防病毒系统自身的鲁棒性.ppt

防病毒系统自身的鲁棒性
防病毒系统面临的问题
入侵者对防病毒系统的利用
病毒攻击
人为攻击
防火墙端口的开放
网络资源的占用
管理负载
网络发现
策略分发
升级负载
病毒攻击
（ZaCker）病毒
2防病毒系统自身的鲁棒性
防病毒系统面临的问题
入侵者对防病毒系统的利用
病毒攻击
人为攻击
防火墙端口的开放
网络资源的占用
管理负载
网络发现
策略分发
升级负载
病毒攻击
（ZaCker）病毒
2001年12月28日编写并传播
采用VB编写，Aspack压缩
采用Outlook散布，发送给所有的联系人
试图删除以下后缀的文件：.ini, .php, .exe, .com, .mpeg, .dat, .zip, .txt, .exe, .xls, .doc, .jpg
试图删除数种防病毒软件
人为攻击
防病毒软件破坏
防病毒软件中种植木马
特征码篡改
控制指令假冒
升级程序（脚本）篡改
防火墙端口的开放
防病毒服务器为了升级特征代码
从厂家提供的升级服务器升级
内部跨越不同安全网段的升级
一般升级方式
FTP
网络共享
HTTP
安全隐患
网络负载
管理负载
可能导致的大量的网络广播
策略分发对网络的负荷
升级负载
特征库越来越大
1~2Mb
病毒爆发时对网络的瞬时压力
防病毒系统的鲁棒性
安全可靠
效率高
适应当前病毒发展的趋势
安全性
自身程序和特征文件的保护
管理台和客户端通信的保护
特征文件安全升级的保障
升级系统对防火墙开放端口的要求
微型入侵检测系统
利用数字签名实现的自我防护
利用private key对主要模块进行数字签名
签名的部分
所有二进制文件
升级特征文件
策略文件
补丁程序
运行机理
在动态调用DLL之前进行检查
开始运行EXE文件时进行自检
调用EXE文件之前进行检查
程序没有签名保护的运行流程
Request Program
Exec
Checks
Okay?
Launch Program
User space
Kernel space
Yes
No
Return
Error
Program Finished
程序有签名保护的运行流程
Request Program
Exec
Checks
Okay?
Launch Program
Program Finished
User space
Kernel space
Yes
No
Return
Error
Program
Signature
Verifies?
Yes
No
防病毒客户端和管理台通讯安全
会话之前的认证
会话过程的加密
分发策略的签名
三重的安全保障
对特征文件升级端口的控制
应该提供多种方式可以选择
HTTP（最符合安全策略)
FTP
Active mode
Passive mode
SMB
本地路径
微型入侵检测系统
对现代防病毒软件的要求
抵御蠕虫感染后留下的后门
了解蠕虫病毒的特征
分析蠕虫病毒的破坏结果
修复被破坏和篡改的文件、注册表项等
效率的考虑
网络管理效率
特征文件升级效率
对集中升级请求的处理
低负载网络发现过程
选举
层次化的策略代理和升级代理机制
利用策略代理实现对大网的分割
每一个小网设置一个代理
最终客户端的策略分发由最低级别的代理实现
特征文件升级
同策略代理的实现方式一致
对升级流量和负载进行分散处理
增量升级实现方式
Full Data File




Full Data File

特征码升级步骤
其他升级要考虑到的问题
安全性
全网升级之前的测试升级
避免失败的升级将影响范围扩大
效率
将升级时间设定为指定固定升级时间周围的一个时间段，随机选择。
比如统一在中午1点钟左右10分钟升级。
更多信息……
请访问Web站点:
-

或致电
8008100412免费热线
THANKS ! 感谢聆听！