




已阅读5页,还剩22页未读, 继续免费阅读
版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
蠕虫病毒原理,蠕虫病毒,蠕虫病毒是一种常见的计算机病毒。它是利用网络进行复制和传播,传染途径是通过网络和电子邮件。蠕虫病毒是自包含的程序(或是一套程序),它能传播自身功能的拷贝或自身(蠕虫病毒)的某些部分到其他的计算机系统中(通常是经过网络连接)。蠕虫病毒的传染目标是互联网内的所有计算机.局域网条件下的共享文件夹,电子邮件email,网络中的恶意网页,大量存在着漏洞的服务器等都成为蠕虫传播的良好途径。网络的发展也使得蠕虫病毒可以在几个小时内蔓延全球!而且蠕虫的主动攻击性和突然爆发性会使得人们手足无策,蠕虫与漏洞,网络蠕虫最大特点是利用各种漏洞进行自动传播根据网络蠕虫所利用漏洞的不同,又可以将其细分邮件蠕虫主要是利用MIME(MultipurposeInternetMailExtensionProtocol,多用途的网际邮件扩充协议)漏洞,MIME描述漏洞,蠕虫与漏洞,网页蠕虫(木马)主要是利用IFrame漏洞和MIME漏洞网页蠕虫可以分为两种用一个IFrame插入一个Mail框架,同样利用MIME漏洞执行蠕虫,这是直接沿用邮件蠕虫的方法用IFrame漏洞和浏览器下载文件的漏洞来运作的,首先由一个包含特殊代码的页面去下载放在另一个网站的病毒文件,然后运行它,完成蠕虫传播系统漏洞蠕虫利用RPC溢出漏洞的冲击波、冲击波杀手利用LSASS溢出漏洞的震荡波、震荡波杀手系统漏洞蠕虫一般具备一个小型的溢出系统,它随机产生IP并尝试溢出,然后将自身复制过去它们往往造成被感染系统性能速度迅速降低,甚至系统崩溃,属于最不受欢迎的一类蠕虫,蠕虫的工作方式与扫描策略,蠕虫的工作方式一般是“扫描攻击复制”,蠕虫的工作方式与扫描策略,蠕虫的扫描策略现在流行的蠕虫采用的传播技术目标,一般是尽快地传播到尽量多的计算机中扫描模块采用的扫描策略是:随机选取某一段IP地址,然后对这一地址段上的主机进行扫描没有优化的扫描程序可能会不断重复上面这一过程,大量蠕虫程序的扫描引起严重的网络拥塞对扫描策略的改进在IP地址段的选择上,可以主要针对当前主机所在的网段进行扫描,对外网段则随机选择几个小的IP地址段进行扫描对扫描次数进行限制,只进行几次扫描把扫描分散在不同的时间段进行,蠕虫的工作方式与扫描策略,蠕虫常用的扫描策略选择性随机扫描(包括本地优先扫描)可路由地址扫描(RoutableScan)地址分组扫描(Divide-ConquerScan)组合扫描(HybridScan)极端扫描(ExtremeScan),从传播模式进行安全防御,对蠕虫在网络中产生的异常,有多种的的方法可以对未知的蠕虫进行检测,比较通用的方法是对流量异常的统计分析,主要包括对TCP连接异常的分析和ICMP数据异常分析的方法。,从传播模式进行安全防御,在蠕虫的扫描阶段,蠕虫会随机的或者伪随机的生成大量的IP地址进行扫描,探测漏洞主机。这些被扫描主机中会存在许多空的或者不可达的IP地址,从而在一段时间里,蠕虫主机会接收到大量的来自不同路由器的ICMP不可达数据包。流量分析系统通过对这些数据包进行检测和统计,在蠕虫的扫描阶段将其发现,然后对蠕虫主机进行隔离,对蠕虫其进行分析,进而采取防御措施。将ICMP不可达数据包进行收集、解析,并根据源和目的地址进行分类,如果一个IP在一定时间(T)内对超过一定数量(N)的其它主机的同一端口(P)进行了扫描,则产生一个发现蠕虫的报警(同时还会产生其它的一些报警)。,用Sniffer进行蠕虫检测,一般进行流量分析时,首先关注的是产生网络流量最大的那些计算机。利用Sniffer的HostTable功能,将所有计算机按照发出数据包的包数多少进行排序,发包数量前列的IP地址为的主机,其从网络收到的数据包数是0,但其向网络发出的数据包是445个;这对HTTP协议来说显然是不正常的,HTTP协议是基于TCP的协议,是有连接的,不可能是光发不收的,一般来说光发包不收包是种类似于广播的,同样,我们可以发现,如下IP地址存在同样的问题,首先我们对IP地址为的主机产生的网络流量进行过滤,蠕虫病毒流量分析,发出的数据包的内容,一、两种检测粒度的比较,在早期的snort在其virus.rules中,用了多达24条规则来检测名为NewApt的蠕虫,占了全部VX规则的28%。,粗糙的文件名检测法,粗检测粒度的表现,通过对病毒的分析来看,Worm.NewApt附件文件清单是26个,而不是24个。Rule(s)fromC&D没有错误,但Capture&Decode之外,希望能补充进,Code&Disassemblers,附件文件名检测方式弊端,对于那些随机选择附件名文件名或者提取本机文件的文件名作为自身名字的蠕虫无能为力。一个同名的正常附件,带来误报造成用户的恐慌。同时,修改文件名对于修改蠕虫是最容易的。,细粒度检测,站在基于文件系统的病毒分析来看,I-worm.NewApt完全可以靠文件体中如下的特征串来检测:|680401000056FF152CC04000568B75106884F7400056E8CC0800005903C650E83B07000083C40C6880F7400056E8B50800005903C650|,问题(一)网络检测与文件检测的不同,蠕虫在网络传输中的形态,不是2进制文件,而是经过编码后的,下面就是病毒特征码所对应的base64编码:GgEAQAAVv8VLMBAAFaLdRBohPdAAFbozAgAAFkDxlDoOwcAAIPEDGiA90AAVui1CAAAWQPGUOgkBwAAoeQBQQBZWUBQVuidCAAAWQPGUGjo90AA/9ej5AFBA同时新的问题产生:|0d0a|如何处理?,问题(二)特征码质量,特征码不能任意选取,而要求能够准确无误报的实现检测。长度要求复杂度要求其他要求,问题(三)如何面对更多层面的需求,IDS的规则问题只是我们问题的出发点。能否实现御毒于内网之外Firewall、Gap能否扩充反病毒能力骨干网络能否建立病毒疫情监控机制,甚至直接切断蠕虫传播,独立病毒分析的准备工作,对于网络安全企业的高手们来说,剖析几个蠕虫,提取特征码,没有问题,但要注意这是系统的工作:建立自己的病毒捕获网络,第一时间获得新病毒样本;建立完善的样本库建立自己的特征码分析体制,保证特征码的科学性,避免漏报和误报的可能。警告:对于firewall或者IDS开发部门来说,维持一个专门的VirusCert小组可能是得不偿失的。,第二章、结合文件级别反病毒
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 2025中级经济师考试真题及答案解析
- 专题01 声现象(第02期)-2016年中考物理试题分项版解析汇编(解析版)
- 学校户外运动活动方案策划
- 天津qms解决方案咨询
- 油脂纳米乳化技术研究-洞察及研究
- 综合医院评价方法创新-洞察及研究
- 奶茶营销策划方案宣传活动
- 2025年光伏组件生产设备智能化改造投资机会分析报告
- 2025年光伏组件效率提升技术对光伏行业可持续发展的影响研究报告
- 智能存取技术在零售业的应用-洞察及研究
- 《研究生入学教育》课件
- 汽车行业中的环境保护与可持续发展
- 打起手鼓唱起歌混声合唱简谱
- 空调安装免责协议
- QGW 201175-2019-金风陆上风力发电机组 塔架通用防腐技术规范
- 老友记第一季字幕
- 输电线路风偏计算基本方法
- 骨科概论课件
- 第5章光电成像系统
- GB/T 9117-2010带颈承插焊钢制管法兰
- GB/T 5455-2014纺织品燃烧性能垂直方向损毁长度、阴燃和续燃时间的测定
评论
0/150
提交评论