【正文】 2023/2/25 網絡攻擊與防范技術 107 小結 ? 網絡的開放性決定了網絡的復雜性、多樣性。規(guī)定人們怎樣進行這種利用活動，并需要遵守哪些規(guī)則，若出現(xiàn)爭議時應當依據怎樣的規(guī)則進行處理等等。 ? 隨著改革開放的深入和信息化工作的開展，對信息安全標準化工作的要求越來越高。目前 ITUT建議書中大約有 40多個都是與通信安全有關的標準。 ? 負責網絡安全運行管理及維護的技術人員。 ? 因此在準備實施一個安全項目工程，構筑自身的防御體系機制時，網絡安全不能僅僅依賴于眾多安全產品的作用，也不能僅僅只停留在 “ 三分技術，七分管理 ” 的概念上，安全不應該作為一個目標去看待，而應該作為一個過程去考慮、設計、實現(xiàn)、執(zhí)行。因為移動技術在企業(yè)內的大量應用，使得越來越多的計算設備脫離了由網關所劃定的安全疆域，如果用戶在網關的保護之外感染了間諜軟件，然后又再次接入網絡，這臺機器本身就成了協(xié)助“間諜”潛入的跳板。如 IPSec VPN、 SSL VPN、L2TP VPN直接通過防火墻來支持，應用效果提高，而且降低了用戶的投入成本。 ?集成深包檢測的防火墻將會越來越多。 ? 國內的大部分重量級防火墻廠商紛紛推出了自己的NP架構防火墻產品。 2023/2/25 網絡攻擊與防范技術 50 反垃圾郵件發(fā)展趨勢 ?國內外主要的反垃圾郵件系統(tǒng)，普遍采用的是關鍵字內容過濾技術，采取 “ 截獲樣本，解析特征，生成規(guī)則，規(guī)則下發(fā)，內容過濾 ” 這種類似傳統(tǒng)殺病毒系統(tǒng)的原理。但是，一直以來，黑客都在研究攻擊防火墻的技術和手段。 ? 流氓軟件也轉戰(zhàn)手機平臺，一條基于以流氓軟件為載體，基于智能手機平臺服務的黑色產業(yè)鏈正在形成。DoS憑借它的便捷有效，吸引了大量熱衷者，互聯(lián)網上因此充斥這類垃圾流量。 2023/2/25 網絡攻擊與防范技術 25 “敲詐 ” 型木馬 ? 木馬從最初的僅僅獲取信息，轉變?yōu)閷ｉT以營利為目的。這無疑又一次敲響了互聯(lián)網的警鐘。但是它與以前所有的網絡蠕蟲的最大不同之處在于， “ 尼姆達 ” 通過多種不同的途徑進行傳播，而且感染多種 Windows操作系統(tǒng)。 2023/2/25 網絡攻擊與防范技術 7 Melissa和 LoveLetter(2) ?用戶一旦在 Microsoft Outlook里打開這個郵件，系統(tǒng)就會自動復制惡意代碼并向地址簿中的所有郵件地址發(fā)送帶有病毒的郵件。另外，白宮網站也立即更改了所有服務器的 IP地址。 ? 它能感染系統(tǒng)的 .exe、 .、 .pif、 .src、 .html、 .asp文件，添加病毒網址，導致用戶一打開這些網頁文件， IE就會自動連接到指定的病毒網址中下載病毒。 2023/2/25 網絡攻擊與防范技術 23 遠程控制特洛伊木馬后門 ? 在 1998年 7月，黑客 Cult of the Dead Cow（ cDc）推出的強大后門制造工具 Back Orifice（或稱 BO）使龐大的網絡系統(tǒng)輕而易舉地陷入了癱瘓之中。 2023/2/25 網絡攻擊與防范技術 29 令全國網民聞 “ 貓 ” 色變的熊貓燒香病毒 2023/2/25 網絡攻擊與防范技術 30 熊貓燒香背后的巨大利潤 ? 據湖北省公安廳介紹，李俊以自己出售和由他人代賣的方式，每次要價 500～ 1000元不等，將該病毒銷售給120余人，非法獲利 10萬余元。而網絡釣魚方面，且不談多年受其困擾的 ebay，只看網絡釣客以 “ 假網站 ” 試釣中國銀行、中國工商銀行的用戶，就可以想像其猖獗程度了。并不像早期的攻擊工具那樣，僅僅以單一確定的順序執(zhí)行攻擊步驟； ? 攻擊工具變異－是指攻擊工具已經發(fā)展到可以通過升級或更換工具的一部分迅速變化自身，進而發(fā)動迅速變化的攻擊，且在每一次攻擊中會出現(xiàn)多種不同形態(tài)的攻擊工具。 2023/2/25 網絡攻擊與防范技術 46 防御技術的發(fā)展趨勢 ?病毒防御技術發(fā)展趨勢 ?反垃圾郵件發(fā)展趨勢 ?防火墻技術發(fā)展趨勢 ?反間諜技術的應用嘗試與發(fā)展 ? IDS技術的發(fā)展趨勢 2023/2/25 網絡攻擊與防范技術 47 病毒防御技術發(fā)展趨勢 ?對于企業(yè)來說，面臨的最大問題是基于簽名的識別技術不能有效防御新病毒。 ?在統(tǒng)計分析中，可以發(fā)現(xiàn)在行為特征上，垃圾郵件與正常郵件具有極高的區(qū)分度，且不論內容如何均相對為固有特征，特別是對大量的采用動態(tài) IP發(fā)送的郵件更是如此。 2023/2/25 網絡攻擊與防范技術 60 防火墻深度檢測 ? 防火墻最初的功能就是進行訪問控制、狀態(tài)檢測，以及地址轉換功能。 2023/2/25 網絡攻擊與防范技術 64 安全技術融合 (2) ? 比如，現(xiàn)在的交換機成本和以前的 Hub一樣，但是拋棄了原來的交換芯片，使用新的硬件，不但提供交換，而且提供安全和業(yè)務特性，將來會直接把安全延伸到整個內部網絡，徹底解決目前的內網安全問題。 2023/2/25 網絡攻擊與防范技術 68 反間諜技術的應用嘗試與發(fā)展 (2) ?反間諜軟件和防病毒類似，都需要一種可靠的解決方案和專門的研究及響應機制，來跟蹤新的間諜軟件風險，并及時提供隨威脅變化而變化的升級版本。 ? 此功能對于了解攻擊者的攻擊過程、監(jiān)控內部網絡中的用戶是否濫用網絡資源、發(fā)現(xiàn)未知的攻擊具有重要和積極的作用。 ?對攻擊者進行安全法律法規(guī)教育，對執(zhí)行者進行安全技能培訓，這項工作應貫穿整個安全過程。 ? 而 ISO/TC68負責銀行業(yè)務應用范圍內有關信息安全標準的制定，它主要制定行業(yè)應用標準，在組織上和標準之間與 SC27有著密切的聯(lián)系。 ? 從 20世紀 80年代開始，本著積極采用國際標準的原則，轉化了一批國際信息安全基礎技術標準，制定了一批符合中國國情的信息安全標準，同時一些重點行業(yè)還頒布了一批信息安全的行業(yè)標準，為我國信息安全技術的發(fā)展做出了很大的貢獻。 ? 它的作用，是使國家能夠對網絡依法進行管理，并對侵害網絡權利、違背網絡義務的行為進行制裁和處理，以維護社會的正常秩序、維護網絡的正常秩序。 ? 網絡費用相對便宜、覆蓋面廣、使用方便的優(yōu)點，也使得很多人出于好奇或商業(yè)活動的需要，對網絡的有限帶寬進行無制約的濫用，帶來了一些不必要的負載重擔。要不斷提高個人安全意識，及時跟進必要的防護手段對各種網絡攻擊予以堅決而有效的阻擊。 ? 隨著其迅速發(fā)展和商業(yè)化， Inter的社會背景有了很大變化，但它所依托的技術和所施加的種種限制卻依然存在。相繼制定了很多安全標準，有代表性的標準有： ? 信息技術安全評估標準 ITSEC； ? 可信計算機安全評估標準 TCSEC的美國新聯(lián)邦標準； ? 加拿大可信計算機產品評估標準 CTCPEC； ? TCSEC的可信數(shù)據庫解釋 TNI； ? TCSEC的可信數(shù)據庫解釋 TDI； ? ISOSC27WG3安全評估標準； ? ISO74982N安全體系結構標準； ? Open Group 公司和 Open Software Foundation公司組成的Open Group組織提供的 X/Open Security安全標準； ? Check Point公司提供的開放企業(yè)安全連接平臺 OPSEC（ Open Platform for Secure Enterprise Connectivity）。 ? 這是一個具有廣泛代表性、權威性和軍民結合的信息安全標準化組織，它的工作范圍主要是負責信息和通信安全的通用框架、方法、技術和機制的標準化，在安全技術方面包括定義開放式安全體系結構、各種安全信息交換的語義規(guī)則、有關的應用程序接口和協(xié)議引用安全功能的接口等。 2023/2/25 網絡攻擊與防范技術 83 標準化進程 ?國際信息安全標準化工作的情況 ?我國信息安全標準化的現(xiàn)狀 ?信息安全標準化工作的發(fā)展趨勢 ?現(xiàn)有標準 2023/2/25 網絡攻擊與防范技術 84 國際信息安全標準化工作的情況 ? 國際上的信息安全標準化工作，興起于 20世紀 70年代中期，在 80年代有了較快的發(fā)展，于 90年代引起了世界各國的普遍關注。而網絡攻擊的發(fā)起者也是人，攻擊目的來源于他的思想意識。 IDS要實現(xiàn)全面關注網絡健康，還應該能夠做到幫助用戶對檢測內容進行深層次的分析，主動防御，最終提交給用戶一份有意義的報告。 ? 但是，很多合法的廣告軟件實現(xiàn)的也是類似的功能。 ? 而另一方面，隨著協(xié)議和接口的統(tǒng)一，防火墻也可以取代路由器或者交換機的位置。 ? 新一代 NP直接支持 C語言和標準協(xié)議棧，性能高達 10G，是期望中的業(yè)務網關處理芯片。 ? 要想從根本上解決反垃圾郵件的技術難題，就要采用主動型垃圾郵件行為模式識別的技術，這樣才能做到主動的郵件攻擊行為防御、主動的垃圾郵件阻斷，從而最大程度地提高垃圾郵件識別率、攔截率，降低資源消耗，真正達到電信級的網關處理速度。 2023/2/25 網絡攻擊與防范技術 45 趨勢 6：對網絡基礎設施的破壞力越來越大 ?由于用戶越來越多地依賴計算機網絡提供各種服務，完成日常相關業(yè)務，黑客攻擊網絡基礎設施造成的破壞影響越來越大。相當?shù)墓ぞ咭呀浘邆淞朔磦善?、智能動態(tài)行為、攻擊工具變異等特點。 ? 根據調查，平均每臺家用 PC有 28個間諜軟件，它們已經被更多的公司及個人利用，其目的也從初期簡單收戶信息演化為可能收集密碼、帳號等資料。 2023/2/25 網絡攻擊與防范技術 28 更多網絡犯罪直接以經濟利益為目的 ? 經濟利益毫無疑問已經成為病毒和木馬制造者最大的驅動力。如果失去 ISP的支持，即使防火墻功能再強大，網絡出口的帶寬仍舊可能被全部占用。病毒會刪除擴展名為 gho的文件，使用戶無法使用ghost軟件恢復操作系統(tǒng)。 ?在網絡遭到攻擊時，為進行進一步的分析，使用蜜罐是一種非常行之有效的方法。 2023/2/25 網絡攻擊與防范技術 8 Melissa和 LoveLetter(3) ? Melissa 和 LoveLetter 的爆發(fā)可以說是信息安全的喚醒電話，它引起了當時人們對信息安全現(xiàn)狀的深思，并無形中對信息安全的設施和人才隊伍的發(fā)展起了很大的刺激作用 : ? Melissa 和 LoveLetter 刺激了企業(yè)和公司對網絡安全的投資，尤其是對防病毒方面的投入； ? 許多公司對網絡蠕蟲病毒的應急響應表現(xiàn)出的無能促使了專業(yè)網絡安全應急響應小組的發(fā)展與壯大。 ? 在一個系統(tǒng)遭到感染后， Nimda又會立即尋找突破口，迅速感染周邊的系統(tǒng)，并占用大部分的網絡帶寬。利用互聯(lián)網上大量的機器進行 DDoS ，分布式掃描和分布式口令破解等，一個攻擊者能夠達到意想不到的強大效果。 ? 此外，還出現(xiàn)了一種新型功能的木馬 ——“敲詐 ”型木馬，它的主要特點是試圖隱藏用戶文檔，讓用戶誤以為文件丟失，木馬乘機以幫助用戶恢復數(shù)據的名義，要求用戶向指定的銀行賬戶內匯入定額款