第九讲 恶意代码概述.pptVIP

恶意代码的分析与防范 河北师范大学网络中心 王方伟 恶意代码概述 信息安全威胁 安全保障措施 恶意代码的定义 恶意代码的产生 恶意代码的类型 恶意代码的历史 一、信息安全所面临的威胁 计算机信息安全（computer system security）中的“安全”一词是指将服务与资源的脆弱性降到最低限度。脆弱性是指计算机系统的任何弱点。 信息安全包括的属性有：机密性、完整性、可用性、非否认性、可控性、…… 一、信息安全所面临的威胁 机密性 是指保护数据不受非法截获和未经授权浏览。这一点对于敏感数据的传输尤为重要，同时也是通信网络中处理用户的私人信息所必须的。 通常所面临的问题： 窃听QQ、MSN聊天记录 窃听移动电话通话 窃取网银账号 偷看他人文档、照片等等 一、信息安全所面临的威胁 完整性 是指能够保障被传输、接收或存储的数据是完整的和未被篡改的。这一点对于保证一些重要数据的精确性尤为关键。 通常所面临的问题： 篡改网页信息，涂鸦留言 网站挂马 破坏本地文档 一、信息安全所面临的威胁 可用性 是指尽管存在可能的突发事件如供电中断、自然灾害、事故或攻击等，但用户依然可得到或使用数据，服务也处于正常运转状态。 通常所面临的问题： 停电：2003年北美大停电 恐怖主义：2001年911袭击 自然灾害：2008年5月12日汶川地震， 2011年3月11号日本地震 一、信息安全所面临的威胁 非否认性 是指能够保证信息行为人不能否认其信息行为。这一点可以防止参与某次通信交换的一方事后否认本次交换曾经发生过。 通常所面临的问题： 电子购物：赖账问题 网络犯罪：案件现场取证 网上发帖的追踪问题 一、信息安全所面临的威胁 可控性 是指对信息及信息系统实施安全监控。这一点可以确保管 机构对信息的传播及内容具有控制能力。 通常所面临的问题： 网络蠕虫 网络警察 内容过滤 翻墙 已知安全事件V.S.带来损失的安全事件 引发网络安全事件的主要原因分析 值得关注的信息安全问题 可能直接危害国家安危的信息安全问题有： 网络及信息系统出现大面积瘫痪 2001年，中美黑客大战； 2007年，爱俄网络战； 2008年，俄格战争； 世博会安全吗？ 网上内容与舆论失控 2009年，新疆7.5事件； 谣言 2011年5月21日全球大地震 值得关注的信息安全问题 可能直接危害国家安危的信息安全问题有： 网上信息引发社会危机 2010年，麻疹疫苗风波； 社会群体事件如何监控？ 有组织的网络犯罪 2009年，麻城警方破获“黑色靓点犯罪团伙” ；蠕虫、木马泛滥成灾 如何打击防范网络犯罪？ 二、信息安全的保障措施 信息安全发展的四个阶段 信息安全关键技术 安全检测与风险评估 网络信任体系 可信计算 访问控制 身份认证 密码技术 内容安全(包括反垃圾邮件) 人工免疫 安全协议 恶意行为及恶意代码检测 信息隐藏 攻击造成原因统计 客户采用的安全手段 保障信息安全的手段 法律：全国相关法律条例100余项。 ?《中华人民共和国刑法》 《中华人民共和国计算机信息系统安全保护条例》 《计算机病毒防治管理办法》 《中华人民共和国电信条例》…… 技术： …… 管理 三分技术，七分管理 教育 全国高等院校开办信息安全专业，50余家 二、恶意代码的定义 恶意代码-Malicious Software, malware 把未经授权便干扰或破坏计算机系统/网络功能的程序或代码（一组指令）称之为恶意程序。 一组指令： 二进制文件 脚本语言 宏语言 恶意代码的功能 删除敏感信息 作为网络传播的起点 监视键盘 收集你的相关信息 常访问的站点 search的关键词 上网偏好/时间 获取屏幕 在系统上执行指令/程序 恶意代码的功能（Con’t） 窃取文件，如文档/音视频数据/财务/技术/商业机密 开启后门，作为攻击其他计算机的起点/（肉鸡） 隐藏在你主机上的所有活动 诱骗访问恶意网站 三、恶意代码的产生 恶意代码也是软件 恶意的用户 同构计算环境 日益减少的信息孤岛 缺乏安全知识的用户群 我们的世界不是和平的世界 3.1 恶意代码也是软件 与我们平时所使用的各种软件程序从本质上看并没有什么区别 它也是人们通过一定的语言编写出来的 正常的程序或软件是用来帮助人们解决某些问题的，而病毒程序是专门用来搞破坏的。 3.2 恶意的用户 2/8原则 小部分人挑战自己的智慧 大部分人获得财富（偷） 技术： 各种弱口令/配置 缓冲区溢出 SQL注入 3.3 同构计算环境 操作系统同构(来源：Net Applications，2010.5) Windows——91.28% Mac——5.27