计算机网络安全期末论文.doc

恶意代码的分析与防治摘要： 恶意代码问题成为信息安全需要解决的，迫在眉睫的、刻不容缓的安全问题。 在Internet安全事件中，恶意代码造成的经济损失占有最大的比例。恶意代码主要包括计算机病毒（Virus）、蠕虫（Worm）、木马程序（Trojan Horse）、后门程序（Backdoor）、逻辑炸弹（Logic Bomb）等等。与此同时，恶意代码成为信息战、网络战的重要手段。关键词：恶意代码 特征 种类 防御一恶意代码的特征恶意代码（Malicious code）或者叫恶意软件Malware（Malicious Software）具有如下共同特征：（1） 恶意的目的（2） 本身是程序（3） 通过执行发生作用有些恶作剧程序或者游戏程序不能看作是恶意代码。对滤过性病毒的特征进行讨论的文献很多，尽管它们数量很多，但是机理比较近似，在防病毒程序的防护范围之内，更值得注意的是非滤过性病毒。二恶意代码的种类恶意代码按传播方式分类可以分为：计算机病毒、木马、蠕虫、即时消息攻击；按行为分类可以分为计算机病毒、间谍软件、浏览器劫持。1计算机病毒计算机病毒的定义源自于生物学界的病毒。计算机病毒是一个指令序列，它能够把自身的拷贝插入到其他宿主程序，入侵其他主机并且修改系统结构。一旦感染病毒，宿主文件就变成病毒再去感染其他文件。计算机病毒有变种和进化， 以便对付反病毒程序。大量的病毒感染的结果是造成大型系统的瘫痪，就像人类身体感染病毒一样。计算机病毒具有以下特点：传染性和衍生性 潜伏性和隐蔽性 寄生性 触发性 破坏性 非授权性2木马特洛伊木马(州an Horse)，简称“木马”，据说这个名称来源于希腊神话木马屠城记。古希腊有人军围攻特洛伊城，久久无法攻下。于是希腊人在一只祭礼的巨大木马中藏匿了许多希腊士兵并引诱特洛伊人将它运进城内，等到夜里马腹内的士兵与城外士兵里应外合，一举攻破了特洛伊城。后世称这只大木马为“特洛伊木马”。如今黑客程序借用其名，有“一经潜入，后患无穷”之意。3蠕虫蠕虫是一种常见的计算机恶意代码，它的传染机理是利用网络进行复制和传播，传染途径是通过网络、电子邮件以及优盘、移动硬盘等移动存储设备。比如去年以来危害及大的“熊猫烧香”病毒就是蠕虫病毒的一种。因为蠕虫使用多种方式进行传播，所以蠕虫程序的传播速度是非常大的。4即时消息攻击即时消息(Instant Mes阻ging，IM)是一种实时通信方式。实际上，即时消息通信中可以有很多攻击代码，包括病毒、木马等，这里的即时消息攻击只讨论专门利用即时消息通信的协议漏洞或即时通讯程序接口进行恶意行为的攻击代码。IM客户端程序一般允许用户聊天、文件共享、音频或视频传输、在线游戏甚至互发邮件等。多数即时消息网络在两种模型下工作：端到端模式和端到服务器模式。常见的IM通信协议有ICQ(I Seek You Chat，ICQ)、AlM(AOL Instant Messaging)、Intemet中继聊天(Intemet Rely Chat，lRC)、Web聊天、Jabber等。这一类的恶意代码多是利用即时消息通信的协议漏洞或即时通讯程序接口， 采用Java applcts，ActiVeX，JaVaScript， 通讯工具(IM)等进行入侵或攻击， administIator I帐号。5间谍软件间谍软件(Spyware)是一种能够在计算机使用者无法察觉或给计算机使用者造成安全假相的情况下，秘密收集计算机信息并把它们传给广告商或其他相关人的程序。间谍软件可以像病毒一样进入计算机或通过安装新的程序而进入计算机。虽然没有恶意的倾向，但间谍软件经常会在没有你的同意或者你没有意识到的情况下，以一个IE工具条，一个快捷方式、一个下载链接或由于点击一个欺骗的弹出式窗口选项等用户不易警觉的程序来触发间谍软件并安装进你的电脑。同样的，广告软件，通常包括间谍软件的成分，也可以认为是恶意软件。6浏览器劫持浏览器劫持是一种恶意程序，通过浏览器插件、BHO(浏览器辅助对象)、Winsock LSP等形式对用户的浏览器进行篡改，使用户的浏览器配置异常，被强行引导到指定网站或运行指定的功能模块。通俗地说浏览器劫持就是故意误导浏览器的行进路线的一种现象。三恶意代码的对比我们知道病毒、蠕虫、木马等恶意代码之间是有显著区别的。通过对它们之间的区别、不同特点的分析比较，可以更好地了解其传播方式，可以有针对性地制定出检测和控制方法，更好地防御各类恶意代码的传播。其区别如下表：四、恶意代码的传播手法 恶意代码编写者一般利用三类手段来传播恶意代码：软件漏洞、用户本身或者两者的混合。有些恶意代码是自启动的和嵌入脚本，本身就是软件，这类恶意代码对人的活动没有要求。一些像特洛伊、电子邮件蠕虫等恶意代码，利用受害者的心理操纵他们执行不安全的代码；还有一些是哄骗用户关闭保护措施来安装恶意代码。 利用商品软件缺陷的恶意代码有Code Red 、KaK 和BubbleBoy。它们完全依赖商业软件产品的缺陷和弱点，比如溢出漏洞和可以在不适当的环境中执行任意代码。像没有打补丁的IIS软件就有输入缓冲区溢出方面的缺陷。利用Web 服务缺陷的攻击代码有Code Red、Nimda，Linux 和Solaris上的蠕虫也利用了远程计算机的缺陷。 恶意代码编写者的一种典型手法是把恶意代码邮件伪装成其他恶意代码受害者的感染报警邮件，恶意代码受害者往往是Outlook地址簿中的用户或者是缓冲区中WEB页的用户，这样做可以最大可能的吸引受害者的注意力。一些恶意代码的作者还表现了高度的心理操纵能力，LoveLetter 就是一个突出的例子。一般用户对来自陌生人的邮件附件越来越警惕，而恶意代码的作者也一些诱饵吸引受害者的兴趣。附件的使用正在和必将受到网关过滤程序的限制和阻断，恶意代码的编写者也会设法绕过网关过滤程序的检查。使用的手法可能包括采用模糊的文件类型，将公共的执行文件类型压缩成zip文件等等。 对聊天室IRC（Internet Relay Chat）和即时消息IM(instant messaging)系统的攻击案例不断增加，其手法多为欺骗用户下载和执行自动的Agent软件，让远程系统用作分布式拒绝服务(DDoS)的攻击平台，或者使用后门程序和特洛伊木马程序控制之。五恶意代码检测与防御恶意代码与其检测是一个猫捉老鼠的游戏，单从检测的角度来说，反恶意代码的脚步总是落后于恶意代码的发展，是被动的。恶意代码的检测直观上可以分为基于主机的检测防范和基于网络的检测防范。目前基于主机的防范恶意代码的方法主要有：误用检测方法、权限控制方法、完整性控制方法等。基于网络的检测方法主要有基于神经网络、基于模糊识别等方法。1基于主机的恶意代码检测技术目前基于主机的恶意代码检测技术仍然被许多的反病毒软件、恶意代码查杀软件所采用。基于主机的恶意代码检测技术包括： (1)误用检测技术。即基于特征码的检测技术。这是最方便应用最广泛的方法，通过提取恶意代码的样本并采集他们的“指纹，当反病毒软件扫描文件时，将当前的文件与病毒特征码库进行对比，判断是否有文件片段与已知样本吻合。这种方法的缺点是新病毒特征码的发布永远落后于病毒的传播，另外的缺点是无法检测到传播过程中自动改变自身形态的病毒。卜图描述了误用检测的检测流程。 (2)启发法。 这种方法的思想是为病毒的特征设定一个阈值，当扫描器分析文件时，当文件的总权值超出了设定值，就将其看作是恶意代码。这种方法主要的技术是要准确的定义类似病毒的特征，这依靠准确的模拟处理器。评定基于宏病毒的影响更是一个挑战，他们的结构和可能的执行流程比已经编译过的可执行文件更难预测。(3)行为法。利用病毒的特有行为特征来监测病毒的方法，称为行为监测法。通过对病毒多年的观察、研究，有一些行为是恶意代码的共同行为，而且比较特殊。当程序运行时，监视其行为，如果发现了病毒行为，立即报警。缺点是误报率比较高、不能识别病毒名称及类型、实现时有一定难度。(4)完整性控制。通过以下步骤实现：当机器未被感染时计算出要监测文件的特征码(校验和或密码哈希表形式)，并将其保存在基准数据库中；当扫描文件系统搜索到可疑的修改时，计算被监控文件的特征码，并与保存在基准数据库中的数值进行比较；根据比较的结果作出判断。这种方法最大的局限是只有当感染发生后才能检测到，并且容易产生误报。(5)权限控制。恶意代码本身是一段可执行代码，只有被执行，才能有实施其恶意目的的机会，所以恶意代码进入系统后首先应具有执行权限。因此具有足够的权限是恶意代码实现其恶意目的的必要条件。如果控制恶意代码在被入侵系统中的权限，使宿主代码仅仅具有完成正常工作的最小权限，即使代码中含有恶意的操作请求，该请求也不会被允许。这就是权限控制防御技术的基本思想。通过权限控制来防御恶意代码的技术比较典型的有：沙箱技术和安全操作系统。(6)虚拟机检测。虚拟机检测是一种新的恶意代码检测手段，主要针对使用代码变形技术的恶意代码，现在己经在商用反恶意软件上得到了广泛的应用。反病毒用虚拟机并不是像VMware为待查可执行程序创建一个虚拟的执行环境， 提供它可用到的一切元素，包括硬盘、端口等，让程序在其上自由发挥，最后根据其行为判断是否为病毒。2基于网络的恶意代码检测技术基于网络的恶意代码防范首先收集网络主机行为的以及主机之间相互连接的数据，采用数据挖掘和异常检测技术对海量数据进行求精和关联分析以检测恶意代码是否具有恶意行为，从而实现对网内主机的保护。基于网络的恶意代码防范目前主要采用异常检测和误用检测等手段。(1) 异常检测。由于恶意代码在传播时发送大量的网络扫描数据包，导致网络流量明显增加，并且其扫描数据包具有很强的规律性，通过异常检查可发现网络内主机可能感染恶意代码以及感染恶意代码的严重程序，然后采取控制措施，比如限制计算机发送数据包、计算机断网等。(2) 误用检测也称基于特征的检测。基于特征的检测首先要建立特征规则库，对一个数据包或数据流里德数据进行分析，然后与验证特征库中的特征码来校验。特征码规则可以包含协议类型、端口号、特征串等。特征码规则按数据包的协议类型码分类为：IP协议特征码，TCP协议特征码，UDP协议特征码、ICMP协议特征码等。基于网络的恶意代码防范的关键是控制，目前常用的防御手段有网络隔离技术、防火墙控制技术、入侵检测系统(1DS)技术等。3入侵检测系统(I DS) (1) 面对日益增长的网络安全威胁，以及恶意代码攻击越来越强的破坏性、损失的严重性，单纯的防火墙无法防范复杂多变的攻击。入侵检测系统的产生弥补了防火墙应对攻击的一些弱点。入侵检测(Intmsion Detection)是对入侵行为的发觉。它通过从计算机网络或计算机系统的关键点收集信息并进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。 (2) 误用检测模型(Misuse Detection)。收集非正常操作的行为特征，建立相关的特征库，当监测的用户或系统行为与库中的记录相匹配时，系统就认为这种行为是恶意代码入侵。4基于Wi nd佣s API函数实时监测的防范策略基于Windows APl函数实时监测防范策略的思想是通过监测恶意代码对系统级API的调用、堆栈权限的滥用来实现对恶意代码的防御和阻断。这种防范策略是权限控制法在恶意代码防范中的应用。恶意代码要在目标主机实施恶意操作，其手段主要有：打开一个端口、开启一个服务、修改注册表等系统配置文件，通过另一个攻击来复制或者传播自身等， 这样就需要调用、Mndows的一些系统API函数来实现它们的攻击目的。 5检测防御技术的联动策略从上文可以看出，无论是杀毒软件、防火墙技术还是入侵检测系统、API实时监测策略，都在实际应用中有着种种局限。各种技术在具有针对性强优点的同时，也暴露出了功能单一的弱点。而从目前恶意代码攻击的趋势越来越城呈现整体化、立体化的特点。因此，要想有效的检测和防御恶意代码的攻击，可以采用检测防御技术联动的策略田l。联动是指通过一种组合方式，将检测防御技术进行整合，由其它防范技术弥补某一防御技术自身功能和性能的缺陷，以适应恶意代码防御整体化、立体化的要求。在以上防御技术的基础上，这里给出一种IDS、防火墙和主机windows API 实时监测联动的紧耦合的防范策略模型。联动的实现过程是：基于964络的lDS 模块检测到攻击后，立刻通知管理中心对防火墙过滤规则作动态修改，对攻击源进行相应的封堵，例如阻断源端口、源IP等。六总结与展望其实恶意代码的防范方案多种多样。针对不同的使用电脑的人群有着不同需求的配置方案。不过对于一个经常上网处理信息的用户来说，掌握必要的防范知识是必要的。 配置防火墙来阻断外界网络对系统的攻击。防火墙保护系统是一道不可或缺的工具，微软系统自身为我们配置了一道防火墙，不过，为了更加安全使主机不受外来病毒的入侵，配置网络防火墙在一定坏境下也是必要的。 总之，恶意代码方案有很多。但是归根结底，还是需要我们自身规范上网，重视信息安全。这样才