)據(jù)的方法對(duì)網(wǎng)絡(luò)通信的各層實(shí)施監(jiān)測(cè)，獲得狀態(tài)信息，并動(dòng)態(tài)地保存起來作為以后執(zhí)行安全策略的參考。當(dāng)用戶訪問請(qǐng)求到達(dá)網(wǎng)關(guān)的操作系統(tǒng)前，狀態(tài)

8、監(jiān)視器要抽取有關(guān)數(shù)據(jù)進(jìn)行分析，結(jié)合網(wǎng)絡(luò)配置和安全規(guī)定作出接納、拒絕、身份認(rèn)證、報(bào)警或給該通信加密等處理動(dòng)作?？梢詫?shí)現(xiàn) 拒絕攜帶某些數(shù)據(jù)的網(wǎng)絡(luò)通信，如帶有附加可執(zhí)行程序的傳入電子消息，或包含ActiveX程序的Web頁面。,17,2024/3/28,,,,,,,,,,,,,,,監(jiān)測(cè)引擎,,,狀態(tài)檢測(cè)示意圖,18,2024/3/28,優(yōu)點(diǎn)： 檢查IP包的每個(gè)字段的能力，并遵從基于包中信息的過濾規(guī)則。 識(shí)別帶有欺騙性源IP地

9、址包的能力。 包過濾防火墻是兩個(gè)網(wǎng)絡(luò)之間訪問的唯一來源。因?yàn)樗械耐ㄐ疟仨毻ㄟ^防火墻，繞過是困難的。 基于應(yīng)用程序信息驗(yàn)證一個(gè)包的狀態(tài)的能力， 例如基于一個(gè)已經(jīng)建立的FTP連接，允許返回的FTP包通過。 基于應(yīng)用程序信息驗(yàn)證一個(gè)包狀態(tài)的能力，例如允許一個(gè)先前認(rèn)證過的連接繼續(xù)與被授予的服務(wù)通信。 記錄有關(guān)通過的每個(gè)包的詳細(xì)信息的能力。基本上，防火墻用來確定包狀態(tài)的所有信息都可以被記錄，包括應(yīng)用程序?qū)Π恼?qǐng)求，連接的持續(xù)時(shí)間

10、，內(nèi)部和外部系統(tǒng)所做的連接請(qǐng)求等。,狀態(tài)/動(dòng)態(tài)檢測(cè)防火墻,19,2024/3/28,狀態(tài)/動(dòng)態(tài)檢測(cè)防火墻的缺點(diǎn),狀態(tài)/動(dòng)態(tài)檢測(cè)防火墻唯一的缺點(diǎn)就是所有這些記錄、測(cè)試和分析工作可能會(huì)造成網(wǎng)絡(luò)連接的某種遲滯，特別是在同時(shí)有許多連接激活的時(shí)候，或者是有大量的過濾網(wǎng)絡(luò)通信的規(guī)則存在時(shí)。 解決辦法就是將特定信息通過硬件進(jìn)行處理，硬件速度越快，這個(gè)問題就越不易察覺，而且防火墻的制造商一直致力于提高他們產(chǎn)品的速度。,20,2024/3/

11、28,狀態(tài)檢測(cè)防火墻原理圖,,,,,數(shù)據(jù)包,數(shù)據(jù)包,數(shù)據(jù)包,數(shù)據(jù)包,數(shù)據(jù)包,查找對(duì)應(yīng)的控制策略,拆開數(shù)據(jù)包,根據(jù)策略決定如何處理該數(shù)據(jù)包,數(shù)據(jù)包,狀態(tài)檢測(cè)可以結(jié)合前后數(shù)據(jù)包里的數(shù)據(jù)信息進(jìn)行綜合分析決定是否允許該包通過,控制策略,,21,2024/3/28,市場(chǎng)發(fā)展需要的新技術(shù),,,,軟件防火墻,,專用硬件防火墻,軟件 VPN,,專用 VPN 網(wǎng)關(guān),加密處理芯片,軟件內(nèi)容掃描,,安全內(nèi)容處理網(wǎng)關(guān),內(nèi)容處理芯片,狀態(tài)檢測(cè)處理芯片,22,

12、2024/3/28,基于狀態(tài)檢測(cè)的硬件防火墻采用ASIC芯片硬件設(shè)計(jì)體系具有內(nèi)容處理芯片和內(nèi)容處理加速單元可以實(shí)現(xiàn)實(shí)時(shí)分析和數(shù)據(jù)包協(xié)調(diào)處理具有優(yōu)化內(nèi)容搜索、模式識(shí)別和數(shù)據(jù)分析功能同時(shí)具有病毒掃描、VPN、內(nèi)容過濾和基于網(wǎng)絡(luò)的入侵檢測(cè)功能。,主流防火墻發(fā)展趨勢(shì),23,2024/3/28,底層內(nèi)容過濾原理圖,,,,,,,,,,,,物理接口 (10/100, GigE, etc.),…,,,,,OS 操作系統(tǒng),系統(tǒng)總線,中心CPU(

13、s)會(huì)話調(diào)度,ASIC內(nèi)容處理 器,特征存儲(chǔ)器,內(nèi)容重組和掃描存儲(chǔ)器,系統(tǒng)管理(CLI, Web, SNMP, AutoUpdate),,,,加密引擎(DES, 3DES, MD5, SHA1, AES),包過濾引擎,特征掃描引擎,,,流量管理引擎,,,,24,2024/3/28,防火墻的性能指標(biāo),延時(shí),并發(fā)連接數(shù),平均無故障時(shí)間,吞吐量,防火墻在不丟包的情況下能夠達(dá)到的最大包轉(zhuǎn)發(fā)速率,數(shù)據(jù)包通過防火墻所用的時(shí)間,防火墻能夠同時(shí)處

14、理的點(diǎn)對(duì)點(diǎn)連接的最大數(shù)目,系統(tǒng)平均能夠正常運(yùn)行多長(zhǎng)時(shí)間，才發(fā)生一次故障,25,2024/3/28,防火墻產(chǎn)品功能特性組,業(yè)界標(biāo)準(zhǔn)：符合工業(yè)標(biāo)準(zhǔn)的防火墻工作模式：網(wǎng)絡(luò)地址轉(zhuǎn)換，透明模式，路由模式。用戶認(rèn)證：內(nèi)建用戶認(rèn)證數(shù)據(jù)庫，支持RADIUS認(rèn)證數(shù)據(jù)庫。服 務(wù)：支持標(biāo)準(zhǔn)服務(wù)（例如：FTP、HTTP），用戶自定義服務(wù)， 還支持用戶定義服務(wù)組。時(shí) 間 表：根據(jù)小時(shí)、日、周和月建立一次性或循環(huán)時(shí)間表，防火墻

15、 根據(jù)不同的時(shí)間表定義安全策略。虛擬映射：外部地址映射到內(nèi)部或DMZ網(wǎng)絡(luò)上的地址IP/MAC綁定：阻止來自IP地址欺騙的攻擊,26,2024/3/28,操作模式: NAT/Route/Transparent,NAT – 網(wǎng)絡(luò)地址翻譯，每個(gè)接口有一個(gè)IP地址，向外的包IP地址翻譯成對(duì)外端口的IP地址Route – 每個(gè)接口有IP地址，IP包從一個(gè)端口路由到另一端口，沒有地址翻譯Transparent – 網(wǎng)絡(luò)接口沒

16、有IP地址，類似于二層交換機(jī),27,2024/3/28,雙向NAT,,,202.94.1.1,外部的端口：8080,,,Internet,端口：80,端口：21,192.168.1.0/24,外部的端口：2121,,External,28,2024/3/28,透明模式的支持,,受保護(hù)網(wǎng)絡(luò),如果防火墻支持透明模式則內(nèi)部網(wǎng)絡(luò)主機(jī)的配置不用調(diào)整,,,,,,,199.168.1.8,,同一網(wǎng)段,透明模式下，這里不用配置IP地址,透明模式下，這里

17、不用配置IP地址,,,,,,Default Gateway=199.168.1.8,防火墻相當(dāng)于網(wǎng)橋，原網(wǎng)絡(luò)結(jié)構(gòu)沒有改變,,,,29,2024/3/28,基于時(shí)間的策略控制,管理員設(shè)置員工上網(wǎng)時(shí)間限制,,,,,在防火墻上制定基于時(shí)間的訪問控制策略,,上班時(shí)間不允許訪問Internet,下班時(shí)間可以自由訪問公司的網(wǎng)絡(luò),,,Internet,,,,30,2024/3/28,IP/MAC綁定,,,Internal 1.1.1.1,Extern

18、al 2.2.2.2,1.1.1.2 00-20-ED-A8-81-60,IP//MAC Table:1.1.1.3 00-20-Ef-A8-82-61,1.1.1.4 00-20-ED-A8-81-64,1.1.1.3 (甲）,1.1.1.2,1.1.1.4（丙）,,嚴(yán)格限制內(nèi)部用戶的網(wǎng)絡(luò)地址增加網(wǎng)絡(luò)安全，抵御網(wǎng)絡(luò)攻擊,沒有在表中的配置項(xiàng)不能通過,,,,31,2024/3/28,HA功能,高可用性(HA) 提高

19、可靠性和負(fù)載分配。負(fù)載分配：增強(qiáng)性能，在失敗恢復(fù)的時(shí)候不會(huì)發(fā)生服務(wù)中斷。,32,2024/3/28,病毒檢測(cè),Exe/doc/zip,,病毒庫,病毒檢測(cè)：掃描郵件附件（SMTP，POP3，IMAP）、 Web內(nèi)容和插件（HTTP）的病毒特征碼和宏病毒,33,2024/3/28,蠕蟲保護(hù),蠕蟲保護(hù)：掃描所有進(jìn)出的電子郵件及附件（SMTP,POP3,IMAP） 檢測(cè)網(wǎng)頁里的插件和下載的內(nèi)容（HTT

20、P）,34,2024/3/28,內(nèi)容安全控制,內(nèi)容安全控制 網(wǎng)絡(luò)訪問的內(nèi)容控制，支持WEB內(nèi)容的關(guān)鍵字過濾，屏蔽具有激越或敏感的網(wǎng)頁內(nèi)容，提供了內(nèi)容級(jí)可控制手段。 阻塞有害的Web語言攻擊，包括Java Applet 、Activex、 Cookie等,ＵＲＬ管理與控制Reject :www.xxx.com /xxx.asp?返回結(jié)果：所訪問網(wǎng)頁包含管理員禁止內(nèi)容

21、，以被屏蔽??！,35,2024/3/28,入侵檢測(cè),Internet,,,,,,,,,,,,,,,,DMZEmailHTTP,財(cái)務(wù)部,市場(chǎng)部,研發(fā)部,Router,,,,,,,,36,2024/3/28,抵抗DOS/DDOS攻擊防止入侵者的掃描防止源路由攻擊防止IP碎片攻擊防止ICMP/IGMP攻擊防止IP欺騙攻擊,入侵檢測(cè)內(nèi)容,37,2024/3/28,虛擬專用網(wǎng)（VPN）,虛擬專用網(wǎng)（VPN） 在網(wǎng)絡(luò)之間

22、或網(wǎng)絡(luò)與客戶端之間進(jìn)行安全通訊，支持IPSec、PPTP、L2TP等標(biāo)準(zhǔn)。硬件加速加密：支持DES，3DES加密算法密鑰交換算法：支持自動(dòng)IKE和手工密鑰交換。VPN客戶端通過：沒有專門的配置需求，支持PPTP、L2TP,38,2024/3/28,VPN 解決方案,,,,遠(yuǎn)程訪問,Internet,虛擬私有網(wǎng),,,,,虛擬私有網(wǎng),虛擬私有網(wǎng),39,2024/3/28,企業(yè)VPN解決方案(一),40,2024/3/28,企業(yè)

23、VPN解決方案(二),41,2024/3/28,基于PPTP/L2TP的撥號(hào)VPN,,在Internal 端網(wǎng)絡(luò)定義遠(yuǎn)程地址池每個(gè)客戶端動(dòng)態(tài)地在地址池中為VPN會(huì)話獲取地址客戶端先得撥號(hào)（163/169）得到一個(gè)公網(wǎng)地址 ， 然后和公司的防火墻設(shè)備利用PPTP/L2TP協(xié)議進(jìn)行VPN的建立建立VPN 的用戶可以訪問公司內(nèi)部網(wǎng)絡(luò)的所有資源， 就象在內(nèi)部網(wǎng)中一樣客戶端不需要附加軟件的安裝，簡(jiǎn)單方便,Dial-U

24、p NAT Pool10.1.1.0/24 10.1.1.1 --- 10.1.1.10,42,2024/3/28,基于ipsec的撥號(hào)VPN,利用IPSEC協(xié)議的通道模式進(jìn)行VPN的建立無需為客戶分配IP Pool用戶端要安裝IPSEC Client軟件建立VPN 的用戶可以訪問公司內(nèi)部網(wǎng)絡(luò)的所有資源，就象在內(nèi)部網(wǎng)中一樣,43,2024/3/28,基于瀏覽器界面配置管理,使用HTTPS遠(yuǎn)程登錄管理,44,2024/3/28,

25、基于字符和命令行界面配置管理,提供Console口或ＳＳＨ遠(yuǎn)程連接通過使用ＳＮＭＰ遠(yuǎn)程管理,45,2024/3/28,防火墻不足之處,無法防護(hù)內(nèi)部用戶之間的攻擊 無法防護(hù)基于操作系統(tǒng)漏洞的攻擊 無法防護(hù)內(nèi)部用戶的其他行為 無法防護(hù)端口反彈木馬的攻擊 多數(shù)防火墻無法防護(hù)病毒的侵襲 無法防護(hù)非法通道出現(xiàn),46,2024/3/28,企業(yè)部署防火墻的誤區(qū),最全的就是最好的，最貴的就是最好的 軟件防火墻部署后不對(duì)操作系統(tǒng)加固 一次

26、配置，永遠(yuǎn)運(yùn)行 測(cè)試不夠完全 審計(jì)是可有可無的,47,2024/3/28,如何選擇防火墻,選擇防火墻的標(biāo)準(zhǔn)有很多，但最重要的是以下幾條： 　 1、總擁有成本 2、防火墻本身是安全的 3、是硬件還是軟件 4、可擴(kuò)充性 5、升級(jí)能力,48,2024/3/28,第二部分：計(jì)算機(jī)病毒技術(shù),49,2024/3/28,計(jì)算機(jī)病毒定義,計(jì)算機(jī)病毒，是指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者毀壞數(shù)據(jù)

27、，影響計(jì)算機(jī)使用，并能自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼。,——摘自《中華人民共和國計(jì)算機(jī)信 息系統(tǒng)安全保護(hù)條例》,50,2024/3/28,計(jì)算機(jī)病毒的基本特性之一,1.寄生性（依附性）,計(jì)算機(jī)病毒是一種特殊的計(jì)算機(jī)程序，它不是以獨(dú)立的文件的形式存在的，它寄生在合法的程序中. 病毒所寄生的合法程序被稱做病毒的載體，也稱為病毒的宿主程序。 病毒程序嵌入到宿主程序中，依賴于宿主程序的執(zhí)行而生存，這就是計(jì)算機(jī)病毒的寄生性

28、。,51,2024/3/28,計(jì)算機(jī)病毒的基本特性之二,2. 傳染性,計(jì)算機(jī)病毒的傳染性是指計(jì)算機(jī)病毒會(huì)通過各種渠道從已被感染的計(jì)算機(jī)擴(kuò)散到未被感染的計(jì)算機(jī)。 是否具有傳染性是判別一個(gè)程序是否為計(jì)算機(jī)病毒的最重要條件。,52,2024/3/28,計(jì)算機(jī)病毒的基本特性之三,計(jì)算機(jī)病毒在發(fā)作之前，必須能夠?qū)⒆陨砗芎玫碾[蔽起來，不被用戶發(fā)覺，這樣才能實(shí)現(xiàn)進(jìn)入計(jì)算機(jī)系統(tǒng)、進(jìn)行廣泛傳播的目的。 計(jì)算機(jī)病毒的隱蔽性表現(xiàn)為傳染的隱蔽性與存在的隱

29、蔽性。,3．隱蔽性,53,2024/3/28,計(jì)算機(jī)病毒的潛伏性是指病毒程序?yàn)榱诉_(dá)到不斷傳播并破壞系統(tǒng)的目的，一般不會(huì)在傳染某一程序后立即發(fā)作，否則就暴露了自身。潛伏性愈好，其在系統(tǒng)中的存在時(shí)間就會(huì)愈長(zhǎng)，病毒的傳染范圍就會(huì)愈大。,4．潛伏性,計(jì)算機(jī)病毒的基本特性之四,54,2024/3/28,計(jì)算機(jī)病毒的基本特性之五,共同的危害，即降低計(jì)算機(jī)系統(tǒng)的工作效率，占用系統(tǒng)資源，其具體情況取決于入侵系統(tǒng)的病毒程序。 計(jì)算機(jī)病毒的破壞性主

30、要取決于計(jì)算機(jī)病毒設(shè)計(jì)者的目的。 有時(shí)幾種本來沒有多大破壞作用的病毒交叉感染，也會(huì)導(dǎo)致系統(tǒng)崩潰等重大惡果。,5．破壞性,55,2024/3/28,計(jì)算機(jī)病毒的基本特性之六,6.可觸發(fā)性,因某個(gè)特征或數(shù)值的出現(xiàn)，誘使病毒實(shí)施感染或進(jìn)行攻擊的特性稱為可觸發(fā)性。,56,2024/3/28,計(jì)算機(jī)病毒的基本特性之七,計(jì)算機(jī)病毒存在的理論依據(jù)來自于馮·諾依曼結(jié)構(gòu)及信息共享，從理論上講如果要徹底消滅病毒，只有摒棄馮·諾依曼結(jié)

31、構(gòu)及信息共享，顯然，此二者都是無法摒棄的。,7．產(chǎn)生的必然性,57,2024/3/28,計(jì)算機(jī)病毒的基本特性之八,從本質(zhì)上說，計(jì)算機(jī)病毒是非授權(quán)的對(duì)程序體的字符型信息加工過程。 病毒具有正常程序的一切特性，它隱藏在正常程序中，當(dāng)用戶調(diào)用正常程序時(shí)竊取到系統(tǒng)的控制權(quán)，先于正常程序執(zhí)行，病毒的動(dòng)作、目的對(duì)用戶是未知的，是未經(jīng)用戶允許的。,8．非授權(quán)性,58,2024/3/28,1、磁盤在使用中的傳遞2、軟件共享使用3、盜版軟件4、

32、OFFICE文檔流行5、盜版光盤的泛濫6、網(wǎng)絡(luò)連接和INTERNET、局域網(wǎng)內(nèi)的目錄共享 7、E-mail的傳播，是網(wǎng)絡(luò)蠕蟲病毒傳播的主要途徑,病毒傳播途徑：,病毒傳播途徑,59,2024/3/28,病毒的危害,影響系統(tǒng)效率進(jìn)行反動(dòng)宣傳,占用系統(tǒng)資源,刪除、破壞數(shù)據(jù),干擾正常操作,阻塞網(wǎng)絡(luò),60,2024/3/28,1)Dos病毒 2)Windows 病毒 3)UNIX病毒 4）攻擊OS/2系統(tǒng)的病毒。 5）攻

33、擊嵌入式操作系統(tǒng)的病毒。,1.按照病毒依賴的操作系統(tǒng)來分,一般說來，特定的病毒只能在特定的操作系統(tǒng)下運(yùn)行。,病毒分類 之一,61,2024/3/28,病毒分類 之二,2.按照計(jì)算機(jī)病毒的鏈結(jié)方式分為：,源碼型病毒,入侵型病毒,操作系統(tǒng)型病毒,外殼型病毒,62,2024/3/28,病毒分類 之二,源碼型病毒：較為少見，亦難以編寫。因?yàn)樗舾呒?jí)語言編寫的源程序，在源程序編譯之前插入其中，并隨源程序一起編譯、連接成可執(zhí)行文件。此時(shí)剛剛生成

34、的可執(zhí)行文件便已經(jīng)帶毒了。,入侵型病毒：可用自身代替正常程序中的部分模塊或堆棧區(qū)。因此這類病毒只攻擊某些特定程序，針對(duì)性強(qiáng)。一般情況下也難以被發(fā)現(xiàn)，清除起來也較困難。,63,2024/3/28,病毒分類 之二,外殼型病毒：將自身附在正常程序的開頭或結(jié)尾，相當(dāng)于給正常程序加了個(gè)外殼。大部份的文件型病毒都屬于這一類。,操作系統(tǒng)型病毒：可用其自身部分加入或替代操作系統(tǒng)的部分功能。因其直接感染操作系統(tǒng)，這類病毒的危害性也較大。,64,2024/

35、3/28,病毒分類 之三,良性病毒：小球病毒、三維球病毒、 WM/Concept病毒,3.按照病毒危害程度來分為：,惡性病毒：沖擊波病毒、蠕蟲王病毒、CIH病毒、 愛蟲病毒,病毒演示之一——女鬼病毒,病毒演示之二—千年老妖,其他病毒演示—白雪公主,68,2024/3/28,手機(jī)病毒,2004年，針對(duì)使用Symbian的藍(lán)牙手機(jī)的病毒出現(xiàn)針對(duì)使用PocketPC的驗(yàn)證性攻擊程序也被發(fā)現(xiàn)手機(jī)功能和操作系統(tǒng)通用性不斷增強(qiáng)，會(huì)有越來

36、越多針對(duì)手機(jī)的攻擊,69,2024/3/28,病毒分類 之四,4．按寄生方式分為：,,引導(dǎo)型病毒,文件型病毒,混合型病毒,70,2024/3/28,引導(dǎo)型病毒:,引導(dǎo)型病毒是藏匿在磁盤片或硬盤的第一個(gè)扇區(qū)。因?yàn)镈OS的架構(gòu)設(shè)計(jì), 使得病毒可以在每次開機(jī)時(shí), 在操作系統(tǒng)還沒被加載之前就被加載到內(nèi)存中, 這個(gè)特性使得病毒可以針對(duì)DOS的各類中斷 (Interrupt) 得到完全的控制, 并且擁有更大的能力進(jìn)行傳染與破壞。,典型病毒：Mich

37、elangelo—米開朗基羅病毒潛伏期：一年發(fā)病日：3月6日產(chǎn)地：瑞典（也有一說為臺(tái)灣）癥狀：病毒發(fā)作后，使用者一開機(jī)若出現(xiàn)黑畫面，那表示硬盤資料全部丟失。,引導(dǎo)型病毒,71,2024/3/28,一般只傳染磁盤上的可執(zhí)行文件（COM，EXE）。在用戶調(diào)用染毒的可執(zhí)行文件時(shí)，病毒首先被運(yùn)行，然后病毒駐留內(nèi)存伺機(jī)傳染其他文件或直接傳染其他文件。其特點(diǎn)是附著于正常程序文件，成為程序文件的一個(gè)外殼或部件。這是較為常見的傳染方式。根據(jù)文件

38、型的病毒依傳染方式的不同, 又分成非常駐型以及常駐型兩種。,文件型病毒,文件型病毒：,72,2024/3/28,非常駐型病毒將自己寄生在 *.COM, *.EXE或是 *.SYS的文件中。當(dāng)這些中毒的程序被執(zhí)行時(shí)，就會(huì)嘗試去傳染給另一個(gè)或多個(gè)文件。,(1) 非常駐型病毒(Non-memory Resident Virus) :,典型病毒：Datacrime II 資料殺手發(fā)病日：10月12日起至12月31日發(fā)現(xiàn)日：1989.3產(chǎn)

39、地：荷蘭癥狀：低級(jí)階格式化硬盤，高度破壞數(shù)據(jù)資料,非常駐型病毒,73,2024/3/28,常駐型病毒躲在內(nèi)存中，其行為就好象是寄生在各類的低階功能一般(如 Interrupts)，由于這個(gè)原因, 常駐型病毒往往對(duì)磁盤造成更大的傷害。一旦常駐型病毒進(jìn)入了內(nèi)存中, 只要執(zhí)行文件被執(zhí)行, 它就對(duì)其進(jìn)行感染的動(dòng)作, 其效果非常顯著。,發(fā)病日： 每逢13號(hào)星期五產(chǎn)地：南非癥狀：將任何你想執(zhí)行的中毒文件刪除，該病毒感染速度相當(dāng)快，其發(fā)病的唯一

40、征兆是軟驅(qū)的燈會(huì)一直亮著。,(2) 常駐型病毒(Memory Resident Virus) :,典型病毒：Friday 13th 黑色（13號(hào)）星期五,常駐型病毒,74,2024/3/28,復(fù)合型病毒 (Multi-Partite Virus),復(fù)合型病毒兼具開機(jī)型病毒以及文件型病毒的特性。它們可以傳染 *.COM, *.EXE 文件，也可以傳染磁盤的開機(jī)系統(tǒng)區(qū)(Boot Sector)。由于這個(gè)特性, 使得這種病毒具有相當(dāng)程度的傳

41、染力。一旦發(fā)病，其破壞的程度將會(huì)非?？捎^。,復(fù)合型病毒,典型病毒：Flip 翻轉(zhuǎn),發(fā)病日：每月2日產(chǎn)地：瑞士(也有一說為西德)癥狀：每個(gè)月 2 號(hào)，如果使用被寄生的磁盤或硬盤開機(jī)時(shí)，則在16 時(shí)至16時(shí)59分之間，屏幕會(huì)呈水平翻動(dòng)。,75,2024/3/28,病毒分類之五,宏病毒：美麗莎,系統(tǒng)病毒: CIH病毒,蠕蟲病毒：紅色代碼，尼姆達(dá),木馬病毒：QQ尾巴,黑客病毒：007,破壞性程序、網(wǎng)頁腳本病毒：萬花谷病毒,6．按照病毒的感染

42、特性來分,76,2024/3/28,病毒概念擴(kuò)展,對(duì)病毒概念的擴(kuò)展：,77,2024/3/28,蠕蟲病毒（一）,蠕蟲病毒與一般病毒的差異比較,78,2024/3/28,蠕蟲病毒（二）,蠕蟲的破壞和發(fā)展趨勢(shì),79,2024/3/28,蠕蟲發(fā)作的一些特點(diǎn)和發(fā)展趨勢(shì),病毒制作技術(shù)新,潛在的威脅和損失更大,與黑客技術(shù)相結(jié)合,利用操作系統(tǒng)和應(yīng)用程序的漏洞主動(dòng)進(jìn)行攻擊,傳播方式多樣,80,2024/3/28,SQL蠕蟲,SQL蠕蟲,攻擊的是微軟數(shù)據(jù)

43、庫系Microsoft SQL Server 2000。利用了MSSQL2000服務(wù)遠(yuǎn)程堆棧緩沖區(qū)溢出漏洞。此蠕蟲病毒本身除了對(duì)網(wǎng)絡(luò)產(chǎn)生拒絕服務(wù)攻擊外,并沒有別的破壞措施。但如果病毒編寫者在編寫病毒的時(shí)候加入破壞代碼,后果將不堪設(shè)想。,81,2024/3/28,紅色代碼(Code red)病毒,紅色代碼(Code red)病毒,該蠕蟲感染運(yùn)行Microsoft Index Server 2.0的系統(tǒng)，或是在Windows 2000

44、、IIS中啟用了Indexing Service(索引服務(wù))的系統(tǒng)。該蠕蟲利用了一個(gè)緩沖區(qū)溢出漏洞進(jìn)行傳播（未加限制的Index Server ISAPI Extension緩沖區(qū)使WEB服務(wù)器變的不安全）。該蠕蟲只存在于內(nèi)存中，并不向硬盤中拷文件。,82,2024/3/28,該病毒影響運(yùn)行Windows95, 98,ME,NT 和2000的客戶端和服務(wù)器通過Email 傳播通過網(wǎng)絡(luò)共享傳播通過瀏覽器傳播通過主動(dòng)掃描未打補(bǔ)丁

45、的IIS服務(wù)器進(jìn)行傳播 攜帶該病毒的郵件的包含兩部分,Nimda病毒,83,2024/3/28,計(jì)算機(jī)病毒命名之一,84,2024/3/28,計(jì)算機(jī)病毒命名之二,85,2024/3/28,計(jì)算機(jī)病毒命名之三,86,2024/3/28,計(jì)算機(jī)病毒命名之四,87,2024/3/28,計(jì)算機(jī)病毒命名之五,88,2024/3/28,計(jì)算機(jī)病毒邏輯結(jié)構(gòu)分析,89,2024/3/28,常見病毒類型流程分析一,90,2024/3/28,常見病毒類型

46、流程分析二,91,2024/3/28,常見病毒類型流程分析三,92,2024/3/28,如何發(fā)現(xiàn)病毒之一,計(jì)算機(jī)病毒發(fā)作時(shí)，通常會(huì)出現(xiàn)以下幾種情況，這樣我們就能盡早地發(fā)現(xiàn)和清除它們。 （1）電腦運(yùn)行比平常遲鈍。 （2）程序載入時(shí)間比平常久。 （3）對(duì)一個(gè)簡(jiǎn)單的工作，磁盤似乎花了比預(yù)期長(zhǎng)的時(shí)間。 （4）不尋常的錯(cuò)誤信息出現(xiàn)。 （5）由于病毒程序的異?；顒?dòng)，造成對(duì)磁盤的異常訪問。當(dāng)你 沒有存取磁盤，但磁盤指示

47、燈卻亮了，表示電腦這時(shí)已經(jīng) 受到病毒感染了。 （6）系統(tǒng)內(nèi)存容量忽然大量減少。 （7）磁盤可利用的空間突然減少。 （8）可執(zhí)行程序的大小改變,93,2024/3/28,如何發(fā)現(xiàn)病毒之二,（9）由于病毒可能通過將磁盤扇區(qū)標(biāo)記為壞簇的方式把自己隱藏 起來，磁盤壞簇會(huì)莫名其妙地增多。（10）程序同時(shí)存取多部磁盤。（11）內(nèi)存內(nèi)增加來路不明的常駐程序。（12）文件、數(shù)據(jù)奇怪的消失。（13）文件的內(nèi)容被加上一些奇怪的

48、資料。（14）文件名稱，擴(kuò)展名，日期，屬性被更改過。（15）打印機(jī)出現(xiàn)異常。（16）死機(jī)現(xiàn)象增多。（17）出現(xiàn)一些異常的畫面或聲音。,異?，F(xiàn)象的出現(xiàn)并不表明系統(tǒng)內(nèi)肯定有病毒，仍需進(jìn)一步的檢查。,94,2024/3/28,什么是病毒代碼 (Virus Pattern)?,所謂的病毒代碼其實(shí)可以想像成是犯人的指紋, 當(dāng)防毒軟件公司收集到一只新的病毒時(shí), 他們就會(huì)從這個(gè)病毒程序中截取一小段獨(dú)一無二而且足以表示這只病毒的二進(jìn)位程序碼 (

49、Binary Code) , 來當(dāng)做殺毒程序辨認(rèn)此病毒的依據(jù), 而這段獨(dú)一無二的二進(jìn)位程序碼就是所謂的病毒代碼。,病毒代碼,95,2024/3/28,殺毒引擎的定義,當(dāng)殺毒軟件去掃描某一個(gè)磁盤驅(qū)動(dòng)器或目錄時(shí)，它其實(shí)是把這個(gè)磁盤驅(qū)動(dòng)器或目錄下的檔案一一送進(jìn)掃描引擎來進(jìn)行掃描，也就是說看到的漂亮畫面其實(shí)只是一個(gè)使用者接口(UI，User Interface)，真正影響掃描速度及偵測(cè)率的因素就是查毒引擎。 查毒引擎是一個(gè)沒有畫面，

50、沒有包裝的核心程序，它被放在殺毒軟件所安裝的目錄之下，就好象汽車引擎平常是無法直接看見的，可是它卻是影響汽車性能最主要的關(guān)鍵。 有了病毒特征碼，有了查毒引擎，再配合一個(gè)精美的操作畫面，就組成了殺毒軟件。,96,2024/3/28,防病毒技術(shù),1.病毒掃描技術(shù),2.病毒監(jiān)控技術(shù),已知病毒掃描技術(shù),未知病毒掃描技術(shù),實(shí)時(shí)監(jiān)控系統(tǒng) 個(gè)人防火墻監(jiān)控系統(tǒng),97,2024/3/28,已知病毒掃描技術(shù),已知病毒掃描技術(shù),特征碼掃描技術(shù)

51、 廣譜特征掃描技術(shù) 采取通配符方式掃描，可以在不升級(jí)病毒庫的前提下查找病毒變種，但是無法殺掉。,98,2024/3/28,虛擬機(jī)技術(shù),虛擬機(jī)技術(shù),通過軟件形式，虛擬CPU和內(nèi)存環(huán)境，將可疑文件放入虛擬機(jī)中運(yùn)行，殺毒引擎監(jiān)控該文件動(dòng)作，對(duì)其行為做出分析，從而判定是否為病毒。,99,2024/3/28,未知病毒掃描技術(shù),未知病毒掃描技術(shù),啟發(fā)式查毒 部分虛擬，分析部分代碼，速度快，但無法清除病毒，可能會(huì)有誤報(bào)。行為判定技

52、術(shù) 對(duì)文件進(jìn)行完全虛擬，可清除病毒，判斷準(zhǔn)確，但速度較慢。,100,2024/3/28,實(shí)時(shí)監(jiān)控系統(tǒng),實(shí)時(shí)監(jiān)控系統(tǒng),文件監(jiān)控郵件監(jiān)控內(nèi)存監(jiān)控網(wǎng)頁腳本監(jiān)控注冊(cè)表監(jiān)控,101,2024/3/28,個(gè)人防火墻監(jiān)控系統(tǒng)之一,102,2024/3/28,個(gè)人防火墻監(jiān)控系統(tǒng)之二,103,2024/3/28,加強(qiáng)網(wǎng)絡(luò)管理員安全管理水平，提高安全意識(shí)。 建立病毒檢測(cè)與防范系統(tǒng)建立應(yīng)急響應(yīng)系統(tǒng)，將風(fēng)險(xiǎn)減少到最小 建立災(zāi)難備份系統(tǒng),企

53、業(yè)用戶防范病毒策略,企業(yè)防范病毒措施,104,2024/3/28,局域網(wǎng)防病毒,對(duì)郵件服務(wù)器進(jìn)行監(jiān)控，防止帶毒郵件進(jìn)行傳播,對(duì)于局域網(wǎng)而言，可以采用以下措施：,在因特網(wǎng)接入口處安裝防火墻式防殺計(jì)算機(jī)病毒產(chǎn)品，將病毒隔離在局域網(wǎng)之外,完善局域網(wǎng)內(nèi)部的升級(jí)系統(tǒng)，包括各種操作系統(tǒng)的補(bǔ)丁升級(jí)，各種常用的應(yīng)用軟件升級(jí)，各種殺毒軟件病毒庫的升級(jí),對(duì)局域網(wǎng)用戶進(jìn)行安全培訓(xùn),安裝網(wǎng)絡(luò)版防病毒軟件,105,2024/3/28,個(gè)人用戶防病毒,購買合適的殺