【正文】 2023/2/25 網(wǎng)絡攻擊與防范技術(shù) 107 小結(jié) ? 網(wǎng)絡的開放性決定了網(wǎng)絡的復雜性、多樣性。規(guī)定人們怎樣進行這種利用活動，并需要遵守哪些規(guī)則，若出現(xiàn)爭議時應當依據(jù)怎樣的規(guī)則進行處理等等。 ? 隨著改革開放的深入和信息化工作的開展，對信息安全標準化工作的要求越來越高。目前 ITUT建議書中大約有 40多個都是與通信安全有關(guān)的標準。 ? 負責網(wǎng)絡安全運行管理及維護的技術(shù)人員。 ? 因此在準備實施一個安全項目工程，構(gòu)筑自身的防御體系機制時，網(wǎng)絡安全不能僅僅依賴于眾多安全產(chǎn)品的作用，也不能僅僅只停留在 “ 三分技術(shù)，七分管理 ” 的概念上，安全不應該作為一個目標去看待，而應該作為一個過程去考慮、設計、實現(xiàn)、執(zhí)行。因為移動技術(shù)在企業(yè)內(nèi)的大量應用，使得越來越多的計算設備脫離了由網(wǎng)關(guān)所劃定的安全疆域，如果用戶在網(wǎng)關(guān)的保護之外感染了間諜軟件，然后又再次接入網(wǎng)絡，這臺機器本身就成了協(xié)助“間諜”潛入的跳板。如 IPSec VPN、 SSL VPN、L2TP VPN直接通過防火墻來支持，應用效果提高，而且降低了用戶的投入成本。 ?集成深包檢測的防火墻將會越來越多。 ? 國內(nèi)的大部分重量級防火墻廠商紛紛推出了自己的NP架構(gòu)防火墻產(chǎn)品。 2023/2/25 網(wǎng)絡攻擊與防范技術(shù) 50 反垃圾郵件發(fā)展趨勢 ?國內(nèi)外主要的反垃圾郵件系統(tǒng)，普遍采用的是關(guān)鍵字內(nèi)容過濾技術(shù)，采取 “ 截獲樣本，解析特征，生成規(guī)則，規(guī)則下發(fā)，內(nèi)容過濾 ” 這種類似傳統(tǒng)殺病毒系統(tǒng)的原理。但是，一直以來，黑客都在研究攻擊防火墻的技術(shù)和手段。 ? 流氓軟件也轉(zhuǎn)戰(zhàn)手機平臺，一條基于以流氓軟件為載體，基于智能手機平臺服務的黑色產(chǎn)業(yè)鏈正在形成。DoS憑借它的便捷有效，吸引了大量熱衷者，互聯(lián)網(wǎng)上因此充斥這類垃圾流量。 2023/2/25 網(wǎng)絡攻擊與防范技術(shù) 25 “敲詐 ” 型木馬 ? 木馬從最初的僅僅獲取信息，轉(zhuǎn)變?yōu)閷ｉT以營利為目的。這無疑又一次敲響了互聯(lián)網(wǎng)的警鐘。但是它與以前所有的網(wǎng)絡蠕蟲的最大不同之處在于， “ 尼姆達 ” 通過多種不同的途徑進行傳播，而且感染多種 Windows操作系統(tǒng)。 2023/2/25 網(wǎng)絡攻擊與防范技術(shù) 7 Melissa和 LoveLetter(2) ?用戶一旦在 Microsoft Outlook里打開這個郵件，系統(tǒng)就會自動復制惡意代碼并向地址簿中的所有郵件地址發(fā)送帶有病毒的郵件。另外，白宮網(wǎng)站也立即更改了所有服務器的 IP地址。 ? 它能感染系統(tǒng)的 .exe、 .、 .pif、 .src、 .html、 .asp文件，添加病毒網(wǎng)址，導致用戶一打開這些網(wǎng)頁文件， IE就會自動連接到指定的病毒網(wǎng)址中下載病毒。 2023/2/25 網(wǎng)絡攻擊與防范技術(shù) 23 遠程控制特洛伊木馬后門 ? 在 1998年 7月，黑客 Cult of the Dead Cow（ cDc）推出的強大后門制造工具 Back Orifice（或稱 BO）使龐大的網(wǎng)絡系統(tǒng)輕而易舉地陷入了癱瘓之中。 2023/2/25 網(wǎng)絡攻擊與防范技術(shù) 29 令全國網(wǎng)民聞 “ 貓 ” 色變的熊貓燒香病毒 2023/2/25 網(wǎng)絡攻擊與防范技術(shù) 30 熊貓燒香背后的巨大利潤 ? 據(jù)湖北省公安廳介紹，李俊以自己出售和由他人代賣的方式，每次要價 500～ 1000元不等，將該病毒銷售給120余人，非法獲利 10萬余元。而網(wǎng)絡釣魚方面，且不談多年受其困擾的 ebay，只看網(wǎng)絡釣客以 “ 假網(wǎng)站 ” 試釣中國銀行、中國工商銀行的用戶，就可以想像其猖獗程度了。并不像早期的攻擊工具那樣，僅僅以單一確定的順序執(zhí)行攻擊步驟； ? 攻擊工具變異－是指攻擊工具已經(jīng)發(fā)展到可以通過升級或更換工具的一部分迅速變化自身，進而發(fā)動迅速變化的攻擊，且在每一次攻擊中會出現(xiàn)多種不同形態(tài)的攻擊工具。 2023/2/25 網(wǎng)絡攻擊與防范技術(shù) 46 防御技術(shù)的發(fā)展趨勢 ?病毒防御技術(shù)發(fā)展趨勢 ?反垃圾郵件發(fā)展趨勢 ?防火墻技術(shù)發(fā)展趨勢 ?反間諜技術(shù)的應用嘗試與發(fā)展 ? IDS技術(shù)的發(fā)展趨勢 2023/2/25 網(wǎng)絡攻擊與防范技術(shù) 47 病毒防御技術(shù)發(fā)展趨勢 ?對于企業(yè)來說，面臨的最大問題是基于簽名的識別技術(shù)不能有效防御新病毒。 ?在統(tǒng)計分析中，可以發(fā)現(xiàn)在行為特征上，垃圾郵件與正常郵件具有極高的區(qū)分度，且不論內(nèi)容如何均相對為固有特征，特別是對大量的采用動態(tài) IP發(fā)送的郵件更是如此。 2023/2/25 網(wǎng)絡攻擊與防范技術(shù) 60 防火墻深度檢測 ? 防火墻最初的功能就是進行訪問控制、狀態(tài)檢測，以及地址轉(zhuǎn)換功能。 2023/2/25 網(wǎng)絡攻擊與防范技術(shù) 64 安全技術(shù)融合 (2) ? 比如，現(xiàn)在的交換機成本和以前的 Hub一樣，但是拋棄了原來的交換芯片，使用新的硬件，不但提供交換，而且提供安全和業(yè)務特性，將來會直接把安全延伸到整個內(nèi)部網(wǎng)絡，徹底解決目前的內(nèi)網(wǎng)安全問題。 2023/2/25 網(wǎng)絡攻擊與防范技術(shù) 68 反間諜技術(shù)的應用嘗試與發(fā)展 (2) ?反間諜軟件和防病毒類似，都需要一種可靠的解決方案和專門的研究及響應機制，來跟蹤新的間諜軟件風險，并及時提供隨威脅變化而變化的升級版本。 ? 此功能對于了解攻擊者的攻擊過程、監(jiān)控內(nèi)部網(wǎng)絡中的用戶是否濫用網(wǎng)絡資源、發(fā)現(xiàn)未知的攻擊具有重要和積極的作用。 ?對攻擊者進行安全法律法規(guī)教育，對執(zhí)行者進行安全技能培訓，這項工作應貫穿整個安全過程。 ? 而 ISO/TC68負責銀行業(yè)務應用范圍內(nèi)有關(guān)信息安全標準的制定，它主要制定行業(yè)應用標準，在組織上和標準之間與 SC27有著密切的聯(lián)系。 ? 從 20世紀 80年代開始，本著積極采用國際標準的原則，轉(zhuǎn)化了一批國際信息安全基礎技術(shù)標準，制定了一批符合中國國情的信息安全標準，同時一些重點行業(yè)還頒布了一批信息安全的行業(yè)標準，為我國信息安全技術(shù)的發(fā)展做出了很大的貢獻。 ? 它的作用，是使國家能夠?qū)W(wǎng)絡依法進行管理，并對侵害網(wǎng)絡權(quán)利、違背網(wǎng)絡義務的行為進行制裁和處理，以維護社會的正常秩序、維護網(wǎng)絡的正常秩序。 ? 網(wǎng)絡費用相對便宜、覆蓋面廣、使用方便的優(yōu)點，也使得很多人出于好奇或商業(yè)活動的需要，對網(wǎng)絡的有限帶寬進行無制約的濫用，帶來了一些不必要的負載重擔。要不斷提高個人安全意識，及時跟進必要的防護手段對各種網(wǎng)絡攻擊予以堅決而有效的阻擊。 ? 隨著其迅速發(fā)展和商業(yè)化， Inter的社會背景有了很大變化，但它所依托的技術(shù)和所施加的種種限制卻依然存在。相繼制定了很多安全標準，有代表性的標準有： ? 信息技術(shù)安全評估標準 ITSEC； ? 可信計算機安全評估標準 TCSEC的美國新聯(lián)邦標準； ? 加拿大可信計算機產(chǎn)品評估標準 CTCPEC； ? TCSEC的可信數(shù)據(jù)庫解釋 TNI； ? TCSEC的可信數(shù)據(jù)庫解釋 TDI； ? ISOSC27WG3安全評估標準； ? ISO74982N安全體系結(jié)構(gòu)標準； ? Open Group 公司和 Open Software Foundation公司組成的Open Group組織提供的 X/Open Security安全標準； ? Check Point公司提供的開放企業(yè)安全連接平臺 OPSEC（ Open Platform for Secure Enterprise Connectivity）。 ? 這是一個具有廣泛代表性、權(quán)威性和軍民結(jié)合的信息安全標準化組織，它的工作范圍主要是負責信息和通信安全的通用框架、方法、技術(shù)和機制的標準化，在安全技術(shù)方面包括定義開放式安全體系結(jié)構(gòu)、各種安全信息交換的語義規(guī)則、有關(guān)的應用程序接口和協(xié)議引用安全功能的接口等。 2023/2/25 網(wǎng)絡攻擊與防范技術(shù) 83 標準化進程 ?國際信息安全標準化工作的情況 ?我國信息安全標準化的現(xiàn)狀 ?信息安全標準化工作的發(fā)展趨勢 ?現(xiàn)有標準 2023/2/25 網(wǎng)絡攻擊與防范技術(shù) 84 國際信息安全標準化工作的情況 ? 國際上的信息安全標準化工作，興起于 20世紀 70年代中期，在 80年代有了較快的發(fā)展，于 90年代引起了世界各國的普遍關(guān)注。而網(wǎng)絡攻擊的發(fā)起者也是人，攻擊目的來源于他的思想意識。 IDS要實現(xiàn)全面關(guān)注網(wǎng)絡健康，還應該能夠做到幫助用戶對檢測內(nèi)容進行深層次的分析，主動防御，最終提交給用戶一份有意義的報告。 ? 但是，很多合法的廣告軟件實現(xiàn)的也是類似的功能。 ? 而另一方面，隨著協(xié)議和接口的統(tǒng)一，防火墻也可以取代路由器或者交換機的位置。 ? 新一代 NP直接支持 C語言和標準協(xié)議棧，性能高達 10G，是期望中的業(yè)務網(wǎng)關(guān)處理芯片。 ? 要想從根本上解決反垃圾郵件的技術(shù)難題，就要采用主動型垃圾郵件行為模式識別的技術(shù)，這樣才能做到主動的郵件攻擊行為防御、主動的垃圾郵件阻斷，從而最大程度地提高垃圾郵件識別率、攔截率，降低資源消耗，真正達到電信級的網(wǎng)關(guān)處理速度。 2023/2/25 網(wǎng)絡攻擊與防范技術(shù) 45 趨勢 6：對網(wǎng)絡基礎設施的破壞力越來越大 ?由于用戶越來越多地依賴計算機網(wǎng)絡提供各種服務，完成日常相關(guān)業(yè)務，黑客攻擊網(wǎng)絡基礎設施造成的破壞影響越來越大。相當?shù)墓ぞ咭呀?jīng)具備了反偵破、智能動態(tài)行為、攻擊工具變異等特點。 ? 根據(jù)調(diào)查，平均每臺家用 PC有 28個間諜軟件，它們已經(jīng)被更多的公司及個人利用，其目的也從初期簡單收戶信息演化為可能收集密碼、帳號等資料。 2023/2/25 網(wǎng)絡攻擊與防范技術(shù) 28 更多網(wǎng)絡犯罪直接以經(jīng)濟利益為目的 ? 經(jīng)濟利益毫無疑問已經(jīng)成為病毒和木馬制造者最大的驅(qū)動力。如果失去 ISP的支持，即使防火墻功能再強大，網(wǎng)絡出口的帶寬仍舊可能被全部占用。病毒會刪除擴展名為 gho的文件，使用戶無法使用ghost軟件恢復操作系統(tǒng)。 ?在網(wǎng)絡遭到攻擊時，為進行進一步的分析，使用蜜罐是一種非常行之有效的方法。 2023/2/25 網(wǎng)絡攻擊與防范技術(shù) 8 Melissa和 LoveLetter(3) ? Melissa 和 LoveLetter 的爆發(fā)可以說是信息安全的喚醒電話，它引起了當時人們對信息安全現(xiàn)狀的深思，并無形中對信息安全的設施和人才隊伍的發(fā)展起了很大的刺激作用 : ? Melissa 和 LoveLetter 刺激了企業(yè)和公司對網(wǎng)絡安全的投資，尤其是對防病毒方面的投入； ? 許多公司對網(wǎng)絡蠕蟲病毒的應急響應表現(xiàn)出的無能促使了專業(yè)網(wǎng)絡安全應急響應小組的發(fā)展與壯大。 ? 在一個系統(tǒng)遭到感染后， Nimda又會立即尋找突破口，迅速感染周邊的系統(tǒng)，并占用大部分的網(wǎng)絡帶寬。利用互聯(lián)網(wǎng)上大量的機器進行 DDoS ，分布式掃描和分布式口令破解等，一個攻擊者能夠達到意想不到的強大效果。 ? 此外，還出現(xiàn)了一種新型功能的木馬 ——“敲詐 ”型木馬，它的主要特點是試圖隱藏用戶文檔，讓用戶誤以為文件丟失，木馬乘機以幫助用戶恢復數(shù)據(jù)的名義，要求用戶向指定的銀行賬戶內(nèi)匯入定額款