篇一:入侵检测
入侵检测论文
摘 要:入侵检测作为一种主动的安全防护手段,为主机和网络提供了动态的安全保障.它不仅检测来自外部的入侵行为,同时也对内部的未授权活动进行监督.利用网络协议的高度规则性,采用协议分析的方法,结合优秀的模式匹配算法,融合比较先进的数据挖掘和数据融合方法,能较好地解决当前入侵检测系统中准确性与实时性等问题.
首先,本文在研究现有入侵检测技术国内外发展现状及理论的基础上,重点研究了模式匹配、协议分析、数据挖掘和数据融合几种有代表性的检测方法.相对于传统的模式匹配检测方法,将其他领域的新技术融入入侵检测中能更加有效的减少匹配检测的计算量、误报率和漏报率.其次,在深入研究入侵检测方法的基础上,对轻量级网络入侵检测系统Snort的特性、功能及规则进行了全面详细的研究,并在Linux系统环境下借助Snort搭建了一个典型的入侵检测系统作为具体实例,接着通过相关实验进行分析研究.最后将协议匹配方法应用到网络入侵检测过程中,通过编程在VC++环境下,借助Winpcap实现了对网络数据包的捕获到协议匹配的全过程.由此对入侵检测方法有了更深一层的认识,并对如何搭建一个相对完善的入侵检测系统的具体过程由理论深入到实际的层面.
关键词:入侵检测;Snort;模式匹配;协议分析;Linux
近年来计算机技术水平飞速发展,网络信息安全越来越受到重视.网络技术飞速发展的同时,各种网络技术漏洞和各种意图的网络攻击者也越来越多,网络入侵和攻击的现象仍然是屡见不鲜,而网络攻击者的技术和知识也日趋专业成熟,攻击工具与手法日趋复杂多样.计算机网络安全、信息安全已经成为一个国际性的问题,每年全球因计算机网络的安全问题而造成的经济损失高达数百亿美元,且这个数字正在不断增加.传统的加密和防火墙技术等被动防范技术已经不能完全满足现今的安全需要,想要保证网络信息和网络秩序的安全,就必须要更强有力和更完善的安全保护技术.近年来,入侵检测技术以其强有力的安全保护功能进入了人们的视野,也在研究领域形成了热点.
网络安全是一个系统的概念,制定有效的安全策略或方案是网络信息安全的首要任务.现有的网络安全策略主要有物理隔离、数据加密、信息隐藏、防火墙、身份识别和认证、入侵检测等.入侵检测技术是为保证计算机系统的安全而设计并配置的一种能够及时发现并报告系统中未授权现象或异常现象的技术,是一种用于检测计算机网络和系统中违反安全策略行为的技术.入侵检测系统的应用,可以在系统发生危害前检测到入侵攻击,并利用报警与防护系统响应入侵攻击,从而减少它所造成的损失.
入侵检测技术是近年来飞速发展起来的一种动态的集监控、预防和抵御系统入侵行为为一体的新型安全机制.作为传统安全机制的补充,入侵检测技术不再是被动的对入侵行为进行识别和防护,而是能够提出预警并实行相应反应动作.入侵检测系统(IDS,Intrusion Detection System)可以识别针对计算机系统和网络系统,或更广泛意义上的信息系统的非法攻击,包括检测外界非法入侵者的恶意攻击或试探,以及内部合法用户的超越使用权限的非法行动.通常来说入侵检测是对计算机和网络资源上的恶意使用行为进行识别和相应处理的过程,具有智能监控、实时探测、动态响应、易于配置等特点[1].
与防火墙不同的是,入侵检测不仅能检测外部非法入侵者的攻击和试探,同时还能发现内部合法用户的超越权限的非法行为.作为一种积极主动的安全防护方式,入侵检测系统不仅是防火墙有效的补充,还可以使系统管理员实时的了解网络系统中的各种变化,并根据记录的各种监控数据(如日志文件等)做出分析,为网络安全策略的制定提供指南.计算机网络安全是一项系统工程,应该在整体的安全策略的控制和指导下,综合运用各种防护工具的
同时,利用检测工具了解和评估系统状态,通过适当的反应将系统调整到相对最安全和风险最低的状态.
入侵检测方法是所有入侵检测领域中起到承前启后作用的关键环节,是实现系统安全策略保证网络安全的关键,也是当前网络安全研究的热点.当前的入侵检测方法中,有的是检测操作系统漏洞.有的是检测应用程序的实现上的漏洞,有的是检测针对网络Protocol漏洞而进行的攻击,有的是检测加密算法的弱点或针对其的密码破解,有的是检测目前常见的拒绝服务攻击和分布式拒绝服务攻击.本研究重点分析了基于模式匹配和Protocol分析的入侵检测方法,Snort作为目前应用较广的开源网络入侵检测系统,提供对网络实时流量的分析和数据包记录.Snort可以提供Protocol分析、内容查找和匹配,可以用它来检测各种攻击和探测,如缓冲区溢出、隐蔽端口扫描、CGI攻击、SMB探测、操作系统指纹识别常识等.
在一个实用的入侵检测系统中, 最重要的部分是检测方法,也就是采用什么技术进行入侵行为检测.检测技术主要分为误用检测和异常检测两大类, 模式匹配技术属于误用检测, 也是最常用、最实用的一种数据检测技术.只有加深对入侵检测方法的研究才能使入侵检测技术及相关领域有更快更好的发展,研究核心的入侵检测方法将是十分有意义和效果的.研究已有的检测方法所具有的特点,包括优点和缺点才能更好的了解现有入侵检测方法的优势和劣势,以便提出更好的检测方法,更加灵活和有效的融入入侵检测技术,提高检测效率.
随着社会经济及现代科技水平的不断发展,信息已经成为国家的主要财富和重要战略资源.国家综合实力的竞争越来越集中在信息优势的争夺上,而要占据信息优势的高地,最直接的表现在信息安全与对抗方面.信息安全问题的迅速增加,使各国的计算机系统特别是网络系统面临着很大的威胁,受到越来越多的关注.信息安全所导致的损失不仅是指信息自身价值所遭受的损失,更多的是其可能造成的其它方面的更大损失.为保证信息的安全可靠,除了运用法律和管理等手段,更需要依靠技术方法实现,先进的技术是实现信息安全的有力保障.
而近年来计算机技术水平飞速发展,网络信息安全越来越受到重视.网络信息安全主要是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断.计算机网络安全多是利用网络管理和控制技术,保证网络系统环境中信息数据的机密性、完整性和可用性,保护其不被偷看、窃取和修改.
在目前的计算机网络技术飞速发展和应用的前提下,网络安全相关技术已经得到了应有的重视和深入研究、应用.但网络入侵和攻击的现象仍然是屡见不鲜,攻击者数目增多,知识日趋专业成熟,攻击工具与手法日趋复杂多样,这些都对网络信息安全提出了全新的考验.网络安全问题既包括网络系统的安全,又包括网络信息的安全和机密性.目前网络和计算机所面临的主要安全威胁有:
⑴病毒:可引起计算机或网络故障,破坏计算机数据或影响网络正常服务,如蠕虫病毒、邮件病毒、QQ病毒、手机病毒等.
⑵特洛伊木马:该黑客软件能把程序的服务器端植入目标主机中,通过目标主机上的客户端程序彻底控制目标主机.
⑶缓冲区溢出攻击:利用设计漏洞进行的攻击,据统计现在网络中的攻击行为80%与缓冲区溢出漏洞有关.
⑷拒绝服务攻击:恶意造成拒绝服务,造成目标系统无法正常工作或瘫痪,或造成网络阻塞. ⑸扫描:若被恶意使用和隐蔽使用于探测他人主机的有用信息作为实施下一步攻击的前奏,此类扫描也构成了对网络安全的威胁.
⑹嗅探:可捕获主机所在网络的所有数据包,一旦被恶意利用,获取了目标主机的关键信息则可对目标主机实施进一步攻击.
⑺Web欺骗:通过URL重写技术和信息掩盖技术讲URL重定向到攻击者的主机,从而监视、记录访问者的信息,同时尽量掩盖这种欺骗行为.
⑻IP欺骗:攻击者可通过技术手段利用TCP/IPProtocol的缺陷,伪装成被信任主机,试用被信任主机的源地址与目标主机进行会话,在目标主机不知的情况下实施欺骗行为.
⑼口令破解:攻击者若通过一定手段取得用户口令,提升权限进入目标系统,对目标主机进行完全控制.常用的口令破解手段有暴力破解、利用Protocol或命令的漏洞、植入木马等. 目前的主要网络安全威胁根据互联网的层次大致可分为三个层次:主干网络的威胁、TCO/IPProtocol安全问题、Web应用程序安全.而我们常见的多是针对于电子商务、网上银行、企业协作、交易管理等网站的黑客攻击,但目前绝大多数企业并没有为自己的应用程序、网站和服务器采取更加深入且有效的安全措施,如防火墙、入侵检测等功能.
传统的计算机安全模型主要作用于单机系统,由于网络的普遍应用和技术发展,传统的模型已不足以应对外界攻击.而随着网络黑客恶意攻击技术的不断提高和更新,安全模型和技术也向更高层次发展.P2DR模型就是能适应不断变化的网络环境、发现网络服务器和设备中的新漏洞、不断查明网络中存在的安全隐患等问题而提出的新的网络安全模型,如图2-1所示.该模型以安全策略为核心,通过一致的检查,流量统计,异常分析,模式匹配以及应用、目标、主机、网络入侵检查等方法进行安全漏洞检测,使系统从静态防护转化为动态防护[5].
图2-1 P2DR模型
传统的安全技术大致可分为静态安全技术和动态安全技术这两类,我们熟知的防火墙就是静态安全技术的代表产品,主要用于保护系统抵御外部的攻击.而动态的安全技术应该是增强了主动的检测能力,在于其主动性.目前采用的一些传统的安全机制主要有:
⑴数据加密技术
⑵访问控制技术
⑶认证技术
⑷数据完整性控制技术
⑸安全漏洞扫描技术
⑹防火墙技术
其中的防火墙技术是防范网络攻击最常用的方法,即在用户网络和因特网之间插入了一个中间系统,形成了一个安全屏障,将用户网络和因特网分割开.
虽然防火墙提供了较
强的防护能力,但它仍有着局限性.首先,防火墙不能阻止用户网络内部对用户网络的攻击,它只提供了网络边缘的防护;其次,防火墙不能阻止未知的恶意代码的攻击,如病毒、特洛依木马等.由此可看出,作为对防火墙技术的补充,入侵检测的动态防护特点足以成为实现网络安全的新的解决策略.引入入侵检测技术,相当于在计算机系统中引入了一个闭环的安全策略.计算机的多种安全策略,如:防火墙、身份认证、访问控制、数据加密等,通过入侵检测系统进行安全策略的反馈,从而进行及时的修正,大大提高了系统的安全性.
Linux 操作系统是一套开放的由Unix发展起来的多用户、多任务的网络操作系统.它具有稳定性强、高可靠性等系统性能,容易建构网络sever,又由于Linux有免费、开放源代码的特性,目前越来越多的Internet应用服务器和主机采用了Linux系统.由此,Linux系统的安全问题也日益成为人们关注的焦点.
开放的源代码为实现Linux 主机安全系统提供了极大的方便———能够获得系统调用的充分信息.可以通过修改主机系统函数库中的相关系统调用,引入安全控制机制,从而将防火墙对于网络信息的处理和操作系统中用户使用资源的访问控制紧密结合起来,让防火墙模块和操作系统配合起来协同工作.但开放的源代码也为黑客攻击提供了方便,攻击者可以利用Linux系统的安全漏洞而获得超级用户权限,从而达到控制root 系统的目的,这些攻击者利用系统的漏洞侵入以后,通常都是通过非法执行一些敏感的系统调用来完成攻击.
目前通常说的入侵就是指对系统资源的非授权操作,可造成系统数据的丢失和破话、甚至会造成系统具绝对合法用户服务等问题.Smaha从分类的角度将入侵描述成尝试性闯入、伪装攻击、安全控制系统渗透、泄露、拒绝服务、恶意使用等六类.入侵者通常可分为外部入侵者,例如黑客等系统的非法用户,和内部入侵者,即越权使用系统资源的用户.
入侵检测技术是近年来飞速发展起来的一种动态的集监控、预防和抵御系统入侵行为为一体的新型安全机制.作为传统安全机制的补充,入侵检测技术不再是被动的对入侵行为进行识别和防护,而是能够提出预警并实行相应反应动作.美国国际计算机安全协会(ICSA)将入侵检测定义为:通过从计算机网络或计算机系统中的若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象的一种安全技术.违反安全策略的行为有入侵和滥用.通常来说入侵检测是对计算机和网络资源上的恶意使用行为进行识别和相应处理的过程,具有智能监控、实时探测、动态响应、易于配置等特点.入侵检测的目标就是通过检查操作系统的安全日志或网络数据包信息来检测系统中违背安全策略或危及系统安全的行为或活动,从而保护信息系统的资源免受拒绝服务攻击、防止系统数据的泄漏、篡改和破坏.传统安全机制大多针对的是外部入侵者,而入侵检测不仅可以检测来自外部的攻击,同时也可以监控内部用户的非授权行为.作为新型的安全机制,入侵检测技术的研究、发展和应用加强了网络与系统安全的保护纵深,使得网络、系统安全性得到进一步的提高.目前在入侵检测系统中常用的检测方法有:
(1) 模式匹配 Pattern Matching
(2) 统计分析 Statistical Analysis
(3) 专家系统 Expert System
(4) 神经网络 ANN
(5) 模糊系统 Fuzzy Systems
(6) 遗传算法 GA
(7) 免疫系统 Immune System
(8) 数据挖掘 Data Mining
(9) 数据融合 Fusion
(10) Protocol分析 Protocol Analysis
入侵检测系统(IDS,Intrusion Detection System)可以识别针对计算机系统和网络系统,
或更广泛意义上的信息系统的非法攻击,包括检测外界非法入侵者的恶意攻击或试探,以及内部合法用户的超越使用权限的非法行动.一般来讲就是通过分析系统安全相关数据来检测入侵活动的系统.入侵检测系统在功能结构上基本一致,由数据采集、数据分析及用户界面等组成,不同的入侵检测系统只是在分析采集数据方法及数据类型等方面有所不同.入侵检测系统的研究最早可追溯到1980年,James Aderson首先提出了入侵检测的概念,1987年
D.E.Denning首次给出了入侵检测的抽象模型,并将入侵检测作为一种新的安全防御措施提出[6].早期的入侵检测系统都是基于主机的系统,主要检测用户对数据库的异常访问等.后期随着网络的普及和发展,入侵检测系统也开始向网络方面发展.
作为一种主动防护技术,入侵检测系统可以在攻击发生时记录攻击者的行为、发出报警,必要时还可以追踪攻击者,可以独立运行,也可以与防火墙等安全技术协同工作,更好地保护网络安全.一个入侵检测系统能够完成监控分析用户和系统活动,发现入侵企图或异常现象,记录、报警和响应等.具体来说入侵检测系统的主要功能可分为:
⑴检测并分析用户和系统活动.
⑵核查系统配置和漏洞.
⑶评估系统关键资源和数据文件的完整性.
⑷识别已知的攻击行为.
⑸统计分析异常行为.
⑹对操作系统日志进行管理,并识别违反安全策略的用户活动.
入侵检测系统的应用,能使在入侵攻击对系统发生危害前,检测到入侵攻击,并利用报警与防护系统驱逐入侵攻击.减少入侵攻击过程带来损失,在入侵后收集入侵攻击的相关信息,作为防范系统的知识加入知识库,增强系统防范能力.从功能逻辑上讲,入侵检测系统由探测器(Sensor)、分析器(Analyzer)、用户接口(User Interface)组成.目前的入侵检测系统主要分为两类:
⑴基于主机的入侵检测系统:主要用于保护某一台主机的资源不被破坏.
⑵基于网络的入侵检测系统:主要用户保护整个网络不被破坏.
美国国防部高级研究计划署(DARPA)提出了CIDF(公共入侵检测框架),阐述了一个入侵检测系统的通用模型,可将入侵检测系统分为四个组件:事件产生器、事件分析器、响应单元、事件数据库.他们在入侵检测系统中的位置和相互关系如图2-2所示.现在的入侵检测系统多采用分布式体系结构,使用代理和移动代理技术[6].
图2-2 入侵检测系统通用模型
事件产生器负责原始数据采集,对数据流和日志文件进行追踪,将搜集到的原始数据转换为事件,提供给系统其他部分.事件分析器接收事件并进行分析,判断为入侵行为或异常现象后转换为警告信息.事件数据库存放各种中间和最终数据,响应单元根据警告信息作出
篇二:病毒基本知识
第十二讲
网络安全与管理
教师:汪洪祥
项目4 计算机病毒及防治
项目1 双机互连对等网络的组建
2013/11/24
本讲的主要内容:
一、项目提出
二、项目分析
三、相关知识点
1.病毒的定义与特征
2.病毒的分类
3.宏病毒的蠕虫病毒
4.木马
5.反病毒技术
4.1 项目提出
有一天,小李在QQ聊天时,收到一位网友发来的信息,如图4-1所示,出于好奇和对网友的信任,小李打开了网友提供的超链接,此时突然弹出一个无法关闭的窗口,提示系统即将在一分钟以后关机,并进入一分钟倒计时状态,如图4-2所示。
小李惊呼上当受骗,那么小李的计算机究竟怎么了?
4.2 项目分析
小李的计算机中了冲击波(Worm.Blaster)病毒。
2002年8月12日,冲击波病毒导致全球范围内数以亿计的计算机中毒,所带来的直接经济损失达数十亿美金。
病毒运行时会不停地利用IP扫描技术寻找网络上系统为Windows 2000或XP的计算机,找到后就利用RPC缓冲区漏洞攻击该系统,一旦攻击成功,病毒体将会被传送到对方计算机中进行感染,使系统操作异常、不停重新启动、甚至导致系统崩溃。
另外,该病毒还会对Microsoft的一个升级网站进行拒绝服务攻击,导致该网站堵塞,使用户无法通过该网站升级系统。
4.2 项目分析
病毒手动清除方法:用DOS系统启动盘启动进入DOS环境下,删除C:\windows\msblast.exe文件;也可安全模式下删除该文件。
预防方法:打上RPC漏洞安全补丁。
据北京江民新科技术有限公司统计,2011
年上半年最为活跃的病毒类型为木马
病毒,其共占据所有病毒数量中60%的比例。其次,分别为蠕虫病毒和后门病毒。这三种类型的病毒共占据所有病毒数量中83%的比例,如图4-3所示,可见目前网民面临的首要威胁仍旧来自于这三种传统的病毒类型。
防范计算机病毒等的有效方法是除了及时打上各种安全补丁外,还应安装反病毒工具,并进行合理设置,比较常见的工具有360杀毒软件、360安全卫士等。 6
4.3 相关知识点
4.3.1 计算机病毒的概念与特征
1. 计算机病毒的定义
计算机病毒在《中华人民共和国计算机信息系统安全保护条例》中被明确定义,病毒指“编制者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。
4.3 相关知识点
2 计算机病毒的特征
①传染性。计算机病毒会通过各种媒介从已被感染的计算机扩散到未被感染的计算机。这些媒介可以是程序、文件、存储介质、网络等。
②隐蔽性。不经过程序代码分析或计算机病毒代码扫描,计算机病毒程序与正常程序是不容易区分的。在没有防护措施的情况下,计算机病毒程序一经运行并取得系统控制权后,可以迅速感染给其他程序,而在此过程中屏幕上可能没有任何异常显示。这种现象就是计算机病毒传染的隐蔽性。
③潜伏性。病毒具有依附其他媒介寄生的能力,它可以在磁盘、光盘或其他介质上潜伏几天,甚至几年。不满足其触发条件时,除了感染其他文件以外不做破坏;触发条件一旦得到满足,病毒就四处繁殖、扩散、破坏。
④触发性。计算机病毒发作往往需要一个触发条件,其可能利用计算机系统时钟、病毒体自带计数器、计算机内执行的某些特定操作等。如CIH病毒在每年4月26日发作,而一些邮件病毒在打开附件时发作。
4.3 相关知识点
⑤破坏性。当触发条件满足时,病毒在被感染的计算机上开始发作。根据计算机病毒的危害性不同,病毒发作时表现出来的症状和破坏性可能有很大差别。
从显
示一些令人讨厌的信息,到降低系统性能、破坏数据(信息),直到永久性摧毁计算机硬件和软件,造成系统崩溃、网络瘫痪等。
⑥不可预见性。病毒相对于杀毒软件永远是超前的,从理论上讲,没有任何杀毒软件可以杀除所有的病毒。
为了达到保护自己的目的,计算机病毒作者在编写病毒程序时,一般都采用一些特殊的编程技术,例如:
①自加密技术。就是为了防止被计算机病毒检测程序扫描出来,并被轻易地反汇编。计算机病毒使用了加密技术后,对分析和破译计算机病毒的代码及清除计算机病毒等工作都增加了很多困难。
②采用变形技术。当某些计算机病毒编制者通过修改某种已知计算机病毒的代码,使其能够躲过现有计算机病毒检测程序时,称这种新出现的计算机病毒是原来被修改前计算机病毒的变形。当这种变形了的计算机病毒继承了原父本计算机病毒的主要特征时,就称为是其父本计算机病毒的一个变种。
4.3 相关知识点
③对抗计算机病毒防范系统。计算机病毒采用对抗计算机病毒防范系统技术时,当发现磁盘上有某些著名的计算机病毒杀毒软件或在文件中查找到出版这些软件的公司名称时,就会删除这些杀毒软件或文件,造成杀毒软件失效,甚至引起计算机系统崩溃。
④反跟踪技术。计算机病毒采用反跟踪措施的目的是要提高计算机病毒程序的防破译能力和伪装能力。常规程序使用的反跟踪技术在计算机病毒程序中都可以利用。
4.3 相关知识点
4.3.2 计算机病毒的分类
1. 按病毒存在的媒体分
网络病毒,文件型病毒,引导型病毒
网络病毒通过计算机网络传播感染网络中的可执行文件
文件型病毒感染计算机中的文件(如:.com、.exe和.bat文件等)
引导型病毒感染启动扇区(Boot)和硬盘的系统主引导记录(MBR)。
4.3 相关知识点
2. 按病毒传染的方法分
驻留型病毒和非驻留型病毒
驻留型病毒感染计算机后,把自身的内存驻留部分放在内存(RAM)中,这一部分程序挂接系统调用并合并到操作系统中去,它处于激活状态,一直到关机或重新启动。
非驻留型病毒在得到机会激活时并不感染计算机内存
4.3 相关知识点
3. 按病毒破坏的能力分
无害型、无危险型、危险型和非常危险型。
①无害型。除了传染时减少磁盘的可用空间外,对系统没有其它影响。 ②无危险型。这类病毒仅仅是减少内存、显示图像、发出声音及音响。 ③危险型。这类病毒在计算机系统操作中造成严重的错误。
④非常危险型。这类病毒删除程序、破坏数据、清除系统内存区和操作系统中重要的信息。
4.3 相关知识点
4. 按病毒链接的方式分
①源码型病毒。该病毒攻击高级语言编写的程序,该病毒在高级语言所编写的程序编译前插入到源程序中,经编译成为合法程序的一部分。
②嵌入型病毒。这种病毒是将自身嵌入到现有程序中,把病毒的主体程序与其攻击的对象以插入的方式链接。这种病毒是难以编写的,一旦侵入程序体后也较难消除。
③外壳型病毒。该病毒将其自身包围在主程序的四周,对原来的程序不作修改。这种病毒最为常见,易于编写,也易于发现,一般测试文件的大小即可知道。 ④操作系统型病毒。这种病毒用它自己的程序意图加入或取代部分操作系统的程序模块进行工作,具有很强的破坏性,可以导致整个系统的瘫痪。
4.3 相关知识点
5. 按病毒激活的时间分
①定时型病毒。定时型病毒是在某一特定时间才发作的病毒,它以时间为发作的触发条件,如果时间不满足,此类病毒将不会进行破坏活动。
②随机型病毒。与定时型病毒不同的是随机型病毒,此类病毒不是通过时间进行触发的。
4.3 相关知识点
4.3.3 宏病毒和蠕虫病毒
1. 宏病毒
宏(Macro)是Microsoft公司为其Office软件包设计的一项特殊功能,Microsoft公司设计它的目的是让人们在使用Office软件进行工作时避免一再地重复相同的动作。
利用简单的语法,把常用的动作写成宏,在工作时,可以直接利用事先编写好的宏自动运行,完成某项特定的任务,而不必再重复相同的动作,让用户文档中的一些任务自动化。
4.3 相关知识点
使用Word软件时,通用模板(Normal.dot)里面就包含了基本的宏,因此当使用该模板时,Word为用户设定了很多基本的格式。
宏病毒是用 Visual Basic语言编写的,这些宏病毒不是为了方便人们的工作而设计的,而是用来对系统进行破坏的。
当含有这些宏病毒的文档被打开时,里面的宏病毒就会被激活,并能通过DOC文档及DOT模板进行自我复制及传播。
以往病毒只感染程序,不感染数据文件,而宏病毒专门感染数据文件,彻底改变了“数据文件不会传播病毒”的错误认识。宏病毒会感染Office的文档及其模板文件。
4.3 相关知识点
宏病毒防范措施
①提高宏的安全级别。目前,高版本的Word软件可以设置宏的安全级别,在不影响正常使用的情况下,应该选择较高的安全级别。
②删除不知来路的宏定义。
③将Normal.dot模板进行备份,当被病毒感染后,使用备份模板进行覆盖。 如果怀疑外来文件含有宏病毒,可以使用写字板软件打开该文件,然后将文本粘贴到Word文档中,转换后的文档是不会含有宏病毒的。
4.3 相关知识点
篇三:浙江大学远程教育《信息系统安全》第二次作业答案-
《信息系统安全》第二次作业
一、判断题
1、 美国国家计算机安全中心把操作系统安全等级分为三级。(X)
2、 Window系统的登陆是使用三键登陆界面,既同时按下Ctrl,Alt,Del三个键,这三个键是不能被屏蔽的,这样的目的是为了有效防止黑客程序偷梁换柱。(X)
3、 软件破解是指制作破解工具,针对新出现的保护方式进行跟踪分析以找到相应的破解方法,保护软件版权。(X)
4、 恶意软件是指在未明确提示用户或未经用户许可的情况下,在用户计算机或其他终端上安装运行,侵犯用户合法权益的软件。(对)
5、 在别人的网站文件里面放入网页木马或者是将代码潜入到对方正常的网页文件里,以使浏览者中马,这种方法叫做挂马。(对)
6、 木马是伪装成对计算机有用的工具软件或补丁程序,诱使用户安装的“秘密程序”,它在得到许可的情况下对计算机进行访问和破坏。(X)
7、 计算机病毒是一种机器制造的、在计算机运行中对计算机信息或系统起破坏作用的程序。(X)
8、 “邮件病毒”和普通的病毒在程序上是一样,只不过由于它们的传播途径主要是通过电子邮件,所以才被称为“邮件病毒”。(对)
9、 软件加密就是加密软件,如WinRAR。(X)
10、 U盾(USBKey)是中国工商银行率先推出的一种用于在网络上以客户端的形式识别客户身份的数字证书,它是一个带智能芯片、形状类似于闪存(即U盘)的实物硬件,结合IC卡与数字证书、数字签名等技术,确保网上交易的保密性、真实性、完整性和不可否认性,因此属于软件加密技术。(对)
11、 拒绝服务攻击(Denial of Service,DOS)是网络信息系统由于管理员设置,不能为授权用户提供正常的服务。(X)
二、选择题
1、 最小特权原则是指在完成某种操作时,赋予某个主体(用户或进程)(A)特权。
A、尽可能少B、对应主体等级 C、对客体的各种
是A,除了“必不可少”的权利以外,不给更多的权利。
2、 在windows操作系统中,安全审计功能包括(D)。 D、有监督的
A、使用密码登录 B、注册表维护设置信息 C、防火墙 D、日志系统
3、 一台计算机有两个用户使用,通过软件设置访问权限为:张三能访问D盘不能访问E盘,李四能访问E盘不能访问D盘。这种方法属于(C)。
A、物理隔离B、时间隔离 C、逻辑隔离 D、密码技术隔离
4、 用金山游侠(一种游戏修改工具,可以修改游戏中的数据,例如改子弹数量等)修改其他软件的数据,这破坏了操作系统安全中的(B)。
A、设备共享B、内存保护 C、文件保护 D、补丁安装
D、操作系统 5、 定期安装系统补丁就是(D)的不定期错误漏洞修复程序。 A、应用软件B、游戏软件 C、硬件驱动
6、 在一个软件的开发过程中,一开始有很多因素是没有考虑到的,但随着时间的推移,软件所存在的问题会慢慢的被发现。这时候,为了对软件本身存在的问题进行修复,软件
开发者会发布相应的(C)。
A、后门软件B、病毒库
7、 以下具有安全扫描功能的软件是(B)。
A、IE B、Nessus
8、 软件版权的英文是(A)。 C、补丁 C、QQ D、Bug D、sniffer pro
A、CopyrightB、Copyleft C、GPLD、LGPL
9、 源代码在一个版权许可证下是可用的,允许用户来研究、改变和改进软件,和重新分配
它改善的或未改善的形式,这一类软件称之为:B
A、绿色软件B、开源软件 C、商业软件
10、
识产权被拘留。这种盗版行为属于(D)。
A、硬盘预装盗版 B、企业盗版 C、光盘盗版 D、互联网盗版
11、 2009年美国一联邦陪审团认定明尼苏达州一名女子从因特网上非法下载24首歌曲
构成侵权,决定每首罚款8万美元,共计190万美元。这种盗版行为属于(D)。
A、硬盘预装盗版 B、企业盗版 C、光盘盗版 D、互联网盗版
12、 Google自推出中文输入法一来,引起了业界的一片讨伐之声,网民直指Google盗
用搜狗输入法词库。如果成立,则这种盗版行为属于(B)。
A、硬盘预装盗版 B、软件仿冒盗版C、光盘盗版 D、互联网盗版
13、 软件为了防止盗版,采取了一定的保护措施。在用户注册的时候会根据用户软件所
安装的计算机软硬件信息生成唯一的识别码,称之为(A)
A、序列号B、破解版 C、注册机
14、 软件破解的英文是(B)。
A、Bug B、Crack
15、 木马不具备(D)特点。
A、欺骗性B、隐蔽性C、Hacker D、注册版 D、virus D、善意性 D、外包软件 番茄花园是一个网站,提供操作系统的GHOST镜像,其作者涉嫌侵犯微软公司知C、非授权性
16、 以下说法中(D)不是木马的特征。
A、木马高度隐藏性,通常不具备传播能力,所以高度的隐藏能提高其生存能力。
B、危害系统。木马多用一些高阶系统技术来隐藏自己,事必与一些正常软件或系统发生冲突,造成系统变慢、崩溃等现象,或是为达到隐藏的目的,大面积的禁用安全软件和系统功能。
C、盗窃机密信息、弹出广告、收集信息。
D、开启后门等待本地黑客控制,沦为肉机。
17、 计算机病毒是一种在用户不知情或批淮下,能(B)及运行的计算机程序。
A、潜伏 B、自我复制 C、盗窃信息 D、开启后门 18、 计算机病毒不具有(D)特点。
A、寄生性B、传染性
19、
A、网络 B、U盘
20、 杀毒软件的目标不是(D)。
C、潜伏性 D、非授权使用软件 D、纸质版数据 计算机病毒的传播途径不包括(D)。 C、电子邮件 A、消除电脑病毒 B、消除特洛伊木马
21、 杀毒软件的功能不包括(D)。 C、清除恶意软件 D、自动给系统打补丁
A、监控识别威胁 B、病毒扫描和清除 C、病毒库自动升级 D、防止网络监听
22、 使得应用软件的相关应用文档内含有被称为宏的可执行代码的病毒,称之为(D)。
A、引导区病毒 B、可执行文件病毒 C、网页病毒D、宏病毒
23、 张三发现计算机运行变得非常慢,查看任务管理器有个进程在不断自我复制,最有
可能感染了(C)。
A、加密病毒B、变形病毒 C、蠕虫病毒D、脚本病毒
24、 用JavaScript或者VBScript代码编写的恶意代码,一般带有广告性质,会修改您的
IE首页、修改注册表等信息,造成用户使用计算机不方便。这种病毒称之为(A)。
A、脚本病毒B、变形病毒 C、蠕虫病毒D、宏病毒
25、 通过大量发送声称来自于银行或其他知名机构的欺骗性垃圾邮件,意图引诱收信人
给出敏感信息(如用户名、口令、信用卡详细信息)的一种攻击方式,称之为(B)。
A、网站挂马B、网络钓鱼 C、网络病毒D、黑客攻击
26、 某设备,其内置的单片机里包含有专用于加密的算法软件,该软件被写入单片机后,
B、U盘 C、加密狗D、IC卡 就不能再被读出。这种设备称之为(C)。 A、打狗棒
27、 虚拟光驱是一类软件,在硬盘上制作一个映像文件,再通过特殊的驱动程序"骗"
过Windows操作系统,使操作系统认为有多个光驱,运行它可直接从硬盘上读取信息,其右键菜单与其它光驱无异,系统中多出的"光驱"就是我们的"虚拟光驱"。一些游戏要求运行时必备光盘,可以用虚拟光驱实现无实物光盘玩游戏。这种游戏使用了(A)防拷贝技术。
A、硬件 B、软件 C、网络 D、软件狗
28、 作者写完软件后,为了保护自己的代码或维护软件产权等利益所常用到的技术手
段,叫做(B)。
A、软件脱壳B、软件加壳C、软件压缩D、在关于中声明版权
29、 试用版免费下载,使用30天后过期,属于(B)。
A、软件脱壳技术 B、软件限制技术 C、软件盗版技术 D、软件反盗版技术
30、 数字版权管理(Digital Rights Management;简称:DRM)指的是出版者用来控制被
保护对象的使用权的一些技术,这些技术保护的有数字化内容(例如:软件、音乐、电影)以及硬件,处理数字化产品的某个实例的使用限制。经过对数字内容加密和增添附加描绘信息,使数字内容只要取得受权(或答应)才能运用。这属于(B)技术。
A、信息隐藏技术 B、信息加密技术 C、软件跟踪技术 D、软件脱壳技术
31、 周正龙拍摄老虎照片后,网易新闻发布了40张数码照片,详细注明了照片编号、
拍摄时间、焦距、快门、曝光模式、拍摄相机机型等原始数据。因为在数码相机拍摄的图片文件格式中都包括了这些数据,并不影响图片质量。这属于(A)。
A、信息隐藏技术 B、信息加密技术 C、软件跟踪技术 D、软件脱壳技术
32、 当内容发生改变时,水印信息会发生相应的改变,从而可以鉴定原始数据是
否被篡改。这种(A)可以用于完整性保护。
A、易损水印 B、鲁棒水印 C、音频水印 D、视频水印
33、 洪水攻击是采用很多台计算机作为向目标发送信息的攻击源头,让目标机器
停止提供服务或资源访问,从而使被攻击者更加难以防范,其术语为(B)。
A、拒绝服务攻击 B、分布式拒绝服务攻击 C、蠕虫攻击 D、病毒攻击
34、 张三去银行储蓄所,要求从一张卡取款1000元,存到另外一张卡中,再从第二张
卡中取款1000元,存到第一张卡中,如此50次,导致该柜台2小时只在做这个操作,这种属于(A)攻击。
A、拒绝服务攻击 B、分布式拒绝服务攻击 C、蠕虫攻击 D、病毒攻击
35、 某计算机被黑客远程控制,在系统开一个后门,方便黑客在需要的时候对你的计算
机进行控制或进行其他的操作,黑客可以通过黑客软件对别人进行攻击,如分布式拒绝
服务攻击。这台计算机不能称为(D)。
A、傀儡机B、肉机
三、简答题
1、 木马和病毒的区别在哪里。
答:
1、 木马程序与病毒的区别:
a) 最基本的区别就在于病毒有很强的传染性及寄生性,而木马程序则不同
b) 现在木马技术和病毒的发展相互借鉴,也使得木马具有了更好的传播性,病毒
具有了远程控制能力,这同样使得木马程序和病毒的区别日益模糊。
2、 简述木马的特点
答:
a) 常常伪装或者隐藏在合法程序中,这些代码或者执行特定的恶意行为,或者为
非授权访问系统的特权功能提供后门。
他们的最大的特征是隐秘性,偷偷混入对方的主机里面,但是却没有被对方发现,系统表现也正常。木马最大的特点是在系统中潜伏、隐藏,不易发现,伺机对系统或用户造成一定的危害
3、 简述计算机病毒的特点
答:
a) 是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算
机使用,并能自我复制的一组计算机指令或者程序代码。
计算机病毒一般具有以下几个特点:传染性,隐蔽性,潜伏性,破坏性,衍生性,寄生性等。其中传染性是计算机病毒最重要的特性,是否具有传染性是判别一个程序是否为计算机病毒的最重要条件。计算机病毒能使自身的代码强行传染到一切符合其传染条件的未受到传染的程序之上
4、 为了测试一个软件中的错误,部门经理张三有意放入100个错误,测试部门经过一段时
间查出了30个,其中25个错误为张三放入的错误。请估算该软件的错误总量(包括张三有意放入的错误),还有多少错误(不包括张三有意放入的错误)未检出。
答:
放入100个错误,查出25个,查出率为1/4。
反推上去,30个错误,检出率为1/4,软件中共120个错误,技术该软件的错误总量(包括张三有意放入的错误)
这120个错误,其中100个是有意放入,5个被检出,还余下15错误(不包括张三有意放入的错误)未检出。
四、设计题
1、 阅读下述材料,请设计一套安全机制防御、查出、删除即时通讯软件木马。
现在,国内即时通讯软件百花齐放。QQ、新浪UC、网易泡泡、盛大圈圈??网上聊天的用户群十分庞大。常见的即时通讯类木马一般有3种:
a、发送消息型。通过即时通讯软件自动发送含有恶意网址的消息,目的在于让收到消息的用户点击网址中毒,用户中毒后又会向更多好友发送病毒消息。此类病毒常用技术是搜索聊天窗口,进而控制该窗口自动发送文本内容。发送消息型木马常常充当网游木马的广告,C、肉鸡D、服务器
如“武汉男生2005”木马,可以通过MSN、QQ、UC等多种聊天软件发送带毒网址,其主要功能是盗取传奇游戏的帐号和密码。
b、盗号型。主要目标在于即时通讯软件的登录帐号和密码。工作原理和网游木马类似。病毒作者盗得他人帐号后,可能偷窥聊天记录等隐私内容,或将帐号卖掉。
c、传播自身型。2005年初,“MSN性感鸡”等通过MSN传播的蠕虫泛滥了一阵之后,MSN推出新版本,禁止用户传送可执行文件。2005年上半年,“QQ龟”和“QQ爱虫”这两个国产病毒通过QQ聊天软件发送自身进行传播,感染用户数量极大,在江民公司统计的2005年上半年十大病毒排行榜上分列第一和第四名。从技术角度分析,发送文件类的QQ蠕虫是以前发送消息类QQ木马的进化,采用的基本技术都是搜寻到聊天窗口后,对聊天窗口进行控制,来达到发送文件或消息的目的。只不过发送文件的操作比发送消息复杂很多。
答
1、 防御木马病毒
a) 木马查杀(查杀软件很多,有些病毒软件都能杀木马)
b) 防火墙(分硬件和软件),微软的软件防火墙
c) 不随便访问来历不明的网站,使用来历不明的软件
2、 查出木马
a) 检测网络连接:使用Windows自带的网络命令来看看谁在连接你的计算机。 b) 禁用不明服务。使用Windows自带的服务看看哪些服务启动中。
c) 检查账户:检查默认账户,账户权限
d) 检查系统启动运行的程序
3、 删除木马病毒
a) 禁用系统还原
b) 将计算机重启到安全模式
c) 扫描和删除受感染文件启动防病毒程序,并确保已将其配置为扫描所有文件。
免费论文网友情提示:本网站所有内容为共享上传提供,不涉及任何商业利益,本站对此不承担任何保证责任!
Copyright © www.csmayi.cn Corporation, All Rights Reserved 共享时代 共享你我他 版权所有