病毒与其防范技术

教学目标主要内容包括病毒概述，蠕虫病毒，流氓软件病毒防范与检测，移动终端安全及防范第一页，共34页。要点内容计算机病毒、网络病毒蠕虫、木马、流氓软。病毒防范与检测移动终端安全问题第二页，共34页。能力要求掌握病毒一般知识，包括蠕虫病毒、特洛伊木马等了解流氓软件及其危害性掌握病毒防范与检测方法了解移动终端安全问题及其防范第三页，共34页。7.1病毒随着信息技术的发展，信息技术成为国民经济的基础。计算机病毒也日益猖獗，成为危害计算机安全、信息安全的重要原因，至今全世界已发现数万种病毒，并且还在高速增加各种计算机病毒的产生和蔓延，给计算机系统的安全造成了巨大的威胁和损害，其造成的计算机资源的损失和破坏，不但会造成资源和财富的巨大浪费，而且有可能造成社会性的灾难第四页，共34页。病毒概念为了把自身的副本传播给其他程序而修改并感染目标程序的程序”定义为“计算机病毒”计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码木马、蠕虫、流氓软件等第五页，共34页。病毒概念病毒产生的原因：版权保护；报复心理；炫耀、玩笑或是恶作剧；以及用于特殊目的病毒的生命周期：计算机病毒和生物世界的病毒一样，都有其独特的生命周期。创造期、孕育期、潜伏感染期、发作期、发现期和根除期第六页，共34页。病毒概念病毒的特性传染性、隐蔽性（潜伏性）、破坏性、针对性、衍生性（变种）、寄生性和不可预见性等病毒的传播途径能够进行数据交换的介质都是病毒传播途径，随着因特网的高速发展，病毒也走上了高速传播之路，网络已经成为计算机病毒的第一传播途径第七页，共34页。病毒概念病毒发作的表现及危害侵占内容和CPU资源，影响系统运行速度攻击系统数据区破坏用户文件，破坏磁盘干扰、控制外设尤其摄像头的正常工作攻击CMOS造成系统硬件伤害第八页，共34页。病毒的分类及命名规则病毒的分类按感染的途径以及采用的技术区分：文件型计算机病毒、引导型计算机病毒、宏病毒和目录（链接）型计算机病毒等病毒的命名规则采用前、后缀法来进行命名的，可以是多个前缀、后缀组合，中间以小数点分隔，一般格式为[前缀].[病毒名].[后缀]第九页，共34页。病毒的分类及命名规则病毒的命名规则病毒名为该病毒的名称及其家族，如CIH病毒、Sasser病毒等前缀表示该病毒发作的平台或者病毒的类型，如木马病毒的前缀是trojan；蠕虫病毒的前缀是worm；脚本病毒的前缀是script；系统病毒的前缀为win32、pe、win95、w32、w95等；宏病毒的前缀是macro；第二前缀有word、excel等，根据感染的文档类型来选择相应的第二前缀；捆绑机病毒的前缀是binder；后门病毒的前缀是backdoor后缀一般不要，只是以此区别在该病毒家族中各病毒的不同，可以为字母，或者为数字以说明此病毒的大小，如“worm.Sasser.c”是指振荡波蠕虫病毒的变种c第十页，共34页。7.2蠕虫病毒蠕虫是一种通过网络传播的恶性病毒，它具有病毒的一些共性，如传播性、隐蔽性、破坏性等，同时具有自己的一些特征，如不利用文件寄生（有的只存在于内存中），对网络造成拒绝服务，以及和黑客技术相结合等在破坏性上，蠕虫病毒也不是普通病毒所能比拟的，网络的发展使得蠕虫可以在短短的时间内蔓延整个网络，造成网络瘫痪第十一页，共34页。7.2蠕虫病毒蠕虫病毒是无需计算机使用者干预即可运行的独立程序，它通过不停地获得网络中存在漏洞的计算机上的部分或全部控制权来进行传播蠕虫病毒由两部分组成：一个主程序和一个引导程序。主程序一旦在机器上建立就会去收集与当前机器联网的其他机器的信息，随后尝试利用那些缺陷在这些远程机器上建立其引导程序第十二页，共34页。蠕虫病毒的工作过程扫描IP地址，随机选取一个判断对应此IP地址的机器是否可被感染如果可被感染，则感染之重复上面3步共m次，m为蠕虫产生的繁殖副本数量第十三页，共34页。蠕虫病毒的检测通过对蠕虫病毒各个阶段不同行为的检测，并进行关联分析，根据蠕虫病毒的多个行为特征进行判断，结合丰富的行为特征库，可以对目前流行的病毒进行检测首先通过对TCP半连接状态的检测发现蠕虫的扫描行为，发现可疑的扫描源其次在TCP的连接建立时间中检测可疑扫描源对漏洞主机特定端口（4454）的攻击行为，进一步确认感染了蠕虫的主机再次检测蠕虫的自我传播过程，对震荡波来说，它通过4454端口的FTP服务来进行传播最后通过传播文件的特征（如123_up.exe）来进一步确认振荡波的传播第十四页，共34页。蠕虫病毒的防范企业防范蠕虫病毒措施加强安全管理水平，提高安全意识建立病毒检测系统，能够在第一时间内检测到网络异常建立应急响应系统，将风险减少到最小建立灾难备份系统第十五页，共34页。蠕虫病毒的防范个人用户对蠕虫病毒的防范措施提高防杀毒意识购买合适的杀毒软件经常升级病毒库不随意查看陌生邮件，尤其是带有附件的邮件第十六页，共34页。7.4流氓软件在未明确提示用户或未经用户许可的情况下，在用户计算机或其他终端上安装运行，侵害用户合法权益的软件“流氓软件”是介于病毒和正规软件之间的软件同时具备正常功能和恶意行为,给用户带来实质危害;既不属于正规商业软件，也不属于真正的病毒；既有一定的实用价值，也会给用户带来很多干扰第十七页，共34页。流氓软件的特征强制安装难以卸载浏览器劫持弹出广告恶意收集用户信息恶意卸载恶意捆绑其他侵害用户软件安装、使用和卸载知情权、选择权的恶意行为第十八页，共34页。流氓软件的危害流氓软件植入的方式几乎遍及所有网络接口，如即时通讯、浏览器、电子邮件、网站提供的专用应视频播放器、FTP、BT下载等等。据统计，目前国内有超过1370种以上的各种恶意插件，在大多数共享软件中，默认捆绑了这些插件5个以上第十九页，共34页。流氓软件的危害强行侵入用户计算机，无法卸载强行广告、下载、注册，严重侵犯了用户的选择权侵害用户的虚拟财产安全窃取并分析用户隐私数据无视国家法律，提供不良内容下载第二十页，共34页。流氓软件的检测据表象初步判断系统运行速度越来越慢部分软件（特别是浏览器）设置被强行修改自动弹出广告窗口自动打开网站用工具检测使用系统的任务管理器,查看可疑进程使用专用检测工具：TcpView、Regshot、Wopti等

第二十一页，共34页。流氓软件的防范不要注册登录不良网站不要随便下载不熟悉的软件，尤其是可能对用户数据产生损害的，如分区软件、硬盘整理软件、个人信息管理软件等安装软件时应仔细阅读软件附带的用户协议及使用说明对共享软件应谨慎使用，避免软件过期后出现某些功能限制而丢失私人资料的情况应采用“网络防火墙+杀毒软件+安全管理”的立体防御体系第二十二页，共34页。7.6移动终端安全及其防范第二十三页，共34页。移动终端的安全风险丢失造成的泄密风险信息泄密、位置泄密：移动终端结构比较松散，没有措施对内部器件进行统一管理和认证操作系统设计上缺乏有效的安全策略移动终端中所存储的数据甚至程序在不同的程度上也是公开或开放的第二十四页，共34页。移动终端的安全要求中国通信标准化协会（CCSA）明确提出移动终端信息安全技术要求。需提供措施保证系统参数和数据、用户数据、密钥信息和证书，以及应用程序的完整性、机密性，终端关键器件的完整性、可靠性以及用户身份的真实性对操作系统、应用程序和终端关键器件进行一致性检验对用户的身份进行认证然后根据用户的授权提供资源及对象的访问和操作权限对终端的密钥、证书、系统数据和用户数据等进行有效的安全管理，保证存储数据的安全对终端各种接口提供接入安全控制，安全地接入各种网络终端中的关键器件还应具有抵抗防篡改等物理攻击的能力，以提高移动终端的自身安全防护能力第二十五页，共34页。移动终端安全技术的发展终端安全技术在可信、可控和保密的路线上不断发展和提升可信移动终端技术移动终端控制管理技术端到端加密技术第二十六页，共34页。移动终端信息泄露方式主动式攻击方式用“伪基站”工作方式的移动终端拦截系统移动终端植入恶意代码在制造过程中植入接收和发送功能装置用户识别卡复制欺诈（垃圾）信息第二十七页，共34页。移动终端信息泄露方式被动式攻击方式使用移动终端拦截系统移动终端丢失第二十八页，共34页。移动终端信息泄露的防范措施移动终端用户移动业务运营商移动终端制造商杀毒软件（安全）厂商政府相关部门第二十九页，共34页。移动签名—原理移动签名即为针对移动互联网的特点而设计的安全方案将用户私钥保存在用户的手机（SIM）中，将待签名数据通过一个平台发送到用户手机