返回
防病毒软件还是防病毒服务

防病毒软件还是防病毒服务

ID:32418119

大小:1.64 MB

页数:34页

时间:2019-02-04

防病毒软件还是防病毒服务_第1页
防病毒软件还是防病毒服务_第2页
防病毒软件还是防病毒服务_第3页
防病毒软件还是防病毒服务_第4页
防病毒软件还是防病毒服务_第5页
资源描述:

《防病毒软件还是防病毒服务》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、防病毒软件还是防病毒服务?ARP欺骗木马治理与对策商尔从SYSU-CSIRT中山大学信息与网络中心议题p防病毒软件还是防病毒服务?pARP欺骗木马治理与对策防病毒软件还是防病毒服务?07’9-10提交VirusTotal41个样本首次提交检出率2007年9月-10月收集的41个病毒样本首次提交检出率统计08’1-3Symantec无法检出的样本首次提交VirusTotal对比检出率(1)2008年1月-3月收集的39个样本Symantec首次无法检出08’1-3Symantec无法检出的样本Symantec修订病毒

2、定义检出率会变化2008年1-3月收集的39个样本Symantec增加到病毒定义中Symantec修订病毒定义后检出率会发生变化。SYSU-CSIRT提交样本Symantec新增补的定义VirusTotal有助样本提交及提高样本提交的准确性专业的防病毒服务支持p防病毒软件产品(仅是防病毒服务中的一部分)pCSIRT现场事件响应服务p帮助台支持/知识库p风险分析威胁管理p披露与公告p教育与培训p安全意识正确认识防病毒软件p防病毒软件不是万能的p防病毒软件需要配合辅助工具n防御工具n清理工具n修复工具p“主动防御”尚待

3、成熟正确使用防病毒软件p高校信息安全部门提供一线服务与支持p要与防病毒软件厂家共享信息p要对防病毒软件产品作出“贡献”p善用防病毒软件厂家的二线支持服务p善用防病毒软件病毒数据库进行风险评估n广泛性n危害性n分发能力提高意识取得信任是关键p提升意识和信任需要精密策划与长时间的积累p拒绝求助将会丧失信任p错误的安全意识比无安全意识更糟p盗版防病毒软件=假冒伪劣安全产品安全意识与教育(1)ENISA2007年工作纲要中提升意识和建立信任的地位资料来源:ENISAhttp://www.enisa.europa.eu/安全

4、意识与教育(2)安全意识与教育(3)ARP欺骗木马治理与对策对《治理ARP欺骗围堵下载器和安装器木马》的补充ARP欺骗的目的和类型pARP欺骗的目的是信息犯罪者为截获盗取有价值的信息资产,并将盗取的信息资产用于黑市交易,谋取暴利。pARP欺骗的类型n入侵型:信息犯罪者入侵有漏洞的服务器,使用专用黑客工具进行ARP欺骗劫持通讯,并在HTTP通讯中插入恶意代码,导致访问同网段的服务器时感染木马(一般为下载器或者安装器木马),是信息犯罪者首次分发木马的重要机制。n木马型:普通计算机感染了ARP欺骗木马后劫持同一网段通讯的

5、重要手段,以收集用户的有价值的信息资产。封锁木马网站的有效性下载器木马使用域名下载木马(1)下载器木马使用域名下载木马(2)下载器木马使用域名下载木马(3)下载器木马使用域名下载木马(4)下载器木马使用域名下载木马(5)下载器木马使用域名下载木马(6)下载器木马不使用域名下载木马下载器木马使用域名带来的危害p信息犯罪者可以频繁更换域名对应的IP地址p绕过基于IP地址的ACL的封锁p需要使用DNSBlacklist封锁木马站点的域名pdnrd(DomainNameRelayDaemon),一般认为是一种DNSProx

6、ypdnrd可以设置Blacklist,对Blacklist中的域名作出“权威的”应答,但并不会返回IP地址,达至封锁域名的目的原DNS拓扑增加DNSProxy过滤后的拓扑Caching-onlyDNS配置在BIND9的配置文件中使用dnrdBlacklist:forwarders{202.116.64.119;//转发到dnrd服务器202.116.64.120;//转发到dnrd服务器202.116.64.2;202.116.64.1;202.116.64.3;};forwardfirst;DNSProxy过滤

7、p目前效果ndrnd的Blacklist有40个域名n每天约拒绝600-700次左右的查询p未来发展nDNSBlacklist需要维护nDNS需要有类似反垃圾邮件RBL信息共享机制n与Stopbadware(www.stopbadware.org)联盟合作?ARP欺骗木马的治理方法(1)p预防措施(主动)p响应措施(被动)n安全意识与安全文化nARPwatchn系统及应用补丁n三层交换机SNMPTrap/日志n定期“体检”n用户ARP防火墙日志与服务n宣传与教育请求nCSIRT事件紧急响应p保护措施(半主动)n防病

8、毒及辅助清理软件p安全管理(战略)n防火墙及ARP防火墙n协调预防、保护与响应n交换机防ARP欺骗n流程制订n边界防火墙ACL过滤n配置管理nDNS域名过滤n脆弱性及威胁跟踪与管理nWebContentFiltern协作与信息共享ARP欺骗木马的治理方法(2)p预防措施、保护措施、响应措施、安全管理之间具有相关性p响应措施(CSIRT事件紧急响应)可为保护措

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。