计算机病毒与防火墙.ppt

计算机病毒与防火墙,075112成员：张彪、靳庆琛、杨耀贵、章鹏前,防火墙,核心防护,病毒检测,入侵检测,病毒,定义产生特点分类发展行为命名发展趋势,防火墙,定义作用主要技术发展趋势局限性,计算机病毒（ComputerVirus）在中华人民共和国计算机信息系统安全保护条例中被明确定义，病毒指“编制者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。与医学上的“病毒”不同，计算机病毒不是天然存在的，是某些人利用计算机软件和硬件所固有的脆弱性编制的一组指令集或程序代码。它能通过某种途径潜伏在计算机的存储介质（或程序）里，当达到某种条件时即被激活，通过修改其他程序的方法将自己的精确拷贝或者可能演化的形式放入其他程序中，从而感染其他程序，对计算机资源进行破坏，所谓的病毒就是人为造成的，对其他用户的危害性很大！,病毒的定义,研究人员为了计算出当时互联网的在线人数，然而它却自己“繁殖”了起来导致了整个服务器的崩溃和堵塞，有时一次突发的停电和偶然的错误，会在计算机的磁盘和内存中产生一些乱码和随机指令，但这些代码是无序和混乱的，病毒则是一种比较完美的，精巧严谨的代码，按照严格的秩序组织起来，与所在的系统网络环境相适应和配合起来，病毒不会通过偶然形成，并且需要有一定的长度，这个基本的长度从概率上来讲是不可能通过随机代码产生的。全球第一个电脑病毒在1988年11月2日由麻省理工学院(MIT)的学生RobertTappanMorris撰写，因此病毒也被取名为Morris。总共仅99行程序代码，施放到当时网络上数小时，就有数以千计的UNIX服务器受到感染。但此软件原始用意并非用来瘫痪电脑，而是希望写作出可以自我复制的软件，但程式的循环没有处理好，使得服务器不断执行、复制Morris，最后死机。,病毒的产生,破坏性,传染性,潜伏性,隐蔽性,可触发性,病毒的特点,不可预见性,非授权性,病毒的分类,按病毒存在的媒体：网络病毒，文件病毒，引导性病毒,按病毒传染的方法：驻留性病毒和非驻留型病毒,按病毒破坏的能力：无害型、无危险型、非常危险型,按病毒的算法：寄生型病毒、诡秘型病毒、变型病毒（又称幽灵病毒）,按传染方式分类：引导型病毒、文件型病毒和混合型病毒,病毒的行为,1.攻击系统数据区，攻击部位包括：硬盘主引寻扇区、Boot扇区、FAT表、文件目录等。迫使计算机空转，计算机速度明显下降。2.攻击磁盘，攻击磁盘数据、不写盘、写操作变读操作、写盘时丢字节等。3.扰乱屏幕显示，病毒扰乱屏幕显示的方式很多，可列举如下：字符跌落、环绕、倒置、显示前一屏、光标下跌、滚屏、抖动、乱写、吃字符等。4.键盘病毒，干扰键盘操作，已发现有下述方式：响铃、封锁键盘、换字、抹掉缓存区字符、重复、输入紊乱等。喇叭病毒，许多病毒运行时，会使计算机的喇叭发出响声。有的病毒作者通过喇叭发出种种声音，有的病毒作者让病毒演奏旋律优美的世界名曲，在高雅的曲调中去杀戮人们的信息财富，已发现的喇叭发声有以下方式：演奏曲子、警笛声、炸弹噪声、鸣叫、咔咔5.攻击CMOS，在机器的CMOS区中，保存着系统的重要数据，例如系统时钟、磁盘类型、内存容量等。有的病毒激活时，能够对CMOS区进行写入动作，破坏系统CMOS中的数据。6.干扰打印机，典型现象为：假报警、间断性打印、更换字符等。,1.DOS引导阶段2.DOS可执行阶段3.伴随、批次型阶段4.幽灵、多形阶段5.生成器、变体机阶段6.网络、蠕虫阶段7.视窗阶段8.宏病毒阶段9.互联网阶段10.邮件炸弹阶段,病毒的发展,病毒的命名,一般格式为：.病毒前缀是指一个病毒的种类，他是用来区别病毒的种族分类的。不同的种类的病毒，其前缀也是不同的。比如我们常见的木马病毒的前缀Trojan，蠕虫病毒的前缀是Worm等等还有其他的。病毒名是指一个病毒的家族特征，是用来区别和标识病毒家族的，如以前著名的CIH病毒的家族名都是统一的“CIH”，振荡波蠕虫病毒的家族名是“Sasser”。病毒后缀是指一个病毒的变种特征，是用来区别具体某个家族病毒的某个变种的。一般都采用英文中的26个字母来表示，如Worm.Sasser.b就是指振荡波蠕虫病毒的变种B，因此一般称为“振荡波B变种”或者“振荡波变种B”。如果该病毒变种非常多，可以采用数字与字母混合表示变种标识。,计算机病毒的发展趋势,1、制作技术更加先进，方法更加简便2、变形病毒3、病毒与黑客程序结合,逐步向智能化病毒发展4、蠕虫病毒强大,无线病毒发展5、利用软件系统的缺陷和漏洞攻击计算机系统6、跨平台病毒的发展7、“三线程”结构病毒-计算机病毒的发展趋势与防治赵育新,赵连凤辽宁警专学报,破坏力最大的10种计算机病毒,1.CIH(1998年)：1998年6月始发于中国台湾，被认为是有史以来第一种在全球范围内造成巨大破坏的计算机病毒，导致无数台计算机的数据遭到破坏。在全球范围内造成了2000万至8000万美元的损失。（win9x病毒）2.梅利莎(Melissa，1999年)：1999年3月26日梅利莎病毒爆发，并迅速成为全球报纸的头条新闻，这种基于Word的宏脚本病毒感染了全球15%20%的商业PC。该病毒借助于微软的电子邮件系统Outlook传播，其传播速度如此之快，以至于英特尔、微软和其他一些使用Outlook软件的公司把整个电子邮件系统都关闭了。梅利莎给全球带来了3亿6亿美元的损失。3.爱虫(Iloveyou，2000年)：2000年5月3日爆发于中国香港，这是一种VB脚本病毒，由于其主题是“我爱你”，并附有一封求爱信，因此传播迅速，给全球带来100亿150亿美元的损失。4.红色代码(CodeRed，2001年)：2001年7月13日在网络服务器上爆发，给全球带来26亿美元损失。,5.SQLSlammer(2003年)：2003年1月25日爆发，由于爆发的时间在周六，造成的经济损失较小，但全球有50万台服务器被攻击，并致使韩国的互联网中断了12小时。6.冲击波(Blaster，2003年)：2003年夏季爆发，数十万台计算机被感染，给全球造成20亿100亿美元损失。7.巨无霸(Sobig.F，2003年)：2003年8月19日爆发，为此前Sobig变种，给全球带来50亿100亿美元损失。8.贝革热(Bagle，2004年)：2004年1月18日爆发，给全球带来数千万美元损失。9.MyDoom(2004年)：2004年1月26日爆发，在高峰时期，导致网络加载时间减慢50%以上。10.震荡波(Sasser，2004年)：2004年4月30日爆发，给全球带来数千万美元损失。-美国Techweb网站,怎样预防计算机病毒,做好计算机病毒的预防，是防治病毒的关键。计算机病毒预防措施：1.不使用盗版或来历不明的软件，特别不能使用盗版的杀毒软件。2.写保护所有系统软盘。3.安装真正有效的防毒软件，并经常进行升级。4.新购买的电脑在使用之前首先要进行病毒检查，以免机器带毒。5.准备一张干净的系统引导盘，并将常用的工具软件拷贝到该盘上，然后妥善保存。此后一旦系统受到病毒侵犯，我们就可以使用该盘引导系统，进行检查、杀毒等操作。6.对外来程序要使用查毒软件进行检查，未经检查的可执行文件不能拷入硬盘，更不能使用。7.尽量不要使用软盘启动计算机。8.将硬盘引导区和主引导扇区备份下来，并经常对重要数据进行备份。-计算机病毒的特征及防治策略李为民，葛福鸿，张丽萍网络通讯及安全杂志社,及早发现计算机病毒，是有效控制病毒危害的关键。检查计算机有无病毒主要有两种途径：一种是利用反病毒软件进行检测，一种是观察计算机出现的异常现象。下列现象可作为检查病毒的参考：1.屏幕出现一些无意义的显示画面或异常的提示信息。2.屏幕出现异常滚动而与行同步无关。3.计算机系统出现异常死机和重启动现象。4.系统不承认硬盘或硬盘不能引导系统。5.机器喇叭自动产生鸣叫。6.系统引导或程序装入时速度明显减慢，或异常要求用户输入口令。7.文件或数据无故地丢失，或文件长度自动发生了变化。8.磁盘出现坏簇或可用空间变小，或不识别磁盘设备。9.编辑文本文件时，频繁地自动存盘。,发现计算机病毒应立即清除，将病毒危害减少到最低限度。发现计算机病毒后的解决方法：1.在清除病毒之前，要先备份重要的数据文件。2.启动最新的反病毒软件，对整个计算机系统进行病毒扫描和清除，使系统或文件恢复正常。3.发现病毒后，我们一般应利用反病毒软件清除文件中的病毒，如果可执行文件中的病毒不能被清除，一般应将其删除，然后重新安装相应的应用程序。4.某些病毒在Windows状态下无法完全清除，此时我们应用事先准备好的干净的系统引导盘引导系统，然后在DOS下运行相关杀毒软件进行清除。常见的国内杀毒软件有瑞星、江民、金山毒霸、360等。国外优秀的杀毒软件有卡吧斯基、麦咖啡、诺顿、小红伞等。,防火墙定义,在网络中，所谓“防火墙”，是指一种将内部网和公众访问网(如Internet)分开的方法，它实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度，它能允许你“同意”的人和数据进入你的网络，同时将你“不同意”的人和数据拒之门外，最大限度地阻止网络中的黑客来访问你的网络。换句话说，如果不通过防火墙，公司内部的人就无法访问Internet，Internet上的人也无法和公司内部的人进行通信。,防火墙的特性,任何一个好的防火墙必须具备以下三个特性：1、所有在内部网络和外部网络之间传输的数据必须通过防火墙；2、只有被授权的合法数据即防火墙系统中安全策略允许的数据可以通过防火墙。3、防火墙本身不受各种攻击的影响。,防火墙的作用,强化安全策略：因为每天都有上百万人在Internet收集信息、交换信息,不可避免地会出现个别品德不良的人或违反规则的人,防火墙是为了防止不良现象发生的“交通警察”，它执行站点的安全策略,仅仅容许“认可的”和符合规则的请求通过。有效地记录Internet上的活动：因为所有进出信息都必须通过防火墙,所以防火墙非常适用收集关于系统和网络使用和误用的信息。作为访问的唯一点,防火墙能在被保护的网络和外部网络之间进行记录。限制暴露用户点：防火墙能够用来隔开网络中一个网段与另一个网段。这样,能够防止影响一个网段的问题通过整个网络传播。防止易受攻击的服务：防火墙可以大大提高网络的安全性,并通过过滤天生不安全的服务来降低子网上主系统所冒的风险。防火墙可以禁止某些易受攻击的服务(如NFS)进入或离开受保护的子网,以防护这些服务不会被外部攻击者利用。而同时允许在大大降低被外部攻击者利用的风险情况下使用这些服务。对局域网特别有用的服务,如NIS或NFS因而可得到公用,并用来减轻主系统管理负担。防火墙还可以防护基于路由选择的攻击,如源路由选择和企图通过ICMP改向把发送路径转向遭致损害的网点。,一个安全策略的检查站：所有进出的信息都必须通过防火墙,因而防火墙便成为安全问题的检查点,使可疑的访问被拒绝于门外。控制访问网点系统：防火墙可以控制对网点系统的访问。如某些主系统可以由外部网络访问,而其他主系统则能有效地封闭起来,防护有害的访问。增强保密性、强化私有权：使用防火墙系统,站点可以防止Finger以及DNS域名服务。可以封锁域名服务信息,从而使Internet外部主机无法获取站点名和IP地址。通过封锁这些信息,可以防止攻击者从中获得另一些有用的信息。有关网络使用、滥用的记录和统计：如果对Internet的往返访问都通过防火墙,那么,防火墙可以记录各次访问,并提供有关网络使用率的有价值的统计数字。采集网络使用率统计数字和试探的证据是很重要的,这样可以知道防火墙能否抵御试探和攻击,并确定防火墙上的控制措施是否得当。同时网络使用率统计数字可作为网络需求研究和风险分析活动的输入。,防火墙的主要技术,当前比较成熟的边界防火墙技术主要有两种:包过滤技术和代理服务器。,包过滤技术（IPFilterFirewall)：为了对内部网络提供保护，就有必要对通过防火墙的数据包进行检查，例如检查其源地址和目的地址、端口地址、数据包的类型等，根据这些数据来判断这个数据包是否为合法数据包，如果不符合预定义的规则，就不将这个数据包发送到其目的计算机中去。,代理服务器(ProxyServer):是另一种防火墙技术，与包过滤不同，它直接和应用服务程序打交道，它不会让数据包直接通过，而是自己接收了数据包，并对其进行分析。当代理程序理解了连接请求之后，它将自己启动另一个连接!向外部网络发送同样的请求，然后将返回的数据发送回那个提出请求的内部网络计算机。,防火墙技术发展趋势,1.体系结构,2功能集成的发展:在防火墙的功能上有两个完全相反的发展方向,即“胖”防火墙和“廋”防火墙。“胖”防火墙的优点在于可以满足用户绝大部分的网络安全需求,提供较全面的保护,降低用户的采购成本。但防火墙作为网络边界的单一控制点,本来就会给网络带来性能瓶颈的问题,又IDS、防病毒等模块地加入会进一步加剧瓶颈效应;其次,附加模块不专业,可能会导致附加功能不全面;另外,单一防火墙产品功能多,也会导致其可靠性和安全性的降低。“胖”防火墙往往适用于对小型网络的整体安全防护。“瘦”防火墙适用于有能力投资和管理独立的安全设备,并渴望发挥每种产品的最大功效的大型企业。针对这类用户的安全解决方案是对“瘦”防火墙、IDS、防病毒系统等专业安全产品进行集中管理,使其协同工作、关联响应,从而全面提高企业的整体安全风险防范能力。从本质上讲,“胖、瘦”防火墙并没有好坏之分,只有需求上的差别。未来防火墙产品可以采取定制的方式,将满足不同用户需求的产品功能开发成独立的模块,即IDS模块、VPN模块、防病毒模块,以及与其他专业安全产品联动的功能模块。针对具体用户,厂商制定专门的网络安全解决方案,为用户构建高性价比的个性化防火墙产品。,3检测技术的发展：防火墙在在检测技术上经历了从包过滤技术到状态检测技术再到深度包检测技术的发展历程。(1)包过滤防火墙的优点是工作层次低,速度快,但缺陷是不能跟踪会话状态,无法理解上层协议,无法抵御应用层攻击。(2)状态检测技术是目前最广泛应用的过滤技术,它通过在防火墙内部建立的状态表跟踪每一个会话状态。与包过滤技术相比状态检测技术虽然增加了对会话状态的检查,但依然不能防范隐藏在应用层中的攻击。(3)深度包检测技术是为了弥补状态检测技术的不足而发展起来的一种新的检测技术,该技术为防火墙提供了应用层的防护能力,在保留状态检测技术优点的情况下,对状态检测允许的流量进行深层检测,根据应用层信息做出进一步的处理。深度包检测技术能够深入检查通过防火墙的每个数据包及其应用数据,以基于指纹匹配、启发式技术、异常检测以及统计学分析等技术的规则来判定数据传输中是否含有恶意攻击行为。深层检测技术工作原理是采用和数据接收方相同的方式来理解应用层信息。在标准的TCP/IP网络中,信息被分割成小的数据包,以便能够快速地通过网络。采用深度检测技术的防火墙在这些小数据包的传送途中截获它们,通过实施数据包重组,将其重新组装为原始数据。当成功重组出了应用层信息后,防火墙再根据企业的安全策略来对其中的攻击进行检测和拦截。深度检测技术支持常见的应用协议如HTTP、SMTP、POP、FTP和DNS等