計算機病毒與防火墻

1、,防火墻,核心防護,病毒檢測,入侵檢測,病毒,,定義產生特點分類發(fā)展行為命名發(fā)展趨勢,防火墻,,定義作用主要技術 發(fā)展趨勢局限性,計算機病毒（Computer Virus）在《中華人民共和國計算機信息系統安全保護條例》中被明確定義，病毒指“編制者在計算機程序中插入的破壞計算機功能或者破壞數據，影響計算機使用并且能夠自我 復制的一組計算機指令或者程序代碼”。與醫(yī)學上的“病毒”不同，計算機病毒不是天然存在的，是某些人利

2、用計算機軟件和硬件所固有的脆弱性編制的一組指令集 或程序代碼。它能通過某種途徑潛伏在計算機的存儲介質（或程序）里，當達到某種條件時即被激活，通過修改其他程序的方法將自己的精確拷貝或者可能演化的形 式放入其他程序中，從而感染其他程序，對計算機資源進行破壞，所謂的病毒就是人為造成的，對其他用戶的危害性很大！,病毒的定義,研究人員為了計算出當時互聯網的在線人數，然而它卻自己“繁殖”了起來導致了整個服務器的 崩潰和堵塞，有時一次突發(fā)的停電和偶然

3、的錯誤，會在計算機的磁盤和內存中產生一些亂碼和隨機指令，但這些代碼是無序和混亂的，病毒則是一種比較完美的，精 巧嚴謹的代碼，按照嚴格的秩序組織起來，與所在的系統網絡環(huán)境相適應和配合起來，病毒不會通過偶然形成，并且需要有一定的長度，這個基本的長度從概率上來 講是不可能通過隨機代碼產生的。 全球第一個電腦病毒在1988年11月2日由麻省理工學院(MIT)的學生Robert Tappan Morris撰寫，因此病毒也被取名為

4、Morris。總共僅99行程序代碼，施放到當時網絡上數小時，就有數以千計的UNIX服務器受到感染。但此軟件原始用意并非用來癱瘓電腦，而是希望寫作出可以自我復制的軟件，但程式的循環(huán)沒有處理好，使得服務器不斷執(zhí)行、復制Morris，最后死機。,病毒的產生,,破壞性,傳染性,潛伏性,隱蔽性,可觸發(fā)性,病毒的特點,不可預見性,非授權性,病毒的分類,,按病毒存在的媒體：網絡病毒，文件病毒，引導性病毒,按病毒傳染的方法：駐留性病毒和非駐留型病毒,按

5、病毒破壞的能力：無害型、無危險型、非常危險型,按病毒的算法：寄生型病毒、詭秘型病毒、變型病毒（又稱幽靈病毒）,按傳染方式分類：引導型病毒、文件型病毒和混合型病毒,病毒的行為,1.攻擊系統數據區(qū)，攻擊部位包括：硬盤主引尋扇區(qū)、Boot扇區(qū)、FAT表、文件目錄等。迫使計算機空轉，計算機速度明顯下降。 2.攻擊磁盤，攻擊磁盤數據、不寫盤、寫操作變讀操作、寫盤時丟字節(jié)等。 3.擾亂屏幕顯示，病毒擾亂屏幕顯示的方式很多，可列舉如下：字符跌落、

6、環(huán)繞、倒置、顯示前一屏、光標下跌、滾屏、抖動、亂寫、吃字符等。 4.鍵盤病毒，干擾鍵盤操作，已發(fā)現有下述方式：響鈴、封鎖鍵盤、換字、抹掉緩存區(qū)字符、重復、輸入紊亂等。喇叭病毒，許多病毒運行時，會使計算機的喇叭發(fā)出響聲。有的病毒作者通過喇叭發(fā)出種種聲音，有的病毒作者讓病毒演奏旋律優(yōu)美的世界名曲，在高雅的曲調中去殺戮人們的信息財富，已發(fā)現的喇叭發(fā)聲有以下方式：演奏曲子、警笛聲、炸彈噪聲、鳴叫、咔咔5.攻擊CMOS ， 在機器的CMOS區(qū)

7、中，保存著系統的重要數據，例如系統時鐘、磁盤類型、內存容量等。有的病毒激活時，能夠對CMOS區(qū)進行寫入動作，破壞系統CMOS中的數據。 6.干擾打印機，典型現象為：假報警、間斷性打印、更換字符等。,1. DOS引導階段2. DOS可執(zhí)行階段3.伴隨、批次型階段4.幽靈、多形階段5.生成器、變體機階段6.網絡、蠕蟲階段7.視窗階段8.宏病毒階段9.互聯網階段10.郵件炸彈階段,病毒的發(fā)展,病毒的命名,一般格式為：..

8、病毒前綴是指一個病毒的種類，他是用來區(qū)別病毒的種族分類的。不同的種類的病毒，其前綴也是不同的。比如我們常見的木馬病毒的前綴 Trojan ，蠕蟲病毒的前綴是 Worm 等等還有其他的?！　〔《久侵敢粋€病毒的家族特征，是用來區(qū)別和標識病毒家族的，如以前著名的CIH病毒的家族名都是統一的“ CIH ”，振蕩波蠕蟲病毒的家族名是“ Sasser ”?！　〔《竞缶Y是指一個病毒的變種特征，是用來區(qū)別具體某個家族病毒的某個變種的。一般都采用英

9、文中的26個字母來表示，如 Worm.Sasser.b 就是指 振蕩波蠕蟲病毒的變種B，因此一般稱為 “振蕩波B變種”或者“振蕩波變種B”。如果該病毒變種非常多，可以采用數字與字母混合表示變種標識。,計算機病毒的發(fā)展趨勢,1、制作技術更加先進，方法更加簡便2、變形病毒3、病毒與黑客程序結合,逐步向智能化病毒發(fā)展4、蠕蟲病毒強大,無線病毒發(fā)展5、利用軟件系統的缺陷和漏洞攻擊計算機系統6、跨平臺病毒的發(fā)展7、“三線程”結構病毒

10、 -------《計算機病毒的發(fā)展趨勢與防治》 趙育新,趙連鳳遼寧警專學報,破壞力最大的10種計算機病毒,1.CIH(1998年)：1998年6月始發(fā)于中國臺灣，被認為是有史以來第一種在全球范圍內造成巨大破壞的計算機病毒，導致無數臺計算機的數據遭到破壞。在全球范圍內造成了200

11、0萬至8000萬美元的損失。（win9x病毒）　　2.梅利莎(Melissa，1999年)：1999年3月26日梅利莎病毒爆發(fā)，并迅速成為全球報紙的頭條新聞，這種基于Word的宏腳本病毒感染了全球15%～20%的商業(yè)PC。該病毒借助于微軟的電子郵件系統Outlook傳播，其傳播速度如此之快，以至于英特爾、微軟和其他一些使用Outlook軟件的公司把整個電子郵件系統都關閉了。梅利莎給全球帶來了3億～6億美元的損失?！　?.愛蟲(I

12、loveyou，2000年)：2000年5月3日爆發(fā)于中國香港，這是一種VB腳本病毒，由于其主題是“我愛你”，并附有一封求愛信，因此傳播迅速，給全球帶來100億～150億美元的損失?！　?.紅色代碼(CodeRed，2001年)：2001年7月13日在網絡服務器上爆發(fā)，給全球帶來26億美元損失。,5.SQLSlammer(2003年)：2003年1月25日爆發(fā)，由于爆發(fā)的時間在周六，造成的經濟損失較小，但全球有50萬臺服務器被攻擊，

13、并致使韓國的互聯網中斷了12小時?！　?.沖擊波(Blaster，2003年)：2003年夏季爆發(fā)，數十萬臺計算機被感染，給全球造成20億～100億美元損失?！　?.巨無霸(Sobig.F，2003年)：2003年8月19日爆發(fā)，為此前Sobig變種，給全球帶來50億～100億美元損失?！　?.貝革熱(Bagle，2004年)：2004年1月18日爆發(fā)，給全球帶來數千萬美元損失?！　?.MyDoom(2004年)：200

14、4年1月26日爆發(fā)，在高峰時期，導致網絡加載時間減慢50%以上?！　?0.震蕩波(Sasser，2004年)：2004年4月30日爆發(fā)，給全球帶來數千萬美元損失。 ---------美國《Techweb》網站,怎樣預防計算機病毒,做好計算機病毒的預防，是防治病

15、毒的關鍵。計算機病毒預防措施：1.不使用盜版或來 歷不明的軟件，特別不能使用盜版的殺毒軟件。2.寫保護所有系統軟盤。3.安裝真正有效的防毒軟件，并經常進行升級。4.新購買的電腦在使用之前首先要進 行病毒檢查，以免機器帶毒。5.準備一張干凈的系統引導盤，并將常用的工具軟件拷貝到該盤上，然后妥善保存。此后一旦系統受到病毒侵犯，我們就可以使用該 盤引導系統，進行檢查、殺毒等操作。6.對外來程序要使用查毒軟件進行檢查，未經檢查的可執(zhí)

16、行文件不能拷入硬盤，更不能使用。7.盡量不要使用軟盤啟動計 算機。8.將硬盤引導區(qū)和主引導扇區(qū)備份下來，并經常對重要數據進行備份。-------------《計算機病毒的特征及防治策略》李為民，葛福鴻，張麗萍 《網絡通訊及安全》雜志社,及早發(fā)現計算機病毒，是有效控制病毒危害的關鍵

17、。檢查計算機有無病毒主要有兩種途 徑：一種是利用反病毒軟件進行檢測，一種是觀察計算機出現的異?，F象。下列現象可作為檢查病毒的參考：1.屏幕出現一些無意義的顯示畫面或異常的提示信 息。2.屏幕出現異常滾動而與行同步無關。3.計算機系統出現異常死機和重啟動現象。4.系統不承認硬盤或硬盤不能引導系統。5.機器喇叭自動產生鳴叫。 6.系統引導或程序裝入時速度明顯減慢，或異常要求用戶輸入口令。7.文件或數據無故地丟失，或文件長度自動

18、發(fā)生了變化。8.磁盤出現壞簇或可用空間變 小，或不識別磁盤設備。9.編輯文本文件時，頻繁地自動存盤。,發(fā)現計算機病毒應立即清除，將病毒危害減少到最低限度。發(fā)現計算機病毒后的解決方 法：1.在清除病毒之前，要先備份重要的數據文件。2.啟動最新的反病毒軟件，對整個計算機系統進行病毒掃描和清除，使系統或文件恢復正常。3.發(fā)現病毒 后，我們一般應利用反病毒軟件清除文件中的病毒，如果可執(zhí)行文件中的病毒不能被清除，一般應將其刪除，然后重新安裝相

19、應的應用程序。4.某些病毒在 Windows狀態(tài)下無法完全清除，此時我們應用事先準備好的干凈的系統引導盤引導系統，然后在DOS下運行相關殺毒軟件進行清除。常見的國內殺毒軟件有瑞星、江民、金山毒霸、360等。國外優(yōu)秀的殺毒軟件有卡吧斯基、麥咖啡、諾頓、小紅傘等。,防火墻定義,在網絡中，所謂“防火墻”，是指一種將內部網和公眾訪問網(如Internet)分開的方法，它實際上是一種隔離技術。防火墻是在兩個網絡通訊時執(zhí)行的一種訪問控制尺度，它能允

20、許你“同意”的人和數據進入你的網絡，同時將你“不同意”的人和數據拒之門外，最大限度地阻止網絡中的黑客來訪問你的網絡。換句話說，如果不通過防火墻，公司內部的人就無法訪問Internet，Internet上的人也無法和公司內部的人進行通信。,防火墻的特性,任何一個好的防火墻必須具備以下三個特性：1、所有在內部網絡和外部網絡之間傳輸的數據必須通過防火墻；2、只有被授權的合法數據即防火墻系統中安全策略允許的數據可以通過防火墻。3、防火墻本

21、身不受各種攻擊的影響。,防火墻的作用,強化安全策略：因為每天都有上百萬人在Internet收集信息、交換信息,不可避免地會出現個別品德不良的人或違反規(guī)則的人,防火墻是為了防止不良現象發(fā)生的“交通警察”，它執(zhí)行站點的安全策略,僅僅容許“認可的”和符合規(guī)則的請求通過。有效地記錄Internet上的活動：因為所有進出信息都必須通過防火墻,所以防火墻非常適用收集關于系統和網絡使用和誤用的信息。作為訪問的唯一點,防火墻能在被保護的網絡和外部網

22、絡之間進行記錄。限制暴露用戶點：防火墻能夠用來隔開網絡中一個網段與另一個網段。這樣,能夠防止影響一個網段的問題通過整個網絡傳播。防止易受攻擊的服務：防火墻可以大大提高網絡的安全性,并通過過濾天生不安全的服務來降低子網上主系統所冒的風險。防火墻可以禁止某些易受攻擊的服務(如NFS)進入或離開受保護的子網,以防護這些服務不會被外部攻擊者利用。而同時允許在大大降低被外部攻擊者利用的風險情況下使用這些服務。對局域網特別有用的服務,如NI

23、S或NFS因而可得到公用,并用來減輕主系統管理負擔。防火墻還可以防護基于路由選擇的攻擊,如源路由選擇和企圖通過ICMP改向把發(fā)送路徑轉向遭致損害的網點。,一個安全策略的檢查站：所有進出的信息都必須通過防火墻,因而防火墻便成為安全問題的檢查點,使可疑的訪問被拒絕于門外。控制訪問網點系統：防火墻可以控制對網點系統的訪問。如某些主系統可以由外部網絡訪問,而其他主系統則能有效地封閉起來,防護有害的訪問。增強保密性、強化私有權：使用防火墻

24、系統,站點可以防止Finger以及DNS域名服務。可以封鎖域名服務信息,從而使Internet外部主機無法獲取站點名和IP地址。通過封鎖這些信息,可以防止攻擊者從中獲得另一些有用的信息。有關網絡使用、濫用的記錄和統計：如果對Internet的往返訪問都通過防火墻,那么,防火墻可以記錄各次訪問,并提供有關網絡使用率的有價值的統計數字。采集網絡使用率統計數字和試探的證據是很重要的,這樣可以知道防火墻能否抵御試探和攻擊,并確定防火墻上的控

25、制措施是否得當。同時網絡使用率統計數字可作為網絡需求研究和風險分析活動的輸入。,防火墻的主要技術,當前比較成熟的邊界防火墻技術主要有兩種: 包過濾技術和代理服務器。,包過濾技術（IP Filter Firewall) ：為了對內部網絡提供保護，就有必要對通過防火墻的數據包進行檢查，例如檢查其源地址和目的地址、端口地址、數據包的類型等，根據這些數據來判斷這個數據包是否為合法數據包，如果不符合預定義的規(guī)則，就不將這個數據包發(fā)送到其目的計算機

26、中去。,代理服務器( Pr oxy Server):是另一種防火墻技術， 與包過濾不同， 它直接和應用服務程序打交道， 它不會讓數據包直接通過， 而是自己接收了數據包，并對其進行分析。當代理程序理解了連接請求之后， 它將自己啟動另一個連接! 向外部網絡發(fā)送同樣的請求，然后將返回的數據發(fā)送回那個提出請求的內部網絡計算機。,防火墻技術發(fā)展趨勢,1.體系結構,2 功能集成的發(fā)展:在防火墻的功能上有兩個完全相反的發(fā)展方向, 即“胖”防火墻和“廋

27、”防火墻?！芭帧狈阑饓Φ膬?yōu)點在于可以滿足用戶絕大部分的網絡安全需求, 提供較全面的保護, 降低用戶的采購成本。但防火墻作為網絡邊界的單一控制點, 本來就會給網絡帶來性能瓶頸的問題, 又IDS、防病毒等模塊地加入會進一步加劇瓶頸效應; 其次,附加模塊不專業(yè), 可能會導致附加功能不全面; 另外, 單一防火墻產品功能多, 也會導致其可靠性和安全性的降低?！芭帧狈阑饓νm用于對小型網絡的整體安全防護?！笆荨狈阑饓m用于有能力投資和管理獨立的安

28、全設備, 并渴望發(fā)揮每種產品的最大功效的大型企業(yè)。針對這類用戶的安全解決方案是對“瘦”防火墻、IDS、防病毒系統等專業(yè)安全產品進行集中管理, 使其協同工作、關聯響應, 從而全面提高企業(yè)的整體安全風險防范能力。從本質上講, “胖、瘦”防火墻并沒有好壞之分, 只有需求上的差別。未來防火墻產品可以采取定制的方式, 將滿足不同用戶需求的產品功能開發(fā)成獨立的模塊, 即IDS模塊、VPN模塊、防病毒模塊, 以及與其他專業(yè)安全產品聯動的功能模塊。針對

29、具體用戶, 廠商制定專門的網絡安全解決方案, 為用戶構建高性價比的個性化防火墻產品。,3 檢測技術的發(fā)展：防火墻在在檢測技術上經歷了從包過濾技術到狀態(tài)檢測技術再到深度包檢測技術的發(fā)展歷程。(1)包過濾防火墻的優(yōu)點是工作層次低, 速度快, 但缺陷是不能跟蹤會話狀態(tài), 無法理解上層協議, 無法抵御應用層攻擊。(2) 狀態(tài)檢測技術是目前最廣泛應用的過濾技術, 它通過在防火墻內部建立的狀態(tài)表跟蹤每一個會話狀態(tài)。與包過濾技術相比狀態(tài)檢測技術雖

30、然增加了對會話狀態(tài)的檢查, 但依然不能防范隱藏在應用層中的攻擊。(3)深度包檢測技術是為了彌補狀態(tài)檢測技術的不足而發(fā)展起來的一種新的檢測技術, 該技術為防火墻提供了應用層的防護能力, 在保留狀態(tài)檢測技術優(yōu)點的情況下, 對狀態(tài)檢測允許的流量進行深層檢測, 根據應用層信息做出進一步的處理。深度包檢測技術能夠深入檢查通過防火墻的每個數據包及其應用數據, 以基于指紋匹配、啟發(fā)式技術、異常檢測以及統計學分析等技術的規(guī)則來判定數據傳輸中是否含有惡

31、意攻擊行為。深層檢測技術工作原理是采用和數據接收方相同的方式來理解應用層信息。在標準的TCP/IP網絡中, 信息被分割成小的數據包, 以便能夠快速地通過網絡。采用深度檢測技術的防火墻在這些小數據包的傳送途中截獲它們, 通過實施數據包重組,將其重新組裝為原始數據。當成功重組出了應用層信息后, 防火墻再根據企業(yè)的安全策略來對其中的攻擊進行檢測和攔截。深度檢測技術支持常見的應用協議如HTTP、SMTP、POP、FTP和DNS等, 能夠基于U

32、RL、電子郵件、文件類型、用戶、HTTP網頁數據中的關鍵字進行內容過濾, 有效識別和防護各種常見的應用層攻擊?？删幊藺SIC技術的發(fā)展以及更有效的規(guī)則算法的出現, 讓這項技術在性能方面的壓力得到了緩解。衡量深度檢測技術成熟度的標準主要有應用協議支持數量、應用層攻擊檢測機制數量、應用層檢測效率、攻擊特征庫數量和特征庫更新頻率等, 未來的深度檢測技術的發(fā)展, 也將會針對以上幾個方面進行。,4 從外部邊界防護向全網防護的轉變,全網防護是指對

33、包括企業(yè)內部網、外聯網以及互聯網外部邊界在內的所有區(qū)域以及它們的子區(qū)域的全面保護。進行全網防護目前有兩種方式: ①是采用具備全網防護技術的防火墻;②是采用分布式防火墻。全網防護防火墻該防火墻的設計思想就是對全網進行細粒度的安全區(qū)域劃分, 形成蜂窩狀的隔離防護體系, 其目的是把安全威脅限制在最小范圍內。全網防護防火墻技術具備以下特點:(1) 支持多安全域的劃分, 可根據實際網絡需求劃分出任意多個安全區(qū)域。(2)支持高密度的物理

34、接口和VLAN子接口, 接口與安全域是互相獨立的, 用戶可以隨意的將多個接口劃分到某個安全域中, 每一安全域都能夠支持多個接口。(3) 由于安全威脅是全方向性的, 并不一定說只來自于外網, 各個方向上的威脅都可能造成嚴重的損失, 所以全網防護防火墻技術對劃分的每一個區(qū)域都提供等同的, 全面完整的防護能力。但是具體每個域實際需要啟用防火墻的那些功能是可以由用戶可以根據自身的安全需求而靈活選擇的。,分布式防火墻,針對傳統邊界防火墻的欠缺,

35、 美國AT& T 實驗室研究員Steven M. Bellov in 首次提出了分布式防火墻( Distributed Fire walls, DFW) 的概念, 分布式防火墻有狹義和廣義之分, 狹義分布式防火墻是指駐留在網絡主機并對主機系統提供安全防護的軟件產品。廣義分布式防火墻是一種全新的防火墻, 體系結構包括網絡防火墻、主機防火墻和中心管理三部分。傳統防火墻缺陷的根源在于它的拓撲結構,分布式防火墻打破了這種拓撲限制,將內

36、部網的概念由物理意義變成邏輯意義。按照Steven的說法,分布式防火墻是由一個中心來制定策略,并將策略分發(fā)到主機上執(zhí)行。它使用一種策略語言(如KeyNote,在RFC2704文擋中說明)來制定策略,并被編譯成內部形式存于策略數據庫中,系統管理軟件將策略分發(fā)到被保護的主機上,而主機根據這些安全策略和加密的證書來決定是接受還是丟棄包,從而對主機實施保護。在DFW中主機的識別雖然可以根據IP地址,但IP地址是一種弱的認證方法,容易被欺騙。在D

37、FW中建議采用強的認證方法,用IPsec加密的證書作為主機認證識別的依據,一個證書的擁有權不易偽造,并獨立于拓撲,所以只要擁有合法的證書不管它處于物理上的內網還是外網都被認為是內部!用戶。加密認證是徹底打破拓撲依賴的根本保證。在DFW系統中,各臺主機的審計事件要被上傳到中心日志數據庫中統一保存。,5 從分散管理向集中管理的轉變,早期的防火墻用戶只能通過命令行、Web界面或客戶端圖形界面方式對單臺防火墻進行管理, 這種單獨分散式管理對于網

38、絡中只有少量防火墻甚至只有一臺防火墻的情況是適用的。但隨著網絡日益復雜, 防火墻系統大規(guī)模、跨地域的部署方式的普遍應用, 采用集中管理平臺對網絡中的防火墻進行統一部署和配置已成為大型網絡中主要的工作方式。集中管理方式依據網絡的整體安全規(guī)劃制定恰當的安全策略, 并下發(fā)到各個防火墻, 減少了單獨分散管理方式帶來的工作復雜度和多個防火墻安全策略互相矛盾的情況, 同時, 集中管理平臺也便于對安全日志進行統一收集和信息挖掘、以及對安全事件進行關聯

39、分析, 從而發(fā)現系統中隱含的威脅。,防火墻的局限性,第一， 防火墻不能防范不經由防火墻的攻擊。第二，防火墻不能防止由內部用戶誤操作造成的威脅, 以及由于口令泄露而受到攻擊。第三防火墻提供系統安全, 不能提供數據安全。 防火墻不能防止受病毒感染的軟件或文件的傳輸。 由于操作系統、病毒、二進制文件類型( 加密、壓縮) 的種類太多且更新很快, 所以防火墻無法逐個掃描每個文件以查找病毒; 防火墻不能防止數據驅動式的攻擊。當有些表面看來無害的