日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
高效快捷的木馬綜合檢測方案

【.com 綜合消息】

清遠(yuǎn)網(wǎng)站建設(shè)公司創(chuàng)新互聯(lián)建站,清遠(yuǎn)網(wǎng)站設(shè)計制作,有大型網(wǎng)站制作公司豐富經(jīng)驗(yàn)。已為清遠(yuǎn)上千家提供企業(yè)網(wǎng)站建設(shè)服務(wù)。企業(yè)網(wǎng)站搭建\外貿(mào)網(wǎng)站制作要多少錢,請找那個售后服務(wù)好的清遠(yuǎn)做網(wǎng)站的公司定做!

1 需求分析

隨著計算機(jī)及通信技術(shù)的飛速發(fā)展,網(wǎng)絡(luò)在帶給人們便利的同時,也給病毒、木馬的泛濫提供了溫床,給國家、政府、企業(yè)及個人都帶來了不可估量的損失。其中,木馬程序造成的危害更是非常巨大的,也是非常危險的惡意程序。它能使遠(yuǎn)程用戶獲得本地計算機(jī)的最高操作權(quán)限,使用戶的電腦完全暴露在網(wǎng)絡(luò)環(huán)境之中,成為別人操縱的對象。

據(jù)國家計算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心抽樣監(jiān)測統(tǒng)計,2008年我國境內(nèi)感染木馬控制端的IP地址達(dá)到438,386個,感染木馬被控制的IP地址達(dá)到565,605個,發(fā)送立即郵件106次、實(shí)施信息竊取操作373次。“木馬與僵尸網(wǎng)絡(luò)監(jiān)測”已成為了被CNCERT列于“被篡改網(wǎng)站監(jiān)測、惡意代碼捕獲”之首的核心監(jiān)測項(xiàng)目。

木馬的大肆傳播泛濫已給國家造成了巨大損失,2009年5月,工業(yè)與信息化部下發(fā)了關(guān)于印發(fā)《木馬和僵尸網(wǎng)絡(luò)監(jiān)測與處置機(jī)制》的通知。采取了迄今為止最廣泛、最有力的機(jī)制措施。明確了相關(guān)主管機(jī)構(gòu)與廣大的互聯(lián)網(wǎng)用戶各自的責(zé)任和義務(wù),規(guī)定了對木馬和僵尸網(wǎng)絡(luò)的“監(jiān)測和通報”、“處置和反饋”兩個主要流程及通報內(nèi)容。

國家保密局更是把“對互聯(lián)網(wǎng)的保密檢查、對特種木馬的檢測”作為當(dāng)前保密科技研究及保密檢查工作中需要關(guān)注的重點(diǎn)方向之一。
因此在日常網(wǎng)絡(luò)運(yùn)行維護(hù)管理和定期的自檢自查中加強(qiáng)對木馬的監(jiān)測與評估,防止木馬竊取敏感信息,保護(hù)重要數(shù)據(jù),已經(jīng)成為當(dāng)前信息網(wǎng)絡(luò)安全監(jiān)管或維護(hù)部門的重中之重。
#p#

2解決方案

木馬與合法程序的區(qū)別就在于木馬行為的隱蔽性和目的的惡意性。從這兩點(diǎn)區(qū)別入手,控制木馬植入、隱蔽和惡意操作行為所需要的資源條件,監(jiān)控木馬運(yùn)行、通信、啟動的隱蔽行為和惡意操作,就可以對木馬的檢測和防范起到較為理想的效果。
鼎普科技積極跟蹤市場需求、木馬形勢和國家相關(guān)政策,自主研發(fā)了鼎普木馬監(jiān)測與評估系統(tǒng),指在對已知或未知木馬進(jìn)行監(jiān)測與評估,綜合分析木馬行為特征,與此同時,對木馬的最終目的——竊取關(guān)鍵信息進(jìn)行分析判斷有無感染木馬或被竊取重要信息。
通常電腦逐臺查殺的檢查方式對于個人應(yīng)用來說,還是很方便的,但對信息安全監(jiān)管部門來說,這樣的方式卻是非常費(fèi)時費(fèi)力的,鼎普科技根據(jù)這一需求,開發(fā)了網(wǎng)絡(luò)木馬監(jiān)測與分析評估系統(tǒng)。該系統(tǒng)首先通過網(wǎng)絡(luò)監(jiān)測模塊掃描并分析網(wǎng)絡(luò)中的所有主機(jī),并進(jìn)行木馬特征分析與重要信息匹配,準(zhǔn)確判斷并定位出網(wǎng)絡(luò)中感染木馬的主機(jī),然后再用單機(jī)檢測模塊去做深入檢查,從而可以大大的提高整個網(wǎng)絡(luò)中木馬檢測與分析的效率。

根據(jù)不同的應(yīng)用環(huán)境需求,鼎普科技提供了兩種形式的解決方案:檢查版木馬檢測方案與監(jiān)測版木馬檢測方案,分別用于隨機(jī)性檢查或長期性監(jiān)測、評估某個網(wǎng)絡(luò)中是否存在木馬病毒,其中檢查版由單機(jī)檢測模塊和網(wǎng)絡(luò)監(jiān)測模塊組成,而監(jiān)測版則以專用網(wǎng)絡(luò)監(jiān)測硬件平臺為載體,僅由網(wǎng)絡(luò)監(jiān)測模塊組成。

2.1快速探測的網(wǎng)絡(luò)木馬監(jiān)測模塊

網(wǎng)絡(luò)監(jiān)測模塊可以根據(jù)用戶需要,通過對網(wǎng)絡(luò)數(shù)據(jù)的實(shí)時采集,對IP源地址、目的地址進(jìn)行分析從而有效的監(jiān)測網(wǎng)絡(luò)中存在的木馬,并進(jìn)而準(zhǔn)確定位感染的主機(jī),之后即可利用單機(jī)檢測模塊有針對性的對感染木馬電腦進(jìn)行細(xì)致的檢測,以致清除。該模塊既可以安裝在筆記本上,也可以專用硬件平臺為載體,安裝在筆記本上并配以單機(jī)檢測模塊,提供靈活、便捷的木馬檢測技術(shù)手段,可以方便檢查部門隨時檢查某個網(wǎng)絡(luò);以專業(yè)硬件平臺為載體,則可以長期部署在網(wǎng)絡(luò)上,實(shí)現(xiàn)對木馬的連續(xù)、實(shí)時監(jiān)測。圖1表示了監(jiān)測版木馬檢測系統(tǒng)的具體部署拓?fù)鋱D。

圖1 典型安全檢查綜合部署圖

由圖1可以看出,該網(wǎng)絡(luò)木馬檢測方案中,安裝在一臺專用設(shè)備上的網(wǎng)絡(luò)木馬監(jiān)測模塊部署在網(wǎng)絡(luò)出口交換機(jī)鏡像口或干路上,達(dá)到分析、判斷并定位感染終端主機(jī)、重要信息還原的目的。具體實(shí)現(xiàn)的功能如下:

木馬發(fā)現(xiàn)及報警阻斷:在監(jiān)測模塊中添入已知高危木馬的網(wǎng)絡(luò)特征,可以及時準(zhǔn)確的判別、阻斷該木馬的任何非法網(wǎng)絡(luò)傳輸,實(shí)時報警;

高危IP、域名連接、端口的實(shí)時報警和統(tǒng)計:緊密配合履行工信部印發(fā)的《木馬和僵尸網(wǎng)絡(luò)監(jiān)測與處置機(jī)制》中的要求,可通過系統(tǒng)管理界面按需加入工業(yè)與信息化部通報的木馬控制端IP地址、惡意域名、端口等信息,從而進(jìn)行木馬匹配分析,分析出網(wǎng)絡(luò)中感染木馬的終端主機(jī),獲得主機(jī)的IP和MAC地址,定位到終端;

敏感IP、域名連接的實(shí)時報警和統(tǒng)計:固化了鼎普對A、B、C類公用地址研究分析的IP地址分類庫;因此可以通過流經(jīng)總出口的數(shù)據(jù)包實(shí)時分析內(nèi)部某終端正在與美國、臺灣、韓國、日本、歐洲等國家的某IP進(jìn)行連接,且該庫可以不斷升級壯大,由此得出感染終端;

特種木馬行為特征分析:通過設(shè)置IP地址嚴(yán)控的方式確定疑似木馬的連接行為;通過網(wǎng)絡(luò)連接端口來判斷連接是否由木馬生成,并發(fā)現(xiàn)網(wǎng)絡(luò)中的與控制相關(guān)的協(xié)議,并通過協(xié)議與端口的比對,發(fā)現(xiàn)偽裝協(xié)議通過合法端口來工作,如80端口復(fù)用的防火墻穿越技術(shù);

未知木馬基于重要信息內(nèi)容的準(zhǔn)確判斷:對特征一無所知的未知木馬,通過設(shè)置關(guān)鍵字的方式控制終端傳輸行為并報警。對重要信息、被木馬惡意程序隱藏傳輸?shù)碾娮余]件及附件、圖片、文檔等進(jìn)行還原處理,可用于檢查時確認(rèn)泄漏內(nèi)容的危害程度;如部署在網(wǎng)絡(luò)干路上可進(jìn)行實(shí)時阻斷;

信息報文提取:自定義對重要信息進(jìn)行篩選查閱。設(shè)置起始時間、結(jié)束時間、起始IP、結(jié)束IP、報文類型、應(yīng)用協(xié)議、任務(wù)ID、文件類型等來篩選數(shù)據(jù)信息,方便查閱??梢栽诒镜赜脖P上保存當(dāng)前選中的報文以便作更細(xì)致的分析。

輸出統(tǒng)計分析報表:一是快速導(dǎo)航檢測,用戶登錄系統(tǒng)管理界面后,只需點(diǎn)擊一鍵,報表清晰的顯示具體定位的感染終端;二是自定義檢測,可按檢查單位、部門、時間,準(zhǔn)確定位報表。

在通過網(wǎng)絡(luò)木馬監(jiān)測模塊的準(zhǔn)確定位后,即可使用單機(jī)木馬檢測模塊針對感染木馬的單機(jī)進(jìn)行深度檢測了。
#p#

2.2深入分析的單機(jī)木馬檢測模塊

木馬隱蔽技術(shù)的發(fā)展使得木馬在目標(biāo)系統(tǒng)中越來越隱蔽,傳統(tǒng)的基于靜態(tài)特征的木馬檢測技術(shù),面對已知木馬的各種隱蔽和變化檢測能力明顯不足,對于未知的木馬更是無能為力,具有根本性的缺陷。鼎普科技通過控制木馬的植入、隱蔽、惡意操作所需資源以防范木馬;通過監(jiān)控注冊表、文件和目錄、端口進(jìn)程關(guān)聯(lián)和可疑調(diào)用行為、過濾分析網(wǎng)絡(luò)通信等來檢測木馬。圖2顯示了單機(jī)木馬檢測模塊的全部功能。

圖2 鼎普木馬監(jiān)測與評估系統(tǒng)功能

單機(jī)木馬檢測模塊以光盤或防病毒U盤為載體,重點(diǎn)實(shí)現(xiàn)功能如下:

1、靜態(tài)檢測:靜態(tài)木馬庫的對比,對已知的高危木馬進(jìn)行匹配分析,檢測當(dāng)前高危木馬;

2、動態(tài)檢測:從木馬所要運(yùn)行活動的幾個方面對未知木馬變種進(jìn)行動態(tài)特征的深入分析:

  • 啟動方式檢測——對可疑BHO、啟動文件、注冊表啟動項(xiàng)、異常服務(wù)、文件關(guān)聯(lián)方式等進(jìn)行檢測,從程序、進(jìn)程自啟動方面得到木馬的相關(guān)信息。
  • 通信方式檢測——從通信方式來深度檢測,包括可疑打開端口、反彈端口、復(fù)用端口等。
  • 文件系統(tǒng)檢測——對文件系統(tǒng)進(jìn)行掃描,發(fā)現(xiàn)加殼文件及隱藏的文件和文件夾。
  • 系統(tǒng)帳號檢測——木馬要竊取信息通常會先獲得管理員權(quán)限,因此對于系統(tǒng)中的帳號進(jìn)行檢測,包括帳號所屬組、上次登錄時間、修改口令時間等,監(jiān)測有無被木馬添加的賬號信息。

3、智能分析:對可疑進(jìn)程進(jìn)行智能分析,評估檢測出的已知或未知木馬在一定時間內(nèi)的所有操作行為,如打開文件、寫文件、打包文件等來確定這些可疑進(jìn)程是否為木馬。

4、報表審計:對終端一鍵檢測、靜態(tài)檢測、動態(tài)監(jiān)測及智能分析的結(jié)果生成統(tǒng)計審計報表信息。
#p#

3 優(yōu)勢效果分析

在當(dāng)前安全檢查木馬工作中,木馬檢查產(chǎn)品種類繁多,其多對常規(guī)木馬種類進(jìn)行檢查,且檢查方式多為木馬庫對比或少許特征分析,相比之下鼎普木馬監(jiān)測與評估系統(tǒng)開拓創(chuàng)新,創(chuàng)造出了獨(dú)具特色的檢查評估平臺,優(yōu)勢重點(diǎn)體現(xiàn)在以下幾個方面:
針對性強(qiáng),根據(jù)不同的行業(yè)特征,可進(jìn)行關(guān)鍵字配置,針對竊取重要信息的高危木馬和未知木馬,實(shí)現(xiàn)準(zhǔn)確的靜態(tài)分析、敏銳的動態(tài)檢測及智能跟蹤分析;

建立完善的木馬檢測與評估體系,網(wǎng)絡(luò)與單機(jī)共同進(jìn)行深度檢測評估,通過網(wǎng)絡(luò)檢測定位到終端,再對終端深度檢測與綜合分析評估,簡潔高效;

獨(dú)具特色的重要信息內(nèi)容檢查分析點(diǎn),不論其為何種木馬,其最終目的都是想竊取重要信息,因此鼎普科技開創(chuàng)了特色的從信息內(nèi)容匹配、數(shù)據(jù)截獲、數(shù)據(jù)報文還原的終極檢測手段;

具有極強(qiáng)的擴(kuò)展能力和自身提升能力,整個監(jiān)測與評估系統(tǒng)構(gòu)成了一個完整的閉環(huán)循環(huán)系統(tǒng),先是網(wǎng)絡(luò)上進(jìn)行木馬特征和信息內(nèi)容分析,定位感染終端;再到終端上進(jìn)行木馬活動特性動態(tài)匹配智能分析,定位木馬;最后由定位出的木馬特征加入到網(wǎng)絡(luò)監(jiān)測模塊中,便于以后的木馬監(jiān)測與評估,這就構(gòu)成能夠不斷自我成長壯大,自我提升的木馬監(jiān)測與評估平臺;
自身防木馬病毒能力強(qiáng)、適應(yīng)多樣的應(yīng)用環(huán)境,并具有極高的兼容性和操作簡單便捷性;通過光盤或防病毒U盤載體保障木馬監(jiān)測程序的安全性。
#p#

4 結(jié)束語

鼎普科技憑借對計算機(jī)病毒多年來的研究分析,采用靜態(tài)匹配與動態(tài)分析相結(jié)合、網(wǎng)絡(luò)檢測與單機(jī)檢測相結(jié)合的獨(dú)特檢測方式,可以有效的批量檢測出網(wǎng)絡(luò)中感染木馬的終端主機(jī),并進(jìn)而實(shí)施單機(jī)深度木馬檢測,是一種非常簡潔高效的木馬檢測綜合解決方案。

木馬進(jìn)入新經(jīng)濟(jì)時代后,網(wǎng)絡(luò)的提速讓木馬更加的泛濫,如何通過千變?nèi)f化的木馬形式分析出其編制的根本,并開發(fā)出有效的檢測軟件,這將是一項(xiàng)長期的任務(wù)。鼎普科技將不斷研究新情況,解決新問題,密切關(guān)注防病毒領(lǐng)域的未來走向,為業(yè)界提供更安全更可靠更高效的解決思路。


網(wǎng)頁標(biāo)題:高效快捷的木馬綜合檢測方案
本文鏈接:http://www.5511xx.com/article/djejodc.html