没有合适的资源?快使用搜索试试~ 我知道了~
网络安全应急响应终极解决方案.doc
1.该资源内容由用户上传,如若侵权请联系客服进行举报
2.虚拟产品一经售出概不退款(资源遇到问题,请及时私信上传者)
2.虚拟产品一经售出概不退款(资源遇到问题,请及时私信上传者)
版权申诉
0 下载量 158 浏览量
2023-12-20
00:06:26
上传
评论
收藏 85KB DOC 举报
温馨提示
试读
4页
专业方案可供参考,需要的下载,下载前可预览
资源推荐
资源详情
资源评论
网络安全应急响应终极解决方案
网络安全应急响应目前状况和主要问题有以下几点:
1、重防轻治,以防代治。目前网络安全产品以安全防御为主,如防火墙、入侵检测、入侵防御、防毒软件,以及网络细分、流量监视、
流量控制等等,但网络安全应急救治的产品却处于稀缺或空白的状态。其表现为基于网络安全防御体系的技术水平现状,系统漏洞随着
时间推移陆续显露,新病毒总量每年以超几何级数增长,黑客及病毒的技术含量不断提高和攻击手段不断翻新,黑客及病毒突破和破坏
现有网络安全防御体系、劫杀和禁用防毒软件现象屡有发生,特别是爆发的大规模传染性网络病毒对提供公共服务的机构造成社会公共
安全事件时有发生。
2、网络安全应急响应尚处于简单低级层次。事前制定的应急响应预案总难以有效应对尚且未知的病毒及网络攻击,匆忙赶赴现场,无奈
断网恢复,或简单备机切换,大多数公司网络安全应急响应现状如此,与黑客病毒实施的远程入侵控制相比,技术和手段完全处于非对
等的劣势地位,缺乏一种快速响应、与黑客病毒决胜于千里之外的能力。
3、安全防御与应急救治能力失衡,单纯防御必造成投入边际收益率递减,投资者裹足不前。“预防为主,防治结合”,这句话人人耳濡目
染,但前半句的正确性和合理性成立是有条件的。安全防御与应急救治,两者的关系如同医学上疾病防疫与疾病救治的关系一样,以此
类比联想,是否所有疾病都可防疫的呢?突发急病是找治病的医生,还是找疫防的医生呢?百把元即可治愈的流感有人肯不计成本的去
预防它呢?答案是肯定的:1.可预防的;2.预防成本小于救治成本,这才是“预防为主,防治结合”正确性和合理性成立的前提条件。
4、进攻与防御,对攻防双方而言,如同矛与盾关系一样,没有无坚不摧的矛,也没有坚不可摧的盾,两者相生相克,此消彼长。防御系
统和防毒软件处于明处,往往成为攻防实验室网络攻击秘密武器绝佳的靶子。基于特征码识别和基于行为模式识别的防毒软件需要从已
知病毒提取特征码和从已知病毒学习行为模式,所以不可能识别具有未知特征码的未来病毒和具有未知行为模式的未来病毒。由于防御
系统和防毒软件在系统防御中所处位置以及上述原因,决定了率先被突破、被劫杀的正是它们,由此进入网络安全应急响应的阶段。
网络安全应急响应最本质特征就在于应急救治,应急体现在实时响应,救治体现在具有决胜于千里之外的能力。实际上,难不在于实时
响应,而在于入侵检测、病毒识别。若不能解决入侵检测、病毒识别问题,就无法阻击入侵、查杀病毒,现场情况不明,纵有详尽完备
的应急响应预案,也只能匆忙赶赴现场,无奈断网恢复,简单备机切换,而事后取证和补救措施便也成为无的之失,流于形式,这难以
满足网络安全应急响应服务社会化、专业化发展的要求,更不要说应急响应中心或应急呼叫中心了。
怎样识别病毒呢?病毒识别目前主要有病毒特征码识别和病毒行为模式识别两种方法,历史上先有特征码识别,后有行为模式识别。问
题是,除此两种方法以外,还有其他的方法吗?防毒软件多年的使用及取得的巨大成就使这个问题似乎无多大意义。其实不然,“不识庐
山真面目,只缘身在此山中”,下面构造算法阐明此问题。
算法 I. 设当前病毒文件有全集 U,经采集病毒样本并提取特征码和行为模式后构成样本集合 S,现有任一文件 f,其特征码和行为模式为
a, 只有四种可能:1.f∈U, a∈S,识别正确;2.f∉U, a∉S,识别正确;3.f∉U, a∈S,假阳性误报;4.f∈U, a∉S,假阴性漏报。此算法即为当前防
毒软件所采用的方法,集合 S 俗称病毒库。此算法病毒识别率高,但执行效率低。从全集 U 到集合 S,采集病毒样本并提取特征码和行
为模式包含大量工作,样本采集会有漏项和时间滞后,判断是否 a∈S 耗时费力,集合 S 需要不断更新才可识别新病毒,以当下日增数百
万新病毒样本计,所有这些将是非常巨大的工作。对内外网隔离的集团用户,需要下载病毒库 S 才可识别病毒,而时间滞后带来可能是
灾难性的影响,以曾经的熊猫烧香病毒和 ARP 病毒为例,从病毒流行到有效专杀工具出现个月有余,用户手忙脚乱,充满无助无奈。
算法 II. 设当前主机病毒文件有集合 S,有:1.设系统正常时有全集 A,系统异常时有全集 B,作差集 D=B-A,则有 S⊂D;2. 设系统正
常时有集合 A,系统异常时有集合 B,作差集 C=B-A,作差集 C 的关联集合 D,则有 S⊂D。此算法与算法 I 相比,与病毒特征码或行为
模式无关,不存在样本采集、特征码和行为模式提取、病毒库更新下载等问题;集合 D 是一个小样本集合,可用文件属性或属性组合条
件甄别,所用文件属性包括进程、线程、端口、文件类型、长度、时间、目录、名字、注册表、服务、驱动、隐身性、版本号、数字签
名、MD5 值等。此算法是本文在网络安全应急响应中采用的方法。
根据上述原理,现给出网络安全应急响应终极解决方案--《终极者》。一则验证理论的可行性,完善各个细节;二则将理论转化成工具,
用于解决实际问题,否则再好的理论也只是纸上的理论。下面简要阐述《终极者》的原理和方法等相关问题。
《终极者》是一款基于 Windows 操作系统阻击入侵、查杀病毒的工具软件,旨在用于网络安全应急响应,当发生网络入侵、病毒爆发、
现有网络安全防御体系(如防火墙、入侵检测、入侵防御等)被突破、防毒软件被病毒所劫杀或对病毒不作为时,阻击入侵、查杀病毒、
恢复系统的工作;改变目前应急响应赶赴现场,断网恢复,备机切换简单低层次的响应模式,改变与黑客病毒实施的远程入侵控制相比,
技术和手段处于的非对等劣势地位,使之具有可快速响应、决胜于千里之外的能力;填补缺失的网络安全应急救治环节,与现有的网络
资源评论
小正太浩二
- 粉丝: 183
- 资源: 5909
下载权益
C知道特权
VIP文章
课程特权
开通VIP
上传资源 快速赚钱
- 我的内容管理 展开
- 我的资源 快来上传第一个资源
- 我的收益 登录查看自己的收益
- 我的积分 登录查看自己的积分
- 我的C币 登录后查看C币余额
- 我的收藏
- 我的下载
- 下载帮助
安全验证
文档复制为VIP权益,开通VIP直接复制
信息提交成功