|
|
知识路径: > 恶意代码防范技术原理 > 网络蠕虫分析与防护 > 网络蠕虫防范技术(网络蠕虫检测与预警技术、网络蠕虫传播抑制技术、网络系统漏洞检测与系统加固技术、网络蠕虫免疫技术、网络蠕虫清除技术等) >
|
|
相关知识点:8个
|
|
|
|
|
网络蠕虫已经成为网络系统的极大威胁,防范网络蠕虫需要多种技术综合应用,包括网络蠕虫监测与预警、网络蠕虫传播抑制、网络蠕虫漏洞自动修复、网络蠕虫阻断等,下面将说明近几年的网络蠕虫检测防御的主要技术。
|
|
|
|
|
|
网络蠕虫监测与预警技术的基本原理是在网络中安装探测器,这些探测器从网络环境中收集与蠕虫相关的信息,然后将这些信息汇总分析,以发现早期的网络蠕虫行为。当前,探测器收集的与蠕虫相关的信息类型有以下几类:
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
而数据挖掘、模式匹配、数据融合等技术方法则用于分析蠕虫信息。著名的Grids是一个检测蠕虫攻击的实验系统,它在收集网络通信活动数据的基础上,构建网络节点活动行为图(Activity Graph),然后把节点行为图与蠕虫行为模式图进行匹配,以检测网络蠕虫是否存在。而免费软件Snort则通过网络蠕虫的特征来监测蠕虫行为。
|
|
|
|
|
|
网络蠕虫传播抑制技术的基本原理是利用网络蠕虫的传播特点,来构造一个限制网络蠕虫传播的环境。现在,已有的网络蠕虫传播抑制技术主要基于蜜罐技术。其技术方法是在网络系统设置虚拟机器或虚假的漏洞,这些虚假的机器和漏洞能够欺骗网络蠕虫,导致网络蠕虫的传播能力下降。例如,LaBrea对抗蠕虫工具,能够通过长时间阻断与被感染机器的TCP连接来降低网络蠕虫的传播速度。
|
|
|
|
|
|
网络蠕虫的传播常利用系统中所存在的漏洞,特别是具有从远程获取系统管理权限的高风险漏洞。
|
|
|
|
防治网络蠕虫的关键问题之一是解决漏洞问题,包括漏洞扫描、漏洞修补、漏洞预防等。保护网络系统免遭蠕虫危害的重点也就在于及早发现网络系统中存在的漏洞,然后设法消除漏洞利用条件,限制漏洞影响的范围,从而达到间接破坏网络蠕虫的传播及发作的条件和环境的目的。漏洞检测有通用的漏洞扫描软件或者特定的漏洞扫描工具。网络管理员通过漏洞检测来发现系统中所存在的漏洞分布状况,分析评估漏洞的影响,以制定相应的漏洞管理措施。系统加固是指通过一定的技术手段,提高目前系统的安全性,主要采用修改安全配置、调整安全策略、安装补丁软件包、安装安全工具软件等方式。例如,主机的安全配置要求是尽量关闭不需要的服务,避免使用默认账号和口令。而漏洞修补则是根据漏洞的影响,通常从安全公司、软件公司或应急响应部门获取补丁软件包,然后经过测试,最后安装到需要加固的系统中。
|
|
|
|
|
|
网络蠕虫通常在受害主机系统上设置一个标记,以避免重复感染。网络蠕虫免疫技术的基本原理就是在易感染的主机系统上事先设置一个蠕虫感染标记,欺骗真实的网络蠕虫,从而保护易感主机免受蠕虫攻击。
|
|
|
|
|
|
网络蠕虫阻断技术有很多,主要利用防火墙、路由器进行控制。例如合理地配置网络或防火墙,禁止除正常服务端口外的其他端口,过滤含有某个蠕虫特征的包,屏蔽已被感染的主机对保护网络的访问等。这样就可以切断网络蠕虫的通信连接,从而阻断网络蠕虫的传播。
|
|
|
|
|
|
网络蠕虫清除技术用在感染蠕虫后的处理,其基本方法是根据特定的网络蠕虫感染系统后所留下的痕迹,如文件、进程、注册表等信息,分析网络蠕虫的运行机制,然后有针对性地删除有关网络蠕虫的文件或进程。清除网络蠕虫可以手工清除或用专用工具清除。采用手工清除方式应熟知蠕虫的发作机制,通常需要在受害机器上进行“蠕虫特征字符串查找、注册表信息修改、进程列表查看”等操作。蠕虫专用工具则由安全公司或应急响应部门提供,用户只需简单安装即可运行。
|
|
|
