网络安全：密码技术与病毒技术ppt.ppt

2008年6月5日星期四10时29分12秒,网络安全,第四章：密码技术,10:28:32,2,密码技术,保障信息安全的重要手段 防止信息泄露和失密的有效措施 提高关键信息保密水平,10:28:32,3,密码学的起源,三个阶段： 1949年之前 密码学是一门艺术 19491975年 密码学成为科学 1976年以后 密码学的新方向公钥密码学,10:28:32,4,密码学的起源,隐写术(steganography): 通过隐藏消息的存在来保护消息. 隐形墨水 字符格式的变化 图象图像,10:28:32,5,古罗马：Caesar 密码,ABCDEFGHIGKLMNOPQRSTUVWXYZ,DEFGHIGKLMNOPQRSTUVWXYZABC,Caesar was a great soldier,密码本,密文,Fdhvdu zdv d juhdw vroglhu,明文,密文,CAESAR 密码 ： c=( m+ 3) Mod 26,密码学的起源,10:28:32,6,密码学的历史,美国南北战争,输入方向,输出方向,明文： Can you understand 密文： codtaueanurnynsd,10:28:32,7,密码学的历史,转轮密码机ENIGMA，由Arthur Scherbius于1919年发明，4 轮ENIGMA在1944年装备德国海军.,10:28:32,8,10:28:32,9,密码学的历史,英国的TYPEX打字密码机，是德国3轮ENIGMA的改进型密码机。它在英国通信中使用广泛，且在破译密钥后帮助破解德国信号。,10:28:32,10,明文(plaintext)：需要被隐蔽的消息 密文(cipertext)： 明文经变换形成的隐蔽形式 加密 (encryption) ： 从明文到密文的变换过程 解密 (decryption) ： 从密文恢复到明文的过程。 变换函数所用的一个控制参数称为密钥(key) 加密和解密算法的操作通常是在一组密钥控制下进行的，分别称为加密密钥和解密密钥。 密钥未知情况下进行的解密推演过程，称为破译，也称为密码分析或者密码攻击。,几个术语,10:28:32,11,密码分析学,密码编码学的主要目的是保持明文（或密钥，或明文和密钥）的秘密以防止偷听者（也叫对手、攻击者、截取者、入侵者、敌手或干脆称为敌人）知晓 密码分析学是在不知道密钥的情况下。恢复出明文的科学。成功的密码分析能恢复出消息的明文或密钥。密码分析也可以发现密码体制的弱点,10:28:32,12,密码分析学,常用的密码分析攻击有七类，当然，每一类都假设密码分析者知道所用的加密算法的全部知识： 唯密文攻击 已知明文攻击 选择明文攻击 自适应选择明文攻击 选择密文攻击 选择密钥攻击 软磨硬泡(Rubber-hose)攻击,13,加密和解密算法的操作通常都是在一组密钥的控制下进行的,分别称为加密密钥(Encryption Key) 和解密密钥(Decryption Key).,加解密过程示意图,信息窃取者,10:28:32,14,“魔高一尺，道高一丈”,明文 x,密文 y,加密过程,加密密钥,解密过程,解密密钥,密码破译,加密与解密,10:28:32,15,密码体制目前分为单钥密码和双钥密码体制 单钥密码体制 也称为对称密码体制，其加密密钥和解密密钥相同，或者在实质上等同，即从一个很容易得出另一个。,密码体制,10:28:32,16,流密码(stream cipher) :又称序列密码.序列密码每次加密一位或一字节的明文。即 对明文按字符逐位加密 组密码(block cipher):将明文分成固定长度的组，用同一密钥和算法对每一块加密，输出也是固定长度的密文。 序列密码是手工和机械密码时代的主流 设计简单，密钥单一，加密效率高，特别适合点对点通信传输的数据加密。但其密钥的管理（如密钥产生、分配、存储、销毁等）工作比较复杂。,10:28:32,17,也称非对称密码体制，其加密密钥与解密密钥不相同，从一个很难得出另一个。采用双密钥体制的每个用户都有一对选定的密钥，其中一个是秘密的，而另一个则可以公开，并可以象电话号码一样注册公布。因此，双钥密码体制也被称为公钥体制(public key system)。,双钥密码体制,10:28:32,18,10:28:32,19,加密和解密能力分开，可实现多个用户加密的信息只能由一个用户解读（多对一），或者一个用户加密的信息可以由多个用户解读（一对多）。 前者可以用于公共网络中实现保密通信，后者可用于认证系统中对信息进行数字签名。由于该体制大大减少了多用户之间通信所需的密钥数，方便了密钥管理，这种体制特别适合多用户通信网络。,公钥体制特点,10:28:32,20,20,数据加密技术原理,哈希（Hash）算法,信息,哈希算法，也叫信息标记算法，可以提供数据完整性方面的判断依据。,哈希算法,结果相同，则数据未被篡改,比较,结果不同，则数据已被篡改,信息标记 （digest）,常用的哈希算法： MD5 SHA-1,哈希算法,10:28:32,21,几个概念： 1）没有一种密码系统是无懈可击的，仅仅是 一个时间/空间复杂性问题。 2）有多种密码体制，每一种体制又派生出多 种算法，需要针对性折衷。 3）加密程度可以根据应用安全的级别来定， 一个系统可以有多种加密方式。 4）加密程度越高，算法越复杂，会降低系统 性能，需要实际性折衷。,密码与系统安全,10:28:32,22,1）代替密码（替换密码） 可分为单表密码、多表密码 单表密码：将明文中的字母或符号用另一种字母或符号来代替，这种代替是一一对应的。 明文与密文之间只有一种对应关系。 多表密码：代替不是一一对应的。 代替规律不同，密码体制也不同。 代替规律相同，明密文间字母对应关系不同， 代替出的密码也不同。 e.g.同余密码（加同余、乘同余、线性同余） 随机替代、密钥词组、多表组合,经典密码,10:28:32,23,著名密码体系,1、分组密码的一般设计原理,分组密码是将明文消息编码表示后的数字（简称明文数字）序列，划分成长度为n的组（可看成长度为n的矢量），每组分别在密钥的控制下变换成等长的输出数字（简称密文数字）序列,10:28:32,24,DES（Data Encryption Standard） 在所有分组密码中，数据加密标准（DES）可谓是最著名的了。 DES密码是一种数据加密标准，1977年正式公布，供非机要部门的保密通信使用，是唯一由美国政府颁布的公开加密算法。 DES密码在过去20年被正式作为国际标准采用，但业界认为其56位密钥太短，而且其基本设计原理，如各种不同排列选择、置换、叠代次数等没有清楚的说明，存在系统隐蔽陷阱的可能。,DES数据加密标准,10:28:32,25,DES是一种对二进制数据进行加密的算法。数据分组长为64位，密钥长也为64位。使用56位密钥对64位的数据块进行加密，并对64位的数据块进行16轮编码。与每轮编码时，一个48位的“每轮”密钥值由56位的完整密钥得出来。经过16轮的迭代、乘积变换、压缩变换等，输出密文也为 64位。 DES算法的安全性完全依赖于其所用的密钥。,10:28:32,26,明文64 bit码,初始变换,轮乘积变换,逆初始变换,密文bit码,输出,算法,10:28:32,27,IDEA是以64-bit的明文块进行分组，密钥是128-bit长。此算法可用于加密和解密。IDEA用了混乱和扩散等操作，算法背后的设计思想是“在不同的代数组中的混合运算”。主要有三种运算：异或、模加、模乘，容易用软件和硬件来实现。 IDEA的速度：现在IDEA的软件实现同DES的速度一样快。,IDEA密码算法,10:28:32,28,公钥密码算法的特性,加密与解密由不同的密钥完成 加密: XY: Y = EKU(X) 解密: YX: X = DKR(Y) = DKR(EKU(X) 知道加密算法,从加密密钥得到解密密钥在计算上是不可行的 两个密钥中任何一个都可以用作加密而另一个用作解密(不是必须的) X = DKR(EKU(X) = EKU(DKR(X),10:28:32,29,RSA密码是由Rivest, Shamir和Adleman三位学者于1977年联合提出的双密钥（公钥）密码系统，RSA是由他们的名字的首字母命名。 是迄今理论上最为成熟完善的一种公钥密码体制。 RSA密码基于计算复杂性原理获得加密强度，但其缺点是系统的安全取决于所用的两个大素数，如果能找出一种快速方法分解这两个大素数，系统很容易被攻破。,RSA密码体制,10:28:32,30,举例,取两个质数p=11，q=13，p和q的乘积为n=pq=143，算出另一个数d=(p-1)(q-1)=120；再选取一个与d=120互质的数，例如e=7，则公开密钥=（n，e）=（143，7）。 对于这个e值，可以算出其逆：a=103。因为ea=7103=721，满足ea mod d =1；即721 mod 120=1成立。则秘密密钥=（n，a）=（143，103）。,10:28:32,31,设张小姐需要发送机密信息（明文）m=85给李先生，她已经从公开媒体得到了李先生的公开密钥（n，e）=（143，7），于是她算出加密值： c= me mod n=857 mod 143=123并发送给李先生。 李先生在收到密文c=123后，利用只有他自己知道的秘密密钥计算：m= ca mod n =123103 mod 143=85，所以，李先生可以得到张小姐发给他的真正的信息m=85，实现了解密。,10:28:32,32,RSA的安全性,就目前的计算机水平用1024位的密钥是安全的，2048位是绝对安全的。RSA实验室认为，512位的n已不够安全，应停止使用，现在的个人需要用668位的n，公司要用1024位的n，极其重要的场合应该用2048位的n。,10:28:32,33,RSA算法的脆弱性,p、q选择不当，则变换周期性、封闭性而泄密 例：p=17，q=11，e=7，则n=187。设m=123，则 C1=1237 mod 187=183 C2=1837 mod 187=72 C3=727 mod 187=30 C4=307 mod 187=123 明文m经过4次加密，恢复成明文。 总之，RSA对用户要求太苛刻，密钥不能常更换。,10:28:32,34,PGP，全称Pretty Good Privacy，一种在信息安全传输领域首选的加密软件，其技术特性是采用了非对称的“公钥”和“私钥”加密体系。由于美国对信息加密产品有严格的法律约束，特别是对向美国、加拿大之外国家散播该类信息，以及出售、发布该类软件约束更为严格。因此而限制了PGP的一些发展和普及，现在该软件的主要使用对象为情报机构、政府机构、信息安全工作者（例如较有水平的安全专家和有一定资历的黑客），PGP最初的设计主要是用于邮件加密，如今已经发展到了可以加密整个硬盘、分区、文件、文件夹、集成进邮件软件进行邮件加密，甚至可以对ICQ的聊天信息实时加密！你和对方只要安装了PGP，就可利用其ICQ加密组件在你和对方聊天的同时，加密或解密，和正常使用没有什么差别，最大程度的保证了你和对方的聊天信息不被窃取或监视。,PGP加密软件,10:28:32,35,（1）使用强大的IDEA加密算法对存储在计算机上的文件加密。经加密的文件只能由知道密钥的人解密阅读。 （2）使用公开密钥加密技术对电子邮件进行加密。经加密的电子邮件只有收件人本人才能解密阅读。 （3）使用公开密钥加密技术对文件或电子邮件作数字签名，鉴定人可以用起草人的公开密钥鉴别真伪。,PGP软件有3个主要的功能：,10:28:32,36,PGP消息的格式,10:28:32,37,一、软件加密概念 缺点：速度慢、造价高、安全性差 优点：使用灵活、修改方便、可移植性好。 采用软件加密时，密钥管理的手段必须可靠，密钥和明文应在加密后删除。,软件与硬件加密技术,10:28:32,38,现今很多Shareware(共享软件)大多采用这种加密方式，用户在软件的试用期是不需要交费的，一旦试用期满还希望继续使用这个软件，就必须到软件公司进行注册，然后软件公司会根据你提交的信息(一般是用户的名字)来生成一个序列号，当你收到这个序列号以后，并在软件运行的时候输入进去，软件会验证你的名字与序列号之间的关系是否正确，如果正确说明你已经购买了这个软件，也就没有日期的限制了。,序列号加密,10:28:32,39,是序列号加密的一个变种。从网上下载或购买的软件并不能直接使用，软件在安装时或运行时会对你的计算机进行一番检测，并根据检测结果生成一个特定指纹，这个指纹是一个数据文件，把这个指纹数据通过Internet、E-mail、电话、传真等方式发送到开发商那里，开发商再根据这个指纹给你一个注册码或注册文件，你得到这个注册码或注册文件并按软件要求的步骤在你的计算机上完成注册后方能使用。,许可证加密,10:28:32,40,硬加密则是采用硬件（电路、器件、部件等）和软件结合来实现的加密，对硬件本身和软件采取的加密、隐藏、防护技术，防止被保护对象被攻击者破析、破译。 硬件加解密是商业或军事上的主流 （1）速度问题：针对位的操作、不占用计算机主处理器 （2）安全性：可进行物理保护，由硬件完成加密解密和权限检查，防止破译者通过反汇编、反编译分析破译。 （3）易于安装：不需使用计算机的电话、传真、数据线路；计算机环境下，使用硬件加密可对用户透明，软件实现，需要在操作系统深层安装，不容易实现。 （4）在硬件内设置自毁装置，一旦发现硬件被拆卸或程序被跟踪，促使硬件自毁，使破译者不敢进行动态跟踪。,硬件加密概念,10:28:32,41,硬件加密较之软件加密具有其独到的特点。 安全性好，破译困难采用定制或半定制硬件芯片将硬件密封，防止破译者了解硬件情况。 由硬件完成加密解密和权限检查，防止破译者通过反汇编、反编译分析破译。 在硬件内设置自毁装置，一旦发现硬件被拆卸或程序被跟踪，促使硬件自毁，使破译者不敢进行动态跟踪。 硬件加密需要增加硬件，增加成本,硬件加密特点,10:28:32,42,42,数字签名,数字签名（digital signature）技术通过某种加密算法，在一条地址消息的尾部添加一个字符串，而收信人可以根据这个字符串验明发信人的身份，并可进行数据完整性检查。,10:28:32,43,43,数字签名的工作原理,非对称加密算法,非对称解密算法,Alice的私有密钥,网络信道,合同,Alice的公开密钥,哈希算法,标记,标记-2,合同,哈希算法,比较,标记-1,如果两标记相同，则符合上述确认要求。,Alice,Bob,10:28:32,44,44,数字签名的作用,唯一地确定签名人的身份； 对签名后信件的内容 是否又发生变化进行验证； 发信人无法对信件的内容进行抵赖。,当我们对签名人同公开密钥的对应关系产生疑问时，我们需要第三方颁证机构（CA: Certificate Authorities）的帮助。,10:28:32,45,45,数字证书,数字证书相当于电子化的身份证明，应有值得信赖的颁证机构（CA机构）的数字签名，可以用来强力验证某个用户或某个系统的身份及其公开密钥。 数字证书既可以向一家公共的办证机构申请，也可以向运转在企业内部的证书服务器申请。这些机构提供证书的签发和失效证明服务。,10:28:32,46,申请数字证书，并利用它发送电子邮件,10:28:32,47,数据传输的加密,10:28:32,48,端对端加密方式,10:28:32,49,PKI（Public Key Infrustructure）又称为公钥基础设施，是一种遵循既定标准的密钥管理平台,它能够为所有网络应用提供加密和数字签名等密码服务及所必需的密钥和证书管理体系。 完整的PKI系统必须具有权威认证机关(CA)、数字证书库、密钥备份及恢复系统、证书作废系统、应用接口等基本构成部分,构建PKI也将围绕着这五大系统来着手构建。,公钥基础设施简介,10:28:32,50,典型、完整、有效的PKI应用系统,10:28:32,51,产生、验证和分发密钥。 签名和验证 证书的获取 证书的验证 保存证书 本地保存的证书的获取 证书废止的申请 密钥的恢复 CRL的获取 密钥更新 审计 存档,PKI的功能操作,10:28:32,52,CA系统的结构,10:28:32,53,CA结构示意图,10:28:32,54,1、证书颁发 2、证书更新 3、证书撤销 4、证书和证书撤销列表（CRL）的公布 5、证书状态的在线查询 6、证书认证 7、制定政策等。,CA的功能,10:28:32,55,2008年6月5日星期四10时29分12秒,第五章：病毒技术,网络安全与管理,10:28:32,57,2007年十大病毒排名,1、帕虫（Worm.Pabug；金山：AV终结者；江民：U盘寄生虫） 2、威金蠕虫（Worm.Viking） 3、熊猫烧香（Worm.Nimaya；又称尼姆亚） 4、网游窃贼（Trojan.PSW.OnlineGames） 5、QQ通行证（Trojan.PSW.QQPass） 6、ARP病毒（多个病毒均具有ARP攻击行为，通称为ARP病毒） 7、征途木马（Trojan.PSW.ZhengTu） 8、MSN相片（Worm.Mail.Photocheat.A） 9、梅勒斯（Trojan.DL.Mnless） 10、灰鸽子（Backdoor.Gpigeon),10:28:32,58,2008年度十大病毒排行,(1) “网游窃贼”及其变种、 Trojan/PSW.OnLineGames (2) “网游大盗”及其变种、Trojan/PSW.GamePass (3) “代理木马”及其变种、Trojan/Agent (4) “U盘寄生虫”及其变种、 Checker/Autorun、蠕虫 (5) “灰鸽子”及其变种、 Backdoor/Huigezi (6) “QQ大盗”及其变种、 Trojan/PSW.QQPass (7) “Flash蛀虫”及其变种、脚本病毒 (8) “初始页”及其变种、Trojan/StartPage (9) “机器狗”及其变种、Trojan/DogArp (10) “RPCSS毒手”及其变种、木马,10:28:32,59,病毒、木马、蠕虫比较,10:28:32,60,标准网络攻击范例,病毒诞生,攻击主 机漏洞,潜伏伺 机破坏,窃取机密 資料账号,发动跳 板攻击,灾情一发 不可收拾,植入木 马后门,搜寻入 侵目标,程序漏洞所帶來的新危机!,10:28:32,61,大量的垃圾邮件，攻击SCO和微软网站，给全球经济造成了300多亿美元的损失,2004年1月起,MyDoom,大量网络瘫痪，造成了数十亿美金的损失,2003年7月,冲击波,网络大面积瘫痪，银行自动提款机运做中断，直接经济损失超过26亿美元,2003年1月,蠕虫王,大量病毒邮件堵塞服务器，损失达数百亿美元,2001年12月至今,求职信,网络瘫痪，直接经济损失超过26亿美元,2001年7月,红色代码,众多用户电脑被感染，损失超过100亿美元以上,2000年5月至今,爱虫病毒,政府部门和一些大公司紧急关闭了网络服务器，经济损失超过12亿美元!,1999年,美丽杀手,6000多台电脑停机，经济损失达9600万美元,1988年,莫里斯蠕虫,造成损失,持续时间,病毒名称,10:28:32,62,蠕虫的行为特征,主动攻击 行踪隐蔽 利用系统、网络应用服务漏洞，防不胜防。 造成网络拥塞 降低系统性能 产生安全隐患 反复性 破坏性,10:28:32,63,蠕虫的感染方式,大量占线， 导致网站无法接受其他连线,TCP Port 707,TCP Port 135, 80,TCP Port 135, 80,TCP Port 135, 80,TCP Port 707,TCP Port 707,TCP Port 707,TCP Port 135, 80,10:28:32,64,病毒的传播,病毒传播传统方式 文件感染 病毒邮件 局域网 漏洞,病毒传播互联网方式 社会工程学 ARP欺骗,10:28:32,65,病毒购买者,没有很高深的计算机知识，所以自己很难编写出相关的木马病毒，于是直接通过购买别人现成的木马程序，或直接订购所需的木马病毒来捕捉“肉鸡”进行使用。,每个星期平均能抓到3000只“肉鸡”，一个月平均有12000只，每只两毛钱，算下来一个月就有2400元的收入。(网络数据),抓“肉鸡”也能赚钱,10:28:32,66,“熊猫烧香”病毒档案 追杀目标：Worm.WhBoy.h 中 文 名：“熊猫烧香” 病毒长度：可变 病毒类型：蠕虫 危害等级： 影响平台：Win 9X/ME/NT/2000/XP/2003,10:28:32,67,熊猫烧香为例,10:28:32,68,熊猫烧香案主犯李俊获刑四年,2007年9月24日，湖北省仙桃市人民法院公开开庭审理了倍受社会各界广泛关注的被告人李俊、王磊、张顺、雷磊破坏计算机信息系统罪一案。被告人李俊犯破坏计算机信息系统罪，判处有期徒刑四年；被告人王磊犯破坏计算机信息系统罪，判处有期徒刑二年六个月；被告人张顺犯破坏计算机信息系统罪，判处有期徒刑二年；被告人雷磊犯破坏计算机信息系统罪，判有期徒刑一年。,10:28:32,69,我国网站“挂马”监测结果,自2008年3月至2008年7月底，利用我们的网站挂马搜索系统新发现6722个有问题的网站。其中被挂马的网站有6153个，存放恶意代码的网站有887个。,10:28:32,70,10:28:32,71,“顶狐”病毒网上银行盗窃案,2007年12月16日 ，“3。5”特大网上银行盗窃案的8名主要犯罪嫌疑人全部落入法网。8名疑犯在网上以虚拟身份联系，纠集成伙，虽不明彼此身份，却配合密切，分工明确，有人制作木马病毒，有人负责收集信息，有人提现，有人收赃，在不到一年时间里窃得人民币300余万元。徐伟冲提供信息，金星通过网上购买游戏点卡，转手倒卖给湖南长沙的“宝宝”，即陈娜。因信息太多，忙不过来，金星又在网上将信息倒卖给“小胖”，“小胖”再转卖他人提现。陆瑛娜则不停地在网上购游戏点卡，她到外地制作了两张假身份证，在数家银行开了账户，忙着到苏州、昆山、常州等周边地区银行去取赃款。 2008年4月11日，无锡市滨湖区法院对一起公安部挂牌督办的重大网络犯罪案件作出了一审判决，被告人金星 、徐伟冲 、陆瑛娜、方少宏因构成信用卡诈骗罪和盗窃罪，分别被判处十四年至三年不等的有期徒刑。,10:28:32,72,利用DNS劫持攻击大型网站恶性攻击事件,2007年11月3日，部分用户在访问腾讯迷你首页网站时，会被恶意代码感染，系统会自动从恶意网站上下载并运行恶意程序。由于该站点为QQ软件启动时默认自动弹出，具有极高的访问量，攻击者采用的攻击方法是劫持DNS解析过程，篡改腾讯迷你首页的DNS记录。 非法劫持腾讯“迷你网”主页域名传播17种32个计算机木马病毒，使全国数百万网民在访问“迷你网”主页，玩传奇、魔兽等网络游戏时，游戏帐号和密码被秘密发送到木马程序设置的远程接收服务器上，该团伙迅速盗取帐号和密码，在网上销赃套现，销赃所得按“贡献”大小分成。不到两个月时间，马志松等人就盗窃数十万网上用户的游戏帐号和密码，非法获利40余万元，马志松分得15万元。腾讯“迷你网”因停止服务，造成直接损失20余万元。 同年12月，分别在四川成都、江苏张家港、黑龙江东宁等地抓获6名犯罪嫌疑人。网络安全监察部门在马志松等人使用的电脑硬盘中发现了用于攻击网站的破坏性程序。经审查，2007年9月底至11月中旬，这一团伙在成都市使用编译好的劫持程序对上海、重庆、扬州等10余个城市共计27台域名服务器实施攻击劫持，借机盗取网络游戏账号。 6名被告违反国家规定，对计算机信息系统功能进行干扰，造成计算机信息系统不能正常运行，后果严重，均已构成破坏计算机信息系统罪。近日，马志松等6名被告被分别判处四年至一年不等有期徒刑。,10:28:32,73,攻击红十字会、地震局网站,5月18日下午，昆山市红十字会网站遭人攻击，有人攻击窃取了这个网站后台管理账号和密码，将原网站页面替换成虚假页面，并在虚假页面上发布捐款账号。 6月，黑龙江、湖南、湖北等地个别不法分子利用互联网恶意篡改红十字会公布的募捐银行账号，企图吞噬善款。 5月28日晚陕西地震信息网遭遇了汶川地震以来的第一次黑客攻击，黑客在网站首页留下一条题为“网站出现重大安全漏洞”的信息，网站工作人员及时进行了处理。5月29日20时53分前后，陕西地震信息网再次遭到黑客袭击，网站主页上被发布了“23时30分陕西等地会有强烈地震发生”的虚假信息。很快，陕西省地震局的电话就被打“爆”了，很多市民急切的希望求证这一“消息”是否真实。 5月31日、6月1日、2日，广西地震局官方网站连续遭到黑客攻击。黑客篡改网站数据资料，发布近期将发生地震的虚假信息。,10:28:32,74,08年3月多次出现仿冒农行网站的网络钓鱼,10:28:32,75,“敲诈者”木马,10:28:32,76,新“敲诈者”木马,10:28:32,77,专门破坏日文操作系统,10:28:32,78,网络间谍活动猖獗,密集攻击我方电脑 猖獗刺探国家秘密 国务院台湾事务办公室发言人杨毅2007年10月31日在例行记者会上证实，国家安全部门日前对台湾一个名为李芳荣的网络间谍发出了通缉令。,10:28:32,79,女鬼病毒,2000年12月网络上盛传一个名叫女鬼的病毒，该病毒继在台湾和香港地区发作之后已经悄悄登陆国内，目前从上海创源技术部接获的报告表明，该病毒已在全国各地出现，有地区发作的次数明显增多。据报道，该病毒在台湾地区发作时曾经使人因为惊吓过度，在送往医院救治后死亡，另有两人也因为受到惊吓，出现严重的神志不清和精神恍惚现象，经康复医疗后恢复正常。上海地区也有用户报告了该病毒的发作。 “女鬼”病毒亦称为“恐怖女鬼”病毒，其国际标准命名为Joke-Ghost，在台湾地区因为其图标为麦当劳标志，所以还有一个“麦当劳”的别名。其实就严格意义上来说，“女鬼”并不是一个病毒，只是一个恶作剧程序，属于Hoax（虚假消息）或者Joke Program（玩笑程序）的范畴，而且其不具有病毒“自我复制、自我传播和对计算机软硬件产生破坏”的特性。但是从其危害程度和对社会产生的影响上来看，各防病毒软件公司还是将其作为病毒来阻止其进一步传播以防止产生不良的社会影响。,10:28:32,80,网络进攻时序线,发现漏洞,完成补丁,公布补丁,黑客破解补丁,开发病毒/蠕虫,释放病毒/蠕虫,没利用 只有微软及发现者知道漏洞存在,没利用 只有微软及发现者知道漏洞存在,没利用 公众知道漏洞存在，但不知道怎样攻击,没利用 知道怎样攻击，但病毒/蠕虫尚未出现,没利用 病毒/蠕虫尚未出现，但未被释放,利用 病毒/蠕虫被释放; 感染未被修补系统,用户与黑客赛跑,10:28:32,81,实例分析：冲击波蠕虫,微软被通知漏洞存在,公布补丁,进攻样板程序出现,蠕虫出现,七月1日,七月16日,七月25日,八月11日,通知漏洞 RPC/DDOM 漏洞被发现 微软启动最高级别快速反应程序,安全公告 公布MS03-026 (7/16/03) 继续与安全分析家，媒体，IT社区，合作伙伴，政府部门保持联系,进攻样板程序 X-focus (中国黑客组) 出版进攻样板程序 微软警告用户尽快安装补丁,蠕虫 冲击波蠕虫出现; 变种及其它病毒同时出现 (例如. “SoBig”),冲击波展现了安全分析师，软件公司，以及黑客之间的复杂的互动关系,10:28:32,82,补丁越来越多 进攻样板程序出现时间缩短 进攻样板程序越来越精巧,网络进攻趋势,10:28:32,83,如何保护你的计算机,10:28:32,84,使用Internet防火墙,