时间:2023-05-29 18:02:55
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇木马检测,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
中图分类号:TP309.5文献标识码:A文章编号:16727800(2012)009015202
0引言
随着互联网的飞速发展以及网络中病毒木马程序的日益泛滥,防火墙已经成为保护局域网络中主机免受恶意程序侵害的一道屏障。随着防火墙技术的日益成熟,很多传统远控型木马程序已经失去了其发展空间,然而一种新型的利用HTTP协议隧道的木马又出现了。本文将主要介绍该类木马的运行原理以及目前针对该类木马的主流检测方法。
1HTTP协议隧道
HTTP协议隧道位于应用层,是将需要传输的数据封装在HTTP协议格式数据包中,通过HTTP协议在网络中进行传输,当HTTP数据包抵达目的地后对HTTP数据包进行解包,得到真实的数据。HTTP协议隧道分为直接型和中转型两种模式。
1.1直接型模式
此模式中每台主机都既作客户端又作服务器,可以相互通信。在客户端中,数据经过HTTP隧道软件使用HTTP协议进行封装,然后通过80端口或者8080端口发送到对方主机。服务器端收到数据后对HTTP包进行解包操作得到实际传输的数据。
1.2中转型模式
此模式中有一个专门的HTTP隧道服务器,负责接收客户机的请求,然后与目标主机通信,将客户端传过来的数据交付给目标主机。在客户端与目标主机之间仍使用HTTP协议对数据进行封装后传输。
2HTTP隧道木马原理
HTTP隧道木马与传统木马程序在功能上基本一致,主要差别在于通信方式上。传统木马,不论是正向连接型还是反向连接型,基本都是通过高于1024端口进行通信,然而现在的很多杀毒软件以及防火墙对于这些端口的检测会较为严格,从而使得木马程序容易暴露身份。而随着B/S模式的广泛应用,越来越多的网上流量都是通过HTTP协议进行传输,因此绝大多数防火墙对于HTTP协议都采取进行简单协议结果判定后直接允许其通过的策略,而这样的策略就给了木马程序以可乘之机。
HTTP隧道木马利用HTTP协议隧道,将自己需要传输的数据利用HTTP协议进行封装,然后经由HTTP协议专用端口80端口或者8080端口与外部服务器进行连接,服务器在得到数据以后进行简单的HTTP协议解包就可以得到实际的数据。
一般此类木马选择的HTTP协议隧道类型均为上一节中介绍的中转型模式。在木马实际运行过程中,客户端(即控制端)首先将待执行的命令以文件的形式存放在HTTP隧道服务器中,而对于服务端(及被控端),每次上线后会主动请求连接HTTP隧道服务器,然后用GET或者POST命令请求服务器中的特定文件(预先设定好的存放命令的文件)。如果文件中有需要执行的命令,则在被控端主机上执行相应操作,然后将数据封装成HTTP数据包回送给HTTP隧道服务器,如果文件中没有命令需要执行,则服务端断开连接,一段时间后再次以相同方式询问是否有命令,如此往复。通过此流程,HTTP隧道木马就可以借用HTTP协议躲避防火墙的阻拦与控制端进行通信。
3主流检测方法
针对HTTP隧道木马的检测方法目前主要存在下面的三大类:基于签名的检测、基于协议的检测以及基于操作行为的检测。下面分别对3种检测方法进行介绍。
3.1基于签名的检测(SIGNATUREBASED DETECTION)
该方法主要通过检测HTTP协议数据包定的数据式样来判断是否是可疑的HTTP数据包。这里所谓的特定的数据式样,指的是比如“cat c:”、“cat d:”、“del c:”、“PWD”、“RETR ”、“cmdc:”、“cmd net start”等字串。这些字串一般为计算机的一些操作指令,如果HTTP数据包中含有这些数据式样则将其判定为使用HTTP隧道进行传输。
然而这种方法也存在一些问题,比如很难准确找到有哪些数据样式只存在于HTTP隧道木马传递的数据包中而不可能或很少出现在正常网页里,因为HTTP协议是基于对象的协议,可以传输任何类型的文件,我们不能保证这些文件中不会出现所定义的“数据式样”,因此此方法在实际运用中可行性较低。
3.2基于协议的检测
由于很多HTTP隧道木马在进行HTTP隧道传输时都只是进行了一个简单的HTTP协议封装,即在数据外加上了一个HTTP头部,然而这种简单的协议封装往往在很多时候不符合实际的HTTP协议正常的格式。并且在数据交互的过程中,HTTP隧道木马一般只是简单发送单个HTTP数据包,而不会完整执行整个HTTP协议中规定的一整套交互流程。根据这些协议上的特点可以对HTTP隧道木马进行检测。
然而在有些情况下这种方式仍不能正确地对该类木马进行准确识别。比如木马程序为了伪装而进行一系列虚假的HTTP协议交互过程,从协议层面上看该过程完全无法分辨出是否为木马程序。
3.3基于操作行为的检测
该方法主要提取了HTTP隧道木马程序在网络会话上的一系列特征,如:数据包大小、数量、会话时长、会话上传数据量、会话上传数据量和下载数据量之比以及会话平局上传速率等。然后基于这些特征采取数据挖掘技术,对HTTP隧道木马进行分类,对其建立相应木马网络会话特征模型,根据此模型对其进行检测。
资料显示,此种检测方法在HTTP隧道木马程序检测方面的效果较好。此方向研究者较多,各研究者之间差别在于采取的特征选取有细微不同,以及采取的分类算法存在一定差异。
3.4分析比较
分析了3种当前主流HTTP隧道木马检测技术以后,我们可以看到,第一种技术基本无法单独运用于真实环境下的木马检测,在某些情况下可以作为辅助条件进行木马判定;基于协议的检测方法存在一定的适用性,但是也很容易被木马绕过,因此会导致实际使用的效果不佳;而第三种方式则相对显得效果更好,有很好的实用性。
4结语
本文主要就HTTP隧道木马的运行原理进行了介绍,然后对目前主流的HTTP隧道木马检测方法进行了分析比较。通过分析几种当前提出较多的HTTP隧道木马检测方法,得到当前检测该类木马程序最有效的方法在于对木马网络回话中的一些特征进行分类处理,建立该类木马特征模型,然后进行检测。
参考文献:
[1]许治坤,王伟,郭添森,等.网络渗透技术[M].北京:电子工业出版社,2005.
[2]李俊林.通用性HTTP隧道检测技术研究[D].成都:电子科技大学,2006.
关键词 木马 入侵 清除
随着社会信息化技术的发展,网络已成为人们生活中不可缺少的部分。人们在工作、学习和业余等时间运用电脑,在感受网络带来益处的同时,各种各样的病毒也让使用者头痛不已,木马病毒就是其中一种。有的黑客会利用木马来盗取计算机用户的隐私去谋取利益,这给人们的生活带来了巨大的损失和危害。木马是黑客最常用的基于远程控制的工具,目前比较有名的主要有:“冰河”、“黑洞”、“黑冰”、“Bo2000”等。计算机一旦被木马病毒侵入,可能会造成信息的丢失、系统的破坏甚至系统瘫痪,所以计算机的安全问题是目前急需解决的问题。
1 木马病毒
所谓木马(全称是特洛伊木马)是利用计算机程序漏洞侵入后窃取文件的程序,它是一种与远程计算机之间建立起连接,使远程计算机能够通过网络控制本地计算机的程序。它包含两部分:服务器和控制器,黑客利用控制器进入运行了服务器(被入侵的电脑)的计算机。运行了程序的服务器,其计算机就会有一个或几个端口被打开,使黑客可以利用这些打开的端口进入计算机系统。
2 木马病毒的入侵
木马入侵计算机,一般都要完成“向目标主机传播木马”、“启动和隐藏木马”、“建立连接”、“远程控制”等环节。它的入侵方式主要有:
(1)电子邮件传播。攻击者将木马程序伪装成邮件的附件发送出去,收件人只要打开附件系统就会感染木马;(2)网络下载传播。一些非正规的网站利用木马小的特点将木马捆绑在软件安装程序上提供给用户下载,只要用户一运行这些程序,木马就会自动安装;(3)远程入侵传播。黑客通过破解密码和建立IPC$远程连接后登录到主机,将木马服务端程序复制到计算机中的文件夹,然后通过远程操作来控制木马进而达到目的;(4)利用系统漏洞植入。有时候服务器会出现漏洞,黑客便利用这些漏洞将木马植入计算机。譬如MIME漏洞,因为MIME简单有效,加上宽带网的流行,令用户防不胜防;(5)修改文件关联。隐蔽是木马常用的攻击手段,它们通常采用修改文件打开关联来达到加载的目的。著名的木马冰河就是采用这种方式。
3 木马的检测
(1)进程和端口检测。木马一般是以exe后缀形式的文件存在,因此当木马的服务器端运行时,一定会出现在进程中。查看端口的方法一般有三种:使用Windows本身自带netstat的工具,命令是C:\> netstat -an ;使用Windows命令行工具fport,命令是E:\software>Fport.exe ;使用图形化界面工具Active Potrs,这个工具可以监视到计算机所有打开的TCP/IP/UDP端口,还可以显示所有端口所对应程序的所在的路径。
(2)检查Win.ini和System.ini系统配置文件。在win.ini文件中,[WINDOWS]下面如果“Run=”和“Load=”等号后面结果不是空的,很可能是计算机中了木马病毒。在System.ini文件中,[BOOT]下面“shell= 文件名”,如果不是“shell=Explorer.exe”,也很可能是中了木马病毒。
(3)查看启动程序。如果木马自动加载的文件是直接通过Windows菜单上自定义添加的,一般都会放在主菜单的“开始->程序->启动”处。检查是否有可疑的启动程序,便很容易查到是否中了木马。
(4)检查注册表。注册表中木马一旦被加载,一般都会被修改。一般情况修改HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN, HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN SERVICES,HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN。目录下,查看有没有不熟悉的扩展名为EXE的自动启动文件。
(5)使用检测软件。除了手工检测木马外,还可以通过各种杀毒软件、防火墙软件和各种木马查杀工具等检测木马。
4 木马病毒的清除
检测到计算机中了木马后,马上将计算机与网路断开,然后根据木马的特征来进行清除。清除方法有:
(1)停止可疑的系统进程。木马程序在运行时会在系统进程中留下痕迹,通过查看系统进程可以发现运行的木马程序。清除木马时,首先停止木马程序的系统进程,其次修改注册表,最后清除木马文件。
(2)用木马的客户端程序清除。查看系统启动程序和注册表是否存在可疑的程序后,判断是否中了木马,如果存在木马,则查出木马文件并删除外,同时将木马自动启动程序删除。
(3)杀毒软件和查杀工具。木马程序大部分都是利用操作系统的漏洞将木马加载到系统中,利用较好较新的杀毒软件加上补丁程序,可自动清除木马程序。常用杀毒软件包括Kill3000、瑞星、木马终结者等。
(4)手工清除。在不知道木马属于何种程序的情况下应用手工清除,打开系统配置实用程序对Win.ini、System.ini进行编辑,在Win.ini中将“Run=文件名”或“Load=文件名”更改为“Run= ”或“Load= ”, 在System.ini中将“Shell=文件名”更改为“Shell=Explorer.exe”,屏蔽非法启动项,用Regedit打开注册表的键值及注册项的默认值或正常值,删除木马。
5 QQ卓越木马的查杀程序设计
掌握了木马的入侵和检测等相关知识后,我们做了一个针对QQ卓越木马的杀毒程序。整个程序的查杀毒流程如图1所示。
该程序查杀过程,首先扫描内存,接着是系统目录,然后注册表,最后对硬盘进行扫描。
内存中扫描木马进程主要用到了自定义函数FindProcByName,进程扫描开始及结束都会在状态栏及查杀结果栏中显示相应信息。自定义函数FindProcByName应用CreateToolhelp32Snapshot获取进程快照,若列表中有进程存在,用Process32First获取第一个进程的信息,若进程文件名与木马进程名字相同,则记录木马EXE程序同时记录木马DLL的程序并把他们添加到查杀列表,循环比较列表中的每个进程。若停止的话就直接跳出杀毒程序。内存扫描完之后,如果发现内存中有卓越QQ木马时,找到该木马程序的执行程序所在目录,并检测此目录下有没有木马文件,若有则进行查杀。
接着扫描注册表。主要查看系统及用户启动项的Run键值下是否有卓越QQ木马键值,若有将其删除,同时将木马计数器TrojanCnt及注册表木马计数器RegTrojanCnt加一。然后查看是否有木马文件,若有木马文件,根据卓越QQ木马键值找到其真实路径,将其.exe及.dll程序添加到查杀列表,扫描并中止该木马进程后再删除木马文件。
最后扫描硬盘。要对硬盘进行木马查杀,找到文件,经判断如果为病毒文件,将木马计数器及硬盘木马计数器加一,然后将检测结果在查杀结果中显示出。用自定义函数Length,Copy、ScanDir、CompareFileNames可以实现。
关键词:溢出型网页恶意代码;运行机理;防范
中图分类号:TP393.08
网页恶意代码是木马用来传播的主要方式之一,各种有危害性的木马都可以做成网页恶意代码来传播危害用户。因此,对溢出型网页恶意代码运行机理分析与防范的探讨有其必要性。
1 研究背景
随着近来网络技术的发展,网络攻击安全事故也地不断发生,越来越受到人们的广泛关注。而网页恶意代码的运行则一种危害网络安全的一种恶意传播,其主要要通过木马进行传播的一种主要方式,包括各种具有危害性的木马,在构成网络危害的过程中,都可以通过网页恶意代码,对网络用户构成严重的威胁,且在当前的形势下,这已经构成黑色网络产业链的先锋,导致网络用户的财产丢失,黑客利用其所形成的病毒木马来窃取。
2 运行机理
网页恶意代码最为基本的本质就是网页,而并不是木马本身,主要是通过一些特殊网页,利用病毒木马的运行,将执行代码进行编码处理,其作为网页组成的重要部分,会在运行中通过特殊网页代码获取相关的木马程序,通常情况下,网络系统安全防御中心和杀毒软件公司将其称之为网页木马,而防范和切断木马的一个主要的途径就是切断网络恶意代码的传播,网络恶意代码的运行则一种危害网络安全的一种恶意传播,其主要要通过木马进行传播,包括各种具有危害性的木马,在构成网络危害的过程中,都可以通过网页恶意代码,对网络用户构成严重的威胁,且在当前的形势下,这已经构成黑色网络产业链的先锋,导致网络用户的财产丢失,黑客利用其所形成的病毒木马来窃取,因而,可以通过网络恶意代码检测来获取,就是将混在网页代码中的一些漏洞检测出来,但是随着现代网络技术的发展,网页中也会不断地出现一些新的漏洞,这就使得查杀木马将是一个艰巨且长期的任务。
3 防范对策
某大学通过网页恶意代码机理的深入研究,从中获得了主动检测方法以及相关的防范对策,据有关数据统计分析,其在4天可以一次对全国的160多万个网站例行周期性的检测,而每一项周期性的检测中均可以获得20000多个告警。
在上述指令中,可将指令中的符号运算以及结果保存中的EAX进行检查,并对其内存空间进行进一步处理,从而有效地防范和切断木马,这也是确保网络安全的一个主要的途径。
3.2 通用溢出设计分析。这种类型的恶意代码主要是要不同操作系统和软件环境下所完成的,均可以很好地发现漏洞,为此,可以通过采用通用溢出分析法来防范网络安全的发生,以切断网络恶意代码的传播,网络恶意代码的运行防范必须要有针对性的处理和修改,规范相关的程序流程,跳转到SHELLCODE所在位置,并且保证跳转空间,使其能够顺利地执行代码空间,由于恶意代码通过木马传播时,具有很强的危害性,且在构成网络危害的过程中,都可以通过网页恶意代码,对网络用户构成严重的威胁,为此,需要工作人员根据当前形势,切实保证网络用户的财产,反攻击黑客利用其所形成的病毒木马来窃取行为,尽可能地使得溢出漏洞具有通用性,并且选择一个较好的跳转地址,确保其在各个操作系统中和相关网络安全配置中,保持基本不变,控制内存中存在的MS07-04漏洞,通过网络恶意代码检测来获取,就是将混在网页代码中的一些漏洞检测出来,包括网页中也会不断地出现一些新的漏洞。
4 结束语
总而言之,随着现代网络技术的发展,网络工作安全人员要加强防范对策的研究,强化网页恶意代码机理的深入研究,从中获得了主动检测方法以及相关的防范对策,切实保证网络的充分安全和网络用户的财产安全,获取更好的社会效益,实现网络的安全稳定发展。
参考文献:
[1]胡娟.网页恶意代码攻击与防御[J].电脑知识与技术,2010(05):1063-1066.
[2]李志勇,陶然,王越,张昊.溢出型网页恶意代码运行机理分析与防范[J].兵工学报,2010(06):832-836.
[3]李志勇,薛亮,陶然,张昊.跨安全域网页恶意代码运行机理与防范[J].计算机工程与应用,2010(21):135-137.
[4]文伟平.恶意代码机理与防范技术研究[D].中国科学院研究生院(软件研究所),2010.
[5]王德君.Internet网页恶意代码浅析[J].沈阳工程学院学报(自然科学版),2012(02):158-161.
目前各种网页木马层出不穷,给我们日常浏览网页带来极大的安全隐患。前不久曝出的网页ANI挂马漏洞更是让人触目惊心。利用该漏洞木马程序只须伪装成一个图片嵌入到网页中,然后通过论坛、QQ、MSN、邮件或RSS等方式网页链接,诱使他人登录该网页,一旦网页被打开电脑就会立即感染上木马程序,让人防不胜防。虽然目前微软已经及时了漏洞补丁程序(补丁号:KB925902),可以阻止该漏洞的危害,但也给我们提了一个醒,面对从论坛、QQ和邮件发来的未知网页链接一定要谨慎小心,切忌随意打开未知网页,否则就很容易成为网页木马的受害者。
对于需要查看的未知网页链接,我们也可以提前使用专门的网页安全检测工具来检测,将网页木马完全阻止在进入系统之前。登录网址/wm/,可以看到该网站提供了“网页安全检测”和“安全浏览”两个工具。“网页安全检测”工具具备流行漏洞快速响应框架,可以帮助用户快速检测和防范各种网页漏洞、木马和恶意代码等。点击“网页安全检测”按钮,提交你要检测的未知网页链接,点击“安全检测”按钮后,网站会在后台分析该网页是否存在网页木马和恶意代码等潜在危害,稍后就会给出检测结果,如果提示安全就可以正常登录该网页,反之就要避免打开该网页了。如果你必须登录未知的网页,则可以使用“安全浏览”工具,提交网址后,网站会在后台解析该网页,过滤和屏蔽掉该网页中包含的木马和恶意代码等,稍后会返回一个干净安全的网页,我们就可以安心浏览未知的网页了。
UAC管理任我控制TweakUAC
王志军
对于已经用上了windows Vista的朋友来说,UAC(user Account Control,用户账户控制)自然是一道绕不开的坎,虽然UAC在一定程度上让系统变得更安全,但时不时弹出需要输入管理员密码或进行确认的警示框,总是觉得心里有些别扭。
在这种情况下,很多朋友选择了在“系统配置/工具”中禁用UAC,或者在命令提示符环境下执行“netuser Administrator/Active:yes”以激活超级管理员的账户,但这显然不是一个好办法,其实此时我们可以借助TweakUAC这款小工具来完成对UAC的管理和控制,而且操作也很方便。
TweakUAC不需要安装即可运行,直接双击下载回来的.exe文件,此时会弹出一个对话框,提示阅读用户授权协议,再次单击“确定”按钮就可看见程序窗口了,这里提供了三个选项:
Turn UAC off now:立即关闭UAC,重新启动系统,以后Windows Vista将不会再显示任何UAC的警示框。
switch UAC to the quiet mode:这个选项相当于折衷的一种UAC模式,具有管理员权限的账户进行系统级操作时,将自动获得管理员凭据而不会再弹出UAC示框,不过如果是以标准账户操作时,仍然会出现UAC警示框。
Leave UAC on:这个选项表示将使用Windows Vista默认的UAC设置。
我们需要做的工作非常简单,在这里选择一个需要的选项,然后单击右下角的“确定”按钮即可生效,不过有时还需要重启系统。需要再次调整时,可以进入TweakUAC,反正直接运行就可以,应该说还是比较方便的。
关键词:木马程序;攻击;防范
中图分类号:TP393.08 文献标识码:A 文章编号:1674-7712 (2012) 16-0050-01
随着信息技术的不断普及和发展,人们越来越多的接触到“木马”这个词语。木马隐蔽性极强,危害性极大,是现阶段来说攻击计算机系统的最主要的手段。因为木马程序所导致的计算机系统遭到破坏的情况日益增加,这对信息系统的保密以及安全带来了极大的危害。尤其是最近几年,利用木马程序进行犯罪的事情层出不穷,造成了巨大的财产和精神损失。
一、关于木马程序的概述
木马,在计算机领域内是指隐藏在合法的程序中或者伪装成合法的程序的恶意代码。这些恶意代码或者执行恶意的行为或者非法的访问未经授权的系统。木马程序本身就具有控制通信、反清除、反检测、隐蔽性高的特点。
常见的木马程序分为两个部分,控制端与被控制端。它的工作原理,是先在本地计算机也就是控制端上面配置而且生成木马程序,然后通过隐含或者直接在其它可执行程序中将木马程序传播到对方计算机也就是被控制端上。然后,通过对控制端的木马程度的控制从而直接的控制被控制端上的木马程序和运行。再接着,控制端通过发送命令的方式,比如说文件操作命令、键盘记录命令、获取敏感信息命令等等,来控制和感染被控制端的木马程序接收、执行这些指令,而且返回控制端以相关的信息和数据。
根据木马对计算机的操作方式,可以分为:远程控制型,密码发送型,键盘记录型,毁坏型,FTP型和多媒体型。
按照木马的进行层次,可以分为内核级木马和应用及木马。内核级木马一般会运行在计算机操作系统的内核之中,采取驱动程序的手段实现木马的加载。这种木马运行在系统的内核之中,隐蔽性相当高而且查杀难度大。应用级木马相对来说对系统的危害性较小。
二、木马攻击的手段和方式
(一)捆绑方式。捆绑方式指的是,把正常程序与木马程序捆绑在一起使用,然后达到入侵与存活的目的。与木马程序捆绑在一起的正常程序一旦被客户下载、安装和使用,木马程序就会自动的加载到电脑上。就算清除了木马,只要运行捆绑的正常程序,木马就会重新载入电脑并且继续存活下去。
(二)QQ和邮件的冒名欺骗。通过盗取他人的QQ,然后冒充主人给其他的好友木马程序,致使其他好友运行木马程序,然后达到相应的目的。邮件的冒名欺骗,指的是冒充单位、大型企业或者好友向他人发送木马附件,一旦他们下载并且运行木马软件就会造成木马病毒。
(三)网页木马方式。网页木马是指在个人的就、空间网页上进行木马捆绑,再利用各种诱惑致使对方链接网页,然后木马病毒就会入侵到这台电脑上。比如说,在网页上面有flash的动画,在网页上呈现流行软件和视频的下载等等。
(四)伪装成一般的普通软件。伪装成一般的普通软件,这是最近才刚刚兴起的一种木马入侵方式。对于操作系统不是很熟悉的用户,往往容易上当受骗。他们把可执行的文件伪装成文本或者图片,通过更改文件扩展名的形式,诱骗用户进行点击,这样的方式隐蔽性相当高。
三、关于木马程序的防范措施
(一)及时的安装木马查杀软件、防火墙和系统补丁。现阶段,我国大部分的黑客是通过网上已有的系统漏洞和木马程序对用户的计算机进行攻击,并不是真正意义的黑客,所以说安装木马克星、the cleaner等木马的查杀软件,同时安装防火墙,比如说“天网”个人版防火墙,“诺顿网络安全特警”等等,这样可以有效的对电脑运行状态进行实施的监控,而且要定期的对电脑进行扫描,从而有效的防止木马病毒的入侵。除此之外,及时的下载并安装官方的系统补丁是非常有必要的。
(二)关闭各种不必要的端口以及隐藏IP。隐藏IP地址皆可以提高提高网络访问的速度和范围,又可以在上网操作的时候预防他人的入侵和攻击。最常见的隐藏IP地址的方式有两种:一是运用“multi proxy”的软件来进行IP地址的隐藏,另一种是利用sockscap32和“qq公布器”进行地址隐藏。
现阶段,使用一些比较通用的黑客工具,对扫描端口进行攻击的方式最普遍,所以说,在我们进行上网的时候,要关闭各种不必要的端口,也就是杜绝了病毒的入侵通道,这样的方式比较的简单、有效。
(三)虚拟计算机的使用。在虚拟计算机的环境下,我们可以进行安全性比较高的操作。比较常用的此类软件VM ware,virtual pc等等。主机要用windows系列的兼容性比较好的操作系统进行日常的工作、办公。
(四)对不必要的服务项进行关闭。Windows操作系统为用户提供了许多的服务来方便管理,但是在其中有很大一部分是用户基本上不需要开启的。这样的话,不仅扩大了整个系统的开销,而且大大增加了木马入侵的机会和可能。因此,我们要经常检查我们的服务器管理,及时的对不必要的服务项进行关闭。
(五)定期对电脑的启动项进行检查。一般来说,木马程序都会在计算的启动项中进行隐藏,所以,要定期的对自己的电脑进行定期的检查的及时的木马清除。
四、结语
综上所述,本文针对木马程序的概念、分类以及运行原理和木马攻击的手段与方式进行入手分析,然后分别从五个大的方面:及时的安装木马查杀软件、防火墙和系统补丁;关闭各种不必要的端口以及隐藏IP;虚拟计算机的使用;对不必要的服务项进行关闭;定期对电脑的启动项进行检查,详细分析了木马程序的防范措施。
参考文献:
[1]李斯.浅析木马程序攻击手段及防范技术[J].网络安全技术与应用,2009,1.
[2]康治平.特洛伊木马可生存性研究及攻防实践[D].重庆大学软件工程学院,2009,10.
关键词:Android 安全问题 入侵检测系统
中图分类号:TP39 文献标识码:A 文章编号:1672-3791(2012)06(c)-0030-02
随着3G通信网络的普及,智能手机市场份额大幅提升,其中Android智能手机占市场份额最大,获得52.5%的市场占有率[1]。由于Android智能手机用户数庞大、开源性强,用户可自行安装软件、游戏等第三方服务商提供的程序,很多病毒攻击者把矛头指向了它,制造了大量Android木马,这严重影响了Android智能手机用户的日常使用。如何有效的预防智能手机平台上的入侵攻击已经成为亟待解决的问题。Iker Burguera、Urko Zurutuza等人提出了Behavior-Based Malware Detection System for Android[2],Amir Houmansadr、Saman A.Zonouz和Robin Berthier提出了一个基于云端服务器的Android智能手机入侵检测及响应系统[3]。Android智能手机平台的入侵检测系统能及时有效的检测到入侵攻击,为用户提供一个安全的使用环境。
1 Android智能手机存在的安全隐患
2011年,Android木马呈现爆发式增长,新增Android木马样本4722个,被感染人数超过498万人次[1]。虽然Android平台的开源、开放、免费等特性为google带来了大量的市场占有率,但是这也给消费者带来了不少安全隐患,成为新的移动互联网安全检测主战场[1]。Android智能手机存在如下几点安全问题。
(1)恶意扣费。据360安全中心调查,78%的Android平台手机木马旨在悄悄吞噬用户的手机话费。“白卡吸费磨”、“Android吸费王”等都是使Android用户闻之色变的恶意扣费软件。这些恶意扣费软件安装后会私自发送短信定制费用高昂的SP服务,并自动屏蔽以10086开头的全部短信,在用户不知不觉的情况下偷偷消耗用户话费。
(2)窃取用户隐私。除恶意扣费外,Android平台木马的另一主要危害是窃取用户隐私。比如震惊全球的“CIQ事件”、DDL“隐私大盗”木马、“索马里海盗”木马及“X卧底”系列木马等。它们瞄准了手机通讯录、照片、短信、设备信息等用户隐私,将用户的个人信息出卖给其他不合法商家,从中牟取暴利。
(3)垃圾短信。在用户举报的各类垃圾短信中,主要是打折促销、发票假证、地产中介、移民留学、金融理财等广告服务类短信,另外就是冒充亲友欺诈、中奖钓鱼诈骗、虚假慈善捐款等恶意欺诈类短信。
(4)系统破坏。有些病毒,如“Root破坏王”,可以自动获取手机Root权限,然后随意修改添加文件,删除系统应用,私自下载恶意软件,而且这一切都是隐蔽进行的。
2 Android智能手机入侵检测系统设计
传统计算机上的入侵检测系统定义为:一种通过收集和分析各种系统行为、安全日志、审计数据或网络数据包,检查系统中是否有未经授权的进入和有不良企图的活动等入侵攻击,并及时予以响应,阻止可能的入侵行为,降低甚至避免入侵危害的积极进程或设备。在当下,智能手机与个人计算机越来越靠近,智能手机已经基本具备了个人计算机所具有的功能,因此Android智能手机平台上的入侵检测系统与传统计算机上的入侵检测系统模型相似。如图1所示,Android智能手机入侵检测系统主要包括以下几部分:数据采集模块、数据分析引擎模块、控制台模块、数据管理模块,各部分功能如以下几点。
(1)数据采集模块。
数据采集模块主要负责采集数据,采集的数据包括任何可能包含入侵行为线索的系统数据。比如说网络数据包、用户行为日志和系统调用记录等。其将这些数据收集起来,然后发送到数据分析模块进行处理[4]。
由于Android平台手机上的安全问题大部分是通过网络引发的(比如通过用户点击链接而偷偷定制SP服务、恶意软件私自发送短信定制SP服务、窃取用户隐私上传到特定服务器等),所以在此处我们只采集进出手机的所有网络数据包。此模块主要基于开源的libpcap包。
(2)数据分析引擎。
收集到的所有数据被送到数据分析引擎,分析引擎一般通过三种技术手段进行分析:模式匹配、统计分析和完整性分析[5]。
在本系统设计初期,我们根据Android平台手机上恶意软件攻击行为的特征罗列出一定数量的规则组成规则集,然后在此规则集的基础上建立分析引擎的核心——有限自动机。考虑到这样一来入侵检测范围很大程度受到已有知识的局限,无法检测出未知的攻击手段[6],在系统设计后期,我们会通过机器学习的方法来动态建立自动机,这样就能动态的检测到所有的入侵攻击。
分析引擎将发送过来的数据与自动机进行匹配,即与规则集中的各种规则进行比较与分析,以判断是否有入侵事件发生。如果数据与自动机匹配成功,就意味着检测到一个入侵攻击,此时分析引擎会给控制台发送一个检测到入侵攻击的消息,同时把此网络数据包发送给数据管理模块。
(3)控制台模块。
控制台模块按照警告产生预先定义的响应采取相应的措施,可以是重新配置网络防火墙、终止进程、切断连接、改变文件属性,也可以只是简单的警告[5]。当发现入侵攻击时,本系统会向用户产生一个警告,告知用户是哪个应用程序隐含安全隐患,用户可根据这个警告采取相应的措施。
(4)数据管理模块。
一个好的入侵检测系统不仅仅应当为管理员提供实时、丰富的警报信息,还应详细地记录现场数据,以便于日后需要取证时重建某些网络事件[5]。
当检测到入侵攻击时,本系统会把相应的数据存储到指定数据库,以供用户日后查证。数据库采用Android平台内置的sqlite3轻量级数据库实现。由于Android系统存储空间有限,当数据量到达一定大小时,可以转储到pc机上或者定时清理。
3 结语
计算机上的入侵检测系统研究一直都是网络安全领域的研究热点,并且也有了一定的研究成果。随着智能手机安全问题日趋严重,智能手机上的入侵检测系统也将成为全球性的课题。Android智能手机入侵检测系统能及时有效的检测到入侵攻击,保障用户的安全使用。
参考文献
[1] 360安全中心2011年中国手机安全状况报告.
[2] Iker Burguera,Urko Zurutuza,Simin Nadjm-Tehrani.Crowdroid:Behavior-Based Malware Detection System for Android[J].18th ACM Conference on Computer and Communications Security.
[3] Amir Houmansadr,Saman A.Zonouz,Robin Berthier.A Cloud-based Intrusion Detection and Response System for Mobile Phones[J].2011 IEEE/IFIP 41st International Conference on Dependable System and Networks.
[4] 唐正军,李建华.入侵检测技术[M].北京:清华大学出版社,2004.
形成原理
《卡巴斯基》为了防止盗版,采用了实时检测Windows系统日期的方法来判断是否超过授权的使用期限。如果检测到已经超出,《卡巴斯基》就会关闭所有的实时监控,托盘上的图标也会变成灰色。这时无法再进行病毒扫描等操作,须要输入新的序列号或者添加新的授权文件才可以恢复正常使用。
利用这一特性,调整系统时间后就能绕过《卡巴斯基》的实时监控,避开它的主动防御功能。下面我们就通过实际操作,来感受《卡巴斯基》脆弱的一面,准备一个木马程序,再对它进行一番改造,让它能够绕过《卡巴斯基》的主动防御检测。
改造木马
首先用WinRAR压缩木马程序,双击生成的RAR文件,点击工具栏上的“自解压格式”图标。在弹出的对话框中点击“高级自解压选项”按钮,在弹出的“高级自解压选项”窗口中填入自解压路径,注意这个解压路径要和后面代码中的路径一致,这里我们设置为“C:\”。
点击“模式”选项标签,选中“全部隐藏”和“覆盖所有文件”这两个选项,最后点击“确定”按钮将压缩包转换成为一个自解压文件。
设置脚本文件
这个脚本文件的作用是先获取Windows系统当前的时间,接着将它修改成设置好的时间,让木马程序延迟一段时间再运行,最后再恢复系统的正常时间。将图中的代码保存下来,保存为一个VBS格式的脚本文件。
文件捆绑
现在我们通过文件捆绑器对木马的自解压文件和脚本文件进行捆绑,我采用的是一款多文件捆绑工具《万能文件捆绑器》。
点击“添加文件”按钮首先添加自解压文件,再点击“添加文件”按钮添加脚本文件,这样设置可以让自解压文件先运行。如果有必要的话,还可以在下面的图标窗口选择需要的文件图标,最后点击“捆绑文件”按钮即可。
通过前面的一系列操作,生成的木马程序就可以绕过《卡巴斯基》的实时监控。这个过程还是比较麻烦,有人将这些操作进行组合,通过一个程序即可实现。也有一些木马程序,比如黑洞、熊宝宝、Evilotus等,生成的服务端程序可以自动地绕过《卡巴斯基》的监控。
防范方法
瑞星2009拥有三大拦截、两大防御功能:木马入侵拦截(网站拦截+U盘拦截)、恶意网址拦截、网络攻击拦截;木马行为防御、出站攻击防御。这五大功能都是针对目前肆虐的恶性木马病毒设计,可以从多个环节狙击木马的入侵,保护用户安全。
通过对“云安全”系统获取数据的深入分析,瑞星研发团队对“智能主动防御”功能进行了多项重大改进,对“远程使用摄像头”、“修改系统日期及时间”、“底层磁盘访问”等常见恶意行为进行监控,彻底杜绝黑客利用远程摄像头进行偷窥,更好地保护用户隐私。
基于“云安全”策略的新一代互联网安全软件
瑞星云安全:通过互联网,将全球瑞星用户的电脑和瑞星“云安全”平台实时联系。组成覆盖互联网的木马、恶意网址监测网络,能够在最短时间内发现、截获、处理海量的最新木马病毒和恶意网址,并将解决方案瞬时送达所有用户,提前防范各种新生网络威胁。每一位“瑞星全功能安全软件2009”的用户,都可以共享上亿瑞星用户的“云安全”成果。
三大拦截
1.木马入侵拦截 U盘拦截:通过对木马行为的智能分析,阻挡U盘病毒运行。
通过对木马病毒传播行为的分析,阻止其通过U盘、移动硬盘入侵用户电脑,阻断其利用存储介质传播的通道。U盘拦截取代了原来的U盘监控,控制范围更广,能够更好地控制执行区域。当U盘拦截范围内的程序试图自动运行或直接运行的时候,进行拦截。并提示用户。
网站拦截:利用分析网页脚本的行为特征,阻挡网页挂马。
目前,有90%以上的病毒通过网页挂马传播,瑞星2009特别加入了以“网页脚本行为特征”为分析基础的网站拦截技术。它可以分析所有加密、变形的网页脚本,直接探测这些脚本的恶意特征,从而比原有的特征码拦截效果更好。同时,用户可以根据自己需求,设置独特的行为检测范围,使网站拦截可以最大限度地保护系统。
网站拦截突破了原来网页脚本扫描只能通过特征进行查杀的技术壁垒。解决了原网页脚本监控无法对加密变形的病毒脚本进行处理的问题。由于采用的是行为检测查杀,对于网页挂马一类的木马有很好的防御和处理能力。此功能是支持瑞星“云安全”计划的主要技术之一。
2.网络攻击拦截:将网络中存在危险的攻击数据包拦截在电脑之外。
入侵检测规则库每日随时更新,拦截来自互联网的黑客、病毒攻击,包括木马攻击、后门攻击、远程溢出攻击、浏览器攻击、僵尸网络攻击等。网络攻击拦截作为一种积极主动的安全防护技术,在系统受到危害之前拦截入侵,在不影响网络性能的情况下能对网络进行监测。
网络攻击拦截也是网络监控的一项基本功能,能够防止黑客/病毒利用本地系统或程序的漏洞,对本地电脑进行控制。通过使用此功能,可以最大限度地避免因为系统漏洞等问题而遭受黑客/病毒的入侵攻击。
一旦网络监控检测到黑客/病毒入侵,如2003蠕虫王攻击,则会拦截入侵攻击并提示相关信息。
3.恶意网址拦截:依据瑞星“云安全”成果,对恶意网址进行屏蔽。
依托瑞星“云安全”计划,每日随时更新恶意网址库,阻断网页木马、钓鱼网站等对电脑的侵害。用户可以通过这个功能屏蔽不适合青少年浏览的网站,给孩子创建一个绿色健康的上网环境。因为网址过滤下包含了[网站黑名单]与[网站白名单]。用户可以把可疑或不适合浏览的网络地址设置到[网站黑名单]中,把信任的网络地址设置到[网站白名单]中。此外,恶意网址拦截功能也可针对具体的端口号、以及可疑程序进行监控。
两大防御
1.木马行为防御
通过基于行为分析的内置规则和用户自定义规则,对木马破坏系统的动作进行拦截。
通过对木马等病毒的行为分析,智能监控未知木马等病毒,抢先阻止其偷窃和破坏行为。此部分分为瑞星内置规则和用户自定义规则。内置规则是瑞星多年反病毒经验的汇总,而用户自定义规则是根据不同用户的需求和实际情况而自行编辑的。用户可以将自己编辑的规则上传给瑞星,如果该规则应用范围较广,瑞星可将用户自定义规则升级为瑞星内置规则。
2.出站攻击防御
阻止电脑被黑客操纵,变为攻击互联网的“肉鸡”,保护带宽和系统资源不被恶意占用,避免成为“僵尸网络”成员。使用“出站攻击防御”功能,可以对本地与外部连接所收发的SYN、ICMP、UDP报文进行检测。
智能主动防御的改进
在瑞星2009中,“智能主动防御”更开放、更智能、更灵活。尤其是其中的“系统加固”和“应用程序控制”,可以加固系统的脆弱点,抵御恶意程序的侵害。尤其是针对“摄像头控制”、“病毒安装驱动”的流行入侵行为进行了防御,可以更好保护用户安全。
系统加固:针对恶意程序容易利用的操作系统脆弱点进行监控、加固,以抵御恶意程序对系统的侵害。系统加固对系统动作、注册表、关键进程和系统文件进行监控,防止恶意程序对操作系统进行修改系统进程、操作注册表、破坏关键进程和系统文件等危险行为。
文件压缩的安全性
自己的东西放在网盘中担心不安全,怎么办?加密压缩!压缩过程中是否可以加密,是衡量压缩软件的一个实用指标。
压缩软件首先要能对文件的内容进行加密,360压缩、好压、WinRAR均提供了加密码压缩的功能。此外,若对压缩包中的文件名信息也能加密,使其在打开之后连文件名也无法显示,则更能起到保密作用。好压仅支持7Z格式文件名加密,360压缩不支持ZIP格式的文件名加密(图1),而WinRAR 5不仅支持RAR、RAR5、ZIP格式的加密压缩,还支持RAR两种格式的文件名加密。
网上下载的压缩包担心不安全,怎么办?解包后再找劳驾杀毒软件吗?那样可能会为时已晚!如果压缩软件带有安全检测功能,能自动检测甚至预测压缩包的安全性,则更加方便。因此,对压缩包的安全检测便成了衡量压缩软件的又一个指标。
360压缩提供“打开压缩文件时进行360木马扫描”选项,同时可以设定文件容量为多大时进行木马扫描(图2)。用360压缩打开一个压缩包后,会自动对压缩包内的文件进行云木马检测,保证使用安全。经过云木马检测后,360压缩会对压缩包内不同类型的文件进行安全评级,有效识别木马、脚本、普通文件、风险文件,并在界面右上角会有相应的图片提示。需要说明的是:在安全级别为木马的文件上双击文件会弹出阻止点击对话框,有效防止误双击打开木马,更安全。针对木马、风险级别的文件会有弹出窗口进行警示。
好压在安全方面则提供更多的选择,可以设置选择“强力双核云查杀”、“QQ管家云查杀”、“360云查杀”三种云查杀引擎模块(图3)。
WinRAR软件本身没有自带安全检测模块,但有一个提示选择外部病毒扫描软件的选项(图4)。
压缩管理的方便性
把属于不同人的资料一次压缩到不同的文件中,或者把属于不同人的压缩包解压到不同人的文件夹中。成批文件在压缩时是否能按不同意愿生成不同类型的压缩包,成批压缩包在解压时能否按用户的意愿来生成不同结果的文件存储结构。这些又是衡量压缩软件的一个实用指标。
360压缩和好压能压缩每一个文件到单独的压缩包中,例如可实现分别给不同客户的资料一次性压缩完成。而三款软件都可以将成批压缩包分别解压到独自的文件夹中(图5),这样做的好处是,可以避免同名内容的覆盖。例如几个产品的压缩包中,均有一个“说明.PDF”文件,如果统统解压到本目录中,则以“说明.PDF”为名的文件,前一产品的说明会被后一产品的覆盖掉。因此,有必要将每个产品的资料分别解压到一个单独的文件夹中存放。
此外,WinRAR在定义不同类别的文件压缩和解压过滤方面有更加详细的设置可供用户选择,还可以定制较为复杂的自动安装文件。好压次之,360压缩在这方面的选择最少。
压缩过程的智能高效性
压缩的主要目的是缩小文件体积、减少文件个数。但压缩也需要效率,越快越好。对于文件中掺杂有压缩率很低的资料,如何绕过压缩这一关实现高效打包呢?不同于普通的TXT文档或其他常用文档格式,有的文件已经是经过压缩的格式(如一些压缩视频),若再用压缩软件来压缩,很费时间,但最后得到的压缩文件与源文件大小差别不大。因此,我们需要寻求高效的压缩方法。
在360压缩中,有一个选项“对压缩率很低的文件直接存储”,如果在处理一些已经经过压缩的文件的压缩项目时,选中这个选项,则可以大大提高压缩效率,节省压缩所需时间。虽然三种压缩软件都有选择“存储”压缩方式和其他几种压缩方式的选项,但这些都需要人为选择,不够智能化。相比之下,360压缩这方面做得最好。
文件格式的通用性
选用压缩软件生成压缩文件包,我们不能不考虑压缩格式的通用性。如果生成的压缩文件格式使用不很方便,这样的工具肯定不是最受欢迎的。
1.计算机病毒综述
计算机病毒是一种人为制造的,专门用来破坏或者攻击计算机软件系统,并复制本身传染其他应用程序的代码,随着计算机网络技术的逐渐发展和应用,计算机病毒已经成为信息系统安全的主要威胁之一。计算机病毒能够像生物病毒一样进行繁殖,在程序正常运行的时候,能够进行运行自身复制,也就是说计算机病毒具有繁殖性,再有计算机病毒具有传染性,一旦病毒被复制或者是产生变种,那么它的传播速度是很难预防的,传染性是计算机病毒基本的特征。此外计算机病毒还具有潜伏性,这跟定时炸弹是差不多的,在之前设计好病毒爆发的时间,给人以措手不及,还具有隐蔽性、破坏性等特性。计算机病毒大致上被分为宏病毒、木马病毒、黑客工具、脚本病毒等种类,下面我们将对这些病毒进行系统的分析。第一,宏病毒,这是脚本病毒中的一种,但是由于其特性故将其分为一类,宏病毒的前缀是Macro,第二前缀是Word、Excel等,较为著名的宏病毒有著名的美丽莎。第二,脚本病毒,脚本病毒的前缀是Script,脚本病毒的共有特性是使用脚本语言编写的,借助网页进行传播的病毒。第三,木马病毒和黑客病毒,木马病毒的前缀Trojan,木马病毒是通过网络或者是系统漏洞进入用户的系统并隐藏的,并向外界泄露用户信息的病毒,它和黑客病毒,前缀Hack一般都是成对出现的,木马病毒负责入侵电脑,而黑客病毒通过木马病毒进行控制,共同散播用户的信息。计算机病毒除了上述的几种还有较多的种类,而随着计算机病毒的不断入侵,加大对计算机病毒检测就成为防止计算机病毒入侵的有效措施。
2.计算机病毒检测技术探究
计算机病毒检测技术的种类比较多,比如智能广谱扫描技术、虚拟机技术、特征码过滤技术以及启发扫描技术,其征码过滤技术在近些年的计算机病毒查杀过程中经常使用,并且这一技术也是目前的主流病毒检测技术,我们将对这些计算机病毒检测技术进行系统的探究,全面提高计算机病毒检测技术。
第一,智能广谱扫描技术。这一技术是为了躲避杀毒软件的查杀,通过对非连续性和转变性较大的病毒的所有字节进行分析,并且进行整合的一种高变种的病毒,被称为智能广谱扫描技术,这一技术是按照目前病毒的类型和形式的千变万化的情况研发而出的。由于传统的病毒在目前一些杀毒软件中都有一定的资料,检测技术也就相对比较简单,那么为了使用杀毒软件找出病毒,必须要对计算机病毒检测技术进行改革,智能广谱扫描技术能够对病毒的每一个字节进行分析,在发现程序代码中的字节出现相同或者是相近的两个病毒编码就可以确定其为病毒。这一技术的优点有准确性高,查找病毒速度快等优点,但是需要收集较多的信息,针对于新的病毒并没有杀毒功能,主要是针对已经存在的病毒进行杀毒。第二,虚拟机技术。虚拟机技术也就是用软件先虚拟一套运行环境,让病毒在虚拟的环境中进行,以此来分析病毒的执行行为,并且由于加密的病毒在执行的时候需要解密,那么就可以在解密之后通过特征码来查杀病毒,在虚拟的环境中病毒的运行情况都被监控,那么在实际的环境中就可以有效的检测出计算机病毒。虚拟机技术主要针对的是一些新生代的木马、蠕虫病毒等,这一技术具有提前预知性,识别速度较快等优点。第三,特征码过滤技术。在病毒样本中选择特征码,特征码在一般情况下选得较长,甚至可以达到数十字节,通过特征码对各个文件进行扫描,在发现这一特征码的时候就说明该文件感染了病毒。一般在选择特征码的时候可以根据病毒程序的长度将文件分成几份,这能够有效的避免采用单一特征码误报病毒现象的发生,此外在选择特征码的时候要避免选出的信息是通用信息,应该具有一定的特征,还要避免选取出来的信息都是零字节的,最后需要将选取出来的几段特征码,以及特征码的偏移量存入病毒库,再表示出病毒的名称也就可以。特征码过滤技术具有检测准确快速,误报警率低,可识别病毒名称等优点,但是它也存在着一些缺点,例如:速度慢,不能够对付隐蔽性的病毒等,主要是针对已知病毒进行分析和记忆贮存。第四,启发扫描技术。
由于新的病毒的不断出现,传统的特征码查杀病毒很难查出新的病毒,那么为了能够更好的检测病毒的相关代码,研发了启发式扫描技术,启发扫描技术不能够对一些模棱两可的病毒进行准确的分析,容易出现误报,但是这一技术能够在发现病毒的时候及时的提示用户停止运行程序。这一技术是通过分析指令出现的顺序,或者是特定的组合情况等一些常见的病毒来判断文件是否感染了病毒。由于病毒需要对程序进行感染破坏,那么在进行病毒感染的时候都会有一定的特征,可以通过扫描特定的行为或者是多种行为的组合来判断程序是否是病毒,我们可以根据病毒与其他程序的不同之处进行分析,来判断病毒是否存在,这一技术主要是针对熊猫烧香病毒等。此外还有主动防御技术,虽然这一技术是近些年才出现的新技术,但是它同样能够对抗病毒的威胁,在目前依靠特征码技术已经很难适应反病毒的需求,而主动防御技术就是全程监视病毒的行为,一旦发现出现异常情况,就通知用户或者是直接将程序的进行结束。利用这些计算机反病毒技术能够有效的防止病毒入侵计算机,给用户一个较好的使用环境。这一技术会主动出现造成误差,并且难以检测出行为正常技术较高的病毒,它能够在病毒出现后及时的提醒用户,主要针对的是global.exe病毒等。
3.结语
综上所述,计算机病毒的种类较多,有木马病毒、黑客病毒、宏病毒等,这些病毒的出现直接危害了计算机的安全使用,并且暴露了用户的相关信息,所以必须要加强对计算机病毒检测技术的研究,比如现行的虚拟机技术、智能广谱扫描技术以及特征码过滤技术等,合理的利用这些技术能够有效的减少计算机受到病毒的危害,全面保证用户使用计算机的安全。
作者:任艳艳 单位:陕西省天然气股份有限公司
1.1来自恶意程序的威胁
该类程序主要有计算机病毒、木马,通过网络及可移动介质进行传播.由于网络应用的普及,社区软件应用的流行为其传播提供了有效的途径,人们在接收有效信息的同时也可能接收到恶意程序而被“挂马”或感染病毒,导致计算机中的信息遭到破坏或被窃取.人为点击错误的链接导致打开下载未知的恶意程序也是遭受信息欺诈的形式之一.木马(Trojan),也被称为木马病毒,是指通过特定的程序(木马程序)来控制另一台计算机.其通常有两个可执行程序:控制端与被控制端.木马这个名字来源于古希腊传说(荷马史诗中木马计的故事,Trojan一词的特洛伊木马本意是特洛伊的,即代指特洛伊木马,也就是木马计的故事)“.木马”程序是目前比较流行的病毒文件,与一般的病毒不同,它不会自我繁殖,也并不“刻意”地去感染其他文件,它通过将自身伪装吸引用户下载执行,向施种木马者提供打开被种主机的门户,使施种者可以任意毁坏、窃取被种者的文件,甚至远程操控被种主机.木马病毒的产生严重危害着现代网络的安全运行.常见的木马程序有:网游木马、网银木马、下载类、类、FTP木马、通讯软件类、网页点击类等.计算机木马程序虽然没有病毒程序那样的传染能力,但是其破坏性非常大,对个人信息、隐私,对国家安全、机密的威胁都非常大.计算机病毒是人为编制的具有破坏作用的计算机程序.任何程序和病毒都一样,不可能十全十美,所以一些人还在修改以前的病毒,使其功能更完善,病毒在不断的演化,使杀毒软件更难检测.现在操作系统很多,因此,病毒也瞄准了很多其它平台,不再仅仅局限于MicrosoftWindows平台了.一些新病毒变得越来越隐蔽,同时新型电脑病毒也越来越多,更多的病毒采用复杂的密码技术,在感染宿主程序时,病毒用随机的算法对病毒程序加密,然后放入宿主程序中,由于随机数算法的结果多达天文数字,所以,放入宿主程序中的病毒程序每次都不相同.这样,同一种病毒,具有多种形态,每一次感染,病毒的面貌都不相同,犹如一个人能够“变脸”一样,检测和杀除这种病毒非常困难.同时,制造病毒和查杀病毒永远是一对矛盾,既然杀毒软件是杀病毒的,而就有人却在搞专门破坏杀病毒软件的病毒,一是可以避过杀病毒软件,二是可以修改杀病毒软件,使其杀毒功能改变.病毒的传播性极强,而且有多重传播介质,对于用户的个人信息和企业的机密信息都是一个较大的威胁,无论是木马还是病毒程序,都需要进行有针对性的研究,并且及时采取应对措施,保证计算机网络信息安全.
1.2骇客(Cracker)与黑客(Hacker)攻击行为
骇客指那些利用现有程序进行计算机系统入侵,专门进行破坏计算机或影响计算机安全的人.他们未必具有高超的技术,而是利用自己的技术进行网络犯罪.黑客是指在计算机界中那些“用巧妙的方式解决问题的人”,他们热衷于挑战,崇尚自由并主张信息共享.网络信息安全技术与黑客攻击技术都源于同一技术核心(网络协议和底层编程技术),所不同的是如何使用这些技术.其主要的威胁有两种,一种是对网络信息的,另一种是对网络设备的.黑客的攻击原理通常是,第一步收集网络系统中的信息,第二步检测出目标网络存在的安全漏洞,第三步建立一个虚拟的环境,进行模拟攻击,最后进行实际的网络攻击.黑客攻击大体有两种,一种是诱骗式的攻击方法,这种方式黑客通过交流软件(QQ,MSN,OISQ等)、电子邮件、网页信息、软件下载等来进行病毒和木马的传播,通常这种方法较为被动,但是传播速度较快.另一种是顶点式攻击方法,这种攻击方法的使用者大多数以获取攻击对象机密信息或者资料为目的,需采集服务端口、IP地址等信息;然后得知漏洞并利用其攻击口令文件实施破解以得到对被攻击对象的控制权限;第三植入后门程序;第四步访问其它主机获取文件等信息.从黑客的攻击方式和原理中我们不难看出,这些黑客对个人、企业甚至国家计算机的攻击都可能会造成较大的损失,对整个计算机网络信息安全也是一个重要的威胁,对这种行为进行防治我们要从计算机网络和软件开发等方面入手,使计算机网络自身的漏洞尽量减少,一旦发现漏洞及时进行补丁的研究.
1.3人为无意失误与各种误操作或计算网络系统故障
网络中大量盗链与钓鱼软件的存在使得缺乏操作知识与安全意识的人,很容易点击错误的链接,下载并打开安装了未知程序致使计算机中毒、被挂本马或是在网上交流过程中受骗,毫无防范意识地将信息提供给他人,这些都是造成信息丢失或信息受侵的原因.而且计算机网络本身已不是一个非常稳定、可靠的系统,无论是由于目前的技术缺陷还是设备问题,都是导致计算机网络自身稳定性和可靠性存在不足的原因,但是计算机用户可以说是一个较为稳定并且在逐渐扩大的群体,用户需要一个稳定、安全的网络环境使自己的信息安全受到保护,这就与计算机网络系统的现状产生了冲突.一旦计算机网络系统产生故障或者工作过程中产生波动,很可能导致用户和系统信息丢失或者泄露,而且计算机网络系统的基础是ip协议,协议的自身运行会增加许多代码和程序的应用,而这些代码和程序的本身就存在一些漏洞,存在安全问题.另一方面,计算机网络系统硬件故障、自然灾害及人为对通信线路与设施进行破坏与窃听都会给信息安全造成威胁.
2计算机网络信息安全防护策略
2.1增强对木马、病毒的检测和防御
首先,安装反病毒程序、防火墙并开启实时防护与检测,以直观的方式对已知病毒木马进行查杀,对未知病毒进行隔离,做到实时防范与定期查检.通过防火墙有效对内网与外网信息进行隔离过滤,对外封锁或隐藏掉内网信息,屏蔽掉大量的有害外网应用保障内网信息不受威胁.使防范具有主动性与前瞻性.其次,对系统进行及时的软硬件的升级与漏洞修复.开启软件的定期自动更新功能与安装新软件后的漏洞即时检测功能,将系统修复自动化,减少病毒侦查漏洞入侵系统的机会,预防用户信息与数据免遭篡改攻击或破坏.对操作系统也要及时更新修补漏洞,打补丁是修复漏洞的有效方法.最后,增强法律、法规意识,通过正确途径获得正版软件与有效真实信息.很多用户由于对某一软件的急切需求,导致软件来源不明,又无法断定软件的安全性就贸然安装使用致使软件中恶意携带的有害程序被植入本地计算机系统.因此不非法拷贝与使用来源不明的软件,是有效防预的措施之一.
2.2规范上网行为,养成良好的上网习惯
关键词:网络安全;网络攻击与防御;监听扫描
一、网络安全概述
网络安全是指网络系统中的数据受到保护,不受恶意的或者偶然的原因而遭到破坏、更改、泄露,以及系统中的软件、硬件连续、可靠正常地运行。随着计算机网络的飞速发展,网络中的安全问题也日趋突出。网络容易遭受到恶意攻击,例如数据被窃取,服务器不能正常的工作等等。针对这些攻击,人们采用了一些防御手段,不断的增强系统本身的安全性,同时还采用了一些辅助设备,比如网络系统和防火墙。防火墙一般作为网关使用,在检测攻击的同时,还能阻断攻击,网络一般作为并行设备使用,不具有阻断攻击的能力,它检测到攻击后,发出警报通知管理员,由管理员进行处理。不同的攻击,有不同的防御方法,我们在对攻击的有一定的了解后,制定相应的防御策略,才能保证网络安全。
二、攻击方法分类
网络入侵的来源一般来说有两种,一种是内部网络的攻击,另一种是外网的入侵。
攻击行为可分为:单用户单终端,单用户多终端,多用户多终端3大类。
(1)端口扫描攻击:网络端口监听就是一种时刻监视网络的状态、计算机数据流程以及在网络中传输的信息的管理工具.当计算机网络的接口处于监听模式的状态时,其可以快速的截取在网络中传输的数据信息,以此来取得目标主机的超级管理用户的权限。另外还在系统扫描的过程中,可以扫描到系统中那个端口是开放的,对应开放的端口提供的是什么服务,在捕获的服务中的操作信息是什么,此后攻击者就能利用它获取到的操作系统信息对目标主机进行网络入侵。
(2)缓冲区溢出攻击:缓冲区溢出攻击就是利用缓冲区溢出漏洞来进行攻击,在某种程度上可以说是一种非常危险的漏洞,在各种操作系统、应用软件中存在比较多。其原理在于程序获得了过量的数据,系统并没有对接收到的数据及时检测。结果使系统的堆栈遭到严重的损坏,从而使计算机被攻击者操控或者是造成机器瘫痪,使其不能正常工作。如果黑客进行远程攻击时,就必须使用系统服务中出现的溢出漏洞。在各个不相同的系统中,它产生的服务的攻击代码也各不相同。常用到的攻击检测的方法就是使用字符串匹配。出现缓冲区溢出的攻击还有一方面在于,现在大多是的应用程序都是由C语言构成的.在C、C++语言的语法中,对其数组下标的访问一般不做越界检查,因此导致缓冲区溢出的现象。
(3)拒绝服务攻击:拒绝服务攻击就是攻击者想办法让目标主机无法访问资源或提供服务,是黑客常用的攻击手段。这些资源包括磁盘硬盘空间、线程、内存等。拒绝服务攻击是指对计网络带宽进行消耗攻击。带宽攻击这一话题也并不陌生它是指用大量的通信数据量来攻击网络带宽。从而使网络带宽中的的大部分资源都被消耗完了,以至于主机不能正常的处理合法用户进行的请求。攻击者产生拒绝服务攻击,从而导致服务器的缓冲区溢出,无法接收新的请求,同时攻击者还可以采用IP地址欺骗的方式,使合法用户的请求被攻击者窃取,无法正常达到信息请求的目的地,严重影响用户请求的连接。
(4)病毒攻击:提到病毒攻击,最为直观的就是木马攻击。木马对电脑系统的破坏很强大,一般来说它具有通常有两个可执行程序:一个是客户端,即控制端,另一个是服务端,即被控制端。木马的设计者为了防止木马被发现,多采用多种手段来隐藏木马,这样,即使是发现感染了木马,由于不能确定木马的正确位置,也无法清除。木马的服务端一旦运行并被控制端连接,其控制端将享有服务端的大部分操作权限,而这对于服务端的用户是非常危险的。一旦计算机被植入木马,攻击者就能窃取密码,更该系统配置,发送错误信息,终止进程,修改注册表等。攻击者就可以远程实现像操纵自己的计算机一样来操纵被植入木马的计算机。木马入侵的方式主要有错误的服务信息,电子邮件,捆绑在游戏中等。
三、网络防御策略
(1)防火墙技术。防火墙是设置在内部网络与外部网络之间的一个隔离层,能够有效的防止未知的或者是潜在的入侵者。内部网络安全的实现主要是通过监测进入内网的数据信息或者直接限制其信息流入内网。从而实现外网无法获得内网的网络构成、数据流转和信息传递等情况,以此达到实现保护内部网络安全的目的。防火墙是不同网络间信息传递的重要关口,它能够有效的控制外网和内网的数据流交换,而且它本身具有较强的抗攻击能力。从某种程度上说,防火墙是实现了分离和限制的作用,可以监控内部网和外部网之间信息交换活动,来达到保护内部网络安全的目的。
(2)入侵检测。入侵检测系统(IDS)就是对现在的系统或正在使用的网络资源进行实时监测,以能够及时发现网络中的入侵者。入侵检测技术一般来说分为,非正常检测和常规检测。非正常检测就是通过检测系统中是否存在异常行为以此来达到检测目的,它能快速的地检测出网络中未知的网络入侵者,漏报率非常低,但是由于在检测中无法确地定义正常的操作特征,所以引发信息的误报率高。常规检测方法。这种检测方法最大的缺点是它自身依赖于函数特征库,只能检测出已存在的入侵者,不能检测未知的入侵攻击,从而引发漏报率较高,但误报率较低。
(3)建立安全管理。它是指通过一些的组织机构、制定制度,把含有信息安全功能的设备和使用此信息的人融合在一起,以确保整个系统达到预先制定的信息安全程度,以此能够达到保证信息的保密性、完整性和实用性的目的。安全管理主要包括安全管理策略和技术两个方面的内容。要想安全管理实现就必须在规章制度制定、安全体系中充分考虑技术方面,只有制度和技术的有效结合才能真正发挥作用,并取得预期的效果。
(4)多层次的安全系统建立。计算机网络安全系统可划分为不同级别的安全制度。其主要包括:对系统实现结构的分级,对传输数据的安全程度的分级(绝密、机密、秘密、公开);对计算机网络安全程度的进行分级,对用户操作权限的分级等。针对网络中不同级别的安全对象.从而提供不同的安全算法和安全体制.用以以满足现代计算机网络中不同层次的实际需求.
四、网络安全技术的前景
随着网络的迅速发展,网络的攻击方法已由最初的零散知识发展为一门完整系统的科学。与此相反的是,成为一名攻击者越来越容易,需要掌握的技术越来越少,网络上随手可得的攻击实例视频和黑客工具,使得任何人都可以轻易地发动攻击。因此我们的防御技术显得尤为重要,从攻击趋势分析中发现,目前网络安全防范的主要难点在于:攻击的“快速性”—漏洞的发现到攻击出现间隔的时间很短;安全威胁的“复合性”—包括多种攻击手段的复合和传播途径的复合性。这一切均是传统防御技术难以对付的,因此人们需要更加先进,更全面化的主动防御技术和产品,才能在攻击面前泰然自若。(作者单位:河南师范大学软件学院)
参考文献:
[1]高飞,申普兵.网络安全主动防御技术.计算机安全.2009.1:38-40.
[2]王秀和,杨明.计算机网络安全技术浅析.中国教育技术装备.2007.5.49-53
[3]周军.计算机网络攻击与防御浅析.电脑知识与技术.2007.3:1563-1606
[4]赵鹏,李之棠.网络攻击防御的研究分析.计算机安全.2003.4:35-38