论文部分内容阅读
互联网已彻底改变了全世界的社会结构和经济结构,改变了人们工作、生活的方式和习惯。网络传递、共享资源和下载信息已成为人们工作生活的必要方式和途径。然而,在网络中无处不在的各种病毒、木马、蠕虫、后门,正不断干扰人们的网络生活。这里,作者对做好网络安全检测技术问题浅谈几点认识。
1.必须高度重视网络安全问题
首先,我们看三组数据:
第一组:第29次中国互联网络发展状况调查统计报告显示,截至2011年12月年底,中国网民规模达到5.13亿,全年新增网民5580万,互联网普及率达到38.3%。其中,中国手机网民规模达到3.56亿。
第二组:2011年12月国家互联网应急中心(CNCERT)公布了网络安全情况,2011年12月我国互联网网络境内感染网络病毒的终端约为394万个;在捕获的新增网络病毒文件中,按网络病毒名称统计新增为508个;网站安全方面,仅12月境内神被篡改网站数量为2016个;接收网页仿冒事件报告977个,网页挂马数量也有一定的上涨;安全漏洞方面,国家信息安全漏洞共享平台(CNVD)收集整理信息系统安全漏洞437个。垃圾邮件方面,从中国互联网协会反垃圾邮件中心共接收9883件垃圾邮件事件举报。事件受理方面,CNCERT接收到网络安全事件报告1494件。
第三组:2011年12月29日国家互联网应急中心(CNCERT)向公众公布获得疑似泄露的数据库26个,涉及账号、密码2.78亿条。
这三组数据告诉我们一个事实:信息安全问题已无处不在,加强网络安全检测已刻不容缓,迫在眉睫。
2.恶意代码将会长期威胁网络安全
恶意代码的主要工作方向就是利用系统的各种漏洞。系统的脆弱性是无可避免的,而且会随着时间的推移不断暴露出来,针对这些脆弱性新的恶意代码不断涌现,补丁会越打越多。有报告讲,计算机网络安全问题中的大约50%是由软件工程产生的安全缺陷带来的,而这其中有很多归根结底源于操作系统的脆弱性。2010年微软官方公布的仅浏览器一个方面的高危漏洞就出现很多次。
恶意代码会长期威胁网络安全有三个原因:一是信息共享技术和使用的普及。信息共享在方便人们的工作和生活同时,也引起了信息的广泛、快速流动,而这也是恶意代码入侵的主要途径之一。无论是在Internet上的下载,还是从光盘、U盘等复制的软件,甚至接收的电子邮件都有可能是恶意代码的藏身之处。二是很多个人用户信息系统缺乏或者根本没有必要的防护系统。三是恶意代码和正常代码通常很难准确区分开。
由于恶意代码与各种经济利益关联日益加深,其潜伏性和隐藏性日益增强,破坏的目标、目的及要达成的后果也越来更加明确。互联网的开放性给人们带来便利的同時,也加快了恶意代码的传播,推动了恶意代码编写技术的发展,一条看不见、摸不着的黑客产业链正在形成,中国的木马产业链一年的收入已达到上百亿元,数字惊人。
3.加快对恶意代码检测技术研发刻不容缓
我国的网络安全可用“分布广、底子薄、隐患多”来概括,当前,做好网络安全工作,加快对恶意代码的检测和铲除是保障网络安全的重难点、关键点。
国外在1980年James发表的一篇《计算机安全威胁监测》论文中,恶意代码检测概念就开始被人们熟悉。近20多年来,国内外在恶意代码检测系统研发方面有了长足的进展,特别是在智能化和分布式两个方面取得了很多成果。
这里先介绍以IDS和杀毒软件为代表的传统检测系统,它们都是使用特征码检测技术为基础开发出的恶意代码检测系统,来查杀恶意代码。这种检测方法前提大多是我们已知获得这种恶意代码的特征码,并利用一定的技术手段分析出能有效代表这种恶意代码的特征码,同时在病毒库内将其定义。然后在未知的代码片段中进行比对查找,一旦某种具有这种特征码的恶意代码被检测发现,则其将会被程序锁定。基于特征码查杀技术有两个问题:一是对特征匹配的精确性要求高;二是只能检测已知恶意代码,而不能检测未知恶意代码。
现在启发式分析检测方法被人们运用。它是一种利用某种规则和模式达到对未知恶意代码检测的方法。主要有静态、基于代码仿真、基于神经网络三种启发检测方法。静态启发检测是对传统特征码扫描的一种补充;基于代码仿真的启发检测实现了用一个虚拟机来仿真CPU和内存管理系统,进而模拟出代码执行过程,从而可以监视恶意代码的行为。避免在真实环境中执行恶意代码,使操作系统和用户数据受到威胁。基于神经网络的启发式分析方法成功地将神经网络应用扩展到引导型病毒和Win32病毒的启发检测中。
当前,基于行为特征的恶意代码检测是科研人员研究的一个热点。它的原理就是分析出恶意代码的行为和功能特征,并将它定义为区分恶意代码的依据。行为分析是一种动态分析技术,也是目前被较多应于计算机安全方面一个技术。如抗间谍软件、广告软件以及僵尸网络等等。目前,利用对网络中主机的网络行为进行分析,以达到对未知恶意代码检测方法运用广泛。它是通过分析网络主机和主机之间互连的数据,根据不同的恶意代码中包含的攻击方法差异,设计不同的网络行为检测规则。网络行为进行分析主要表现在两个方面:一是对网络数据进行行为分析,网络数据行为分析是指识别出日常网络通信流量中异常通信方式的能力。简单的说就是网络分析人员尝试从简单地阻止过量的网络通信设置中,识别查找出网络中可能存在的异常行为;二是将网络中的数据进行分门别类。如拒绝服务攻击是黑客常用的手段,其目的就是让目标机器停止提供服务。采取对主机的网络行为进行分析,是解决这种问题的最有效方法之一。目前比较典型的基于行为的恶意代码判定方法是基于系统调用序列异常模式和参数的检测方法,但是此方法成功率高,误判率也高。
1.必须高度重视网络安全问题
首先,我们看三组数据:
第一组:第29次中国互联网络发展状况调查统计报告显示,截至2011年12月年底,中国网民规模达到5.13亿,全年新增网民5580万,互联网普及率达到38.3%。其中,中国手机网民规模达到3.56亿。
第二组:2011年12月国家互联网应急中心(CNCERT)公布了网络安全情况,2011年12月我国互联网网络境内感染网络病毒的终端约为394万个;在捕获的新增网络病毒文件中,按网络病毒名称统计新增为508个;网站安全方面,仅12月境内神被篡改网站数量为2016个;接收网页仿冒事件报告977个,网页挂马数量也有一定的上涨;安全漏洞方面,国家信息安全漏洞共享平台(CNVD)收集整理信息系统安全漏洞437个。垃圾邮件方面,从中国互联网协会反垃圾邮件中心共接收9883件垃圾邮件事件举报。事件受理方面,CNCERT接收到网络安全事件报告1494件。
第三组:2011年12月29日国家互联网应急中心(CNCERT)向公众公布获得疑似泄露的数据库26个,涉及账号、密码2.78亿条。
这三组数据告诉我们一个事实:信息安全问题已无处不在,加强网络安全检测已刻不容缓,迫在眉睫。
2.恶意代码将会长期威胁网络安全
恶意代码的主要工作方向就是利用系统的各种漏洞。系统的脆弱性是无可避免的,而且会随着时间的推移不断暴露出来,针对这些脆弱性新的恶意代码不断涌现,补丁会越打越多。有报告讲,计算机网络安全问题中的大约50%是由软件工程产生的安全缺陷带来的,而这其中有很多归根结底源于操作系统的脆弱性。2010年微软官方公布的仅浏览器一个方面的高危漏洞就出现很多次。
恶意代码会长期威胁网络安全有三个原因:一是信息共享技术和使用的普及。信息共享在方便人们的工作和生活同时,也引起了信息的广泛、快速流动,而这也是恶意代码入侵的主要途径之一。无论是在Internet上的下载,还是从光盘、U盘等复制的软件,甚至接收的电子邮件都有可能是恶意代码的藏身之处。二是很多个人用户信息系统缺乏或者根本没有必要的防护系统。三是恶意代码和正常代码通常很难准确区分开。
由于恶意代码与各种经济利益关联日益加深,其潜伏性和隐藏性日益增强,破坏的目标、目的及要达成的后果也越来更加明确。互联网的开放性给人们带来便利的同時,也加快了恶意代码的传播,推动了恶意代码编写技术的发展,一条看不见、摸不着的黑客产业链正在形成,中国的木马产业链一年的收入已达到上百亿元,数字惊人。
3.加快对恶意代码检测技术研发刻不容缓
我国的网络安全可用“分布广、底子薄、隐患多”来概括,当前,做好网络安全工作,加快对恶意代码的检测和铲除是保障网络安全的重难点、关键点。
国外在1980年James发表的一篇《计算机安全威胁监测》论文中,恶意代码检测概念就开始被人们熟悉。近20多年来,国内外在恶意代码检测系统研发方面有了长足的进展,特别是在智能化和分布式两个方面取得了很多成果。
这里先介绍以IDS和杀毒软件为代表的传统检测系统,它们都是使用特征码检测技术为基础开发出的恶意代码检测系统,来查杀恶意代码。这种检测方法前提大多是我们已知获得这种恶意代码的特征码,并利用一定的技术手段分析出能有效代表这种恶意代码的特征码,同时在病毒库内将其定义。然后在未知的代码片段中进行比对查找,一旦某种具有这种特征码的恶意代码被检测发现,则其将会被程序锁定。基于特征码查杀技术有两个问题:一是对特征匹配的精确性要求高;二是只能检测已知恶意代码,而不能检测未知恶意代码。
现在启发式分析检测方法被人们运用。它是一种利用某种规则和模式达到对未知恶意代码检测的方法。主要有静态、基于代码仿真、基于神经网络三种启发检测方法。静态启发检测是对传统特征码扫描的一种补充;基于代码仿真的启发检测实现了用一个虚拟机来仿真CPU和内存管理系统,进而模拟出代码执行过程,从而可以监视恶意代码的行为。避免在真实环境中执行恶意代码,使操作系统和用户数据受到威胁。基于神经网络的启发式分析方法成功地将神经网络应用扩展到引导型病毒和Win32病毒的启发检测中。
当前,基于行为特征的恶意代码检测是科研人员研究的一个热点。它的原理就是分析出恶意代码的行为和功能特征,并将它定义为区分恶意代码的依据。行为分析是一种动态分析技术,也是目前被较多应于计算机安全方面一个技术。如抗间谍软件、广告软件以及僵尸网络等等。目前,利用对网络中主机的网络行为进行分析,以达到对未知恶意代码检测方法运用广泛。它是通过分析网络主机和主机之间互连的数据,根据不同的恶意代码中包含的攻击方法差异,设计不同的网络行为检测规则。网络行为进行分析主要表现在两个方面:一是对网络数据进行行为分析,网络数据行为分析是指识别出日常网络通信流量中异常通信方式的能力。简单的说就是网络分析人员尝试从简单地阻止过量的网络通信设置中,识别查找出网络中可能存在的异常行为;二是将网络中的数据进行分门别类。如拒绝服务攻击是黑客常用的手段,其目的就是让目标机器停止提供服务。采取对主机的网络行为进行分析,是解决这种问题的最有效方法之一。目前比较典型的基于行为的恶意代码判定方法是基于系统调用序列异常模式和参数的检测方法,但是此方法成功率高,误判率也高。