第5章 物聯(lián)網(wǎng)信息安全20220408（系統(tǒng)安全）

1、（第5章 物聯(lián)網(wǎng)系統(tǒng)安全）物聯(lián)網(wǎng)信息安全桂小林2020年4月1【投票簽到】目前，你是否完成上次布置的DES上機實驗：實驗部分完成實驗全部完成實驗全部完成，報告未完成實驗和報告均已經(jīng)完成ABCD提交投票最多可選1項2第五章 系統(tǒng)安全物聯(lián)網(wǎng)是一個包含感知、傳輸和處理等功能的復雜系統(tǒng)，通常由感知節(jié)點、嵌入式終端、PC計算機、服務器和網(wǎng)絡等部件或系統(tǒng)構成。傳統(tǒng)的計算機和網(wǎng)絡系統(tǒng)的安全問題在物聯(lián)網(wǎng)中仍然存在，而嵌入式傳感器、智能終端等系統(tǒng)的引入，物聯(lián)網(wǎng)系統(tǒng)面臨新的安全威脅。如何從系統(tǒng)內阻止病毒、木馬入侵，從外部鏈路阻止攻擊，是物聯(lián)網(wǎng)系統(tǒng)必須解決的問題。本章首先介紹物聯(lián)網(wǎng)系統(tǒng)中存在的安全攻擊問題，然后講述

2、物聯(lián)網(wǎng)系統(tǒng)的病毒、木馬攻擊原理和入侵檢測方法，最后介紹物聯(lián)網(wǎng)系統(tǒng)的網(wǎng)絡安全通信協(xié)議，它們是保障物聯(lián)網(wǎng)系統(tǒng)安全通信的關鍵因素之一。未經(jīng)許可，禁止傳播桂小林 35.1 物聯(lián)網(wǎng)系統(tǒng)的安全威脅物聯(lián)網(wǎng)系統(tǒng)的安全威脅主要來自兩個方面：外部攻擊和內部攻擊。其中，外部攻擊的目的是癱瘓物聯(lián)網(wǎng)系統(tǒng)的網(wǎng)絡訪問，如DDOS攻擊；內部攻擊是破壞物聯(lián)網(wǎng)系統(tǒng)的正常運行，盜取物聯(lián)網(wǎng)系統(tǒng)數(shù)據(jù)，如病毒、木馬。桂小林 4桂小林 41、內部攻擊系統(tǒng)漏洞是導致內部攻擊的主要原因。系統(tǒng)漏洞是由系統(tǒng)缺陷引起的，它是指應用軟件、操作系統(tǒng)或系統(tǒng)硬件在邏輯設計上無意造成的設計缺陷或錯誤。攻擊者一般利用這些缺陷，植入木馬、病毒來攻擊或控制計算機，

3、竊取信息，甚至破壞系統(tǒng)。系統(tǒng)漏洞是應用軟件和操作系統(tǒng)的固有特性，不可避免，因此，防護系統(tǒng)漏洞攻擊的最好辦法就是及時升級系統(tǒng)，針對漏洞升級漏洞補丁。桂小林 52001年7月19日，CodeRed蠕蟲利用微軟于2001年6月18日公稚的Internet Informmion Server軟件一個安全漏洞而爆發(fā)，在爆發(fā)后的9個小時內攻擊了25萬臺計算機，造成的損失估計超過20億美元，并且隨后幾個月內產(chǎn)生了具有更大威脅的幾個變種2003年1月25日，Slammer蠕蟲爆發(fā)，它利用了MS SQLServer的緩沖區(qū)溢出漏洞，在10分鐘內感染了75，000存在軟件缺陷的主機系統(tǒng)。2005年12月9同MSD

4、TC蠕蟲爆發(fā)，該蠕蟲利用了微軟MS05-051漏洞進行傳播和攻擊。桂小林 62、外部攻擊拒絕服務攻擊(Denial of Services，DoS)是指利用網(wǎng)絡協(xié)議的缺陷和系統(tǒng)資源的有限性實時攻擊，導致網(wǎng)絡帶寬和服務器資源耗盡，致使服務器無法對外正常提供服務，破壞信息系統(tǒng)的可用性。常用的拒絕服務攻擊技術主要有TCP flood攻擊、Smurf攻擊和DDoS攻擊技術等。桂小林 7TCP flood攻擊：標準的TCP協(xié)議的連接過程需要三次握手完成連接確認。起初由連接發(fā)起方發(fā)出SYN數(shù)據(jù)報到目標主機，請求建立TCP連接，等待目標主機確認。目標主機接收到請求的SYN數(shù)據(jù)報后，向請求方返回SYN+ACK

5、響應數(shù)據(jù)報。連接發(fā)起方接收到目標主機返回的SYN+ACK數(shù)據(jù)報并確認目標主機愿意建立連接后，再向目標主機發(fā)送確認ACK數(shù)據(jù)報，目標主機收到ACK后，TCP連接建立完成，進入 TCP通信狀態(tài)。一般來說，目標主機返回SYN+ACK數(shù)據(jù)報時需要在系統(tǒng)中保留一定緩存區(qū)，準備進一步的數(shù)據(jù)通信并記錄本次連接信息，直到再次收到ACK信息或超時為止。8攻擊者利用協(xié)議本身的缺陷，通過向目標主機發(fā)送大量的SYN數(shù)據(jù)報，并忽略目標主機返回的SYN+ACK信息，不向目標主機發(fā)送最終的ACK確認數(shù)據(jù)報，致使目標主機的TCP緩沖區(qū)被大量虛假連接信息占滿，無法對外提供正常的TCP服務，同時目標主機的CPU也由于要不斷處理大

6、量過時的TCP虛假連接請求，而其資源也被耗盡。桂小林 92、外部攻擊DDoS(Distributed Denial of Service)攻擊：攻擊者在進行DDoS攻擊前已經(jīng)通過其他入侵手段控制了互聯(lián)網(wǎng)上的大量計算機，這些計算機中部分計算機上攻擊者安裝攻擊控制程序，這些計算機控制稱為主控計算機。攻擊者發(fā)起攻擊時，首先向主控計算機發(fā)送攻擊指令，主控計算機再向攻擊者控制的其他大量的其他計算機(稱為代理計算機或僵尸計算機)發(fā)送攻擊指令，大量代理計算機向目標主機進行攻擊。為了達到攻擊效果，一般每次DDoS攻擊者所使用的代理計算機數(shù)量非常驚人，據(jù)估計能達到數(shù)十萬或百萬數(shù)量。DDoS攻擊中，攻擊者幾乎都使

7、用多級主控計算機以及代理計算機進行攻擊，所以非常隱蔽，一般很難查找到攻擊的源頭。102、外部攻擊釣魚攻擊：釣魚攻擊是一種在網(wǎng)絡中，通過偽裝成信譽良好的實體以獲得如用戶名、密碼和信用卡明細等個人敏感信息的犯罪詐騙過程。這些偽裝的實體假冒為知名社交網(wǎng)站、拍賣網(wǎng)站、網(wǎng)絡銀行、電子支付網(wǎng)站或網(wǎng)絡管理者，以此來誘騙受害人點擊登錄或進行支付。網(wǎng)絡釣魚通常是通過e-mail或者即時通訊工具進行，它常常導引用戶到界面外觀與真正網(wǎng)站幾無二致的假冒網(wǎng)站輸入個人數(shù)據(jù)。就算使用強式加密的SSL服務器認證，要偵測網(wǎng)站是否仿冒實際上仍很困難。目前針對網(wǎng)絡釣魚的防范措施主要有瀏覽器安全地址提醒、增加密碼注冊表和過濾網(wǎng)絡釣魚

8、郵件等方法。桂小林 11惡意攻擊的手段1、惡意軟件惡意軟件是指在未明確提示用戶或未經(jīng)用戶許可的情況下，在用戶計算機或其他終端上安裝運行，侵犯用戶合法權益的軟件。惡意軟件的主要包括特洛伊木馬、蠕蟲和病毒三大類。（1）特洛伊木馬木馬是一種后門程序，黑客可以利用其盜取用戶的隱私信息，甚至遠程控制對方的計算機。特洛伊木馬程序通常通過電子郵件附件、軟件捆綁和網(wǎng)頁掛馬等方式向用戶傳播。12（2）計算機病毒計算機病毒是一種人為制造的、能夠進行自我復制的、具有對計算機資源的破壞作用的一組程序或指令的集合，病毒的核心特征就是可以自我復制并具有傳染性。病毒嘗試將其自身附加到宿主程序，以便在計算機之間進行傳播。它可

9、能會損害硬件、軟件或數(shù)據(jù)。宿主程序執(zhí)行時，病毒代碼也隨之運行，并會感染新的宿主。13計算機病毒所造成的危害主要表現(xiàn)在以下幾個方面：格式化磁盤，致使信息丟失；刪除可執(zhí)行文件或者數(shù)據(jù)文件；破壞文件分配表，使得無法讀取磁盤信息；修改或破壞文件中的數(shù)據(jù)；迅速自我復制占用空間；影響內容常駐程序的運行；在系統(tǒng)中產(chǎn)生新的文件；占用網(wǎng)絡帶寬，造成網(wǎng)絡堵塞。14（3）網(wǎng)絡蠕蟲蠕蟲，本來是一個生物學名詞，1982年Xerox PARC的John EShoch等人首次將它引入了計算機領域，并給出了兩個基本的特征：“可以從一臺計算機移動到另一臺計算機”和“可以自我復制”。為了區(qū)別網(wǎng)絡蠕蟲和計算機病毒，有學者對兩者給出

10、了新的定義：“病毒是一段代碼，能把自身加到其它程序包括操作系統(tǒng)上，它不能獨立運行，需要它的宿主程序激活運行它。”而“網(wǎng)絡蠕蟲是可以獨立運行，并能把自身的一個包含所有功能的副本傳播到另一臺計算機上”細菌15網(wǎng)絡蠕蟲主要特征：可以通過網(wǎng)絡進行傳播，會主動攻擊目標系統(tǒng)傳播過程不需要使用者的人工干預通過計算機用戶之間的文件復制、拷貝來進行傳播必須把自己附加到別的軟件即宿主程序上ABCD提交投票最多可選多項16惡意軟件的特征強制安裝：未明確提示用戶或未經(jīng)用戶許可的情況下安裝軟件的行為。難以卸載：指未提供通用的卸載方式，或在不受其他軟件影響、人為破壞的情況下，卸載后仍活動程序的行為。瀏覽器劫持：指未經(jīng)用戶

11、許可，修改用戶瀏覽器或其他相關設置，迫使用戶訪問特定網(wǎng)站或導致用戶無法正常上網(wǎng)的行為。廣告彈出：指未明確提示用戶或未經(jīng)用戶許可的情況下，利用安裝在用戶計算機或其他終端上的軟件彈出廣告的行為。惡意收集用戶信息：指未明確提示用戶或未經(jīng)用戶許可，惡意收集用戶信息的行為。惡意卸載：指未明確提示用戶、未經(jīng)用戶許可，或誤導、欺騙用戶卸載非惡意軟件的行為。惡意捆綁：指在軟件中捆綁已被認定為惡意軟件的行為175.2 病毒與木馬攻擊計算機病毒是指編制或者在計算機程序中插入的破壞計算機功能或者毀壞數(shù)據(jù)、影響計算機使用、并能自我復制的一組計算機指令或者程序代碼。如今從廣義上講，一切危害用戶計算機數(shù)據(jù)、偷盜用戶隱私、

12、損害他人利益及影響用戶正常操作的程序或代碼都可被定義為計算機病毒。20世紀60年代初，美國貝爾實驗室程序員編寫的計算機游戲中，采用通過復制自身的方法來擺脫對方控制，這是“病毒”的第一個雛形。20世紀70年代，美國作家雷恩在其P1的青春一書中構思了一種能夠自我復制的計算機程序，并第一次稱之為“計算機病毒”。181983年11月，在國際計算機安全學術研討會上，美國計算機專家首次將病毒程序在VAX750計算機上進行了實驗，世界上第一個計算機病毒在實驗室誕生。隨著計算機技術的發(fā)展，計算機病毒也向前發(fā)展，從基于DOS系統(tǒng)的計算機病毒，發(fā)展到可以在Windows、Unix等操作系統(tǒng)中傳播的各種計算機病毒；

13、近幾年隨著互聯(lián)網(wǎng)應用的深入，更加激發(fā)了計算機病毒傳播的活力。根據(jù)CERT(Computer Emergency Response Team計算機緊急響應小組)從1988年以來的統(tǒng)計數(shù)據(jù)表明，Internet安全威脅事件每年以指數(shù)增長，近年來的增長態(tài)勢變得尤為迅速。19計算機病毒在1994年2月18日公布的中華人民共和國計算機信息系統(tǒng)安全保護條例中，計算機病毒被定義為：“計算機病毒是指編制或者在計算機程序中插入的破壞計算機功能或者破壞數(shù)據(jù)，影響計算機使用并且能夠自我復制的一組計算機指令或者程序代碼”。20計算機病毒與生物病毒計算機病毒與生物病毒一樣，有其自身的病毒體（病毒程序）和寄生體（宿主HO

14、ST）。所謂感染或寄生，是指病毒將自身嵌入到宿主指令序列中。寄生體為病毒提供一種生存環(huán)境，是一種合法程序。當病毒程序寄生于合法程序之后，病毒就成為程序的一部分，并在程序中占有合法地位。這樣合法程序就成為病毒程序的寄生體，或稱為病毒程序的載體。病毒可以寄生在合法程序的任何位置。病毒程序一旦寄生于合法程序之后，就隨原合法程序的執(zhí)行而執(zhí)行，隨它的生存而生存，隨它的消失而消失。為了增強活力，病毒程序通常寄生于一個或多個被頻繁調用的程序中。211、病毒特征計算機病毒種類繁多、特征各異，但一般具有自我復制能力、感染性、潛伏性、觸發(fā)性和破壞性。計算機病毒的基本特征包括：1）計算機病毒的可執(zhí)行性計算機病毒與其

15、他合法程序一樣，是一段可執(zhí)行程序。計算機病毒在運行時與合法程序爭奪系統(tǒng)的控制權，例如，病毒一般在運行其宿主程序之前先運行自己，通過這種方法搶奪系統(tǒng)的控制權。計算機病毒一經(jīng)在計算機上運行，在同一臺計算機內病毒程序與正常系統(tǒng)程序或某種病毒與其他病毒程序爭奪系統(tǒng)控制權時往往會造成系統(tǒng)崩潰，導致計算機癱瘓。22（2）計算機病毒的傳染性計算機病毒的傳染性是指病毒具有把自身復制到其他程序和系統(tǒng)的能力。計算機病毒一旦進入計算機并得以執(zhí)行，就會搜尋符合其傳染條件的其他程序或存儲介質，確定目標后再將自身代碼插入其中，達到自我繁殖的目的。而被感染的目標又成了新的傳染源，當它被執(zhí)行以后，便又去感染另一個可以被其傳染

16、的目標。計算機病毒可通過各種可能的渠道，如U盤、計算機網(wǎng)絡去傳染其他的計算機。23（3）計算機病毒的隱蔽性計算機病毒通常附在正常程序中或磁盤較隱蔽的地方，也有個別的以隱含文件形式出現(xiàn)，目的是不讓用戶發(fā)現(xiàn)它的存在。如果不經(jīng)過代碼分析，病毒程序與正常程序是不容易區(qū)別開來的，而一旦病毒發(fā)作表現(xiàn)出來，往往已經(jīng)給計算機系統(tǒng)造成了不同程度的破壞。正是由于隱蔽性，計算機病毒得以在用戶沒有察覺的情況下擴散并游蕩于世界上百萬臺計算機中。24（4）計算機病毒的潛伏性一個編制精巧的計算機病毒程序，進入系統(tǒng)之后一般不會馬上發(fā)作。潛伏性越好，其在系統(tǒng)中的存在時間就會越長，病毒的傳染范圍就會越大。潛伏性是指病毒程序不用專

17、用檢測程序是檢查不出來的，并有一種觸發(fā)機制，不滿足觸發(fā)條件時，計算機病毒除了傳染外不做破壞，只有當觸發(fā)條件滿足時，才會激活病毒的表現(xiàn)模塊而出現(xiàn)中毒癥狀。25（5）計算機病毒的寄生性病毒程序嵌入到宿主程序中，依賴于宿主程序的執(zhí)行而生存，這就是計算機病毒的寄生性。病毒程序在侵入到宿主程序中后，一般對宿主程序進行一定的修改，宿主程序一旦執(zhí)行，病毒程序就被激活，從而可以進行自我復制和繁衍。26（6）計算機病毒的不可預見性從對病毒的檢測方面來看，病毒還有不可預見性。不同種類的病毒，它們的代碼千差萬別，但有些操作是共有的（如駐內存、改中斷）。計算機病毒新技術的不斷涌現(xiàn)，也加大了對未知病毒的預測難度，決定了

18、計算機病毒的不可預見性。事實上，反病毒軟件預防措施和技術手段往往滯后于病毒的產(chǎn)生速度。27（7）計算機病毒的誘惑欺騙性某些病毒常以某種特殊的表現(xiàn)方式，引誘、欺騙用戶不自覺地觸發(fā)、激活病毒，從而實施其感染、破壞功能。某些病毒會通過引誘用戶點擊電子郵件中的相關網(wǎng)址、文本、圖片等而激活和傳播。282、病毒分類根據(jù)病毒傳播和感染的方式，計算機病毒主要有以下幾種類型：（1）引導性病毒 (Boot Strap Sector Virus):引導性病毒是藏匿在磁盤片或硬盤的第一個扇區(qū)。因為DOS的架構設計，使得病毒可以在每次開機時，在操作系統(tǒng)還沒被加載之前就被加載到內存中，這個特性使得病毒可以針對DOS的各類

19、中斷得到完全的控制，并且擁有更大的能力進行傳染與破壞。29（2）文件型病毒 (File Infector Virus):文件型病毒通常寄生在可執(zhí)行文件(如 *.COM， *.EXE等)中。當這些文件被執(zhí)行時， 病毒的程序就跟著被執(zhí)行。文件型的病毒依傳染方式的不同，又分成非常駐型以及常駐型兩種。非常駐型病毒將自己寄生在 *.COM， *.EXE或是 *.SYS的文件中。當這些中毒的程序被執(zhí)行時，就會嘗試去傳染給另一個或多個文件。常駐型病毒躲在內存中，其行為就是寄生在各類的低階功能(如中斷)，由于這個原因，常駐型病毒往往對磁盤造成更大的傷害。一旦常駐型病毒進入了內存中，只要執(zhí)行文件，它就對其進行感

20、染。30（3）復合型病毒 (Multi-Partite Virus):復合型病毒兼具引導性病毒以及文件型病毒的特性。它們可以傳染 *.COM， *.EXE 文件，也可以傳染磁盤的引導區(qū)。這種病毒具有相當程度的傳染力。一旦發(fā)病，其破壞的程度較大。 （4）宏病毒 (Macro Virus):宏病毒主要是利用軟件本身所提供的宏能力來設計病毒，所以凡是具有寫宏能力的軟件都有宏病毒存在的可能，如Word、Excel、Powerpoint等等。31（5）網(wǎng)絡蠕蟲（Worm）隨著網(wǎng)絡的普及，病毒開始利用網(wǎng)絡進行傳播。在非DOS操作系統(tǒng)中,“網(wǎng)絡蠕蟲”是典型的代表，它不占用除內存以外的任何資源，不修改磁盤文件

21、，利用網(wǎng)絡功能搜索網(wǎng)絡地址，將自身向下一地址進行傳播，有時也在網(wǎng)絡服務器和啟動文件中存在。（6）特洛伊木馬（Trojan）木馬病毒的共有特性是通過網(wǎng)絡或者系統(tǒng)漏洞進入用戶的系統(tǒng)并隱藏，然后向外界泄露用戶的信息，或對用戶的電腦進行遠程控制。隨著網(wǎng)絡的發(fā)展，特洛伊木馬和網(wǎng)絡蠕蟲（Worm）之間的依附關系日益密切，有愈來愈多的病毒同時結合這兩種病毒型態(tài)，達到更大的破壞能力。32計算機病毒的基本組成1、感染模塊 這是病毒最關鍵的部分，為了自身的生存，病毒必須不斷感染一個又一個正常的程序或系統(tǒng)，借此來傳播自己。 這一點和生物病毒有著相似之處，可以理解為病毒執(zhí)行寫操作，把病毒代碼“寫”到正常程序中。2、傳

22、播模塊 計算機病毒是不甘心僅僅感染一個正常程序或系統(tǒng)的，病毒感染其它正常程序或系統(tǒng)的過程就是傳播。33計算機病毒的基本特點3、觸發(fā)模塊 只有滿足破壞條件后病毒才能發(fā)作，實現(xiàn)破壞，這就是觸發(fā)模塊。 病毒在成功感染后，一邊很小心地隱藏自己，一邊判斷是否夠條件來發(fā)作。條件不成熟時，病毒所做的只是隱藏和進一步感染，而不會表現(xiàn)出任何破壞，只有這樣，病毒才可能有更強的生命力，避免短時間內就被用戶發(fā)現(xiàn)并消滅。4、破壞模塊 當病毒判斷滿足條件可以發(fā)作時，就表現(xiàn)出破壞，破壞的表現(xiàn)形式很多，這一個模塊是給計算機病毒定性的根本依據(jù)。 病毒作者在編寫病毒時，已經(jīng)告訴了病毒在什么條件下進行什么破壞，并允許其他人對這些信

23、息進行修改，這就是很多病毒出現(xiàn)變種的原因。34磁盤數(shù)據(jù)結構一塊新磁盤，需要將它分區(qū)、格式化，然后再安裝上操作系統(tǒng)才可以使用。格式化，簡單說，就是把一張空白的盤劃分成一個個小區(qū)域并編號，供計算機儲存。沒有這個工作，計算機就不知在哪寫，從哪讀。格式化是為了使系統(tǒng)達到隨機存取磁盤數(shù)據(jù)的目的需要在盤的磁道上規(guī)劃出磁道和扇區(qū)，每個扇區(qū)以引導標記和扇區(qū)標記作為扇區(qū)的起始，然后才是扇區(qū)的內容，后面還有校驗標記。35磁盤數(shù)據(jù)結構磁盤被分為磁頭、磁道、柱面、扇區(qū)和簇。36主引導扇區(qū)MBR硬盤的0柱面、0磁頭、1扇區(qū)稱為主引導扇區(qū)，它由三個部分組成，主引導程序、硬盤分區(qū)表DPT（Disk Partition ta

24、ble）和硬盤有效標志（55AA）。37主引導扇區(qū)MBR硬盤的0柱面、0磁頭、1扇區(qū)稱為主引導扇區(qū)，它由三個部分組成，主引導程序、硬盤分區(qū)表DPT（Disk Partition table）和硬盤有效標志（55AA）。38Dos系統(tǒng)硬盤的數(shù)據(jù)組織硬盤上的數(shù)據(jù)由五大部分組成，它們分別是：MBR區(qū)、DBR區(qū)，F(xiàn)AT區(qū)，DIR區(qū)和DATA區(qū)。系統(tǒng)隱藏扇區(qū)主引導扇區(qū)其他系統(tǒng)占用DOS分區(qū)DOS引導扇區(qū)FAT分區(qū)目錄區(qū)數(shù)據(jù)區(qū)磁盤數(shù)據(jù)分區(qū)劃分示意表39引導型病毒原理所謂引導區(qū)病毒是指一類專門感染軟盤引導扇區(qū)和硬盤主引導扇區(qū)的計算機病毒程序。如果被感染的磁盤被作為系統(tǒng)啟動盤使用，則在啟動系統(tǒng)時，病毒程序即被

25、自動裝入內存，從而使現(xiàn)行系統(tǒng)感染上病毒。在系統(tǒng)帶毒的情況下，如果進行了磁盤IO操作，則病毒程序就會主動地進行傳染，從而使其它的磁盤感染上病毒。40引導型病毒原理引導區(qū)病毒實際上就是先保存軟盤的引導記錄或者硬盤的主引導記錄，然后用病毒程序替換原來的引導記錄，這樣，當系統(tǒng)引導時，便先執(zhí)行病毒程序，然后將控制權轉交給正常的引導程序。DOS啟動過程41引導型病毒原理病毒常駐內存最早設計DOS操作系統(tǒng)時，PC機的硬件系統(tǒng)只支持1M字節(jié)的尋址空間，所以DOS只能直接管理最多1M字節(jié)的連續(xù)內存空間。在這1M內存中，僅有640K被留給應用程序使用，它們被稱為常規(guī)內存或基本內存。病毒程序首先將自身復制到內存的高

26、端，修改內存容量標志單元0:413H，在原有值的基礎上減去病毒長度，使得病毒能夠常駐內存，完成病毒的傳播和觸發(fā)42引導型病毒原理引導型病毒基本原理引導型病毒13H中斷43桂小林正常的PC DOS啟動過程是：（1）加電開機后進入系統(tǒng)的檢測程序并執(zhí)行該程序對系統(tǒng)的基本設備進行檢測； （2）檢測正常后從系統(tǒng)盤0面0道1扇區(qū)即邏輯0扇區(qū)讀入Boot引導程序到內存的0000: 7C00處； （3）轉入Boot執(zhí)行； （4）Boot判斷是否為系統(tǒng)盤, 如果不是系統(tǒng)盤則給出提示信息；否則，讀入并執(zhí)行兩個隱含文件，并將COMMAND.COM裝入內存； （5）系統(tǒng)正常運行，DOS啟動成功。 44桂小林如果系統(tǒng)盤

27、已感染了病毒，DOS的啟動將是另一種情況，其過程為： （1）將Boot區(qū)中病毒代碼首先讀入內存的0000: 7C00處； （2）病毒將自身全部代碼讀入內存的某一安全地區(qū)、常駐內存，監(jiān)視系統(tǒng)的運行； （3）修改INT 13H中斷服務處理程序的入口地址，使之指向病毒控制模塊并執(zhí)行之。因為任何一種病毒要感染軟盤或者硬盤, 都離不開對磁盤的讀寫操作, 修改INT 13H中斷服務程序的入口地址是一項少不了的操作； （4）病毒程序全部被讀入內存后才讀入正常的Boot內容到內存的0000: 7C00處，進行正常的啟動過程； （5）病毒程序伺機等待隨時準備感染新的系統(tǒng)盤或非系統(tǒng)盤。 45桂小林引導型病毒原理引

28、導型病毒的觸發(fā)用染毒盤啟動計算機時，引導型病毒先于操作系統(tǒng)獲取系統(tǒng)控制權(被首次激活)，處于動態(tài)因首次激活時修改INT 13H入口地址使其指向病毒中斷服務程序，從而處于可激活態(tài)當系統(tǒng)/用戶進行磁盤讀寫時調用INT 13H，調用的實際上是病毒的中斷服務程序，從而激活病毒，使病毒處于激活態(tài)病毒被激活之后，即可根據(jù)感染條件實施暗地感染、根據(jù)爆發(fā)破壞條件破壞系統(tǒng)并表現(xiàn)自己調用BIOS磁盤服務功能讀寫扇區(qū)調用INT 13H子功能01H寫扇區(qū)調用INT 13H子功能02H讀扇區(qū)46引導型病毒原理感染引導型病毒的現(xiàn)象感染引導型病毒后，開機時可能出現(xiàn)以下錯誤信息： DISK BOOT FAILURE , IN

29、SERT SYSTEM DISK AND PRESS ENTER （磁盤引導失?。?Invalid partition table （無效的分區(qū)表信息） Error loading operating system （不能加載操作系統(tǒng)，DOS引導記錄出錯） Missing operating system （缺少操作系統(tǒng)，DOS引導記錄出錯）47引導型病毒原理引導型病毒特點引導型病毒的幾個技術要點與特點駐留內存隱形技術 當病毒駐留時，讀寫引導區(qū)均對原引導區(qū)操作，就好像沒有病毒一樣。引導型病毒的優(yōu)點隱蔽性強，只要編寫的好，是不容易發(fā)現(xiàn)的引導型病毒的缺點傳染速度慢，殺毒容易48引導型病毒原理引導型

30、病毒的清除 殺毒軟件清除。 目前的殺毒軟件基本上都可以清除各種類型的引導型病毒，而且操作十分簡單。 手動清除。 無論是主引導區(qū)病毒，還是DOS引導區(qū)病毒，清除的基本思想都是用正確的引導區(qū)信息去覆蓋受到破壞的引導區(qū)信息。這樣既可以清除病毒，又可以恢復系統(tǒng)。 在進行操作前，必須保證內存中無毒，并用無毒的軟盤光盤進行引導，然后再通過SYS命令將啟動盤上的系統(tǒng)引導信息傳遞給系統(tǒng)盤。49桂小林引導型病毒案例小球病毒小球病毒是新中國成立以來發(fā)現(xiàn)的第一例電腦病毒（1986年）。發(fā)作條件是當系統(tǒng)時鐘處于半點或整點，而系統(tǒng)又在進行讀盤操作。發(fā)作時屏幕出現(xiàn)一個活蹦亂跳的小圓點，作斜線運動，當碰到屏幕邊沿或者文字就

31、立刻反彈，碰到的文字，英文會被整個削去，中文會削去半個或整個削去，也可能留下制表符亂碼。50桂小林引導型病毒感染周期51引導病毒的主要特點：可以通過網(wǎng)絡進行傳播，會主動攻擊目標系統(tǒng)傳播過程不需要使用者的人工干預通過計算機用戶之間的文件復制、拷貝來進行傳播必須把自己附加到別的軟件即宿主程序上ABCD提交投票最多可選多項52桂小林5.3 入侵檢測入侵檢測作為一種主動防御技術，彌補了傳統(tǒng)安全技術如防火墻的不足。入侵檢測系統(tǒng)通過捕獲網(wǎng)絡上的數(shù)據(jù)包，經(jīng)過分析處理后，報告異常和重要的數(shù)據(jù)模式和行為模式，使網(wǎng)絡管理員能夠清楚地了解網(wǎng)絡上發(fā)生的事件，并采取措施阻止可能的破壞行為。入侵檢測系統(tǒng)可以對主機系統(tǒng)和網(wǎng)

32、絡進行實時監(jiān)控，阻止來自外部網(wǎng)絡黑客的入侵和來自內部網(wǎng)絡的攻擊。53桂小林1985年，Denming等人提出了第一個實時入侵檢測專家系統(tǒng)模型和實時的基于統(tǒng)計量分析和用戶行為輪廓的入侵檢測技術，該模型成為入侵檢測技術研究領域的一個里程碑。入侵檢測包含兩層意思：一是對外部入侵（非授權使用）行為的檢測；二是對內部用戶（合法用戶）濫用自身權限的檢測。具體檢測內容包括：試圖闖入、成功闖入、冒充其他用戶、違反安全策略、合法用戶的泄漏、獨占資源以及惡意使用。54入侵檢測被認為是防火墻之后的第二道安全閘門，提供對內部攻擊、外部攻擊和誤操作的實時保護。這些都通過它執(zhí)行以下任務來實現(xiàn)：（1）監(jiān)視、分析用戶及系統(tǒng)活

33、動，查找非法用戶和合法用戶的越權操作；（2）系統(tǒng)構造和弱點的審計，并提示管理員修補漏洞；（3）識別反映已知進攻的活動模式并向相關人士報警，能夠實時對檢測到的入侵行為進行反應；（4）異常行為模式的統(tǒng)計分析，發(fā)現(xiàn)入侵行為的規(guī)律；（5）評估重要系統(tǒng)和數(shù)據(jù)文件的完整性，如計算和比較文件系統(tǒng)的校驗和；（6）操作系統(tǒng)的審計跟蹤管理，并識別用戶違反安全策略的行為。55桂小林5.3.1 入侵檢測技術入侵檢測是網(wǎng)絡安全的重要組成部分，目前采用的入侵檢測技術主要有異常檢測和誤用檢測兩種， 1、誤用檢測技術誤用檢測又稱為基于規(guī)則的入侵檢測。誤用檢測通過預先收集一些認為是異常的特征，建立匹配規(guī)則庫，然后根據(jù)檢測到的事

34、件或者網(wǎng)絡行為的特征，與匹配規(guī)則庫中預先設定的規(guī)則進行匹配，如果匹配成功，則認為該網(wǎng)絡行為異常，產(chǎn)生報警。這種檢測方法建立在對過去的知識積累基礎上，只有當匹配規(guī)則庫中已經(jīng)存在的特征，入侵檢測系統(tǒng)才能進行檢測。如果發(fā)現(xiàn)了一種新的網(wǎng)絡入侵行為，則需要根據(jù)新的網(wǎng)絡入侵行為特征，往匹配規(guī)則庫添加相應的匹配規(guī)則，這樣入侵檢測系統(tǒng)才能夠及時檢測到新的網(wǎng)絡入侵。56桂小林2、異常檢測異常檢測與誤用檢測有本質的區(qū)別：異常檢測是通過對正常網(wǎng)絡行為的描述來分析和發(fā)現(xiàn)可能出現(xiàn)的異常情況，任何偏離了正常范圍的網(wǎng)絡行為都被認為異常行為。異常檢測技術中對正常網(wǎng)絡行為的描述是通過對過去大量歷史數(shù)據(jù)的分析得到的。而誤用檢測則

35、是標識一些已知的入侵行為，通過對一些具體行為進行判斷和推理，從而檢測出異常行為。異常檢測的主要缺陷在于誤報率比較高，而誤用檢測由于依據(jù)具體的規(guī)則庫進行判斷，準確率很高，誤報率比較低，但是誤用檢測的漏報率很高。57桂小林5.3.2 入侵檢測系統(tǒng)入侵檢測系統(tǒng)（Intrusion Detection System，IDS）是指通過收集網(wǎng)絡流量數(shù)據(jù)、系統(tǒng)日志、用戶行為信息以及主機所能提供的若干信息進行相應的分析，檢測網(wǎng)絡是否存在異常行為或者被攻擊的跡象，從而產(chǎn)生警告的過程。一個IDS通常包括入侵檢測軟件與硬件兩部分，它通過從計算機網(wǎng)絡或計算機系統(tǒng)的關鍵點收集信息并進行分析，從中發(fā)現(xiàn)網(wǎng)絡或系統(tǒng)中是否有違

36、反安全策略的行為和被攻擊的跡象并且對其做出反應。有些反應是自動的，它包括通知網(wǎng)絡安全管理員（通過控制臺、電子郵件），中止入侵進程、關閉系統(tǒng)、斷開與互聯(lián)網(wǎng)的連接，使該用戶無效，或者執(zhí)行一個準備好的命令等。58桂小林入侵檢測系統(tǒng)（1）數(shù)據(jù)收集59桂小林2、入侵檢測系統(tǒng)的分類根據(jù)的來源可將入侵檢測分為基于網(wǎng)絡的入侵檢測系統(tǒng)（NIDS）、基于主機的入侵檢測系統(tǒng)（HIDS）和混合型入侵檢測系統(tǒng)三種類型。60桂小林（1）基于網(wǎng)絡的入侵檢測系統(tǒng)網(wǎng)絡型入侵檢測系統(tǒng)是通過網(wǎng)絡連接檢測網(wǎng)絡數(shù)據(jù)中存在的入侵行為，并保護所有網(wǎng)絡節(jié)點?；诰W(wǎng)絡的入侵檢測系統(tǒng)NIDS的信息來源為網(wǎng)絡中的數(shù)據(jù)包。NIDS通常是在網(wǎng)絡層監(jiān)聽

37、并分析網(wǎng)絡包來檢測入侵，可以檢測到非授權訪問、盜用數(shù)據(jù)資源、盜取口令文件等入侵行為?；诰W(wǎng)絡的入侵檢測系統(tǒng)不需要改變服務器等主機的配置,不會在業(yè)務系統(tǒng)的主機中安裝額外的軟件,從而不會影響這些機器的CPU、I/O與磁盤等資源的使用。61（1）基于網(wǎng)絡的入侵檢測系統(tǒng)隨著VPN, SSH和SSL的應用，數(shù)據(jù)加密越來越普遍，傳統(tǒng)的NIDS工作在網(wǎng)絡層，無法分析上層的加密數(shù)據(jù)，從而也無法檢測到加密后入侵網(wǎng)絡包。62桂小林（2）基于主機的入侵檢測系統(tǒng)主機型入侵檢測系統(tǒng)是設置在特定主機上運行，主要是監(jiān)視主機上的事件并檢測本地可疑活動，即受監(jiān)控機器的用戶執(zhí)行的攻擊或針對其運行的主機發(fā)生的攻擊。由于主機型的 I

38、DS 僅設計為與主機一起運行，因此能夠執(zhí)行特定任務，是 NIDS無法實現(xiàn)的，例如檢測緩沖區(qū)溢出、 監(jiān)視系統(tǒng)調用、 特權濫用以及系統(tǒng)日志分析等。63桂小林（2）基于主機的入侵檢測系統(tǒng)基于主機的入侵檢測系統(tǒng)的信息來源為操作系統(tǒng)事件日志、管理工具審計記錄和應用程序審計記錄。它通過監(jiān)視系統(tǒng)運行情況（文件的打開和訪問、文件權限的改變、用戶的登錄和特權服務的訪問等）、審計系統(tǒng)日志文件（Syslog）和應用程序(關系數(shù)據(jù)庫、Web服務器)日志來檢測入侵來檢測入侵64桂小林5.3.3 蜜罐和蜜網(wǎng)現(xiàn)行入侵檢測系統(tǒng)（HIDS和NIDS）及其入侵檢測技術，都存在一些缺陷。為了避免這一問題，科技人員引入了網(wǎng)絡誘騙技術

39、，即蜜罐（Honeypot）和蜜網(wǎng)（Honeynet）技術。65桂小林1.蜜罐 HoneyPotHoneypot是一種全新的網(wǎng)絡入侵檢測系統(tǒng)（NIDS），它誘導攻擊者訪問預先設置的蜜罐而不是工作中網(wǎng)絡，可以提高檢測攻擊和攻擊者行為的能力，降低攻擊帶來的破壞。Honeypot的目的有兩個：一是在不被攻擊者察覺的情況下監(jiān)視他們的活動、收集與攻擊者有關的所有信息；二是牽制他們，讓他們將時間和資源都耗費在攻擊Honeypot上，使他們遠離實際的工作網(wǎng)絡。66桂小林為了達到上述兩個目的，Honeypot 的設計方式必須與實際的系統(tǒng)一樣，還應包括一系列能夠以假亂真的文件、目錄及其它信息。這樣一旦攻擊者入侵

40、Honeypot會以為自己控制了一個很重要的系統(tǒng)，刺激他充分施展他的“才能”。而Honeypot就象監(jiān)視器一樣監(jiān)視攻擊者的所有行動：記錄攻擊者的訪問企圖，捕獲擊鍵，確定被訪問、修改或刪除的文件，指出被攻擊者運行的程序等。Honeypot可以是這樣的一個系統(tǒng)：模擬某些已知的漏洞或服務、模擬各種操作系統(tǒng)、在某個系統(tǒng)上做了設置使它變成“牢籠”環(huán)境.、或者是一個標準的操作系統(tǒng)，在這上面可以打開各種服務。672. 蜜網(wǎng)Honeynet的概念是由Honeypot發(fā)展起來的。起初人們?yōu)榱搜芯亢诳偷娜肭中袨?，在網(wǎng)絡上放置了一些專門的計算機，并在上面運行專用的模擬軟件，使得在外界看來這些計算機就是網(wǎng)絡上運行某些

41、操作系統(tǒng)的主機。把這些計算機放在網(wǎng)絡上，并為之設置較低的安全防護等級，使入侵者可以比較容易地進入系統(tǒng)。入侵者進入系統(tǒng)后一切行為都在系統(tǒng)軟件的監(jiān)控和記錄之下，通過系統(tǒng)軟件收集描述入侵者行為的數(shù)據(jù)，對入侵者的行為進行分析。桂小林桂小林Honeynet將防火墻、IDS、二層網(wǎng)關和Honeynet網(wǎng)有機地結合起來，設計了一個Honeynet網(wǎng)的原型系統(tǒng)。網(wǎng)關有A、B、C 三個網(wǎng)絡接口。A 接口用于和外部防火墻相連， 接收重定向進來的屬于可疑或真正入侵的網(wǎng)絡連接；B接口用于Honeynet內部管理以及遠程日志等功能；C接口用于和Honeypot主機相連，進行基于網(wǎng)絡的入侵檢測，實時記錄Honeynet系

42、統(tǒng)中的入侵行為。網(wǎng)橋上可以根據(jù)需要運行網(wǎng)絡流量仿真軟件，通過仿真流量來麻痹入侵者。路由器、外部防火墻和二層網(wǎng)關為Honeynet 提供了較高的安全保障。695.3.4 惡意軟件檢測1、計算機病毒檢測計算機病毒（Computer Virus）是一種人為制造的、能夠進行自我復制的、具有對計算機資源的破壞作用的一組程序或指令的集合。計算機病毒把自身附著在各種類型的文件上或寄生在存儲媒介中，能對計算機系統(tǒng)和網(wǎng)絡進行各種破壞，同時有獨特的復制能力和傳染性，能夠自我復制和傳染。計算機病毒種類繁多、特征各異，但一般具有自我復制能力、感染性、潛伏性、觸發(fā)性和破壞性。目前典型的病毒檢測方法包括：未經(jīng)許可，禁止傳

43、播70(1)直接檢查法感染病毒的計算機系統(tǒng)內部會發(fā)生某些變化，并在一定的條件下表現(xiàn)出來，因而可以通過直接觀察法來判斷系統(tǒng)是否感染病毒。(2)特征代碼法特征代碼法是檢測已知病毒的最簡單、開銷最小的方法。特征代碼法的實現(xiàn)步驟如下：采集已知病毒樣本，依據(jù)如下原則抽取特征代碼：抽取的代碼比較特殊，不大可能與普通正常程序代碼吻合。抽取的代碼要有適當長度，一方面維持特征代碼的唯一性，另一方面盡量使特征代碼長度短些，以減少空間與時間開銷。71特征代碼法的優(yōu)點是：檢測準確快速、可識別病毒的名稱、誤報警率低、依據(jù)檢測結果，可做解毒處理；缺點是：不能檢測未知病毒、搜集已知病毒的特征代碼，費用開銷大、在網(wǎng)絡上效率低

44、（在網(wǎng)絡服務器上，因長時間檢索會使整個網(wǎng)絡性能變壞）。(3)校驗和法將正常文件的內容，計算其校驗和，將該校驗和寫入文件中或寫入別的文件中保存。在文件使用過程中，定期地或每次使用文件前，檢查文件現(xiàn)在內容算出的校驗和與原來保存的校驗和是否一致，因而可以發(fā)現(xiàn)文件是否感染。721、計算機病毒檢測(3)校驗和法病毒感染的確會引起文件內容變化，但是校驗和法對文件內容的變化太敏感，又不能區(qū)分正常程序引起的變動，而頻繁報警。這種方法遇到軟件版本更新、口令變更、運行參數(shù)修改時，校驗和法都會誤報警；校驗和法對隱蔽性病毒無效。隱蔽性病毒進駐內存后，會自動剝去染毒程序中的病毒代碼，使校驗和法受騙，對一個有毒文件算出正

45、常校驗和。運用校驗和法查病毒采用三種方式：在檢測病毒工具中納入校驗和法、在應用程序中放入校驗和法自我檢查功能、將校驗和檢查程序常駐內存實時檢查待運行的應用程序。73桂小林1、計算機病毒檢測(4)行為監(jiān)測法利用病毒的特有行為特征性來監(jiān)測病毒的方法，稱為行為監(jiān)測法。通過對病毒多年的觀察、研究，有一些行為是病毒的共同行為，而且比較特殊。在正常程序中，這些行為比較罕見。當程序運行時，監(jiān)視其行為，如果發(fā)現(xiàn)了病毒行為，立即報警。行為監(jiān)測法的優(yōu)點：可發(fā)現(xiàn)未知病毒、可相當準確地預報未知的多數(shù)病毒。行為監(jiān)測法的缺點：可能誤報警、不能識別病毒名稱、實現(xiàn)時有一定難度。74桂小林1、計算機病毒檢測(5)軟件模擬法多態(tài)

46、性病毒每次感染都變化其病毒密碼，對付這種病毒，特征代碼法失效。因為多態(tài)性病毒代碼實施密碼化，而且每次所用密鑰不同，把染毒的病毒代碼相互比較，也無法找出相同的可能做為特征的穩(wěn)定代碼。雖然行為檢測法可以檢測多態(tài)性病毒，但是在檢測出病毒后，因為不知病毒的種類，難于做消毒處理。為了檢測多態(tài)性病毒，可應用新的檢測方法軟件模擬法，即用軟件方法來模擬和分析程序的運行。75桂小林2、網(wǎng)絡蠕蟲檢測目前，網(wǎng)絡蠕蟲已經(jīng)成為計算機網(wǎng)絡的最大威脅。網(wǎng)絡蠕蟲在傳播過程中具有與黑客攻擊相似的網(wǎng)絡行為，網(wǎng)絡蠕蟲檢測技術在采用入侵檢測技術的同時，還需要結合網(wǎng)絡蠕蟲自身及其傳播具有的特點，綜合應用多種技術，包括網(wǎng)絡蠕蟲檢測與預警、網(wǎng)絡蠕蟲傳播抑制、網(wǎng)絡蠕蟲應對等。網(wǎng)絡蠕蟲檢測系統(tǒng)(NWDS)通常部署在一個網(wǎng)絡的出口處（如圖所示），可以實時捕獲網(wǎng)絡中的所有流經(jīng)的網(wǎng)絡數(shù)據(jù)包，并對這些數(shù)據(jù)進行檢測。檢測機上主要運行檢測端程序，包括了網(wǎng)絡數(shù)據(jù)捕獲模塊、網(wǎng)絡蠕蟲檢測模塊、通訊模塊等；管理機運行監(jiān)控管