返回
程序代码检测系统用户手册

程序代码检测系统用户手册

ID:1364705

大小:2.08 MB

页数:12页

时间:2017-11-10

程序代码检测系统用户手册_第1页
程序代码检测系统用户手册_第2页
程序代码检测系统用户手册_第3页
程序代码检测系统用户手册_第4页
程序代码检测系统用户手册_第5页
资源描述:

《程序代码检测系统用户手册》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、家庭物联智能终端系统软件用户手册12一、系统简介恶意程序代码检测系统是一款非常专业的代码检测软件。通过这款恶意程序代码检测系统,就能帮助用户随意进行代码安全检测,让你日常放心进行编程使用。功能主要包括:垃圾邮件分析、取证分析、终端扫描等。二、系统的功能1.恶意代码恶意代码的行为表现各异,破坏程度千差万别,但基本作用机制大体相同,其整个作用过程分为5个部分:(1)侵入系统。侵入系统是恶意代码实现其恶意目的的必要条件。恶意代码入侵的途径很多,如:从互联网下载的程序本身就可能含有恶意代码;接收已经感染恶

2、意代码的电子邮件;从光盘或软盘往系统上安装软件;黑客或者攻击者故意将恶意代码植入系统等。(2)维持或提升现有特权。恶意代码的传播与破坏必须盗用用户或者进程的合法权限才能完成。(3)隐蔽策略。为了不让系统发现恶意代码已经侵入系统,恶意代码可能会改名、删除源文件或者修改系统的安全策略来隐藏自己。(4)潜伏。恶意代码侵入系统后,等待一定的条件,并具有足够的权限时,就发作并进行破坏活动。(5)破坏。恶意代码的本质具有破坏性,其目的是造成信息丢失、12泄密,破坏系统完整性等2.静态检测静态检测不实际运行软件

3、,主要是对软件的编程格式、结构等方面进行评估。静态测试包括代码审查、桌面检查、代码走查等。3、动态检测动态测试是指通过运行被测程序来检查运行结果与预期结果的差异,并分析运行效率与健壮性等指标的测试方法。12 4、垃圾邮件分析垃圾邮件分析是分析可疑的邮件消息。例主机发出警报从上图中可以看到选中时段内有两次针对MSSQL应用的疑似主12机扫描行为。系统还增加了针对选中对象的分析功能(如选中某应用或某IP地址),在这里我们选中其中某警报日志条目,点击鼠标右键,选择“分析”菜单项,就可以针对选中时段的MS

4、SQL应用进行单独分析,这样可以快速判断警报是否误报。从上图中可以看出,警报发生的时段某外网IP在短时间内尝试与内网所有主机的TCP 1433端口建立连接,由于内网主机都没有安装SQL Server,所以每个连接请求都没有得到应答,每个会话都只有1个数据包。可以断定这个外网IP在做全网段的MSSQL服务主机扫描。在案例中的网络中,我们利用这个自定义的扫描警报发现了大量的类似扫描行为。这些行为的共同特点是发生时间很短(整个扫描过程一般在3秒内完成),一次扫描会触发1~3次警报。扫描针对的应用主要集中

5、在MSSQL、MySQL、Oracle等数据库端口以及CIFS、NetBios等共享端口,通常这些端口会容易受到漏洞攻击或弱口令攻击。现在12我们可以及时的发现并在边缘设备上针对这些扫描的端口或IP地址进行过滤,避免更大的安全问题发生。这一分钟的时间段里触发了56次扫描警报,这明显与其他时段发生的扫描行为有区别。通常主机扫描者不会针对一个应用端口持续很长时间反复扫描。一般情况下,针对SMTP端口的SYN flood攻击才有可能持续触发我们定制的扫描警报,然而这种SYN flood攻击往往会在“TC

6、P分析”趋势图上看到明显的TCP同步包数量增加,而从上图的“TCP分析”趋势图上却看不到这一现象。为了进一步分析判断这一事件的原因,我们使用系统的应用统计分析功能,对这一时段的SMTP会话进行了统计分析。12从上图中的流量趋势图上明显看到SMTP流量在警报发生的时段内有明显增加,最大流量超过150Kbps;在TCP会话视图中,我们看到一个内网IP在短时间内与若干个外网IP的TCP 25端口建立了很TCP会话,这些会话并不像扫描行为那样只有很少量的数据包,而是每个会话有几个到几十个不等(截图中碰巧都

7、是11个数据包)。 至此基本排除了这些警报是扫描行为的可能性,但可以判断这些TCP会话不是正常的邮件发送,因为正常的邮件发送不会产生如此多的会话,而且正常邮件发送的平均数据包长度不会小于72字节。要了解些异常会话的真正作用,就需要对这些会话进行数据包级解码分析,于是我们将这一时段的SMTP应用的数据包下载到控制台,利用控制台自带的科来网络分析模块进行解码分析。12从数据流信息中我们看到59.36.102.51这个外网IP有可能是21CN的邮件服务器,触发警报的内网IP在尝试向21cn.com的某个

8、不存在的用户发送邮件,21CN的邮件服务器拒绝了这次邮件发送。继续查看其他与21CN的TCP会话,发现每个会话的发件人都是“tyco110@163.com”,收件人邮箱地址在不断变化,每个会话的收件人都不相同但邮件后缀都是“@12cn.com”。说明这个内网IP的主机的邮件发送程序并不知道收件人的真实信息,而是在不断变换邮件前缀尝试向21CN的用户发送邮件。12由于该内网IP在短时间内向21CN的邮件服务器发起了大量SMTP会话,一段时间后21CN的邮件服务器拒绝了该IP的邮件发送

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。