NOVOTS KMS 词汇表 Glossary    联系我们 Contact Us
查询 Search  
   
按类别浏览 Browse by Category
NOVOTS KMS .: 病毒安全 .: 计算机病毒发展和防御动态

计算机病毒发展和防御动态

1.1计算机病毒发展新动向

传统病毒,简单来讲,就是一种可执行的精练的小程序,和生物界的病毒类似,会寻找寄主将自身附着到寄主身上实现传播,例如把自己的病毒代码插入到一个用户文件中,当用户传递此文件时就不知情的将病毒传播出去了,传播到一个新的目标时,病毒执行恶作剧活动或采取毁坏程序、删除文件甚至重新格式化硬盘的破坏行为。传统病毒包括文件型、引导型、多态型、隐藏型、宏病毒等。

  但是现在,企业网络面临的威胁已经由传统的病毒威胁转化为现在的还包括了蠕虫、木马和恶意代码等与传统病毒截然不同的新类型。这些新类型的威胁业界称之为混合型威胁。混合型威胁整合了病毒传播和黑客攻击的技术,以多种方式进行传播和攻击。不需要人工干预,能够自动发现和利用系统漏洞,并自动对有系统漏洞的计算机进行传播和攻击。同时,混合型威胁传播速度极快,通常在几个小时甚至几分钟就可以导致整个网络瘫痪。攻击程序的破坏性更强,受感染的系统通常伴随着木马程序种植除了破坏被感染的机器,在传播过程中会形成DDoS攻击,阻塞网络。混合型威胁的典型代表为——红色代码(Code Red)。20017月红色代码(Code Red)的出现震撼了整个Internet世界, 不仅仅因为它给广大Internet用户造成了非常巨大的直接经济损失,更可怕的是它将传统病毒原理和传统黑客攻击原理巧妙的结合在一起,将病毒复制、蠕虫蔓延、漏洞扫描、漏洞攻击、DDOS攻击、遗留后门等等攻击技术综合在一起,形成了最新的混合型威胁,标志了网络威胁发展的新方向。在红色代码(Code Red)的启发和指引下,近几年持续不断出现各种破坏能力强大的混合型威胁,例如:尼姆达(Nimda)、求职信(Klez)、蠕虫王(SQLexp)、妖怪(Bugbear)、 无极大(Sobig)、爱情后门(Lovgate)、冲击波(Blaster)、Slammer、网络天空(Netsky)等等,而这些混合型威胁正是近几年企业所面临的主要威胁。大量的间谍软件和广告软件不仅为企业带来网络管理成本的增加,同时可能会带来无法估计的损失。毫无疑问,包括间谍软件和广告软件在内的混合型威胁已经成为全球互联网和企业网络的首要威胁,危险级别最高的病毒几乎全部属于具有混合型威胁特征的混合型病毒。因此,病毒防范的重点将集中于混合型威胁。

1.2新型病毒传播方式

计算机病毒具有自我复制和传播的特点,从计算机病毒的传播机理分析可知,只要是能够进行数据交换的介质,都可能成为计算机病毒传播途径。随着Internet技术的发展和企业网络应用的增多,网络成为病毒感染、传播的第一途径。病毒传播呈现出如下的途径:

1.      互联网浏览。内网用户浏览Internet上的文件和网页,下载资料时,Internet上的大量恶意JAVA ACTIVE病毒和程序,下载文件中包含的各类宏病毒,文件病毒都有可能对内网进行传染。

2.        电子邮件。电子邮件已成为许多新型恶意病毒攻击所选择的传输机制。电子邮件可以很容易地传送到几十万人,而恶意代码制造者又可以无须留下自己的计算机,这使得电子邮件成为一种非常有效的传输方式。

3.      企业网络互联一旦为计算机提供了通过网络彼此直接连接的机制,就会为病毒提供另一个传输机制,由于在网络共享上实现的安全性级别很低,因此会产生这样一种环境,其中新型的混合型病毒可以复制到大量与网络连接的计算机上。企业内部内联网以及和协作单位或合作伙伴网络的文件共享传输有可能造成病毒在整个网络中传播。

4.      可移动媒体。计算机病毒和其他恶意软件最初的、并且可能也是最多产的传送器(至少到当前为止)是文件传输。此机制开始于软盘,然后移动到网络,目前正在寻找新的媒体,例如,通用串行总线 (USB) 设备和火线。感染速度并不像基于网络的病毒那样快,但安全威胁却始终存在,而且难以完全消除,因为系统之间需要交换数据。

   5. 对等 (P2P) 网络。要实现 P2P 文件传输,用户必须先安装 P2P 应用程序的客户端组件,该应用程序将使用一个可以通过组织防火墙的网络端口,例如,端口 80。应用程序使用此端口通过防火墙,并直接将文件从一台计算机传输到另一台。这些应用程序很容易在 Internet 上获取,并且恶意软件编写者可以直接使用它们提供的传输机制,将受感染的文件传播到客户端硬盘上。

 

6.      即时通讯Instant Messenger,简称IM)软件  即时通讯软件已经从原来纯娱乐休闲工具变成生活工作的必备利器。无论是老牌的ICQ,还是国内的腾讯QQ,以及微软的MSN Messenger,都是大众关注的焦点。由于用户数量众多,再加上即时通讯软件本身的安全缺陷,导致其成为病毒的攻击目标。

1.3病毒传播带来的威胁

计算机病毒的爆发对企业的安全构成了极大的威胁。尤其近几年混合型病毒所造成的破坏非常巨大。新型病毒的大规模传播,给企业信息资源带来如下威胁:

1.      数据损坏或删除。一种最具破坏性的威胁类型应该是损坏或删除数据的恶意代码,它可以使用户计算机上的信息变得无用。这类威胁编写者具有两个选项:第一个选项是将程序设计为快速执行。对于它所感染的计算机而言极具潜在破坏性。另一个选项是驻留在本地系统上(以特洛伊木马的形式)保留一段时间,这样会使恶意软件在破坏之前可能就进行传播。

2.     后门。这种类型的威胁允许对计算机进行未经授权的访问。它可能提供完全访问权限,但也可能仅限于某些访问权限,例如,通过计算机上的端口 21 启用文件传输协议 (FTP) 访问。如果攻击可以启用 Telnet,黑客则可以将已感染计算机用作 Telnet 攻击在其他计算机上的临时区域。

3. 信息窃取。一种特别令人担心的恶意威胁是窃取信息。如果会损害计算机的安全,  则它可能会提供一种将信息传回作恶者的机制。这种情况可以多种形式发生;例如,传输可以自动进行,从而使恶意软件可以很容易地获取本地文件或信息,例如,用户所按的键(以便获取用户名和密码)。另一种机制是在本地机器上提供一种环境,使攻击者可以远程控制该机器,或直接获取对系统上文件的访问权限。

 4.         垃圾邮件邮件服务器承担公司内部所有的邮件交换和外部邮件转发,邮件是新型病毒传播的主要方式,邮件病毒如“I LOVE YOU”“SirCAM”“红色代码”“尼姆达”等类型的病毒存在邮箱中,在客户机邮件发送程序中自动进行垃圾邮件的发送,为企业和客户带来大量的垃圾邮件,而且会造成网络流量过载,极大影响正常通信工作。

  5.       拒绝服务 (DoS)。可以传递的一种最简单的类型是拒绝服务攻击。DoS 攻击是由攻击者发起的一种计算机化的袭击,它使网络服务超负荷或停止网络服务,如 Web 服务器、文件服务器、邮件服务器等。

   6.     分布式拒绝服务 (DDoS)DDoS 攻击是一种拒绝服务攻击,其中攻击者使用各种计算机上安装的恶意代码来攻击单个目标。攻击者使用此方法对目标造成的影响很可能会大于使用单个攻击计算机造成的影响。关于攻击怎样发生根据攻击的不同而不尽相同,但是它们通常都涉及将大量数据发送到特定的机器或网站,使其停止对合法通信的响应(或者无法响应)。这样会完全占用受害站点的可用带宽,并且会有效地使此站点脱机

1.4 企业网络全方位病毒防御策

 

随着新型混合型威胁的大规模传播,一个实用可行的企业级网络防病毒解决方案显然需要一个面向所有网络用户、各级文件服务器、邮件服务器和Internet网关服务器的全方位防毒解决方案。应该在整个网络中,只要有可能感染和传播病毒的地方都应该有相应的解决方案,防止病毒的入侵和传播,确保网络的安全,保证能在本网络中实现多层最大限度的防护能力。

1.         系统外部(Internet或外网)的病毒入侵:网关是目前病毒进入最多的途径。采用网关部署防病毒的措施。可以保护和InternetIntranet相联的内部计算机网络免受来自外部病毒的攻击,能断绝来自外网络JAVAACTIVEX病毒对内部网的入侵。

2.        网络邮件系统:保护系统内的邮件服务器中邮件的安全,避免病毒引起的网络过载情况出现。如果邮件服务器感染了病毒,通过邮件方式该病毒将以几何级数在网络内迅速传播,并且很快会导致邮件系统负荷过大而瘫痪。因此在邮件系统上部署防病毒显得尤为重要。

3.        文件服务器: 文件资源共享是网络提供的基本功能,而且大大提高了资源的重复利用率,但是一旦服务器本身感染了病毒,就会对所有的访问者构成威胁。因此文件服务器必须设置防病毒保护。

4.        针对客户端:病毒最后的入侵途径就是最终的桌面用户。由于网络共享的便利性,某个感染病毒的桌面机可能随时会感染其它的机器。因此在网络内对所有的客户机进行防毒控制也很有必要。

5.  集中管理:由于混合病毒广泛的感染范围和为抵挡这些病毒所采用的分布式解决方案等因素,需要对网络的所有方面有完全的了解,并能及时作出反应。所选的防病毒方案必须能够提供对网络活动的集中管理,提供详细的报告功能,来检查某些服务器和桌面机,将网络事件与这些组件的状态相关联。

 


这篇文章对你多有用?

用户评语

添加评语
当前还没有评语.


.: .: .: .: .:
[ 登陆 ]
北京护航科技有限公司 2006

Novots Technologies Limited