网络蠕虫灾害及其应急处理的新特点.ppt

网络蠕虫灾害及其应急处理的新特点
第1页，本讲稿共20页
1
内容安排
网络蠕虫：日益严重的威胁
网络蠕虫的新特点
未来蠕虫的威胁
网络蠕虫灾害的应急处理

第2页，本讲稿共网络蠕虫灾害及其应急处理的新特点
第1页，本讲稿共20页
1
内容安排
网络蠕虫：日益严重的威胁
网络蠕虫的新特点
未来蠕虫的威胁
网络蠕虫灾害的应急处理

第2页，本讲稿共20页
2
近年来的网络蠕虫灾害
红色代码II/尼姆达
SQL杀手蠕虫
口令蠕虫
红色代码F变种
MSBLAST蠕虫(冲击波)
第3页，本讲稿共20页
3
SQL 杀手蠕虫事件
2003年1月25日发作
感染SQL数据库服务器，在服务器之间主动蔓延
使用UDP1434端口攻击
造成大面积网络拥塞，部分骨干网络瘫痪
韩国网络基本处于瘫痪状态
我国境内感染主机22600余台
具备应急体系和机制之后第一次处理大规模网络安全事件，做到了快速响应
第4页，本讲稿共20页
4
处理过程
接到举报
核实全网情况
向全网通报情况，样本分析
实施数据监测
了解境外情况
隔离方法分析和确认
通报隔离方法，实施隔离
恢复故障网络
媒体工作
跟踪监测与分析报告
第5页，本讲稿共20页
5
SQL事件总结
1月28日召开总结会：
技术角度得到的经验：
…………………………
第6页，本讲稿共20页
6
口令蠕虫事件
3月8日出现，主要在教育网中蔓延，部分大学校园网络瘫痪
后蔓延到电信、联通、移动、铁通、网通等多个网络，感染服务器41207台
并不利用系统漏洞，而是采用猜口令的方式攻击管理不善的主机（而口令问题由于涉及到每一个用户，始终是最难以解决的问题之一）
植入***以后和境外13个IRC服务器建立联系
第7页，本讲稿共20页
7
处理过程
接到举报
核实全网情况
向全网通报情况，样本分析
实施数据监测，切断与IRC服务器的联系
了解境外情况
隔离方法分析和确认
通报隔离方法
媒体工作
跟踪监测与分析报告
第8页，本讲稿共20页
8
红色代码F变种
3月11日发作，在欧洲一些国家造成影响
3月11日至13日，检测到此蠕虫在我国网络中扩散次数达127860次
接到用户举报
监测系统发现最早证据
完全利用原来的漏洞，依然可以形成一定规模
第9页，本讲稿共20页
9
“冲击波”蠕虫
8月11日启动响应，向各运营商与合作单位与国外组织发送警报和应对措施、交换信息
8月15日启动针对DDoS的数据分析，与各组织保持密切联系

到目前发现感染数目超过200万
第10页，本讲稿共20页
10
当前网络安全事件的特点
病毒、蠕虫和其他攻击行为互相融合
传统病毒的特点：隐蔽性、传染性、破坏性
病毒的本质特点：‘寄生’，而不是独立的程序
蠕虫的特点：独立存在，自主蔓延
更广泛的名称：恶意代码（还包括木马程序等）
互联网的发展为各种恶意代码提供了更多的机会，传统的分类界限日渐模糊
传统的方法是否还适用于解决当今恶意代码的问题呢？
………………………………………………
第11页，本讲稿共20页
11
存在的主要问题
法律法规：垃圾邮件、恶意代码、扫描、隔离、用户权利和义务、刑法286条的局限性
组织体系：重要部门和行业尚没有建立专门的应急组织、国家应急体系尚不健全
协调机制：协调处理机制比较欠缺，跨网、跨部门处理难度大
服务规范：应急处理服务规范亟待建立
产品技术：关键性的、高指标要求的专门产品和技术尚不过关
数据收集：缺乏数据汇集渠道与综合分析能力，缺乏各种必要的基础资源
人力资源：缺乏各种层次的专业队伍，用户安全意识差（漏洞等问题无法根除）
第12页，本讲稿共20页
12
网络蠕虫事件和SARS的比较
“现实世界中的一切问题，都会反映到网络世界中”
SARS和网络蠕虫具有很大的相似性
传播特性
危害性
应对措施（发现异常、初步分析、报警、隔离、分析、治疗；信息共享、统一协调、国际合作）
法律、媒体的作用
不同之处：
“病人”不自知；隔离缺乏法律依据或技术手段；应急缺乏成熟体系和工作制度…..
感染对象的不确定性中包含确定性因素
第13页，本讲稿共20页
13
现状与危机
是否真正知道我国的网络中正在发生什么？
是否掌握国家网络空间安全的真实状态？
是否掌握国家可能面临什么样的网络危机？
国家信息化发展的相关决策缺乏依据
信息化及其安全保障的计划可能陷入盲目
缺乏准