案例-飞客蠕虫研究

合集下载

蠕虫病毒的检测和防御研究

青岛科技大学业设计（论文）专科毕蠕虫病毒的检测和防御研究__________________________________指导教师__________________________学生姓名__________________________学生学号__________________________院（部）____________________________专业________________班_________________________________年 ___月 ___日蠕虫病毒的检测和防御研究摘要随着网络技术的发展，蠕虫病毒不断扩大对网络安全构成了严重的威胁，本文基于当前蠕虫攻击破坏的严峻形势，对蠕虫病毒的检测和防御技术进行了研究。

首先对蠕虫病毒相关知识作了介绍，包括蠕虫病毒的定义、工作流程以及行为特征，并简要分析了蠕虫病毒国内外研究现状；在此基础上接着研究了蠕虫病毒检测技术，提出了基于蠕虫特征码、蠕虫行为特征、蜜罐和蜜网技术以及贝叶斯蠕虫检测技术；最后对蠕虫病毒的防御技术进行了研究，从企业网络用户和个人用户的角度分析了面对当前蠕虫攻击所需要注意和采取的措施，以尽最大可能减少蠕虫的侵害，营造一个良好的网络环境。

关键词：蠕虫病毒；检测；防御；网络安全目录前言 (1)1蠕虫病毒相关知识介绍 (2)1.1蠕虫病毒定义 (2)1.2蠕虫病毒工作流程和行为特征 (2)1.3蠕虫病毒国内外研究现状 (4)2蠕虫病毒检测技术研究 (5)2.1基于蠕虫特征码的检测技术 (5)2.2基于蠕虫行为特征的检测技术 (5)2.3基于蜜罐和蜜网的检测技术 (6)2.4基于贝叶斯的网络蠕虫检测技术 (6)3蠕虫病毒防御技术研究 (8)3.1企业防范蠕虫病毒措施 (8)3.2个人用户防范蠕虫病毒措施 (9)4总结 (10)致谢 (11)参考文献 (12)前言随着网络技术的发展，人类社会正逐步进入到数字化时代，计算机已经应用到日常生活各个领域，人们在享受到网络便捷服务的同时，各种安全问题也随之出现。

信息安全工程师真题考点：漏洞利用类蠕虫

信息安全工程师真题考点：漏洞利用类蠕虫漏洞利用类蠕虫包括：
（1）2001年的红色代码（CodeRed）和尼姆达（Nimda）
（2）2003年的蠕虫王（Slammer）和冲击波（MSBlaster）（3）2004年的震荡波（Sasser）
（4）2005年的极速波（Zoob）
（5）2006年的魔波（MocBot）
（6）2008年的扫荡波（Saodangbo）
（7）2009年的飞客（Conficke）
（8）2010年的震网（StuxNet）等。

历年信息安全工程师漏洞利用类蠕虫知识真题：
蠕虫是一种可以独立运行、并且能将自身的一个包含了所有功能的版本传播到其他计算机上的程序。

网络蠕虫可以分为：漏洞利用类蠕虫、口令破解类螨虫、电子邮件类蠕虫、P2P类蠕虫等。

以下不属于漏洞利用类蠕虫的是（）。

A.CodeRed
B.Slammer
C.MSBlaster
D.IRC-worm
参考答案：D。

趋势入侵防御防火墙(IDF)功能介绍与应用测试报告

趋势入侵防御防火墙(IDF)功能介绍与应用测试报告XX科技（中国）有限公司2013年10月目录IDF产品简述 (5)安装部署： (5)1、OFFICESCAN10.6服务器插件IDF（入侵防御防火墙）的安装： (5)2、客户端IDF插件安装部署： (6)防火墙应用与测试案例： (10)阻止域外非XXX内网外联： (10)阻止域外文件共享和打印： (22)小结： (26)DPI虚拟补丁测试 (26)应用程序控制测试 (27)文档信息：版本记录：文档说明：IDF产品简述XX科技IDF产品是一款适用于防毒墙网络版OfficeScan入侵防御防火墙高级入侵防御系统。

它为安全防御体系中提供了最后一道且效果极佳的防线，可抵御利用商用和定制软件（包括 Web 应用程序）中的漏洞进行的攻击、可有效的定义给予主机的防火墙规则（包括违规外联控制、阻止域外文件共享和打印）等功能；通过入侵防御防火墙 (IDF)，您可以创建并执行主动式保护敏感数据、应用程序、计算机或网段的各种安全策略。

如：通过规则保护漏洞（系统与应用程序）不受已知和未知攻击。

每个规则定义预期的应用程序数据并根据其内容阻止恶意数据；通过检查已知应用程序流量，可根据需求进行应用程序限制；持续IDF规则更新，自动提供最新的全面防护，抵御已知、未知的攻击；完善双向状态防火墙对所有网络通讯协议（TCP/UDP/ICMP)全面支持，防火墙可完全配置，以每个接口为基础允许或者拒绝网络通信，限制对允许的IP或者MAC通信；分析通信中上、下文数据包的连接状态的正确性，可以防DDoS、SYN攻击、防御应用层攻击、SQL 脚本注入及Cross-site跨网站程序代码改写的攻击。

安装部署：1、officescan10.6服务器插件IDF（入侵防御防火墙）的安装：登陆officescan10.6 WEB控制台，选择左边最下面的“插件管理器”，在“插件管理器”页面中的“入侵防御防火墙”有两按纽：“管理程序”和“下载”，下载安装完成后“下载”按纽将自动变为“卸载”，如下图：2、客户端IDF插件安装部署：服务器下发部署方式：1)通过IDF控制台，点击相应的OfficeScan客户端进行直接的下发部署登陆officescan10.6 WEB控制台，选择“插件管理器”，在右侧的“入侵防御防火墙”页面中点击“管理程序”，进入IDF插件管理，如下图：注：IDF控制台默认可以自动读取OfficeScan控制台的客户端信息2)点击计算机→选择需要部署的客户端（可以单选或多选）→处理措施→部署客户端插件；3)等待片刻后，控制台将会显示客户端已受管理，即部署完成。

案例-飞客蠕虫攻击

飞客蠕虫攻击案例1.1 异常发现某单位最近一段时间应用维护人员发现网络应用比较慢，数据库服务器查看系统日志发现很多相似网络共享访问请求，最高时平均每秒有近几十次的这种请求，而数据库服务器并没有任何网络共享资源；内网中的其他几台主机如监控PC使用感觉比较慢；网络中最近一个月才出现这种状况，以前网络是正常的。

根据网管人员的反应情况，我们初步认为网络中确实存在异常，而且异常状况出现在重要的内网中。

因此决定对内网服务器区的流量进行分析，找出引起网络异常的根源。

内网服务器大多集中连接到华为S8505的一块线卡上，因此对该线卡1-47口inbound方向和数据库服务器的双向流量进行镜像在正确部署了回溯式后，收集了内网服务器一周的数据（10/12---10/19）对这一周的数据进行分析。

1.2 蠕虫攻击分析首先，我们选择7天的数据查看其网络协议的使用情况，如图：如上图，我们看到，网络中流量最大的是TCP other流量，经过分析发现都是该单位自定义的协议流量。

FTP，HTTP的访问流量分别占第2，第3位是正常的网络应用。

而排名第四的竟然是netBIOS流量，而netBIOS流量在现今的应用中很少使用了，多被黑客作为后门传播各种危险病毒和蠕虫使用。

因此该协议流量比较大十分可疑。

此外网络协议中CIFS协议也占很大比重，而此协议主要是使用网络邻居做网络共享使用的，而管理员告之网络中并没有使用网络邻居的方式做为网络共享，因此该协议应该是没有流量的，这也是比较可疑的。

然后我们对网络中的TCP访问情况进行分析，选择10/12-10/14日两天的数据进行分析。

按照“发tcp同步包”进行排名，如图：我们看到IP 172.16.1.68 ；172.16.1.95；172.16.1.69；172.16.1.10;172.16.1.54等几个IP的TCP发TCP同步包很大，要远远大于其他IP，但流量却很小，两天以来流量大多都在60MB左右。

网络安全等级保护设计方案(三级)-运营体系设计

网络安全等级保护设计方案（三级）-运营体系设计XXX科技有限公司20XX年XX月XX日目录一运营体系概述 (3)二漏洞管理服务 (4)三安全评估服务 (5)四渗透测试服务 (6)五应急响应服务 (8)六应急演练服务 (9)七威胁监测与主动响应服务 (10)八网络安全培训服务 (11)九系统设计亮点 (11)9.1 价值主张 (11)9.2 安全可视能力 (11)9.3 持续检测能力 (13)一运营体系概述等级保护2.0标准所规定的技术要求并不只是通过产品来落地的；等保的管理要求也不只是体现在文档上。

要保证持续的践行等级保护的各项要求，还需要对安全产品和安全管理制度持续运营。

通过运营将等保2.0中的技术要求和管理要求有效落地。

安全运营工作即可以用户自己做，也可以由厂商提供安全服务，来帮助用户实现持续的安全运营。

安全运营体系保障等保2.0技术和管理落地系统自身的漏洞、来自内外部的威胁，是管理的基本要素。

以漏洞和威胁为基础，把技术和管理体系融合，帮助用户建立安全运营体系。

安全运营体系二漏洞管理服务漏洞管理服务有现场服务、云端服务两种不同的服务方式，满足不用用户场景下的需求。

漏洞管理服务服务内容：三安全评估服务根据用户网络安全实际需求，为用户提供资产梳理、漏洞扫描、基线核查、安全加固建议等一体化的安全评估服务。

资产梳理：安全访谈和调研，梳理信息资产和业务环境状况，针对重要业务系统制定评估详细方案。

脆弱性评估：通过web扫描，漏洞扫描、基线检查、漏洞验证等手段，识别业务系统安全脆弱性风险。

防御能力评估：通过模拟黑客进行信息收集、应用及系统入侵，验证防御体系的安全防御能力。

失陷检查：通过人工或工具产品检测主机系统上的恶意文件和网络行为，判断主机失陷状态。

安全整改建议：基于安全评估结果分析系统安全风险和威胁，给出针对性的风险处理方案。

四渗透测试服务目前绝大部分的安全产品只能利用已知的安全漏洞对系统进行程序化的漏洞分析，缺少灵活性，而渗透测试却能够在可控的前提下进行最贴近于真实情况的漏洞发掘，弥补了仅仅使用安全产品对系统分析的不足，通过渗透测试可以以攻击者的角度发现一些隐性存在的安全漏洞和风险点，有助于后续的网络安全建设。

网络安全演讲稿800字

网络安全演讲稿800字网络是一把双刃剑，我们应该注重网络安全，珍惜青春年华，远离网络危害。

一起来看看网络安全演讲稿800字，欢迎查阅!网络安全演讲稿1互联网给我们的生活带来了许多方便，它既没有空间限制，也没有时间限制。

但互联网并不是一个纯净的世界，网上色情作品泛滥，许多犯罪活动都是以互联网为手段进行的。

这告诫世人，互联网世界虽然是个奇妙的虚拟天地，但也是一个必须加倍提防的地方。

成千上万的父母也许还没有意识到互联网上的危险。

互联网世界充满了陷阱，遍布着别有用心、引诱孩子走入歧途的人;孩子单纯的心灵很容易被污染，而孩子和父母却往往觉察不到。

那么，怎样让孩子面对互联网这个无形的、难以捉摸的世界呢?作为父母，应该和孩子努力沟通，以便共同消除网络世界带来的危害。

上网的危害：一、对学生的人生观、价值观和世界观形成的构成潜在威胁。

互联网是一张无边无际的“网”，内容虽丰富却庞杂，良莠不齐，学生在互联网上频繁接触西方国家的宣传论调、文化思想等，这使得他们头脑中沉淀的中国传统文化观念和我国主流意识形态形成冲突，使学生的价值观产生倾斜，甚至盲从西方。

长此以往，对于我国学生的人生观和意识形态必将起一种潜移默化的作用，对于国家的政治安定显然是一种潜在的巨大威胁。

二、互联网使许多学生沉溺于网络虚拟世界，脱离现实，也使一些学生荒废学业。

与现实的社会生活不同，学生在网上面对的是一个虚拟的世界，它不仅满足了学生尽早尽快占有各种信息的需要，也给人际交往留下了广阔的想象空间，而且不必承担现实生活中的压力和责任。

虚拟世界的这些特点，使得不少学生宁可整日沉溺于虚幻的环境中而不愿面对现实生活。

而无限制地泡在网上将对日常学习、生活产生很大的影响，严重的甚至会荒废学业。

三、互联网中的不良信息和网络犯罪对学生的身心健康和安全构成危害和威胁。

当前，网络对学生的危害主要集中到两点，一是某些人实施诸如诈骗或性侵害之类的犯罪;另一方面就是黄色垃圾对学生的危害。

关于网络安全的演讲稿(5篇)

关于网络安全的演讲稿(5篇)关于网络安全的演讲稿（篇1）亲爱的同学们：大家下午好，很高兴来这里和大家一起探讨有关网络安全的演讲，我今天演讲的题目是：互联网，精彩而危险的世界。

网络世界，一个精彩的世界。

但是精彩的背后蕴含着危险。

大家可否想过，你的QQ号被盗可能是病毒的祸你的系统被劫持，可能是流氓犯的错;你的网银被盗，可能是钓鱼网站干的事，你的数据不见，甭说了，八成是黑客干的。

大家一直以来，都对黑客有一份“特殊化的感情”，认为说所有的黑客都是非常厉害的，要不然怎么会让电脑中病毒呢?既然有黑客，那么一定有安全人员的存在，在这网络世界的背后，进行着怎样一场“对决”，那么今天，我就以安全人员的身份来带大家走进这网络世界的安全领域。

我的演讲分为这五个版块：什么叫网络安全、网络安全的重要性、网络安全的现状、如何防范网络安全、打造一个和谐网络。

首先我们看一下什么是我们这里所讲的“网络安全”，网络安全呢，就是指网络系统的硬件、软件及其系统中的数据受到保护，不因偶然的或者恶意的原因而遭受到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。

网络安全的具体含义就是用户(个人、企业等)希望涉及个人隐私或商业利益的信息在网络上传输时受到机密性、完整性和真实性的保护。

同时，网络安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。

美国未来学家阿尔温.托尔勒曾经说过，“谁掌握领了信息，控制了网络，谁将拥有整个世界。

”美国过去总统克林顿也说过，“今后的时代，控制世界的国家将不是靠军事，而是信息能力走在前面的国家。

”从此可见掌握网络是何等的重要，网络安全的重要性也从中体现出来这里有一些美国FBI的数据：据美国FBI统计，美国每年网络安全问题所造成的经济损失高达75亿美元。

而全球平均每20秒钟就发生一起Internet计算机侵入事件。

在Internet/Intranet的大量应用中，Internet/Intranet安全面临着重大的挑战，事实上，资源共享和安全历来是一对矛盾。

飞客蠕虫

查杀“飞客蠕虫病毒”的方法发表时间:2011-3-8 11:49:47浏览次数:596双击自动滚屏接省厅通知，发现社保中心、医保中心、驻西安南路大楼各单位、邳州人保局、睢宁人保局、沛县人保局网络已经感染了飞客蠕虫病毒，现在将相关专杀工具上传，希望各位外网使用用户主动下载该软件主动查杀。

Conficker，也被称作Downup，Downadup或Kido，Conficker蠕虫最早于2008年11月20日被发现的以微软的windows操作系统为攻击目标的计算机蠕虫病毒。

迄今已出现了A、B、C、E四个版本，目前全球已有超过1500万台电脑受到感染。

Conficker主要利用Windows操作系统MS08-067漏洞来传播，同时也能借助任何有USB接口的硬件设备来感染。

这个蠕虫利用的是一个已知的被用于windows 2000，windows xp，windows vista，windows server2003和windows server 2008操作系统的服务器服务漏洞。

Linux和macintosh操作系统不会受到这个病毒的影响。

一、被感染症状：帐户锁定政策被自动复位。

某些微软Windows服务会自动禁用，如自动更新，后台智能传输服务（BITS ），WindowsDefender和错误报告服务。

域控制器对客户机请求回应变得缓慢。

系统网络变得异常缓慢。

这可以从检测的网络流量图和windows任务管理器中看出。

与杀毒软件，windows系统更新有关的网站无法访问。

发射暴力密码破解攻击管理员密码以帮助它穿越并扩散到管理员共享。

二、检测方法：检测网址1：/infection_test/cfeyechart.html（注：如果点击该网页看不到图片或图片不全，说明该电脑已被感染,请下载专杀工具进行查杀）检测网址2：http://four.cs.uni-bonn.de/fileadmin/user_upload/werner/cfdetector/(注：点击该网页显示绿色的钩说明没有被感染）注：如果你的主机感染了“飞客”病毒，需要协助，请拨打局信息中心电话：85805744局域网扫描方法：下载最新版nmap扫描工具，地址：/admin/upload/nmap.rar 安装完成后运行nmap程序，在命令栏“Command：”后输入“nmap -p 139,445 -T4 -v -n -Pn --script smb-check-vulns 地址段”地址段的格式例如某1台: 192.16.0.22 某1段: 192.168.0.0/24以下是10.73.141.244的扫描结果，可以看到Conficker: Likely INFECTED (by Conficker.C or lower) 表明已经被感染了。

面向“信息安全基础”课程的蠕虫查杀实战案例

收稿Ｅｔ期：２０１２ — １１ — ２６
境内感染飞客蠕虫的主机ＩＰ约为２６０万个［引．使用这种当前流行的又极具代表性的蠕虫作为 “ 信息安全基础 ”课程的病毒防治知识实战教学案例，可以让学生在充分领会信息安全基础知识的
安全领域的公共基础知识和一般性应用知识，涉
及密码学、防火墙、病毒防治与信息安全工程等方面知识．其中，计算机网络信息系统中的病毒
防治是所有企事业单位都面临的重要信息安全问题，病毒防治知识应用面广，但由于其理解起来较为困难和枯燥，直接讲授难以激发学生的学习热情，难以达到熟练应用的教学目标，需要采取案例教学．另一方面，由于病毒的传播性强，其样本的抓取、保护和合理使用都比较困难，因此，
力和职业技能的主要手段，是高职教育最重要的
特色之一，它是凸显高职与社会企业岗位相融通的重要环节，也是由知识转向技能的重要手段．因
此，信息安全课程教学案例体系的建设在很大程度上决定着高职高专信息安全技术人才的培养质
２．深圳市网安计算机安全检测技术有限公司，广东深圳５１８０２８）
摘要：案例教学是面向高职院校信息安全技术类课程实践性的有效教学方法．为了满足 “ 信息安全基础 ”课程病毒知识案例教学的需要，设计了一个基于当前流行的飞客蠕虫病毒的查杀实战案例．该教学案例涵盖了病毒诊断、检测、清除和验证等蠕虫病毒查杀的完整过程．实践证明，案例教学是提高信息安全课程学生认知与创新能力的一种有效教学模式．关键词：信息安全：蠕虫：飞客蠕虫：案例教学

开展网络信息安全倡议书七篇

开展网络信息安全倡议书七篇开展网络信息安全倡议书精选篇1为共同维护网络安全，提升广大人民群众在网络空间的获得感、幸福感、安全感，现向全县广大网民发出如下倡议：一、坚守法律底线，做网络法制的建设者。

自觉遵守宪法和《网络安全法》等互联网相关法律法规，自觉选择健康信息，不参与有害和无用信息的制作和传播，拒绝传播违反国家法律、影响国家安全、破坏社会稳定、破坏民族团结和宗教信仰的信息。

二、强化安全意识，做网络安全的维护者。

坚守社会主义制度底线和国家利益底线，合理使用网络资源，不通过互联网传输有害国家和人民利益的文字、图片、视频等内容，不通过互联网攻击网络系统、窃取各种秘密、积极监督举报各种危害网络安全的不法行为，推动网络空间安全发展。

三、崇尚社会公德，做网络文明的推动者。

坚守社会公共秩序底线、道德风尚底线和信息真实性底线，认真践行社会主义核心价值观，理性上网、文明上网，自觉抵制网络虚假信息、低俗信息和网络谣言，拒绝网络低俗行为，坚决反对网络暴力，推动网络空间绿色发展。

四、唱响网络主旋律，做网络正能量传播者。

自觉接受先进网络文化熏陶，远离不良网络信息。

自觉在学习工作生活中、在网络空间里弘扬传播正能量，旗帜鲜明地驳斥杂音噪音，提倡先进文化，摒弃消极颓废，唱响网上“中国好声音”，促进绿色网络建设。

“网络安全为人民，网络安全靠人民”。

维护网络安全是全社会共同责任。

让我们从现在做起、从自己做起，坚持文明上网、文明办网，携手共建绿色、安全、文明、和谐的网络空间。

开展网络信息安全倡议书精选篇2根据自治区、地区有关要求，按照《_新闻宣传报道管理办法》有关内容，为进一步加强我县网络和信息安全管理工作，现就有关工作计划如下。

一、建立健络和信息安全管理制度各单位要按照网络与信息安全的有关法律、法规规定和工作要求，制定并组织实施本单位网络与信息安全管理规章制度。

要明确网络与信息安全工作中的各种责任，规范计算机信息网络系统内部控制及管理制度，切实做好本单位网络与信息安全保障工作。

一个改进的蠕虫传播模型研究

一个改进的蠕虫传播模型研究
杨辉军
【期刊名称】《长江大学学报（自然版）理工卷》
【年(卷),期】2009(006)004
【摘要】传染病传播模型常常被借用于对计算机蠕虫的研究中,通过研究双要素蠕虫传播模型, 提出了一个改进的蠕虫传播模型, 并通过Matlab 仿真进行了相关试验, 证明该模型可以更好地预测蠕虫传播的规模和速度.
【总页数】2页(P112-113)
【作者】杨辉军
【作者单位】安徽国际商务职业学院管理系,安徽,合肥,230051
【正文语种】中文
【中图分类】TP393.08
【相关文献】
1.一个蠕虫病毒传播数学模型分析 [J], 刘启明;王少洁
2.一种改进的即时通讯蠕虫传播模型 [J], 洪锡清;梁京章;梁叶
3.一个蠕虫病毒传播SIRS模型的建立与分析 [J], 刘启明
4.一类恶意蠕虫和良性蠕虫的交互传播模型研究 [J], 陈迪;赖际颖;高淑京
5.一类恶意蠕虫和良性蠕虫的交互传播模型研究 [J], 陈迪;赖际颖;高淑京
因版权原因，仅展示原文概要，查看原文内容请购买。

Conficker蠕虫事件回顾与思考

ｒｅｓｕｌｔｉｎｇｉｎａｌａｒｇｅｎｕｍｂｅｒｏｆｅｃｏｎｏｍｉｃｌｏｓｓｅｓ．Ａｆｅｗｙｅａｒｓａｇｏ，ｔｈｅｍａｌｉｃｉｏｕｓｓｏｆｔｗａｒｅｉｓｏｎｌｙｕｓｅｄｔｏｊｏｋｅ．Ｎｏｗ，
关键词：网络安全；Ｃｏｎｉｆｃｋｅｒ蠕虫；僵尸网络
中图分类号：ＴＰ３０９文献标识码：Ａ文章编号：１６７１ — １１２２（２０１３）０７ — ００８２ — ０３
ＲｅｖｉｅｗａｎｄＣＯｎｓｉｄｅｒａｔｉ０ｎｏｆＣｏｎｆｉｃｋｅｒＷＯｒｍＡｔｔａｃｋ
２０１３年第Ｏ７期
■ ｄｏｉ：１０３９６９／ｊｉｓｓｎ１６７１ — １１２２２ｎｆｉｃｋｅｒ蠕虫事件回顾与思考
蒲石，陈周国，郝尧，黄宸
Ｉｎｔｅｍｅｔ．Ｔｈｅｐａｐｅｒｍａｉｎｌｙｒｅｖｉｅｗｓｔｈｅｔｈｒｅａｔａｎｄｉｍｐａｃｔｏｆｃｏｎｉｆｃｋｅｒｗｏｒｍａｎｄｍａｋｅｓｓｕｇｇｅｓｔｉｏｎｓｏｎｈｅｔｓｅｃｕｉｒｙ．ｔＫｅｙｗｏｒｄｓ：ｎｅｔｗｏｒｋｓｅｃｕｒｉｙ；ｔＣｏｎｉｆｃｋｅｒＷｏｒｍ；Ｂｏｔｎｅｔ

消灭Conficker蠕虫

消灭Conficker蠕虫
王学谦;张利标
【期刊名称】《网管员世界》
【年(卷),期】2012(000)014
【摘要】笔者所在的单位是一家大型综合性三级医院，因为采取了一定的安全措施，所以整个IT系统一直运行良好。

突然有一天，影像工作站的所有PC都无法正常使用了。

几经波折，发现是Conficker蠕虫在捣乱，一场Conficker蠕虫歼灭战内此展开。

【总页数】2页(P106-107)
【作者】王学谦;张利标
【作者单位】不详
【正文语种】中文
【中图分类】TP3
【相关文献】
1.域名服务器管理员需警惕Conficker蠕虫 [J], 郑先伟
2.Conficker.c蠕虫分析 [J], 郑先伟
3.Conficker蠕虫事件回顾与思考 [J], 蒲石;陈周国;郝尧;黄宸
4.Conficker蠕虫的分析与防范 [J], 王宜阳;刘家豪
5.消灭SQL蠕虫 [J], 潘伟华
因版权原因，仅展示原文概要，查看原文内容请购买。

Course1

防火墙: DEC(FW product 1991), CheckPoint(1993) 入侵检测: Wheel Group(1994), ISS(1994) 防病毒: McAfee (1987), Symantec(1990 Norton), Kaspersky(1997)
24
1990s: 计算机安全产业的形成
攻击机 172.31.4.210 VMware vSphere
蜜罐主机感染目标 172.31.4.223
8
黛蛇蠕虫案例演示过程 >>
1)启动FTP服务器Serv-U，提供黛蛇样本下载 2)启动命令控制服务器NetCat，提供批处理命令 3)执行黛蛇蠕虫中包含的uPnP漏洞渗透攻击脚本 4) 查看感染目标蜜罐主机的文件系统、任务运行列表和系统状态 5) 利用监控网关分析工具分析由监控网关、 Sebek（系统行为监控工具）捕获的黛蛇蠕虫攻击场景数据
9
黛蛇蠕虫事件的取证与追踪过程
IP追踪定位
“犯罪现场”取证分析 …… 定位攻击者——河南南阳ADSL用户 FTP banner: [Evil_ Security_Team] 网络搜索及线索追踪:
Profiling

10
黛蛇蠕虫案例小结
一个典型的网络蠕虫传播场景
故事摘要：一个‖黑客‖写了个蹩脚的蠕虫，投放到了互联网上，一个“初出校园”的博士生帮助应急组织进行了及时处理，挽救了无辜网民和‖黑客‖，但被‖黑客‖骂了。 2005国家计算机网络应急技术处理协调中心《年报》重要成功案例。
11
内容
1. “黛蛇”蠕虫追踪案例 2. 黑客与黑客道 3. 网络安全攻防技术概述 4. 物理攻击与社会工程学 5. 作业1

软件安全蠕虫

主要防范主体
感染型病毒
其他类蠕虫
漏洞利用类蠕虫［&口令破解类］
寄生代码
独立个体
独立个体
代码寄生
自我复制
自我复制
计算机用户
计算机用户
系统或程序漏洞
宿主执行
系统自启动机制
系统自启动机制
本地文件或系统
网络中其他主机
网络中存在漏洞的主机
主机系统
主机系统、网络及系统性能
网络及系统性能
反病毒软件、安全意识
反病毒软件、安全意识、流量阻断、修补补丁、反病毒软
15/6/22
8.1 网络蠕虫的定义
o 蠕虫这个生物学名词在1982年由Xerox PARC（Xerox Palo Alto Research Center）的John F. Shoch等人最早引入计算机领域，并给出了计算机蠕虫的两个最基本特征：
n “可以从一台计算机移动到另一台计算机” n “可以自我复制”
o 宿主破坏模块：用于摧毁或破坏被感染主机，破坏网络正常运行，在被感染主机上留下后门等。
o 信息通信模块：能使蠕虫间、蠕虫同黑客之间进行通信。 o 远程控制模块：调整蠕虫行为，控制被感染主机，执行蠕虫编写者下达的指令。 o 自动升级模块：随时更新模块功能，实现持续攻击目的。
6
15/6/26
日） n MS02-039
n MS06-040
o 冲击波-msblast（2003年8月11日） o 扫荡波-saodangbo（2008年11月
n MS03-026
7日）
o 震荡波-sasser（2004年5月1日）
n MS08-067
n MS04-011
o 飞客-conficker（2008年11月）／

基于包内容的未知蠕虫发现

基于包内容的未知蠕虫发现
张吉;谭建龙;郭莉
【期刊名称】《计算机工程》
【年(卷),期】2006(32)8
【摘要】根据蠕虫抽象共性,提出了一种基于包内容的未知蠕虫发现策略,并实现了对应的原型系统.在具体实现中,解决了数据包中重复串快速统计和增量维护多串匹配的问题,并比较了系统参数对其性能的影响.模拟实验的结果表明:该系统具有较高的发现率和较低的误报率,处理性能达到40Mbps,可多台并行部署于骨干网结点处进行蠕虫检测.
【总页数】3页(P178-180)
【作者】张吉;谭建龙;郭莉
【作者单位】中国科学院计算技术研究所软件室,北京,100080;中国科学院研究生院,北京,100080;中国科学院计算技术研究所软件室,北京,100080;中国科学院研究生院,北京,100080;中国科学院计算技术研究所软件室,北京,100080;中国科学院研究生院,北京,100080
【正文语种】中文
【中图分类】TP309
【相关文献】
1.基于honeyd扩展的未知蠕虫检测 [J], 李镇伟
2.基于Windows主机的未知蠕虫主动检测系统 [J], 朱禹;沈海斌;周喜川
3.基于失败连接分析和P2P的未知网络蠕虫检测 [J], 杨盛明;李伟华
4.基于honeyd扩展的未知蠕虫检测 [J], 李镇伟
5.基于AOI方法的未知蠕虫特征自动发现算法研究 [J], 顾荣杰;晏蒲柳;邹涛;杨剑峰
因版权原因，仅展示原文概要，查看原文内容请购买。