时间:2023-05-29 18:02:55
[关键词]木马检测策略 动态博弈
中图分类号:TM925.07 文献标识码:A 文章编号:1009-914X(2015)05-0282-01
1 引言
近年来, 随着网络应用复杂度的不断提高, 网络攻击方法层出不穷。各种网络攻击方法中, 木马攻击是最具危险的手段之一。一旦计算机系统被种植木马, 就将长期潜伏, 对系统的保密性、可用性造成致命伤害。本文提出了一种在新型木马检测系统中, 基于不完全信息博弈理论的计算机木马检测策略选择方法, 为解决准确检测木马问题提供了新的思路。
2 计算机木马检测系统构成
本文成果应用的计算机木马检测系统由主机信息检测模块、网络信息检测模块和智能决策模块三个模块组成。
主机信息检测模块对主机的文件、进程、网络连接、加载文件等信息结合白名单检测、端口关联等检测方法, 按照检测策略进行检测。网络信息检测模块基于网络协议的分析, 对宿主主机发出的数据包进行层层剥离, 准确获取数据包信息, 同时根据各种信息特征进行统计, 从中发掘可疑网络流量信息。智能决策模块将网络和主机获取的数据根据攻击特征进行逐项分析, 然后对分项结果关联形成检测结论, 最终显示给用户。
3 木马检测与反检测博弈行为分析
3.1 木马反检测的一般方法及分析
木马必须的功能包括隐蔽启动、网络外联。木马反检测方法大体有隐藏进程、隐藏模块、隐藏网络连接、隐藏文件、隐藏服务、隐藏启动项、穿透防火墙。
3.2 木马检测的博弃行为
在木马检测过程中, 自始至终存在着对抗双方检测与反检测的博弈。木马检测系统要制定应对不同等级木马的检测策略。从检测到的可疑程序中将这些正常程序甄别出是系统的重要工作。在计算机被种植木马的环境下, 检测工作是一个双方不完全信息动态博弈的过程, 检测系统必须逐步寻找最优策略, 以达到检出目的。
3.3 不完全信息动态博弃
根据随机博弈的思想, 检测系统的每一个部分检测的结果概括成一种“状态”。双方在该部分的收益取决于各自采用的策略。通常, 一个两方随机博弈用如下七元组描述(S,,, Q,,,β),其中:
一般的木马检测博弈过程如下:在某个检测模块工作的时刻t, 博弈处于状态∈S。,木马从反检测策略集中选择策略, , 系统从检测策略集中选择策略, 然后木马得到一个收益= (,,), 系统得到收益= (,,),然后博弈进入第二个状态∈S。
根据不完全信息动态博弈理论, 当期收益不仅取决于当前状态和这种状态下木马与检测系统选择的策略, 还取决于双方针对对方类型所做的概率分布判断。根据随机博弈理论, 木马的收益应该为= (,,), 假设此时木马对不会被检测出的概率判断为μ, 根据不完全信息博弈理论,其收益为= (,,,μ), 同理, 假设此时检测系统对木马是否判断出被检测出的概率判断为λ, 此状态下其收益为= (,,,λ)。
4 基于动态博弈的木马检测策略选择
木马检测环境下, 针对一个特定的状态, 策略选择过程为:
(1)首先确定检测系统和木马的策略集;
(2)当前状态下, 确定针对检测系统不同的策略, 木马对被检出的概率μ分布;
(3)根据木马实现技术水平的高低确定木马类型, 然后检测系统确定木马类型的概率分布ν,在此基础上根据木马在当前状态下采取不同的策略下, 确定木马判断出被检出的概率分布λ;
(4)确定木马的收益函数。为了长时间牢固控制主机(I), 木马需具备反检测手段(T), 由此确定木马的线性收益函数为:=(I-T)(1-μ)(1)
(5)确定检测系统的收益函数。检测系统的收益函数与木马反检测水平(T),检测系统获取的信息(),木马判断检测系统会采取的检测方式信息()相关, 由此确定检测系统的线性收益函数为:=(γI-T-)(1-γ)(2)
假设检测系统对木马类型的判断概率是,则对n类木马, 系统在该状态下的收益为:
(6)计算纳什均衡解, 确定木马检测策略。要达到纳什均衡解必须满足两个条件:检测系统采取的策略要实现自己的收益最大化;要使木马的收益尽可能高。
成立的策略'为其最优策略,其中表示确定检测系统所有策略下的最大收益,'为选择该策略下的木马的判断概率。
对检测系统而言,使得条件:
成立的策略'为其最优策略,其中'表示系统在木马自防护策略下的最大收益,'为选择该策略下的系统的检出判断概率。
5 示例与仿真
以主机信息检测部分为例,使用简化策略进行仿真分析。
(1) 确定双方策略集
在主机信息检测状态下,检测系统的策略集。
(2) 确定木马对检测系统策略类型评估的概率μ分布
根据木马反检测能力的高低分为三类,高级木马,中级木马,和初级木马,根据经验,木马对检测系统策略评估正确的概率μ分布如表1。
(4)确定木马在当前状态下的收益
根据经验确定控制主机I值,反检测T值表。
(6)计算纳什均衡解
木马的最优策略是;根据式(3)及表3,检测系统的最优策略是。
6 结论
木马检测策略是木马检测系统的关键之一。本文提出了一种基于不完全信息动态博弈的木马检测策略选择的方法,该方法基于对抗的动态性及对抗双方信息不完全的特点,把信息获取和不完全信息动态博弈有机结合,示例与仿真初步验证了模型的有效性。
参考文献
[1] 闫怀志,胡昌振,谭惠民。网络攻防对抗策略选择模糊矩阵博弈方法。武汉大学学报(理学版),2004,50(S1),103-106.
日前,360安全卫士正式了7.0正式版本,软件使用全新UI界面引擎,支持换肤,有效优化软件主程序,大幅提高软件启动速度,降低整体资源占用。并优化了包括插件、垃圾文件清理等功能,同时对评分、插件检测、识别等功能进行了完善;新增的新版流量管理,更可有效查阅流量状态;新版软件管理器,更可方便检测软件版本、升级和进行管理。
抢先下载:奇虎360安全卫士V7.0版
.cn/detail/36/358176.shtml
相关下载:360手机安全卫士
.cn/detail/16/156215.shtml
1.安装新版卫士 定制炫彩皮肤
通过官网下载自动安装文件,运行后会自动下载360安全卫士7.0版的核心组件,下载完成后自动启动安装。根据提示,选择好相应的安装路径后,即可快速完成安装,并随即启动,加载相应防护模块。
启动完成后,提示360安全卫士7.0版本的相关功能特性,如其提供有“炫彩换肤”功能,使得我们可以打造个性的安全卫士软件。并提供有新版的插件清理和网络流量监控功能,使得我们可以享受到专业安全工具提供的优质服务。
下载并安装360安全卫士7.0正式版(安装包、离线安装包)
360安全卫士7.0版新增功能(换肤、插件、流量监控新版)
360安全卫士7.0版提供的多套“炫彩”软件皮肤(部分)
同样,软件依然可通过“常用”快速检测系统安全隐患,并对系统当前的安全状态进行评分,以及提供相应解决方案来快速修复。通过“杀木马”来调用360安全卫士的“云查杀”引擎,调取“杀毒”模块(可自动调用360杀毒软件),启闭和设置实时保护状态、网盾状态,开启并使用360“防盗号”(保管箱)和调用软件管家功能等。特别是在检测、修复方面,新版的功能更为强劲。
360安全卫士7.0版软件评测项目:
一键检测威胁,新增模块体验;
体验“云查杀”,剿杀病毒木马;
最新木马样本,实测查杀效果;
威胁实时防护,抵御潜在威胁;
冲浪网盾随行,极速拦截修复;
切实“防盗号”,保管数据安全;
360软件管家,丰富实用组件。
2.一键检测威胁新增模块体验
在360安全卫士7.0版的“常用”功能模块中,通过检测和“评分”体系,一键检测安全状态,并根据提示快速完成修复。手动调取清理插件、漏洞修复和垃圾、历史痕迹清理,以及实时查看当前网络流量状态等。当检测到,如系统潜在恶意漏洞,急需修补,或存在隐患,如检测到“后门”程序试图运行或联机时,检测过程中也会弹出相应提示。
根据提示,我们快速进行相关恢复工作,比如查阅系统潜在的漏洞情况并快速在线修复、修复浏览器被篡改的信息、升级新版软件等。
通过360安全卫士快速检测、修复操作系统漏洞
修复模块(清理插件、漏洞扫描等)
同时,本次360安全卫士7.0版,还对插件监控和流量监控进行了升级。对此,我们先期植入部分恶意插件后,进行检测,可以看到,新版检测工具可以第一时间查出恶意威胁,并快速对其进行修复。
通过360安全卫士快速检测并清除不慎装入的恶评软件
而在“网络流量查看”中,则会详细罗列当前联机程序所占用和耗费的带宽资源(支持所有拨号和无线网络),我们选中对应程序后,通过邮件也可对其进行详细设定,比如禁止其访问网络等。新版同时提供了“网络查看悬浮窗”,开启后,通过桌面右下角的提示,可以实时了解当前的网络带宽利用状态。
通过360安全卫士“流量管理”实时查看带宽使用状态
当然,在一键检测也未能有效查找到潜在隐患,且意识到系统可能已“中招”,如出现运行速度缓慢,频繁弹出错误窗口,上网变慢,浏览器遭篡改等现象后,则可通过“杀木马”功能快速进行检测,而为真实检测360安全卫士7.0版本的木马检测能力,我们还将通过木马样本包,来对其进行实测。
3.体验“云查杀”剿杀病毒木马
在木马“云查杀”检测模块中,360安全卫士7.0版分别提供了“快速扫描”、“全面扫描”和自定义扫描三种方式,快速扫描系统关键位置,全面检测系统所有文件和根据实际所需,定位到对应目录,执行扫描和查杀操作。同时通过“更改设置”,还能设定其在检测到木马后的处理方式,选择是否在检测到威胁后,加入“云查杀”计划并提交分析(推荐)。
加入360安全卫士7.0木马“云查杀”计划
新版提供了包括快速、全盘、自定义三种扫描方式
启动扫描后,首先检测系统管理目录、启动对象和浏览设置信息,并开始对相关磁盘目录,或用户自定义的扫描区域进行检测。
同时,软件还提供有“隐私控制”和信任程序编辑功能,我们可关闭默认检测到威胁后自动上传的功能,并通过信任程序列表,添加部分程序到白名单中,这些文件将在执行包括全盘扫描时,不会接受检测,防止出现误杀。
在检测到系统内存在木马病毒时,则会第一时间进行提示,并在检测完成后,提示对应的处理方案。同时,为实际考量新版卫士的扫描能力,我们也对其进行了实际测试。通过木马样本包来考量360安全卫士的检测功底。
4.最新木马样本实测查杀效果
为真实检测360安全卫士7.0版本的木马检测能力,我们特别从相关安全论坛和社区中,单独搜集、打包成一组存在26个木马病毒样本的文件,并将其整合在单独目录当中。使用360安全卫士“自定义”检测功能,来对其进行扫描。扫描过程中,软件检测到存在恶意威胁后,会快速进行提示。
检测到存在木马,360安全卫士快速进行提示
经过扫描,360安全卫士7.0版成功检测到存在的所有木马样本,并对其进行“隔离”操作。同时,在扫描结果中,还会详细显示木马特征信息,如经过检测,此木马可能会带给用户的威胁,及木马样本此前的所在路径、可能感染的路径等。当然如果出现意外,如将部分关键文件判定为木马,我们也可选择“信任此程序”来跳过检测。
检测到木马病毒后,会第一时间进行提示并进行处理
立即处理木马,将其转移到360安全卫士的隔离区中
处理完毕,360新版已成功检测到所有潜在木马威胁
通过“隔离区”恢复或彻底清除潜在木马威胁
这样在木马病毒肆虐的当前,通过360安全卫士7.0版,能有效检测系统内潜在的恶意威胁,这在木马已经取代传统病毒,成为用户电脑安全、个人隐私的主要威胁的情况下,为用户提供最为贴心的安全保护。配合如360杀毒、卡巴斯基等专业杀毒软件(通过主界面“杀毒”模块获取),快速扫描并“剿杀”潜在病毒威胁。同时同样得到增强的,还有软件出色的实时防护的防“挂马”(360网盾)功能。我们同样将对其进行测试。
5.威胁实时防护抵御潜在威胁
360安全卫士7.0版,当前为用户提供了包括漏洞防火墙、注册表防护、进程防护、文件防护、U盘防火墙、ARP防火墙和“网盾”(反挂马、钓鱼网站)等功能。同时通过实时保护模块,还可详细查阅实时保护状态和安全日志。在检测到存在异常,或有某些行为,如修改注册表信息,新增进程、启动项等,都会进行提示,并阻止部分恶意行为。
例如:检测到运行某文件,并试图修改浏览器属性时,会自动弹出提示。
检测到修改浏览器插件设置,会自动弹出拦截提示
检测到试图修改浏览器默认首页时,弹出相应拦截提示。
试图修改浏览器默认主页时,360会自动弹出提示
不慎运行木马文件,自动对其进行拦截并提示“清除”。
自动拦截木马运行,并提示用户进行快速清除
同时,有了出众的木马病毒查杀、实时防护功能。网络防护,也成为了用户所关心的重点。对此,我们也特别对其进行了实际检测,通过来自安全社区和360木马分析中心的相关最新“网马”地址,来实测360安全卫士7.0版本的防护能力。
6.冲浪网盾随行 极速拦截修复
我们知道,360安全卫士在此前的6系列中,就已经加入了网盾功能,而在互联网安全形势日益严峻的当前,网友最关心的,肯定还是其实际的防护能力,因为纵然宣传得“天花乱坠”,但实际能力才是根本。对此,我们也特别通过一些“挂马”网站,和收集到的最新“钓鱼”网址,来实测其实际防护能力。
经过测试可以看到,开启360“网盾”的情况下,360安全卫士7.0版可有效拦截不慎访问的挂马网址,自动对其进行屏蔽操作。
开启“网盾”情况下,自动拦截和屏蔽“挂马”网址
而嵌入到浏览器地址栏中的提示图标,也会实时为您显示当前浏览网址的安全状态,鼠标移动到图标处,查阅相应提示。
访问不同站点,360网盾也会弹出不同安全提示
同时,360网盾还分别提供有:快速修复浏览器潜在隐患、拦截木马对浏览器的劫持、锁定主页等功能,防止黑客对浏览器进行篡改,保护您的上网安全。
通过360“网盾”快速检测并修复浏览器潜在问题
至此,我们就可以基本看到,360网盾在拦截各类恶意地址方面的特色所在,同时,新版同样保留了很受用户喜爱的搜索引擎保护功能和网址检测功能,全面保护用户的上网安全。
7.切实“防盗号”保管数据安全
如何保护在线交易、网游、聊天安全,也同样是用户所关心的话题,也是360安全卫士所不断奋斗的目标。对此在新版360安全卫士中,我们依然可以调用360保管箱(需手工下载)来保护账号安全。
手工下载和安装360保管箱,保护在线财产安全
在360保管箱中,提供有包括安全桌面、保护状态、历史和网游宝库等功能。通过安全桌面的添加向导,我们可以将部分网银、商城和网游加入到保管箱的保护列表当中。这样,添加其中的程序,当进行启动时,360保管箱都会自动对其安全状态进行检测。一旦检测到存在异常,则会快速弹出提示。
添加常用网银、商城等到保管箱保护列表当中
保护程序每次启动前,会对运行环境进行完整扫描
检测到存在异常或可疑进程,会快速弹出安全预警
8.360软件管家丰富实用组件
360软件管家也是目前颇受用户喜爱的软件管理工具,通过它,我们同样可以快速查看当前系统内的软件装载情况,并根据软件升级提示,来快速了解当前哪些软件已经推出新版,并快速升级。通过360为您提供的“装机必备”来选择和下载推荐的常用软件,如QQ、MSN、酷我音乐盒、酷狗音乐盒等。
通过软件管家“装机必备”下载安装相关常用软件
同时,通过软件管家的高级工具,我们还能开启或关闭开机小助手(提示开机时间)、一键优化启动项、快速设置系统默认软件,如默认浏览器、播放器、图片查看器等,方便我们快速调整关联和优化操作系统。
通过360安全卫士一键优化操作系统启动项目
通过360设置默认浏览、输入法和播放器软件
9.资源占用状况软件评测总结
经过对应实测和体验,相信大家也对360安全卫士7.0版本的新增功能和性能有所了解,同时,新版软件优化了产品的资源占用。在执行扫描的状态下,我们可以看到,360安全卫士7.0版也仅占用约20MB的内存资源。
[关键词] 扫描 权限 后门
信息网络和安全体系是信息化健康发展的基础和保障。但是,随着信息化应用的深入、认识的提高和技术的发展,现有信息网络系统的安全性建设已提上工作日程。
入侵攻击有关方法,主要有完成攻击前的信息收集、完成主要的权限提升完成主要的后门留置等,下面仅就包括笔者根据近年来在网络管理中有关知识和经验,就入侵攻击的对策及检测情况做一阐述。
对入侵攻击来说,扫描是信息收集的主要手段,所以通过对各种扫描原理进行分析后,我们可以找到在攻击发生时数据流所具有的特征。
一、利用数据流特征来检测攻击的思路
扫描时,攻击者首先需要自己构造用来扫描的IP数据包,通过发送正常的和不正常的数据包达到计算机端口,再等待端口对其响应,通过响应的结果作为鉴别。我们要做的是让IDS系统能够比较准确地检测到系统遭受了网络扫描。考虑下面几种思路:
1.特征匹配。找到扫描攻击时数据包中含有的数据特征,可以通过分析网络信息包中是否含有端口扫描特征的数据,来检测端口扫描的存在。如UDP端口扫描尝试:content:“sUDP”等等。
2.统计分析。预先定义一个时间段,在这个时间段内如发现了超过某一预定值的连接次数,认为是端口扫描。
3.系统分析。若攻击者对同一主机使用缓慢的分布式扫描方法,间隔时间足够让入侵检测系统忽略,不按顺序扫描整个网段,将探测步骤分散在几个会话中,不导致系统或网络出现明显异常,不导致日志系统快速增加记录,那么这种扫描将是比较隐秘的。这样的话,通过上面的简单的统计分析方法不能检测到它们的存在,但是从理论上来说,扫描是无法绝对隐秘的,若能对收集到的长期数据进行系统分析,可以检测出缓慢和分布式的扫描。
二、检测本地权限攻击的思路
行为监测法、文件完备性检查、系统快照对比检查是常用的检测技术。虚拟机技术是下一步我们要研究的重点方向。
1.行为监测法。由于溢出程序有些行为在正常程序中比较罕见,因此可以根据溢出程序的共同行为制定规则条件,如果符合现有的条件规则就认为是溢出程序。行为监测法可以检测未知溢出程序,但实现起来有一定难度,不容易考虑周全。行为监测法从以下方面进行有效地监测:一是监控内存活动,跟踪内存容量的异常变化,对中断向量进行监控、检测。二是跟踪程序进程的堆栈变化,维护程序运行期的堆栈合法性。以防御本地溢出攻击和竞争条件攻击。
监测敏感目录和敏感类型的文件。对来自www服务的脚本执行目录、ftp服务目录等敏感目录的可执行文件的运行,进行拦截、仲裁。对这些目录的文件写入操作进行审计,阻止非法程序的上传和写入。监测来自系统服务程序的命令的执行。对数据库服务程序的有关接口进行控制,防止通过系统服务程序进行的权限提升。监测注册表的访问,采用特征码检测的方法,阻止木马和攻击程序的运行。
2.文件完备性检查。对系统文件和常用库文件做定期的完备性检查。可以采用checksum的方式,对重要文件做先验快照,检测对这些文件的访问,对这些文件的完备性作检查,结合行为检测的方法,防止文件覆盖攻击和欺骗攻击。
3.系统快照对比检查。对系统中的公共信息,如系统的配置参数,环境变量做先验快照, 检测对这些系统变量的访问,防止篡改导向攻击。
4.虚拟机技术。通过构造虚拟x86计算机的寄存器表、指令对照表和虚拟内存,能够让具有溢出敏感特征的程序在虚拟机中运行一段时间。这一过程可以提取与有可能被怀疑是溢出程序或与溢出程序程序相似的行为,比如可疑的跳转等和正常计算机程序不一样的地方,再结合特征码扫描法,将已知溢出程序代码特征库的先验知识应用到虚拟机的运行结果中,完成对一个特定攻击行为的判定。
虚拟机技术仍然与传统技术相结合,并没有抛弃已知的特征知识库。虚拟机的引入使得防御软件从单纯的静态分析进入了动态和静态分析相结合的境界,在一个阶段里面,极大地提高了已知攻击和未知攻击的检测水平,以相对比较少的代价获得了可观的突破。在今后相当长的一段时间内,虚拟机在合理的完整性、技术技巧等方面都会有相当的进展。目前国际上公认的、并已经实现的虚拟机技术在未知攻击的判定上可达到80%左右的准确率。
三、后门留置检测的常用技术
1.对比检测法。检测后门时,重要的是要检测木马的可疑踪迹和异常行为。因为木马程序在目标网络的主机上驻留时,为了不被用户轻易发现,往往会采取各种各样的隐藏措施,因此检测木马程序时必须考虑到木马可能采取的隐藏技术并进行有效地规避,才能发现木马引起的异常现象从而使隐身的木马“现形”。 常用的检测木马可疑踪迹和异常行为的方法包括对比检测法、文件防篡改法、系统资源监测法和协议分析法等。
2.文件防篡改法。文件防篡改法是指用户在打开新文件前,首先对该文件的身份信息进行检验以确保没有被第三方修改。文件的身份信息是用于惟一标识文件的指纹信息,可以采用数字签名或者md5检验和的方式进行生成。
【关键词】扫描 权限后门
信息网络和安全体系是信息化健康发展的基础和保障。但是,随着信息化应用的深入、认识的提高和技术的发展,现有信息网络系统的安全性建设已提上工作日程。
入侵攻击有关方法,主要有完成攻击前的信息收集、完成主要的权限提升完成主要的后门留置等,下面仅就包括笔者根据近年来在网络管理中有关知识和经验,就入侵攻击的对策及检测情况做一阐述。
对入侵攻击来说,扫描是信息收集的主要手段,所以通过对各种扫描原理进行分析后,我们可以找到在攻击发生时数据流所具有的特征。
一、利用数据流特征来检测攻击的思路
扫描时,攻击者首先需要自己构造用来扫描的ip数据包,通过发送正常的和不正常的数据包达到计算机端口,再等待端口对其响应,通过响应的结果作为鉴别。我们要做的是让ids系统能够比较准确地检测到系统遭受了网络扫描。考虑下面几种思路:
1.特征匹配
找到扫描攻击时数据包中含有的数据特征,可以通过分析网络信息包中是否含有端口扫描特征的数据,来检测端口扫描的存在。如udp端口扫描尝试:content:“sudp”等等。
2.统计分析
预先定义一个时间段,在这个时间段内如发现了超过某一预定值的连接次数,认为是端口扫描。
3.系统分析
若攻击者对同一主机使用缓慢的分布式扫描方法,间隔时间足够让入侵检测系统忽略,不按顺序扫描整个网段,将探测步骤分散在几个会话中,不导致系统或网络出现明显异常,不导致日志系统快速增加记录,那么这种扫描将是比较隐秘的。这样的话,通过上面的简单的统计分析方法不能检测到它们的存在,但是从理论上来说,扫描是无法绝对隐秘的,若能对收集到的长期数据进行系统分析,可以检测出缓慢和分布式的扫描。
二、检测本地权限攻击的思路
行为监测法、文件完备性检查、系统快照对比检查是常用的检测技术。虚拟机技术是下一步我们要研究的重点方向。
1.行为监测法
由于溢出程序有些行为在正常程序中比较罕见,因此可以根据溢出程序的共同行为制定规则条件,如果符合现有的条件规则就认为是溢出程序。行为监测法可以检测未知溢出程序,但实现起来有一定难度,不容易考虑周全。行为监测法从以下方面进行有效地监测:一是监控内存活动,跟踪内存容量的异常变化,对中断向量进行监控、检测。二是跟踪程序进程的堆栈变化,维护程序运行期的堆栈合法性。以防御本地溢出攻击和竞争条件攻击。
监测敏感目录和敏感类型的文件。对来自/network/">网络的主机上驻留时,为了不被用户轻易发现,往往会采取各种各样的隐藏措施,因此检测木马程序时必须考虑到木马可能采取的隐藏技术并进行有效地规避,才能发现木马引起的异常现象从而使隐身的木马“现形”。常用的检测木马可疑踪迹和异常行为的方法包括对比检测法、文件防篡改法、系统资源监测法和协议分析法等。
2.文件防篡改法
文件防篡改法是指用户在打开新文件前,首先对该文件的身份信息进行检验以确保没有被第三方修改。文件的身份信息是用于惟一标识文件的指纹信息,可以采用数字签名或者md5检验和的方式进行生成。
3.系统资源监测法
系统资源监测法是指采用监控主机系统资源的方式来检测木马程序异常行为的技术。由于黑客需要利用木马程序进行信息搜集,以及渗透攻击,木马程序必然会使用主机的一部分资源,因此通过对主机资源(例如网络、cpu、内存、磁盘、usb存储设备和注册表等资源)进行监控将能够发现和拦截可疑的木马行为。
4.协议分析法
协议分析法是指参照某种标准的网络协议对所监听的网络会话进行对比分析,从而判断该网络会话是否为非法木马会话的技术。利用协议分析法能够检测出采取了端口复用技术进行端口隐藏的木马。
参考文献:
计算机感染病毒的一些症状
一般情况下,遭计算机病毒感染可能出现的症状如下:键盘、打印、显示有异常现象;运行速度突然减慢i计算机系统出现异常死机或死机频繁:文件的长度内容、属性、日期无故改变:丢失文件、丢失数据;系统引导过程变慢;计算机存储系统的存储容量异常或有不明常驻程序;系统不认识磁盘或是硬盘不能开机;整个目录变成一堆乱码;硬盘的指示灯无缘无故地亮了;计算机系统蜂鸣器出现异常声响:没做写操作时出现“磁盘写保护”信息:异常要求用户输入121令:程序运行出现异常现象或不合理的结果。总之,任何的异常现象都可以怀疑计算机病毒的存在,但异常情况并不一定说明系统内肯定有病毒,要真正的确定,必须通过适当的检测手段来确认。
计算机病毒主要特点
主动通过网络和邮件系统传播;传播速度极快;危害性极大;变种多;难于控制;难于根治、容易引起多次疫情;具有病毒、蠕虫和后门(黑客)程序的功能。潜伏性。有些计算机病毒并不是一浸入你的机器,就会对机器造成破坏,它可能隐藏合法文件中,静静地呆几周或者几个月甚至几年,具有很强的潜伏性,一旦时机成熟就会迅速繁殖、扩散。
隐蔽性。计算机病毒是一种具有很高编程技巧、短小精悍的可执行程序,如不经过程序代码分析或计算机病毒代码扫描,病毒程序与正常程序是不容易区别开来的。
破坏性。任何计算机病毒浸入到机器中,都会对系统造成不同程度的影响。轻者占有系统资源,降低工作效率,重者数据丢失、机器瘫痪。
除了上述四点外,计算机病毒还具有不可预见性、可触发性、衍生性、针对性、欺骗性、持久性等特点。正是由于计算机病毒具有这些特点,给计算机病毒的预防、检测与清除工作带来了很大的难度。
计算机病毒诊断方法
通常计算机病毒的检测方法有两种:
(一)手工检测。是指通过一些软件工具(如、PCTOOLS.EXE、、SYSINFO.EXE等)提供的功能进行病毒的检测。这种方法比较复杂,需要检测者熟悉机器指令和操作系统,因而无法普及。它的基本过程是利用一些工具软件,对易遭病毒攻击和修改的内存及磁盘的有关部分进行检查,通过和正常情况下的状态进行对比分析,来判断是否被病毒感染。这种方法检测病毒,费时费力,但可以剖析新病毒,检测识别未知病毒,可以检测一些自动检测工具不认识的新病毒。
(二)自动检测。是指通过一些诊断软件来判读一个系统或一个软盘是否有毒的方法。自动检测则比较简单,一般用户都可以进行,但需要较好的诊断软件。这种方法可方便地检测大量的病毒,但是,自动检测工具只能识别已知病毒,而且自动检测工具的发展总是滞后于病毒的发展,所以检测工具对未知病毒很难识别。
特洛伊木马攻击的防范措施
特洛伊木马是在执行看似正常的程序时,还同时运行了未被察觉的有破坏性的程序;木马通常能够将重要的信息传送给攻击者,而且攻击者可以把任意数量的程序植入木马,计算机一旦感染上木马程序,后果不堪设想。那么,对于木马的防范我们可以采取以下措施:
(一)运行反木马实时监控程序
我们在上网时,必需运行反木马实时监控程序。例如the cleaner,它的实时监控程序TCA,可即时显示当前所有运行程序并有详细的描述信息。另外,也可采用一些专业的最新杀毒软件、个人防火墙进行监控。
(二)不要执行任何来历不明的软件。对于从网上下载的软件在安装、使用之前一定要用反病毒软件进行检查,确定没有木马程序再执行、使用。
(三)不要轻易打开不熟悉的邮件。现在,很多木马程序附加在邮件附件中,收邮件者一旦点击附件,它就会立即运行。所以,千万不要打开那些不熟悉的邮件,特别是标题有点乱的邮件,往往就是木马携带者。
(四)不要轻信他人。不要因为是我们的好朋友发来的软件就运行,因为我们不能确保他的电脑就不会有木马程序。当然,好朋友故意欺骗的可能性不大,但也许他(她)中了木马程序自己还不知道呢!况且今天的互联网到处充满危机,也许是别人冒名给我们发的邮件。
(五)不要随便下载软件、视频文件。不要随便在网上下载一些盗版软件和视频文件、特别是不可靠的小FTP站、公众新闻级、论坛或BBS上,因为这些地方正是新木马的首先之地。
(六)将windows资源管理器配置成始终显示扩展名。因为一些扩展名为:VBS、SHS、PIF的文件多为木马程序的特征文件,一经发现要立即删除,千万不要打开。
(七)尽量少用共享文件夹。如果计算机连接在互联网或局域网上,要少用,尽量不用共享文件夹,如果因工作等其他原因必需设置成共享,则最好单独开一个共享文件夹,把所有需共享的文件都放在这个共享文件夹中。注意,千万不要把系统目录设置成共享!
(八)隐藏IP地址。我们在上网时,最好用一些工具软件隐藏自己计算机的IP地址。例如,使用ICQ时,可以进入“ICQMenu\Securi-ty&Privacy”,把“IP Publishing”下面的“Do not Publish IP address”选项上。
总之,根据计算机病毒的传播特点,防治计算机病毒关键是注意以下几点:
要提高对计算机病毒危害的认识。计算机病毒再也不是象过去那样的无关紧要的小把戏了,在计算机应用高度发达的社会,计算机病毒对信息网络破坏造成的危害越来越大大。 养成使用计算机的良好习惯。对重要文件必须保留备份、不在计算机上乱插乱用盗版光盘和来路不明的盘,经常用杀毒软件检查硬盘和每一张外来盘等。 大力普及杀毒软件,充分利用和正确使用现有的杀毒软件,定期查杀计算机病毒,并及时升级杀毒软件。有的用户对杀毒软件从不升级,仍用几年前的老版本来对付新病毒;有的根本没有启用杀毒软件;还有的则不会使用杀毒软件的定时查杀等功能。 及时了解计算机病毒的发作时间,及时采取措施。大多数计算机病毒的发作是有时间限定的。如CIH病毒的三个变种的发作时间就限定为4月26日、6月26日、每月26日。特别是在大的计算机病毒爆发前夕。 开启计算机病毒查杀软件的实时监测功能,特别是有利于及时防范利用网络传播的病毒,如一些恶意脚本程序的传播。 加强对网络流量等异常情况的监测,做好异常情况的技术分析。对于利用网络和操作系统漏洞传播的病毒,可以采取分割区域统一清除的办法,在清除后要及时采取打补丁和系统升级等安全措施。 有规律的备份系统关键数据,建立应对灾难的数据安全策略,如灾难备份计划(备份时间表、备份方式、容灾措施)和灾难恢复计划,保证备份的数据能够正确、迅速地恢复。
【关键词】网页木马 机理 防御方法
网页木马是一种以特定的页面元素作为攻击对象,利用浏览器及插件中的漏洞,在用户的服务器终端进行攻击和控制的程序。网页木马制作简单、传播速度快,而且破坏力强,能够隐蔽的将恶意的程序植入在用户的客户端,给用户的电脑软件造成破坏,危害用户的信息安全。近年来,研究者针对网页木马的机理和防御做了很多的研究,现总结如下。
1 网页木马的定义
网页木马的本质是一组恶意的网页代码。黑客通过在特定的网页或者系统中进行木马程序的植入。在用户下载或者执行包含的恶意文件时,隐藏的木马程序通过计算机的漏洞侵入到客户端的计算机中,远程控制客户端的资源。通过修改客户端的文件、下载用户的文件或者随意的客户端的计算机注册表和系统文件,窃取对方的计算机信息资料,甚至造成对方计算机的瘫痪。
一般情况下,网页木马表现为一组相互之间有链接关系的、含有恶意的程序代码的网页界面。相比于蠕虫等传统的具有自我复制功能的网络病毒,网页木马还可以在的终端端对用户的网页进行实时的控制,而且这种攻击方式对于防火墙的检测来说不易发现,可以有效地在用户的电脑中顺利进行恶意代码的植入,盗取个人信息和破坏电脑程序更加的方便。而且由于现代网络的普及,黑客可以利用网页木马进行盗用股票账号、信用卡账号等,以此来获取经济利益。因此,现代网页木马的危害性更大。
2 网页木马的工作原理
现代网页木马在进行网页侵入的时候,通常是采用一种被动攻击的模式。一般是根据某个浏览器或者电脑的插件的具体的常见漏洞而开发的,黑客将网页木马设置在服务器的终端,并事先对攻击的页面进行设定。当用户发起特定的网页访问请求的时候,网页木马的服务器对用户的行为作出回应,将包含木马的页面内容发送到用户的客户端。一旦发送成功,隐藏的木马页面被浏览器加载,而其中的特定程序在浏览器中被执行并通过利用电脑程序的漏洞进行下载、安装、执行某些恶意程序。由此可见,网页木马的特点是隐蔽性,可以在不知不觉中对用户的电脑程序造成影响。其安装时被动式的,但是可以有效地对抗电脑的防火墙,对于用户来说很难防范。
通常情况下,木马的攻击步骤包括以下几个方面:首先是木马的植入,木马程序在客户端电脑植入后,能够自动的进行程序的启动哈运行,对目标主机进行实施的控制。在此过程中,可以修改系统的文件,实现文件的自动加载;修改计算机系统的注册表,以掌握计算机的核心配置文件;或者对系统进行服务程序的添加,导致只要系统启动,就会运行木马的现象;修改文件的关联属性,导致文件的运行与木马的运行同步;此外还可以利用程序的自动运行的一些程序,实现自动化的运行,对系统的DLL进行更改等。其次,是由于木马的隐藏功能对计算机用户造成的危害,木马可以将其程序注册为服务,进行深度的隐藏;还可以使用可变的高端口或者系统的服务端口,进行有效的隐藏。在此,木马程序具有的监控技术。可以实现对客户机器的信息窃取,对用户的实践进行记录以及远程的进行目标机器的鼠标和键盘的管理和控制,对于客户端用户来说危害极大。
3 网页木马的漏洞利用机理
前面提到网页木马主要是通过用户的客户端浏览器或者插件的漏洞以实现对电脑的入侵的。在相应的漏洞下,绕过网络的防火墙,获得一定的执行权限,以实现恶意程序的下载与执行的最终目的。现阶段,网页木马多采用的Java Script 脚本语言进行编写,一般情况下电脑的浏览器可以为此种语言与相关插件(API)之间的交互作用提供便利,网页木马程序可以很方便的通过调用其中的不安全语言编程,导致插件出现漏洞。而且,黑客也可以通过对脚本进行灵活的运用,对反病毒引擎的安全检查进行混淆。因此,网页木马可以利用的程序漏洞主要有任意下载 的API 类漏洞和内存破坏漏洞。
前者主要存在与一些浏览器的插件中,很多浏览器中通常都会存在一些用来下载、上传、等功能的插件。而插件在安装的过程中,通常不受到重视。如果在API 中未进行安全检查,就会存在网页木马进行直接的利用的危险。
后者主要主要分为是三种,分别为 use-after-free 型漏洞、溢出漏洞和浏览器解析漏洞三种。网页木马可以利用Java Script, Vb Script脚本向存在漏洞的浏览器内存中进行恶意的传输一些执行指令,导致相应的执行流跳转被触发,在控制下相应的程序进行下载和执行恶意的程序。
4 网页木马的防御方法
4.1 木马检测
首先是在日常使用电脑的过程中,尤其是进行文件的下载过程中,应该注意木马的监测。常见的检测方法有端口的扫描,对系统的进程进行检查以及对.ini 文件、计算机的注册表以及服务进行经常的检查,或者对网络的通讯设备进行检查,通过定期的检查可以及时的发现木马,防止电脑被网页木马侵入,降低用户的损失。
4.2 木马的清除
一旦在电脑中发现木马的侵入,我们应该明确木马的加载部位及时的清除木马的登记部位,切断木马开机启动的功能。但是有些木马侵入的计算机注册变,会出现自动恢复的现象,因此操作者应该实现停止木马程序后再进行删除的操作。但是,目前的木马种类众多,攻击性和隐藏性越来越强,为了实现有效地查杀,还要借助专业的杀毒软件进行清除。
4.3 木马的防范
木马的防范应该从多方面入手,全面提高计算机的安全性。首先应该对计算机的漏洞进行及时的修补,安装补丁,防止被恶意的程序利用。其次,我们可以采用反病毒软件对程序进行实时的监控,经常进行软件的更新,下载专门的木马清除软件,对电脑进行木马的清除。再者用户应该增强防范意识,不随意下载软件,尤其是不规范网站的软件,最后,现阶段提出的基于网站服务器端进行网页挂马的防范,也是一个非常有效的方法。
综上所述,为了更好的使用计算机为我们的生活服务,我们应该了解网页木马的危害,及时的进行检测、防范和清除,杜绝网页木马的出现,提高信息的安全性。
参考文献
[1]张慧琳,邹维,韩心慧.网页木马机理与防御技术[J].软件学报,2013,04:843-858.
[2]郑云鹏.网页木马机理与防范对策[J]. 电子技术与软件工程,2014,12:233.
作者单位
关键词:Android 安全问题 入侵检测系统
中图分类号:TP39 文献标识码:A 文章编号:1672-3791(2012)06(c)-0030-02
随着3G通信网络的普及,智能手机市场份额大幅提升,其中Android智能手机占市场份额最大,获得52.5%的市场占有率[1]。由于Android智能手机用户数庞大、开源性强,用户可自行安装软件、游戏等第三方服务商提供的程序,很多病毒攻击者把矛头指向了它,制造了大量Android木马,这严重影响了Android智能手机用户的日常使用。如何有效的预防智能手机平台上的入侵攻击已经成为亟待解决的问题。Iker Burguera、Urko Zurutuza等人提出了Behavior-Based Malware Detection System for Android[2],Amir Houmansadr、Saman A.Zonouz和Robin Berthier提出了一个基于云端服务器的Android智能手机入侵检测及响应系统[3]。Android智能手机平台的入侵检测系统能及时有效的检测到入侵攻击,为用户提供一个安全的使用环境。
1 Android智能手机存在的安全隐患
2011年,Android木马呈现爆发式增长,新增Android木马样本4722个,被感染人数超过498万人次[1]。虽然Android平台的开源、开放、免费等特性为google带来了大量的市场占有率,但是这也给消费者带来了不少安全隐患,成为新的移动互联网安全检测主战场[1]。Android智能手机存在如下几点安全问题。
(1)恶意扣费。据360安全中心调查,78%的Android平台手机木马旨在悄悄吞噬用户的手机话费。“白卡吸费磨”、“Android吸费王”等都是使Android用户闻之色变的恶意扣费软件。这些恶意扣费软件安装后会私自发送短信定制费用高昂的SP服务,并自动屏蔽以10086开头的全部短信,在用户不知不觉的情况下偷偷消耗用户话费。
(2)窃取用户隐私。除恶意扣费外,Android平台木马的另一主要危害是窃取用户隐私。比如震惊全球的“CIQ事件”、DDL“隐私大盗”木马、“索马里海盗”木马及“X卧底”系列木马等。它们瞄准了手机通讯录、照片、短信、设备信息等用户隐私,将用户的个人信息出卖给其他不合法商家,从中牟取暴利。
(3)垃圾短信。在用户举报的各类垃圾短信中,主要是打折促销、发票假证、地产中介、移民留学、金融理财等广告服务类短信,另外就是冒充亲友欺诈、中奖钓鱼诈骗、虚假慈善捐款等恶意欺诈类短信。
(4)系统破坏。有些病毒,如“Root破坏王”,可以自动获取手机Root权限,然后随意修改添加文件,删除系统应用,私自下载恶意软件,而且这一切都是隐蔽进行的。
2 Android智能手机入侵检测系统设计
传统计算机上的入侵检测系统定义为:一种通过收集和分析各种系统行为、安全日志、审计数据或网络数据包,检查系统中是否有未经授权的进入和有不良企图的活动等入侵攻击,并及时予以响应,阻止可能的入侵行为,降低甚至避免入侵危害的积极进程或设备。在当下,智能手机与个人计算机越来越靠近,智能手机已经基本具备了个人计算机所具有的功能,因此Android智能手机平台上的入侵检测系统与传统计算机上的入侵检测系统模型相似。如图1所示,Android智能手机入侵检测系统主要包括以下几部分:数据采集模块、数据分析引擎模块、控制台模块、数据管理模块,各部分功能如以下几点。
(1)数据采集模块。
数据采集模块主要负责采集数据,采集的数据包括任何可能包含入侵行为线索的系统数据。比如说网络数据包、用户行为日志和系统调用记录等。其将这些数据收集起来,然后发送到数据分析模块进行处理[4]。
由于Android平台手机上的安全问题大部分是通过网络引发的(比如通过用户点击链接而偷偷定制SP服务、恶意软件私自发送短信定制SP服务、窃取用户隐私上传到特定服务器等),所以在此处我们只采集进出手机的所有网络数据包。此模块主要基于开源的libpcap包。
(2)数据分析引擎。
收集到的所有数据被送到数据分析引擎,分析引擎一般通过三种技术手段进行分析:模式匹配、统计分析和完整性分析[5]。
在本系统设计初期,我们根据Android平台手机上恶意软件攻击行为的特征罗列出一定数量的规则组成规则集,然后在此规则集的基础上建立分析引擎的核心——有限自动机。考虑到这样一来入侵检测范围很大程度受到已有知识的局限,无法检测出未知的攻击手段[6],在系统设计后期,我们会通过机器学习的方法来动态建立自动机,这样就能动态的检测到所有的入侵攻击。
分析引擎将发送过来的数据与自动机进行匹配,即与规则集中的各种规则进行比较与分析,以判断是否有入侵事件发生。如果数据与自动机匹配成功,就意味着检测到一个入侵攻击,此时分析引擎会给控制台发送一个检测到入侵攻击的消息,同时把此网络数据包发送给数据管理模块。
(3)控制台模块。
控制台模块按照警告产生预先定义的响应采取相应的措施,可以是重新配置网络防火墙、终止进程、切断连接、改变文件属性,也可以只是简单的警告[5]。当发现入侵攻击时,本系统会向用户产生一个警告,告知用户是哪个应用程序隐含安全隐患,用户可根据这个警告采取相应的措施。
(4)数据管理模块。
一个好的入侵检测系统不仅仅应当为管理员提供实时、丰富的警报信息,还应详细地记录现场数据,以便于日后需要取证时重建某些网络事件[5]。
当检测到入侵攻击时,本系统会把相应的数据存储到指定数据库,以供用户日后查证。数据库采用Android平台内置的sqlite3轻量级数据库实现。由于Android系统存储空间有限,当数据量到达一定大小时,可以转储到pc机上或者定时清理。
3 结语
计算机上的入侵检测系统研究一直都是网络安全领域的研究热点,并且也有了一定的研究成果。随着智能手机安全问题日趋严重,智能手机上的入侵检测系统也将成为全球性的课题。Android智能手机入侵检测系统能及时有效的检测到入侵攻击,保障用户的安全使用。
参考文献
[1] 360安全中心2011年中国手机安全状况报告.
[2] Iker Burguera,Urko Zurutuza,Simin Nadjm-Tehrani.Crowdroid:Behavior-Based Malware Detection System for Android[J].18th ACM Conference on Computer and Communications Security.
[3] Amir Houmansadr,Saman A.Zonouz,Robin Berthier.A Cloud-based Intrusion Detection and Response System for Mobile Phones[J].2011 IEEE/IFIP 41st International Conference on Dependable System and Networks.
[4] 唐正军,李建华.入侵检测技术[M].北京:清华大学出版社,2004.
【 关键词 】 高级隐遁技术;高级持续性攻击;检测方法
China’s Situation of Protection Techniques against Special Network Attacks
Xu Jin-wei
(The Chinese PLA Zongcan a Research Institute Beijing 100091)
【 Abstract 】 By the end of 2013,the author visited more than ten domestic well-known information security companies to make a special investigation and research on the focused “APT” attack issue. During the visit, the author made deeply exchange and discussion with the first-line professional research and management personnel and gained much knowledge. This article mainly introduces the present situation of protect technology construction by some of domestic information security companies against network attacks, as an inspiration to the colleagues?and units in the information security industry.
【 Keywords 】 advanced evasion techniques; advanced persistent threat; detection methods
1 引言
2010年发生的“震网”病毒对伊朗布什尔核电站离心机的攻击和2013年的“斯诺登”事件,标志着信息安全进入了一个全新的时代:新型攻击者(国家组织的专业团队),采用全新的方式(APT[注1])攻击国家的重要基础设施。
APT攻击因其采用了各种组合隐遁技术,具有极强的隐蔽攻击能力,传统的依赖攻击特征库比对模式的IDS/IPS无法检测到它的存在,APT攻击得手后并不马上进行破坏的特性更是难以发觉。它甚至能在重要基础网络中自由进出长时间潜伏进行侦察活动,一旦时机成熟即可通过在正常网络通道中构筑的隐蔽通道盗取机密资料或进行目标破坏活动,APT的出现给网络安全带来了极大危害。目前在西方先进国家,APT攻击已经成为国家网络安全防御战略的重要环节。例如,美国国防部的High Level网络作战原则中,明确指出针对APT攻击行为的检测与防御是整个风险管理链条中至关重要也是最基础的组成部分。
从资料中得知,国外有些著名的信息安全厂商和研究机构,例如美国电信公司Verizon Business的ICSA实验室,芬兰的Stonesoft公司几年前就开展了高级隐遁技术的研究;2013年美国的网络安全公司FireEye(FEYE)受到市场追捧,因为FireEye能够解决两大真正的安全难题――能够阻止那种许多公司此前无法阻止的网络攻击,即所谓的“零天(Zeroday)”攻击和“高级持续性威胁(APT)”。零天攻击是指利用软件厂商还未发现的软件漏洞来发动网络攻击,也就是说,黑客在发现漏洞的当天就发动攻击,而不会有延迟到后几天再发动攻击,软件厂商甚至都来不及修复这些漏洞。高级持续性威胁则是由那些想进入特殊网络的黑客所发动的一系列攻击。FireEye的安全应用整合了硬件和软件功能,可实时通过在一个保护区来运行可疑代码或打开可疑电子邮件的方式来查看这些可疑代码或可疑电子邮件的行为,进而发现黑客的攻击行为。
APT攻击的方式和危害后果引起了我国信息安全管理机构和信息安全专业检测及应急支援队伍的高度重视。国家发改委在关于组织实施2013年信息安全专项通知中的 “信息安全产品产业化”项目中,首次明确指明“高级可持续威胁(APT)安全监测产品”是支持重点产品之一。我国的众多信息安全厂商到底有没有掌握检测和防护APT的技术手段?2013年底,带着这个疑问专门走访了几家对此有研究和技术积累的公司,听取了他们近年来在研究防护APT攻击方面所取得的成果介绍,并与技术人员进行了技术交流。
2 高级隐遁技术(AET[注2])
根据IMB X-force小组针对2011年典型攻击情况的采样分析调查,如图1所示可以看出,有许多的攻击是未知(Unknown)原因的攻击。Gartner《Defining Next-Generation Network Intrusion Prevention》文章中也明确提出了利用先进技术逃避网络安全设备检查的事件越来越多。同时,NSS Lab最新的IPS测试标准《NSS Labs ips group 渗透测试工具t methodology v6.2》,已经把layered evasion(也就是AET)作为必须的测试项。
结合近年情况,各国基础网络和重要信息系统所面临的最新和最大的信息安全问题,即APT攻击,我们相信高级隐遁技术有可能已经在APT中被黑客广泛采用。
目前,各企事业单位为了应对网络外部攻击威胁,均在网络边界部署了入侵检测系统(简称IDS)和入侵防御系统(简称IPS),这些措施确实有效地保护了企业内部网络的安全。黑客们为了试图逃避IPS这类系统的检测,使用了大量的逃避技术。近年来,国外信息安全机构发现了一套新型逃避技术,即将以前的逃避技术进行各种新的组合,以增加IPS对入侵检测的难度。这些新型逃避技术,我们称之为高级隐遁技术(AET)。AET可利用协议的弱点以及网络通信的随意性,从而使逃避技术的数量呈指数级增长,这些技术的出现对信息安全而言无疑是个新的挑战。
使用畸形报头和数据流以及迷惑性代码调用的AET攻击的原理:包含AET攻击代码的非常规IP数据流首先躲避过IDS/IPS的检测,悄悄渗透到企业网中;之后,这些数据流被用规范方式重新组装成包并被发送至目标终端上。以上过程看似正常,但这样的IP包经目标终端翻译后,则会形成一个可攻击终端系统的漏洞利用程序,从而给企业的信息资源造成大规模破坏,只留下少量或根本不会留下任何审计数据痕迹,这类攻击就是所谓的隐遁攻击。
2.1 常见的高级隐遁技术攻击方法
常见的高级隐遁技术攻击方法有字符串混淆、加密和隧道、碎片技术和协议的违规。这些仅列举了TCP协议某层的几种隐遁攻击的技术,实际上高级隐遁技术千变万化,种类叠加后更是天文数字。
2.2 高级隐遁技术的测试
为了研究AET的特点,研发AET检测、防护工具,国内有必要搭建自己的高级隐遁监测审计平台来对现有的网络安全设备进行测试和分析,并根据检测结果来改进或重新部署现有网络中的网络安全设备。
国内某信息安全公司最近研制成功一款专门针对高级隐遁技术测试的工具CNGate-TES。CNGate-TES有针对CVE-2008-4250/CVE-2004-1315/CVE-2012-0002漏洞的各种组合、叠加隐遁模拟的测试工具,从IP、TCP、NetBios、SMB、MSRPC、HTTP等各层都有自己相应的隐遁技术。各个层之间的隐遁可以互相叠加组合,同一层内的隐遁技术也可以互相叠加组合。
测试的目的是检验网络中的IDS/IPS是否具备检测和防护AET的能力。
CNGate-TES测试环境部署如图2所示。
3 下一代威胁与 APT
下一代威胁主要是指攻击者采取了现有检测体系难以检测的方式(未知漏洞利用、已知漏洞变形、特种木马等),组合各种其他手段(社会工程、钓鱼、供应链植入等),有针对性地对目标发起的攻击。这种攻击模式能有效穿透大多数公司的内网防御体系,攻击者成功控制了内网主机之后,再进行内部渗透或收集信息。
对信息系统的下一代威胁和特征有几点。
0DAY漏洞威胁:0DAY漏洞由于系统还未修补,而大多数用户、厂商也不知道漏洞的存在,因此是攻击者入侵系统的利器。也有很多利用已修复的漏洞,但由于补丁修复不普遍(如第三方软件),通过变形绕过现有基于签名的检测体系而发起攻击的案例。
多态病毒木马威胁:已有病毒木马通过修改变形就可以形成一个新的未知的病毒和木马,而恶意代码开发者也还在不断开发新的功能更强大的病毒和木马,他们可以绕过现有基于签名的检测体系发起攻击。
混合性威胁:攻击者混合多种路径、手段和目标来发起攻击,如果防御体系中存在着一个薄弱点就会被攻破,而现有安全防御体系之间缺乏关联而是独立防御,即使一个路径上检测到威胁也无法将信息共享给其他的检测路径。
定向攻击威胁:攻击者发起针对具体目标的攻击,大多数情况下是从邮件、IM、SNS发起,因为这些系统账户背后标记的都是一个真实固定的人,而定向到人与他周边的关系,是可以在和攻击者目标相关的人与系统建立一个路径关系。定向攻击如果是小范围发起,并和多种渗透手段组合起来,就是一种APT攻击,不过定向攻击也有大范围发起的,这种情况下攻击者出于成本和曝光风险考虑,攻击者往往使用已知的安全漏洞来大规模发起,用于撒网和捞鱼(攻击一大片潜在受害者,再从成功攻击中查找有价值目标或作为APT攻击的渗透路径点)。
高级持续性威胁: APT是以上各种手段(甚至包括传统间谍等非IT技术手段)的组合,是威胁中最可怕的威胁。APT是由黑客团队精心策划,为了达成即定的目标,长期持续的攻击行为。攻击者一旦攻入系统,会长期持续的控制、窃取系统信息,关键时也可能大范围破坏系统,会给受害者带来重大的损失(但受害者可能浑然不知)。APT攻击,其实是一种网络情报、间谍和军事行为。很多时候,APT都具有国家和有政治目的组织的背景,但为了商业、知识产权和经济目的的APT攻击,也不少见。
3.1 APT攻击过程和技术手段
APT攻击可以分为大的三个环节,每个环节具体的工作内容,如图3所示。
在攻击前奏环节,攻击者主要是做入侵前的准备工作。主要是收集信息:了解被攻击目标的IT环境、保护体系、人际关系、可能的重要资产等信息,用于指导制定入侵方案,开发特定的攻击工具。在收集信息时,攻击者可以利用多种方式来收集信息,主要有网络公开信息收集、钓鱼收集、人肉搜集、嗅探、扫描等,信息收集是贯穿全攻击生命周期的,攻击者在攻击计划中每获得一个新的控制点,就能掌握更多的信息,指导后续的攻击。
技术准备:根据获取的信息,攻击者做相应的技术准备,主要有入侵路径设计并选定初始目标,寻找漏洞和可利用代码及木马(漏洞、利用代码和木马,我们统称为攻击负载),选择控制服务器和跳板。
周边渗透准备:入侵实际攻击目标可信的外部用户主机、外部用户的各种系统账户、外部服务器、外部基础设施等。
在入侵实施环节,攻击者针对实际的攻击目标,展开攻击;主要内容有攻击者利用常规的手段,将恶意代码植入到系统中;常见的做法有通过病毒传播感染目标、通过薄弱安全意识和薄弱的安全管理控制目标,利用缺陷入侵、漏洞入侵、通过社会工程入侵、通过供应链植入等。
SHELLCODE执行:大多数情况攻击者利用漏洞触发成功后,攻击者可以在漏洞触发的应用母体内执行一段特定的代码(由于这段代码在受信应用空间内执行,很难被检测),实现提权并植入木马。
木马植入:木马植入方式有远程下载植入、绑定文档植入、绑定程序植入、激活后门和冬眠木马。
渗透提权:攻击者控制了内网某个用户的一台主机控制权之后,还需要在内部继续进行渗透和提权,最终逐步渗透到目标资产存放主机或有特权访问攻击者目标资产的主机上,到此攻击者已经成功完成了入侵。
在后续攻击环节,攻击者窃取大量的信息资产或进行破坏,同时还在内部进行深度的渗透以保证发现后难以全部清除,主要环节有价值信息收集、传送与控制、等待与破坏;一些破坏性木马,不需要传送和控制,就可以进行长期潜伏和等待,并按照事先确定的逻辑条件,触发破坏流程,如震网,探测到是伊朗核电站的离心机环境,就触发了修改离心机转速的破坏活动,导致1000台离心机瘫痪。
深度渗透:攻击者为了长期控制,保证被受害者发现后还能复活,攻击者会渗透周边的一些机器,然后植入木马。
痕迹抹除:为了避免被发现,攻击者需要做很多痕迹抹除的工作,主要是销毁一些日志,躲避一些常规的检测手段等。
3.2 APT检测方法
随着APT攻击被各国重视以来,一些国际安全厂商逐步提出了一些新的检测技术并用于产品中,并且取得了良好的效果,这些检测技术主要有两种。
虚拟执行分析检测:通过在虚拟机上执行检测对抗,基于运行行为来判定攻击。这种检测技术原理和主动防御类似,但由于不影响用户使用,可以采用更深更强的防绕过技术和在虚拟机下层进行检测。另外,可疑可以由对安全研究更深入的人员进行专业判定和验证。国外多家厂商APT检测的产品主要使用该技术。
内容无签名算法检测:针对内容深度分析发现可疑特征,再配合虚拟执行分析检测。该技术需要对各种内容格式进行深入研究,并分析攻击者负载内容的原理性特征。该技术可以帮助快速过滤检测样本,降低虚拟执行分析检测的性能压力,同时虚拟执行分析检测容易被对抗,而攻击原理性特征比较难绕过。国外几个最先进的APT检测厂商检测的产品里部分使用了该技术。
国内某公司总结了近年来对APT攻击特点的研究和检测实践,提出了建立新一代安全检测体系的设想。
3.2.1基于攻击生命周期的纵深检测体系
从攻击者发起的攻击生命周期角度,可以建立一个纵深检测体系,覆盖攻击者攻击的主要环节。这样即使一点失效和被攻击者绕过,也可以在后续的点进行补充,让攻击者很难整体逃逸检测。
信息收集环节的检测:攻击者在这个环节,会进行扫描、钓鱼邮件等类型的刺探活动,这些刺探活动的信息传递到受害者网络环境中,因此可以去识别这类的行为来发现攻击准备。
入侵实施环节的检测:攻击者在这个环节,会有基于漏洞利用的载体、木马病毒的载体传递到受害者网络环境中,因此可以去识别这类的行为和载体来发现攻击发起。
木马植入环节:攻击者在这个环节,会释放木马并突破防御体系植入木马。因此可以去识别这类的行为来发现入侵和入侵成功。
控制窃取与渗透环节:攻击者在这个环节,会收集敏感信息,传递敏感信息出去,与控制服务器通讯,在本地渗透等行为。因此可以去识别已经受害的主机和潜在被攻击的主机。
3.2.2基于信息来源的多覆盖检测
从攻击者可能采用的攻击路径的角度,可以建立一个覆盖广泛的检测体系,覆盖攻击者攻击的主要路径。这样避免存在很大的空区让攻击者绕过,同时增加信息的来源度进行检测。
从攻击载体角度覆盖:攻击者发起攻击的内容载体主要包括:数据文件、可执行文件、URL、HTML、数据报文等,主要发起来源的载体包括邮件、HTTP流量和下载、IM通讯、FTP下载、P2P通讯。
双向流量覆盖:攻击者在信息收集环节、入侵实施环节主要是外部进入内部的流量。但在木马植入环节、控制窃取与渗透环节,则包含了双向的流量。对内部到外部的流量的检测,可以发现入侵成功信息和潜在可疑已被入侵的主机等信息。
从攻击类型角度覆盖:覆盖主要的可以到达企业内容的攻击类型,包括但不限于基于数据文件应用的漏洞利用攻击、基于浏览器应用的漏洞利用攻击、基于系统逻辑的漏洞利用攻击、基于XSS、CSRF的漏洞利用攻击、进行信息收集的恶意程序的窃取、扫描、嗅探等。
从信息来源角度覆盖:主要覆盖网络流来收集流量,但是考虑到加密流量、移动介质带入的攻击等方式,还需要补充客户端检测机制。同时为了发现更多的可疑点,针对主机的日志挖掘,也是一个非常重要的信息补充。
3.2.3基于攻击载体的多维度检测
针对每个具体攻击载体点的检测,则需要考虑多维度的深度检测机制,保证攻击者难以逃过检测。
基于签名的检测:采用传统的签名技术,可以快速识别一些已知的威胁。
基于深度内容的检测:通过对深度内容的分析,发现可能会导致危害的内容,或者与正常内容异常的可疑内容。基于深度内容的检测是一种广谱但无签名检测技术,让攻击者很难逃逸,但是又可以有效筛选样本,降低后续其他深度分析的工作量。
基于虚拟行为的检测:通过在沙箱中,虚拟执行漏洞触发、木马执行、行为判定的检测技术,可以分析和判定相关威胁。
基于事件关联的检测:可以从网络和主机异常行为事件角度,通过分析异常事件与发现的可疑内容事件的时间关联,辅助判定可疑内容事件与异常行为事件的威胁准确性和关联性。
基于全局数据分析的检测:通过全局收集攻击样本并分析,可以获得攻击者全局资源的信息,如攻击者控制服务器、协议特征、攻击发起方式,这些信息又可以用于对攻击者的检测。
对抗处理与检测:另外需要考虑的就是,攻击者可以采用的对抗手段有哪些,被动的对抗手段(条件触发)可以通过哪些模拟环境手段仿真,主动的对抗手段(环境检测)可以通过哪些方式检测其对抗行为。
综上所述,新一代的威胁检测思想,就是由时间线(攻击的生命周期)、内容线(信息来源覆盖)、深度线(多维度检测),构成一个立体的网状检测体系,攻击者可能会饶过一个点或一个面的检测,但想全面地逃避掉检测,则非常困难。只有逐步实现了以上的检测体系,才是一个最终完备的可以应对下一代威胁(包括APT)的新一代安全检测体系。
4 结束语
结合目前我国防护特种网络攻击技术现状,针对AET和APT的防护提出三点建议。
一是国家信息安全主管部门应将高级隐遁攻击和APT技术研究列入年度信息安全专项,引导国内信息安全厂商重点开展针对高级隐遁攻击和高级持续性威胁的防御技术研发,推动我国具有自主知识产权的新一代IDS和IPS产品产业化。
二是有条件的网络安全设备厂商应建设网络攻防实验室,搭建仿真实验环境,对网络IDS/IPS进行高级隐遁技术和APT的攻防测试,收集此类攻击的案例,积累检测和防御此类攻击的方法和经验。
三是在业界成立“防御特种网络攻击”学术联盟,定期开展学术交流并尝试制定特网攻击应急响应的防护技术要求和检测标准。
[注1] APT(Advanced Persistent Threat)直译为高级持续性威胁。这种威胁的特点:一是具有极强的隐蔽能力和很强的针对性;二是一种长期而复杂的威胁方式。它通常使用特种攻击技术(包括高级隐遁技术)对目标进行长期的、不定期的探测(攻击)。
[注2] AET(Advanced Evasion Techniques),有的文章译为高级逃避技术、高级逃逸技术,笔者认为译为高级隐遁技术比较贴切,即说明采用这种技术的攻击不留痕迹,又可躲避IDS、IPS的检测和阻拦。
参考文献
[1] 关于防御高级逃逸技术攻击的专题报告.
[2] Mark Boltz、Mika Jalava、Jack Walsh(ICSA实验室)Stonesoft公司.高级逃逸技术-避开入侵防御技术的新方法和新组合 .
[3] 恶意代码综合监控系统技术白皮书.国都兴业信息审计系统技术(北京)有限公司.
[4] 杜跃进.从RSA2012看中国的网络安全差距.2012信息安全高级论坛.
[5] 张帅.APT攻击那些事.金山网络企业安全事业部.
[6] 徐金伟,徐圣凡.我国信息安全产业现状调研报告.2012.5.
[7] 徐金伟.我国专业公司网络流量监控技术现状. 2012.6.
[8] 北京科能腾达信息技术股份有限公司.CNGate-TES测试手册.
[9] 南京翰海源信息技术有限公司.星云2技术白皮书V1.0.
【关键词】 医院信息系统 网络安全 入侵检测 深度包过滤
一、 引言
随着大数据、云计算和互联网技术的快速发展,医院已经购买了先进的数据库服务器、Web服务器、防火墙服务器、路由器、交换机等设备,组建了现代化的光纤网络,部署了病房管理系统、药房管理系统、远程诊断系统等多个系统,提高了医院的自动化水平[1]。但是,由于医院的医师、护士、管理人员以及患者等多为普通用户,没有经历过专业的计算机操作训练,操作互联网不规范,非常容易造成系统数据泄露,携带的病毒或木R感染医院信息系统,因此亟需构建一个网络安全管理系统,采用先进的网络安全维护技术,比如入侵检测技术、状态检测技术和深度包过滤技术等,保障医院信息系统网络正常运行。
二、医院信息系统网络安全管理现状
医院信息系统承载网络经过多年的运行,面临着许多的安全威胁,比如黑客、病毒和木马等,这些安全威胁在感染、侵袭、破坏网络的过程中呈现出了很多新的特点,比如攻击渠道多样化、感染范围扩大化、潜藏周期长期化[2]。
2.1攻击渠道多样化
目前,医院信息系统覆盖的范围越来越广泛,并且多家医院联合开展诊疗活动也成为一个新趋势,这些医院把智能手机、平板电脑、PC电脑等终端设备接入到网络。这些系统集成时采用的网络拓扑结构包括星型网络、无线网络、总线型网络等,每一个接入的环节都可能成为攻击的渠道,不同设备的开发技术、系统架构集成在一起,也容易造成系统漏洞,无形中增加了互联网攻击渠道。
2.2感染范围扩大化
随着黑客采用的技术增多,开发的病毒、木马拥有了更加强大的感染能力,如果某一个医院信息系统感染病毒或木马之后,其可以利用高速的网络带宽迅速在局域网范围内传播,感染医院局域网中的所有服务器、终端设备,感染范围呈现了扩大化和快速化特点,网络安全事故一旦爆发,将给医院信息系统带来严重的灾难,造成不可估量的损失。
2.3潜藏周期长期化
医院信息系统采用的杀毒软件和防御技术的水平越来越高,普通的病毒、木马一旦爆发将会被识别出来,被防御工具所狙杀。因此,许多黑客改变了传统的破坏模式,隐藏的周期越来越长,长期地、持续地对医院信息系统进行攻击,造成许多的机密数据被盗用。
三、医院信息系统网络安全维护
医院信息系统网络面临的安全威胁形势越来越严峻,因此需要采用先进的网络安全管理和维护技术提高防御能力,常用的网络安全管理和维护技术包括状态检测技术、入侵检测技术和深度包过滤技术,其可以积极主动地分析网络集成的设备运行情况,识别承载的应用软件存在的漏洞,也可以采集网络数据流,发现这些数据中是否存在木马或病毒,一旦发现则启动防御系统。
3.1状态检测技术
医院网络集成的软件系统越来越多,这些系统采用了不同的架构、程序设计语言和数据库,系统集成存在一些不兼容的现象,产生了安全漏洞。状态检测技术可以感知医院网络中接入的所有设备、应用软件的运行状况,根据系统运行的日志信息、网络传输数据流感知上下文信息,构建一个完善的医院网络状态扫描路径图,针对这些路径包含的内容进行实时的扫描,感知医院网络中数据状态内容,确定各个动态的监测项是否正常。
3.2入侵检测技术
医院网络入侵检测可以实时地采集、分析网络中的流量信息,发现网络中是否存在不正常的数据,从数据中发现病毒、木马和黑客攻击的特征,进而可以及时地启动防御系统。入侵检测作为一个主动防御技术,可以积极地对系统进行安全防御,避免攻击威胁利用漏洞攻击网络。
3.3深度包过滤技术
深度包过滤技术可以利用硬件技术,将黑客隐藏在数据包内的威胁识别出来,并且可以将其部署于一个专用的防火墙上,使用硬件快速地采集网络中数据流量包,然后针对包头、包内数据进行分析、识别和处理,及时地发现不正常的数据包。
四、结束语
医院信息系统网络安全管理和维护是一个长期的、系统的和动态的过程,未来需要引入更加先进的数据分析、可视化交互技术,以便提升网络安全管理性能,保证网络安全升级维护的有效性。
参 考 文 献
【摘要】 目的观察不同剂量竹叶对关木通中马兜铃酸a溶出量的影响。方法采用反相高效液相色谱法测定不同剂量竹叶配伍关木通中马兜铃酸a的溶出量。结果关木通马兜铃酸a溶出量为0.106 mg/ml;竹叶与关木通1∶4配伍其溶出量为0.041 mg/ml。结论中药竹叶可明显降低关木通马兜铃酸a溶出量61%;竹叶与关木通以1∶4配比对其马兜铃酸a的溶出量降低最明显。
【关键词】 竹叶; 关木通; 配伍; 马兜铃酸a; 肾毒性
abstract:objectiveto observe the effects of the dissolution of aristolochic acid a in aristolochiae manshuriensis by different doses of bamboo leaf.methodsthe dissolution of aristolochic acid a in different dose bamboo leaf mixed with aristolochiae manshuriensis was determined by rp-hplc.results①the dissolution of aristolochic acid a was 0.106 mg/ml in aristolochiae manshuriensis.②the dissolution of aristolochic acid a was 0.041 mg/ml in bamboo leaf mixed with aristolochiae manshuriensis(the ratio of bamboo leaf and aristolochiae manshuriensis was 1:4).conclusion①bamboo leaf can obviously reduce the dissolution of aristolochic acid a to 61%.②when the ratio of bamboo leaf and aristolochiae manshuriensis is 1:4,the reduction of dissolution of aristolochic acid a is the most significant.
key words:bamboo leaf; aristolochiae manshuriensis; compatibility; aristolochic acid a; nephrotoxicity
20世纪90年代,国内外文献曾报道关木通所含马兜铃酸对肾脏有损害,甚则可致肾衰竭,一些国家也因此禁止部分中药靠岸进入该国。2003年国家中医药管理局颁布了有关马兜铃属植物中药如关木通、青木香等禁止临床使用的通知。作为药物就有一定的药性,用之合理则治病,反之则致病,即“水能浮舟,也能覆舟”,中药也是如此。中药在中医理论指导下,以复方配伍形式,广泛应用临床,在中国已有数千年的历史,因其效果显著,且无明显副作用得到国内外广大医患的认可。而今马兜铃属植物中药出现肾毒性,原因何在?对此我们考察了国内外大量有关文献,发现有关“关木通肾毒”报道存在着与传统中药的应用不相符的现象,如配伍(植物药+化学药)、剂量(超过药典剂量)及用药时间(持续数月至数年)等,故于2002年开始进行单味药关木通与传统复方导赤散、导赤散拆方、龙胆泻肝丸等一系列相关的动物和马兜铃酸溶出量的实验研究,结果显示复方中关木通含量在与单味药关木通相同的前提下,复方组肾损害明显减轻;其马兜铃酸a含量也明显低于单味药。为了进一步找到降低关木通中马兜铃酸溶出量的药物,我们在原有研究的基础上,进行了不同剂量的竹叶对关木通中马兜铃酸a溶出量影响的实验研究。
1 仪器与试药
1.1 仪器安捷伦高效液相色谱仪agilent1100, agilent1100色谱工作站,vwd紫外检测器;kq-500dv型数控超声波清洗器(昆山市超声仪器有限公司)。
1.2 试药马兜铃酸a 标准品(中国药品生物制品鉴定所,批号746-9002);甲醇(色谱纯) (tedia);冰醋酸(分析纯);双蒸水(自制)。本实验所用中药如关木通、竹叶均购自石家庄乐仁堂药房,经河北医科大学药学院生药教研室聂凤褆教授鉴定为马兜铃科植物木通马兜铃aristolochia manshuriensis kom.,俗称关木通。
2 方法与结果
2.1 单味药关木通中马兜铃酸a溶出量的检测[1,2]
2.1.1 关木通供试药液的制备关木通500g加水10倍煎煮沸腾40 min后,倾出药液;再加水6倍煎煮沸腾30 min后,倾出药液;后把两次药液混匀,过滤待测(每毫升相当含1g生药关木通)。
2.1.2 关木通中马兜铃酸a溶出量的检测分别取马兜铃酸a对照品药液(中国药品生物制品鉴定所,批号746-9002)、关木通供试药液(每毫升相当于1g生药关木通)。采用rp-hplc法测定结果:关木通中马兜铃酸a的溶出量为0.106mg/ml。
2.2 不同配比量竹叶对关木通中马兜铃酸a溶出量的影响[3~6]
2.2.1 不同配比量竹叶与关木通供试液的制备根据导赤散拆方实验结果,竹叶加关木通组马兜铃酸a溶出量最低,故本实验分别取竹叶与关木通1∶1,1∶2,1∶3,1∶4 等4个不同比例组加水浸泡、煎煮、浓缩、取汁方法同前(每毫升相当于1g生药关木通)。
2.2.2 检测不同剂量竹叶与关木通配伍中马兜铃酸a的溶出量分别取马兜铃酸a对照品药液(同前)、竹叶与关木通不同配比4个供试液组,均采用rp-hplc法测定,结果按大小次序排列:1∶2组0.087mg/ml,1∶3组0.082mg/ml,1∶1组0.070mg/ml,1∶4组0.041mg/ml。
3 讨论
关木通因其有肾毒已被停用,世人皆知[7,8]。中药用于临床是以复方形式出现,而今单味药或植物药与化学药组合等不符合中医用药规律现象比比皆是,与肾损害是否有关尚不十分清楚,故需慎重对待。为此我们做了相关实验,旨在探讨关木通与何种中药配伍对所含马兜铃酸a溶出量的影响。
3.1 复方导赤散及其拆方对关木通马兜铃酸a溶出量的影响20世纪90年代虽有中药关木通所含马兜铃酸a可导致肾损害的报道,但有关含关木通的复方是否有同样肾损伤未见报道。因此我们选用宋代·钱乙的导赤散进行肾毒性及马兜铃酸a溶出量的实验。结果发现在同等剂量下,复方导赤散组不论是肾毒性,还是马兜铃酸a溶出量均明显低于单味药关木通组。李时珍《本草纲目》记载“药有利也有弊”,而“复方有利而无弊”,是说中药通过君臣佐使配伍组方,不仅把“利”(疗效作用)可提高到最大限度,且可把“弊”(毒副作用)降低到最小。本实验采用rp-hplc法检测结果也充分证实了这一点,导赤散中马兜铃酸a溶出量较单味药关木通组明显降低了41%。提示导赤散四药组合具有显著抑制其马兜铃酸a溶出的作用。导赤散四药拆方重新组合的6个试验组结果显示,凡配有竹叶组其马兜铃酸a溶出量明显减少;凡配有生地组其马兜铃酸a溶出量降低不明显或增加。竹叶加关木通组马兜铃酸a溶出量最低,为0.041 mg/ml;较导赤散组降低35%。该实验说明竹叶对关木通中马兜铃酸a溶出具有显著抑制的作用。
3.2 不同配比量竹叶对关木通中马兜铃酸a溶出量的影响剂量是药物的常用有效量,也是药物作用的标识。如果剂量未达到最低有效量,则药效不佳;反之剂量过大,则不安全,会产生毒副作用。由此可见,在药物组合不变的前提下,剂量大小不仅决定药物的药效,也决定着其毒副作用。为了进一步寻求竹叶与关木通最佳配比量,故我们选择了4个不同配比量进行实验研究。结果发现,随着竹叶的配伍比例的变化而关木通中马兜铃酸a的溶出量也发生着变化。以马兜铃酸a溶出量来看,竹叶与关木通4个不同配比量组均明显低于单味药关木通组;竹叶与关木通配比量为1∶2,1∶3时,溶出量虽低于单味药关木通组,但无统计学意义;而竹叶与关木通配比量为1∶1,1∶4时,溶出量明显低于单味药关木通组30%以上;其中1∶4配比最低。由此可见,竹叶虽有抑制其马兜铃酸a溶出的作用,但与其配比例关系十分密切。本实验提示关木通虽含有马兜铃酸a,但若经过1/4竹叶的配伍,其马兜铃酸a溶出量则会明显降低,随之对肾脏损害毒副作用也会明显得到抑制或消失。换言之,关木通虽有毒,但通过合理配伍,科学用量,其副作用是可以避免的。
3.3 关木通肾毒性是相对的该实验结果提示临床选用任何中药,只要遵循中医“有证用药”的原则,合理配伍、合理用量,其不良反应或毒性是可以避免的。中药关木通,虽含有损伤肾脏的成分马兜铃酸a,但只要合理配伍,合理用量,其肾毒是可以被抑制或避免的。关于配伍竹叶可以抑制关木通中马兜铃酸a溶出的作用机制还有待于进一步深入研究。
【参考文献】
[1]李春香,丁里玉,李国川.复方配伍减低关木通肾毒性的实验研究[j].中医杂志,2006,47(9):694.
[2]李春香,丁里玉,李国川.配伍减低关木通中马兜铃酸a溶出量的研究[j].河北医科大学学报,2006,27(5):354.
[3]李锐,李春香.导赤散拆方与马兜铃酸相关性研究概况[j].中医杂志,2006,47(12):200.
[4]李春香,朱晓卉,丁 芳.配伍降低关木通肾毒性的研究现状[j].河北中医药学报,2005,20(2):35.
[5]丁英钧,王彦田,李春香.关木通肾毒性与剂量、时间的相关性研究[j].中医杂志,2005,46(1):58.
[6]丁英钧,许庆友,李春香.复方配伍减轻关木通肾毒性的实验研究[j].中药药理与临床,2004,20(3):4.
系统安全检测更快捷
百度安全中心2.0需要安装客户端才能进行网页查杀的配合。当进入百度安全中心2.0界面,其绿色的主色调确实给人一种安静之感,让人感觉到程序的干净和安全。从主界面我们也可以看出,在2.0版本中简化了系统安全检测的操作步骤。用户只要通过系统检测、系统优化、木马防杀三步就能完成对系统的安全防护。这样让用户操作更加方便顺手,也给新手操作带来方便。
在百度安全中心2.0主页单击“开始检测我的系统”按钮,程序对系统进行扫描,扫描后系统给出一个当前系统状态的评价,其中包括“系统总安全度”、“系统优化指数”、“病毒木马防杀安全度”等指数状态。这样便于我们对系统的安全程度进行了解。
在“系统总安全度”中会给出一个分值,并提示我们系统的安全程度,并且在“总体报告”给出了所有的检查项目和检测结果。而且在有问题时只要一键单击“立即修复”按钮,就可以完成对已找到的问题进行修复,无疑带给用户很多的方便与快捷。这些功能其实在以前的版本中已经存在了。
在系统漏洞修复功能性能测试中发现,该功能比较强大,通过该软件和360安全卫士对比测试,在扫描同一个系统漏洞时,百度安全卫士扫描漏洞数位9个,而360安全卫士发现漏洞为3个,这一点百度安全卫士做的比较优秀。此外,在恶意软件清理,360安全卫士搜索到的恶意软件数目为8个,而百度安全卫士搜索的数位为1个,像迅雷的浏览器插件等都没有检测到,这一点还是做的不够周到。
木马查杀是否鸡肋?
木马查杀是目前很多安全软件的一个重要组成部分。但是百度安全中心2.0在这方面做得并不是很出色。当进入到病毒木马防杀界面时,在该界面中拥有最新专杀工具、在线杀毒网页、防挂马、U盘病毒免疫等功能,而在“最新专杀工具”项中程序只列出了十余项木马专杀工具,并没有找到木马扫描功能,也就是说用户只能下载各种专杀工具手动查杀。这一点做的很不好。不过程序提供了在线杀毒功能,这样我们可以在免费时段内免费使用最新版的金山杀毒软件查杀系统中的病毒,但是唯一的缺点就是,在普通网络环境下,要加载300KB左右的金山杀毒软件控件以及下载几十MB病毒库的时间要几十分钟甚至几个小时。不知道用户能否接受长时间的等待呢?等待还好说,当已经下载了接近10分钟的时候,所用的Maxthon浏览器突然崩溃(而且是2次),此时用户会是一个什么心态呢……
推荐通过安全测试的常用软件
在百度安全中心2.0中提供了软件推荐功能,这是新版安全中心的一个亮点,其中分别提供了与金山合作的杀毒软件推介和整合天空软件站的装机软件推荐两个子栏目,让用户可以更为明确的去选择安全的软件。不过这个功能,早在360安全卫士和迅雷软件已经推出了,也算不上什么创新。
小编谈百度安全中心评测感受
关键词松材线虫病;危害症状;发病规律;防治措施;贵州金沙
中图分类号 S763.1 文献标识码B文章编号 1007-5739(2011)03-0190-01
金沙县为天然林资源保护工程区,现有有林地面积9.4万hm2,森林覆盖率37.5%。主要用材树种为马尾松以及少量的华山松、云南松、葵花松等,发生松材线虫病的是马尾松。松材线虫病是一种对松树造成毁灭性破坏的病害,具有适生范围广、寄主种类多、传播速度快、松树死亡率高、防治困难等特点[1]。2005年1月以来,贵州省金沙县4个乡镇马尾松受到感染,先后发病死亡,给全县松林资源造成严重的威胁。
1危害症状
松材线虫病又称松树萎蔫病,松褐天牛是其主要传播昆虫。松材线虫侵入树体后,致病力强,松树的针叶先后失去光泽,蒸腾作用减弱,针叶逐渐呈黄色或红褐色,通常针叶当年不脱落,树脂分泌逐渐减少,整株因萎蔫干枯而死亡,死亡速度非常快,防不胜防。在金沙县松材线虫病疫情发生的4个乡镇,感病植株零星分布在整个林分内。植株感病后针叶褪绿、枯萎、发黄,直到全株枯死[2]。松材线虫病发生面积348 hm2。
2发生规律
该病寄主为黑松、马尾松、湿地松等松属植物。松材线虫病多发生在5―10月,马尾松、黑松陆续受到感染,尤其在10月发病最为明显,感染的松树普遍死亡。月平均温度在20~25 ℃发生最为普遍。传播方式:一是自然传播。松材线虫病主要靠松褐天牛携带在健康松树上产卵而扩散,目前病害一直呈扩散蔓延态势[3]。二是人为传播。携带松材线虫病的松木、松木半成品、成品等因调运而扩散。金沙县发现松材线虫病后,对全县松材线虫病的来源进行了全面调查,近年来发生区未调入电缆盘或是其他通信光缆盘,也未调入松木及其制品。发生疫情的区域与发生松材线虫病的邻县疫区仅一河之隔,最近的地方距离不足100 m,认为是自然传播。
3防治措施
3.1采取行政措施,加强疫情监测,严格进行检疫
政府重视,金沙县政府成立了由县长任组长,有关部门参加的松材线虫病除治领导小组,及时协调解决防治工作中出现的重大问题,有关乡人民政府也成立了相应组织。制订岗位责任制,层层落实责任,做到领导责任到位,目标任务到位,政策措施到位,检查奖惩到位,一级抓一级,层层抓落实。提供人、财、物的保障;积极开展宣传活动;加强技术培训。金沙县自从2005年发生松材线虫病以来,每年3月结束第1阶段松材线虫病除治任务后,该县监测人员加大了监测力度,各监测点人员定期定时对管辖的林区进行严格的监测管理,7月初发现枯死木,组织人力对全县马尾松林进行详查,经7―9月历时82 d的调查采样镜检,并送贵州省林业有害生物鉴定中心鉴定,确定了疫区与非疫区,与此同时,对全县马尾松林进行了逐片逐株统计,勾绘出林区小班图,确定砍伐数量和治理面积。对疫区的松苗、松木及其制品应严格检验检疫,严禁带病苗木、木材及其制品运出疫区。停止向外调运疫区的松材线虫病寄主植物、繁殖材料、木材及其制品;在全县的主要交通要道设立临时检疫检查点,在县主要通道设立3处固定检查点,杜绝县内木材、松苗及松材制品外流。加强检疫,严格封堵。
3.2清理病死树,加强疫木管理与利用
为了有效地防治松材线虫的扩散,需将林区的枯死木、濒死木、衰弱木等伐除,控制病害的发生。病害发生历时较长,发生面积大,病死树数量大,病死树株率在10%以上的病区,采用一次性全面皆伐,彻底伐除发病山头或地块的感病寄主植物。松材线虫病危害较轻的松林,病死株率在10%以下,采用全面清理枯死树的措施。对发生区边缘病死树周围100 m范围内的松树实施强度砍伐,形成隔离带,并对中心发生区的病死树进行全面清理。所有伐桩高度低于5 cm,病区除治后迹地清理干净,不残留直径1 cm的枝桠。所有砍伐的枝梢和木屑全部集中烧毁,伐桩是撒生石灰500 g并覆盖塑料薄膜后,覆盖泥土5 cm以上。通过专家评审,根据金沙县地理情况,有大量的煤炭资源开采,而且煤窑深度均在500 m以上,坑木需求量较大,具有得天独厚的就地处理疫木的条件,加上天牛具有每年10月至翌年4月处于幼虫的滞育期的特性,此时是传媒昆虫非传播的时期,而天牛主要集中在病株上部,疫木采伐后将病株上部集中烧毁,中、下部可作坑木的直接运至煤窑使用,使用时间为当年11月至翌年的3月[4]。不能作坑木的大径材部分以及小径材、腐朽木进行切片处理,或送到本疫区内持有《松材线虫疫木安全利用定点加工企业》证书的企业,制成胶合板、纤维板、刨花板等,制成半成品或成品,可以取得一定的经济效益,把松树资源损失降低到最低限度。疫区除治性疫木的采伐由金沙县林业主管部门提出计划,经地区林业主管部门审核后,报省林业厅审批。疫木采伐要严格执行批复的采伐量,并在金沙县人民政府或林业局的组织下由专业队统一实施。疫区要加强松木资源管理和管护,防止偷砍盗伐。疫木采伐期间,金沙县林业局必须指定人员实施全过程监管,防止疫木丢失。疫木调运时指定专人对运输进行全程监管。固定煤窑使用,使用疫木最后期限为翌年的3月31日。疫木到煤窑有专人管理及有专门场地堆放。疫木运至煤窑后由专人清点所运木材,核实木材数量、运输线路、到厂时间、监管人员的姓名及运输工具的车牌号等,并作详细记录。疫木的运输应在传媒昆虫非羽化期内进行,运输疫木除木材运输证外,还应持有林业主管部门同意调运文件或复印件,签发的《疫木调运特别通行证》,按照调运单要求运输,运输时外表必须捆绑、遮盖,以免疫木丢失,运输工具需张帖“松材线虫病疫木”标志,运输中不得装卸货物及长时间停靠,疫木到达煤窑,监管人要及时通知煤窑安排使用。地、县检疫部门定期深入现场,抽查疫木使用进度和管理情况,随时监测疫木的松褐天牛活动范围[5]。
3.3加强防治监测,采取植被恢复措施
根据松材线虫病主要是靠松褐天牛传播的特性,金沙县狠抓了松褐天牛的监测预防工作。设置固定监测点,在松材线虫发生疫内安放引捕器,每6 666.67 m2安放1个诱捕器,共约需520个;发生区边缘地带、交通沿线、风景区、厂矿企业和城镇周围以及重点林区,每20 hm2设置1个诱捕器,需150个。诱捕到的松褐天牛成虫,要进行分离镜检、销毁[6-7]。设置诱木,每年的5─8月在发生松材线虫病的松林内设置诱木,选择松褐天牛密度大的地块设置诱木,每6 666.67 m2松林设1株诱木,共约需510株,引诱松褐天牛成虫在诱木内产卵,于9月中旬收集诱木集中焚烧。释放管氏肿腿蜂,传媒松褐天牛幼虫期,选择气温在25 ℃以上的晴天,在疫情发生点内采用分片布点放蜂法,按6 666.67 m2放蜂1万头,定期检查防治效果,并做好防治记录。采取植被恢复措施,改造纯林树种,根据林业发展规划,通过与天保工程、商品林采伐试点等工作相结合,采取新造、改造、补植和封山育林等措施,保持树种多样性的同时,提高松材线虫病发生林区混交林比重,尽快形成生物隔离带,增强森林抗御疫病的能力[8]。封山育林,以次生林逐步自然替代感病死亡的松树,恢复地带性植被(落叶、常绿阔叶加少量针叶树林相)。
4参考文献
[1] 孙铁环.松材线虫病防治手册[M].天津:天津科学技术出版社,2002.
[2] 夏永刚,王明旭,肖启明.松材线虫病疫区春季枯死枝条的感病状况调查[J].湖南林业科技2007,34(5):62-63.
[3] 朋金和,蒋丽雅,周健生,等.松材线虫病在纯林内自然扩散规律的研究[J].森林病虫通讯,1997(3):9-12.
[4] 付甫永.松材线虫病疫木可作坑木安全利用[J].中国森林病虫,2010(1):46.
[5] 曹志良,刘农标.松材线虫病综合防治措施[J].农业装备技术,2003(6):18-19.
[6] 宁眺,方宇凌,汤坚,等.松材线虫及其传媒松墨天牛的监测和防治现状[J].昆虫知识,2005,42(3):264-269.