一、病毒与安全防护
1.计算机病毒的特征
(1)潜伏阶段
病毒处于未运行状态,一般需要通过某个事件来激活如:一个时间点、一个程序或文件的存在、寄主程序的运行、或者磁盘的容量超出某个限制等。 不是所有的病毒都要经过这个阶段。
(2)繁殖阶段
病毒将自己的副本放入其他程序或者磁盘上特定系统区域,使得程序包含病毒的一个副本,即对程序进行感染。
(3)触发阶段
由于各种可能的触发条件的满足,导致病毒被激活,以执行病毒程序预设的功能。
(4)执行阶段
病毒程序预设的功能被完成。
2.病毒的命名方式
命名方式得了解,通过什么传播得知道。
(1)一般格式
一般格式为
前缀.病毒名.后缀前缀指病毒的种类,后缀用来区别不同的变种。
(2)系统病毒
前缀为
Win32、PE、Win95、W32、W95等,共性是感染Windows操作系统的exe和dll文件。
① 例
CIH为系统病毒。
(3)蠕虫病毒
前缀是
Worm,通过网络或者系统漏洞传播。
① 例
欢乐时光、熊猫烧香均为蠕虫病毒。
(4)木马病毒和黑客病毒
木马的前缀为
Trojan,黑客病毒的前缀为Hack,木马的特征是通过网络或系统漏洞进入用户系统并隐藏,从后台运行并泄露用户信息,黑客病毒有操作界面,对用户计算机进行远程控制,木马和黑客病毒常成对出现,协同工作。 木马(Trojan)黑客(Hack)通过网络实现对计算机的远程攻击。
① 例
X卧底,通过木马形式传播,目标为智能手机的病毒。
3.各种病毒
(1)脚本病毒
前缀是
Script,特性为用脚本语言编写,通过网页传播,脚本病毒的前缀还有VBS或JS等,表明用何种语言编写
(2)宏病毒
前缀为
Macro,第二前缀由文档的不同分别为Word、Word97、Excel等。 寄存在文档或文档模板的宏中的病毒,一旦打开这样的文档,其中的宏就会被执行,进而宏病毒就会被激活,转移到计算机上,并驻留在 Normal 模板上。从此以后,所有自动保存的文档都会感染上这种宏病毒,而且如果其他用户打开了感染病毒的文档,宏病毒又会转移到他的计算机上。 因此,只有微软的Word文档或者pExce文档才会感染宏病毒。
(3)后门病毒
前缀是
Backdoor,特性是通过网络传播,给系统开后门,将安全漏洞扩大。
(4)病毒种植程序
前缀是
Dropper,特性是运行时释放其他的病毒。
(5)破坏性程序病毒
前缀是
Harm,具有好看的图标引诱用户点击,对计算机产生破坏性的行为。
(6)玩笑病毒
前缀是
Joke,也叫恶作剧病毒,其它特性与破坏性病毒一致,只不过不会有破坏性的行为,只是吓唬用户。
(7)捆绑病毒:
前缀是
Binder,使用特定的捆绑程序使病毒与其他应用程序捆绑到一起,隐藏在正常的程序之下运行。
钓鱼网站
是指通过是一类仿冒真实网站的URL地址,通过E-mail传播网站,目的是窃取用户账号、密码等机密信息的网站。
二、入侵检测
1.IDS(被动,入侵检测系统)
入侵检测系统(IDS)作为防火墙之后的第二道安全屏障。 通过从计算机系统或网络中的若干关键点收集网络的安全日志、用户的行为、网络数据包和审计记录等信息并对其进行分析,从中检查是否有违反安全策略的行为和遭到入侵攻击的迹象,入侵检测系统根据检测结果,自动做出响应。
2.IPS(主动)
入侵防护(
IPS)是在IDS的基础之上发展起来的,IPS不仅具有入侵检测系统(IDS)检测攻击行为的能力,而且具有防火墙拦截攻击并且阻断攻击的功能。 但是IPS并不是IDS与 防火墙功能的简单组合,IPS在攻击响应上采取的是主动的全面的深层次的防御。
3.IDS和IPS与防火墙的区别
主要区别是防火墙不对内容进行拦截检测,而入侵检测可以完成字节内容的拦截检测。
3.IDS与IPS的区别
IDS是并联在当前网络中,不需要断网就可以完成接入。IPS是串联在当前网络中,接入过程会切断网络。
