1 / 28

防病毒系统自身的鲁棒性

防病毒系统自身的鲁棒性. CA-Jinchen 2014年8月26日. E-Mail 附件. 外来文件. 计算机病毒的发展趋势. 感染方式 系统漏洞 网络共享 传播渠道 Web 浏览 E-Mail 传输 传播方式 ICQ Flash 隐藏方式 电子邮件附件后缀名称 多重加密. Dakfjdjfdsafkdafld jdkjajfdlkiefjdksjalfdksajdlsakfdsalkfdkslafjdksafljddfksajfdjskajfdsjafdjsakjfdksjafkdjlsafjldksjafowjfejwaijio.

mahina
Download Presentation

防病毒系统自身的鲁棒性

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 防病毒系统自身的鲁棒性 CA-Jinchen 2014年8月26日

  2. E-Mail附件 外来文件 计算机病毒的发展趋势 • 感染方式 • 系统漏洞 • 网络共享 • 传播渠道 • Web浏览 • E-Mail传输 • 传播方式 • ICQ • Flash • 隐藏方式 • 电子邮件附件后缀名称 • 多重加密 Dakfjdjfdsafkdafld jdkjajfdlkiefjdksjalfdksajdlsakfdsalkfdkslafjdksafljddfksajfdjskajfdsjafdjsakjfdksjafkdjlsafjldksjafowjfejwaijio

  3. 病毒和入侵者行为的融合 • 入侵者行为特点:采用系统安全漏洞达到对系统的控制或毁坏 • 病毒行为特点:利用自我复制和快速的传播达到病毒设计者的特定目的 • 文件破坏 • 系统破坏 • 信息窃取 • 资源占用 • 成果展示 • 逻辑炸弹 • 恐吓 • 无目的 • 二者的融合 • 导致了远程快速系统控制或破坏的可能性

  4. 融合点 • 病毒的感染方式 • 借助了系统存在的安全漏洞 • 80‘s蠕虫病毒 • 2001年Nimda病毒 • 病毒的欺骗战术 • Social Engineering攻击方式 • I love you爱虫病毒 • 贺卡病毒 • 入侵者对病毒的利用 • 攻击的前奏(如DDoS) • 利用病毒造成的后门 • 直接利用病毒窃取敏感信息(如口令文件)

  5. Zero-Day攻击 • 攻击过程自动化 • 攻击工具的复杂化 • 漏洞发现的快速化 • 渗透网络防护

  6. 全球攻击趋势

  7. 防病毒系统的重任 • 广泛驻留在每一台计算机 • 实时对恶意代码防范 • 监视多渠道的数据来源 • 高可用性 • 频繁升级 • 高安全性

  8. 防病毒系统面临的问题 • 入侵者对防病毒系统的利用 • 病毒攻击 • 人为攻击 • 防火墙端口的开放 • 网络资源的占用 • 管理负载 • 网络发现 • 策略分发 • 升级负载

  9. 病毒攻击 • Maldal.D(ZaCker)病毒 • 2001年12月28日编写并传播 • 采用VB编写,Aspack压缩 • 采用Outlook散布,发送给所有的联系人 • 试图删除以下后缀的文件:.ini, .php, .exe, .com, .mpeg, .dat, .zip, .txt, .exe, .xls, .doc, .jpg • 试图删除数种防病毒软件

  10. 人为攻击 • 防病毒软件破坏 • 防病毒软件中种植木马 • 特征码篡改 • 控制指令假冒 • 升级程序(脚本)篡改

  11. 防火墙端口的开放 • 防病毒服务器为了升级特征代码 • 从厂家提供的升级服务器升级 • 内部跨越不同安全网段的升级 • 一般升级方式 • FTP • 网络共享 • HTTP • 安全隐患

  12. 网络负载 • 管理负载 • 可能导致的大量的网络广播 • 策略分发对网络的负荷 • 升级负载 • 特征库越来越大 • 1~2Mb • 病毒爆发时对网络的瞬时压力

  13. 防病毒系统的鲁棒性 • 安全可靠 • 效率高 • 适应当前病毒发展的趋势

  14. 安全性 • 自身程序和特征文件的保护 • 管理台和客户端通信的保护 • 特征文件安全升级的保障 • 升级系统对防火墙开放端口的要求 • 微型入侵检测系统

  15. 利用private key对主要模块进行数字签名 签名的部分 所有二进制文件 升级特征文件 策略文件 补丁程序 运行机理 在动态调用DLL之前进行检查 开始运行EXE文件时进行自检 调用EXE文件之前进行检查 利用数字签名实现的自我防护

  16. Request Program Program Finished Return Error Exec Checks Okay? Launch Program 程序没有签名保护的运行流程 User space Kernel space Yes No

  17. Request Program Return Error Program Finished Exec Checks Okay? Launch Program Program Signature Verifies? 程序有签名保护的运行流程 User space Kernel space Yes No Yes No

  18. 会话之前的认证 会话过程的加密 分发策略的签名 防病毒客户端和管理台通讯安全 三重的安全保障

  19. 对特征文件升级端口的控制 • 应该提供多种方式可以选择 • HTTP(最符合安全策略) • FTP • Active mode • Passive mode • SMB • 本地路径

  20. 微型入侵检测系统 • 对现代防病毒软件的要求 • 抵御蠕虫感染后留下的后门 • 了解蠕虫病毒的特征 • 分析蠕虫病毒的破坏结果 • 修复被破坏和篡改的文件、注册表项等

  21. 效率的考虑 • 网络管理效率 • 特征文件升级效率 • 对集中升级请求的处理

  22. 低负载网络发现过程 选举

  23. 层次化的策略代理和升级代理机制 • 利用策略代理实现对大网的分割 • 每一个小网设置一个代理 • 最终客户端的策略分发由最低级别的代理实现 • 特征文件升级 • 同策略代理的实现方式一致 • 对升级流量和负载进行分散处理

  24. 增量升级实现方式 Full Data File 23.41.0 Full Data File 23.40.0 23.40.1 23.40.2 23.41.1

  25. 特征码升级步骤

  26. 安全性 全网升级之前的测试升级 避免失败的升级将影响范围扩大 效率 将升级时间设定为指定固定升级时间周围的一个时间段,随机选择。 比如统一在中午1点钟左右10分钟升级。 其他升级要考虑到的问题

  27. 更多信息…… • 请访问Web站点: • www.ca-jc.com • www.kill.com.cn • 或致电 • 8008100412免费热线

  28. 北京冠群金辰软件有限公司

More Related