(2019春季 课程编号:011184) 曾风亚 219信安号论 信息安全导论 第12章恶意代码检测与防范技术 中国科学技术大学曾凡平 billzeng@ustc.edu.cn
信息安全导论 第12章 恶意代码检测与防范技术 中国科学技术大学 曾凡平 billzeng@ustc.edu.cn (2019春季 课程编号:011184)
第12章恶意代码检测与防范技术 ·12.1恶意代码概述 ·定义、发展趋势、种类 ·攻击流程、攻击技术和生存技术 ·12.2常见的恶意代码 ·计算机病毒 ·木马 ·蠕虫 ·12.3恶意代码检测与分析技术 。 静态分析方法 ·动态分析方法 ·分类方法 信息安全导论12 3
第12章 恶意代码检测与防范技术 • 12.1 恶意代码概述 • 定义、发展趋势、种类 • 攻击流程、攻击技术和生存技术 • 12.2 常见的恶意代码 • 计算机病毒 • 木马 • 蠕虫 • 12.3 恶意代码检测与分析技术 • 静态分析方法 • 动态分析方法 • 分类方法 信息安全导论12 3
12.1恶意代码概述 恶意代码也可以称为Malware,目前已经有许多定义。 例如,Ed Skoudis>将Malware定义为运行在计算机上, 使系统按照攻击者的意愿执行任务的一组指令。微 软计算机病毒防护指南”中将术语“恶意软件”用作 一个集合名词,指代故意在计算机系统上执行恶意 任务的病毒、蠕虫和特洛伊木马。G.McGrawl则将 恶意代码定义为任何故意的增加、改变或者从软件 系统移除,从而破坏或扰乱系统特定功能的代码。 因此,恶意代码的本质是一种实现某些恶意功能的 代码,通常在未明确提示用户或未经用户授权的情 况下嵌入到另一段程序中,并且在特定的环境下会 被执行,从而达到破坏被感染用户的计算机系统 、 网络功能或者电脑数据的保密性、完整性和可用性 的目的。 信息安全导论12 4
12.1恶意代码概述 • 恶意代码也可以称为Malware,目前已经有许多定义。 例如,Ed Skoudis将Malware定义为运行在计算机上, 使系统按照攻击者的意愿执行任务的一组指令。微 软“计算机病毒防护指南”中将术语“恶意软件”用作 一个集合名词,指代故意在计算机系统上执行恶意 任务的病毒、蠕虫和特洛伊木马。G.McGraw则将 恶意代码定义为任何故意的增加、改变或者从软件 系统移除,从而破坏或扰乱系统特定功能的代码。 • 因此,恶意代码的本质是一种实现某些恶意功能的 代码,通常在未明确提示用户或未经用户授权的情 况下嵌入到另一段程序中,并且在特定的环境下会 被执行,从而达到破坏被感染用户的计算机系统、 网络功能或者电脑数据的保密性、完整性和可用性 的目的。 信息安全导论12 4
12.1.1恶意代码的发展趋势 恶意代码可以追溯到1981年,恶意代码的发展趋势如下: (1)更加具有目的性和功利性。编写和传播恶意代码的最初 目的大多数是由于编写者的炫耀心理。然而,现在更多是为 了牟取利益而窃取用户数据和商业秘密,巨大的商业经济利 益驱使着恶意代码编写者更有组织性、纪律性,同时恶意代 码的隐蔽性也越来越高。 (2)传播手段多样化。传统的传播方式比较单一,主要通过 存储介质和网络文件传播。随着浏览器服务器 (browser/server,B/S)和客户端/服务器(client/server,C/S)架 构的普及使用,客户端软件和浏览器的漏洞为恶意代码的传 播提供了新的途径。恶意代码也可以同时利用多个漏洞或者 采取多种模式来进行传播,对服务端和客户端都发动攻击。 ③)越来越多的移动互联网恶意代码。移动网络的快速发展 衍生出新的恶意软件,用来攻击手机、平板等移动设备和平 台。 信息安全导论12 5
12.1.1 恶意代码的发展趋势 恶意代码可以追溯到1981年,恶意代码的发展趋势如下: • (1)更加具有目的性和功利性。编写和传播恶意代码的最初 目的大多数是由于编写者的炫耀心理。然而,现在更多是为 了牟取利益而窃取用户数据和商业秘密,巨大的商业经济利 益驱使着恶意代码编写者更有组织性、纪律性,同时恶意代 码的隐蔽性也越来越高。 • (2)传播手段多样化。传统的传播方式比较单一,主要通过 存储介质和网络文件传播 。 随着浏览器/服务器 (browser/server,B/S)和客户端/服务器(client/server,C/S)架 构的普及使用,客户端软件和浏览器的漏洞为恶意代码的传 播提供了新的途径。恶意代码也可以同时利用多个漏洞或者 采取多种模式来进行传播,对服务端和客户端都发动攻击。 • (3)越来越多的移动互联网恶意代码。移动网络的快速发展 衍生出新的恶意软件,用来攻击手机、平板等移动设备和平 台。 信息安全导论12 5
12.1.2恶意代码种类 随着计算机技术的发展,恶意代码形态不断变化, 不断衍生出新的种类。恶意代码从开始入侵目标 系统到完成指定任务,在这一次完整的入侵过程 中,不同的恶意代码通常具有不同的作用,主要 分为3类:一是获取系统的控制权;二是对控制 权的维持;三是执行指定任务 根据其代码是否独立,可以将其分成独立的和 寄生的恶意代码。独立的恶意代码能够独立传 播和运行,是一个完整的程序,它不需要寄宿在 另一个程序中。非独立(寄生)的恶意代码只是一 段代码,必须寄生在某个程序(或文档)中,作为 该程序的一部分进行传播和运行。 信息安全导论12 6
12.1.2 恶意代码种类 • 随着计算机技术的发展,恶意代码形态不断变化, 不断衍生出新的种类。恶意代码从开始入侵目标 系统到完成指定任务,在这一次完整的入侵过程 中,不同的恶意代码通常具有不同的作用,主要 分为3类:一是获取系统的控制权;二是对控制 权的维持;三是执行指定任务。 • 根据其代码是否独立,可以将其分成独立的和 寄生的恶意代码。独立的恶意代码能够独立传 播和运行,是一个完整的程序,它不需要寄宿在 另一个程序中。非独立(寄生)的恶意代码只是一 段代码,必须寄生在某个程序(或文档)中,作为 该程序的一部分进行传播和运行。 信息安全导论12 6