Fast and Effective Worm Fingerprinting via Machine Learning

In Proceedings of the 3rd IEEE International Conference on Autonomic Computing (ICAC-2006), Poster Session. Dublin, Ireland, June 2006.

Fast and Effective Worm Fingerprinting via

Machine Learning

Stewart Yang,Jianping Song,Harish Rajamani,Taewon Cho

Yin Zhang and Raymond Mooney

Department of Computer Sciences,University of Texas at Austin,Austin,TX78712,USA

{windtown,sjp,harishr,khatz,yzhang,mooney}@https://www.wendangku.net/doc/656384899.html,

Abstract—As Internet worms become ever faster and more sophisticated,it is important to be able to extract worm sig-natures in an accurate and timely manner.In this paper,we apply machine learning to automatically?ngerprint polymorphic worms,which are able to change their appearance across every https://www.wendangku.net/doc/656384899.html,ing real Internet traces and synthetic polymorphic worms,we evaluated the performance of several advanced machine learning algorithms,including naive Bayes,decision-tree induction,rule learning(RIPPER),and support vector machines. The results are very https://www.wendangku.net/doc/656384899.html,pared with Polygraph,the state of the art in polymorphic worm?ngerprinting,several machine learning algorithms are able to generate more accurate signatures,tolerate more noise in the training data,and require much shorter training time.These results open the possibility of applying machine learning to build a fast and accurate online worm?ngerprinting system.

I.I NTRODUCTION AND B ACKGROUND W ORK

A typical intrusion detection system monitors all the in-coming and outgoing traf?c,while removing traf?c?ows that match prede?ned rules(signatures).However,worm?n-gerprinting currently requires security experts to manually analyze captured worm instances and thus can be very slow. Meanwhile,recent studies have shown that new worms such as the SQL SLammer can compromise all vulnerable hosts in the network in as short as10minutes.Moreover,worms released in the past few years have become even more powerful by us-ing polymorphic techniques to avoid detection.As a result,in order to effectively stop worm outbreaks,new automated and robust worm?ngerprinting techniques need to be developed. Among the?rst content-based worm?ngerprinting systems, Autograph[1]uses a predetermined heuristic to pre-classify input?ows into suspicious and unsuspicious?ows,which are then fed as training data to a Rabin’s?ngerprint based feature extractor and greedy signature generating algorithm.

In Polygraph[2]Newsome et al.propose three algorithms which focus on detecting and generating signatures for poly-morphic worms:sequential signatures,conjunctive signatures and Bayesian signatures.Polygraph employs a common sub-string?nder instead of Rabin’s?ngerprint algorithm to con-struct features.

II.W ORM FINGERPRINTING VIA MACHINE LEARNING The task of worm?ngerprinting can be abstracted to the problem of constructing a classi?er to separate a speci?c type of?ow(worms)from all other?ows(innocuous?ows)based on their content.There is a range of classi?cation algorithms in the machine learning literature that optimize for classi?cation accuracy–the percentage of instances that are correctly classi?ed–as well as for other criteria,such as training time and noise resistance.In particular,in terms of time complexity, most of the methods tested here are linear in the size of the training data,compared to the higher complexity of Polygraph. As the main contribution of this paper,we conducted ex-tensive experimental studies to verify our conjecture that other standard machine learning methods would outperform those used in Polygraph.The algorithms we tested included Naive Bayes learners(NaiveBayes and SparseNB),Support Vector Machines(SVM),Decision Trees(J48),and Rule learners (JRip).These learners were all used“right out of the box”from the Weka data-mining package[3],except for sequential-signature Polygraph(Seq-Poly),which we implemented fol-lowing the best-performing method from[2].

III.E XPERIMENTAL RESULTS

A.Experimental Design

Our experimental comparisons were conducted on a combi-nation of network traf?c traces and self-generated polymorphic worm instances.The two network traces–referred to here as the day trace and the week trace–were collected from a 100Mbps?ber link at ICSI,recorded over the span of one day and one week respectively.These two traces were previously used in experiments on Autograph.As preprocessing,we reassembled packets in the two traces into?ows and?ltered out?ows that were labeled as worms by the Bro intrusion detection system;the resulting pool of?ows only contained innocuous?ows.Following the studies on Polygraph,we generated polymorphic worm?ows for the Apache-knacker worm and the Atphttpd worm,headers for these worms were sampled uniformly from the pool of previously constructed innocuous?ows,and bodies were constructed from known signatures of these two worms by?lling random characters into the wildcard slots of these signatures.

As the next step,we transformed the string-based?ows into feature-vector representations by employing one of two feature construction techniques:a common substring?nder like that used in[2](COM)and an n-gram?nder like that used in[4](n-GRAM).As in Polygraph,COM looks for all substrings within a predetermined length limit that appear in more than a given percentage of?ows.Following[4],n-GRAM?nds all n-grams in the payloads and retains the500

n-grams with the highest information gain with respect to discriminating between suspicious and unsuspicious?ows.In order to?nd the best parameters for the two methods,we conducted development experiments on the day trace.

The experiments were carried out on desktop machines with 3.0GHz Intel Pentium IV processors and running Linux kernel 2.6.13.We compared all six algorithms based on the following criteria.To measure the accuracy of generated signatures,we recorded the cross-validated false positive rate(the percentage

of innocuous?ows incorrectly classi?ed as worms)as well as the false negative rate(the percentage of worm?ows misclassi?ed as innocuous).To evaluate the resilience of these algorithms to unavoidable class noise in the suspicious pool, we computed noise curves by varying the ratio of innocuous ?ows in the suspicious pool and recording the error rates at each point.Finally,to evaluate the detection speed,we recorded the time required by each algorithm to process the training sets.To ensure the reliability of the results,for each setting we report the results averaged over ten runs.

B.Accuracy of Generated Signatures

1)With a worm-free unsuspicious pool.:Following the experimental design used to test Polygraph,for different suspicious pool sizes from the week trace,we generated a noise curve for different levels of classi?cation noise in the suspicious pool.From the experiments,we observed that Polygraph started to generate false positives when the level of noise in the suspicious pool increased,which agrees with the results presented in[2].

JRip(the Weka implementation of RIPPER)performed the best among the contending algorithms,as it achieved zero false positive rates consistently;in fact,for most runs,JRip just produced single rules that directly encoded the address of the security?aw in the server system,required for any worm to break into it(and not exploited in innocuous?ow payloads). In addition,JRip successfully generated such signatures when there were only?ve true worm?ows in a suspicious pool of size50,which suggests it would be able to detect a new worm early in its outbreak.Since there seem to be small“smoking gun”signatures for such worms,it is not surprising that symbolic rule learning algorithms like JRip are more accurate than more numerical and probabilistic methods since their bias for?nding simple symbolic descriptions of categories seems to be a good match for this problem.

2)When the unsuspicious pool contains worms.:The au-thors of Polygraph make the assumption that the unsuspicious pool is free of worm?ows,in order to use?ows from a few days earlier to form pure unsuspicious pools.To verify the conjecture that Polygraph will be rendered ineffective if this assumption is relaxed,we repeated our previous experimental setting,additionally blending in twenty simulated worm?ows into the unsuspicious pool.

As shown in Figure1,Polygraph had a consistently high false negative rate,while JRip generated zero false negative rates even when the number of innocuous?ows increased,and only began to mislabel worm?ows as innocuous when the number of worm?ows in the suspicious pool dropped below that of the unsuspicious pool.

1e-05

2e-05

3e-05

4e-05

5e-05

6e-05

0 10 20 30 40 50 60 70 80 90

F

a

l

s

e

P

o

s

i

t

i

v

e

s

R

a

t

e

Percentage of Innocuous Flows in Suspicious Pool

Seq-Poly

JRip

J48

SVM

0.1

0.2

0.3

0.4

0.5

0.6

0.7

0.8

0.9

0 10 20 30 40 50 60 70 80 90

F

a

l

s

e

N

e

g

a

t

i

v

e

R

a

t

e

Percentage of Innocuous Flows in Suspicious Pool

Seq-Poly

JRip

J48

SVM

Fig.1.False positive and false negative rates under varying percentage of noise in the suspicious pool(200?ows).Unsuspicious pool(45,000?ows) contains20worm?ows.

Worm authors can disable worm detection algorithms by slow-poisoning the unsuspicious pool before launching the attack.On the other hand,the use of recorded innocuous?ows to form the unsuspicious pool may cause worm?ngerprinting algorithms to generate erroneous worm signatures for new legitimate innocuous?ows(with different characteristic pay-loads)right after their release,because these?ows only exist in the suspicious pool and not in the unsuspicious pool.

C.Training Time

1)Training time for the accuracy experiments.:Figure2 presents training times for the two experiments presented in the previous subsection.

The time complexity for sequential Polygraph is O(n2m), where n and m are the numbers of suspicious and unsuspicious ?ows respectively.This,we believe,is one of the major limitations of the Polygraph algorithm,because in the outbreak of a new worm,the suspicious pool can easily grow up to hundreds or even thousands of?ows,and consequently the time required by Polygraph to train on this suspicious pool will be too long to effectively quarantine the worm.On the contrary,the time complexity for JRip is O(m+n),which is also observed in the graphs,as when the size of suspicious pool increase from50to200,the training time stays roughly the same because the number of unsuspicious?ows(45,000) dominates the total number of?ows.The training time of J48 lies between that of JRip and Polygraph.

2)End-to-end training time for production use.:Given the training time of JRip(3to10minutes),we wanted to verify that our approach can be made fast enough to effec-tively quarantine a worm outbreak.With a more ef?cient C-implementation of RIPPER,n-grams as feature extractors,and

T r a i n i n g T i m e (s e c )

Percentage of Innocuous Flows in Suspicious Pool

1000

2000

3000

4000

5000

6000

0 10

20 30 40 50 60 70 80 90

T r a i n i n g T i m e (s e c )

Percentage of Innocuous Flows in Suspicious Pool

Seq-Poly

JRip J48SVM

Fig.2.Training time under varying percentage of noise in suspicious pool.The above graph depicts suspicious pool of size 50and pure unsuspicious pool.The bottom graph depicts suspicious pool of size 200and unsuspicious pool with 20worm ?ows

0 0.05

0.1

0.15 0.2

0.25 0.3

200

400 600

800 1000 1200 1400 1600 1800

2000

0 5

10

15

20 25

30 35 40F a l s e P o s i t i v e /N e g a t i v e R a t e

T r a i n i n g T i m e (s e c )

Number of Unsuspicious Flows

False Positive False Negative Training Time

Fig.3.False positive rate,false negative rate and training time under varying number of unsuspicious ?ows.

a more streamlined process,we conducted additional experi-ments to explore how fast the Ripper algorithm could train on a minimum number of examples necessary to identify a worm.We then measured the end-to-end time required to ?ngerprint a new worm with this “production level”implementation of our approach.

From Figure 3we can see that end-to-end training time is linear in the number of ?ows used in training -with 1,000unsuspicious ?ows it is 18seconds and with 2,000unsuspicious ?ows it increases to 34seconds.Moreover,when there are 1,000or more unsuspicious ?ows in training,both false positive and false negative rates stay at zero consistently.This result suggests that we can safely bring the number of unsuspicious ?ows down to 1,000and thus reduce the end-to-end training time to 18seconds.

D.Introducing a few purer labeled ?ows

Part of our ongoing research involves replaying randomly sampled traf?c ?ows on virtual hosts to see if they are worms.The virtual hosts are equipped with the latest server software,thus a worm ?ow,when replayed on a host,will reveal its malicious nature by exploiting ?aws in the software.This approach,when compared with the suspicious ?ow capturing algorithms introduced in Autograph and Polygraph,can obtain suspicious and unsuspicious ?ows that are much purer in nature,but is prohibitive due to the cost of establishing and maintaining the replay engine,as well as the time needed to replay each ?ow.

Hence,we propose to augment existing ?ngerprinting al-gorithms by taking the fewer but purer labeled ?ows into consideration.One way to incorporate the new ?ows is to give them larger weights in training compared to the weights given to the less pure suspicious ?ows.We conducted the same experiments as those done in section III-C.2,while introducing a set of 10labeled ?ows that were all worms.These ?ows were added to the original training set but were given a weight of 5.0instead of 1.0.The results indicated that the minimum number of unsuspicious ?ows to ensure zero false positive/negative rates was lowered from 1,000to 750,which in turn reduced the minimum end-to-end training time by 11.1%down to 16seconds.

IV.C ONCLUSIONS AND FUTURE WORK

We veri?ed in this paper that certain machine learning algorithms work well for the problem of worm ?ngerprinting.In particular,we compared the performance of ?ve machine learning algorithms against the best existing worm ?nger-printing algorithm (Polygraph)on a blend of network traces and simulated polymorphic worm ?ows.Results showed that two machine learning algorithms perform signi?cantly better than Polygraph in terms of resilience to noise and detection speed.More speci?cally,RIPPER produced zero negative rates consistently on noisy training data and was able to capture new worms with very few worm instances in the suspicious pool.Moreover,the algorithm runs in time linear in the total number of training ?ows,which makes it tractable for containing a large-scale worm outbreak.As future work,we plan to test our techniques on worms with even greater polymorphism using more advanced worm construction ideas.

R EFERENCES

[1]Kim,H.A.,Karp,B.:Autograph:Toward automated,distributed worm

signature detection.In:Proceedings of the USENIX Security Symposium.(2004)

[2]Newsome,J.,Karp,B.,Song,D.:Polygraph:Automatically generating

signatures for polymorphic worms.In:Proceedings of the IEEE Sympo-sium on Security and Privacy.(2005)

[3]Witten,I.H.,Frank,E.:Data Mining:Practical Machine Learning Tools

and Techniques with Java Implementations.Morgan Kaufman Pub.,San Francisco (1999)

[4]Kolter,J.Z.,Maloof,M.A.:Learning to detect malicious executables

in the wild.In:KDD ’04:Proceedings of the 2004ACM SIGKDD international conference on Knowledge discovery and data mining,New York,NY ,USA,ACM Press (2004)470–478

蠕虫病毒的特征与防治.doc

研究生课程论文 蠕虫病毒的特征与防治 摘要 随着网络的发展，以网络传播的蠕虫病毒利用网络全球互联的优势和计算机系统及网络系统安全性上的漏洞，己经成为计算机系统安全的一大的威胁。采用网络传播的蠕虫病毒与传统的计算机病毒在很多方面都有许多不同的新特点。本文对蠕虫病毒的特征和防御策略进行了研究，透彻分析了几个流行的蠕虫病毒的本质特征和传播手段，并提出了防治未知病毒以及变形病毒的解决方案与虚拟机相结合的基于攻击行为的着色判决PN机蠕虫检测方法。 关键词: 蠕虫，病毒特征，病毒防治

1引言 “蠕虫”这个生物学名词于1982年由Xerox PARC的John F. Shoeh等人最早引入计算机领域，并给出了计算机蠕虫的两个最基本的特征:“可以从一台计算机移动到另一台计算机”和“可以自我复制”。最初，他们编写蠕虫的目的是做分布式计算的模型试验。1988年Morris蠕虫爆发后，Eugene H. Spafford为了区分蠕虫和病毒，给出了蠕虫的技术角度的定义。“计算机蠕虫可以独立运行，并能把自身的一个包含所有功能的版本传播到另外的计算机上。”计算机蠕虫和计算机病毒都具有传染性和复制功能，这两个主要特性上的一致，导致二者之间是非常难区分的。近年来，越来越多的病毒采取了蠕虫技术来达到其在网络上迅速感染的目的。因而，“蠕虫”本身只是“计算机病毒”利用的一种技术手段[1]。 2蠕虫病毒的特征及传播 1、一般特征: (1)独立个体，单独运行; (2)大部分利用操作系统和应用程序的漏洞主动进行攻击; (3)传播方式多样; (4)造成网络拥塞，消耗系统资源; (5)制作技术与传统的病毒不同，与黑客技术相结合。 2、病毒与蠕虫的区别 (l)存在形式上病毒寄生在某个文件上，而蠕虫是作为独立的个体而存在;

蠕虫的行为特征描述和工作原理分析

蠕虫的行为特征描述和工作原理分析* 郑辉＊＊　李冠一　涂菶生　 （南开大学 20-333# ，天津，300071） E-mail: zhenghui@https://www.wendangku.net/doc/656384899.html, https://www.wendangku.net/doc/656384899.html,/students/doctor/spark/zhenghui.htm 摘要：本文详细讨论了计算机蠕虫和计算机病毒的异同，指出它们除了在复制和传染方面具有相似性之外，还有很多不同点，如蠕虫主要以计算机为攻击目标，病毒主 要以文件系统为攻击目标；蠕虫具有主动攻击特性，而病毒在传播时需要计算机 使用者的触发。通过详细区分它们的不同行为特征，确定了在计算机网络安全防 范体系中不同角色的责任。然后描述了蠕虫发展的历史，从中可以看到，蠕虫产 生了越来越大的危害。通过分析计算机蠕虫的工作原理、功能结构、实体组成， 提出了蠕虫的统一功能结构模型，并给出了有针对性的对计算机蠕虫攻击进行防 范的措施。最后本文分析了一些新的蠕虫技术发展趋势，指出计算机蠕虫本质上 是黑客入侵行为的自动化，更多的黑客技术将被用到蠕虫编写当中来，由此可以 看出对蠕虫攻击的防治和对抗将是长期而困难的工作。 关键词：蠕虫，计算机病毒，计算机网络安全，蠕虫定义，蠕虫历史，行为特征，功能模型 一、　引言 计算机病毒给世界范围内的计算机系统带来了不可估量的危害，给人们留下了深刻的印象。同时给人们一种误解，认为危害计算机的程序就是病毒。从而不加区分把计算机病毒（Virus）、计算机蠕虫（Worm）、木马程序（Trojan Horse）、后门程序（Backdoor）、逻辑炸弹（Logic Bomb）等等这些概念都称为计算机病毒。这种误解不仅体现在媒体的宣传中，而且体现在病毒技术研究人员的文章[1][2]中，反病毒厂商对产品的介绍说明中，甚至政府部门制定的法律法规[3]当中。这种相近概念上的误解导致不能有效的给出针对不同类型危害计算机安全的程序的有效防治措施，也为整体的计算机安全防护带来了一定困难。另外，同一程序的不同分类也不利于对其性质的进一步研究和分析。 计算机病毒和计算机蠕虫在传播、复制等特性上非常相似，尤其容易造成人们的误解。导致误解的原因有很多，一方面由于反病毒技术人员自身知识的限制，无法对这两种程序进行清楚细致的区分；另一方面虽然病毒的命名有一定的规范[4][5]，但病毒编写者在为自己的程序起名字的时候并不一定遵循这个规范，利用网络功能如电子邮件进行传播的病毒常常被病毒编写者冠以蠕虫的名字，这也给人们带来一些误导。为了照顾这种病毒的命名，曾有文献试图将蠕虫细分为活动蠕虫和邮件蠕虫[6]。由于用计算机病毒这个称谓不能涵盖所有危害计算机的程序的特征，而且容易产生误导，所以有的文献采用了含义更广泛的称谓“恶意软件”（malware）[7]来统一称呼它们。从蠕虫产生开始，十几年来，很多研究人员对蠕 *高等学校博士点学科点专项科研基金资助课题（编号：2000005516）。 **作者简介：郑辉（1972～），男，吉林伊通人，博士研究生，主要研究领域为网络与信息安全。李冠一（1978～），女，辽宁鞍山人，硕士研究生，主要研究领域为模式识别，计算机视觉与图像处理等。涂奉生（1937～），江西南昌人，博士生导师，主要研究领域为CIMS， DEDS理论，制造系统及通讯理论。

招警考试行测言语理解练习题及详解

招警考试行测言语理解练习题及详解 【例题】在西斯廷礼拜堂的天花板上，文艺复兴时期的艺术巨匠米开朗基罗把他笔下的人物描绘得如此雄壮、有力。在意大利，每当我们看到这些魁伟强劲、丰满秀美的人体艺术作品时，就会深深地感到人类征服自然、改造自然的勇气和力量，使我们对文艺复兴运动与现代体育的渊缘有了更深刻的理解。 这段文字是在谈文艺复兴运动与（）。 A．意大利 B．现代体育 C．人体艺术 D．米开朗基罗 【例题】近日，有能源专家指出，目前全国不少城市搞“光彩工程”，在当前国内普遍缺电的形势下这是不适宜的。按照上海电力部门的测算，上海的灯光工程全部开启后，耗电量将达到20万千瓦时，占整个城市总发电量的2%，相当于三峡电厂目前对上海的供电容量。 这段文字的主旨是（）。 A．搞光彩工程对国家和人民无益 B．现在不宜在各地推广光彩工程 C．上海整个城市的总发电量不高 D．上海的灯光工程耗电量惊人 【例题】现代心理学研究认为，当一个人感到烦恼、苦闷、焦虑的时候，他身体的血压和氧化作用就会降低，而当他心情愉快时整个

新陈代谢就会改善。 根据这段文字我们知道（）。 A．人们可以通过调节心情来调节血压 B．心情好坏与人的身体健康存在密切关系 C．血压和氧化作用降低说明该人心情不好 D．只要心情愉快就可以改善整个新陈代谢 【例题】俄罗斯防病毒软件供应商——卡斯佩尔斯基实验室于6月15日宣布，一个名为29a的国际病毒编写小组日前制造出了世界上首例可在手机之间传播的病毒。卡斯佩尔斯基实验室说，29a小组于15日将这个名叫“卡比尔”的蠕虫病毒的代码发给了一些反病毒厂商，后者确认该病毒具备在手机之间传播的功能。 该段文字作为一则报纸上的新闻，最适合做该段文字题目的是（）。 A．“卡比尔”蠕虫病毒在俄诞生 B．29a的国际病毒编写小组的新贡献 C．世界首例在手机之间传播的病毒诞生 D．反病毒厂商确认手机之间可传播病毒 【例题】有一种很流行的观点，即认为中国古典美学注重美与善的统一。言下之意则是中国古典美学不那么重视美与真的统一。笔者认为，中国古典美学比西方美学更看重美与真的统一。它给美既赋予善的品格，又赋予真的品格，而且真的品格大大高于善的品格。概而言之，中国古典美学在对美的认识上，是以善为灵魂而以真为境界的。

蠕虫病毒

【摘要】：凡能够引起计算机故障，破坏计算机数据的程序统称为计算机病毒。所以从这个意义上说，蠕虫也是一种病毒。蠕虫病毒，作为对互联网危害严重的一种计算机程序，其破坏力和传染性不容忽视。与传统的病毒不同，蠕虫病毒以计算机为载体，以网络为攻击对象。本文主要介绍蠕虫病毒的分类、概念、特点传播途径、典型蠕虫、防范措施和发展趋势等。 【关键词】：蠕虫病毒影响防范发展

目录 第一章蠕虫病毒概述 (1) 1.1 蠕虫病毒的概念 (1) 1.2 蠕虫病毒的成因 (1) 1.3 蠕虫病毒的特性 (1) 第二章蠕虫病毒分析 (2) 2.1 蠕虫病毒分类分析 (2) 2.1.1主机蠕虫 (2) 2.1.2 网络蠕虫 (2) 2.2 蠕虫病毒传播途径 (2) 2.3 典型蠕虫病毒 (3) 2.3.1 熊猫烧香病毒的概念 (3) 2.3.2 熊猫烧香病毒的危害 (3) 2.3.3熊猫烧香病毒的现象 (3) 第三章蠕虫病毒的防范 (5) 3.1 怎样防范蠕虫病毒 (5) 3.2 蠕虫病毒的解决方案（例：熊猫烧香病毒） (6) 第四章蠕虫病毒发展趋势 (11) 参考文献 (12)

第一章蠕虫病毒概述 1.1 蠕虫病毒的概念 1.2 蠕虫病毒的成因 利用操作系统和应用程序的漏洞主动进行攻击此类病毒主要是“红色代码”和“尼姆亚”，以及依然肆虐的“求职信”等。由于IE浏览器的漏洞（IFRAMEEXECCOMMAND），使得感染了“尼姆亚”病毒的邮件在不去手工打开附件的情况下病毒就能激活，而此前即便是很多防病毒专家也一直认为，带有病毒附件的邮件，只要不去打开附件，病毒不会有危害。“红色代码”是利用了微软IIS服务器软件的漏洞(idq.dll远程缓存区溢出)来传播，SQL蠕虫王病毒则是利用了微软的数据库系统的一个漏洞进行大肆攻击。 1.3 蠕虫病毒的特性 蠕虫和传统病毒都具有传染性和复制功能，这两个主要特性上的一致，导致人们在二者之间非常难区分。尤其是近年来，越来越多的传统病毒采取了部分蠕虫的技术，而具有破坏性的蠕虫也采取了部分传统病毒的技术，从而更加剧了这种情况。表1-2给出了传统病毒和蠕虫病毒的一些差别。

关于网络蠕虫及防范

关于网络蠕虫及防范 近年来，随着互联网产业的飞速发展，人们生活以及经济的发展与互联网越来越密切。计算机和网络已经成为社会不可或缺的重要部分，而互联网的安全问题也随之而来。网络安全问题受到众多复杂的因素影响，如目前网络安全政策不健全，计算机软件漏洞多和计算机用户安全常识缺乏等，这些因素都导致互联网上的安全事故不断爆发。其中，网络蠕虫是最重大的安全隐患之一。网络蠕虫不同于普通的电脑病毒，它能够以极快的速度在网络上传播，感染大量的个人用户和企业计算机系统，造成用户的资料受损，网络瘫痪以及其他不可估量的经济损失。 对于其中进行恶意侵犯的，我们首当其冲想到了黑客。黑客一词起源于20世纪50年代，最初的黑客一般都是一些高级的技术人员，他们热衷于挑战、崇尚自由并主张信息的共享。但随着网络技术的越来越发达，人们的生活越来越和网络接轨，其中就产生了第三方的经济等效益。于是，黑客便兴起了，逐渐形成了黑帽子，白帽子，灰帽子。 同时，随着黑客们对个人用户及企业的计算机的入侵，网络蠕虫便诞生了。它与病毒是存在区别的，两者是不同的。一般认为，蠕虫是一种通过网络传播的恶性型病毒，它不但具有病毒的一些共性而且还具有自己的一些特性。如不利用文件寄生，对网络造成拒绝服务，以及和黑客技术相结合等。目前危害比较大的蠕虫病毒主要通过三种途径传播：系统漏洞，聊天软件和电子邮件。 对于网络蠕虫，我们需要做好防范措施。对于一些不知名的邮件和充满诱惑力的邮件，我们要学会选择性的筛选一下，在进行观看。同时，要对一些网站以及别人发过来的东西进行谨慎的下载观看。同时，随着网络蠕虫的发展，我们更需要对电脑进行杀毒处理。虽然国外有一款杀毒软件效果非常不错，但是，随着发展，现在中国市场上的杀毒软件也做的非常不错。有金山毒霸等等。现在，大多数人或许都用的是360杀毒软件吧。不过，不管使用的是哪一款杀毒软件，最重要的是要常常更新病毒库，随着一些新病毒的发现，漏洞的发现，病毒库的更新就显得尤为重要了。 谢谢。

局域网蠕虫病毒的传播方式和保护方法

局域网蠕虫病毒的传播方式和保护方法 近来，威金(w32.looked系列)、熊猫烧香（w32.fujacks系列）等局域网蠕虫病毒大肆流行，这种病毒具有传播速度快，覆盖面广，破坏性大，自我恢复功能强等特点，并且还会自动连接到Internet升级变种并下载其它木马和恶意软件，给广大计算机用户带来了很大的麻烦。良好的基本安全习惯配合具有最新病毒定义和扫描引擎的杀毒软件，能够最大限度地保护您的电脑不受此类蠕虫病毒的影响，以及重复感染。了解蠕虫病毒的在局域网内传播机制，能让我们采用更有针对性的防护，下面就介绍这种局域网蠕虫的传播机制和保护方法：局域网蠕虫的传播安先后顺序分为扫描、攻击、复制三个过程。假设您局域网中有一台电脑感染了蠕虫，而这台脑又没有安装杀毒软件或者杀毒软件的病毒定义比较旧，没有办法检测出这个蠕虫病毒，那么它就会成为一个局域网内的攻击源。 第一步：扫描的过程就是用扫描器扫描主机，探测主机的操作系统类型、版本，主机名，用户名，开放的端口，开放的服务，开放的服务器软件版本等。这一过程中，扫描的范围一般是随机选取某一段IP地址，然后对这一地址段上的主机扫描。但是有些蠕虫会不断的重复扫描过程，就会造成发送大量的数据包，造成网络拥塞，影响网络通信速度等危害。但是这样，管理员也会很快找出感染源所在的地址，因此有些蠕虫会有意的减少数据发送量，包括不重复扫描几次以上，随机选择扫描时间段，随机选择小段IP地址段等等。根据扫描返回的结果确定可以攻击的电脑。

第二步：攻击的过程一般分为两种类型。一种是利用漏洞的攻击，如果扫描返回的操作系统信息或者某些软件的信息是具有漏洞的版本，那么就可以直接用对该漏洞的攻击代码获得相应的权限。例如利用windows的MS04-011漏洞的震荡波（w32.sasser系列）病毒，利用MS06-040漏洞的魔鬼波 （w32.ircbot系列）等。另外一种就是基于文件共享和弱密钥的功击，这种攻击需要根据搜集的信息试探猜测用户密码，一般的蠕虫都有试探空密码，简单密码，与已知密码相同密码等机制。猜出正确的密码后也就有了对远端主机的控制权。威金、熊猫烧香等病毒都基于这种攻击方式。 第三步：复制的实际上就是一个文件传输的过程，就是用相应的文件传输的协议和端口进行网络传输。 为了防止您的电脑受到局域网蠕虫病毒的攻击而感染此类病毒，赛门铁克现建议用户采取以下基本安全措施：1）开启个人防火墙：无论是SCS的防火墙，还是其它安全厂商的个人防火墙，还是windows系统自带的防火 墙，都可以对扫描、攻击、复制三个过程起到保护的 作用。例如，在一般的默认规则下，供击者扫描后不 会得到返回结果；攻击代码不会到达被防火墙保护的 电脑；无法向被防火墙保护的电脑复制病毒文件等。 如果管理员根据公司的应用情况和针对某类病毒，设 定诸如一些协议、端口、程序、入侵检测等的防护规 则，其防护效果就会更佳。 2）尽量关闭不需要的文件共享。除了用户自行设定的共享文件windows操作系统一般都有C$, D$,ADMIN$, IPC$等默认的共享，而一般情况下普通用户不一定需

特洛伊木马原理介绍

1. 特洛伊木馬程式原理7n 一、引言otnpy 特洛伊木馬是Trojan Horse 的中譯，是借自"木馬屠城記"中那只木馬的名稱。古希臘有大軍圍攻特洛伊城，逾年無法攻下。有人獻計製造一隻高二丈的大木馬假裝作戰馬神，攻擊數天後仍然無功，遂留下木馬拔營而去。城中得到解圍的消息，及得到"木馬"這個奇異的戰利品，全城飲酒狂歡。到午夜時份，全城軍民盡入夢鄉，匿於木馬中的將士開暗門垂繩而下，開啟城門及四處縱火，城外伏兵湧入，焚屠特洛伊城。後世稱這只木馬為"特洛伊木馬"，現今電腦術語借用其名，意思是"一經進入，後患無窮"。特洛伊木馬原則上它和Laplink 、PCanywhere 等程式一樣，只是一種遠端管理工具。而且本身不帶傷害性，也沒有感染力，所以不能稱之為病毒(也有人稱之為第二代病毒)；但卻常常被視之為病毒。原因是如果有人不當的使用，破壞力可以比病毒更強。iagavi ?摩尼BBS網路社區-- 音樂.歌詞.小遊戲.MTV.桌布.圖庫.笑話.影片.星座.下載.動漫畫.免費留言板申請BBS網路社區-- 音樂.歌詞.小遊戲.MTV.桌布.圖庫.笑話.影片.星座.下載.動漫畫.免費留言板申請E(/I 二、木馬攻擊原理cHt 特洛伊木馬是一個程式，它駐留在目標電腦裡，可以隨電腦自動啟動並在某一連接進行偵聽，在對接收的資料識別後，對目標電腦執行特定的****作。木馬，其實只是一個使用連接進行通訊的網路客戶/伺服器程式。e2/ 基本概念：網路客戶/伺服器模式的原理是一台主機提供伺服器(伺服端)，另一台主機接受伺服器(客戶端)。作為伺服端的主機一般會開啟一個預設的連接埠並進行監聽(Listen)，如果有客戶端向伺服端的這一連接埠提出連接請求(Connect Request)，伺服端上的相對應程式就會自動執行，來回覆客戶端的請求。對於特洛伊木馬，被控制端就成為一台伺服器。DJ ?摩尼BBS網路社區-- 音樂.歌詞.小遊戲.MTV.桌布.圖庫.笑話.影片.星座.下載.動漫畫.免費留言板申請 G5 iCf 三、特洛伊木馬隱身方法= 木馬程式會想盡一切辦法隱藏自己，主要途徑有：在工作程序中隱形：將程式設為「系統伺服器」可以偽裝自己。當然它也會悄無聲息地啟動，木馬會在每次使用者啟動時自動載入伺服器端，Windows系統啟動時自動載入應用程式的方法，「木馬」都會用上，如：win.ini、system.ini、註冊表等等都是「木馬」藏身的好地方。/x$l_ 在win.ini檔案中，在[WINDOWS]下面，「run=」和「load=」是可能載入「木馬」程式的途徑，一般情況下，它們的等號後面什麼都沒有，如果發現後面跟有路徑與檔案名稱不是您熟悉的啟動檔案，電腦就可能中「木馬」了。當然也得看清楚，因為好多「木馬」，如「AOL Trojan木馬」，它把自身偽裝成command.exe 檔案，如果不注意可能不會發現它不是真正的系統啟動檔案。g(hmry 在system.ini檔案中，在[BOOT]下面有個「shell=檔案名稱」。正確的檔案名稱應該是「explorer.exe」，如果不是「explorer.exe」，而是「shell= explorer.exe 程式名」，那麼後面跟著的那個程式就是「木馬」程式，就是說已經中「木馬」了。H 在註冊表中的情況最複雜，使用regedit指令開啟註冊表編輯器，在點擊至：「HKEY－LOCAL－MACHINE \Software \Microsoft \Windows \Current Version \Run」目錄下，檢視鍵值中有沒有自己不熟悉的自動啟動檔案，副檔名為EXE，這裡切記：有的「木馬」程式產生的檔案很像系統自身檔案，想使用偽裝矇混過關，如「Acid Battery v1.0木馬」，它將註冊表「HKEY－LOCAL－MACHINE \SOFTWARE

特洛伊木马典故

特洛伊木马典故 特洛伊木马的故事是在古希腊传说中，希腊联军围困特洛伊久攻不下，于是假装撤退，留下一具巨大的中空木马，特洛伊守军不知是计，把木马运进城中作为战利品。夜深人静之际，木马腹中躲藏的希腊士兵打开城门，特洛伊沦陷。下面是给大家整理的特洛伊木马典故，供大家阅读! 特洛伊城是个十分坚固的城市，希腊人牺牲了众多将士，一连攻打了九年也没有取得胜利。第十年，希腊军多谋善断的将领奥德修斯想出了一条妙计。一天，希腊联军突然扬帆离开了特洛伊附近的海面，只留下一匹巨大的木马。特洛伊人认为屡次失败的希腊人无心打仗，撤军回国，于是跑到城外探个究竟。特洛伊人看到木马非常吃惊，他们实在不知道木马的用途。有人主张把它当作战利品拉进城去，有人建议把它烧掉或者推到海里。 就在人们议论纷纷，犹豫不决的时候，几个牧人抓到一个希腊人(希腊人留下的间谍)。他对特洛伊人说：“这匹木马是希腊人献给雅典娜女神的。他们故意把它留下来，认为你们肯定会毁掉它。这样就会引起天神的愤怒。如果把木马拉进城，特洛伊就会受到神的保护。为了让你们的行为引起天神的愤怒，所以故意把马造得非常巨大，这样你们就无法把木马拉进城去。”希腊人的这番话说服了国王普里阿墨斯。他吩咐放了那个俘虏，并且下令把木马弄进城去。

国王相信了这番话，正准备把木马拉进城时，祭司拉奥孔跑来制止，他认为应该立即把木马烧掉。木马发出了可怕的响声，这时从海里窜出两条毒蛇，扑向拉奥孔和他的两个儿子。拉奥孔父子拼命和巨蛇搏斗，但很快被蛇缠死了。两条巨蛇从容地钻到雅典娜女神的雕像下，不见了。 人们认为由于拉奥孔怀疑木马所以导致父子三人的悲惨遭遇，因此更加相信希腊间谍的话。特洛伊人在木马下面装上轮子，使劲把木马往城里拉。由于木马太巨大，城门口进不去，只好推倒一段城墙。特洛伊人把木马放在雅典娜神庙附近。希腊联军落荒而逃，特洛伊城终于平安无事了，特洛伊人欢天喜地，举行了盛大的庆祝活动。自认为取得胜利的特洛伊人放松了警惕，欢庆过后，人们安心地入睡了。 深夜时分，当人们纷纷进入熟睡中时，希腊间谍偷偷起床，燃起火把，向远方发出约定的信号。然后，他悄悄走近木马，轻轻敲了敲木马。躲藏在木马中的全副武装的战士一个接一个地跳了出来。他们悄悄地摸到城门边，消灭了睡梦中的守军，迅速打开城门。此时，已经来到城门口的希腊人如潮水般涌了进来。希腊人终于等到了报仇雪恨的机会，他们挥舞着武器，对醉酒和昏睡的特洛伊人进行大肆屠杀。希腊人还放火焚烧特洛伊城，整个特洛伊变成了一片火海。顷刻之间，曾经美丽富饶的特洛伊城变成了人间地狱，到处是哭喊声和悲叫声，到处是尸体。 就这样，持续十年之久的特洛伊战争结束了。希腊人把特洛伊城掠夺一空，烧成一片废墟，美丽的海伦也被希腊联军带回了希腊。

电脑病毒和木马的概念介绍.doc

电脑病毒和木马的概念介绍 病毒、蠕虫和特洛伊木马是可导致您的计算机和计算机上的信息损坏的恶意程序。下面由我给你做出详细的!希望对你有帮助! : 什么是病毒: 计算机病毒(Computer Virus),根据《中华人民共和国计算机信息系统安全保护条例》，病毒的明确定义是"指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码"。 病毒必须满足两个条件: 条件1、它必须能自行执行。它通常将自己的代码置于另一个程序的执行路径中。 条件2、它必须能自我复制。例如，它可能用受病毒感染的文件副本替换其他可执行文件。病毒既可以感染桌面计算机也可以感染网络服务器。此外，病毒往往还具有很强的感染性，一定的潜伏性，特定的触发性和很大的破坏性等，由于计算机所具有的这些特点与生物学上的病毒有相似之处，因些人们才将这种恶意程序代码称之为"计算机病毒"。一些病毒被设计为通过损坏程序、删除文件或重新格式化硬盘来损坏计算机。有些病毒不损坏计算机，而只是复制自身，并通过显示文本、视频和音频消息表明它们的存在。即使是这些良性病毒也会给计算机用户带来问题。通常它们会占据合法程序使用的计算机内存。结果，会引起操作异常，甚至导致

系统崩溃。另外，许多病毒包含大量错误，这些错误可能导致系统崩溃和数据丢失。令人欣慰的是，在没有人员操作的情况下，一般的病毒不会自我传播，必须通过某个人共享文件或者发送电子邮件等方式才能将它一起移动。典型的病毒有黑色星期五病毒等。 什么是蠕虫: 蠕虫(worm)也可以算是病毒中的一种，但是它与普通病毒之间有着很大的区别。一般认为:蠕虫是一种通过网络传播的恶性病毒，它具有病毒的一些共性，如传播性、隐蔽性、破坏性等等，同时具有自己的一些特征，如不利用文件寄生(有的只存在于内存中)，对网络造成拒绝服务，以及和黑客技术相结合，等等。普通病毒需要传播受感染的驻留文件来进行复制，而蠕虫不使用驻留文件即可在系统之间进行自我复制，普通病毒的传染能力主要是针对计算机内的文件系统而言，而蠕虫病毒的传染目标是互联网内的所有计算机。它能控制计算机上可以传输文件或信息的功能，一旦您的系统感染蠕虫，蠕虫即可自行传播，将自己从一台计算机复制到另一台计算机，更危险的是，它还可大量复制。因而在产生的破坏性上，蠕虫病毒也不是普通病毒所能比拟的，网络的发展使得蠕虫可以在短短的时间内蔓延整个网络，造成网络瘫痪!局域网条件下的共享文件夹、电子邮件Email、网络中的恶意网页、大量存在着漏洞的服务器等，都成为蠕虫传播的良好途径，蠕虫病毒可以在几个小时内蔓延全球，而且蠕虫的主动攻击性和突然爆发性将使得人们手足无措。此外，蠕虫会消耗内存或网络带宽，从而可能导致计算机崩溃。而且它的传播不必通过"宿主"程序或文件，因此可潜入您的系统并允许其他人远程控制您的计算机，这也使它的危害

渗透SCADA工控系统过程解析

渗透SCADA工控系统过程解析 背景资料 Stuxnet蠕虫病毒(超级工厂病毒)是世界上首个专门针对工业控制系统编写的破坏性病毒，能够利用对windows系统和西门子SIMATIC WinCC系统的7个漏洞进行攻击。特别是针对西门子公司的SIMATIC WinCC 监控与数据采集 (SCADA) 系统进行攻击，由于该系统在我国的多个重要行业应用广泛，被用来进行钢铁、电力、能源、化工等重要行业的人机交互与监控。传播途径：该病毒主要通过U盘和局域网进行传播。历史“贡献”：曾造成伊朗核电站推迟发电。 2010-09-25，进入中国。 一直以来，2010年发生的Stuxnet案件被安全专家认为是一场有目的性的网络战争，攻击者使用一个精心设计的恶意软件打击在伊朗核工厂内SCADA系统。 尽管在多数情况下，SCADA工控系统扮演着相当重要的角色，但是在黑客眼中他们并不安全。 渗透过程 下面这个SCADA系统是我在互联网上找到的：iLON100 echelon SCADA system. 要进行目标识别，各研究必须被限制在一个特定的IP范围内，在此范围内进行扫描;要辨识出该范围，黑客需要一个ISP实例;

通过分析服务器响应，我们发现有些响应包头中包含WindRiver-WebServer，并且在 WWW-Authentication使用Basic realm-”i.LON”，我们从而选择这些目标。 选中的目标运行echelon Smart server 2.0，这个版本服务器包含一系列0day漏洞并且在一段时间以前刚刚公布了一个。

在一些研究之后，黑客发现了WindRiver防火墙源代码WindRiver firewalls，地址为WindRiver-Firewall-Source. 接下来攻击者就需要对最终目标执行exploit 在公开的报告中我们可以看到，SCADA中许多设备admin控制台被攻击者控制

蠕虫和病毒传播处置预案

XX公司 蠕虫和病毒传播处置预案 2019年12月

文档控制 更改记录

一、总则 第一条目的 本预案为蠕虫和病毒攻击和传播的安全事件处理专项预案，其目的主要是为了进一步规范对蠕虫和病毒攻击和传播安全事件的处理方法和处理程序，提高对此类安全事件的反应速度。 第二条基本原则 1．防范为主，加强监控。通过加强信息安全防范意识，提高网络系统的安全性。完善信息安全事件的日常监测、发现机制，及时采取有效的应对措施，迅速控制事件影响范围，力争将损失降到最低程度，从而缓解或抵御病毒爆发事件的安全威胁。 2．以人为本，协同作战。把保障公共利益以及本单位和其他组织的合法权益的安全作为首要任务。相关部门协同配合、具体实施，及时获取充分而准确的信息。通过跟踪研判，果断决策，迅速处置，以最大程度地减少危害和影响。 3．规范操作，常备不懈。加强防病毒技术储备，规范应急处置措施与操作流程，确保应急预案切实有效，实现信息安全突发事件应急处置的科学化、程序化与规范化。 第三条适用范围 本预案适用于本单位中遇到病毒攻击情况下的应急响应工作。

二、术语与定义 第四条计算机病毒 计算机病毒（Computer Virus）是编制者在计算机程序中插入的破坏计算机功能或者数据的代码，能影响计算机使用，能自我复制的一组计算机指令或者程序代码。计算机病毒有独特的复制能力，能够快速蔓延，并难以根除。 第五条蠕虫病毒 蠕虫病毒（worm）和一般的病毒有着很大的区别。对于蠕虫，现在还没有一个成套的理论体系。一般认为：蠕虫是一种通过网络传播的恶性病毒，它具有病毒的一些共性，如传播性、隐蔽性、破坏性等等，同时具有自己的一些特征，如不利用文件寄生（有的只存在于内存中），对网络造成拒绝服务，以及和黑客技术相结合等。在产生的破坏性上，蠕虫病毒也不是普通病毒所能比拟的，网络快速发展使得蠕虫可以在短短的时间内蔓延整个网络，造成整个网络瘫痪！ 三、病毒分析阶段 第六条事件分析 （1）使用netstat –ano命令查看操作系统是否存在异常连接。 （2）查看windows、recycle目录下是否存在异常文件。 （3）通过Pchunter等进程查看工具，查看是否存在异常进程在运行，定位至程序存放目录。 （4）分析病毒传播机制，如通过文件共享传播、通过邮件或文

计算机病毒种类和杀毒软件分析

计算机病毒种类和杀毒软件分析 摘要：随着经济的发展，人民物质文化水平的提高，计算机逐渐融入到人们的生活和工作中，其应用范围遍及各个领域。人们享受这计算机给我们带来生活的各种便利，我们感叹于它的先进、便利、迅速。但是，一个事物的存在总有其不利的一面，技术的发展也促使计算机病毒的异军突起，越来越多的人备受计算机病毒的困扰，新病毒的更新日益加快，如何防范和控制计算机病毒越来越受到重视，许多软件公司也推出了不同类型的杀毒软件。 关键字：计算机、病毒、杀毒软件 计算机病毒一直是计算机用户和安全专家的心腹大患，虽然计算机反病毒技术不断更新和发展，但是仍然不能改变被动滞后的局面，计算机用户必须不断应付计算机新病毒的出现。互联网的普及，更加剧了计算机病毒的泛滥。那么，计算机病毒究竟是什么呢？能让如此多的人备受困扰，下面，我想探讨一下计算机病毒 计算机病毒，是指一种认为编制能够对计算机正常程序的执行或数据文件造成破坏，并能自我复制的一组计算机指令或者程序代码。病毒之所以令如此多的额人惧怕，是因为它具有传染性、隐蔽性、潜伏性、寄生性、破坏性、不可预见性等特征。病毒具有把自身复制到其他程序中的能力，以它或者自我传播或者将感染的文件作为传染源，并借助文件的交换、复制再传播，传染性是计算机病毒的最大特征。病毒一般附着于程序中，当运行该程序时，病毒就乘机执行程序。许多计算机病毒在感染时不会立刻执行病毒程序，它会等一段时间后，等满足相关条件后，才执行病毒程序，所以很多人在感染病毒后都是不知情的，当病毒执行时为时已晚。寄生性是指计算机病毒必须依附于所感染的文件系统中，不能独立存在，它是随着文件系统运行而传染给其他文件系统。任何病毒程序，入侵文件系统后对计算机都会产生不同程度的影响，一些微弱，一些严重。计算机病毒还具有不可预见性，随着技术的提高，计算机病毒也在不断发展，病毒种类千差万别，数量繁多，谁也不会知道下一个虐遍天下的病毒是什么。 尽管计算机病毒种类繁多，按照其大方向还是可以对计算机病毒进行分门别类。 按计算机病毒的链接方式分类可分为： 1)源码型病毒。该病毒主要攻击高级语言编写的程序，这种病毒并不常见，它不是感染可 执行的文件，而是感染源代码，使源代码在编译后具有一定的破坏/传播或者其他能力。 2)嵌入型病毒。该类病毒是将自身嵌入现有程序当中，把计算机病毒的主体程序与其攻击 的对象以插入的方式链接。一旦被这种病毒入侵，程序体就难以消除它了。 3)外壳型病毒。它是将自身包围在程序周围，对原来的程序不作修改。这种病毒最为常见， 最易编写，也最易发现，一般测试文件的大小即可。 4)操作系统病毒。这种病毒在运行时，用自己的逻辑部分取代操作系统的合法程序模块， 破坏力极强，可致系统瘫痪。圆点病毒和大麻病毒就是典型的操作系统病毒 按计算机病毒的破坏性分类 1)良性计算机病毒。良性与恶性是相对而言的，良性并不意味着无害。而良性病毒为了表 现其存在，不停地进行扩散，从一台计算机转移到另一台，并不破坏计算机内部程序，但若其取得控制权后，会导致整个系统运行效率减低，系统可用内存减少，某些程序不能运行。 2)恶性计算机病毒。是指在其代码中含有损伤和破坏计算机系统的操作，在其传染或发作 时会对系统产生直接的破坏作用，这类病毒很多，如米开朗基罗病毒。 按寄生方式和传染途径分类： 1)引导型病毒。指寄生在磁盘引导区或主引导区的计算机病毒。引导型病毒会去改写磁盘 上的一些引导扇区的内容，软盘和硬盘都有可能感染病毒，再不然就改写硬盘上的分区

利用Netflow在大规模网络进行蠕虫和网络异常检测

利用Netflow在大规模网络 进行蠕虫和网络异常行为监测
https://www.wendangku.net/doc/656384899.html, yiming@https://www.wendangku.net/doc/656384899.html,
宫一鸣
中盈优创资讯系统有限责任公司
July 2004

提纲
电信网安全特性 netflow? Netflow和电信带宽安全
如何预警和监控
中盈 netflow在电信的应用

电信网的安全特性
电信网核心竞争力
带宽资源
带宽资源面临
蠕虫 网络滥用 DoS/DDoS

电信网的安全特性
如何保护和监控
防火墙 ？ 部署问题，侧重于点而非面 IDS ？ IDS工作在7层，海量数据 需要详细的信息？

电信网的安全特性
如何保护和监控
Netflow Passive monitoring No device Traffic profile! Arbor/NTG/flow-scan…. CERT SiLK while traffic summaries do not provide packet-by-packet (in particular, payload) information, they are also considerably more compact and consequently can be used to acquire a wider view of network traffic problems.

震网_深度分析

震网病毒——设计思路的深度分析 震网病毒，英文名称是Stuxnet，第一个针对工业控制系统的蠕虫病毒，第一个被发 现的网络攻击武器。 2010年6月首次被白俄罗斯安全公司VirusBlokAda发现，其名称是从代码中的关键字 得来，这是第一次发现震网病毒，实际上这还是震网病毒的第二个版本。 2007年有人在计算机信息安全网站VirusTotal上提交了一段代码，后来被证实是震网病毒的第一个版本，至少是我们已知的第一个。对于第一个震网病毒变种，后来大家基于震网病毒的第二个版本的了解基础上，才意识到这是震网病毒。 震网病毒的攻击目标是伊朗核设施。 据全球最大网络安全公司赛门铁克（Symantec）和微软（Microsoft）公司的研究，近60%的感染发生在伊朗，其次为印尼（约20%）和印度（约10%），阿塞拜疆、美国与巴基斯坦等地亦有小量个案。 2011年1月，俄罗斯常驻北约代表罗戈津表示，这种病毒可能给伊朗布什尔核电站造 成严重影响，导致有毒的放射性物质泄漏，其危害将不亚于1986年发生的切尔诺贝利核电站事故。 我们这次分析的案例是纳坦兹核设施。纳坦兹核基地对于伊朗的核计划非常重要，它是伊朗能否顺利完成利用核能发电的关键。纳坦兹铀浓缩工厂用浓缩铀的关键原料———六氟化铀（UF6），灌入安装在这里的离心机，提炼浓缩铀，为布什尔核电站发电提供核燃料。 进一步分析 它是如何攻击纳坦兹核设施并隐藏自己的？ 它是如何渗透纳坦兹核设施内部网络的？ 它是如何违背开发者的期望并扩散到纳坦兹之外的？ IR-1离心机是伊朗铀浓缩的根基。它可以追溯到从20世纪60年代末由欧洲设计，70 年代初被窃取。全金属设计的IR-1是可以稳定的运行的，前提是其零件的制造具有一定精度，但是伊朗人其零件加工工艺不达标。因此他们不得不降级离心机的运行压力。但是较小的工作压力意味着较少的产出，因而效率较低。 虽然低效，但对于伊朗来说有一个显而易见的优点，伊朗可以大规模的制造生产。伊朗通过数量来弥补不稳定性和低效率，他们能够接受在运行过程中一定数量的离心机损坏，因为他们制造离心机的速度比离心机损坏的速度要快多了。 图为2008年至2010年Natanz工厂的离心机库存数据，伊朗始终保存着至少50%的备 用离心机。 离心处理操作是一个严苛的工业流程，在流程运行过程中，它不可以存在任何的问题。伊朗建立了一套级联保护系统，它用来保证离心流程持续进行。在离心机层，级联保护系统的每个离心机在出故障时都可以被隔离出来。隔离后的离心机可以停机并被维护工程师替换，而工艺流程仍然正常运行。 可问题是他们的离心机太脆弱，会出现多个都坏了的情况。如果同一个组中的离心机都停机了，运行压力将会升高，从而导致各种各样的问题。

Internet网络中的蠕虫病毒扩散传播模型

Internet网络中的蠕虫病毒扩散传播模型 1 简单传播模型 在简单传播模型（Simple Epidemic Model）中，每台主机保持两种状态：易感染和被感染。易感个体（Susceptible）是未染病但与已感染的个体接触会被感染的一类；另一类为感染个体（Infective），这类个体已染病且其具有传染性。假定一台主机一旦被感染就始终保持被感染的状态。其状态转换关系可表示为： 由此可见这种模型的蠕虫传播速度是由初始感染数量I(0)和主机感染率这两 个参数决定的。其微分方程表达式为 dI(t)/dt=βI(t)[N-I(t)] 其中I(t)为时刻t 已被感染的主机数；Ｎ为网络中主机总数；β 为时刻t 的感染率。当t=0 时,I(0)为已感染的主机数，N-I(0)为易感染主机数。 取节点数N=10000000,感染概率因子为β=1/10000000，即K=βN=1,当蠕虫繁殖副本数量I(0)=3 时，仿真结果如图3-2 所示，横坐标为传播时间，纵坐标为整个网络被感染的百分比。 此模型能反映网络蠕虫传播初期的传播行为，但不适应网络蠕虫后期的传播状态。此外，其模型过于简单，没有体现蠕虫扫描策略和网络特性对蠕虫传播所产生的影响。 2 KM 模型 在Kermack-Mckendrick 传播模型(简称KM 模型)中，主机保持 3 种状态：易感染、被感染和免疫。用状态转换关系表示为： 对感染节点进行免疫处理，是指把此节点从整个网络中去除。因为，每当对一台主机进行免疫处理，网络节点总数在原有基础上减1，最终将使得所有被感染的主机数量减少到0,也就是所有的主机最终都将处于免疫状态。KM 模型的微分方程表达式为： dJ(t)/dt=βJ(t)[N-J(t)] dR(t)/dt=γI(t)

影片赏析之特洛伊木马屠城

特洛伊木马屠城从古至今,人类发动战争的理由各式各样,有的为了权力,有的为了名利,有的为了荣誉,有的为了爱情. 在古希腊历史上最着名的一对爱人,特洛伊城的王子帕里斯,以及斯巴达的皇后海伦,两人的爱情引发了一场毁灭文明的战争.当帕里斯把海伦从斯巴达之王身边偷走后，对他造成了无法忍耐的羞辱。他找到了自己的哥哥，迈锡尼国王阿伽门农，请求他的帮忙，阿伽门农正好也希望征服特洛伊，于是借此机会建立了一支希腊联军以讨伐特洛伊。在这支联军中，第一勇士自然是阿基里斯，桀骜不逊的阿基里斯并不打算向任何人臣服，他向特洛伊进发，是在为自己的名誉而战，而在影片中，我们将会发现，最终决定了他的命运的，是爱。 这本是希腊神话中的一个经典故事，也曾被写入《荷马史诗》中，现在被排成了电影，那么我们就先从电影本身来欣赏一下。 先谈一下画面效果吧，影片中古式战争的大场面拍的非常好，比武场面比较有吸引力。其中，第一勇士阿基里斯的跳跃式打法，显然吸收了一些东方的功夫样式，但不会像其他一些大片里边，动作过于夸张，就想空中飞人一样，给人一种不真实感。特洛伊王子赫克托屡次在乱军中勇战杀敌，真实感更强，有血有肉。到了双雄决斗，便达到了整部影片的高潮。希腊大军从海上登陆看上去更像是第二次世界大战诺曼底登陆的古装版，但效果却有待于提高。真正精彩的是特洛伊大军夜袭希腊大军营地，火攻情景设计独特，气势也是非常的磅礴。导演在整个影片中所有的设计都是以人类的自然力量出发，人力毕竟有限，尤其是人性中常有弄巧成拙的缺陷，所以影片中也存在很多令人扼腕的场景。影视作品嘛，来源于生活却又高于生活。其实史诗中特洛伊战争长达数十年，并不像影片中那样，一夜变被成功屠城的。本片大大浓缩，这个浓缩只是对时间上的浓缩，精华被没有被删除掉，这也是值得人们欣慰的一点。本片中，从海伦与二王子私奔到木

蠕虫病毒与普通病毒的区别

蠕虫病毒和一般的病毒有着很大的区别。对于蠕虫，现在还没有一个成套的理论体系。一般认为：蠕虫是一种通过网络传播的恶性病毒，它具有病毒的一些共性，如传播性、隐蔽性、破坏性等等，同时具有自己的一些特征，如不利用文件寄生（有的只存在于内存中），对网络造成拒绝服务，以及和黑客技术相结合，等等。在产生的破坏性上，蠕虫病毒也不是普通病毒所能比拟的，网络的发展使得蠕虫可以在短短的时间内蔓延整个网络，造成网络瘫痪！根据使用者情况将蠕虫病毒分为两类：一种是面向企业用户和局域网而言，这种病毒利用系统漏洞，主动进行攻击，可以对整个互联网可造成瘫痪性的后果。以“红色代码”、“尼姆达”以及最新的“SQL蠕虫王”为代表。另外一种是针对个人用户的，通过网络（主要是电子邮件、恶意网页形式）迅速传播的蠕虫病毒，以爱虫病毒、求职信病毒为代表。在这两类蠕虫中，第一类具有很大的主动攻击性，而且爆发也有一定的突然性，但相对来说，查杀这种病毒并不是很难。第二种病毒的传播方式比较复杂和多样，少数利用了微软的应用程序的漏洞，更多的是利用社会工程学对用户进行欺骗和诱使，这样的病毒造成的损失是非常大的，同时也是很难根除的，比如求职信病毒，在2001年就已经被各大杀毒厂商发现，但直到2002年底依然排在病毒危害排行榜的首位就是证明。 蠕虫一般不采取利用pe格式插入文件的方法，而是复制自身在互联网环境下进行传播，病毒的传染能力主要是针对计算机内的文件系统而言，而蠕虫病毒的传染目标是互联网内的所有计算机。局域网条件下的共享文件夹、电子邮件Email、网络中的恶意网页、大量存在着漏洞的服务器等，都成为蠕虫传播的良好途径。网络的发展也使得蠕虫病毒可以在几个小时内蔓延全球，而且蠕虫的主动攻击性和突然爆发性将使得人们手足无措。 木马就是在没有授权的条件下，偷偷运行的程序。 木马与病毒有两点本质的不同： 1、木马不会自动传染，病毒一定会自动传染； 2、木马是窃取资料的，病毒是破坏文件的 简单的木马只能盗取帐号、密码，很多木马可以窃取对方计算机上的全部资料，以达到完全监视完全控制的目的。 蠕虫通常是网络操作系统进行传播，目的是攻击服务器或子网，形成DDos攻击（拒绝服务）。蠕虫会开启多个线程大面积传播，在传播过程中占用宽带资源，从而达到攻击的目的，其实本身对计算机没有太大伤害。 由于蠕虫是通过网络或操作系统漏洞进行感染，所以安装防火墙筛选端口可以有效防止蠕虫的感染和攻击。

蠕虫病毒深度解析

蠕虫病毒深度解析 https://www.wendangku.net/doc/656384899.html,日期：2004-11-22 15:44 作者：天极网来源：天极网 1．引言 近年来，蠕虫、病毒的引发的安全事件此起彼伏，且有愈演愈烈之势。从2001年爆发的CodeRed蠕虫、Nimda蠕虫，SQL杀手病毒（SQL SLAMMER蠕虫），到近日肆掠的“冲击波” 蠕虫病毒，无不有蠕虫的影子，并且开始与病毒相结合了。蠕虫病毒通常会感染Windows 2000/ XP/Server 2003系统，如果不及时预防，它们就可能会在几天内快速传播、大规模感染网络，对网络安全造成严重危害。看来，蠕虫病毒不再 是黑暗中隐藏的"黑手"，而是已露出凶相的"狼群"。 各类病毒各有特色，大有长江后浪推前浪之势：CodeRed蠕虫侵入系统后留下后门，Nimda一开始就结合了病毒技术，而SQL杀手病毒与“冲击波”病毒有着惊人的相似之处，此次病毒大规模爆发是从装有WINDOWS 2000以上操作系统的计算机，尤其是从网络服务器上向外扩散的，利用微软存在的系统漏洞，不同的是，SQL杀手病毒用“缓存区溢出”进行攻击，病毒传播路径都是内存到内存，不向硬盘上写任何文件。“冲击波”病毒则会发送指令到远程计算机，使其连接被感染的主机，下载并运行Msblast.exe。 由此可见，计算机蠕虫和计算机病毒联系越来越紧密，许多地方把它们混为一谈，然而，二者还是有很大不同的，因此，要真正地认识并对抗它们之前，很有必要对它们进行区分。只有通过对它们之间的区别、不同功能特性的分析，才可以确定谁是对抗计算机蠕虫的主要因素、谁是对抗计算机病毒的主要因素； 可以找出有针对性的有效对抗方案；同时也为对它们的进一步研究奠定初步的理论基础。 2．蠕虫原始定义 蠕虫这个生物学名词在1982年由Xerox PARC 的John F. Shoch等人最早引入计算机领域，并给出了计算机蠕虫的两个最基本特征：“可以从一台计算机移动到另一台计算机”和“可以自我复制”。他们编写蠕虫的目的是做分布式计算的模型试验，在他们的文章中，蠕虫的破坏性和不易控制已初露端倪。1988年Morris 蠕虫爆发后，Eugene H. Spafford 为了区分蠕虫和病毒，给出了蠕虫的技术角度的定义，“计算机蠕虫可以独立运行，并能把自身的一个包含所有功能的版本传播到另外的计算机上。”（Worm is a program that can run by itself and can propagate a fully working version of itself to other machines. ）。 3．病毒原始定义 在探讨计算机病毒的定义时，常常追溯到David Gerrold在1972年的发表的科幻小说《When Harlie Was One》，但计算机病毒从技术角度的定义是由Fred Cohen在1984年给出的，“计算机病毒是一种程序，它可以感染其它程序，感染的方式为在被感染程序中加入计算机病毒的一个副本，这个副本可能是在原病毒基础上演变过来的。” （A program that can infect other programs by modifying them to include a possibly evolved copy of itself.）。1988年Morris蠕虫爆发后，Eugene H. Spafford 为了区分蠕虫和病毒，将病毒的含义作了进一步的解释。“计算机病毒是一段代码，能把自身加到其它程序包括操作系统上。它不能独立运行，需要由它的宿主程序运行来激活它。”（virus is a piece of code that adds itself to other programs, including operating systems. It cannot run independently and it requires that its host program be run to activate it.）。 4．蠕虫/病毒