《第十五讲 病毒防护策略》由会员分享,可在线阅读,更多相关《第十五讲 病毒防护策略(62页珍藏版)》请在金锄头文库上搜索。
1、第十五讲 病毒防护策略,2,本章概要,本章内容主要是当前网络时代新威胁的基础知识,包括: 病毒防护的一般知识; 企业级防毒体系的要义; 病毒与互联网黑色产业链; 云安全技术构成; 企业防毒体系的构建,传统的病毒防护技术,计算机病毒的检测方法,病毒检测方法,计算机病毒的检测方法,比较法,比较法是通过用原始备份与被检测的引导扇区或文件进行比较,来判断系统是否感染病毒的方法。 文件长度的变化和文件中程序代码的变化都可以用来作为比较法判断有无病毒的依据。,比较法的优点: 简单、方便,不需专用软件,并且还能发现尚不 能被现有的查病毒程序发现的计算机病毒。,比较法的缺点: 无法确认病毒的种类。当发现差异时
2、,无法判断产生差异的原因是由于病毒的感染,还是由于突然停电、程序失控、恶意程序破坏等原因造成的。,计算机病毒的检测,搜索法,搜索法的主要缺点:,当被扫描的文件很长时,扫描所花的时间也多。 当新的病毒特征串未加入病毒代码库时,老版本的扫描程序无法识别新病毒。 当病毒产生新的变种时,病毒特征串被改变, 因此可以躲过扫描程序。 容易产生误报警。,搜索法是用每一种病毒体含有的特征字节串对被检测的对象进行扫描,如果发现特征字节串,就表明发现了该特征串所代表的病毒。 被广泛应用。,计算机病毒的检测,特征字的识别法,同搜索法不同,特征字识别法只需从病毒体内抽取很少几个关键的特征字,组成特征字库,可进行病毒的
3、查杀。 由于需要处理的字节很少,又不必进行串匹配,特征字识别法的识别速度大大高于搜索法。 特征字识别法比搜索法更加注意“程序活性”,减少了错报的可能性。,计算机病毒的检测,分析法,分析法是反病毒专家使用的方法,不适合普通用户。 反病毒专家采用分析法对染毒文件和病毒代码进行分析,得出分析结果后形成反病毒产品。 分析法可分为动态和静态两种。 一般必须采用动静结合的方法才能完成整个分析过程。,计算机病毒的清除方法,病毒清除方法,计算机病毒的清除,文件型病毒的清除,清除文件型病毒,可以有如下一些方案:,如果染毒文件有未染毒的备份的话,用备份文件覆盖染毒文件即可。 如果可执行文件有免疫疫苗的话,遇到病毒
4、后,程序可以自动复原。 如果文件没有任何防护的话,可以通过杀毒程序进行杀毒和文件的恢复。但杀毒程序不能保证文件的完全复原。,计算机病毒的清除,引导型病毒的清除,清除引导型病毒,可以有以下一些方案:,对于硬盘,可以在其未感染病毒时进行硬盘启动区和分区表的备份。当感染引导型病毒后,可以将备份的数据写回启动区和分区表即可清除引导型病毒。 可以用杀毒软件来清除引导型病毒。,计算机病毒的清除,内存杀毒,由于内存中的活病毒体会干扰反病毒软件的检测结果,所以几乎所有的反病毒软件设计者都要考虑到内存杀毒。 内存杀毒技术首先找到病毒在内存中的位置,重构其中部分代码,使其传播功能失效。,计算机病毒的清除,压缩文件
5、病毒的检测和清除,压缩程序在压缩文件的同时也改变了依附在文件上的病毒代码,使得一般的反病毒软件无法检查到病毒的存在。 已被压缩的文件被解压缩并执行时,病毒代码也被恢复并激活,将到处传播和破坏。 目前的主流防病毒软件都已经在其产品中包含了特定的解压缩模块,可以既检查被压缩后的病毒,又不破坏被压缩后没有病毒的文件。,病毒流行趋势与黑色产业链,用户 的变化,变化中的网络安全三要素,技术 的变化,威胁 的变化,网络威胁的变化,威胁 的变化,2008中国网络威胁现况,信息来源:2008年10月公安部国家计算机病毒应急处理中心,计算机病毒感染率为85.5% 多次感染病毒的比率为66.8%,2008中国网络
6、威胁现况,通过网络下载或浏览感染病毒是今年计算机病毒感染的主要途径 网络犯罪分子越来越倾向于通过网页“挂马”方式来传播病毒,信息来源:2008年10月公安部国家计算机病毒应急处理中心,网络威胁快速增长的2008年,恶意程序为了获取客户机密信息或金钱而层出不穷,总量达到1500万左右,单月增长超过64万支,典型的网络威胁攻击流程,用户 的变化,用户的变化,互联网用户快速增长,互联网用户占人口的比例越来越高,年青一代表现出对网络的狂热,信息来源:2008年10月公安部国家计算机病毒应急处理中心,2008年中国互联网用户的调查报告,技术的变化,技术 的变化,数据容量与价格,1985 40MB 硬盘
7、$40,000,2008 16GB USB $64.99,1956 平均每MB价格为 $ 10,000 1988平均每MB价格为 $ 40 2004平均每MB价格为 0.14 分,攻击的数量与速度,米开罗基朗病毒 1991年4月在新西兰发现,到1992年3月,全球共有1万多个案例报道。 这个病毒用了11个月的时间传播了不超过2万台的机器。 亚洲网站挂马大危机 2008年5月21日,一天之内亚洲有超过50万个站点被挂马,初步估计有超过5000万台机器被挂马站点感染。 这次挂马事件只用1天就感染了5000万个用户。,新技术广受欢迎,Source : Fuji Chimera Broadband b
8、usiness market 2008,注册的SNS站点,0,10,000,20,000,30,000,40,000,50,000,60,000,70,000,BLOG开启的数量,0,5,000,10,000,15,000,20,000,25,000,30,000,2006,2007,2008,2009,2010,2011,2012,(单位:千),(单位:千),2006,2007,2008,2009,2010,2011,2012,快速增长的数据正在改变着内容安全的要求,001101010101000101111101001010001011101010101101010001010010010
9、100010001001010101,110101101001001000101010101000101010100100101010110101101101001000101001001010101,1101001001001010101101011011110100000100010101010111110101001001000101001001010101,Network Information Flow,Who is sending,What to,Where?,快速分析和处理海量信息 是传统内容安全解决方案所面临的巨大挑战!,Where 300亿的页面,Who 10亿使用者,Wha
10、t TB的数据,网络信息流,Web,Web,Web,Web,Web,典型的Web威胁攻击行动,Internet上大量的邮件服务器和网站服务器, 自动下载木马, 发送钓鱼邮件, 用户点击邮件中的链接, 木马自我更新, 收集用户信息并提交,解密黑色产业链,10/22/2018,31,Confidential,-发送垃圾邮件 -DDOS攻击 -网站挂马 -建钓鱼网站,入侵活动:,资金流向:,6.地下交易 -数百万肉鸡控制权,广告商/钓鱼集团/其他黑客集团,更多受害者,-商业机密被盗 -隐私活动被盗摄 -隐私照片网上流传,商业机密/隐私,控制命令,7.盗号木马,勒索,黑色产业链下一代的未知威胁,每兩秒
11、一隻新的未知病毒,中国黑客自揭:做病毒一定要低调,中华吸血鬼,熊猫烧香,僵尸(肉鸡)网络,黑客傻瓜化,黑色产业链服务化,我们为这些改变做好准备了吗?,云安全技术,云计算技术,技术构想:将网络威胁计算出来 用户价值:云端查询,实时防护,云计算与云安全,为什么要云安全?,以每天产生25000个木马新变种为例 不计样本捕捉时间 1个样本制作代码、测试、发布约需一个工程师的2小时时间 全天25000个样本共需50000小时的工作时间 以8小时工作制来计算,每天需6250位工程师来处理样本 以100万个样本的病毒代码为20MB计算 每天25000个样本会占用的0.5MB 1年病毒代码库增长182.5MB
12、 2年病毒代码库增长365MB ,再也不能这样做, 再也不能这样活!,云安全如何计算?,年龄: 性别: 身高: 学历: 肤色: 视力: 存款: 房产: 车子: 职业: ,28 男 180cm 本科 偏白 正常 8位数 10处 5辆 贩毒,云安全的计算原理: 任何一个出现的恶意信息都拥有无数的自身属性在述说其自身的恶意性。 云安全的计算方法: 对信息的各种自身属性进行数学算法处理,得出信息的风险值。 云安全的计算价值: 恶意程序的传统人工处理 服务器群的数学处理,云安全计算准确吗?,您做过“10个是否问题猜人”的游戏吗?,游戏规则: 两人或多人一组 其中一个人(如张三)心中想一个大家都知道的古今
13、中外或小说中的名人; 其他人然后提问题,但张三只回答“是”或“否”; 结论:如果智商在70以上,最多10个问题就可以猜出张三心中所想的人的名字; 案例:圣女贞德曾在7个问题后被猜出 西门庆曾在3个问题后被猜出,俺智商 绝对超70,43,“云安全”智能保护网络构成,用户查询,Web Crawler,客户响应,垃圾邮件中 包含的网址,网页威胁 分析,第三方来源,全球服务派送资料中心,评估,分类,网址资料库,WRS 网页信誉评估技术,DNS & HTTP,网址来源,网址,网址 分析,自动评估系统,1、智能威胁收集系统,2、计算云,3、服务云,4、安全子系统,Trend Micro 云安全,全球威胁的
14、良性反馈,用户的每一次新的信誉查询都会推动全球的信誉库具备更高的服务品质。,“云安全”智能保护网络,用户 合作伙伴 病毒处理中心 提交系统 蜜罐 爬虫系统 系统自动反馈 行为分析,Paramount Q1 2008 - 45,3种信誉数据库关联分析示例,您正在访问的页面信息已在云端Web信誉数据库中被记录为具备恶意行为; 一封嵌有这个页面链接的邮件将被视为高风险而予以阻止,发信IP会被加入邮件信誉库中; 对页面上获取分析后的恶意文件,它会被加入到文件信誉数据库中。,云安全中的关联分析技术,Web,Web,Web,Web,47,防护效率:最高 系统资源:最节省,防护效率:中等 系统资源:部分占用
15、,防护效率:很低 系统资源:占用较大,防护效率:中等 系统资源:部分占用,最佳的解决方案就是阻止侵入,最佳的解决方案就是在连接层阻止用户与网络威胁建立通讯!,当恶意程序被执行并进行“回拨”时,数据外泄就会发生,传统的代码比对技术将在未来凸显被动!,Could-Client File Reputation,客户端保护技术预览,Quert,Results,Client,移动用户,客户端,移动用户,实时 查询,减少误报,White list,快速的云端查询确认,Black List,检测到威胁,防护更新,Cloud-Client 架构,传统代码比对技术,检测到威胁,病毒代码更新,病毒代码部署,防护应
16、用,Cloud-Client架构的价值,获得保护需要的时间(小时),零接触、零感染、零风险!,1,2,3,4,5,6,7,8,趋势科技云安全服务品质,5B,1600M,50M,1.2TB,24 / 7,250M,Trend Micro 云安全,In the cloud Technologies,“云安全”智能保护网络,Trend Micro 云安全,In the cloud Technologies,“云安全”智能保护网络,Trend Micro 云安全,In the cloud Technologies,“云安全”智能保护网络,Trend Micro 云安全,In the cloud Technologies,“云安全”智能保护网络,Trend Micro 云安全,In the cloud Technologies,“云安全”智能保护网络,Trend Micro 云安全,In the cloud Technologies,
