《2022年蠕虫病毒的特征与防治.docx》由会员分享,可在线阅读,更多相关《2022年蠕虫病毒的特征与防治.docx(34页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、精选学习资料 - - - - - - - - - 算法设计与分析课程论文研 究 生 课 程 论 文2022-2022 学年其次学期 蠕虫病毒的特点与防治摘 要随着网络的进展, 以网络传播的蠕虫病毒利用网络全球互联的优势和电脑系统及网络系统安全性上的漏洞, 己经成为电脑系统安全的一大的威逼;采纳网络传播的蠕虫病毒与传统的电脑病毒在很多方面都有很多不同的新特点;本文对蠕虫病毒的特点和防备策略进行了讨论,透彻分析了几个流行的蠕虫病毒的本质特征和传播手段,并提出了防治未知病毒以及变形病毒的解决方案与虚拟机相结合 的基于攻击行为的着色判决 PN 机蠕虫检测方法;关键词 : 蠕虫,病毒特点,病毒防治1 名
2、师归纳总结 - - - - - - -第 1 页,共 21 页精选学习资料 - - - - - - - - - 算法设计与分析课程论文1 引言“ 蠕虫” 这个生物学名词于1982 年由 Xerox PARC 的 John F. Shoeh等人最早引入电脑领域,并给出了电脑蠕虫的两个最基本的特点 : “ 可以从一台电脑移动到另一台电脑” 和“ 可以自我复制”;最初,他们编写蠕虫的目的是做分布式运算的模型试验; 1988 年 Morris 蠕虫爆发后, Eugene H. Spafford为了区分蠕虫 和病毒,给出了蠕虫的技术角度的定义; “ 电脑蠕虫可以独立运行,并能把自身的一个包含全部功能的版
3、本传播到另外的电脑上;” 电脑蠕虫和电脑病毒都具有传染性和复制功能,这两个主要特性上的一样,导致二者之间是特别难区分的;近年来,越来越多的病毒实行了蠕虫技术来到达其在网络上快速感染的目的;因而,“ 蠕虫” 本身只是“ 电脑病毒” 利用的一种技术手段 1 ;2 蠕虫病毒的特点及传播1、一般特点 : 1 独立个体,单独运行 ; 2 大部分利用操作系统和应用程序的漏洞主动进行攻击 ; 3 传播方式多样 ; 4 造成网络拥塞,消耗系统资源 ; 5 制作技术与传统的病毒不同,与黑客技术相结合;2、病毒与蠕虫的区分 l 存在形式上病毒寄生在某个文件上,而蠕虫是作为独立的个体而存在 ; 2 名师归纳总结 -
4、 - - - - - -第 2 页,共 21 页精选学习资料 - - - - - - - - - 算法设计与分析课程论文2 传染机制方面病毒利用宿主程序的运行,而蠕虫利用系统存在的漏洞 ; 3 传染目标病毒针对本地文件,而蠕虫针对网络上的其他电脑 ; 4 防治病毒是将其从宿主文件中删除,而防治蠕虫是为系统打补丁;3、传播过程 : 1 扫描 : 由蠕虫的扫描功能模块负责探测存在漏洞的主机;2 攻击 : 攻击模块按漏洞攻击步骤自动攻击步骤 权限 一般为治理员权限 ,获得一个 shell;1 中找到的对象,取得该主机的3 现场处理 : 进入被感染的系统后, 要做现场处理工作, 现场处理部分工作主要
5、包括隐匿、信息搜集等等 4 复制 : 复制模块通过原主机和新主机的交互将蠕虫程序复制到新主机并启动;每一个详细的蠕虫在实现这四个部分时会有不同的侧重,有的部分实现的相当复杂,有的部分实现的就相当简略; 尼姆达病毒是一个比较典型的病毒与蠕虫 技术相结合的蠕虫病毒, 它几乎包括目前全部流行病毒的传播手段,并且可以攻 击 Win98/NT/2000/XP 等全部的 Windows 操作平台;该病毒有以下 4 种传播方式 : 1 通过 Email 发送在客户端看不到的邮件附件程序 微软的 OE 信件浏览器的漏洞 ; sample.exe,该部分利用了2 通过网络共享的方式来传染给局域网络上的网络邻居,
6、使用设置密码的共享方式可以有效的防止该病毒的此种传播方式 ; 3 通过没有补丁的 IIS 服务器来传播,该传播往往是病毒屡杀不绝的缘由,该 方式利用了微软 IIS 的 UNICODE 漏洞; 4 通过感染一般的文件来传播,在这一点上和一般的病毒程序相同;4、蠕虫病毒的传播趋势3 名师归纳总结 - - - - - - -第 3 页,共 21 页精选学习资料 - - - - - - - - - 算法设计与分析课程论文目前的流行病毒越来越表现出以下三种传播趋势 : 1、通过邮件附件传播病毒,如Mydoom 等邮件病毒 ; 2、通过无口令或者弱口令共享传播病毒,如 Nimda、Netskey 等; 3
7、、利用操作系统或者应用系统漏洞传播病毒,如冲击波蠕虫、震荡波蠕虫等;3 目前流行的蠕虫病毒3.1 Mydoom 邮件病毒Novarg/Mydoom.a 蠕虫是 2004 年 1 月 28 日开头传入我国的一个通过邮件传播的蠕虫;在全球所造成的直接经济缺失至少达400 亿美元,是 2004 年 1 月份十大病毒之首;该蠕虫利用欺诈性的邮件主题和内容来诱使用户运行邮件中的附件;拒绝服务的方式是向网站的WEB 服务发送大量GET 恳求,在传播和攻击过程中,会占用大量系统资源, 导致系统运行变慢; 蠕虫仍会在系统上留下后门,通过该后门,入侵者可以完全掌握被感染的主机 2 ;该蠕虫没有使用特殊的技术和系
8、统漏洞,之所以能造成如此大的危害, 主要仍是由于人们防范意识的薄弱, 和蠕虫本身传播速度较快的缘故;该蠕虫主要通过电子邮件进行传播, 它的邮件主题、 正文和所带附件的文件名都是随机的,另外它仍会利用 Kazaa 的共享网络来进行传播;病毒文件的图标和 windows 系统记事本 NOTEPAD.EXE 图标特别相像,运行后会打开记事本程序,显示一些乱码信息,其实病毒已经开头运行了;病毒会创建名为“斥体来判定系统是否己经被感染;蠕虫在系统中查找全部可能包含邮件地址的文件,SwebSipcSmtxSO” 的排包括地址簿文件、 各种网页文件等, 从中提取邮件地址, 作为发送的目标; 病毒会防止包含以
9、下信息的域 4 名师归纳总结 - - - - - - -第 4 页,共 21 页精选学习资料 - - - - - - - - - 算法设计与分析课程论文名: gov、mil 、borlan、bsd、example 等,病毒同样会防止包含以下信息的电子邮件帐户 : accoun、ca、certific 、icrosoft、info、 linux 等,当病毒检测到邮件地址中含有上述域名或帐户时就忽视该地址,不将其加入到发送地址链表中;Worm 病毒主程序流程如图3-1 所示,后门程序 shimgapi.dll 如图 3-2 所示:开头初始化变量检 测 注 册 表HKLM和HKUC下 是 否 存 在
10、 键SoftwareMcirosoftWindwosCurrentVersionExplorerComDlg32Version,存在就代表已感染,否就创建该键, 表示第一次感染第一次感染否 是创建互斥体 SwebSipcSmtxSO 创建互斥体 SwebSipcSmtxSO 失败 胜利 创 建 临 时 随 机 文 件 并 用返回 Notepade.exe 打开 乱码 生成库文件 shimapi.dll ,并装载该库当前时间是否大于终止时间,大于就返回将病毒自身拷贝生成文件 e 修 改 注 册 表 增 加 病 毒 自 启 动 项 ,HKLMSoftwareMicrosoftWindowsCurr
11、entVersionRun”TaskMon ”=” ”判定日期是否满意触发条件,假设满意就创建线程无限循环链接 Sco 网站,并发送信息进行 DOS 攻击打开注册表找到 kazaa 共享路径,并将当前运行进程文件副本拷贝至该目录下,扩展名为 .exe、.scr、.pif 、 .bat 四者之一名师归纳总结 - - - - - - -第 5 页,共 21 页精选学习资料 - - - - - - - - - 算法设计与分析课程论文创建无限循环扫描线程扫描 wab 文件、 IE 暂时 文件、硬盘中的文本文件,将扫描到的邮件地 址、用户进行过滤,然后加入到邮件地址队列创 建 无 限 循 环 的 发 送
12、 邮 件 线 程massmail_main_th ,从扫描得到的邮件地址队 列取地址发送邮件,邮件的发送人地址、主 题、内容、附件名称随机,附件即病毒主体终止图 3-1 Mydoom 病毒主体流程图开头加载动态库当系统为 Wni9X 时,注册为系统服务查 询 当 前 线 程 信 息 , 根 据 此 信 息 获 得 动 态 库 路 径 , 修 改 注 册 表 键 将HKEY_CLASSES_R00TCLSIDE6FB5E20-DE35-llCF-9C87-00AA005127EDInP rocServer32,Default= ” ”改为 ” ”创建后门端口并监听,依据接收的 首字节确定转发或接
13、收数据并执行每半秒检查一次注册表,假设病毒 主体路径被删除就补上终止图 3-2 shimgapi.dll 流程图Mydoom 蠕虫病毒除造成了网络资源的铺张,6 堵塞网络, 被攻击网站不能提名师归纳总结 - - - - - - -第 6 页,共 21 页精选学习资料 - - - - - - - - - 算法设计与分析课程论文供正常服务外,最大的危急在于安装了后门程序;该后门即 shimgap,通过修改注册表,使自身随着 EXPLORER 的启动而运行,将自己加载到了资源治理器的 进程空间中; 后门监听 3127 端口,假如该端口被占用, 就递增,但不大于 3198;后门供应了两个功能 : 1
14、作为端口转发代理 ; 2 作为后门,接收上传程序并执行;当 3127 端口收到连接之后,假如recv 的第一个字符是 x04,转入端口转发流程;假设其次个字符是0x01,就取 3、4 两个字符作为目标端口,取第5-8 四个字节作为目标 IP 地址,进行连接并和当前socket 数据转发; recv 的第一个字符假如是 x85,就转入执行命令流程;先接收四个字节,转成主机字节序后验证 是否是 x133c9ea2,验证通过就创建暂时文件接收数据,接收完毕运行该文件;也就是说,只要我们把任意一个可执行文件的头部,加上五个字符 :x85133c9ea2,作为数据发送到感染了 Mydoo 蠕虫机器的 3
15、127 端口,这个文件, 就会在系统上被执行,从而对被感染系统的安全造成了极大的威逼;Nimda 蠕虫病毒在 Nimda 蠕虫病毒显现以前, “ 蠕虫” 技术始终是独立进展的;Nmida 病毒第一次将“ 蠕虫” 技术和“ 电脑病毒” 技术结合起来;从Nimda 的攻击方式来看, Nimda蠕虫病毒只攻击微软的 Win X 系列操作系统,它通过电子邮件、网络接近共享文件、 IE 浏览器的内嵌 MIME 类型自动执行漏洞、 IIS 服务器文件目录遍历漏洞、 Code Red II 和 Sad mind/IIS 蠕虫留下的后门共五种方式进行传播,其中前三种方式是病毒传播方式; 关于蠕虫病毒的分析,
16、在很多文献 3 中都有提到,7 名师归纳总结 - - - - - - -第 7 页,共 21 页精选学习资料 - - - - - - - - - 算法设计与分析课程论文本文在这些文献的基础上, 重点针对几种典型的蠕虫病毒在技术实现上的特点进行分析,以期找到他们的一些共性;1 微软 IE 反常处理 MIME 头漏洞IE 在处理 MIME 头中“Content2Type: ” 处指定的某些类型时存在问题,攻击者可以利用这类缺陷在 IE 客户端执行任意命令;2 Microsoft IIS UniCode 解码目录遍历漏洞 微软 IISIISUniCdoe 字符解码的实现中存在一个安全漏洞,导致用户可
17、以远 程通过 IIS 执行任意命令;3 Microsoft IIS CGI 文件名错误会码漏洞 微软 IISCGI 程序文件名时存在一个安全漏洞,由于错误地对文件名进行了两次解码,攻击者可能利用这个漏洞执行任意系统命令;4 “ Code Red II” 和 Sadmind/IIS 蠕虫留下的后门程序;l 邮件传播 蠕虫会向被攻击者发送一封携带了蠕虫附件的邮件;这个邮件由两部分MIME 类型的信息组成 : 第一部分的 MIME 类型为“本,因此看起来是空的 ; 其次部分的 MIME 类型为“text/html”,但却没有包含文 audio/x2wav” ,但它实际上携带的是一个名为“Readme
18、.exe” 的 base64 编码的可执行附件;利用了“ 微软IE 反常处理 MIME 头漏洞” 安全漏洞,任何运行在 x86 平台下并且使用微软IE5.5SP1或之前版本 IE5.01SP2除外 来显示 HTML 邮件的邮件客户端软件, 都将自动执行邮件附件;用户甚至只需打开或预览邮件即可使蠕虫被执行 4 ;8 名师归纳总结 - - - - - - -第 8 页,共 21 页精选学习资料 - - - - - - - - - 算法设计与分析课程论文被蠕虫攻击的目标邮件的地址从以下两个来源中获得 : 用户 Web Cache文件夹中的 *.htm 和*.html 文件用户通过 MAPI 服务收到
19、 Email 邮件的内容蠕虫在这些文件中搜寻看起来像邮件地址的字符串,然后向这些地址发送一份包含蠕虫拷贝的邮件;Nimda 蠕虫在 Windows 注册表中记录最终一批邮件发送的时间,然后每十天重复搜寻邮件地址并重新发送蠕虫邮件;2 IIS WEB 服务器传播蠕虫会利用两个IIS 服务器的目录遍历漏洞和以前的一些IIS 蠕虫 Rde CodeII 和 Sad mind/IIS 留下的后门程序来进行传播;蠕虫依据以下几率来挑选攻击目标的 IP 地址: 50%的几率,在与本地 IP 地址前两字节相同的地址 25%的几率,在与本地 IP 地址前一字节相同的地址 25%的几率,随机挑选 IP 地址;
20、B 类网络 中挑选一个 A 类网络 中挑选一个蠕虫第一会启动一个 TFTP 服务器,监听 UDP/69 端口;在开启 TFTP 服务器和确定攻击 P1 地址之后, Nimda 就开头对这个 IP 地址进行扫描;第一,扫描“ RdeCodeII” 留下的后门;由于被“RedCodeII” 攻击过的系统中的Web 虚拟目录中会留下一个名为的后门程序,Nimda 就第一扫描“ ” ,假如这个程序存在的话,Nimda蠕虫就妄想通过它在系统上执行命令;它执行类似以下命令来向其发 送蠕虫代码 : GET/scripts/root.exe./c+tftp+2i+loc 其中 Localip 是本主机的 IP
21、 地址,这样就通过 TFTP 协议将本地的 ll 文件传播过去,而这个ll 实际上就是蠕虫代码本身,只不过它在这里是以*.dll 文件的9 名师归纳总结 - - - - - - -第 9 页,共 21 页精选学习资料 - - - - - - - - - 算法设计与分析课程论文形式存在;这样做的目的,就像前面所叙述的那样是为了利用 IIS 的系统文件列表权限提升漏洞来提升蠕虫运行的权限;会通过发送 : GET/sc 在将 ll 上传到目标主机上之后, 蠕虫就的恳求来运行蠕虫;此时,蠕虫是以系统治理员权限运行的;其次,假如在扫描 /Scripts 时没有胜利,即目标机中没有“ 红色代码 II ”
22、留下的后门程序, 那么蠕虫程序会连续扫描目标上的Unicode 漏洞以及二次解码漏洞,以期通过这两个漏洞在系统上执行命令,假如发觉其中某一个漏洞, 蠕虫就会重复利用 /scripts/root.exe所发送的 TFTP 命令来上传 ll ,然后运行;作为 ISAPI程序运行后,会把自身拷贝到Windows 系统文件夹命名 Mmc.exe,然后以 带参数方式运行“-qusery9bnow”;这样就完成了通过IIS 进行传播的过程;3 文件共享传播;蠕虫拜访共享网络资源,然后开头检测远程系统上的文件;假如发觉一个*.exe 文件,它将蠕虫代码加到原先文件的前面,下次执行被感染文件时,将首先执行蠕虫
23、代码;它并不感染;假如发觉 *.doc 文件,它将自己拷贝到 *.doc 文件所在目录下,改名为,并设置为隐匿、系统属性;由于Microsoft word 在打开该 *.doc 文件时,会第一在当前目录查找 ll ,这将第一运行蠕虫代码,这也会大大增大远程用户的感染几率;它也会利用找到的文档文件的名字创建以*.eml 和*.nws 后缀的文件,这些文件也是带有蠕虫拷贝的 MIME 编码的文件;4 通过网页进行传播;对于受感染的 WWW 服务器, Nimda 会修改其上的 WWW 网页文件,使得10 名师归纳总结 - - - - - - -第 10 页,共 21 页精选学习资料 - - - -
24、- - - - - 算法设计与分析课程论文浏览该网站的用户受其感染;当蠕虫通过运行时,蠕虫生成的新程序 Mmc.exe会在整个硬盘中搜寻后缀为: *.HTML ,*.APS ,*.HTM ,文件名为 : Default,Index,Main,Readme的文件;一旦发觉了这样的文件,蠕虫会在该目录下创建一个文件,它是一个由两部分组成的MIME 编码的文件,里面也包含了蠕虫拷贝;然后蠕虫会在找到的文件的末尾增加如下 Javascript代码: “ window.open ” readme.eml “,null,“ resizable=no,top=6000,left=6000” ”这样,其他用户
25、假如使用浏览器浏览被修改的网页或者资源治理 打开了预览功能 来浏览共享服务器上的文件时,利用 蠕虫就可以传播到新的客户端上;5 通过修改 *.exe 文件进行传播;IE 浏览器反常处理 MIME 头漏洞,前面几种传播方式都是通过网络方式进行的,也是 Nimda 最常用的传染方式,它仍会像一般的病毒那样通过文件来进行传播;Nimda 蠕虫第一挑选感染*.exe 文件,这样当通过软盘或局域网进行文件复制时,就会把蠕虫程序传播到 其它的机器上面;感染 *.exe 文件的详细做法是 : 先查找注册表中 HKEY LOCAL MACHINESOFTWAREMicrosoftWindowsCurrentV
26、ersion APPPathS键的内容,这个键值存放了主机上的可执行文件名字,一旦找到 Nimda 就会以病毒的方式感染这些文件;把原先的 *.exe 文件作为资源储备在新的 *.exe 文件当中, 这样当运行新的11 名师归纳总结 - - - - - - -第 11 页,共 21 页精选学习资料 - - - - - - - - - 算法设计与分析课程论文*.exe 文件时第一执行蠕虫程序,然后再调用原先的*.exe 文件来执行,这样对于用户来说感觉上只是执行了原先的 *.exe 文件;仍有一点, Nimda 假如发觉 *.exe 文件名为 Winzip32.exe,就不进行感染; 这样做可能
27、是为了防止重要程序 WinZip 无法运行导致系统崩溃;6 通过 Word 文档进行传播;由于修改 *.exe 文件简单被杀毒软件检测到,所以Nimda 仍通过替换 Word程序的一个动态连接库文件来到达传播的目的;蠕虫程序第一把自身复制到windows 目录中命名为 Riched20.dll;然后它会搜寻本地的共享目录中包含 *.doc文件的目录, 一旦找到, 就会把自身复制到目录中并命名为,并将文件属性设置为隐匿和系统属性;由于Microsoft word 在打开该 *.doc 文件时,会第一在当前目录查找并加载, 这样就会运行到蠕虫代码了; 不仅如此蠕虫仍用找到的文档文件的名字加上 .e
28、ml 后缀来创建新文件,这些文件也是带有蠕虫拷贝的 MIME 编码的文件;这样做会使得系统中显现大量 .eml 文件;7 系统感染技术蠕虫会检查注册表中的如下表项 : HKEY LOCAL MACHINESOFTWAREMicrosoftWindowsCurrentVersionAPP Paths HKEY LOCAL MACHINESOFTWAREMicrosoftWindowsCurrentVersion ExplorerShell Folders 然后感染全部找到的程序;蠕虫会将自身拷贝到 命名为,并修改文件,将 Shell 部分改为如下内容 : 12 windwosSystem 目录中
29、,名师归纳总结 - - - - - - -第 12 页,共 21 页精选学习资料 - - - - - - - - - 算法设计与分析课程论文Shell=exp -dontrunold 这样每次系统重启后都会运行蠕虫拷贝;它会用自身拷贝替换 Windows 目录下的,这样下次执行word 时会自动执行这个蠕虫;假如蠕虫是以文件名被执行,它会将自身拷贝到 Windows 暂时目录中,并使用随机文件名,例如 e 等;蠕虫在第一次执行时会查找 Explorer 进程,将自己的进程注册为 Explorer 的一个 远程线程;这样即使用户退出系统,蠕虫仍旧可以连续执行;8 后门安装技术 Nimda 蠕虫通
30、过修改一些注册表项以降低系统安全性,同时也安装系统后 门;蠕虫会将全部驱动器设置成共享状态,它会编辑如下注册表项 : LanManC$-Z$ 蠕虫会删除以下注册表项的全部子键以禁止共享安全性 : HKLMSYSTEMCurrentControlSetServiceslanmanserverSharesSecurity 蠕虫会修改以下注册表项 : HKLMSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced 调整 Hidden,ShowsuperHidden和 HideFileExt 键值,使得使用资源治理器 无法显示隐匿文件;这可以爱护蠕
31、虫代码,以免其被发觉;通过执行以下命令,蠕虫仍激活了Guest用户,将其密码设置为空,并将其加入到 Administrators 组中 对于 WindowsNT/2000/X P 用户 : net user guest/add net user guest/active net user guest “ ”13 名师归纳总结 - - - - - - -第 13 页,共 21 页精选学习资料 - - - - - - - - - 算法设计与分析课程论文net local group Administrators guest net local group Guests guest/add 通过执行
32、以下命令,蠕虫将 设置为完全共享 : net share c$ = c: 病毒的行为特点为 5 : 1 病毒运行时会将自身复制为,%systemdir%是一个变量, 它指的是操作系统安装目录中的系统目录,默认是 :“ c:windowssystem” 或“c:Winntsystem32” ;2 病毒运行时会在系统中建立一个名为: “ BILLY ” 的互斥量,目的是病毒保证在内存中只有一份病毒体,防止用户发觉;3 病毒运行时会在内存中建立一个名为 4 病毒会修改注册表,在: “ ” 的进程,该进程就是活的病毒体;HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindow
33、sCurrentVersionRun 中添加键值 :“ windows auto update” =“ ” ,以便每次启动系统时, 病毒都会运行;5 病毒体内隐匿有一段文本信息: I just want to say LOVE YOU SAN. Billy gates why do you make this possible. Stop making money and youre your software.6 病毒会以 20 秒为间隔,每 20 秒检测一次网络状态,当网络可用时,病毒会在本地的 UDP/69 端口上建立一个 TFPT 服务器,并启动一个攻击传播线程,不断的随机生成攻击地址
34、,进行攻击,另外该病毒攻击时,会第一搜寻子网的 IP地址,以便就近攻击;14 名师归纳总结 - - - - - - -第 14 页,共 21 页精选学习资料 - - - - - - - - - 算法设计与分析课程论文7 当病毒扫描到电脑后,就会向目标电脑的 8 当病毒攻击胜利后,目标电脑便会监听的TCP/135 端口发送数据;TCP/4444 端口作为后门,并绑定;然后蠕虫会连接到这个端口,发送TFTP 下载信息,目标主机通过TFTP 下载病毒并运行病毒;9 当病毒攻击失败时,可能会造成没有打补丁的 WindowXP系统可能会自动重启电脑;Wind;邢系统 RCP服务崩溃,10 病毒检测到当前
35、系统月份是 8 月之后或者日期是巧日之后, 就会向微软的更新站点“windowsupdate ” 发动拒绝服务攻击,使微软网站的更新站点无法为用户供应服务;从上面冲击波病毒的行为特点我们可以看出,冲击波病毒与其他两个病毒的不同点在于其传播方式; 冲击波病毒利用了 windows 系统的 DCOM RPC 缓冲区漏洞攻击系统, 一旦攻击胜利, 病毒体将会被传送到对方电脑中进行感染,不需要用户的参加, 而其他两种是通过邮件附件的方式,引诱用户点击执行; 破坏性方面因病毒而异,病毒的执行、自启动方面三种病毒都相像;Remote Procedure CallRPC是运用于 Windows 操作系统上的
36、一种协议; RPC 供应相互处理通信机制,答应运行该程序的电脑在一个远程系统上执行代码;RPC 协议本身源于OSFopen Software FoundationRPC协议,后来又另外增加了一些 Microsoft 专用 扩展功能; RPC 中处理 TCP/IP 信息交换的模块由于错误的处理畸形信息,导致 存在缓冲区溢出漏洞, 远程攻击者可利用此缺陷以本地系统权限在系统上执行任 意指令,如安装程序、查看或更换、删除数据或建立系统治理员权限的帐户;据 CERT 安全小组称, 操作系统中超过 50%的安全漏洞都是由内存溢出引起 的,其中大多数与微软技术有关, 这些与内存溢出相关的安全漏洞正在被越来
37、越15 名师归纳总结 - - - - - - -第 15 页,共 21 页精选学习资料 - - - - - - - - - 算法设计与分析课程论文多的蠕虫病毒所利用; 缓冲区溢出是指当电脑程序向缓冲区内填充的数据位数超 过缓冲区本身的容量时, 溢出的数据就会掩盖在合法数据上,这些数据可能是数 值、下一条指令的指针,或者是其他程序的输出内容;一般情形下,掩盖其他数 据区的数据是没有意义的, 最多造成应用程序错误, 但是假如输入的数据是经过“ 黑客” 或者病毒细心设计的,掩盖缓冲区的数据恰恰是“ 黑客” 或者病毒的入 侵程序代码,一旦余外字节被编译执行, “ 黑客” 或者病毒就有可能为所欲为,猎取
38、系统的掌握权;溢出根源在于编程 : 缓冲区溢出是由编程错误引起的;假如缓冲区被写满,而程序没有去检查缓冲区边界, 也没有停止接收数据, 这时缓冲区溢出就会发生;因此防止利用缓冲区溢动身起的攻击,关键在于程序开发者在开发程序时认真检查溢出情形,不答应数据溢出缓冲区;此外 , 用户需要常常登录操作系统和应用程序供应商的网站,跟踪公布的系统漏洞,准时下载补丁程序,补偿系统漏洞;4 蠕虫病毒的防治蠕虫病毒不同于一般的文件型病毒,既表现出了强大的功能, 也表现出了自身的特点, 变种多, 功能相像, 但当前反病毒厂商仍旧利用传统的病毒特点串查毒法进行查毒; 虽然随着病毒库的与日俱增,效率与日俱下, 倒也仍
39、能满意目前的反病毒要求, 但琼斯病毒的显现, 完全宣判了单纯特点串查毒法的死刑,迫切需要一种新式高效的查毒方法来应对琼斯这类变形蠕虫病毒;笔者总结了现有的蠕虫病毒非特点串检测方法,并提出了自己的观点;16 名师归纳总结 - - - - - - -第 16 页,共 21 页精选学习资料 - - - - - - - - - 算法设计与分析课程论文由于目前的蠕虫病毒越来越表现出三种传播趋势: 邮件附件、无口令或者弱口令共享、 利用操作系统或者应用系统漏洞来传播病毒,所以防治蠕虫也应从这三方面下手 : 1 针对通过邮件附件传播的病毒: 在邮件服务器上安装杀毒软件, 对附件进行杀毒 : 在 客 户 端
40、主 要 是 out1ook 限 制 访 问 附 件 中 的 特 定 扩 展 名 的 文 件 ,如.pif、.vbs、.js、.exe等; 用户不运行可疑邮件携带的附件;2 针对弱口令共享传播的病毒: 严格来说,通过共享和弱口令传播的蠕虫大多也利用了系统漏洞; 这类病毒会搜寻网络上的开放共享并复制病毒文件,更进一步的蠕虫仍自带了口令推测的字典来破解薄弱用户口令,特殊是薄弱治理员口令;对于此类病毒, 在安全策略上需要增加口令的强度策略,保证必要的长度和复杂度; 通过网络上的其他主机定期扫描开放共享和对登录口令进行破解尝试,发觉 问题准时整改;3 针对通过系统漏洞传播的病毒: 配置 WindowsU
41、pdate 自动升级功能,使主机能够准时安装系统补丁,防患于未然 ; 定期通过漏洞扫描产品查找主机存在的漏洞,发觉漏洞,准时升级 就实行相应措施;; 关注系统供应商、安全厂商的安全警告,如有问题,4 重命名或删除命令说明器 : 如 Windows 系统下的 ; 通过防火墙禁止除服务端口外的其他端口,切断蠕虫的传播通道和通信通道;基于攻击行为的着色判决NP 机入侵检测系统模型基于攻击行为的着色判决 NP机入侵检测系统模型是成都信息安全与国家计17 名师归纳总结 - - - - - - -第 17 页,共 21 页精选学习资料 - - - - - - - - - 算法设计与分析课程论文算网格试验室
42、刘培顺博士提出的,该模型利用Petri 网理论结合人工智能技术建立了适合攻击行为分析与检测的理论和方法 6 ;Petri 网是由 Carl Asam Petri 博士在 1962 年提出的,它是一种网状信息流模 型,包括条件和大事两类结点, 在这两类结点的有向二分图的基础上添加表示状 态信息的托肯 token 分布,并按引发规章使得大事驱动状态演化,从而反应系 统动态运行过程; Petri 网是对异步并发系统进行建模与分析的有力工具;所谓 判决 NP 机就是具有输入设输出集且行为表达式是一个定序并发表达式的确定 PN 机;着色 PN 机就是为位置和变迁加上称为颜色的标识,这些标识带有数据 值,从而可以相互区分不同的大事;基于攻击行为的着色判决PN 机入侵检测系统通过着色判决PN 机对攻击行为进行分析和建模,系统第一依据攻击实例表示成并发表达式,再转化为判决PN 机模型,然后使用机器学习的方法,通过对模型进行归纳学习得到攻击行为 的概念空间,使得系统能够在某种程度上 基于同一弱点或相像行为的攻击 应付 未知攻击模式,从而实现攻击学问库的更新和扩展;利用着色判决 PN 机的有色 合成操作, 可以对多个模型合一, 从而解决多模式匹配问题, 使得系统能够在模 型增加的同时保持检测的高效率;蠕虫病毒与黑客入侵具有相像性,基于攻击行为的着色判决 PN 机入侵检测 系统完全可