恶意移动代码分析与研究 郑 辉 清华大学网络中心 CERNET Computer Emergency Response Team

Slides:



Advertisements
Similar presentations
共建多媒体优质资源 提高图书馆教学服务 新东方多媒体学习库 创新 实用 互动 权威的学习平台. 图书馆资源收藏类型 图书馆的服务任务 多媒体资源市场现状及未来发展方向 新东方集团介绍 新东方在线介绍 新东方多媒体学习库之市场背景 新东方多媒体学习库介绍 新东方多媒体学习库优势 新东方多媒体学习库用户调查.
Advertisements

一、软件简介 二、功能介绍 三、产品优势 四、应用范围 五、成功客户 目录目录 软件简介 ●员工工作时间,都认真工作了? ●还是在玩游戏? ●浏览与工作无关的网站? ●收发私人邮件? ●甚至将公司的机密资料拷贝带 走?或是通过邮件或聊天工具泄 密? …… 解决之道.
第七章 整體安全與存取控制設計. 本章大綱  第一節 電腦犯罪與網路駭客  第二節 整體安全預防控制  第三節 運用資訊科技反制  第四節 安全失控之復原控制.
簡 報 內 容 資安事件 資安防護 資安確保(Information Assurance) 資安服務 國家資通安全會報 結語.
中小學網管人員面對個資安全世代之探討 Location:台中市大甲區順天國小 Speaker:麥毅廷 Date:2012/06/06
第二届全国网络安全宣传周 ——“共建网络安全、共享网络文明” 网络安全知识讲座 主讲人:刘玉艳 单位:池州学院
網路犯罪規範條款.
南亞技術學院行政人員資訊安全訓練教材 資訊安全基本認知
資訊安全管理 與 個人資訊安全防護 日期:99年12月01日 13:30~16:30 地點:e化專科教室 主講人:黃尚文.
第五章 網際網路 5-1 網際網路的歷史沿革 5-2 網際網路基本運作原理 5-3 連線媒介與連線上網 5-4 網際網路上的熱門應用
網管人員經驗分享 報告人:方清宏.
信息系统安全技术 --网络安全风险分析 何长龙 高级工程师.
教育信息技术中心 2009年工作汇报 2010年1月.
第七章 電信、網際網路與無線技術.
企业涉税业务基本知识宣传 郑州航空港区国家税务局机场税务分局 王 磊.
資訊安全與檔案保護 ~鈊安資訊,深得您心~ 遠東科技大學
網路駭客攻擊方式與防範 康宇佳 劉雙瑜 彭昕婷 陳韋蓉
大 播 海 直.
性理釋疑(1—30題) 後學 阮章輝 學講.
資訊安全與防毒 Chapter 認識資訊安全 14-2 網路帶來的安全威脅 14-3 電腦病毒/特洛依木馬/網路蠕蟲
虚拟心脏建模及其应用 Innovation course.
李建华 教授、博士生导师 上海交通大学信息安全工程学院 2007年1月8日
第十一章 網路駭客攻擊 及防制策略 課前指引 資訊網路科技的快速普及雖然帶給人類莫大的助益,卻也帶來不少的犯罪問題,而資訊犯罪已隱然成為未來社會棘手的問題。資訊犯罪並不單純只是電腦的問題,亦包括公約、倫理、道德及法律層面等問題。其中,又以網路駭客入侵問題最具神秘性且防制困難度較高。
项目七 病毒与网络安全 7.1 计算机病毒简介 7.2 计算机病毒防治 7.3 计算机病毒处理 7.4 我国互联网安全问题现状及未来发展.
BOTNET Detection and Prevention
中小學網管人員面對個資安全世代之探討 Location:台中市北屯區東山高中 Speaker:麥毅廷(臺體大運管系)
資訊安全管理概論 黃燕忠 (Jack Hwang) 中國文化大學副教授兼推資管系主任 捨得資訊股份有限公司 (藍色小舖) 總顧問
第五章: 计算机网络基础与多媒体计算机.
工作報告 南投縣教育網路中心 王登儀 于 埔里均頭國中.
第五章 攻击技术 2.1 黑客发展史 2.2 攻击技术基础 2.3 恶意软件 2017/3/22.
项目6.1:计算机网络基础 项目描述 能力目标 应用网络可以工作、学习,网络影响着我们的生活,了解网络知识、培养信息技术的水平和能力是工作和生活的需要。 通过对概念的理解,培养信息分析、辨别能力, 学会使用信息技术工作、学习。
21世紀網路之美麗與哀愁 Location:台中市南屯區惠文國小 Speaker:麥毅廷 Date:2012/05/30
计算机网络安全概述.
桂小林 西安交通大学电子与信息工程学院 计算机科学与技术系
企业网搭建及应用 重庆市永川职业教育中心
网络地址转换(NAT) 及其实现.
实践 课题 周围环境对当代大学生成长的影响 指导老师:王永章 小组成员:陈荣、刘若楠、张红艳、吕雪丹、樊金芳、李惠芬、黄婧
网络与信息安全 第一章 网络安全概述 1 沈超 刘烃 自动化-系统所 西安交通大学电信学院
教育信息化管理干部培训 王 延 觉 2013年7月.
網路安全診測技術發展規劃 Network Security Assessment Technology Development
打造史上最安全的電腦,無師自通方案,駭客不再來…..
本 章 重 點 18-1 Internet的由來與對生活的影響 18-2 Internet的服務與相關名詞簡介 18-3 IP位址表示法
第五章 網際網路 5-1 網際網路的歷史沿革 5-2 網際網路基本運作原理 5-3 連線媒介與連線上網 5-4 網際網路上的熱門應用
中国式的云计算服务模式 中企开源信息技术有限公司 CE Open Source Software.
2018/11/29 内外兼修,保障业务安全 —— 腾讯安全运维实践
凌云 计算机病毒分析师 安全商业和技术部 微软有限公司
什麼是網際網路? 面臨攻擊的網路 網路邊際 總結 網路核心
流量管不管 校園網路流量管理與安全防護 --經驗分享--
奕瑞科技有限公司 張義淵 惡意程式與防毒產業分析 奕瑞科技有限公司 張義淵
中国式的云计算服务模式 中企开源信息技术有限公司 CE Open Source Software.
第5章 電腦網路與應用 5-1 認識數據通訊 5-2 認識電腦網路 5-3 認識網際網路 5-4 實用的網際網路 5-5 資訊安全與保護
資料中心的安全威脅與進階防護 A10 Networks Taiwan System Engineer Jack Chien
指導教授:黃三益 教授 學生 洪瑞麟 m 蔡育洲 m 陳怡綾 m
卡巴斯基防毒軟體操作說明 奕瑞科技台南服務中心.
建国以来,大陆对台政策 金亚丽 周莎 黄运娜.
第4章 網路行銷的法律與道德.
Wireshark DNS&HTTP封包分析
網路建構實習課 從防火牆到封包分析 3/25.
台灣博碩士論文知識加值系統 萬能科技大學博碩士論文系統
华中科技大学图书馆 李文芳 数字图书馆与互联网基础标准体系 华中科技大学图书馆 李文芳
網路安全管理 期末報告 A 許之青 24/04/2019.
第 6 章 電子商務的倫理與社 會議題.
科学架设和优化校园组网结构 提升内部网络访问和管理水平
網路安全 資訊處 彙整.
Common Security Problems in Business and Standards
指導老師:王偉德 老師 學生:賴政揚 林怡君 戴明宏
回主目錄.
Homework 3.
DDoS A note given in BCC class on May 15, 2013 Kun-Mao Chao (趙坤茂)
“盗火的普罗米修斯” ——“黑客”问题的伦理研究
Presentation transcript:

恶意移动代码分析与研究 郑 辉 清华大学网络中心 CERNET Computer Emergency Response Team zhenghui@ccert.edu.cn

主要内容 当前的安全状况 攻防主体 主要研究成果 防治周期理论 主动防治系统 Open Problems

漏洞越来越多…

攻击越来越容易… 攻击的复杂性在增加,攻击者的知识和技能需求在下降。 80年代初,黑客需要手工测试系统的漏洞,自己发现系统的漏洞,猜测计算机系统的口令,手工编写代码利用系统的漏洞,他能够控制的计算机也很少10几台或几十台; 现在,关于网络和系统漏洞的站点有很多,利用这些漏洞的源代码也很容易得到,网络上已经有很多自动化的工具可以用(扫描目标系统、自动入侵、自动汇总攻击结果),而且经常交流,新的漏洞公布以后,黑客可以重用大部分代码,一夜之间可以控制成百、上前,甚至数十万台计算机

病毒数量增长越来越快…

Rapidly Escalating Threat to Businesses 风险越来越大… 攻击目标和破坏程度 Rapidly Escalating Threat to Businesses 全球基础设施 区域性网络 多个网络 单个网络 单台计算机 分 Next Gen Flash threats Massive worm-driven DDoS Damaging payload worms 时 Third Gen Distributed denial of service Blended threats 天 周 Second Gen Macro viruses Denial of service First Gen Boot viruses 1980s 1990s Today Future

Bandwidth-level DDoS attacks Attack zombies: Use valid protocols Spoof source IP Massively distributed Infrastructure-level DDoS attacks Let’s revisit the nature of DDoS attacks Server-level DDoS & worm attacks Bandwidth-level DDoS attacks

Internet面临的安全挑战 如何防范自动化攻击? 如何防范快速突发攻击? 如何防范大规模攻击?

恶意移动代码主要特性 破坏性(Malicious Code, Malware) 移动性(Mobile Code) 通过网络 通过人 恶意移动代码原来仅仅指嵌入在网页中的脚本代码。

恶意移动代码主要种类 Internet 蠕虫 病毒邮件 文件系统病毒 网页脚本 木马

恶意移动代码的简单比较 Internet 蠕虫 病毒邮件 文件系统病毒 网页脚本 木马 传播速度 极快 快 一般 慢 传播方式 自动 半自动 人工 影响对象 网络 主机 防治难度 难 易 经济损失 严重 较大

各种恶意移动代码的融合趋势 病毒、蠕虫、木马之间的界限已经不再明显; 综合使用多种攻击手段: 传播:计算机系统的漏洞、电子邮件、文件共享、Web浏览等 社会工程(social engineering )

攻防主体 影响网络安全的三支力量 防范主体 Hacker VXer Cracker 网络运营商、服务提供商、用户; 系统厂商、防毒产品厂商; 科研技术人员、政府主管部门;

蠕虫的历史回顾 Xerox PRAC, 1980年 Morris Worm, 1988年11月2日 WANK Worm, 1989年10月16日 ADM Worm, 1998年5月 Millennium, 1999年9月 Ramen Worm, 2001年1月 Lion Worm, 2001年3月23日 Adore Worm, 2001年4月3日 Cheese Worm, 2001年5月 Sadmind/IIS Worm, 2001年5月 CodeRed Worm, 2001年7月19日 Nimda Worm, 2001年9月18日 Slapper, 2002年9月14日 Slammer, 2003年1月25日 Dvldr32, 2003年3月7日 MSBlaster, 2003年8月12日 Nachi, 2003年8月18日

2004年蠕虫 MyDoom.C 2004年2月9日 Witty Worm 2004年3月20日 Sasser Worm 2004年4月30日 Santy Worm 2004年12月21日

蠕虫的爆发周期越来越短… 漏洞公布和蠕虫爆发的间隔越来越短 越来越短  越来越长,越来越难  最佳时机 及时 太晚了 漏洞发现 攻击代码 控制 清除 Time between the exposure of a vulnerability and the release of a worm is becoming shorter. When a new vulnerability released, the hacker can reuse most of the code of old worms. The only work to create a new worm is to write a piece of code to exploit the vulnerability. 越来越短  越来越长,越来越难 

恶意移动代码主要研究内容 恶意代码的工作机制 传播模型 仿真 检测 抑制 其他工作的基础 现有模型忽略太多因素而缺乏指导意义 仿真Internet难度较大 检测 检测结果出来为时已晚 抑制 现实需求

CCERT的科研优势 长期对恶意移动代码研究的积累; 迅速有效的响应机制; 第一手的网络数据;

CodeRed蠕虫监测数据

Blaster & Nachi监测数据

Sasser蠕虫监测数据

Witty 蠕虫监测数据

主要研究成果 针对蠕虫个体 实体结构模型 功能结构模型 针对网络 利用DNS服务抑制蠕虫传播 Internet 蠕虫主动防治系统

实体结构模型

功能结构模型

利用DNS服务抑制蠕虫传播

Internet 蠕虫防治周期 预防阶段 检测阶段 遏制阶段 清除阶段

Internet 蠕虫主动防治系统

网络技术发展带来的变化 P2P Overlay网络构成的相对独立网络; IRC、MSN、QQ、BT、eMule IPv6 网络规模 加密传输

IPv6网络的抗扫描特性 IPv4 的Internet ,Slammer 蠕虫,10分钟后,感染了大多数有漏洞的计算机 28年后,感染第一台主机

恶意移动代码的技术发展趋势 结合人工智能技术; 动态功能升级技术; 多平台传播技术; 分布式实体技术;

Santy蠕虫 描述: 智能特性: 存在形式: 2004年12月21日发现,截止到12月22日,google可以统计到被santy蠕虫破坏的网站已经达到26000多; 利用论坛系统phpBB的漏洞传播; 智能特性: 从搜索引擎google得到攻击站点列表; 存在形式: 脚本代码;

Santy蠕虫引出的新问题 如何检测智能蠕虫? 如何防治智能蠕虫? 不需扫描,流量无明显异常; 查询条件的无穷组合; 脚本代码的任意变化; IPv6的抗扫描特性不再适用; 封锁搜索引擎?海量信息如何查找; 搜索引擎屏蔽?查询合法性的不可判定;

Open Problems 蠕虫爆发预警 仿真环境与蠕虫传播模拟 良性蠕虫的控制策略 恶意移动代码来源定位 网络安全生态理论

参考文献 蠕虫的行为特征描述和工作原理分析, http://worm.ccert.edu.cn/doc/spark/WormBehaviorPrincipleAnalysis.pdf Internet蠕虫研究,http://worm.ccert.edu.cn/doc/InternetWormResearch.pdf 大规模网络中Internet 蠕虫主动防治技术研究 -- 利用DNS 服务抑制蠕虫传播, http://worm.ccert.edu.cn/doc/spark/WormDefenseWithDNS.pdf 主动Internet蠕虫防治技术-接种疫苗, http://worm.ccert.edu.cn/doc/Vaccination.pdf Internet蠕虫主动防治系统原理与设计, http://worm.ccert.edu.cn/doc/spark/WormDefenseSystem.pdf

谢谢!