当前课程知识点:网络技术与应用 > 第9讲 网络安全 > 9.3 病毒检测与防御技术 > 9.3 病毒检测与防御技术
我们知道病毒是最常见的网络安全问题
相信每个人都受到过一种或者多种病毒的侵害
下面我们就来学习病毒的检测和防御技术
首先我们知道病毒是一种恶意代码
下面先来看一下恶意代码的定义与分类
然后学习病毒的检测和防御技术
代码是指一段用于完成特定功能的计算机程序
恶意代码指经过存储介质或网络实现计算机系统间的传播
并且没有经过授权破坏计算机系统完整性的一段程序
它的主要特点是非授权性和破坏性
恶意代码有多种类型
通常分类时是根据恶意代码的独立性和自我复制性分类
独立的恶意代码是指具备一个完整程序所应该具备的
全部功能
能够独立传播 运行的恶意代码
这样的恶意代码不需要寄宿在另一个程序中
比如这样一张图
看上去是一张图片 事实上是一个exe可执行文件
如果点击它的话 它就执行了一段代码程序
这是独立的恶意代码
还有一类是非独立的恶意代码
非独立恶意代码必须要嵌入某个完整的程序中
作为该程序的一部分进行传播和运行
在下载或接收某个文件的时候
经常会遇到这些提示
比如程序中包含有木马程序等这样一些提示
下面看一下恶意代码的分类
一般情况 恶意代码分为三类
后门程序 逻辑炸弹 病毒
病毒又可以分为特洛伊木马 蠕虫病毒 zombie病毒
和狭义上的病毒
中间两种病毒是独立的恶意代码
这三种是具有自我复制的恶意代码
下面看一下每一个种恶意代码的主要特征
首先看一下后门程序
后门程序是某个程序的秘密入口
通过该入口启动程序
可以绕过正常的访问控制过程
这种秘密入口通常是编程人员留的
在需要的时候 就可以通过秘密入口对安装该程序的
计算机实施攻击
这是后门程序
第二个是逻辑炸弹
逻辑炸弹是包含在正常应用程序中的一段恶意代码
当符合某种条件的时候 如达到某个特定日期
增加或删除某个特定文件的时候
就会激发这段恶意代码的运行
执行这段代码就会导致非常严重的后果
特洛伊木马也是包含在正常应用程序中的一段恶意代码
一旦执行包含该恶意代码的应用程序
就会激发这段恶意代码的执行
执行了这段恶意代码以后就相当于制造了一个后门
它会削弱系统的安全控制机制
这是特洛伊木马
第二个是蠕虫病毒
蠕虫病毒能够自我完成这样一些操作步骤
查找远程系统然后建立连接之后对远程系统实施攻击
第三个是僵尸病毒
僵尸病毒是一种秘密接管
其它连接在其他网络上的系统
并以此系统为平台
发起对某个特定系统攻击的恶意代码
僵尸病毒一般情况下处于僵尸状态
当需要的时候就能够复活并且对需要攻击的系统实施攻击
这是僵尸病毒
最后一个是狭义上的病毒
狭义上的病毒是指既具有自我复制能力
又必须寄生在其他实用程序中的恶意代码
这种病毒的种类很多
在使用网络时经常会遇到
这是恶意代码的定义和分类
我们做一下简单的介绍
下面看一下病毒的检测与防御技术
前面介绍的恶意病毒都有区别于正常程序的特征
第一种要介绍的是基于特征的扫描技术
这种技术是这样的
首先建立一个病毒的特征库
通过分析已经发现的病毒
提取出每一种病毒有别于正常代码或文本的病毒特征
然后根据病毒特征库扫描文件当中的内容
然后进行匹配
在扫描的过程当中 经常会看到正在下载病毒库
因为病毒库是对已经发现的病毒建立一些特征
所以病毒库需要经常更新
扫描的过程当中 通过扫描程序
对扫描文件的内容和病毒特征库内容进行匹配
来看一下详细的过程
这是一个入口 是启动程序
用文件类型检测模块这样一段程序来对文件类型进行检查
如果是一个压缩文件
需要对压缩文件进行解压
如果文件不是一个压缩文件
进行分类调用特征库
如果这种文件是可执行文件的话
要看一下这种可执行文件是不是加壳文件
加壳文件是对可执行程序资源压缩以后的文件
如果不是加壳文件
就调用相应的二进制特征库
用二进制检测引擎进行比对
如果是加壳文件 那么还要脱壳
通过脱壳模块对文件进行脱壳
脱壳完了以后
再进行检查
如果文件类型是其它二进制文件 如DLL文件
就可以直接调用二进制检测引擎
通过二进制特征库进行比对
如果文件是文本文件
对文本文件通过语法分析器进行语法分析
然后用脚本检测引擎对原文件进行比对
如果文件是office文件
要对office文件进行预处理
预处理完了以后进行相应的语法分析
和用脚本特征库进行比对
通过这些步骤就能检测文件是否感染病毒
这是第一种检测技术 基于特征的扫描技术
第二看一下基于完整性检测的扫描技术
完整性检测是一种用于确定的任意长度信息
在传输和存储过程当中加上一个附加信息
附加信息是它的报文摘要
比如这是原文件P
计算原文件的报文摘要
然后把报文摘要放在原始检测码列表当中
检测的时候 用原文件计算出一个报文摘要
这个报文摘要和原始检测码列表中的报文摘要进行比对
如果是相同的
说明文件没有被修改
如果是不同的
可能就已经修改过了
有些精致的病毒也利用检测码技术把原文件生成检测码
然后修改原始的检测码列表
这样的话
检查的时候生成的检测码和病毒生成的检测码相同了
因为为了防止病毒重新计算并修改检测码列表
因此对检测码进行加密
加密的过程是这样
这是一个原始文件P
经过报文摘要计算以后
对报文摘要进行通过密钥加密
把加密以后的文件放到原始检测码列表当中
检测的时候
把文件P再次进行报文摘要算法计算
并且用同样的密钥进行加密
然后到原始检测码列表当中查找相应的原来存放在那里的
加密以后的内容
然后两个内容进行比对
比对以后如果相同
说明文件没有被改变
如果不相同 说明文件就被改变了
通常密钥是杀毒软件自己携带的密钥
这种方式避开了病毒修改原始检测码列表的行为
但是基于完整性检测的扫描技术只能检测出文件是否被修改
并不能确定文件是否被病毒感染了
这种扫描技术比较适合可执行文件的扫描
为什么呢
比如如果是word文档或其他经常修改的文档
每次修改文件都要计算报文摘要并且要加密
这个工作量就非常的大
可执行文件平时不会去修改
这种技术比较适合于可执行文件的扫描
另外还有一些其他病毒检测与防御机制
如基于线索的扫描技术 基于行为的检测技术
基于模拟运行环境的检测技术等
这些就不详细介绍了
接下来看一下病毒的感染途径
病毒的感染途径有多种
对于非独立恶意代码
它的自我复制过程就是把自身嵌入宿主程序的过程
这个过程也称为感染宿主程序的过程
比如这是一个病毒感染QQ软件
使得QQ软件感染上了这个病毒
二是 对于独立的恶意代码
它的自我复制过程就是把自身传播到其它系统的过程
自己有这样一个传播的能力
三是不具备自我复制能力的恶意代码
必须要借助其它媒介进行传播
比如通过U盘
通过U盘带上病毒以后
插到其它系统当中 其它终端或系统就染上这个病毒了
还有通过一些正常可以访问的软件
比如通过正常的网页传播
比如假设这样一个终端访问中了毒的网站主机
病毒就跟着网页通过防火墙这样一些设备
到了终端
这个终端就染上了病毒
从这些检测到的病毒特征和感染途径来看
怎么样采取一些防御措施呢
一是不要随意下载不知名的软件
二是可以查看占用较多CPU时间片的进程
三是定期升级系统安全补丁 定期升级病毒特征库
四是不要轻易打开不安全的邮件附件 如exe可执行文件等
五是如果发现自己的计算机突然变慢或者流量异常
就可以用这样个命令查看哪些端口是开放的
计算机是否向其他地址发送数据包等
最后对刚才的内容做下简单的小结
病毒是目前最严重的网络安全问题
病毒的检测与防御技术主要有两种
一种是主动性的
主要有基于行为的检测技术
基于模拟模拟环境的检测技术等
另外一种是被动性的
主要有基于特征的扫描技术
基于完整性检测的扫描技术
基于线索的扫描技术
-课程先导语
--先导语
-1.1 网络内涵
--网络内涵
-1.2 互联网发展过程
--互联网发展过程
-1.2 互联网发展过程--作业
-1.3 交换方式
--电路交换
-- 虚电路交换
--数据报交换
--三种交换方式比较
--html
-1.3 交换方式--作业
-1.4 计算机网络体系结构和协议
--分层结构
--OSI体系结构
-1.4 计算机网络体系结构和协议--作业
-第一讲内容的启示
--html
-例题分析
--例题分析
-测验--作业
-本讲内容简介
-2.1 数据传输系统
-2.1 数据传输系统--作业
-2.2 信号
--2.2 信号
-2.2 信号--作业
-2.3 编码和调制
--2.3-1 编码
--2.3-2 调制
-2.3 编码和调制--作业
-2.4 差错控制
-2.4 差错控制--作业
-2.5 传输媒体
--2.5 传输媒体
-2.5 传输媒体--作业
-2.6 Packet Tracer6.2使用说明
-第二讲内容的启示
--html
-例题分析
--例题分析
-测验--作业
-以太网发展过程与内容简介
-以太网发展过程与内容简介--作业
-3.1 总线形以太网
-3.1 总线形以太网--作业
-3.2 网桥与冲突域分割
-3.2 网桥与冲突域分割--作业
-3.3 交换式以太网与VLAN
-3.3 交换式以太网与VLAN--作业
-3.4 以太网标准
-3.4 以太网标准--作业
-第三讲内容的启示
--html
-例题分析
--例题分析
-案例设计
--案例设计
-测验--作业
-本讲内容简介
--无线局域网
-4.1 无线局域网概述
-4.1 无线局域网概述--作业
-4.2 无线局域网应用方式
-4.2 无线局域网应用方式--作业
-4.3 无线局域网MAC层
-4.3 无线局域网MAC层--作业
-4.4 终端接入无线局域网过程
-4.4 终端接入无线局域网过程--作业
-4.5 无线局域网设计和分析
-第四讲内容的启示
--html
-例题分析
--例题分析
-测验--作业
-本讲内容简介
-- IP与网络互连
-5.1 网络互连机制
-5.1 网络互连机制--作业
-5.2 网际协议
-5.2 网际协议--作业
-5.3 IP分组传输过程
-5.3 IP分组传输过程--作业
-5.4 路由表建立过程
-5.4 路由表建立过程--作业
-5.5 IP over以太网
-5.5 IP over以太网--作业
-5.6 三层交换机与VLAN间通信过程
-5.7 Internet控制报文协议
-5.7 Internet控制报文协议--作业
-第五讲内容启示
--html
-案例设计
--案例设计
-例题分析
-测验--作业
-本讲内容简介
--本讲内容简介
-6.1 Internet接入控制机制
-6.1 Internet接入控制机制--作业
-6.2 以太网和ADSL接入技术
-6.2 以太网和ADSL接入技术--作业
-6.3 家庭局域网接入方式与无线路由器
-6.3 家庭局域网接入方式与无线路由器--作业
-6.4 接入综合演示实验
-6.4 接入综合演示实验--作业
-第六讲内容的启示
--html
-例题分析
--第六讲 例题分析
-测验--作业
-本讲内容简介
--传输层
-7.1 传输层服务特性
--传输层服务特性
-7.1 传输层服务特性--作业
-7.2 端口号
--端口号
-7.3 用户数据报协议UDP
-7.3 用户数据报协议UDP--作业
-7.4 传输控制协议TCP
--TCP特点和格式
-- TCP的几点说明
-7.4 传输控制协议TCP--作业
-第七讲内容启示
--html
-例题分析
--例题分析
-测验--作业
-本讲内容简介
-- 应用层
-8.1 应用结构
--应用结构
-8.1 应用结构--作业
-8.2 域名解析
-8.2 域名解析--作业
-8.3 动态主机配置协议
-8.3 动态主机配置协议--作业
-8.4 万维网
-- 万维网
-8.4 万维网--作业
-8.5 电子邮件
--html
-8.6 文件传输协议
--html
-例题分析
--例题分析
-案例设计
--CH8 案例设计
-应用层启示
--html
-测验--作业
-本讲内容简介
-9.1 网络安全概述
-9.1 网络安全概述--作业
-9.2 网络安全基础
-9.2 网络安全基础--作业
-9.3 病毒检测与防御技术
-9.3 病毒检测与防御技术--作业
-9.4 以太网安全技术
-9.4 以太网安全技术--作业
-9.5 无线局域网安全技术
-9.5 无线局域网安全技术--作业
-9.6 防火墙
-9.6 防火墙--作业
-9.7 安全协议
--9.7 安全协议
-9.7 安全协议--作业
-例题分析
--例题分析
-防火墙演示实验
-- 防火墙演示实验
-案例设计
--案例设计
-网络安全的启示
--html
-测验--作业
-附录1:综合应用分析
--综合应用分析
-附录2:Cisco实际设备网络构建与配置
-期末考试--考试试题
