網(wǎng)絡(luò)安全技術(shù)（信息安全、網(wǎng)絡(luò)安全、網(wǎng)絡(luò)空間安全等相關(guān)專業(yè)）全套教學(xué)課件

網(wǎng)絡(luò)安全技術(shù)第1章網(wǎng)絡(luò)安全概述.pptx第2章計(jì)算機(jī)惡意代碼.pptx第3章網(wǎng)絡(luò)攻擊技術(shù).pptx第4章防火墻與入侵檢測技術(shù).pptx第5章數(shù)據(jù)加密與VPN技術(shù).pptx第6章網(wǎng)絡(luò)操作系統(tǒng)與數(shù)據(jù)庫安全.pptx第7章Web與無線網(wǎng)絡(luò)安全.pptx第8章網(wǎng)絡(luò)實(shí)體安全與新技術(shù).pptx全套可編輯PPT課件第一章網(wǎng)絡(luò)安全概述隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的迅速發(fā)展和普及應(yīng)用，人類已經(jīng)進(jìn)入網(wǎng)絡(luò)化、信息化和數(shù)字化時代。由于網(wǎng)絡(luò)具有開放性和互聯(lián)性等特征，因此極易受到異常因素的影響，如網(wǎng)絡(luò)受到黑客和病毒的攻擊及入侵，使網(wǎng)絡(luò)系統(tǒng)遭到破壞，導(dǎo)致信息泄露或丟失。如何有效地保證網(wǎng)絡(luò)安全，已成為人們普遍關(guān)注的問題。本章導(dǎo)讀本章主要介紹網(wǎng)絡(luò)安全的概念和內(nèi)容、網(wǎng)絡(luò)安全現(xiàn)狀及威脅、網(wǎng)絡(luò)安全模型與評估準(zhǔn)則、網(wǎng)絡(luò)安全策略與關(guān)鍵技術(shù)、黑客攻擊與網(wǎng)絡(luò)安全等內(nèi)容，并通過實(shí)戰(zhàn)演練具體講解如何搭建網(wǎng)絡(luò)安全實(shí)驗(yàn)環(huán)境。學(xué)習(xí)目標(biāo)掌握網(wǎng)絡(luò)安全的定義、目標(biāo)和內(nèi)容。了解我國網(wǎng)絡(luò)安全現(xiàn)狀及網(wǎng)絡(luò)安全面臨的威脅。熟悉常用的網(wǎng)絡(luò)安全模型。了解國內(nèi)外主要的網(wǎng)絡(luò)安全評估準(zhǔn)則。熟悉主要的網(wǎng)絡(luò)安全策略和關(guān)鍵性的網(wǎng)絡(luò)安全技術(shù)。了解黑客、黑客攻擊技術(shù)和網(wǎng)絡(luò)安全技術(shù)的區(qū)別與聯(lián)系。

目錄1.1網(wǎng)絡(luò)安全的概念和內(nèi)容1.2網(wǎng)絡(luò)安全現(xiàn)狀及威脅1.3網(wǎng)絡(luò)安全模型與評估準(zhǔn)則1.4網(wǎng)絡(luò)安全策略與關(guān)鍵技術(shù)1.5黑客攻擊與網(wǎng)絡(luò)安全1.6實(shí)戰(zhàn)演練——搭建網(wǎng)絡(luò)安全實(shí)驗(yàn)環(huán)境2018年2月，在韓國舉辦的平昌冬季奧林匹克運(yùn)動會遭到不明身份的黑客攻擊分析人員將該攻擊稱為“OlympicDestroyer”攻擊者使用了多個其他攻擊團(tuán)體的特征攻擊的源頭與攻擊者身份難以下定論攻擊的主要目的是破壞冬奧會的順利舉行樣本分析中發(fā)現(xiàn)了破壞功能，但沒有信息被竊取的跡象，表明攻擊者只是要干擾冬奧會的順利進(jìn)行。背景2018年2月11日，在韓國平昌舉辦的冬奧會開幕式上，主辦方計(jì)算機(jī)系統(tǒng)遇到問題，于12小時內(nèi)修復(fù)。奧運(yùn)會官員確認(rèn)是一起網(wǎng)絡(luò)攻擊，但并沒有細(xì)說。思科Talos團(tuán)隊(duì)后來發(fā)現(xiàn)了這次攻擊中使用的樣本并對其進(jìn)行了分析，但依然無法確定主辦方系統(tǒng)是如何受到感染的。樣本通過刪除卷影副本和活動日志等手段破壞系統(tǒng)。在2月28日，Talos團(tuán)隊(duì)表示攻擊者身份無法準(zhǔn)確確定，同時也希望不要盲目下結(jié)論。OlympicDestroyer是一組打包在一個可執(zhí)行文件內(nèi)的惡意樣本集。樣本被運(yùn)行后先竊取各種登錄憑證，再進(jìn)行內(nèi)網(wǎng)傳播。樣本嘗試禁用系統(tǒng)服務(wù)，刪除文件、副本及系統(tǒng)日志信息，最后關(guān)閉系統(tǒng)。這將導(dǎo)致被感染系統(tǒng)離線、發(fā)生系統(tǒng)錯誤或不能正常運(yùn)轉(zhuǎn)，將影響各種依賴于在線系統(tǒng)完成的業(yè)務(wù)。攻擊流程攻擊溯源LazarusGroup（Group77）此次樣本中使用了該組織當(dāng)初攻擊孟加拉共和國的SWIFT銀行系統(tǒng)時命名文件的方式。APT3&APT10Nyetya（NotPetya）安全公司IntezerLabs表示，此次樣本與之前APT3和APT10的攻擊使用了相似的代碼。此次盜取用戶憑證的代碼在Nyetya（NotPetya）中也出現(xiàn)過。同時，該樣本也和Notpetya一樣，通過濫用合法的PsExec和WMI工具進(jìn)行傳播，并且利用一條特定的管道（pipe）來發(fā)送盜取的憑證。結(jié)論單純地根據(jù)樣本進(jìn)行逆向分析，很難溯源和確認(rèn)攻擊者身份。攻擊者很明顯具備一定的實(shí)力，利用一些精細(xì)的信息來誤導(dǎo)研究人員，使得自身身份難以被確認(rèn)。鑒于開源工具的方便性和可靠性，不同攻擊均使用類似的代碼很有可能是用來誤導(dǎo)分析人員的。在這個信息傳播極其迅速的時代，錯誤的判斷和結(jié)論很可能會給攻擊者提供絕佳的隱藏機(jī)會，因此對于溯源問題應(yīng)該格外謹(jǐn)慎。網(wǎng)絡(luò)安全就是網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不因偶然的和惡意的原因而遭受破壞、更改和泄露，系統(tǒng)能夠連續(xù)、可靠、正常地運(yùn)行，網(wǎng)絡(luò)服務(wù)保持不中斷。1．網(wǎng)絡(luò)安全的定義國際標(biāo)準(zhǔn)化組織（ISO）定義的網(wǎng)絡(luò)安全：為保護(hù)數(shù)據(jù)處理系統(tǒng)而采取的技術(shù)和管理的安全措施，保護(hù)計(jì)算機(jī)硬件、軟件和數(shù)據(jù)不會因偶然和故意的原因而遭到破壞、更改和泄露。網(wǎng)絡(luò)的系統(tǒng)安全網(wǎng)絡(luò)安全網(wǎng)絡(luò)的信息安全國際電信聯(lián)盟（ITU）定義的網(wǎng)絡(luò)安全：是集合工具、政策、安全概念、安全保障、指南、風(fēng)險(xiǎn)管理方法、行動、培訓(xùn)、實(shí)踐案例、技術(shù)等內(nèi)容的一整套安全管理體系，用于保護(hù)網(wǎng)絡(luò)環(huán)境、組織和用戶的資產(chǎn)。組織和用戶的資產(chǎn)包括連接的計(jì)算機(jī)設(shè)備、人員、基礎(chǔ)設(shè)施、應(yīng)用程序、網(wǎng)絡(luò)服務(wù)、電信系統(tǒng)，以及網(wǎng)絡(luò)環(huán)境中傳輸和存儲的信息?！吨腥A人民共和國網(wǎng)絡(luò)安全法》明確定義的網(wǎng)絡(luò)安全：是指通過采取必要措施，防范對網(wǎng)絡(luò)的攻擊、侵入、干擾、破壞和非法使用及意外事故，使網(wǎng)絡(luò)處于穩(wěn)定可靠運(yùn)行的狀態(tài)，以及保障網(wǎng)絡(luò)數(shù)據(jù)的完整性、保密性、可用性的能力。網(wǎng)絡(luò)安全并不局限于計(jì)算機(jī)網(wǎng)絡(luò)安全，它還包括移動網(wǎng)絡(luò)安全等。網(wǎng)絡(luò)安全是一個相對性的概念，世界上并不存在絕對的安全。過分提高網(wǎng)絡(luò)的安全性，不但會降低網(wǎng)絡(luò)傳輸速度等方面的性能，還會浪費(fèi)資源、增加成本。網(wǎng)絡(luò)安全網(wǎng)絡(luò)上的信息系統(tǒng)安全信息系統(tǒng)的安全運(yùn)行系統(tǒng)信息的安全保護(hù)是信息系統(tǒng)提供有效服務(wù)的前提主要是確保數(shù)據(jù)信息的保密性和完整性網(wǎng)絡(luò)安全在不同的環(huán)境和具體的應(yīng)用中可有不同的解釋對用戶來講，網(wǎng)絡(luò)安全就是涉及個人隱私或商業(yè)利益的信息在網(wǎng)絡(luò)上傳輸時受到保密性、完整性和可審查性的保護(hù)，避免被非法獲取、篡改和破壞；對網(wǎng)絡(luò)管理人員來講，網(wǎng)絡(luò)安全就是對本地網(wǎng)絡(luò)信息的訪問操作能夠得到有效保護(hù)和控制，避免遭受病毒和網(wǎng)絡(luò)黑客的攻擊。2．網(wǎng)絡(luò)安全的目標(biāo)指網(wǎng)絡(luò)信息不被泄露給非授權(quán)用戶和實(shí)體，或供其利用的特性。可通過信息加密、身份認(rèn)證、訪問控制和安全通信協(xié)議等技術(shù)實(shí)現(xiàn)。指網(wǎng)絡(luò)信息未經(jīng)授權(quán)不能進(jìn)行改變的特性，即保持信息在傳輸、交換、存儲和處理過程中不被修改、不被破壞和不會丟失。是指網(wǎng)絡(luò)信息可被授權(quán)實(shí)體訪問并按需求使用的特性，即系統(tǒng)面向用戶服務(wù)的安全特性。是指對網(wǎng)絡(luò)信息的內(nèi)容及其傳播具有控制能力的特性，代表了網(wǎng)絡(luò)系統(tǒng)和信息在傳輸范圍和存放空間內(nèi)的可控程度。指通信雙方在通信過程中，對自己所發(fā)送或接收的信息不可抵賴或否認(rèn)，也就是對出現(xiàn)的安全問題提供調(diào)查的依據(jù)和手段。保密性完整性可用性可控性可審查性3．網(wǎng)絡(luò)安全的內(nèi)容網(wǎng)絡(luò)安全涉及的內(nèi)容包括技術(shù)和管理等多個方面，需要相互補(bǔ)充、綜合協(xié)同防范。

技術(shù)方面主要側(cè)重于防范外部非法攻擊，管理方面則側(cè)重于內(nèi)部人為因素的管理。01實(shí)體安全04應(yīng)用安全05管理安全02系統(tǒng)安全03運(yùn)行安全網(wǎng)絡(luò)安全1實(shí)體安全又稱物理安全，它包括環(huán)境安全、設(shè)備安全和介質(zhì)安全等，是指保護(hù)網(wǎng)絡(luò)設(shè)備、設(shè)施及其他介質(zhì)免遭火災(zāi)、水災(zāi)、地震、有害氣體和其他環(huán)境事故破壞的措施及過程。2系統(tǒng)安全包括網(wǎng)絡(luò)系統(tǒng)安全、操作系統(tǒng)安全和數(shù)據(jù)庫系統(tǒng)安全等，是指根據(jù)系統(tǒng)的特點(diǎn)、條件和管理要求，有針對性地為系統(tǒng)提供安全策略機(jī)制及保障措施、安全管理規(guī)范和要求、應(yīng)急修復(fù)方法等。3運(yùn)行安全包括相關(guān)系統(tǒng)的運(yùn)行安全和訪問控制安全。具體包括應(yīng)急處置機(jī)制和配套服務(wù)、網(wǎng)絡(luò)系統(tǒng)安全性監(jiān)測、內(nèi)外網(wǎng)的隔離機(jī)制、網(wǎng)絡(luò)安全產(chǎn)品運(yùn)行監(jiān)測、系統(tǒng)升級和補(bǔ)丁處理、最新安全漏洞的跟蹤、系統(tǒng)的定期檢查和評估、安全審計(jì)、網(wǎng)絡(luò)安全咨詢、災(zāi)難恢復(fù)機(jī)制與預(yù)防、系統(tǒng)改造等。4應(yīng)用安全由應(yīng)用軟件平臺安全和應(yīng)用數(shù)據(jù)安全兩部分組成。具體包括業(yè)務(wù)數(shù)據(jù)的安全檢測與審計(jì)，系統(tǒng)的可靠性和可用性測試，數(shù)據(jù)資源訪問控制驗(yàn)證測試和數(shù)據(jù)保密性測試，數(shù)據(jù)的唯一性、一致性和防沖突檢測，實(shí)體的身份鑒別與檢測，業(yè)務(wù)應(yīng)用軟件的程序安全性測試與分析，業(yè)務(wù)數(shù)據(jù)的備份與恢復(fù)機(jī)制的檢查等。5管理安全又稱安全管理，涉及法律法規(guī)、政策策略、規(guī)范標(biāo)準(zhǔn)、人員、設(shè)備、軟件、操作、文檔、數(shù)據(jù)、機(jī)房、運(yùn)營、應(yīng)用系統(tǒng)、安全培訓(xùn)等各個方面。它主要是指與人員、網(wǎng)絡(luò)系統(tǒng)和應(yīng)用與服務(wù)等安全管理相關(guān)的各種法律、法規(guī)、政策、策略、機(jī)制、規(guī)范、標(biāo)準(zhǔn)、技術(shù)手段和措施等。我國的網(wǎng)絡(luò)安全生態(tài)系統(tǒng)尚處于發(fā)展初期，相關(guān)技術(shù)、法律、政策、組織機(jī)構(gòu)、技能、合作等內(nèi)容正在逐步建立和完善，且處于快速發(fā)展的階段。隨著新一代信息技術(shù)的快速發(fā)展、網(wǎng)絡(luò)和數(shù)據(jù)服務(wù)及應(yīng)用的爆發(fā)式增長，網(wǎng)絡(luò)安全也正在面臨越來越多的風(fēng)險(xiǎn)和問題，如勒索病毒攻擊、電信詐騙、數(shù)據(jù)泄露、網(wǎng)絡(luò)暴力等。1．我國網(wǎng)絡(luò)安全現(xiàn)狀0304050102法律法規(guī)滯后，安全管理水平和意識薄弱。網(wǎng)絡(luò)安全技術(shù)和手段略顯滯后。個人隱私信息泄露極易發(fā)生。網(wǎng)絡(luò)系統(tǒng)時刻面臨各種安全威脅。政府與企業(yè)的側(cè)重點(diǎn)及要求不一致。我國網(wǎng)絡(luò)安全現(xiàn)狀表現(xiàn)2．網(wǎng)絡(luò)安全面臨的威脅01物理威脅04體系結(jié)構(gòu)缺陷06惡意代碼02操作系統(tǒng)缺陷05黑客程序03網(wǎng)絡(luò)協(xié)議缺陷網(wǎng)絡(luò)安全主要威脅網(wǎng)絡(luò)安全威脅是指對網(wǎng)絡(luò)系統(tǒng)的網(wǎng)絡(luò)服務(wù)、網(wǎng)絡(luò)信息的保密性和可用性產(chǎn)生不利影響的各種因素。網(wǎng)絡(luò)安全威脅來自兩個方面：一是網(wǎng)絡(luò)本身的不可靠性和脆弱性；二是人為破壞，這也是網(wǎng)絡(luò)安全的最大威脅。1物理威脅在網(wǎng)絡(luò)中是最難控制的，它可能來源于外界的有意或無意的破壞。物理威脅有時可以造成致命的系統(tǒng)破壞。2操作系統(tǒng)缺陷很多操作系統(tǒng)在安裝時都存在端口開放、無認(rèn)證服務(wù)和初始化配置等問題，而這些又是操作系統(tǒng)自帶的系統(tǒng)應(yīng)用程序，如果這些應(yīng)用程序有安全缺陷，那么系統(tǒng)就會處于不安全狀態(tài)，這將極大地影響系統(tǒng)的信息安全。3網(wǎng)絡(luò)協(xié)議缺陷由于TCP/IP協(xié)議在最初設(shè)計(jì)時并沒有把安全作為考慮重點(diǎn)，而幾乎所有的應(yīng)用協(xié)議都是基于TCP/IP的，因此各種網(wǎng)絡(luò)低層協(xié)議本身的缺陷將極大地影響上層應(yīng)用的安全。4體系結(jié)構(gòu)缺陷現(xiàn)實(shí)應(yīng)用中，大多數(shù)體系結(jié)構(gòu)的設(shè)計(jì)和實(shí)現(xiàn)都存在著安全問題，即使是非常完善的安全體系結(jié)構(gòu)，也有可能會因?yàn)橐粋€小小的編程缺陷而被攻擊。5黑客程序黑客程序是一類專門用于通過網(wǎng)絡(luò)對遠(yuǎn)程計(jì)算機(jī)設(shè)備進(jìn)行攻擊，進(jìn)而控制、竊取、破壞信息的軟件程序。6惡意代碼惡意代碼泛指所有惡意的程序代碼，是一種可造成目標(biāo)系統(tǒng)信息泄露和資源濫用、破壞系統(tǒng)的完整性及可用性、違背目標(biāo)系統(tǒng)安全策略的程序代碼。特點(diǎn)是非授權(quán)性和破壞性。操作系統(tǒng)漏洞網(wǎng)絡(luò)協(xié)議漏洞數(shù)據(jù)庫漏洞網(wǎng)絡(luò)服務(wù)漏洞由于網(wǎng)絡(luò)系統(tǒng)會受到多種形式的威脅，因此絕對安全與可靠的網(wǎng)絡(luò)系統(tǒng)是不存在的（安全漏洞無法避免），只能通過一定的措施把風(fēng)險(xiǎn)降低到一個可以接受的程度。

漏洞是在硬件、軟件、協(xié)議的具體實(shí)現(xiàn)和系統(tǒng)安全策略，以及人為因素等方面存在的缺陷，使得攻擊者能夠在未經(jīng)合法授權(quán)的情況下訪問或破壞系統(tǒng)。網(wǎng)絡(luò)安全是一個復(fù)雜且綜合的系統(tǒng)工程，必須保證網(wǎng)絡(luò)系統(tǒng)和信息資源的整體安全性。人們建立了各種網(wǎng)絡(luò)安全模型，并對其整體安全性進(jìn)行研究。網(wǎng)絡(luò)安全評估是指依據(jù)有關(guān)準(zhǔn)則，對網(wǎng)絡(luò)系統(tǒng)及由其處理、傳輸和存儲的信息的保密性、完整性和可用性等安全屬性進(jìn)行評價(jià)的過程，它是實(shí)現(xiàn)網(wǎng)絡(luò)安全保障的有效措施。P2DRPDRRMPDRRAPPDRR常用的網(wǎng)絡(luò)安全模型借助網(wǎng)絡(luò)安全模型可以構(gòu)建網(wǎng)絡(luò)安全體系和結(jié)構(gòu)，并進(jìn)行具體的網(wǎng)絡(luò)安全解決方案的制定、規(guī)劃、設(shè)計(jì)和實(shí)施等，也可以用于實(shí)際應(yīng)用中網(wǎng)絡(luò)安全實(shí)施過程的描述和研究。1．P2DR安全模型防護(hù)（Protection）檢測（Detection）響應(yīng)（Reaction）策略（Policy）P2DR是美國國際互聯(lián)網(wǎng)安全系統(tǒng)公司（ISS）提出的動態(tài)網(wǎng)絡(luò)安全體系的代表模型，也是動態(tài)安全模型的雛形。P2DR安全模型的基本思想是：

在整體安全策略的控制和指導(dǎo)下，在綜合運(yùn)用防護(hù)工具（如防火墻、身份認(rèn)證、加密等）的同時，利用檢測工具（如漏洞評估、入侵檢測等）了解和評估系統(tǒng)的安全狀態(tài)，通過適當(dāng)?shù)姆磻?yīng)將系統(tǒng)調(diào)整到“最安全”和“風(fēng)險(xiǎn)最低”的狀態(tài)。2．PDRR安全模型防護(hù)（Protection）檢測（Detection）響應(yīng)（Reaction）恢復(fù)（Recovery）安全策略美國國防部提出的PDRR安全模型，是常用的描述網(wǎng)絡(luò)安全整個過程和環(huán)節(jié)的網(wǎng)絡(luò)安全模型，它包含了網(wǎng)絡(luò)安全的4個環(huán)節(jié)。PDRR安全模型是一種公認(rèn)的比較完善且有效的網(wǎng)絡(luò)信息安全解決方案，可以用于政府、機(jī)關(guān)、企業(yè)等機(jī)構(gòu)的網(wǎng)絡(luò)系統(tǒng)。防護(hù)（Protection）檢測（Detection）響應(yīng)（Reaction）恢復(fù)（Recovery）攻擊失敗成功失敗成功成功失敗PDRR安全模型的工作過程：PDRR安全模型與P2DR安全模型的異同：

防護(hù)和檢測兩個環(huán)節(jié)的基本思想是相同的；P2DR安全模型中的響應(yīng)環(huán)節(jié)包含了緊急響應(yīng)和恢復(fù)處理兩部分，而在PDRR安全模型中響應(yīng)和恢復(fù)是分開的，內(nèi)容也有所擴(kuò)展。3．MPDRR安全模型防護(hù)（Protection）響應(yīng)（Reaction）恢復(fù)（Recovery）檢測（Detection）管理（Management）MPDRR安全模型

MPDRR安全模型是一種比較常見的具有縱深防御體系的網(wǎng)絡(luò)安全模型，它包含了5個環(huán)節(jié)。MPDRR安全模型是在PDRR安全模型基礎(chǔ)上發(fā)展而成，它吸取了PDRR安全模型的優(yōu)點(diǎn)，并加入了PDRR安全模型所沒有的“管理”這一環(huán)節(jié)，從而將技術(shù)和管理融為一體，整個安全體系的建立必須經(jīng)過安全管理進(jìn)行統(tǒng)一協(xié)調(diào)和實(shí)施。4．APPDRR安全模型風(fēng)險(xiǎn)評估動態(tài)檢測網(wǎng)絡(luò)安全安全策略系統(tǒng)防護(hù)實(shí)時響應(yīng)災(zāi)難恢復(fù)

APPDRR安全模型認(rèn)為，網(wǎng)絡(luò)安全由6個部分完成。第1個重要環(huán)節(jié)：風(fēng)險(xiǎn)評估。通過它掌握網(wǎng)絡(luò)安全面臨的風(fēng)險(xiǎn)信息，進(jìn)而采取必要的處置措施，使網(wǎng)絡(luò)安全水平呈現(xiàn)動態(tài)螺旋上升的趨勢。第2個重要環(huán)節(jié)：安全策略。起著承上啟下的作用。第3個重要環(huán)節(jié)：系統(tǒng)防護(hù)。體現(xiàn)了網(wǎng)絡(luò)安全的靜態(tài)防護(hù)措施。接下來是動態(tài)檢測、實(shí)時響應(yīng)和災(zāi)難恢復(fù)，體現(xiàn)了安全動態(tài)防護(hù)與安全入侵、安全威脅的對抗性特征。網(wǎng)絡(luò)安全評估準(zhǔn)則是保障網(wǎng)絡(luò)安全技術(shù)及產(chǎn)品，在設(shè)計(jì)、建設(shè)、研發(fā)、實(shí)施、使用、測評和管理維護(hù)過程中，實(shí)現(xiàn)其一致性、可靠性、可控性、先進(jìn)性和符合性的技術(shù)規(guī)范與依據(jù)。1．國際網(wǎng)絡(luò)安全評估準(zhǔn)則主要的國際網(wǎng)絡(luò)安全評估準(zhǔn)則歐洲ITSEC

美國TCSEC（橙皮書）通用準(zhǔn)則（CC）1美國TCSEC（橙皮書）

1985年，美國國防部正式發(fā)布了《可信計(jì)算機(jī)系統(tǒng)評估準(zhǔn)則（TCSEC）》，這是國際公認(rèn)的第一個計(jì)算機(jī)系統(tǒng)安全評估準(zhǔn)則。TCSEC定義了系統(tǒng)的安全策略、系統(tǒng)的可審計(jì)機(jī)制、系統(tǒng)安全的可操作性、系統(tǒng)安全的生命期保證，以及建立和維護(hù)的系統(tǒng)安全等5要素的相關(guān)文件。TCSEC根據(jù)計(jì)算機(jī)系統(tǒng)所采用的安全策略、系統(tǒng)所具備的安全功能，將系統(tǒng)分為4類共7個安全級別，如表所示。表1-1TCSEC安全級別劃分安全類別安全級別名稱具體說明DD最低安全保護(hù)級未加任何實(shí)際的安全措施，系統(tǒng)軟硬件都容易被攻擊。它是安全級別最低的一類CC1無條件的安全保護(hù)C類中安全性較低的一級，也叫選擇性安全保護(hù)級。它提供的安全策略是無條件的訪問控制，對硬件采取簡單的安全措施（如加鎖），用戶要有登錄認(rèn)證和訪問權(quán)限限制，但不能控制已登錄用戶的訪問級別C2有控制的訪問保護(hù)級C類中安全性較高的一級，除了提供C1級中的安全策略與控制外，還增加了系統(tǒng)審計(jì)、訪問保護(hù)和跟蹤記錄等特性安全類別安全級別名稱具體說明BB1標(biāo)記安全保護(hù)級B類中安全性最低的一級，除滿足C類要求，還要求提供數(shù)據(jù)標(biāo)記B2結(jié)構(gòu)安全保護(hù)級B類中安全性居中的一級，除了滿足B1要求外，還要求計(jì)算機(jī)系統(tǒng)中所有對象都加標(biāo)記，并給各設(shè)備分配安全級別B3安全域保護(hù)級B類中安全性最高的一級，它使用安裝硬件的辦法來加強(qiáng)安全域AA驗(yàn)證安全保護(hù)級安全級別最高的一級，它包含了較低級別的所有特性表1-1TCSEC安全級別劃分（續(xù)）2歐洲ITSEC

1991年，歐洲的英國、法國、德國和荷蘭4國在借鑒TCSEC的基礎(chǔ)上，聯(lián)合提出了《信息技術(shù)安全評估準(zhǔn)則（ITSEC）》。

TCSEC將保密作為安全重點(diǎn)，而ITSEC則將首次提出的完整性和可用性作為與保密性同等重要的因素，并將可信計(jì)算機(jī)的概念提高到可信信息技術(shù)的高度。

它定義了從E0級（不滿足品質(zhì)）到E6級（形式化驗(yàn)證）的7個安全等級和10種安全功能。3通用準(zhǔn)則（CC）

《信息技術(shù)安全評估通用準(zhǔn)則（CC）》由美國、歐洲等國家與國際標(biāo)準(zhǔn)化組織聯(lián)合提出，它結(jié)合了ITSEC，CTCPEC及FC的主要特征，強(qiáng)調(diào)將網(wǎng)絡(luò)信息安全的功能與保障分離，將功能需求分為9類63族（項(xiàng)），將保障分為7類29族。CC的先進(jìn)性體現(xiàn)在其結(jié)構(gòu)的開放性、表達(dá)方式的通用性、結(jié)構(gòu)及表達(dá)方式的內(nèi)在完備性和實(shí)用性4個方面。CC于1996年發(fā)布1.0版，此后經(jīng)歷了諸多的更新和改進(jìn)。2．國內(nèi)網(wǎng)絡(luò)安全評估準(zhǔn)則為提高我國的信息系統(tǒng)安全保護(hù)水平，國家公安部組織制定了強(qiáng)制性國家標(biāo)準(zhǔn)《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則》（GB17859—1999），該準(zhǔn)則于1999年9月13日經(jīng)國家質(zhì)量技術(shù)監(jiān)督局發(fā)布，并于2001年1月1日起實(shí)施。此準(zhǔn)則將信息系統(tǒng)安全劃分為5個等級，如表所示。等級名稱具體說明第一級用戶自主保護(hù)級該級使用戶具備自主安全保護(hù)能力，保護(hù)用戶和用戶組信息，避免被其他用戶非法讀寫和破壞第二級系統(tǒng)審計(jì)保護(hù)級它具備第一級的保護(hù)功能，并創(chuàng)建和維護(hù)訪問審計(jì)跟蹤記錄，以記錄與系統(tǒng)安全相關(guān)事件發(fā)生的日期、時間、用戶及事件類型等信息，使所有用戶對自己的行為負(fù)責(zé)表1-2我國的信息系統(tǒng)安全保護(hù)等級劃分等級名稱具體說明第三級安全標(biāo)記保護(hù)級它具備第二級的保護(hù)功能，并為訪問者和訪問對象指定安全標(biāo)記，以訪問對象標(biāo)記的安全級別限制訪問者的訪問權(quán)限，實(shí)現(xiàn)對訪問對象的強(qiáng)制保護(hù)第四級結(jié)構(gòu)化保護(hù)級它具備第三級的保護(hù)功能，并將安全保護(hù)機(jī)制劃分為關(guān)鍵部分和非關(guān)鍵部分兩層結(jié)構(gòu)，其中的關(guān)鍵部分直接控制訪問者對訪問對象的訪問。該級具有一定的抗?jié)B透能力第五級訪問驗(yàn)證保護(hù)級它具備第四級的保護(hù)功能，并增加了訪問驗(yàn)證功能，負(fù)責(zé)仲裁訪問者對訪問對象的所有訪問活動。該級具有很強(qiáng)的抗?jié)B透能力表1-2我國的信息系統(tǒng)安全保護(hù)等級劃分（續(xù)）網(wǎng)絡(luò)安全涉及廣泛、體系龐大，針對來自不同方面的安全威脅，需要采取不同的安全對策。只有在法律、制度和管理上采取綜合策略，再利用先進(jìn)的網(wǎng)絡(luò)安全技術(shù)，才能使網(wǎng)絡(luò)系統(tǒng)具備較好的安全效果。網(wǎng)絡(luò)安全策略是指在特定的環(huán)境中，為保證達(dá)到一定級別的安全保護(hù)所必須遵守的規(guī)則。要實(shí)現(xiàn)網(wǎng)絡(luò)安全，一般從以下幾個方面制定網(wǎng)絡(luò)安全策略。01040203物理安全策略訪問控制策略信息加密策略安全管理策略保護(hù)硬件實(shí)體和通信鏈路；驗(yàn)證用戶身份和使用權(quán)限；確保網(wǎng)絡(luò)設(shè)備兼容環(huán)境；建立完備的機(jī)房安全管理制度。保證網(wǎng)絡(luò)資源不被非法使用和訪問。最重要的核心策略之一，是維護(hù)網(wǎng)絡(luò)系統(tǒng)安全、保護(hù)網(wǎng)絡(luò)資源的重要手段。保護(hù)網(wǎng)絡(luò)系統(tǒng)中存儲的數(shù)據(jù)和在通信線路上傳輸?shù)臄?shù)據(jù)的安全。加強(qiáng)網(wǎng)絡(luò)的安全管理，制定有關(guān)規(guī)章制度，對于確保網(wǎng)絡(luò)的安全、可靠運(yùn)行，將起到十分有效的作用。網(wǎng)絡(luò)安全技術(shù)是指為解決網(wǎng)絡(luò)安全問題進(jìn)行有效監(jiān)控和管理，保障數(shù)據(jù)及系統(tǒng)安全的技術(shù)手段。主要包括實(shí)體安全技術(shù)、網(wǎng)絡(luò)系統(tǒng)安全技術(shù)、數(shù)據(jù)安全、密碼及加密技術(shù)、鑒別技術(shù)、訪問控制、惡意代碼防范、檢測防御、管理與運(yùn)行安全技術(shù)等，以及確保安全服務(wù)和安全機(jī)制的策略。網(wǎng)絡(luò)安全技術(shù)概括為3大類預(yù)防保護(hù)類包括鑒別技術(shù)、加密技術(shù)、訪問控制技術(shù)、惡意代碼防范技術(shù)、防火墻技術(shù)、入侵檢測技術(shù)和加固技術(shù)等。對網(wǎng)絡(luò)客體的訪問行為進(jìn)行監(jiān)控、檢測和審計(jì)跟蹤，防止在訪問過程中可能產(chǎn)生的安全事故。網(wǎng)絡(luò)或數(shù)據(jù)一旦發(fā)生重大安全故障，需采取應(yīng)急預(yù)案和有效措施，確保在最短時間內(nèi)對事件進(jìn)行應(yīng)急響應(yīng)和備份恢復(fù)，盡快將損失和影響降至最低。檢測跟蹤類響應(yīng)恢復(fù)類對信息進(jìn)行重新編碼來隱藏信息內(nèi)容，使非法用戶無法獲取信息的真實(shí)內(nèi)容關(guān)鍵性的網(wǎng)絡(luò)安全技術(shù)加密技術(shù)鑒別技術(shù)惡意代碼防范技術(shù)訪問控制技術(shù)入侵檢測技術(shù)防火墻技術(shù)監(jiān)控技術(shù)加固技術(shù)備份恢復(fù)技術(shù)審計(jì)跟蹤技術(shù)建立、健全惡意代碼的預(yù)防、檢測、隔離和清除機(jī)制動態(tài)的攻擊檢測技術(shù)，能在網(wǎng)絡(luò)系統(tǒng)的運(yùn)行過程中發(fā)現(xiàn)入侵者的攻擊行為和蹤跡監(jiān)控用戶主體的訪問行為網(wǎng)絡(luò)系統(tǒng)出現(xiàn)意外情況時，為及時恢復(fù)系統(tǒng)和數(shù)據(jù)而進(jìn)行的預(yù)先備份等技術(shù)方法。對通信雙方的身份及傳輸數(shù)據(jù)的完整性進(jìn)行驗(yàn)證保障授權(quán)用戶在其權(quán)限內(nèi)對授權(quán)資源進(jìn)行正當(dāng)使用兩個網(wǎng)絡(luò)之間執(zhí)行訪問控制策略的一個或一組系統(tǒng)對系統(tǒng)漏洞及隱患采取必要的安全防范措施對網(wǎng)絡(luò)系統(tǒng)異常訪問、探測及操作等事件進(jìn)行及時核查、記錄和追蹤網(wǎng)絡(luò)安全技術(shù)與黑客攻擊技術(shù)密不可分，它是在網(wǎng)絡(luò)安全專家和黑客的攻防對抗中逐步發(fā)展起來的。

黑客主攻，安全專家主防。如果沒有黑客的網(wǎng)絡(luò)攻擊活動，網(wǎng)絡(luò)安全技術(shù)就不可能如此快速地發(fā)展。1．黑客的概念及產(chǎn)生黑客起源于20世紀(jì)50年代麻省理工學(xué)院實(shí)驗(yàn)室研究人員，是熱衷于解決技術(shù)難題的程序員為了最大限度地利用計(jì)算機(jī)，最初的程序員編寫了一些簡潔高效的捷徑程序Hacker是指從事Hack行為的人。“黑客”一詞是英文Hacker的音譯。當(dāng)時計(jì)算機(jī)系統(tǒng)只存在于各大高校與科研機(jī)構(gòu)中，效率不高這些程序比原有的程序更完善，這種行為被稱為Hack在20世紀(jì)60～70年代，“黑客”一詞極富褒義。早期的原始黑客代表的是能力超群的計(jì)算機(jī)迷，他們奉公守法，從不惡意入侵他人的計(jì)算機(jī)，因而受到社會的認(rèn)可和尊重。早期黑客奉行自由共享、創(chuàng)新與合作的黑客精神，他們有一個精神領(lǐng)袖——凱文·米特尼克（見圖）。現(xiàn)在的“黑客”已經(jīng)失去了原來的含義。雖然也存在不少原始意義上的黑客，但是如今當(dāng)人們聽到“黑客”一詞時，大多數(shù)人聯(lián)想到的是那些以惡意方式侵入計(jì)算機(jī)系統(tǒng)的人。根據(jù)黑客的行為特征，可以將其分為3類黑帽子黑客（BlackHatHacker）指只從事破壞活動的黑客，他們?nèi)肭炙说挠?jì)算機(jī)系統(tǒng)，竊取系統(tǒng)內(nèi)的資料，非法控制他人的計(jì)算機(jī)，傳播計(jì)算機(jī)病毒等，給社會帶來了巨大損失。白帽子黑客（WhiteHatHacker）指原始黑客，一般不入侵他人的計(jì)算機(jī)系統(tǒng)，即使入侵系統(tǒng)也只是為了安全研究，在安全公司和高校存在不少這樣的黑客?；颐弊雍诳停℅rayHatHacker）指那些時好時壞的黑客。駭客是“Cracker”的英譯，是Hacker的一個分支，主要傾向于軟件破解、加密解密技術(shù)方面。2．黑客攻擊與網(wǎng)絡(luò)安全辨析黑客攻擊技術(shù)主要是指使用網(wǎng)絡(luò)的非正常用戶，利用網(wǎng)絡(luò)系統(tǒng)的安全缺陷進(jìn)行數(shù)據(jù)竊取、偽造或破壞時所使用的相關(guān)技術(shù)，涉及計(jì)算機(jī)通信、密碼學(xué)、社會心理學(xué)等眾多領(lǐng)域的技術(shù)和理論。網(wǎng)絡(luò)安全技術(shù)主要是指用來保證在互聯(lián)網(wǎng)上進(jìn)行信息安全傳輸?shù)募夹g(shù)，主要包括依靠密碼學(xué)理論來實(shí)現(xiàn)網(wǎng)絡(luò)多類型、各層次服務(wù)中的身份認(rèn)證及數(shù)字簽名等技術(shù)，以保證信息在網(wǎng)絡(luò)中傳輸?shù)谋Ｃ苄?、完整性、可用性、可控性和可審查性。網(wǎng)絡(luò)安全技術(shù)和黑客攻擊技術(shù)所使用的物質(zhì)基礎(chǔ)是相同的，計(jì)算機(jī)網(wǎng)絡(luò)及共用基礎(chǔ)架構(gòu)和通信協(xié)議等，是兩者技術(shù)施展的共同物質(zhì)基礎(chǔ)。網(wǎng)絡(luò)安全技術(shù)薄弱時，黑客攻擊技術(shù)容易得逞。網(wǎng)絡(luò)安全技術(shù)負(fù)責(zé)為網(wǎng)絡(luò)信息安全保駕護(hù)航，黑客攻擊技術(shù)則是挑戰(zhàn)網(wǎng)絡(luò)安全技術(shù)的強(qiáng)度，兩者使用的技術(shù)原理大同小異，目的卻截然相反。因此，它們是相互斗爭又相互依存的關(guān)系。網(wǎng)絡(luò)安全類課程開展實(shí)踐教學(xué)，存在實(shí)驗(yàn)設(shè)備種類繁多、價(jià)格昂貴及更新?lián)Q代快等問題，以至于虛擬機(jī)技術(shù)在網(wǎng)絡(luò)安全方面的教學(xué)中應(yīng)用越來越廣泛。VMwareWorkstation功能強(qiáng)大，為網(wǎng)絡(luò)安全實(shí)踐教學(xué)提供了一個良好的實(shí)驗(yàn)平臺。

本節(jié)將具體講解利用VMwareWorkstation搭建網(wǎng)絡(luò)安全實(shí)驗(yàn)環(huán)境（虛擬實(shí)驗(yàn)平臺）的方法。謝謝觀賞THANKS網(wǎng)絡(luò)安全技術(shù)第二章計(jì)算機(jī)惡意代碼計(jì)算機(jī)病毒、網(wǎng)絡(luò)蠕蟲和木馬等是威脅計(jì)算機(jī)和網(wǎng)絡(luò)安全的最大因素之一，它們都屬于惡意代碼。惡意代碼是指任何可以在計(jì)算機(jī)之間和網(wǎng)絡(luò)之間傳播的程序或可執(zhí)行代碼，其目的是在未授權(quán)的情況下有目的地更改或控制計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)。本章導(dǎo)讀本章首先介紹惡意代碼的概念和種類，然后對計(jì)算機(jī)病毒、網(wǎng)絡(luò)蠕蟲、特洛伊木馬、后門（陷阱）、僵尸程序等典型惡意代碼進(jìn)行講解，并通過實(shí)戰(zhàn)演練具體講解如何使用安全軟件查殺計(jì)算機(jī)病毒和流行木馬。學(xué)習(xí)目標(biāo)掌握惡意代碼的概念和種類。掌握計(jì)算機(jī)病毒的概念、特征及防范措施。掌握網(wǎng)絡(luò)蠕蟲的概念、特征及防范措施。掌握特洛伊木馬的概念、原理及防范措施。掌握后門（陷阱）的概念、特征、分類及防范措施。了解僵尸程序和僵尸網(wǎng)絡(luò)的概念及原理。

目錄2.1惡意代碼概述2.2計(jì)算機(jī)病毒2.3網(wǎng)絡(luò)蠕蟲2.4特洛伊木馬2.5后門2.6僵尸程序及網(wǎng)絡(luò)2.7實(shí)戰(zhàn)演練據(jù)臺灣媒體報(bào)道，2018年8月3日晚間接近午夜時分，臺積電位于臺灣新竹科學(xué)園區(qū)的12英寸晶圓廠（Fab12廠）和營運(yùn)總部，突然傳出計(jì)算機(jī)遭病毒入侵且生產(chǎn)線徹底停產(chǎn)的消息。幾個小時之內(nèi)，臺積電位于臺中科學(xué)園區(qū)的Fab15廠，以及臺南科學(xué)園區(qū)的Fab14廠也陸續(xù)因?yàn)椴《救肭侄鴮?dǎo)致生產(chǎn)線停產(chǎn)。臺積電三大生產(chǎn)基地停產(chǎn)，損失慘重此前，臺積電也發(fā)生過因病毒襲擊而導(dǎo)致生產(chǎn)線停產(chǎn)的情況，但都是小規(guī)模，像臺積電三條12英寸的生產(chǎn)線，包括生產(chǎn)設(shè)備和檢測設(shè)備都中招的情況還沒有發(fā)生過。位于新竹總部的Fab12廠、Fab3廠和Fab5廠是目前臺積電最重要的廠區(qū)，這些廠區(qū)的機(jī)器受病毒入侵，突發(fā)宕機(jī)且生產(chǎn)線停產(chǎn)，相應(yīng)的客戶產(chǎn)品也必將受到影響，臺積電或因此損失慘重。部分生產(chǎn)線已經(jīng)恢復(fù)生產(chǎn)臺積電已經(jīng)控制了病毒的進(jìn)一步蔓延。2018年8月4日早間，臺積電受影響工廠的部分設(shè)備也已開始進(jìn)行軟件重裝的工作，至下午兩點(diǎn)，約80%受影響的機(jī)器已經(jīng)恢復(fù)正常。此次病毒感染事件將導(dǎo)致晶圓出貨延遲及成本增加。病毒可能來自日系硅片傳輸系統(tǒng)雖然這次事故似乎是有針對性的攻擊，但臺積電稱這次病毒攻擊與網(wǎng)絡(luò)入侵無關(guān)。這是臺積電生產(chǎn)線首次因遭到病毒攻擊而停產(chǎn)。此次病毒感染的原因是新機(jī)器在安裝軟件過程中出現(xiàn)了操作失誤，而病毒的來源則是日系的硅片傳輸系統(tǒng)。惡意代碼最初是指傳統(tǒng)的計(jì)算機(jī)病毒和網(wǎng)絡(luò)蠕蟲。

隨著攻擊方式的增多，惡意代碼的種類也在逐漸增多。06邏輯炸彈02網(wǎng)絡(luò)蠕蟲04后門（陷阱）05僵尸程序03特洛伊木馬01計(jì)算機(jī)病毒惡意代碼關(guān)于惡意代碼，目前還沒有統(tǒng)一的定義，下面列出常見的幾種。惡意代碼是任何的程序或可執(zhí)行代碼，其目的是在用戶未授權(quán)的情況下更改或控制計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)。1惡意代碼是指經(jīng)過存儲介質(zhì)和網(wǎng)絡(luò)進(jìn)行傳播，從一臺計(jì)算機(jī)系統(tǒng)到另外一臺計(jì)算機(jī)系統(tǒng)，未經(jīng)授權(quán)認(rèn)證破壞計(jì)算機(jī)系統(tǒng)完整性的程序或代碼。3惡意代碼是指故意編制或設(shè)置的、對網(wǎng)絡(luò)或系統(tǒng)會產(chǎn)生威脅或潛在威脅的計(jì)算機(jī)代碼，其實(shí)質(zhì)是可以在特定環(huán)境下獨(dú)立執(zhí)行的指令集或嵌入到其他程序中的代碼。2惡意代碼收集目標(biāo)信息實(shí)施隱身實(shí)施破壞入侵系統(tǒng)獲取用戶權(quán)限條件成熟成功失敗是否對新的目標(biāo)重新攻擊盡管惡意代碼行為表現(xiàn)各異，破壞程度千差萬別，但是基本機(jī)制大體相同，可以分為如下幾個步驟：①入侵系統(tǒng)（前提條件）；②維持或提升權(quán)限；③隱身；④潛伏；⑤破壞；⑥重復(fù)上述過程，對新的目標(biāo)實(shí)施攻擊。其攻擊機(jī)制如圖所示。根據(jù)編碼特征、傳播途徑、發(fā)作表現(xiàn)形式及在目標(biāo)系統(tǒng)中的存在方式，惡意代碼被分為7類網(wǎng)絡(luò)蠕蟲計(jì)算機(jī)病毒惡意腳本邏輯炸彈僵尸程序后門（陷阱）特洛伊木馬1計(jì)算機(jī)病毒是一種具有自我復(fù)制能力并會對系統(tǒng)造成巨大破壞的惡意代碼，它通常寄生于某個正常程序中，運(yùn)行時會感染其他文件、駐留系統(tǒng)內(nèi)存、接管某些系統(tǒng)軟件。2網(wǎng)絡(luò)蠕蟲自動尋找有漏洞的系統(tǒng)，并向遠(yuǎn)程系統(tǒng)發(fā)起連接和攻擊，同時完成自我復(fù)制。

網(wǎng)絡(luò)蠕蟲的危害性要遠(yuǎn)大于計(jì)算機(jī)病毒，但其生命期通常也比計(jì)算機(jī)病毒短得多。3特洛伊木馬一種與遠(yuǎn)程主機(jī)建立連接，使得遠(yuǎn)程主機(jī)能夠控制本地主機(jī)的程序。通常隱藏在正常程序中，悄悄地在本地主機(jī)運(yùn)行，削弱系統(tǒng)的安全控制機(jī)制，在用戶毫無察覺的情況下讓攻擊者獲得遠(yuǎn)程訪問和控制系統(tǒng)的權(quán)限。大多數(shù)特洛伊木馬包括客戶端和服務(wù)器端兩個部分。4后門也被稱為陷阱，它一般是指那些繞過安全性控制而獲取對程序或系統(tǒng)訪問權(quán)的方法。獲悉后門的人員可以繞過訪問控制過程，直接對資源進(jìn)行訪問。

攻擊者在攻陷一臺主機(jī)，獲得其控制權(quán)后，通常會在主機(jī)上建立后門，以便下一次入侵時使用。5僵尸程序由僵尸網(wǎng)絡(luò)（Botnet）控制者編寫或釋放的惡意控制代碼，用來感染主機(jī)。攻擊者往往出于惡意目的，傳播僵尸程序使主機(jī)受到感染，再通過一對多的命令與控制信道對感染主機(jī)進(jìn)行控制。由大量感染了僵尸程序的主機(jī)、控制者和命令與控制服務(wù)器所組成的網(wǎng)絡(luò)就是僵尸網(wǎng)絡(luò)。6邏輯炸彈包含在正常應(yīng)用程序中的一段惡意代碼，當(dāng)某種條件出現(xiàn)，如到達(dá)某個特定日期、增加或刪除某個特定文件等，將激發(fā)這一段惡意代碼，執(zhí)行這一段惡意代碼將導(dǎo)致非常嚴(yán)重的后果，如刪除系統(tǒng)中的重要文件和數(shù)據(jù)，使系統(tǒng)崩潰等。

邏輯炸彈最初是程序員用于保護(hù)版權(quán)而采取的手段，一般不破壞目標(biāo)系統(tǒng)，后來被用于訛詐和報(bào)復(fù)非授權(quán)用戶，會對系統(tǒng)造成破壞。7惡意腳本指一切以制造危害或損害系統(tǒng)功能為目的，而從軟件系統(tǒng)中增加、改變或刪除的任何腳本，包括Java攻擊小程序和危險(xiǎn)的ActiveX控件等。

惡意腳本具有變形簡單的特點(diǎn)，能夠通過多樣化的混淆機(jī)制隱藏自己。惡意腳本通常依賴于瀏覽器，利用瀏覽器漏洞下載木馬并向用戶傳播。惡意代碼一般是由攻擊者根據(jù)個人意圖而編寫，其目的包括竊取他人計(jì)算機(jī)上的信息、遠(yuǎn)程控制被攻擊的計(jì)算機(jī)、占用他人計(jì)算機(jī)或網(wǎng)絡(luò)資源、拒絕服務(wù)、進(jìn)行破壞、炫耀個人技術(shù)或惡作劇等。隨著Internet應(yīng)用的普及和各種計(jì)算機(jī)技術(shù)的發(fā)展，計(jì)算機(jī)病毒越來越高級，種類也越來越多。以前很長時間才出現(xiàn)一次病毒入侵事件，而現(xiàn)在幾乎每天都有計(jì)算機(jī)病毒進(jìn)行大破壞的消息，計(jì)算機(jī)病毒不時地對網(wǎng)絡(luò)系統(tǒng)安全構(gòu)成嚴(yán)重的威脅。因此，了解和預(yù)防計(jì)算機(jī)病毒變得格外重要，任何網(wǎng)絡(luò)系統(tǒng)的安全都要考慮計(jì)算機(jī)病毒因素。1．計(jì)算機(jī)病毒的概念計(jì)算機(jī)病毒具有獨(dú)特的復(fù)制能力，能夠快速蔓延，常常難以根除。它們能把自身附著在各種類型的文件上，當(dāng)文件被復(fù)制或傳送時，它們就隨同文件一起蔓延開來。計(jì)算機(jī)病毒是一個程序或一段可執(zhí)行代碼。計(jì)算機(jī)病毒具有自我繁殖、互相傳染，以及激活再生等特征。計(jì)算機(jī)病毒是指編制者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者毀壞數(shù)據(jù)，影響計(jì)算機(jī)使用，并能夠自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼。隱蔽性和潛伏性可觸發(fā)性衍生性不可預(yù)見性繁殖性傳染性破壞性計(jì)算機(jī)病毒的特征計(jì)算機(jī)病毒是人為制造的、具有一定破壞性的程序。它們與生物病毒有不同點(diǎn)，也有相似之處。2．計(jì)算機(jī)病毒的特征1繁殖性計(jì)算機(jī)病毒可以像生物病毒一樣進(jìn)行繁殖，當(dāng)正常程序運(yùn)行時，它也運(yùn)行并進(jìn)行自身復(fù)制。是否具有繁殖的特征，是判斷某段程序是否為計(jì)算機(jī)病毒的首要條件。傳染性計(jì)算機(jī)病毒的傳染性是病毒的本質(zhì)特征。計(jì)算機(jī)病毒通過修改別的程序?qū)⒆陨淼膹?fù)制品或其變體傳染到其他無毒的對象上，這些對象可以是一個程序，也可以是系統(tǒng)中的某一個部件。23破壞性任何病毒只要侵入到計(jì)算機(jī)系統(tǒng)中，都會對系統(tǒng)及應(yīng)用程序產(chǎn)生不同程度的影響。良性病毒會占用系統(tǒng)資源。惡性病毒會破壞數(shù)據(jù)、刪除文件，或加密磁盤、格式化磁盤，可能對數(shù)據(jù)造成不可挽回的破壞。惡性病毒的危害性很大，嚴(yán)重時可導(dǎo)致系統(tǒng)死機(jī)，甚至網(wǎng)絡(luò)癱瘓。4隱蔽性和潛伏性計(jì)算機(jī)病毒一般是一些短小精悍的程序，通常附在正常程序中或數(shù)據(jù)代碼中，病毒程序與正常程序是不容易區(qū)別開來的。而受到傳染后的計(jì)算機(jī)系統(tǒng)通常仍能正常運(yùn)行，用戶不會感到任何異常的隱蔽性，使得計(jì)算機(jī)病毒才得以在用戶沒有察覺的情況下擴(kuò)散到眾多的計(jì)算機(jī)中。潛伏性是指計(jì)算機(jī)病毒在進(jìn)入系統(tǒng)后一般會悄悄地潛伏下來而不會立即有所動作，但是病毒會在這個潛伏期內(nèi)進(jìn)行傳染。病毒潛伏期越長、潛伏得越好，達(dá)到觸發(fā)條件時破壞性越大。5可觸發(fā)性編制計(jì)算機(jī)病毒的人，一般都為病毒程序設(shè)定了一些觸發(fā)條件，大部分的病毒在感染系統(tǒng)后一般不會馬上發(fā)作，可在幾個小時、幾天、幾周甚至幾個月內(nèi)隱藏起來而不被發(fā)現(xiàn)，只有在滿足其特定觸發(fā)條件時才會發(fā)作。6衍生性也稱變異性，指計(jì)算機(jī)病毒在傳播過程中，可能經(jīng)過其他用戶的修改產(chǎn)生出新病毒。它是在原病毒代碼的基礎(chǔ)上修改而成的，因而也被稱為變異病毒。變異后的病毒一般更具有隱藏性，其破壞威力也更大。7不可預(yù)見性計(jì)算機(jī)病毒的制作技術(shù)不斷提高，種類也不斷增加，而防病毒技術(shù)卻落于其后。新系統(tǒng)、新軟件的應(yīng)用，也為病毒制作提供了方便。對未來病毒的類型、特點(diǎn)及破壞性等均很難預(yù)測。現(xiàn)在的計(jì)算機(jī)病毒已經(jīng)由從前的單一傳播、單種行為變成依賴Internet傳播，集電子郵件、文件傳染等多種傳播方式，融多種攻擊手段于一身，形成了一種廣義的“新病毒”。

根據(jù)這些病毒的發(fā)展演變，計(jì)算機(jī)病毒技術(shù)呈現(xiàn)出網(wǎng)絡(luò)化、綜合化、多樣化、多平臺化、反跟蹤、智能化等發(fā)展趨勢。在計(jì)算機(jī)病毒的發(fā)展初期，絕大多數(shù)計(jì)算機(jī)均處于單機(jī)工作狀態(tài)，那個階段的病毒只是通過單一的移動存儲設(shè)備進(jìn)行傳播。

隨著Internet的發(fā)展和普及，現(xiàn)代計(jì)算機(jī)病毒充分利用了Internet信息傳播的快捷性和Internet本身的安全漏洞，使得新型的計(jì)算機(jī)病毒層出不窮，并能在極短的時間內(nèi)迅速傳播到世界各地。安裝防病毒軟件并及時升級不輕易運(yùn)行不明程序加載補(bǔ)丁程序不隨意接收和打開郵件從正規(guī)網(wǎng)站下載軟件預(yù)防計(jì)算機(jī)病毒應(yīng)做到1．計(jì)算機(jī)病毒的防范2．計(jì)算機(jī)病毒的處理當(dāng)網(wǎng)絡(luò)系統(tǒng)感染病毒后，可采取一些措施進(jìn)行緊急處理，恢復(fù)系統(tǒng)或受損部分。網(wǎng)絡(luò)系統(tǒng)感染病毒后，可以采取的措施重啟和恢復(fù)清除病毒在修復(fù)前備份數(shù)據(jù)采取應(yīng)對方法和對策查毒源報(bào)警隔離網(wǎng)絡(luò)蠕蟲是通過網(wǎng)絡(luò)傳播，無須用戶干預(yù)且能夠獨(dú)立地或者依賴文件共享主動攻擊的惡意代碼，它通過不停地獲得網(wǎng)絡(luò)中存在漏洞的計(jì)算機(jī)上的部分或全部控制權(quán)進(jìn)行傳播。網(wǎng)絡(luò)蠕蟲是一種自動化、智能化的，綜合網(wǎng)絡(luò)攻擊、密碼學(xué)和計(jì)算機(jī)病毒技術(shù)，無需計(jì)算機(jī)使用者干預(yù)即可運(yùn)行的攻擊程序或代碼。網(wǎng)絡(luò)蠕蟲會掃描和攻擊網(wǎng)絡(luò)上存在系統(tǒng)漏洞的節(jié)點(diǎn)主機(jī)，通過局域網(wǎng)或互聯(lián)網(wǎng)從一個節(jié)點(diǎn)傳播到另一個節(jié)點(diǎn)。網(wǎng)絡(luò)蠕蟲強(qiáng)調(diào)自身的主動性和獨(dú)立性，具有主動攻擊、行蹤隱蔽、利用漏洞、造成網(wǎng)絡(luò)擁塞、降低系統(tǒng)性能、產(chǎn)生安全隱患、反復(fù)性和破壞性等特征。隨著互聯(lián)網(wǎng)應(yīng)用的不斷普及和深入，網(wǎng)絡(luò)蠕蟲對計(jì)算機(jī)系統(tǒng)安全和網(wǎng)絡(luò)安全的威脅日益增強(qiáng)。網(wǎng)絡(luò)蠕蟲在網(wǎng)絡(luò)環(huán)境下，多樣化的傳播途徑和復(fù)雜的應(yīng)用環(huán)境使網(wǎng)絡(luò)蠕蟲的發(fā)生頻率增高，潛伏性變強(qiáng)，覆蓋面更廣，造成的損失也更大。網(wǎng)絡(luò)蠕蟲的攻擊行為可以分為4個階段：探測自我推進(jìn)攻擊信息搜集完成對本地和目標(biāo)節(jié)點(diǎn)主機(jī)的信息匯集利用已發(fā)現(xiàn)的服務(wù)漏洞實(shí)施攻擊完成對目標(biāo)節(jié)點(diǎn)的感染完成對具體目標(biāo)主機(jī)服務(wù)漏洞的檢測網(wǎng)絡(luò)蠕蟲已經(jīng)成為網(wǎng)絡(luò)系統(tǒng)的極大威脅，由于網(wǎng)絡(luò)蠕蟲具有相當(dāng)?shù)膹?fù)雜性和行為不確定性。從目前發(fā)生的多起蠕蟲爆發(fā)事例可以看出，從發(fā)現(xiàn)漏洞到蠕蟲爆發(fā)的時間越來越短，但從蠕蟲爆發(fā)到蠕蟲被消滅的時間卻越來越長，網(wǎng)絡(luò)蠕蟲的防范和控制越來越困難。網(wǎng)絡(luò)蠕蟲的防御和控制主要采用人工手段針對主機(jī)，主要采用手工檢查和清除、利用軟件檢查和清除、給系統(tǒng)打補(bǔ)丁和升級系統(tǒng)、采用個人防火墻、斷開感染網(wǎng)絡(luò)蠕蟲的機(jī)器等方法；針對網(wǎng)絡(luò)，主要采用在防火墻或邊緣路由器上關(guān)閉與網(wǎng)絡(luò)蠕蟲相關(guān)的端口、設(shè)置訪問控制列表和設(shè)置內(nèi)容過濾等方法。由于網(wǎng)絡(luò)蠕蟲的爆發(fā)非常迅速，而且不同類型的網(wǎng)絡(luò)蠕蟲針對的攻擊對象不盡相同，所以采取的防御手段也有所不同。特洛伊木馬（簡稱木馬）是根據(jù)古希臘神話中的木馬命名的。木馬通常并不像計(jì)算機(jī)病毒那樣感染文件。作為一種惡意代碼，它一般是以尋找后門、竊取密碼和重要文件為主，還可以對計(jì)算機(jī)系統(tǒng)進(jìn)行跟蹤監(jiān)視、控制、查看、修改資料等操作，具有很強(qiáng)的隱蔽性、突發(fā)性和攻擊性。1．木馬的概念最常見的情況是，用戶從不正規(guī)的網(wǎng)站上下載和運(yùn)行了帶惡意代碼的軟件，或者不小心點(diǎn)擊了帶有惡意代碼的郵件附件。攻擊者經(jīng)常把木馬隱藏在一些游戲或小軟件之中，誘使粗心的用戶在自己的機(jī)器上運(yùn)行。木馬的安裝和操作都是在隱蔽之中完成的。木馬是一種帶有惡意性質(zhì)的遠(yuǎn)程控制軟件，通常悄悄地在寄宿主機(jī)上運(yùn)行，在用戶毫無察覺的情況下使攻擊者獲得遠(yuǎn)程訪問和控制系統(tǒng)的權(quán)限。木馬的主要傳播方式通過E-Mail傳播控制端將木馬程序以附件形式附著在郵件中發(fā)送出去，收件人只要打開附件就會感染木馬。通過軟件下載傳播一些非正式的網(wǎng)站以提供軟件下載的名義，將木馬捆綁在軟件安裝程序上，程序下載后一旦被運(yùn)行，木馬就會自動安裝。通過即時通信工具傳播通過QQ等即時通信工具傳送文件時，不知情的用戶一旦打開帶有木馬的文件就會感染木馬。2．木馬的原理木馬程序與計(jì)算機(jī)病毒一樣，需要在運(yùn)行時隱藏自己的行蹤。

但與傳統(tǒng)的文件型病毒寄生于正常可執(zhí)行程序體內(nèi)，通過寄主程序的執(zhí)行而被執(zhí)行的方式不同，大多數(shù)木馬程序都有一個獨(dú)立的可執(zhí)行文件。木馬通常不容易被發(fā)現(xiàn)，因?yàn)樗话闶且砸粋€正常應(yīng)用的身份在系統(tǒng)中運(yùn)行的。木馬程序一般包括客戶端（Client）部分和服務(wù)器端（Server）部分，采用C/S工作模式，如圖所示。木馬是一種惡意代碼，除了具有與其他惡意代碼一樣的特征（如破壞性、隱藏性）外，還具有欺騙性、控制性、自啟動、自動恢復(fù)、打開“后門”和功能特殊性等特征?？蛻舳朔胖迷谀抉R控制者的計(jì)算機(jī)中，服務(wù)器端放置在被入侵的計(jì)算機(jī)中，木馬控制者通過客戶端與被入侵計(jì)算機(jī)的服務(wù)器端建立遠(yuǎn)程連接。一旦連接建立，木馬控制者就可以通過對被入侵計(jì)算機(jī)發(fā)送指令來傳輸和修改文件?？蛻舳司褪悄抉R控制者在本地使用的各種命令的控制臺，服務(wù)器端則在他人的計(jì)算機(jī)中運(yùn)行，只有運(yùn)行過服務(wù)器端的計(jì)算機(jī)才能夠完全受控。用戶計(jì)算機(jī)一旦感染上木馬，就變成了一臺“傀儡機(jī)”，對方可以在用戶計(jì)算機(jī)上傳輸文件，偷窺用戶的私人文件，竊取用戶的各種賬號及口令信息等。感染了木馬的系統(tǒng)用戶的一切隱私，都將暴露在木馬控制者面前。近年來，木馬技術(shù)取得了較大的發(fā)展，目前已徹底擺脫傳統(tǒng)模式下植入方法原始、通信方式單一、隱蔽性差等不足。借助一些新技術(shù)，木馬不再依賴于對用戶進(jìn)行簡單的欺騙，也可以不必修改系統(tǒng)注冊表，不開新端口，不在磁盤上保留新文件，甚至可以沒有獨(dú)立的進(jìn)程，這些新特點(diǎn)在提升木馬性能的同時，也增加了防御的難度。傳統(tǒng)木馬主要通過遠(yuǎn)程控制目標(biāo)計(jì)算機(jī)，在目標(biāo)計(jì)算機(jī)上進(jìn)行查看、刪除、移動、上傳、下載、執(zhí)行文件等非法操作，或者承擔(dān)垃圾信息發(fā)送、鍵盤記錄、關(guān)閉窗口、鼠標(biāo)控制、計(jì)算機(jī)基本設(shè)置等任務(wù)。

隨著互聯(lián)網(wǎng)尤其是移動互聯(lián)網(wǎng)的不斷發(fā)展，Web技術(shù)的應(yīng)用催生了網(wǎng)頁木馬的出現(xiàn)。目前，在各類木馬中，網(wǎng)頁木馬已是一枝獨(dú)秀，成為Web安全的主要隱患。此外，隨著數(shù)字貨幣交易價(jià)格持續(xù)走高，挖礦木馬空前活躍，黑客大量利用受害機(jī)器挖掘數(shù)字貨幣。隨著各類芯片的廣泛使用，主要針對芯片攻擊的硬件木馬也開始出現(xiàn)，并對特定硬件進(jìn)行破壞。1．網(wǎng)頁木馬網(wǎng)頁木馬是在宏病毒、傳統(tǒng)木馬等惡意代碼基礎(chǔ)上，隨著Web技術(shù)的廣泛應(yīng)用發(fā)展出來的一種新形態(tài)的惡意代碼。

類似于宏病毒通過Word等文檔中的惡意宏命令實(shí)現(xiàn)攻擊，網(wǎng)頁木馬一般通過HTML頁面中的一段惡意腳本達(dá)到在客戶端下載、執(zhí)行惡意可執(zhí)行文件的目的，而整個攻擊流程是一個“特洛伊木馬”式的、隱蔽的、用戶無察覺的過程。因此，通常稱這種攻擊方式為“網(wǎng)頁木馬”。網(wǎng)頁木馬通常被人為植入Web服務(wù)器端的HTML頁面中，目的在于向客戶端傳播惡意程序。當(dāng)客戶端訪問植入了木馬的HTML頁面時，它利用客戶端瀏覽器及其插件存在的漏洞將惡意程序自動植入客戶端。與網(wǎng)絡(luò)蠕蟲等通過網(wǎng)絡(luò)主動進(jìn)行自我復(fù)制、自我傳播的方式不同，網(wǎng)頁木馬是一種客戶端被動攻擊方式，其部署在網(wǎng)站服務(wù)器端，在用戶瀏覽頁面時發(fā)起攻擊。這種方式可以有效地繞過防火墻的檢測，隱蔽、有效地在客戶端植入惡意代碼，進(jìn)而在用戶不知情的情況下自動完成惡意可執(zhí)行文件的下載、執(zhí)行。通常，將網(wǎng)頁木馬的這種攻擊方式稱為Drive-by-Download（過路式下載或偷渡式下載）。在網(wǎng)頁木馬發(fā)展初期，攻擊者通過自己搭建站點(diǎn)來部署攻擊頁面，并利用一些社會工程學(xué)方法誘使訪問者訪問。近年來網(wǎng)民安全意識的逐漸增強(qiáng)，使得攻擊者不得不去尋找新的手段來增加攻擊頁面訪問量，其中最主要的手段是網(wǎng)頁掛馬。網(wǎng)頁掛馬是指通過內(nèi)嵌鏈接將攻擊腳本或攻擊頁面嵌入到一個正規(guī)頁面，或者利用重定向機(jī)制將對正規(guī)頁面的訪問重定向到攻擊頁面。2．挖礦木馬挖礦木馬是攻擊者通過非法手段植入到用戶計(jì)算機(jī)中的“挖礦機(jī)”程序，它可以利用受害者計(jì)算機(jī)的運(yùn)算力進(jìn)行挖礦，從而獲取數(shù)字貨幣（如比特幣、以太幣等）。由于硬件性能的限制，攻擊者通常需要大量計(jì)算機(jī)進(jìn)行運(yùn)算，以獲得一定數(shù)量的數(shù)字貨幣。挖礦木馬程序一般通過自動化的批量攻擊，感染存在漏洞的網(wǎng)絡(luò)服務(wù)器，并控制服務(wù)器的系統(tǒng)資源，用于計(jì)算和挖掘特定的虛擬貨幣。由于挖礦木馬長期超高占用CPU，因此，服務(wù)器感染挖礦木馬后最明顯的現(xiàn)象是服務(wù)器響應(yīng)非常緩慢，出現(xiàn)各種運(yùn)行異常。如果挖礦木馬攻擊的是整個云服務(wù)平臺，那么平臺上所有網(wǎng)站和服務(wù)系統(tǒng)都會受到嚴(yán)重影響。網(wǎng)頁挖礦僵尸網(wǎng)絡(luò)網(wǎng)頁挖礦實(shí)質(zhì)上也是一種網(wǎng)頁木馬，只不過植入網(wǎng)頁的木馬是專門的挖礦程序；挖礦木馬潛伏在計(jì)算機(jī)中的挖礦木馬主要存在兩種類型：利用僵尸網(wǎng)絡(luò)進(jìn)行挖礦存在的攻擊性非常大，通過木馬程序，所有被控制的計(jì)算機(jī)將集中資源為挖礦服務(wù)，而且隱蔽性極強(qiáng)。3．硬件木馬硬件木馬是指插入原始電路的微小的惡意電路。這種電路潛伏在原始電路之中，在電路運(yùn)行到某些特定的值或條件時，使原始電路發(fā)生本不該有的情況。這種惡意電路可對原始電路進(jìn)行有目的性的修改，如泄露信息給攻擊者，使電路功能發(fā)生改變，甚至直接損壞電路等。木馬觸發(fā)木馬有效載荷硬件木馬一般包括兩個主要部分木馬觸發(fā)是是激活木馬的機(jī)制木馬有效載荷是觸發(fā)后木馬發(fā)揮功能的電路木馬一觸發(fā)，就會發(fā)送一個或多個信號給木馬有效載荷部分，木馬有效載荷部分就會工作，發(fā)揮作用，從而破壞芯片或改變其功能。硬件木馬通常只在非常特殊的值或條件下才能被激活并且發(fā)生作用，其他時候?qū)υ茧娐返墓δ懿o影響，它能躲過傳統(tǒng)的結(jié)構(gòu)測試和功能測試。硬件木馬一旦被人為隱蔽地插入到一個復(fù)雜的芯片中，要檢測出來是十分困難的。在集成電路的設(shè)計(jì)和制造過程中，攻擊者可采用很多方式，并且有很多機(jī)會在原始電路中植入硬件木馬。1．木馬的預(yù)防措施人們掌握了很多檢測和清除木馬的方法及軟件工具，但這只是在木馬出現(xiàn)后采取的被動的應(yīng)對措施。最好的情況是不出現(xiàn)木馬，這就要求人們平時對木馬要有預(yù)防意識，做到防患于未然。不隨意下載來歷不明的軟件。不隨意打開來歷不明的郵件，阻塞可疑郵件。及時修補(bǔ)漏洞和關(guān)閉可疑的端口運(yùn)行實(shí)時監(jiān)控程序。盡量少用共享文件夾。經(jīng)常升級系統(tǒng)和更新病毒庫。限制使用不必要的具有傳輸能力的程序。預(yù)防木馬的方法和措施2．木馬的檢測和清除雖然木馬程序千變?nèi)f化，但其入侵手段卻差不多，一般都是在文件中做文章，如在文件win.ini，system.ini，winstart.bat中加載、利用*.ini文件、修改文件關(guān)聯(lián)和捆綁文件等?？梢酝ㄟ^查看系統(tǒng)端口開放的情況、系統(tǒng)服務(wù)情況、系統(tǒng)任務(wù)運(yùn)行情況、網(wǎng)卡的工作情況、系統(tǒng)日志及運(yùn)行速度有無異常等對木馬進(jìn)行檢測。在檢測到計(jì)算機(jī)感染木馬后，就要根據(jù)木馬的特征對其進(jìn)行清除。還應(yīng)查看是否有可疑的啟動程序或可疑的進(jìn)程存在，是否修改了win.ini，system.ini系統(tǒng)配置文件和注冊表。如果存在可疑的程序和進(jìn)程，就可以按照特定的方法進(jìn)行清除。1查看開放端口當(dāng)前最為常見的木馬通常是基于TCP/UDP協(xié)議進(jìn)行客戶端與服務(wù)器端之間的通信的。因此，可以通過查看在本機(jī)上開放的端口，檢查是否有可疑的程序打開了某個可疑的端口。如果發(fā)現(xiàn)有可疑的程序在利用可疑的端口進(jìn)行連接，則很有可能是感染了木馬。查看和恢復(fù)win.ini和system.ini系統(tǒng)配置文件查看“Windows”文件夾中的win.ini和system.ini文件是否有被修改的地方。若有，將文件恢復(fù)為原始配置，再將木馬文件刪除即可。23查看啟動程序并刪除可疑的啟動程序如果木馬自動加載的文件是直接通過在Windows菜單上自定義添加的，可在“開始”→“所有程序”→“啟動”菜單中看到。通過檢查是否有可疑的啟動程序，便可判斷是否感染了木馬。如果有木馬存在，除了要查出木馬文件并將其刪除外，還要將木馬的自動啟動程序刪除。4查看系統(tǒng)進(jìn)程并停止可疑的系統(tǒng)進(jìn)程可以通過查看系統(tǒng)進(jìn)程來推斷木馬是否存在。在對木馬進(jìn)行清除時，首先要停止木馬程序的系統(tǒng)進(jìn)程，然后再進(jìn)行下一步的操作。查看和還原注冊表木馬一旦被加載，一般都會對注冊表進(jìn)行修改，可通過查看注冊表來尋找木馬的痕跡。一旦在注冊表中找到來路不明的程序，很有可能是植入的木馬。找到注冊表中被木馬修改的部分后，將其還原即可。56使用殺毒軟件和木馬查殺工具檢測和清除木馬最簡單的檢測和刪除木馬的方法是安裝木馬查殺工具。常用的木馬查殺工具有360安全衛(wèi)士、騰訊電腦管家、木馬專家、木馬清除大師等，這些工具軟件都可以進(jìn)行木馬的檢測和查殺。此外，用戶還可使用其他木馬專殺工具進(jìn)行查殺。后門也稱陷阱。它是允許攻擊者繞過系統(tǒng)常規(guī)安全控制機(jī)制而獲得對程序或系統(tǒng)的控制權(quán)的程序；是能夠根據(jù)攻擊者的意圖而提供的訪問通道。后門是訪問程序和在線服務(wù)的一種秘密方式。

通過安裝后門，攻擊者可保持一條秘密通道，每次訪問時不必通過正常的登錄認(rèn)證方式。它對系統(tǒng)安全的威脅是潛在的、不確定的。當(dāng)某個程序或系統(tǒng)存在后門時，該后門程序會保存在計(jì)算機(jī)系統(tǒng)中，只有當(dāng)攻擊者需要時才通過某種特殊方式來控制計(jì)算機(jī)系統(tǒng)。繞過監(jiān)控系統(tǒng)提供惡意代碼植入手段方便再次入侵隱藏操作痕跡后門主要作用簡單的后門可以建立一個新賬戶，或者給已有賬戶提升權(quán)限。復(fù)雜的后門會在繞過系統(tǒng)的安全認(rèn)證機(jī)制后直接控制系統(tǒng)，甚至?xí)薷南到y(tǒng)的配置以降低系統(tǒng)的安全防御能力。有些后門還可以與特定的木馬進(jìn)行配合，獲得對系統(tǒng)的最大控制權(quán)或破壞力。后門的存在形式和功能多種多樣您的小標(biāo)題后門程序的特點(diǎn)是平時潛伏在計(jì)算機(jī)中從事信息搜集工作，當(dāng)攻擊者需要實(shí)施攻擊時便提供進(jìn)入本機(jī)的通道。它類似于木馬，都是隱藏在用戶系統(tǒng)中向外發(fā)送信息，而且本身具有一定的操作權(quán)限，同時能夠供攻擊者遠(yuǎn)程控制本機(jī)時使用。

區(qū)別在于，木馬是完整的軟件，而后門程序的代碼往往有限且功能單一。1．后門的分類后門根據(jù)其實(shí)現(xiàn)方式的分類0104050203網(wǎng)頁后門線程插入后門擴(kuò)展后門C/S后門賬戶后門1網(wǎng)頁后門通過服務(wù)器上正常的Web服務(wù)來構(gòu)造自己的連接方式。JavaScript，ActionScript和VBScript等腳本語言相對松散，不僅可以直接調(diào)用，還能編寫一些復(fù)雜的程序，為后門程序的隱藏創(chuàng)造了一定的條件。線程插入后門后門程序在運(yùn)行時沒有進(jìn)程，所有操作均插入到其他應(yīng)用程序的進(jìn)程中完成。其特點(diǎn)是在進(jìn)程管理器中沒有顯示對應(yīng)的進(jìn)程，平時也沒有打開的端口，潛伏在系統(tǒng)中很難被安全檢測程序發(fā)現(xiàn)。23擴(kuò)展后門可以看成是多個后門程序的工具集，即將多個后門功能集成到一起，方便攻擊者的控制。它通常會同時集成文件上傳與下載、系統(tǒng)用戶檢測、HTTP訪問、打開端口、啟動/停止服務(wù)等功能。C/S后門C/S（即Client/Server）結(jié)構(gòu)是木馬主要使用的工作模式，同時也是后門程序的一種操作方式，尤其是具有控制功能的后門多采用該結(jié)構(gòu)。例如，ICMPDoor便是一種典型的C/S后門，它利用ICMP協(xié)議，通信過程中不需要打開任何端口，只是利用系統(tǒng)本身的ICMP數(shù)據(jù)包進(jìn)行控制。45賬戶后門指攻擊者為了長期控制目標(biāo)主機(jī)，通過后門在目標(biāo)主機(jī)中建立一個備用管理員賬戶的技術(shù)。它一般采用克隆賬戶的方式來實(shí)現(xiàn)。

克隆賬戶一般有兩種途徑：手動克隆賬戶和使用克隆工具。1．后門的防范后門的應(yīng)用級檢測和防御后門的內(nèi)核級檢測和防御后門的應(yīng)用級隱藏是常規(guī)的隱藏方法，即通過修改、捆綁或替代系統(tǒng)合法的應(yīng)用程序來實(shí)現(xiàn)后門隱藏。無論后門采用何種植入方式和偽裝隱藏手段，總可以通過一些方法來進(jìn)行檢測和防御。對于應(yīng)用級隱藏，最有效的檢測方法是完整性檢測，如MD5校驗(yàn)和就能起到很好的效果。內(nèi)核級隱藏是比較難于檢測的，它能繞過目前絕大多數(shù)后門掃描工具、查殺病毒軟件和入侵檢測系統(tǒng)的檢測。內(nèi)核級后門是在內(nèi)核級隱藏目錄、文件、進(jìn)程和通信連接等信息，通過檢查系統(tǒng)調(diào)用的內(nèi)存地址就可能發(fā)現(xiàn)是否被植入了后門。內(nèi)核級后門一般都要進(jìn)行內(nèi)核模塊的加載，因此通過監(jiān)控內(nèi)核的變化可以很好地防御內(nèi)核級后門。僵尸程序（Bot）是指實(shí)現(xiàn)惡意控制功能的程序代碼。它和命令與控制服務(wù)器、控制者等共同組成的可通信、可控制的網(wǎng)絡(luò)，被稱為僵尸網(wǎng)絡(luò)（Botnet）。

攻擊者通常利用僵尸網(wǎng)絡(luò)發(fā)起各種惡意行為，如對任何指定主機(jī)發(fā)起分布式拒絕服務(wù)（DDoS）攻擊、發(fā)送垃圾郵件、竊取敏感信息、濫用資源等。僵尸網(wǎng)絡(luò)（Botnet）是攻擊者出于惡意目的，通過傳播僵尸程序來控制大量主機(jī)，并通過一對多的命令與控制信道所組成的網(wǎng)絡(luò)，如圖所示。僵尸主機(jī)僵尸主機(jī)僵尸主機(jī)僵尸主機(jī)攻擊者命令與控制服務(wù)器命令與控制信道利用僵尸網(wǎng)絡(luò)，攻擊者可以輕易地控制成千上萬臺主機(jī)，對網(wǎng)絡(luò)上的任意站點(diǎn)發(fā)起DDoS攻擊，發(fā)送大量垃圾郵件，從受控主機(jī)上竊取敏感信息或進(jìn)行點(diǎn)擊欺詐，以及發(fā)起比特幣網(wǎng)絡(luò)攻擊等以牟取經(jīng)濟(jì)利益。僵尸網(wǎng)絡(luò)的發(fā)展一般經(jīng)歷傳播、加入和控制3個階段。通過這些階段，僵尸程序會根據(jù)中心服務(wù)器的控制命令下載、更新僵尸樣本。正因?yàn)榻┦W(wǎng)絡(luò)能隨時更新樣本，使得僵尸程序能夠保持良好的生命力。0304050102僵尸網(wǎng)絡(luò)涉及的重要概念僵尸程序（Bot）IRC（互聯(lián)網(wǎng)中繼聊天）命令與控制（C&C）僵尸網(wǎng)絡(luò)（Botnet）攻擊者（Botmaster）1僵尸程序（Bot）是連接攻擊者所控制IRC（互聯(lián)網(wǎng)中繼聊天）信道的客戶端程序。攻擊者所控制的位于受控主機(jī)上的程序，攻擊者與被控程序之間，以及被控程序之間采用IRC信道進(jìn)行通信。僵尸網(wǎng)絡(luò)（Botnet）是受控的運(yùn)行僵尸程序的主機(jī)之間采用IRC協(xié)議所組成的網(wǎng)絡(luò)。23攻擊者（Botmaster）也稱為控制者，對受控主機(jī)具有完全掌控權(quán)，可以通過遠(yuǎn)程方式實(shí)現(xiàn)對僵尸程序的控制。4命令與控制（C&C）接收受控主機(jī)上活躍的僵尸程序傳來的信息，了解受控主機(jī)狀態(tài)；根據(jù)攻擊需要向受控主機(jī)發(fā)送控制指令，要求受控主機(jī)中的僵尸程序執(zhí)行預(yù)定義的攻擊行為，實(shí)現(xiàn)攻擊者預(yù)定的攻擊目的。5IRC（互聯(lián)網(wǎng)中繼聊天）

IRC用戶使用特定的用戶端聊天軟件連接到指定的聊天服務(wù)器，再通過服務(wù)器中繼與其他連接到同一服務(wù)器上的用戶進(jìn)行交流。IRC的特點(diǎn)是在線、快速、占用帶寬小。頻道是IRC中使用的用戶管理方式，頻道的本質(zhì)是廣播組。一個頻道即一個聊天室，對于同一頻道內(nèi)輸入的信息，位于該頻道內(nèi)的所有成員都可以看到。在僵尸網(wǎng)絡(luò)中，被安裝在受控主機(jī)上的僵尸程序能夠把自己復(fù)制到一個安裝目錄，并通過改變系統(tǒng)配置實(shí)現(xiàn)開機(jī)運(yùn)行功能。攻擊者應(yīng)用事先設(shè)定的登錄方式登錄到命令與控制服務(wù)器（如IRC服務(wù)器）中的指定頻道，向所有連接到該頻道的僵尸程序發(fā)布命令。在僵尸網(wǎng)絡(luò)中，根據(jù)攻擊過程中所發(fā)揮功能的不同，可將僵尸程序的功能分為主體功能和輔助功能兩部分。僵尸程序的主體功能命令與控制功能命令與控制功能是整個僵尸程序的核心，用于實(shí)現(xiàn)與僵尸網(wǎng)絡(luò)控制器的交互，接收攻擊者的控制命令，進(jìn)行解析和執(zhí)行，并將執(zhí)行結(jié)果反饋給僵尸網(wǎng)絡(luò)控制器；傳播功能傳播功能通過各種不同的方式將僵尸程序傳播到新的主機(jī)，使其加入僵尸網(wǎng)絡(luò)接受攻擊者的控制，從而擴(kuò)展僵尸網(wǎng)絡(luò)的規(guī)模。用于獲取受控主機(jī)信息，搜索并竊取受控主機(jī)上有價(jià)值的敏感信息，如軟件注冊碼、電子郵件列表、賬號口令等。為攻擊者提供向受控主機(jī)注入二次感染代碼，以及更新僵尸程序的功能，使其能夠隨時更新和添加僵尸程序及其他惡意代碼，以實(shí)現(xiàn)不同的攻擊目的。攻擊者利用受控的大量僵尸主機(jī)完成各種不同攻擊目標(biāo)的功能集合。包括DDoS攻擊、架設(shè)服務(wù)、發(fā)送垃圾郵件及點(diǎn)擊欺詐等。下載與更新繞過檢測與對抗分析信息竊取主機(jī)控制包括對僵尸程序的實(shí)體隱藏，檢查調(diào)試程序的存在、識別虛擬機(jī)環(huán)境、殺死反病毒進(jìn)程、阻止反病毒軟件升級等，目標(biāo)是繞過受控主機(jī)使用者和反病毒軟件的檢測，對抗反病毒軟件的檢測，從而提高僵尸網(wǎng)絡(luò)的生存能力。僵尸程序的輔助功能從安全防御的角度出發(fā)，了解僵尸網(wǎng)絡(luò)的運(yùn)行機(jī)制并及時跟蹤其發(fā)展態(tài)勢，有針對性地進(jìn)行防御，是目前應(yīng)對僵尸網(wǎng)絡(luò)威脅的關(guān)鍵。傳統(tǒng)防御方法提高主機(jī)的安全防御等級以防止被僵尸程序感染，并通過及時更新反病毒軟件特征庫清除主機(jī)中的僵尸程序。創(chuàng)建黑名單通過路由和DNS黑名單的方式屏蔽僵尸網(wǎng)絡(luò)中惡意的IP地址和域名，是一種簡單且有效的方法。關(guān)閉僵尸網(wǎng)絡(luò)使用的域名直接關(guān)閉僵尸網(wǎng)絡(luò)所使用的域名，或關(guān)閉其命令與控制服務(wù)器的網(wǎng)絡(luò)連接，是一種最直接有效的方法。僵尸網(wǎng)絡(luò)的防御與反制是一項(xiàng)較為復(fù)雜的工作，下面介紹常用的幾種方法。操作系統(tǒng)和網(wǎng)絡(luò)體系結(jié)構(gòu)存在的局限性，是僵尸網(wǎng)絡(luò)產(chǎn)生的根本原因。目前操作系統(tǒng)和軟件的漏洞導(dǎo)致易感染僵尸程序，而互聯(lián)網(wǎng)開放式的端到端通信方式，使得攻擊者可以相對容易地對僵尸程序進(jìn)行控制。要從根本上解決僵尸網(wǎng)絡(luò)威脅，需要系統(tǒng)和網(wǎng)絡(luò)體系結(jié)構(gòu)的改變，而這些改變在短時間內(nèi)是難以實(shí)現(xiàn)的。正由于此，僵尸網(wǎng)絡(luò)如今逐漸形成了一種攻防雙方持續(xù)對抗和競爭的態(tài)勢。卡巴斯基反病毒軟件是世界上擁有最尖端科技的殺毒軟件之一?？ò退够偛吭O(shè)在俄羅斯首都莫斯科，全名“卡巴斯基實(shí)驗(yàn)室”，是國際著名的信息安全領(lǐng)導(dǎo)廠商。經(jīng)過20多年與計(jì)算機(jī)病毒的戰(zhàn)斗，卡巴斯基獲得了獨(dú)特的知識和技術(shù)，成為病毒防衛(wèi)的技術(shù)領(lǐng)導(dǎo)者。該公司的旗艦產(chǎn)品——著名的卡巴斯基安全軟件，主要針對家庭及個人用戶，能夠徹底保護(hù)用戶計(jì)算機(jī)不受各類互聯(lián)網(wǎng)威脅的侵害。2.7.1使用卡巴斯基安全軟件掃描病毒木馬專家2019是一款著名的木馬查殺軟件，軟件除采用傳統(tǒng)特征庫查殺流行木馬外，還能智能查殺未知木馬，自動監(jiān)控內(nèi)存非法程序，以及實(shí)時查殺內(nèi)存和硬盤木馬等。2.7.2使用木馬專家2019查殺流行木馬謝謝觀賞THANKS網(wǎng)絡(luò)安全技術(shù)第三章網(wǎng)絡(luò)攻擊技術(shù)任何以干擾、破壞網(wǎng)絡(luò)系統(tǒng)為目的的非授權(quán)行為都可稱為網(wǎng)絡(luò)攻擊。網(wǎng)絡(luò)系統(tǒng)的攻擊者有黑客、間諜、恐怖主義者、職業(yè)犯罪分子、網(wǎng)絡(luò)系統(tǒng)內(nèi)部員工等。黑客是最常見的網(wǎng)絡(luò)攻擊者，其常用的攻擊手段有獲取用戶口令、放置木馬程序、電子郵件攻擊、網(wǎng)絡(luò)監(jiān)聽、利用賬號進(jìn)行攻擊、獲取超級用戶權(quán)限等。本章導(dǎo)讀本章將對黑客實(shí)施網(wǎng)絡(luò)攻擊的過程進(jìn)行詳細(xì)講解，包括信息收集、端口和漏洞掃描、網(wǎng)絡(luò)隱身、實(shí)施攻擊、植入后門和清除痕跡等，并通過實(shí)戰(zhàn)演練具體介紹如何使用各種工具實(shí)施網(wǎng)絡(luò)攻擊等。學(xué)習(xí)目標(biāo)掌握網(wǎng)絡(luò)攻擊的概念和類型。掌握網(wǎng)絡(luò)攻擊的常見形式。掌握網(wǎng)絡(luò)攻擊的一般過程。掌握收集攻擊目標(biāo)信息的方法。掌握網(wǎng)絡(luò)隱身的概念和常用方法。了解實(shí)施攻擊的操作和攻擊的作用點(diǎn)類型。掌握植入后門和清除攻擊痕跡的方法。

目錄3.1網(wǎng)絡(luò)攻擊概述3.2網(wǎng)絡(luò)攻擊的常見形式3.3網(wǎng)絡(luò)攻擊的一般過程3.4網(wǎng)絡(luò)攻擊的準(zhǔn)備階段3.5網(wǎng)絡(luò)攻擊的實(shí)施階段3.6網(wǎng)絡(luò)攻擊的善后階段3.7實(shí)戰(zhàn)演練晚上，古里水電站發(fā)生故障，導(dǎo)致委內(nèi)瑞拉大部分地區(qū)斷電，委內(nèi)瑞拉當(dāng)局設(shè)法恢復(fù)了該國“許多地區(qū)”的電力供應(yīng)。中午又受到一次攻擊，干擾了重新連接（電力系統(tǒng)）的過程，中午之前所有的系統(tǒng)都癱瘓了。委內(nèi)瑞拉總統(tǒng)尼古拉斯·馬杜羅表示，該國電力系統(tǒng)已成為最新一輪“網(wǎng)絡(luò)攻擊”的目標(biāo)。委內(nèi)瑞拉政府指責(zé)美國“蓄意破壞”，而美國官員則將停電歸咎于委內(nèi)瑞拉國內(nèi)腐敗和管理不善。2019年3月7日2019年3月9日2019年3月11日委內(nèi)瑞拉政府將3月7日的大規(guī)模停電歸咎于美國的“破壞”。總統(tǒng)尼古拉斯·馬杜羅指責(zé)華盛頓對本國發(fā)動“電力戰(zhàn)”，而通信和信息部長喬治·羅德里格斯則將停電歸咎于“美國精心策劃的網(wǎng)絡(luò)攻擊”。而包括公開支持委內(nèi)瑞拉政權(quán)更迭的美國參議員馬可·盧比奧在內(nèi)的美國官員，指責(zé)馬杜羅政府讓該國基礎(chǔ)設(shè)施接近崩潰地步。聲稱委內(nèi)瑞拉全國電力工人工會已經(jīng)預(yù)測到了將發(fā)生大規(guī)模停電，指責(zé)馬杜羅把本可以用來維修電力系統(tǒng)的錢裝進(jìn)了自己的口袋。網(wǎng)絡(luò)攻擊，沒有硝煙的戰(zhàn)爭由于信息披露有限，無法給出更為詳細(xì)的技術(shù)分析，但從馬杜羅總統(tǒng)言論來看，有多個關(guān)鍵詞值得關(guān)注：“電網(wǎng)再次受到攻擊”“網(wǎng)絡(luò)攻擊”“發(fā)電機(jī)遭受攻擊”“內(nèi)部攻擊”等。不言而喻，這是一起非常典型的工控安全事件，發(fā)起者目標(biāo)明確，整個攻擊過程有組織、有計(jì)劃、多渠道、持續(xù)性展開。在遭受嚴(yán)重?fù)p失的同時，也充分暴露出委內(nèi)瑞拉關(guān)鍵信息基礎(chǔ)設(shè)施安全防護(hù)投入的不足，安全事件的應(yīng)急處理手段有待加強(qiáng)。委內(nèi)瑞拉是一個資源豐富的國家，石油、天然氣探明儲量位居世界前列，水力資源也極為豐富。由于近幾年來國內(nèi)局勢的動蕩，敵對勢力、恐怖組織的破壞行為持續(xù)存在。在所有的破壞行為中，通過網(wǎng)絡(luò)進(jìn)行攻擊無疑是一種更為便捷、投入產(chǎn)出比更高的方式，其帶來的影響往往也是深遠(yuǎn)的。前車之鑒，加強(qiáng)國內(nèi)的電力系統(tǒng)工控安全建設(shè)作為現(xiàn)代戰(zhàn)爭的一種重要作戰(zhàn)手段，通過網(wǎng)絡(luò)攻擊打擊對手的國家基礎(chǔ)設(shè)施，從而造成生產(chǎn)停止、通信中斷、交通癱瘓、能源供給不足等重大損失，其破壞性遠(yuǎn)勝于常規(guī)炮火打擊，甚至可以決定戰(zhàn)爭的走勢。居安思危，對于這些正在發(fā)生的網(wǎng)絡(luò)攻擊事件，我們應(yīng)該引以為鑒。

從委內(nèi)瑞拉遭受的此次攻擊來看，整個電力系統(tǒng)的多個環(huán)節(jié)都遭到了攻擊，并且攻擊的渠道也呈現(xiàn)多樣化。就我國而言，電力系統(tǒng)體系龐大、系統(tǒng)復(fù)雜，如何做好安全防護(hù)工作，需要引起我們進(jìn)一步的思考。

建立和發(fā)展一種信息安全方案是電力系統(tǒng)安全的基礎(chǔ)。應(yīng)根據(jù)情況建立一套切合實(shí)際需要的安全防御體系。電力包括其他工業(yè)領(lǐng)域的工控安全建設(shè)是一個持久戰(zhàn)，從點(diǎn)到面，從被動到主動，從安全防御到態(tài)勢感知，從技術(shù)手段到安全管理，需要不斷地持續(xù)優(yōu)化。只有這樣，才能應(yīng)對瞬息萬變的對峙局面，也只有這樣，才能打贏未來的“網(wǎng)絡(luò)戰(zhàn)爭”。一二指攻擊僅僅發(fā)生在入侵行為完成，且入侵者已在目標(biāo)網(wǎng)絡(luò)中；指可能使網(wǎng)絡(luò)系統(tǒng)受到破壞的所有行為。網(wǎng)絡(luò)攻擊的定義網(wǎng)絡(luò)攻擊可對網(wǎng)絡(luò)系統(tǒng)的保密性、完整性、可用性、可控性和可審查性等造成威脅和破壞。獲取超級用戶權(quán)限，對系統(tǒng)進(jìn)行非法訪問獲取所需信息，包括科技情報(bào)、個人資料、銀行卡密碼及系統(tǒng)信息等篡改、刪除或暴露數(shù)據(jù)資料，達(dá)到非法目的利用系統(tǒng)資源，對其他目標(biāo)進(jìn)行攻擊、發(fā)布虛假信息、占用存儲空間等占滿服務(wù)器的所有服務(wù)線程或網(wǎng)絡(luò)帶寬，使其癱瘓，無法正常提供服務(wù)攻擊網(wǎng)絡(luò)系統(tǒng)的目的網(wǎng)絡(luò)攻擊的基本特征是：由攻擊者發(fā)起并使用一定的攻擊工具，對目標(biāo)網(wǎng)絡(luò)系統(tǒng)進(jìn)行攻擊訪問，并呈現(xiàn)出一定的攻擊效果，實(shí)現(xiàn)了攻擊者的攻擊意圖。根據(jù)攻擊實(shí)現(xiàn)方法的不同，可將網(wǎng)絡(luò)攻擊分為主動攻擊和被動攻擊兩類。1．主動攻擊主動攻擊是指攻擊者為了實(shí)現(xiàn)攻擊目的，主動對需要訪問的信息進(jìn)行非授權(quán)的訪問行為。針對系統(tǒng)可用性的攻擊，主要通過破壞計(jì)算機(jī)硬件、網(wǎng)絡(luò)和文件管理系統(tǒng)來實(shí)現(xiàn)。最常見的是拒絕服務(wù)，針對身份識別、訪問控制、審計(jì)跟蹤等應(yīng)用的攻