病毒與其防范技術(shù)

教學(xué)目標(biāo)主要內(nèi)容包括病毒概述，蠕蟲病毒，流氓軟件病毒防范與檢測(cè)，移動(dòng)終端安全及防范第一頁，共34頁。要點(diǎn)內(nèi)容計(jì)算機(jī)病毒、網(wǎng)絡(luò)病毒蠕蟲、木馬、流氓軟。病毒防范與檢測(cè)移動(dòng)終端安全問題第二頁，共34頁。能力要求掌握病毒一般知識(shí)，包括蠕蟲病毒、特洛伊木馬等了解流氓軟件及其危害性掌握病毒防范與檢測(cè)方法了解移動(dòng)終端安全問題及其防范第三頁，共34頁。7.1病毒隨著信息技術(shù)的發(fā)展，信息技術(shù)成為國(guó)民經(jīng)濟(jì)的基礎(chǔ)。計(jì)算機(jī)病毒也日益猖獗，成為危害計(jì)算機(jī)安全、信息安全的重要原因，至今全世界已發(fā)現(xiàn)數(shù)萬種病毒，并且還在高速增加各種計(jì)算機(jī)病毒的產(chǎn)生和蔓延，給計(jì)算機(jī)系統(tǒng)的安全造成了巨大的威脅和損害，其造成的計(jì)算機(jī)資源的損失和破壞，不但會(huì)造成資源和財(cái)富的巨大浪費(fèi)，而且有可能造成社會(huì)性的災(zāi)難第四頁，共34頁。病毒概念為了把自身的副本傳播給其他程序而修改并感染目標(biāo)程序的程序”定義為“計(jì)算機(jī)病毒”計(jì)算機(jī)病毒，是指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者毀壞數(shù)據(jù)，影響計(jì)算機(jī)使用，并能自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼木馬、蠕蟲、流氓軟件等第五頁，共34頁。病毒概念病毒產(chǎn)生的原因：版權(quán)保護(hù)；報(bào)復(fù)心理；炫耀、玩笑或是惡作劇；以及用于特殊目的病毒的生命周期：計(jì)算機(jī)病毒和生物世界的病毒一樣，都有其獨(dú)特的生命周期。創(chuàng)造期、孕育期、潛伏感染期、發(fā)作期、發(fā)現(xiàn)期和根除期第六頁，共34頁。病毒概念病毒的特性傳染性、隱蔽性（潛伏性）、破壞性、針對(duì)性、衍生性（變種）、寄生性和不可預(yù)見性等病毒的傳播途徑能夠進(jìn)行數(shù)據(jù)交換的介質(zhì)都是病毒傳播途徑，隨著因特網(wǎng)的高速發(fā)展，病毒也走上了高速傳播之路，網(wǎng)絡(luò)已經(jīng)成為計(jì)算機(jī)病毒的第一傳播途徑第七頁，共34頁。病毒概念病毒發(fā)作的表現(xiàn)及危害侵占內(nèi)容和CPU資源，影響系統(tǒng)運(yùn)行速度攻擊系統(tǒng)數(shù)據(jù)區(qū)破壞用戶文件，破壞磁盤干擾、控制外設(shè)尤其攝像頭的正常工作攻擊CMOS造成系統(tǒng)硬件傷害第八頁，共34頁。病毒的分類及命名規(guī)則病毒的分類按感染的途徑以及采用的技術(shù)區(qū)分：文件型計(jì)算機(jī)病毒、引導(dǎo)型計(jì)算機(jī)病毒、宏病毒和目錄（鏈接）型計(jì)算機(jī)病毒等病毒的命名規(guī)則采用前、后綴法來進(jìn)行命名的，可以是多個(gè)前綴、后綴組合，中間以小數(shù)點(diǎn)分隔，一般格式為[前綴].[病毒名].[后綴]第九頁，共34頁。病毒的分類及命名規(guī)則病毒的命名規(guī)則病毒名為該病毒的名稱及其家族，如CIH病毒、Sasser病毒等前綴表示該病毒發(fā)作的平臺(tái)或者病毒的類型，如木馬病毒的前綴是trojan；蠕蟲病毒的前綴是worm；腳本病毒的前綴是script；系統(tǒng)病毒的前綴為win32、pe、win95、w32、w95等；宏病毒的前綴是macro；第二前綴有word、excel等，根據(jù)感染的文檔類型來選擇相應(yīng)的第二前綴；捆綁機(jī)病毒的前綴是binder；后門病毒的前綴是backdoor后綴一般不要，只是以此區(qū)別在該病毒家族中各病毒的不同，可以為字母，或者為數(shù)字以說明此病毒的大小，如“worm.Sasser.c”是指振蕩波蠕蟲病毒的變種c第十頁，共34頁。7.2蠕蟲病毒蠕蟲是一種通過網(wǎng)絡(luò)傳播的惡性病毒，它具有病毒的一些共性，如傳播性、隱蔽性、破壞性等，同時(shí)具有自己的一些特征，如不利用文件寄生（有的只存在于內(nèi)存中），對(duì)網(wǎng)絡(luò)造成拒絕服務(wù)，以及和黑客技術(shù)相結(jié)合等在破壞性上，蠕蟲病毒也不是普通病毒所能比擬的，網(wǎng)絡(luò)的發(fā)展使得蠕蟲可以在短短的時(shí)間內(nèi)蔓延整個(gè)網(wǎng)絡(luò)，造成網(wǎng)絡(luò)癱瘓第十一頁，共34頁。7.2蠕蟲病毒蠕蟲病毒是無需計(jì)算機(jī)使用者干預(yù)即可運(yùn)行的獨(dú)立程序，它通過不停地獲得網(wǎng)絡(luò)中存在漏洞的計(jì)算機(jī)上的部分或全部控制權(quán)來進(jìn)行傳播蠕蟲病毒由兩部分組成：一個(gè)主程序和一個(gè)引導(dǎo)程序。主程序一旦在機(jī)器上建立就會(huì)去收集與當(dāng)前機(jī)器聯(lián)網(wǎng)的其他機(jī)器的信息，隨后嘗試?yán)媚切┤毕菰谶@些遠(yuǎn)程機(jī)器上建立其引導(dǎo)程序第十二頁，共34頁。蠕蟲病毒的工作過程掃描IP地址，隨機(jī)選取一個(gè)判斷對(duì)應(yīng)此IP地址的機(jī)器是否可被感染如果可被感染，則感染之重復(fù)上面3步共m次，m為蠕蟲產(chǎn)生的繁殖副本數(shù)量第十三頁，共34頁。蠕蟲病毒的檢測(cè)通過對(duì)蠕蟲病毒各個(gè)階段不同行為的檢測(cè)，并進(jìn)行關(guān)聯(lián)分析，根據(jù)蠕蟲病毒的多個(gè)行為特征進(jìn)行判斷，結(jié)合豐富的行為特征庫，可以對(duì)目前流行的病毒進(jìn)行檢測(cè)首先通過對(duì)TCP半連接狀態(tài)的檢測(cè)發(fā)現(xiàn)蠕蟲的掃描行為，發(fā)現(xiàn)可疑的掃描源其次在TCP的連接建立時(shí)間中檢測(cè)可疑掃描源對(duì)漏洞主機(jī)特定端口（4454）的攻擊行為，進(jìn)一步確認(rèn)感染了蠕蟲的主機(jī)再次檢測(cè)蠕蟲的自我傳播過程，對(duì)震蕩波來說，它通過4454端口的FTP服務(wù)來進(jìn)行傳播最后通過傳播文件的特征（如123_up.exe）來進(jìn)一步確認(rèn)振蕩波的傳播第十四頁，共34頁。蠕蟲病毒的防范企業(yè)防范蠕蟲病毒措施加強(qiáng)安全管理水平，提高安全意識(shí)建立病毒檢測(cè)系統(tǒng)，能夠在第一時(shí)間內(nèi)檢測(cè)到網(wǎng)絡(luò)異常建立應(yīng)急響應(yīng)系統(tǒng)，將風(fēng)險(xiǎn)減少到最小建立災(zāi)難備份系統(tǒng)第十五頁，共34頁。蠕蟲病毒的防范個(gè)人用戶對(duì)蠕蟲病毒的防范措施提高防殺毒意識(shí)購(gòu)買合適的殺毒軟件經(jīng)常升級(jí)病毒庫不隨意查看陌生郵件，尤其是帶有附件的郵件第十六頁，共34頁。7.4流氓軟件在未明確提示用戶或未經(jīng)用戶許可的情況下，在用戶計(jì)算機(jī)或其他終端上安裝運(yùn)行，侵害用戶合法權(quán)益的軟件“流氓軟件”是介于病毒和正規(guī)軟件之間的軟件同時(shí)具備正常功能和惡意行為,給用戶帶來實(shí)質(zhì)危害;既不屬于正規(guī)商業(yè)軟件，也不屬于真正的病毒；既有一定的實(shí)用價(jià)值，也會(huì)給用戶帶來很多干擾第十七頁，共34頁。流氓軟件的特征強(qiáng)制安裝難以卸載瀏覽器劫持彈出廣告惡意收集用戶信息惡意卸載惡意捆綁其他侵害用戶軟件安裝、使用和卸載知情權(quán)、選擇權(quán)的惡意行為第十八頁，共34頁。流氓軟件的危害流氓軟件植入的方式幾乎遍及所有網(wǎng)絡(luò)接口，如即時(shí)通訊、瀏覽器、電子郵件、網(wǎng)站提供的專用應(yīng)視頻播放器、FTP、BT下載等等。據(jù)統(tǒng)計(jì)，目前國(guó)內(nèi)有超過1370種以上的各種惡意插件，在大多數(shù)共享軟件中，默認(rèn)捆綁了這些插件5個(gè)以上第十九頁，共34頁。流氓軟件的危害強(qiáng)行侵入用戶計(jì)算機(jī)，無法卸載強(qiáng)行廣告、下載、注冊(cè)，嚴(yán)重侵犯了用戶的選擇權(quán)侵害用戶的虛擬財(cái)產(chǎn)安全竊取并分析用戶隱私數(shù)據(jù)無視國(guó)家法律，提供不良內(nèi)容下載第二十頁，共34頁。流氓軟件的檢測(cè)據(jù)表象初步判斷系統(tǒng)運(yùn)行速度越來越慢部分軟件（特別是瀏覽器）設(shè)置被強(qiáng)行修改自動(dòng)彈出廣告窗口自動(dòng)打開網(wǎng)站用工具檢測(cè)使用系統(tǒng)的任務(wù)管理器,查看可疑進(jìn)程使用專用檢測(cè)工具：TcpView、Regshot、Wopti等

第二十一頁，共34頁。流氓軟件的防范不要注冊(cè)登錄不良網(wǎng)站不要隨便下載不熟悉的軟件，尤其是可能對(duì)用戶數(shù)據(jù)產(chǎn)生損害的，如分區(qū)軟件、硬盤整理軟件、個(gè)人信息管理軟件等安裝軟件時(shí)應(yīng)仔細(xì)閱讀軟件附帶的用戶協(xié)議及使用說明對(duì)共享軟件應(yīng)謹(jǐn)慎使用，避免軟件過期后出現(xiàn)某些功能限制而丟失私人資料的情況應(yīng)采用“網(wǎng)絡(luò)防火墻+殺毒軟件+安全管理”的立體防御體系第二十二頁，共34頁。7.6移動(dòng)終端安全及其防范第二十三頁，共34頁。移動(dòng)終端的安全風(fēng)險(xiǎn)丟失造成的泄密風(fēng)險(xiǎn)信息泄密、位置泄密：移動(dòng)終端結(jié)構(gòu)比較松散，沒有措施對(duì)內(nèi)部器件進(jìn)行統(tǒng)一管理和認(rèn)證操作系統(tǒng)設(shè)計(jì)上缺乏有效的安全策略移動(dòng)終端中所存儲(chǔ)的數(shù)據(jù)甚至程序在不同的程度上也是公開或開放的第二十四頁，共34頁。移動(dòng)終端的安全要求中國(guó)通信標(biāo)準(zhǔn)化協(xié)會(huì)（CCSA）明確提出移動(dòng)終端信息安全技術(shù)要求。需提供措施保證系統(tǒng)參數(shù)和數(shù)據(jù)、用戶數(shù)據(jù)、密鑰信息和證書，以及應(yīng)用程序的完整性、機(jī)密性，終端關(guān)鍵器件的完整性、可靠性以及用戶身份的真實(shí)性對(duì)操作系統(tǒng)、應(yīng)用程序和終端關(guān)鍵器件進(jìn)行一致性檢驗(yàn)對(duì)用戶的身份進(jìn)行認(rèn)證然后根據(jù)用戶的授權(quán)提供資源及對(duì)象的訪問和操作權(quán)限對(duì)終端的密鑰、證書、系統(tǒng)數(shù)據(jù)和用戶數(shù)據(jù)等進(jìn)行有效的安全管理，保證存儲(chǔ)數(shù)據(jù)的安全對(duì)終端各種接口提供接入安全控制，安全地接入各種網(wǎng)絡(luò)終端中的關(guān)鍵器件還應(yīng)具有抵抗防篡改等物理攻擊的能力，以提高移動(dòng)終端的自身安全防護(hù)能力第二十五頁，共34頁。移動(dòng)終端安全技術(shù)的發(fā)展終端安全技術(shù)在可信、可控和保密的路線上不斷發(fā)展和提升可信移動(dòng)終端技術(shù)移動(dòng)終端控制管理技術(shù)端到端加密技術(shù)第二十六頁，共34頁。移動(dòng)終端信息泄露方式主動(dòng)式攻擊方式用“偽基站”工作方式的移動(dòng)終端攔截系統(tǒng)移動(dòng)終端植入惡意代碼在制造過程中植入接收和發(fā)送功能裝置用戶識(shí)別卡復(fù)制欺詐（垃圾）信息第二十七頁，共34頁。移動(dòng)終端信息泄露方式被動(dòng)式攻擊方式使用移動(dòng)終端攔截系統(tǒng)移動(dòng)終端丟失第二十八頁，共34頁。移動(dòng)終端信息泄露的防范措施移動(dòng)終端用戶移動(dòng)業(yè)務(wù)運(yùn)營(yíng)商移動(dòng)終端制造商殺毒軟件（安全）廠商政府相關(guān)部門第二十九頁，共34頁。移動(dòng)簽名—原理移動(dòng)簽名即為針對(duì)移動(dòng)互聯(lián)網(wǎng)的特點(diǎn)而設(shè)計(jì)的安全方案將用戶私鑰保存在用戶的手機(jī)（SIM）中，將待簽名數(shù)據(jù)通過一個(gè)平臺(tái)發(fā)送到用戶手機(jī)