林世飞-互联网企业应对恶意网址的思考-applelin.ppt

单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,单击此处编辑母版标题样式,互联网企业应对恶意网站的思考,安全中心,applelin,目录,形势概述与危害分析,问题与难点分析,互联网企业如何应对恶意网站,腾讯产品安全现状与规划,0.02%,7997696,35%,形势概述与危害分析,形势概述与危害分析,利益驱动，恶意软件专业化，集团化,通过第三方挂马，间接挂马方式流行,第三方软件漏洞大量利用，,0day,频出，防不胜防,针对诈骗问题，互联网企业很难独善其身,形势概述与危害分析,木马下载器大量传播，危害游戏产业帐号体系,催生僵尸网络，,DDOS,攻击流行,通过肉鸡进行点击欺诈，危害广告、搜索产业,诈骗带来大量投诉，运营成本高，企业信誉受损,电子商务，银行用户受损较大，用户流失,问题与难点分析,挂马网站,用户,木马服务器,正常网站,挂马网站危害用户过程分析,:,问题与难点分析,未,中毒，帐号,未,被盗,未,中毒，帐号,已,被盗,已,中毒，帐号,未,被盗,已,中毒，帐号,已,被盗,斗争不可避免，需化被动为主动！,不同时期打击成本金字塔,:,互联网企业如何应对恶意网站,搜索,Google,，,Yahoo,搜索结果加入恶意评价,Google Safe Browsing API,提供恶意库,浏览器,IE,、,firefox,等添加恶意检查特性,安全浏览器：,sandboxie,、,360,安全浏览器,安全厂商,杀毒客服端，云安全,IE,插件，过滤防火墙,评价体系,McAfee SiteAdvisor,互联网企业如何应对恶意网站,互联网公司需要面对的挂马威胁策略：,办公网：,不受渗透威胁,建立认证,web,访问控制,建立出口,exe,下载，,url,访问审计日志,产品,：不挂马传播渠道，保护帐号体系,建立统一过滤库，定期更新,各个产品联动，整体打击,关键域名,DNS,解析情况实时监控,第三方,建立第三方登记和认证中心，进行检测拦截,建立高效，完善应急处理体制，迅速响应,互联网企业必须具备恶意网站检测发现能力,互联网企业如何应对恶意网站,剖析恶意代码攻击的几个特点：,基础：必须利用,ActiveX,漏洞、逻辑漏洞、浏览器漏洞,通道：通过,DNS,劫持，,ARP,欺骗，,SQL,注入挂马方式多样,对抗：,Web2.0,技术普遍应用，自动检测困难,对抗：代码混淆技术形式多样，查杀困难,互联网企业如何应对恶意网站,剖析恶意代码的代码混淆技术：,变量：计算拼接，,Unicode,变量名,函数：分块，重定义,编码：,base64,、,MD5,、自定义,加密,运行时修改：,eval,、,window.exeScript,、,document.write,条件激发：是否已中毒、,IE,版本是否符合、是否安装杀毒软件,当代码和数据混在一起，问题变复杂了,互联网企业如何应对恶意网站,网页木马代码混淆技术对抗杀毒 软件的实例,一段利用,InstallShield,漏洞的网马,混淆前，赛门铁克可以查杀,混淆后，赛门铁克不能查杀,互联网企业如何应对恶意网站,检测恶意代码的常见方案：,特征码：利用特征病毒库判断病毒的方式,例子：,JS.Dropper-33:3:200,30:756e6573636,行为监控：在虚拟机中访问网页，监控程序网络访问行为,脚本解析：使用脚本引擎解析网页，获取最终执行代码,互联网企业如何应对恶意网站,一个利用虚拟机技术检测挂马页面例子，系统构成：,运行环境,Windows,vmware,监控程序,一个控制中心,一个抓包程序,一个调度程序,Web,前台,控制输入,查询结果,DB,存储输入,url,保存结果,互联网企业如何应对恶意网站,一个利用虚拟机技术检测挂马页面例子，工作流程,互联网企业如何应对恶意网站,一个利用虚拟机技术检测挂马页面例子，结果分析：,机器,运行时间（小时）,扫描,URL,数（个）,捕获可执行文件数（个）,捕获,cab,压缩文件数（个）,捕获其他文件数（个）,扫描总文件数（个）,有风险文件数（个）,扫描效率（条,/,小时）,A,25,364,493,338,37,1221,354,15,B,48,586,607,591,68,1840,353,12,C,71,767,966,45,4216,9402,560,11,互联网企业如何应对恶意网站,基于脚本解释引擎的挂马检测系统，引擎对比：,测试环境：,2G RAM,，,CPU 3.0GHz*4,。系统：,32bit SuSE 10+gcc 4.1.2,样本总计：,63854,个,Js,引擎,性能,稳定性,扩展性,tracemonkey,82.44%,的页面能在,15ms,内处理完毕；,91.11%,的页面能在,20ms,内处理完毕,随机性的短代码（,46,行）来测试，连续测试,10,万,次,。,内存占用较多,拥有,比较灵活的,api,来控制,js,代码的执行时间以及垃圾收集频率，对于应用的稳定性有很大的作用,Google V8,26.65,%,的页面能在,20ms,内处理完，,71.06%,的页面能在,30ms,内处理完,引擎在多次连续执行的环境下会不稳定，在一定数目的样本执行之后抛出内存失败的异常退出,参考文档有限,互联网企业如何应对恶意网站,需要面对的钓鱼威胁：,技术创新,安全需求：图章技术,(,sealin,),，通道独立,识别技术：过滤系统,联动打击：各产品统一整体的打击体系,体系完善,预防：用户教育,检测：建立客服投诉渠道，迅速响应屏蔽,打击：法务打击,互联网企业如何应对恶意网站,针对第三方的问题的一个解决方案,腾讯产品安全现状与规划,腾讯以,“,最受尊敬的互联网公司,”,为远景，致力于提高互联网安全。建立统一的恶意网站评价体系，并应用于各产品：,互联网企业应对恶意网站的思考,分享,封堵,打击,检测,互联网企业应对恶意网站的思考,结束,谢谢,