欢迎来到Doc100.Net免费学习资源知识分享平台!
您的位置:首页 > 程序异常 >

安全:彻底全面了解电脑病毒历史_安全:防火墙和安全审计是基础

更新时间: 2015-04-20 00:00:00 责任编辑: Author_N11

 

现在人都知道有电脑病毒,不过,你真正地了解它吗?希望本文能够让你更深刻地认识病毒,提高我们的安全意识。

一、病毒的定义

电脑病毒与医学上的“病毒”不同,它不是天然存在的,是某些人利用电脑软、硬件所固有的脆弱性,编制具有特殊功能的程序。由于它与生物医学上的“病毒”同样有传染和破坏的特性,因此这一名词是由生物医学上的“病毒”概念引申而来。

从广义上定义,凡能够引起电脑故障,破坏电脑数据的程序统称为电脑病毒。依据此定义,诸如逻辑炸弹,蠕虫等均可称为电脑病毒。在国内,专家和研究者对电脑病毒也做过不尽相同的定义,但一直没有公认的明确定义。

二、病毒的命名

病毒的命名没有固定的方法,有的按病毒第一次出现的地点来命名,如“ZHENJIANG_JES”其样本最先来自镇江某用户。也有的按病毒中出现的人名或特征字符,如“ZHANGFANG—1535”,“DISK KILLER”, “上海一号”。有的按病毒发作时的症状命名,如“火炬”,“蠕虫”。当然,也有按病毒发作的时间来命名的,如“NOVEMBER 9TH”在11月9日发作。有些名称包含病毒代码的长度,如“PIXEL.xxx”系列,“ KO.xxx”等体。

三、电脑病毒的发展趋势

在病毒的发展史上,病毒的出现是有规律的,一般情况下一种新的病毒技术出现后,病毒迅速发展,接着反病毒技术的发展会抑制其流传。同时,操作系统进行升级时,病毒也会调整为新的方式,产生新的病毒技术。总的说来,病毒可以分为以下几个发展阶段:

1.DOS引导阶段

1987年,电脑病毒主要是引导型病毒,具有代表性的是“小球”和“石头”病毒。由于,那时的电脑硬件较少,功能简单,一般需要通过软盘启动后使用。而引导型病毒正是利用了软盘的启动原理工作,修改系统启动扇区,在电脑启动时首先取得控制权,减少系统内存,修改磁盘读写中断,影响系统工作效率,在系统存取磁盘时进行传播。

2.DOS可执行阶段

1989年,可执行文件型病毒出现,它们利用DOS系统加载执行文件的机制工作,如“耶路撒冷”,“星期天”等病毒。可执行型病毒的病毒代码在系统执行文件时取得控制权,修改DOS中断,在系统调用时进行传染,并将自己附加在可执行文件中,使文件长度增加。1990年,发展为复合型病毒,可感染COM和EXE 文件。

3.伴随体型阶段

1992年,伴随型病毒出现,它们利用DOS加载文件的优先顺序进行工作。具有代表性的是“金蝉”病毒,它感染EXE文件的同时会生成一个和EXE同名的扩展名为COM伴随体 它感染COM文件时,改为原来的COM 文件为同名的EXE文件,在产生一个原名的伴随体,文件扩展名为COM。这样,在DOS加载文件时,病毒会取得控制权,优先执行自己的代码。该类病毒并不改变原来的文件内容,日期及属性,解除病毒时只要将其伴随体删除即可,非常容易。其典型代表的是“海盗旗”病毒,它在得到执行时,询问用户名称和口令,然后返回一个出错信息,将自身删除。

4.变形阶段

1994年,汇编语言得到了长足的发展。要实现同一功能,通过汇编语言可以用不同的方式进行完成,这些方式的组合使一段看似随机的代码产生相同的运算结果。而典型的多形病毒─幽灵病毒就是利用这个特点,每感染一次就产生不同的代码。例如“一半”病毒就是产生一段有上亿种可能的解码运算程序,病毒体被隐藏在解码前的数据中,查解这类病毒就必须能对这段数据进行解码,加大了查毒的难度。多形型病毒是一种综合性病毒,它既能感染引导区又能感染程序区,多数具有解码算法,一种病毒往往要两段以上的子程序方能解除。

5.变种阶段

1995年,在汇编语言中,一些数据的运算放在不同的通用寄存器中,可运算出同样的结果,随机的插入一些空操作和无关命令,也不影响运算的结果。这样,某些解码算法可以由生成器生成不同的变种。其代表作品─“病毒制造机”VCL,它可以在瞬间制造出成千上万种不同的病毒,查解时不能使用传统的特征识别法,而需要在宏观上分析命令,解码后查解病毒,大大提高了复杂程度。

6.网络、蠕虫阶段

1995年,随着网络的普及,病毒开始利用网络进行传播,它们只是以上几代病毒的改进。在Windows操作系统中,“蠕虫”是典型的代表,它不占用除内存以外的任何资源,不修改磁盘文件,利用网络功能搜索网络地址,将自身向下一地址进行传播,有时也在网络服务器和启动文件中存在。

7.窗口阶段

1996年,随着Windows的日益普及,利用Windows进行工作的病毒开始发展,它们修改(NE,PE)文件,典型的代表是DS.3873,这类病毒的急智更为复杂,它们利用保护模式和API调用接口工作,解除方法也比较复杂。

8.宏病毒阶段

1996年,随着MS Office功能的增强及盛行,使用Word宏语言也可以编制病毒,这种病毒使用类Basic 语言,编写容易,感染Word文件文件。由于Word文件格式没有公开,这类病毒查解比较困难。

9.互联网、感染邮件阶段

1997年,随着因特网的发展,各种病毒也开始利用因特网进行传播,一些携带病毒的数据包和邮件越来越多,如果不小心打开了这些邮件,电脑就有可能中毒。

10.爪哇、邮件炸弹阶段

1997年,随着互联网上Java的普及,利用Java语言进行传播和资料获取的病毒开始出现,典型的代表是JavaSnake病毒。还有一些利用邮件服务器进行传播和破坏的病毒,例如Mail-Bomb病毒,它就严重影响因特网的效率。

四、病毒的演化及发展过程

当前电脑病毒的最新发展趋势主要可以归结为以下几点:

1.病毒在演化

任何程序和病毒都一样,不可能十全十美,所以一些人还在修改以前的病毒,使其功能更完善,病毒在不断的演化,使杀毒软件更难检测。

2.千奇百怪病毒出现

现在操作系统很多,因此,病毒也瞄准了很多其他平台,不再仅仅局限于Microsoft Windows平台了。

3.越来越隐蔽

一些新病毒变得越来越隐蔽,同时新型电脑病毒也越来越多,更多的病毒采用复杂的密码技术,在感染宿主程序时,病毒用随机的算法对病毒程序加密,然后放入宿主程序中,由于随机数算法的结果多达天文数字,所以,放入宿主程序中的病毒程序每次都不相同。这样,同一种病毒,具有多种形态,每一次感染,病毒的面貌都不相同,犹如一个人能够“变脸”一样,检测和杀除这种病毒非常困难。同时,制造病毒和查杀病毒永远是一对矛盾,既然杀毒软件是杀病毒的,而就有人却在搞专门破坏杀病毒软件的病毒,一是可以避过杀病毒软件,二是可以修改杀病毒软件,使其杀毒功能改变。因此,反病毒还需要很多专家的努力!


 


  即使从最专业安全咨询的角度来讲,大家都在强调安全策略的重要性。单纯网络安全设备的部署,仅仅是安全的一个开端,只是添加了安全大厦的砖瓦,构筑了骨架而已。因为对于硬件设备的一味依赖和迷信,反而会造成安全审计上的松懈,甚至有人讲“一个具有部分安全的网络甚至还不如一个完全没有安全措施的网络”。安全审计如果不能说是网络策略中最重要的一部分的话,至少是必不可少的。
  
  对于网络安全的核心设备——防火墙,目前的形式已经要求它提供更为强大和完善的审计功能,不能满足于以往那种单纯的日志记录了。现在要求防火墙系统,不仅提供对于正常业务的审计,比如数据流的审计,而且需要对于负载的审计,就是说需要对于应用层数据的审计提供更全面的解决方案;同时防火墙系统应该提供对于自身系统的审计,支持必要的审计分析软件或者自带审计分析软件,绝大多数的防火墙只是提供干巴巴的日志记录而没有任何分析的余地,这样的审计系统更像是“鸡肋”,对于用户而言,他并不关心防火墙让什么样的数据流经过,而只关心有什么样的不符合安全策略的数据在试图进/出网络。
  
  说了半天的安全审计,那么究竟什么是审计呢?这是一个非常大的概念,很难下一个具体的定义,这样讲吧,凡是对于网络的脆弱性进行测试、评估和分析,以找到极佳途径在最大限度保障安全的基础上使得业务正常运行的一切行为和手段,都可以叫做安全审计。
  
  对于安全审计,有许多现成的模式,更有林林总总的标准和模型, 什么比如ISO7498-2,BS7799,CC和P2DR模型等,但是结合防火墙来讲,我们并不想把事情弄得如此复杂。作为一个网络边界设备和通信的中介,我们试图从一个黑客攻击网络的角度来考虑,在这整个过程中防火墙的审计功能应当如何发挥作用。
  
  (至于防火墙对自身系统的审计,我们在这里不做过多的赘述,因为作为一个完善的体系,对于自身业务处理进行日志,我们认为是必不可少却理所当然的功能。)
  
  对于来自外部攻击的审计
  
  黑客通过防火墙攻击内部服务器的一般步骤:
  
  1.黑客选定受害者目标阶段的防火墙审计
  
  大部分的黑客是在网络中盲目寻求目标的,因此任何系统都不能心存侥幸。防火墙系统应该能够记录所有外来的访问,并且能够安全地将时间、协议、访问源和访问目标以及流量等进行分类。
  
  同时,防火墙的审计系统能够按照安全策略,对于特定的访问请求进行详细的记录。(如图)
  
  2,黑客隐蔽真实地址阶段的防火墙审计
  
  为了隐藏自己的真实IP,高级的黑客会找一个跳板,比如代理服务器。对此防火墙是无能为力的,一般的情况下,就是防火墙系统对于已知的代理服务器IP采用“黑名单”的方式进行阻断。
  
  3, 黑客探测阶段的防火墙审计
  
  内网对外提供公开的服务,因此不可避免地会受到黑客对于目标端口和系统漏洞的扫描。目前有许多优秀的扫描工具,比如Windows平台的ISS Internet Scanner,Retina和SSS,以及国内的Fluxay等,而Unix平台的Nmap和Satan也是功能强大的扫描工具。对于防火墙而言,可以进行严格的策略设置,从而有效避免大部分的扫描。但是对于特定模式的扫描,比如fin扫描(如nmap -sF)等隐蔽方式的扫描,许多防火墙是无法识别的。
  
  防火墙的审计系统目前还不能做到像IDS那样的模式识别,但是应该具备起码的诊断功能,能够从频率来判断扫描事件。对于ping scan, tcp scan和udp scan等,防火墙需要内置识别模块并且采取有效措施。
  
  优秀的防火墙审计系统,应该能够自动识别或者通过策略设置来判断扫描事件,并且采取相应的措施,比如报警、阻断或者日志记录等。
  
  即使这样,对于开放的端口,黑客还是可以根据其特定的服务进行漏洞扫描,一般情况下,对于漏洞扫描防火墙也是无法判断的,只能在日志里面如实地记录,而无法进行进一步的分析。
  
  不过,一般的端口扫描,会伴随着对于端口的洪水攻击,比如syn flooding,udp flooding等,对于这些DOS攻击,虽然无法从根本上防备,但是防火墙的审计系统是有足够能力进行自动识别并丢弃攻击包的。
  
  4, 黑客渗透阶段的防火墙审计
  
  黑客一旦锁定攻击目标,那么就会尝试使用各种攻击手段进行渗透。非法入侵的方法多不胜数,我们只就常见的方式来介绍防火墙的安全审计策略。
  
  最常见的服务器攻击是针对web和ftp的,因此,针对这两项服务,防火墙的审计系统都应该有应用层数据的审计能力。
  
  Web服务器的安全漏洞基本上集中于服务器自身的安全漏洞,无论是java,activeX控件,还是CGI脚本都是容易被攻击的对象。虽然目前大部分的防火墙都能通过应用层的内容过滤规则来设置一些对策,但是我们建议防火墙审计系统应该是自动识别一些知名的攻击的。举个例子,许多脚本小子喜欢利用IIS的Unicode漏洞,那么防火墙的审计系统就应该自动识别类似于/scripts/..%c1%1c../winnt/system32/cmd.exe?/这种格式的非法http请求,而自动将之丢弃。
  
  另外一种可行的审计方式是,防火墙支持和IDS的联动,这样就可以对于更多的攻击类型进行有效的分析和判断。
  
  对于ftp服务器的攻击,一个重要的部分就是密码的嗅探和暴力破解,而且ftp采用了双端口的服务模式,更为攻击提供了方便。防火墙的审计系统对于各个ftp命令能够进行有效审计,并且能够按照策略做到命令级的控制。
  
  就攻击类型来讲,防火墙审计系统应该具备至少判断如下类型攻击的能力:欺骗攻击,会话劫持,DOS攻击。
  
  DOS攻击的审计我们前面提过,对于欺骗攻击和会话劫持攻击而言,基于连接的状态包过滤防火墙容易审计,简单包过滤的防火墙在处理起来就有相当的难度。因为基于连接的话,就可以在一定程度上保证完整性和信任关系。
  
  对于黑客渗透阶段的防火墙审计工作,情况是最为复杂的,一般防火墙可辨识的攻击类型很少,而对于那些针对系统漏洞进行的攻击,防火墙基本无法识别。此时防火墙审计所带来的安全性,更多地依赖于整体安全策略的设定。
  
  5, 黑客控制阶段的防火墙审计
  
  一旦黑客的攻击得逞,那么防火墙的审计工作就显得尤为重要。因为只有通过有效的审计,才能知道黑客是通过什么途径来入侵并成功的。这时候防火墙的日志分析就是最关键的工作,高级的黑客一般都会从入侵系统中将自己的入侵记录删除,所以应用系统的日志一旦破坏,那么就只有依赖防火墙的记录了。
  
  通过日志分析,获取时间、地址、协议和流量等信息,就可以有效判断网络是否开放了不必要的服务和端口,黑客是否可能利用了系统漏洞等等。
  
  这样就有助于增强整个网络的安全性,并且有助于制定更为严格的安全策略。
  
  对于来自内部攻击的审计
  
  对于来自内部的攻击防火墙能作的工作很少,特别是内部那些不经过防火墙的攻击。不过防火墙可以有效阻止从内部发出的攻击,这样起码可以保证自己的服务器不会成为DDOS攻击的傀儡机。
  
  然而,遗憾的是,大部分的安全策略设定是对于内部的数据不进行审计,而大部分的防火墙的审计系统是与访问的方向相联系的。因此目前的情况是,对于来自内部的攻击许多防火墙都无法审计,如果我们把类似Nimda、Melissa的病毒或蠕虫也当作一种攻击的话,基本上所有单独的防火墙系统最多能做的也就是按照策略进行日志记录。
  
  防火墙的审计系统,日志是其重要组件,随着访问量的不断增大,审计数据库的管理也成为一个突出的问题。一些硬件防火墙采用Flash memory的形式,那么就会产生空间问题,因此网络日志已经成为一个趋势。
  
  另外,由于大部分的防火墙自身不带有日志分析系统,因此是否能和专业的日志分析软件支持也将会是未来防火墙审计系统需要解决的一个问题。
  
  因为国内的大部分的防火墙是基于linux系统的,我们建议防火墙审计系统对于Syslog的支持,这样也更有利于防火墙审计系统对于类似于WebTrends Log Analyzer这样的日志分析软件协同工作。
  
  网络安全是一个庞大而复杂的体系,防火墙提供了基本的安全保障,但是一个不断完善的系统却需要借助于审计系统,这样才能找到一种动态的平衡。
  
  
  
  
  
相关文章
上一篇:上一篇
下一篇:下一篇

 

随机推荐程序问答结果

 

 

如对文章有任何疑问请提交到问题反馈,或者您对内容不满意,请您反馈给我们DOC100.NET论坛发贴求解。
DOC100.NET资源网,机器学习分类整理更新日期::2015-04-20 00:00:00
如需转载,请注明文章出处和来源网址:http://www.doc100.net/bugs/t/1312726/
本文WWW.DOC100.NET DOC100.NET版权所有。