《防病毒系统自身的鲁棒性.ppt》由会员分享,可在线阅读,更多相关《防病毒系统自身的鲁棒性.ppt(29页珍藏版)》请在三一办公上搜索。
1、防病毒系统自身的鲁棒性,CA-Jinchen2023年8月29日,计算机病毒的发展趋势,感染方式系统漏洞网络共享传播渠道Web浏览E-Mail传输传播方式ICQFlash隐藏方式电子邮件附件后缀名称多重加密,Dakfjdjfdsafkdafld jdkjajfdlkiefjdksjalfdksajdlsakfdsalkfdkslafjdksafljddfksajfdjskajfdsjafdjsakjfdksjafkdjlsafjldksjafowjfejwaijio,病毒和入侵者行为的融合,入侵者行为特点:采用系统安全漏洞达到对系统的控制或毁坏病毒行为特点:利用自我复制和快速的传播达到病毒设计
2、者的特定目的文件破坏系统破坏信息窃取资源占用成果展示逻辑炸弹恐吓无目的二者的融合导致了远程快速系统控制或破坏的可能性,融合点,病毒的感染方式借助了系统存在的安全漏洞80s蠕虫病毒2001年Nimda病毒病毒的欺骗战术Social Engineering攻击方式I love you爱虫病毒贺卡病毒入侵者对病毒的利用攻击的前奏(如DDoS)利用病毒造成的后门直接利用病毒窃取敏感信息(如口令文件),Zero-Day攻击,攻击过程自动化攻击工具的复杂化漏洞发现的快速化渗透网络防护,全球攻击趋势,防病毒系统的重任,广泛驻留在每一台计算机实时对恶意代码防范监视多渠道的数据来源高可用性频繁升级高安全性,防病
3、毒系统面临的问题,入侵者对防病毒系统的利用病毒攻击人为攻击防火墙端口的开放网络资源的占用管理负载网络发现策略分发升级负载,病毒攻击,Maldal.D(ZaCker)病毒2001年12月28日编写并传播采用VB编写,Aspack压缩采用Outlook散布,发送给所有的联系人试图删除以下后缀的文件:.ini,.php,.exe,.com,.mpeg,.dat,.zip,.txt,.exe,.xls,.doc,.jpg试图删除数种防病毒软件,人为攻击,防病毒软件破坏防病毒软件中种植木马特征码篡改控制指令假冒升级程序(脚本)篡改,防火墙端口的开放,防病毒服务器为了升级特征代码从厂家提供的升级服务器升级
4、内部跨越不同安全网段的升级一般升级方式FTP网络共享HTTP安全隐患,网络负载,管理负载可能导致的大量的网络广播策略分发对网络的负荷升级负载特征库越来越大12Mb病毒爆发时对网络的瞬时压力,防病毒系统的鲁棒性,安全可靠效率高适应当前病毒发展的趋势,安全性,自身程序和特征文件的保护管理台和客户端通信的保护特征文件安全升级的保障升级系统对防火墙开放端口的要求微型入侵检测系统,利用数字签名实现的自我防护,利用private key对主要模块进行数字签名签名的部分所有二进制文件升级特征文件策略文件补丁程序运行机理在动态调用DLL之前进行检查开始运行EXE文件时进行自检调用EXE文件之前进行检查,程序没
5、有签名保护的运行流程,User space,Kernel space,Yes,No,程序有签名保护的运行流程,User space,Kernel space,Yes,No,Yes,No,防病毒客户端和管理台通讯安全,会话之前的认证会话过程的加密分发策略的签名,三重的安全保障,对特征文件升级端口的控制,应该提供多种方式可以选择HTTP(最符合安全策略)FTPActive modePassive modeSMB本地路径,微型入侵检测系统,对现代防病毒软件的要求抵御蠕虫感染后留下的后门了解蠕虫病毒的特征分析蠕虫病毒的破坏结果修复被破坏和篡改的文件、注册表项等,效率的考虑,网络管理效率特征文件升级效率
6、对集中升级请求的处理,低负载网络发现过程,选举,层次化的策略代理和升级代理机制,利用策略代理实现对大网的分割每一个小网设置一个代理最终客户端的策略分发由最低级别的代理实现特征文件升级同策略代理的实现方式一致对升级流量和负载进行分散处理,增量升级实现方式,Full Data File,Full Data File,特征码升级步骤,其他升级要考虑到的问题,安全性全网升级之前的测试升级避免失败的升级将影响范围扩大,效率将升级时间设定为指定固定升级时间周围的一个时间段,随机选择。比如统一在中午1点钟左右10分钟升级。,更多信息,请访问Web站点:或致电8008100412免费热线,北京冠群金辰软件有限公司,
