户的一切操作,有的放矢地窃取重要文件和信息,甚至还能远程操控受害计算机对其他计算机发动攻击。木马的控制端和被控制端通过网络进行交互。
“特洛伊木马”是一种恶意程序,它们悄悄地在寄宿主机上运行,在用户毫无察觉的情况下,让攻击者获得了远程访问和控制系统的权限。木马的运行,可以采用以下3种模式。
(1)潜伏在正常的程序应用中,附带执行独立的恶意操作。
(2)潜伏在正常的程序应用中,但会修改正常的应用进行恶意操作。
(3)完全覆盖正常的程序应用,执行恶意操作。 7。木马的工作过程
木马对网络主机的入侵过程,可大致分为6个步骤。 (1)配置木马 (2)传播木马 (3)运行木马 (4)信息泄露 (5)连接建立 (6)远程控制 8。木马的危害
木马是一种远程控制工具,以简便、易行、有效而深受黑客青睐。木马主要以网络为依托进行传播,窃取用户隐私资料是其主要目
31
的;而且多具有引诱性与欺骗性,是病毒新的危害趋势。 木马可以说是一种后门程序,它会在受害者的计算机系统里打开一个“后门”,黑客经由这个被打开的特定“后门”进入系统,然后就可以随心所欲地操纵计算机了。 木马不仅是一般黑客的常用工具,更是网上情报刺探的一种主要手段,对国家安全造成了巨大威胁。 9。蠕虫的定义
蠕虫是一种通过网络进行传播的恶性代码。它具有普通病毒的一些共性,例如传播性、隐蔽性、破坏性等;同时也具有一些自己的特征,例如不利用文件寄生、可对网络造成拒绝服务、与黑客技术相结合等。蠕虫的传染目标是网络内的所有计算机。在破坏性上,蠕虫病毒也不是普通病毒所能比的,网络的发展使得蠕虫可以在短短的时间内蔓延到整个网络,造成网络瘫痪。 10。蠕虫的传播
蠕虫程序的一般传播过程如下:
(1)扫描。由蠕虫的扫描功能模块负责收集目标主机的信息,寻找可利用的漏洞或弱点。当程序向某个主机发送探测漏洞的信息并收到成功的反馈信息后,就得到一个可传播的对象。扫描采用的技术方法包括用扫描器扫描主机,探测主机的操作系统类型、主机名、用户名、开放的端口、开放的服务、开放的服务器软件版本等。 (2)攻击。攻击模块按步骤自动攻击前面扫描中找到的对象,取得该主机的权限(一般为管理员权限),获得一个Shell。
32
(3)复制。复制模块通过原主机和新主机的交互将蠕虫程序复制到新主机中并启动。 11。网络病毒
计算机网络病毒实际上是一个笼统的概念。一种情况是,计算机网络病毒专指在网络上传播并对网络进行破坏的病毒;另一种情况是,计算机网络病毒指的是HTML病毒、E-mail病毒、Java病毒等与Internet有关的病毒。
1)网络病毒的传播方式 事实上,并不是所有的病毒都能够通过计算机网络进行传播。 网络病毒的出现和传播成为当前影响Internet正常运转的主要障碍。网络病毒首先来自于文件下载。 网络病毒的另一种主要来源是电子邮件。 随着即时聊天工具的流行,通过聊天工具进行病毒传播成为网络病毒传播的第三大途径。
2)网络病毒的特点 计算机网络的主要特点是资源共享,一旦共享资源感染上病毒,网络各节点间信息的频繁传输将把病毒传染到共享的所有机器上,从而形成多种共享资源的交叉感染。病毒的迅速传播、再生、发作将造成比单机病毒更大的危害。
在网络环境中,网络病毒除了具有可传播性、可执行性、破坏性、可触发性等计算机病毒的共性外,还具有如下一些新特点。 (1)感染速度快。 (2)扩散面广。
(3)传播的形式复杂多样。
33
(4)难以彻底清除。 (5)破坏性大。 3)网络防病毒技术
(1)实时监视技术 实时监视技术通过修改操作系统,使操作系统本身具备防病毒功能,拒病毒于计算机系统之外。该技术可时刻监视系统中的病毒活动、系统状况以及软盘、光盘、互联网、电子邮件上的病毒传染,将病毒阻止在操作系统外部。
(2)全平台防病毒技术 目前病毒活跃的平台有DOS、Windows、Windows NT、NetWare、Exchange等。为了使防病毒软件做到与系统的底层无缝连接,实时地检查和清除病毒,必须在不同的平台上使用相应平台的防病毒软件。 12。网络病毒的防治特点
网络病毒的防治工作具有如下特点。
(1)网络防病毒技术的安全度是基于“木桶理论”的。被计算机安全界广泛采用的著名的“木桶理论”认为,整个系统的安全防护能力取决于系统中安全防护能力最薄弱的环节。
(2)网络防病毒技术尤其是网络病毒实时监测技术应符合“最小占用”原则。
(3)网络防病毒技术的兼容性是网络防病毒的重点与难点。
34
入侵检测系统
1.网络入侵检测
网络入侵检测是指从计算机网络的若干关键点收集信息并对其进行分析,从中查找网络中是否有违反安全策略的行为或遭到入侵的迹象,并依据既定的策略采取一定的软件与硬件的组合措施予以防治。
网络入侵检测技术是网络动态安全的核心技术,相关设备和系统是整个安全防护体系的重要组成部分。目前,防火墙沿用的仍是静态安全防御技术,对于网络环境下日新月异的攻击手段缺乏主动的响应,不能提供足够的安全保护;而网络入侵检测系统却能对网络入侵事件和过程作出实时响应,与防火墙共同成为网络安全的核心设备。 2.入侵检测的发展史
入侵检测技术的发展已经历了4个主要阶段: 第一阶段是以协议解码和模式匹配为主的技术,其优点是对于已知的攻击行为非常有效,各种已知的攻击行为可以对号入座,误报率低;缺点是高超的黑客采用变形手法或者新技术可以轻易躲避检测,漏报率高。 第二阶段是以模式匹配+简单协议分析+异常统计为主的技术,其优点是能够分析处理一部分协议,可以进行重组;缺点是匹配效率较低,管理功能较弱。这种检测技术实际上是在第一阶段技术的基础上增加了部分对异常行为分析的功能。第三阶段是以完全协议分析+模式匹配+异常统计为主的技术,其优点是误报率、漏报率和滥报率较低,效率高,可管理性强,并在此基础上实现了多级分布式的检测管理;
35