C8-恶意代码分类PPT学习课件.ppt

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,软件安全,C8,恶意代码及其分类,1,本讲提纲,8.1,恶意代码的定义与发作趋势,8.2,恶意代码的功能,8.3,恶意代码的分类,2,8.1,恶意代码的定义与发作趋势,恶意代码（,Malicious Code,，或,MalCode,），也称恶意软件（,MalWare,）。,设计目的是用来,实现恶意功能,的代码或程序。,正常软件也会引发安全问题，但,绝大多数情况下,并非作者有意。,3,恶意代码发作趋势,4,2010,年金山数据,5,移动智能终端恶意软件增长迅猛,6,2011,2013,年移动恶意软件累计增长数量情况,2011,2013,年安天实验室历年移动恶意软件累计数量统计图,7,X,卧底,移动智能终端威胁的始作俑者,8,NSA,ANT,工具箱,APT,攻击成为关注重点,9,8.2,恶意代码的功能,攻击目的是什么？,攻击目标有哪些？,攻击手段有哪些？,10,8.2.1,攻击目的,恶作剧、炫耀等,经济利益,商业竞争,政治目的,军事目的等,11,黑色产业链,示意图,12,黑色产业链,运转模式,13,8.2.2,攻击目标,个人计算机,服务器,移动智能终端,手机、平板等,智能设备,特斯拉汽车、智能家居、智能手表等,通信设备,路由器、交换机等,安全设备等,防火墙、,IDS,、,IPS,、,VDS,等,攻击目标范围：,定点攻击,邮件、,IP,、域名、,QQ,等,服务器列表、特定人员名单等,群体性杀伤,挂马攻击、钓鱼攻击,病毒、蠕虫自动扩散,14,8.2.3,攻击手段,如何达到攻击目的？,获取数据,静态数据：,文件、数据库等；,动态数据：,口令、内存、计算机网络流量、通信网络数据、可移动存储介质、隔离电脑等；,破坏系统,数据：,删除、修改数据；,系统服务,：通用,Web,服务系统，数据库系统，特定行业服务系统（如工控）等。,支撑设备：网络设备、线路等。,动态控制与渗透拓展攻击路径等,中间系统,相关人员,15,8.3,恶意代码的分类,恶意代码，即广义上的计算机病毒。其可分为：,计算机病毒、蠕虫,木马、后门,Rootkit,僵尸,(bot),流氓软件、间谍软件,广告软件、,Exploit,、黑客工具等。,16,网络恶意代码的分类,计算机病毒：一组能够进行,自我传播,、,需要用户干预,来触发执行,的,破坏,性,程序或代码,。,如,CIH,、爱虫、美丽莎、新欢乐时光、求职信、恶鹰、,rose,、威金、熊猫烧香、小浩、机器狗、磁碟机、,AV,终结者、,Flame,网络蠕虫,:,一组能够进行,自我传播,、,不需要用户干预,即可触发执行的,破坏,性,程序或代码,。,其通过不断搜索和侵入,具有漏洞的主机,来自动传播。,如红色代码、,SQL,蠕虫王、冲击波、震荡波、极速波、魔波、震网,17,一种被业界广泛采用的分类方法,1988,年,Morris,蠕虫爆发后，,Eugene H.Spafford,为了区分蠕虫和病毒，给出蠕虫和计算机病毒的定义：,“,计算机蠕虫,可以独立运行,，并能把自身的一个包含所有功能的版本传播到,另外的计算机,上,”,“,计算机病毒是一段代码，能把自身,加到,其他程序包括操作系统上；它,不能独立运行,，需要由它的宿主程序运行来激活它,”,Fred Cohen(1984),“,计算机病毒是一种程序，它可以感染其它程序，感染的方式为在被感染程序中加入计算机病毒的一个副本，这个副本可能是在原病毒基础上演变过来的,”,。,18,Flame,（火焰）,5,种加密算法，,3,种压缩技术，至少,5,种文件格式，,65,万行代码，编写复杂。卡巴斯基实验室表示，要全面了解Flame病毒，可能得花上10年时间。,19,Stuxnet(,超级工厂病毒,),内网摆渡,2010,年,7,月大面积爆发。,Stuxnet,病毒被多国安全专家形容为全球首个,“,超级工厂病毒,”,。,该病毒感染了全球超过,45000,个网络，伊朗、印尼、美国等多地均不能幸免。,其中，以伊朗遭到的攻击最为严重，,该病毒已经造成伊朗布什尔核电站推迟发电,，,60%,的个人电脑感染了这种病毒。,20,网络恶意代码的分类（续）,特洛伊木马：是指一类,看起来具有正常功能,，但,实际上隐藏,着很多用户,不希望功能,的,程序,。通常由控制端和被控制端两端组成。,如冰河、网络神偷、灰鸽子、上兴,后门：使得攻击者可以对系统进行,非授权访问,的一类,程序,。,如,Bits,、,WinEggDrop,、,Tini,21,22,网络恶意代码的分类（续）,RootKit,：通过,修改,现有的操作系统软件,，使攻击者,获得访问权,并,隐藏,在计算机中的,程序,。,如,RootKit,、,Hkdef,、,ByShell,僵尸程序，恶意网页，拒绝服务程序，黑客工具，广告软件，间谍软件,23,僵尸程序,24,间谍软件,以主动收集用户个人信息、相关机密文件或隐私数据为主，搜集到的数据会主动传送到指定服务器。,25,广告软件,未经用户允许,，,下载并安装或与其他软件捆绑通过弹出式广告或以其他形式进行商业广告宣传的程序。,26,流氓软件,具有一定的实用价值但具备电脑病毒和黑客软件的部分特征的软件（特别是难以卸载）；,它处在合法软件和电脑病毒之间的灰色地带，同样极大地侵害着电脑用户的权益。也称为灰色软件。,27,Exploit,精心设计的用于利用特定漏洞以对目标系统进行控制的程序。,28,黑客工具等,黑客工具：各类直接或间接用于网络和主机渗透的软件，如各类扫描器、后门植入工具、密码嗅探器、权限提升工具,29,