防病毒系统自身的鲁棒性.ppt

计算机病毒的发展趋势
感染方式
系统漏洞
网络共享
传播渠道
Web浏览
E-Mail传输
传播方式
ICQ
Flash
隐藏方式
电子邮件附件后缀名称
多重加密
E-
计算机病毒的发展趋势
感染方式
系统漏洞
网络共享
传播渠道
Web浏览
E-Mail传输
传播方式
ICQ
Flash
隐藏方式
电子邮件附件后缀名称
多重加密
E-Mail附件
Dakfjdjfdsafkdafld jdkjajfdlkiefjdksjalfdksajdlsakfdsalkfdkslafjdksafljddfksajfdjskajfdsjafdjsakjfdksjafkdjlsafjldksjafowjfejwaijio
外来文件
病毒和入侵者行为的融合
入侵者行为特点：采用系统安全漏洞达到对系统的控制或毁坏
病毒行为特点：利用自我复制和快速的传播达到病毒设计者的特定目的
文件破坏
系统破坏
信息窃取
资源占用
成果展示
逻辑炸弹
恐吓
无目的
二者的融合
导致了远程快速系统控制或破坏的可能性
融合点
病毒的感染方式
借助了系统存在的安全漏洞
80‘s蠕虫病毒
2019年Nimda病毒
病毒的欺骗战术
Social Engineering攻击方式
I love you爱虫病毒
贺卡病毒
入侵者对病毒的利用
攻击的前奏（如DDoS）
利用病毒造成的后门
直接利用病毒窃取敏感信息(如口令文件)
Zero-Day攻击
攻击过程自动化
攻击工具的复杂化
漏洞发现的快速化
渗透网络防护
全球攻击趋势
防病毒系统的重任
广泛驻留在每一台计算机
实时对恶意代码防范
监视多渠道的数据来源
高可用性
频繁升级
高安全性
防病毒系统面临的问题
入侵者对防病毒系统的利用
病毒攻击
人为攻击
防火墙端口的开放
网络资源的占用
管理负载
网络发现
策略分发
升级负载
病毒攻击
（ZaCker）病毒
2019年12月28日编写并传播
采用VB编写，Aspack压缩
采用Outlook散布，发送给所有的联系人
试图删除以下后缀的文件：.ini, .php, .exe, , .mpeg, .dat, .zip, .txt, .exe, .xls, .doc, .jpg
试图删除数种防病毒软件
利用数字签名实现的自我防护
利用private key对主要模块进行数字签名
签名的部分
所有二进制文件
升级特征文件
策略文件
补丁程序
运行机理
在动态调用DLL之前进行检查
开始运行EXE文件时进行自检
调用EXE文件之前进行检查
程序没有签名保护的运行流程
Request Program
Exec
Checks
Okay?
Launch Program
User space
Kernel space
Yes
No
Return
Error
Program Finished
程序有签名保护的运行流程
Request Program
Exec
Checks
Okay?
Launch Program
Program Finished
User space
Kernel space
Yes
No
Return
Error
Program
Signature
Verifies?
Yes
No
防病毒客户端和管理台通讯安全
会话之前的认证
会话过程的加密
分发策略的签名
三重的安全保障
对特征文件升级端口的控制
应该提供多种方式可以选择
HTTP（最符合安全策略)
FTP
Active mode
Passive mode
SMB
本地路径
微型入侵检测系统
对现代防病毒软件的要求
抵御蠕虫感染后留下的后门
了解蠕虫病毒的特征
分析蠕虫病毒的破坏结果
修复被破坏和篡改的文件、注册表项等
效率的考虑
网络管理效率
特征文件升级效率
对集中升级请求的处理
低负载网络发现过程
选举
层次化的策略代理和升级代理机制
利用策略代理实现对大网的分割
每一个小网设置一个代理
最终客户端的策略分发由最低级别的代理实现
特征文件升级
同策略代理的实现方式一致
对升级流量和负载进行分散处理
增量升级实现方式
Full Data File




Full Data File

特征码升级步骤
其他升级要考虑到的问题
安