Download
slide1 n.
Skip this Video
Loading SlideShow in 5 Seconds..
恶意移动代码分析与研究 PowerPoint Presentation
Download Presentation
恶意移动代码分析与研究

恶意移动代码分析与研究

206 Vues Download Presentation
Télécharger la présentation

恶意移动代码分析与研究

- - - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - - -
Presentation Transcript

  1. 恶意移动代码分析与研究 郑 辉 清华大学网络中心 CERNET Computer Emergency Response Team zhenghui@ccert.edu.cn

  2. 主要内容 • 当前的安全状况 • 攻防主体 • 主要研究成果 • 防治周期理论 • 主动防治系统 • Open Problems

  3. 漏洞越来越多…

  4. 攻击越来越容易…

  5. 病毒数量增长越来越快…

  6. Rapidly Escalating Threat to Businesses 风险越来越大… 攻击目标和破坏程度 全球基础设施 区域性网络 多个网络 单个网络 单台计算机 分 • Next Gen • Flash threats • Massive worm-driven DDoS • Damaging payload worms 时 • Third Gen • Distributed denial of service • Blended threats 天 • Second Gen • Macro viruses • Denial of service 周 • First Gen • Boot viruses 1980s 1990s Today Future

  7. Infrastructure-level DDoS attacks Server-level DDoS & worm attacks Bandwidth-level DDoS attacks 病毒、蠕虫、DDoS组合攻击 Attack zombies: • Use valid protocols • Spoof source IP • Massively distributed

  8. Internet面临的安全挑战 • 如何防范自动化攻击? • 如何防范快速突发攻击? • 如何防范大规模攻击?

  9. 恶意移动代码主要特性 • 破坏性(Malicious Code, Malware) • 移动性(Mobile Code) • 通过网络 • 通过人

  10. 恶意移动代码主要种类 • Internet 蠕虫 • 病毒邮件 • 文件系统病毒 • 网页脚本 • 木马

  11. 恶意移动代码的简单比较

  12. 各种恶意移动代码的融合趋势 • 病毒、蠕虫、木马之间的界限已经不再明显; • 综合使用多种攻击手段: • 传播:计算机系统的漏洞、电子邮件、文件共享、Web浏览等 • 社会工程(social engineering )

  13. 攻防主体 • 影响网络安全的三支力量 • Hacker • VXer • Cracker • 防范主体 • 网络运营商、服务提供商、用户; • 系统厂商、防毒产品厂商; • 科研技术人员、政府主管部门;

  14. 蠕虫的历史回顾 • Xerox PRAC, 1980年 • Morris Worm, 1988年11月2日 • WANK Worm, 1989年10月16日 • ADM Worm, 1998年5月 • Millennium, 1999年9月 • Ramen Worm, 2001年1月 • Lion Worm, 2001年3月23日 • Adore Worm, 2001年4月3日 • Cheese Worm, 2001年5月 • Sadmind/IIS Worm, 2001年5月 • CodeRed Worm, 2001年7月19日 • Nimda Worm, 2001年9月18日 • Slapper, 2002年9月14日 • Slammer, 2003年1月25日 • Dvldr32, 2003年3月7日 • MSBlaster, 2003年8月12日 • Nachi, 2003年8月18日

  15. 2004年蠕虫 • MyDoom.C2004年2月9日 • Witty Worm 2004年3月20日 • Sasser Worm 2004年4月30日 • Santy Worm2004年12月21日

  16. 蠕虫的爆发周期越来越短… • 漏洞公布和蠕虫爆发的间隔越来越短 最佳时机 及时 太晚了 攻击代码 蠕虫爆发 控制 清除 漏洞发现 越来越长,越来越难  越来越短 

  17. 恶意移动代码主要研究内容 • 恶意代码的工作机制 • 其他工作的基础 • 传播模型 • 现有模型忽略太多因素而缺乏指导意义 • 仿真 • 仿真Internet难度较大 • 检测 • 检测结果出来为时已晚 • 抑制 • 现实需求

  18. CCERT的科研优势 • 长期对恶意移动代码研究的积累; • 迅速有效的响应机制; • 第一手的网络数据;

  19. CodeRed蠕虫监测数据

  20. Blaster & Nachi监测数据

  21. Sasser蠕虫监测数据

  22. Witty 蠕虫监测数据

  23. 主要研究成果 • 针对蠕虫个体 • 实体结构模型 • 功能结构模型 • 针对网络 • 利用DNS服务抑制蠕虫传播 • Internet 蠕虫主动防治系统

  24. 实体结构模型

  25. 功能结构模型

  26. 利用DNS服务抑制蠕虫传播

  27. Internet 蠕虫防治周期 • 预防阶段 • 检测阶段 • 遏制阶段 • 清除阶段

  28. Internet 蠕虫主动防治系统

  29. 网络技术发展带来的变化 • P2P • Overlay网络构成的相对独立网络; • IRC、MSN、QQ、BT、eMule • IPv6 • 网络规模 • 加密传输

  30. IPv6 的Internet , 28年后,感染第一台主机 IPv6网络的抗扫描特性 IPv4 的Internet ,Slammer 蠕虫,10分钟后,感染了大多数有漏洞的计算机

  31. 恶意移动代码的技术发展趋势 • 结合人工智能技术; • 动态功能升级技术; • 多平台传播技术; • 分布式实体技术;

  32. Santy蠕虫 • 描述: • 2004年12月21日发现,截止到12月22日,google可以统计到被santy蠕虫破坏的网站已经达到26000多; • 利用论坛系统phpBB的漏洞传播; • 智能特性: • 从搜索引擎google得到攻击站点列表; • 存在形式: • 脚本代码;

  33. Santy蠕虫引出的新问题 • 如何检测智能蠕虫? • 不需扫描,流量无明显异常; • 查询条件的无穷组合; • 脚本代码的任意变化; • 如何防治智能蠕虫? • IPv6的抗扫描特性不再适用; • 封锁搜索引擎?海量信息如何查找; • 搜索引擎屏蔽?查询合法性的不可判定;

  34. Open Problems • 蠕虫爆发预警 • 仿真环境与蠕虫传播模拟 • 良性蠕虫的控制策略 • 恶意移动代码来源定位 • 网络安全生态理论

  35. 参考文献 • 蠕虫的行为特征描述和工作原理分析, http://worm.ccert.edu.cn/doc/spark/WormBehaviorPrincipleAnalysis.pdf • Internet蠕虫研究,http://worm.ccert.edu.cn/doc/InternetWormResearch.pdf • 大规模网络中Internet 蠕虫主动防治技术研究 -- 利用DNS 服务抑制蠕虫传播, http://worm.ccert.edu.cn/doc/spark/WormDefenseWithDNS.pdf • 主动Internet蠕虫防治技术-接种疫苗, http://worm.ccert.edu.cn/doc/Vaccination.pdf • Internet蠕虫主动防治系统原理与设计, http://worm.ccert.edu.cn/doc/spark/WormDefenseSystem.pdf

  36. 谢谢!