技术 | 基本原理 | 备注 | |
1 | 网络蠕虫监测与预警技术 | 安装探测器收集网络蠕虫相关信息并汇总分析,发现早期蠕虫行为 探测器收集的与蠕虫相关信息类型 ①本地网络通信连接数; ②ICMP协议路由错误包; ③网络当前通信流量; ④网络服务分布; ⑤域名服务; ⑥端口活动; ⑦CPU利用率; ⑧内存利用率 而数据挖掘、模式匹配、数据融合等技术方法则用于分析蠕虫信息 | ①著名的Grids检测蠕虫攻击的实验系统:收集网络通信活动数据,构建网络节点活动行为图(Activity Graph),与蠕虫行为模式图匹配,检测蠕虫是否存在 ②免费软件Snort通过网络蠕虫特征来监测蠕虫行为 |
2 | 网络蠕虫传播抑制技术 | 利用网络蠕虫传播特点,构造一个限制网络蠕虫传播的环境 基于蜜罐技术。设置虚拟机或虚假漏洞欺骗网络蠕虫,降低传播能力 | LaBrea对抗蠕虫工具:通过长时间阻断与被感染机器的TCP连接来降低蠕虫传播速度 |
3 | 网络系统漏洞检测与系统加固技术 | 网络蠕虫传播常利用系统漏洞,特别是具有从远程获取系统管理权限的高风险漏洞 ①解决方法:包括漏洞扫描、漏洞修补、漏洞预防等 ②重点:及早发现网络系统漏洞,设法消除漏洞利用条件,限制漏洞影响范围,达到间接破坏网络蠕虫传播及发作条件和环境的目的 ③漏洞检测:通过漏洞扫描软件或特定漏洞扫描工具,发现系统所存在漏洞分布状况,分析评估漏洞影响,制定相应漏洞管理措施 ④系统加固:修改安全配置、调整安全策略、安装补丁软件包、安装安全工具软件等 | ①主机安全配置要求:尽量关闭不需要服务,避免使用默认账号和口令 ②漏洞修补措施:根据漏洞影响,从安全公司、软件公司或应急响应部门获取补丁软件包,测试验证后再安装 |
4 | 网络蠕虫免疫技术 | 在易感染主机系统上事先设置一个蠕虫感染标记,欺骗真实网络蠕虫,从而保护易感主机 前提:网络蠕虫通常在受害主机系统上设置标记,避免重复感染 | |
5 | 网络蠕虫阻断与隔离技术 | 利用防火墙、路由器进行控制 合理配置网络或防火墙,禁用除正常服务端口外的其他端口,过滤含有某蠕虫特征的包,屏蔽己被感染主机对保护网络访问 | |
6 | 网络蠕虫清除技术 | 用于感染蠕虫后的处理 根据特定网络蠕虫感染系统后所留下痕迹(如文件、进程、注册表等),分析网络蠕虫运行机制,有针对性地删除有关文件或进程 ①手工清除方式:应熟知蠕虫发作机制,在受害机器上进行蠕虫特征字符串查找、注册表信息修改、进程列表查看等操作 ②蠕虫专用工具:由安全公司或应急响应部门提供,用户只需安装运行 | 手工清除或用专用工具清除 |