惡意代碼發(fā)展與校園安全管理論壇段海新duanhx@2008年9月21，大連理工大學提綱惡意代碼發(fā)展現(xiàn)狀惡意代碼對抗的思考校園網(wǎng)安全管理論壇近年來網(wǎng)絡攻擊的趨勢影響主干網(wǎng)的大規(guī)模安全事件有所減少蠕蟲攻擊有所下降大規(guī)模DDoS攻擊減少安全技術發(fā)揮了很大作用補丁更新、防病毒軟件及更新防火墻、入侵檢測與防護？其他網(wǎng)絡管理者的努力常用端口、站點的封堵用戶安全意識和技能的提高近年來惡意代碼類型與趨勢大多數(shù)是木馬傳統(tǒng)病毒大為減少蠕蟲影響下降/en/analysis?pubid=204791924http:///en/analysis?pubid=204791987木馬蠕蟲利用辦公軟件文件格式的攻擊MicrosoftExcelRemoteCodeExecution(MS07-002)MicrosoftOutlookRemoteCodeExecution(MS07-003)MicrosoftWordRemoteCodeExecution(MS07-014)MicrosoftOfficeRemoteCodeExecution(MS07-015)MicrosoftExcelRemoteCodeExecution(MS07-023)MicrosoftWordRemoteCodeExecution(MS07-024)MicrosoftOfficeRemoteCodeExecution(MS07-025)MicrosoftOutlookExpressandWindowsMail(MS07-034)MicrosoftExcelRemoteCodeExecution(MS07-036)MicrosoftExcelRemoteCodeExecution(MS07-044)AdobeReaderandAcrobatRemoteCodeExecution(APSB07-18)AdobeReaderandAcrobatCrossSiteScripting(APSA07-01)基于Web的攻擊增多利用Web瀏覽器的漏洞ActiveXcontrol,腳本

第三方的Plugins,BHO（BrowserHelpObject）基于Web服務器漏洞的攻擊SQL注入問題基于開源軟件的內(nèi)容管理軟件，如網(wǎng)站管理軟件、內(nèi)容發(fā)布論壇（BBS）軟件，Wiki軟件，Blog軟件…應用層內(nèi)容的檢測：防火墻、入侵檢測利用媒體播放器的攻擊RealPlayer

CVE-2007-2497,CVE-2007-3410,CVE-2007-5601

AppleiTunes

CVE-2007-3752AdobeFlashPlayer

CVE-2007-3457,CVE-2007-5476AppleQuicktime

CVE-2007-0462,CVE-2007-0588,CVE-2007-0466,CVE-2007-0711,CVE-2007-0712,CVE-2007-0714,CVE-2007-2175,CVE-2007-2295,CVE-2007-2296,CVE-2007-0754,CVE-2007-2388,CVE-2007-2389,CVE-2007-2392,WindowsMediaPlayer

CVE-2006-6134,CVE-2007-3035,CVE-2007-3037,CVE-2007-5095第三方軟件的更新問題值得關注ARP欺騙攻擊幾乎所有園區(qū)網(wǎng)管理者都會頭痛的問題網(wǎng)絡不穩(wěn)定或徹底不通流量劫持，敏感信息泄漏HTTP流量的劫持，注入惡意代碼

ARP協(xié)議,1982年的RFC，沒有補??；不是一種惡意代碼，而是一種方法，防病毒軟件沒有統(tǒng)一的方法影響局限于一個廣播域，主干網(wǎng)看不到，入侵檢測和防火墻不起作用惡意代碼的趨勢黑客以贏利為目的，黑色產(chǎn)業(yè)鏈惡意代碼的模塊化，如DiskGen一種病毒多種傳播手段傳播的隱蔽性，長期隱藏影響的本地化，主干網(wǎng)無法檢測惡意代碼對抗技術及反思針對防病毒技術變形與多態(tài)：加密、加殼虛擬機：更加復雜的殼主動防御：內(nèi)核級的Rootkit針對入侵檢測變形與多態(tài)，動態(tài)端口防火墻技術反向鏈接，動態(tài)端口，線程注入來源：商爾從SYSU-CSIRT，中山大學信息與網(wǎng)絡中心針對虛擬計算的RootKit硬件虛擬化的出現(xiàn)使得Rootkit可以在OS中運行的一切，包括安全軟件，都在其控制之中兩個實例：BluePill，VitriolHardwareVMMOSAppAppApp病毒運行在操作系統(tǒng)之外關于惡意代碼對抗的思考安全產(chǎn)品不作為嗎？不用防病毒、防火墻，你試試？校園網(wǎng)安全，存在徹底的解決方案嗎？你的方案能解決所有問題嗎？你能保證以后不發(fā)生安全問題嗎？我們應該信賴誰？我們自己不斷學習，不斷提高集眾人所長，形成自己的方案校園網(wǎng)安全管理論壇的宗旨運行CCERT的體會技術發(fā)展變化：如，攻擊的局域化管理體制的變化：主干網(wǎng)轉移到賽爾公司服務定位的變化：校園網(wǎng)自己認識的變化：知識分布在每個人的頭腦中，不可能集中到一個人的腦子里獨立的校園網(wǎng)安全管理需要共享信息，不可能集中控制或者管理需要平等、自由、開放的信息交流平臺論壇的組織和活動對校園網(wǎng)運行管理人員完全開放、免費由自愿者組織相關的技術交流活動關注校園網(wǎng)關注的運行、安全問題交流平臺：網(wǎng)站：http://論壇（BBS）、郵件列表、Blog視頻會議，QQ群http:///關于ARP的多次研討會總結使用交換機的功能檢測IP與MAC對應表，自動報警（石油大學網(wǎng)管軟件）AntiARPspoofing（集美大學，銳捷設備）DAI和DHCPSnooping（cisco

設備，上海交大）客戶端ARP過濾軟件Anti-ARPARPFix(清華）360衛(wèi)士,…網(wǎng)關上IP-MAC的綁定北大：利用DHCP信息配置網(wǎng)關上的靜態(tài)綁定細粒度劃分VLAN校園網(wǎng)防病毒軟件選型及ARP防范技術沙龍

4月1日，北京大學安全意識的教育：中山大學網(wǎng)絡管理者的開發(fā)用戶的通知與攻擊流量控制如何參與校園網(wǎng)安全管理論壇？在網(wǎng)站注冊，全國各高校同行交流關注、參加論壇的活動在論壇網(wǎng)站上開博客，介紹技術和經(jīng)驗組織交流活動或技術沙龍在本地形成一個交流的圈子，CCERT和《中國教育教育網(wǎng)絡》將鼎力協(xié)助參考資料姜開達，上海交通大學校園網(wǎng)近期ARP欺騙分析與控制，/upload/files/xxd_2008_042_1400.pdf商爾從，防病毒軟件還是防病毒服務？/upload/files/zhoud_2008_042_1548.pdf中山大學校園網(wǎng)信息安全意識宣傳，/content/view/134/校園網(wǎng)安全與管理