《浅淡网络时代的信息安全(一).doc》由会员分享,可在线阅读,更多相关《浅淡网络时代的信息安全(一).doc(9页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、书山有路勤为径,学海无涯苦作舟。浅淡网络时代的信息安全 网络时代的信息安全技术及应用 -以反病毒技术为例 (学号:xxxxxx姓名:xxx) 1、病毒概述 “计算机病毒”最早是由美国计算机病毒研究专家f.cohen博士提出的。“计算机病毒”有很多种定义,国外最流行的定义为:计算机病毒,是一段附着在其他程序上的可以实现自我繁殖的程序代码。在中华人民共和国计算机信息系统安全保护条例中的定义为:“计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。 世界上第一例被证实的计算机病毒是在1983年,出现了计算机病毒传播的研究报告
2、。同时有人提出了蠕虫病毒程序的设计思想;1984年,美国人thompson开发出了针对unix操作系统的病毒程序。1988年11月2日晚,美国康尔大学研究生罗特莫里斯将计算机病毒蠕虫投放到网络中。该病毒程序迅速扩展,造成了大批计算机瘫痪,甚至欧洲联网的计算机都受到影响,直接经济损失近亿美元。 计算机病毒在中国的发展情况。在我国,80年代末,有关计算机病毒问题的研究和防范已成为计算机安全方面的重大课题。 计算机病毒按传染方式分为引导型、文件型和混合型病毒;按连接方式分为源码型、入侵型、操作系统型和外壳型病毒;按破坏性可分为良性病毒和恶性病毒. 计算机病毒具有刻意编写,人为破坏、自我复制能力、隐蔽
3、性、潜伏性、不可预见性等特点,网络计算机病毒具有传染方式多、传染速度快、清除难度大、破坏性强等特点。 2、典型病毒的介绍 2.1木马病毒概述 “特洛伊木马”简称木马(trojanhouse),是一种基于远程控制的黑客工具,木马通常寄生于用户的计算机系统中,盗窃用户信息,并通过网络发送给黑客。在黑客进行的各种攻击行为中,木马都起到了开路先锋的作用.木马也采工用客户机/服务器作模式。它一般包括一个客户端和一个服务器端,客户端放在木马控制者的计算机中,服务器端放置在被入侵的计算机中,木马控制者通过客户端与被入侵计算机的服务器端建立远程连接。一旦连接建立,木马控制者就可以通过对被入侵计算机发送指令来传
4、输和修改文件。 攻击者利用一种称为绑定程序的工具将服务器部分绑定到某个合法软件上,诱使用户运行合法软件。只要用户一运行该软件,木马的服务器部分就在用户毫无知觉的情况下完成了安装过程。 通常木马的服务器部分都是可以定制的,攻击者可以定制的项目一般包括:服务器运行的ip端口号、程序启动时机、如何发出调用、如何隐身、是否加密等。另外攻击者还可以设置登录服务器的密码,确定通信方式。服务器向攻击者通知的方式可能是发送一个e-mail,宣告自己当前已成功接管的机器。 木马病毒的危害可以读、写、存、删除文件,可以得到你的隐私、密码,甚至你在计算机上鼠标的每一下移动,他都可以尽收眼底。而且还能够控制你的鼠标和
5、键盘去做他想做的任何事。木马主要以网络为依托进行传播,偷取用户隐私资料是其主要目的。而且这些木马病毒多具有引诱性与欺骗性,是病毒新的危害趋势。 2.2蠕虫病毒 作为对互联网危害严重的一种计算机程序,其破坏力和传染性不容忽视。与传统的病毒不同,蠕虫病毒以计算机为载体,以网络为攻击对象。根据使用者情况的不同蠕虫可分为2类:面向企业用户的蠕虫和面向个人用户的蠕虫。按其传播和攻击特征蠕虫可分为3类:漏洞蠕虫69%,邮件蠕虫27%传统蠕虫4%。 企业类蠕虫病毒需要通过加强网络管理员安全管理水平,提高安全意识,建立病毒检测系统、建立应急响应系统,将风险减少到最低、建立备份和容灾系统等方式进行防范。对于个人
6、用户而言,威胁大的蠕虫病毒一般通过电子邮件和恶意网页传播方式。 计算机病毒将会变得网络化、功能综合化、传播途径多样化、多平台化。 3、反病毒技术 3.1反病毒软件工作原理 反病毒软件的工作原理有。反病毒扫描程序在病毒扫描程序中预先嵌入病毒特征数据库,将这一信息与文件逐一进行匹配;内存扫描程序内存扫描程序采用与病毒扫描程序同样的基本原理进行工作,它的工作是扫描内存以搜索内存驻留文件和引导记录病毒;完整性检查器在正常的计算机操作期间,大多数程序文件和引导记录不会改变。这样,计算机在未感染状态,取得每个可执行文件和引导记录的信息指纹,将这一信息存放在硬盘的数据库中;行为监测器行为监视器又叫行为监视程
7、序,它是内存驻留程序,这种程序静静地在后台工作,等待病毒或其他有恶意的损害活动。如果行为监视程序检测到这类活动,它就会通知用户,并且让用户决定这一类活动是否继续。 3.2反病毒技术应用 3.2.1cpu反病毒技术 之所以病毒和黑客能非常容易地攻击计算机,原因在于网络都是互通的,交换信息的过程中,计算机网络中会建立许多通道,但是设计者并没有过多考虑这个问题,所以只要是信息在通道中通过,都可能被认为是安全信息给予“放行”,所以这就给计算机带来了极大风险。经过多年努力,俄罗斯科学院计算系统微处理研究所的鲍利斯。巴巴扬通讯院士开发出了一种新型微处理器(cpu),被反病毒界认为成功实现了cpu反病毒,这
8、种cpu可以识别病毒程 序,对含有病毒程序的信息给予“抵抗”,同时将这些含有病毒的程序“监禁”起来,同时还可以给这些病毒程序一些数据让它去执行,以免因为空闲而危害计算机,所以这种方法基本上隔离了病毒,让病毒失去了传播的机会。 3.2.2实时反病毒技术 实时反病毒技术一向为反病毒界所看好,被认为是比较彻底的反病毒解决方案。多年来其发展之所以受到制约,一方面是因为它需要占用一部分系统资源而降低系统性能,使用户不堪忍受;另一方面是因为它与其他软件(特别是操作系统)的兼容性问题始终没有得到很好的解决。 实时反病毒概念最大的优点是解决了用户对病毒的“未知性”,或者说是“不确定性”问题。不借助病毒检测工具
9、,普通用户只能靠感觉来判断系统中有无病毒存在。而实际上等到用户感觉系统中确实有病毒在做怪的时候,系统已到了崩溃的边缘。而实时反病毒技术能及时地向用户报警,督促用户在病毒疫情大规模爆发以前采取有效措施。实时监测是先前性的,而不是滞后性的。任何程序在调用之前都先被过滤一遍。一有病毒侵入,它就报警,并自动杀毒,将病毒拒之门外,做到防患于未然。相对病毒入侵甚至破坏以后再去采取措施来挽救的做法,实时监测的安全性更高。 此项技术是在系统运行时,察觉ntfs区域内微弱的数据流变化,从而检查是否拥有病毒或恶意程序的出现。此项技术大部分杀毒厂商都已经运用。 3.2.3主动内核(activek)技术 当代病毒技术
10、的发展,已使病毒能够很紧密地嵌入到操作系统的深层,甚至是内核之中,这种深层次的嵌入给我们彻底杀除病毒造成了极大的困难。我们无法保证在病毒被杀除时不破坏操作系统本身,cih病毒就是一例。实时反病毒技术能够在用户不干预的情况下自动将病毒拦截在系统之外,这可以被称作主动反应病毒技术,但这还没有深入到内核的技术。能在操作系统和网络的内核中加入反病毒功能,使反病毒成为系统本身的底层模块而不是一个系统外部的应用软件,一直是反病毒技术追求的目标。作为全球第二大软件企业的ca公司以及冠群金辰推出了独有的主动内核(activek)技术。 activek技术的要点在于。任何文件在进入系统之前,作为主动内核的反毒模
11、块都将首先使用各种手段对文件进行检测处理。它从安全的角度对系统或网络进行管理和检查,对系统的漏洞进行修补,能够在病毒突破计算机系统软、硬件的瞬间发生作用。这种作用一方面不会伤及计算机系统本身,另一方面却对企图入侵系统的病毒具有彻底拦截并杀除的功能。 activek的基础是ca的unicentertng无缝连接技术。这种技术可以保证反毒模块从底层内核与各种操作系统、网络、硬件、应用环境密切协调,确保了activek在发生病毒入侵反应时,不会伤及到操作系统内核,同时确保杀灭来犯的病毒。使用无缝连接技术的activek是保障内核安全性的最根本技术。activek最杰出的特点是对网络的管理能力。对各种
12、网络它都可以自动地探测网络的每一个计算机是否都安装了主动内核,是否都已经升级到了最新的版本,如果有一个计算机没有做到,主动内核就可以对这个计算机进行安装或升级,使得全网络没有一个漏洞,即使用户是一个全球性的远程大型异构网络,activek也能轻易地实现。activek化被动、消级防御为主动、积极的防治,突破了传统反病毒技术的发 展模式。它从根本上解决了用户对病毒的未知性,用户所使用的计算机系统处于主动内核保护之下,任何病毒的入侵都会被主动反应内核拒之门外,防患于未然之中,而用户平时使用计算机时感觉不到反病毒主动内核的存在,对用户完全透明。它从根本上解决了病毒通过各种可能途径(特别是intern
13、et网)的传播问题,activek使用智能分析与过滤的方法,对任何网络所有部位的内存、存储设备等一切用户可利用的计算机资源中的病毒进行全面而准确的实时定位。 3.2.4虚拟机技术 这个技术最早被vmware和微软掌握,并经过大量的开发研究,达到了一个世界高峰。随后因为病毒的泛滥,导致杀毒软件在行为判断和病毒库的支持下无能为力。随后国外的杀毒厂商开始进行了第一次杀毒软件变革,那就是虚拟机技术。 运用此技术的特点就是在当前系统中虚拟出一个简单,但是可以运行程序的一个虚拟系统,这样一些加了壳的病毒就会脱掉那层壳,然后交给杀毒软件的病毒库和行为判断等技术予以清除。但是弊端也逐渐出现,那就是高资源占用,
14、甚至有时会导致杀毒软件和系统的假死现象。所以后来杀毒厂商开始削弱的虚拟机的地位,逐渐研究新得虚拟技术。这种新型虚拟技术,得到了有效的运用例如nod 32、mcafee等等。 这项技术也成为21世纪黑客首要攻破的对象之一,不过随着黑客技术的不断增强,这项技术也被逐渐攻破,但是这项技术需要耗费大量的系统资源,导致系统不能正常运行,所以新型虚拟技术运用了部分的虚拟机技术,这就导致了,虚拟机不能完全发挥其原有的功效,只能运用病毒库来弥补不足。这就是杀毒软件的滞后性。此项技术运用比较出色的有:nod 32、mcafee等等。 3.2.5沙盘仿真 这项技术,最早是系统还原类软件的专利,例如shadow系统
15、或者nortongoback的safemode率先启用的。这项技术是说在原有的系统上预先留出一些空间,然后让用户进行操作,重新启动后,原先的数据全部被清除,还原到原始状态的一种技术。而杀毒软件也同样看见了这一点,于是就将此项技术和虚拟机技术进行了整合,推出了沙盘仿真技术,技术原理和虚拟机大致相同,同样是虚拟出一个系统,然后让病毒运行,从而进行清除。此项技术却解决了虚拟机的弊端,高资源占用。但是此项技术与虚拟机技术现在是平分秋色,因为随着虚拟机的不断改善,已经将资源的占用下降到一定水平。所以有网友认为:虚拟机=沙盘仿真。确实从功能上说是完全一样的,但是原理却不同。至于最后谁能占得先机还需要时间的
16、考验。此项技术运用出色的有:kaspersky7.0和8.0。 3.2.6钓鱼攻击 这是一种钓鱼攻击常用于一些网络银行等场所。黑客先制作一个和正常网站一样的镜像网页然后通过细微变化的网站地址,获取用户的点击。但是此网站并不具备正常网站的功能,只具备记录帐号等一些非正常合法的功能,此类威胁,一些知名的杀毒软件都已经可以正常防范了,例如诺顿、卡巴斯基、微软等等。 3.2.7防御零日攻击的利器 norton率先运用了这一技术,此项技术目的在于防护ie等浏览器的上网遭遇的攻击。这种攻击可以控制用户的电脑,盗取数据等行为,并且被杀毒厂商誉为最严重的攻击行为之一,因为这种攻击运用了系统打补丁得时差,攻击电脑,所以危害性非常之高,所以norton为此风险研发出了nortonantibot,用于预防此类攻击。当然运用此项技术的还有很多安全厂商。 第 9 页 共 9 页