网络蠕虫：是一种具有自我复制和传播能力、可独立自动运行的恶意程序。它综合了黑客技术和计算机病毒技术，通过利用系统中存在漏洞的节点主机，将蠕虫自身从一个节点传播到另外一个节点

在网络环境下，多模式化的传播途径和复杂的应用环境使网络蠕虫的发生频率增高、传播性变强、影响面更广，造成的损失也更大

网络蠕虫由四个功能模块构成：

网络蠕虫的运行机制主要分为三个阶段

网络蠕虫改善传播效果的方法：是提高扫描的准确性，快速发现易感的主机

目前，有三种措施可以采取

根据网络蠕虫发现易感主机的方式，蠕虫传播方法可分为三类

网络蠕虫发现易感目标主机后，利用易感目标主机所存在的漏洞，将蠕虫程序传播给易感目标主机

常见的网络蠕虫漏洞利用技术

防范网络蠕虫需要多种技术综合应用，包括:

基本原理：在网络中安装探测器，这些探测器从网络环境中收集与蠕虫相关的信息，然后将这些信息汇总分析，以发现早期的网络蠕虫行为

基本原理：利用网络蠕虫的传播特点，来构造一个限制网络蠕虫传播的环境。现在，已有的网络蠕虫传播抑制技术主要基于蜜罐技术

防治网络蠕虫的关键问题之一是解决漏洞问题，包括漏洞扫描、漏洞修补、漏洞预防等

网络蠕虫通常在受害主机系统上设置一个标记，以避免重复感染

基本原理：就是在易感染的主机系统上事先设置一个蠕虫感染标记，欺骗真实的网络蠕虫

网络蠕虫阻断技术有很多，主要利用防火墙、路由器进行控制

用在感染蠕虫后的处理，其基本方法：是根据特定的网络蠕虫感染系统后所留下的痕迹，如文件、进程、注册表等信息，分析网络蠕虫的运行机制，然后有针对性地删除有关网络蠕虫的文件或进程。清除网络蠕虫可以手工清除或用专用工具清除

僵尸网络( Botnet)： 是指攻击者利用入侵手段将僵尸程序(bot or zombie) 植入目标计算机上，进而操纵受害机执行恶意活动的网络

僵尸网络的构建方式：主要有远程漏洞攻击、弱口令扫描入侵、邮件附件、恶意文档、文件共享等

僵尸网络的运行机制环节构成

僵尸网络为保护自身安全，其控制服务器和僵尸程序的通信使用加密机制，并把通信内容嵌入正常的HTTP流量中，以保护服务器的隐蔽性和匿名性。控制服务器和僵尸程序也采用认证机制，以防范控制消息伪造和篡改

逻辑炸弹：是一段依附在其他软件中，并具有触发执行破坏能力的程序代码

触发条件方式：包括计数器触发方式、时间触发方式、文件触发方式、特定用户访问触发方式等

逻辑炸弹只在触发条件满足后，才开始执行逻辑炸弹的破坏功能。逻辑炸弹一旦触发，有可能造成文件删除、服务停止、软件中断运行等破坏。逻辑炸弹不能复制自身，不能感染其他程序

细菌：是指具有自我复制功能的独立程序。虽然细菌不会直接攻击任何软件，但是它通过复制 本身来消耗系统资源

例如：某个细菌先创建两个文件，然后以两个文件为基础进行自我复制，那么细菌以指数级的速度增长，很快就会消耗掉系统资源，包括CPU、 内存、磁盘空间

间谍软件：通常指那些在用户不知情情况下被安装在计算机中的各种软件，执行用户非期望的功能

功能：

一般来说，间谍软件不具备自我复制功能

恶意代码检测技术措施是评估恶意代码检测能力的重要依据

技术检测措施通常包括

受检测技术限制，恶意代码检测结果会出现错误报警信息

恶意代码阻断能力主要包含三个方面

通常是在终端上安装一个恶意代码防护代理程序，该代理程序按照终端管理中心下发的安全策略进行安全控制

高级持续威胁(APT)：通常利用电子邮件作为攻击目标系统

攻击者将恶意代码嵌入电子邮件中，然后把它发送到目标人群，诱使收件人打开恶意电子文档或单击某个指向恶意站点的链接。一旦收件人就范，恶意代码将会安装在其计算机中，从而远程控制收件人的计算机，进而逐步渗透到收件人所在网络，实现其攻击意图

针对高级持续威胁攻击的特点，部署APT检测系统，检测电子文档和电子邮件是否存在恶意代码， 以防止攻击者通过电子邮件和电子文档渗透入侵网络

友情链接：http://xqnav.top/