病毒与安全防护-网络安全

一、病毒与安全防护

1.计算机病毒的特征

（1）潜伏阶段

病毒处于未运行状态，一般需要通过某个事件来激活如：一个时间点、一个程序或文件的存在、寄主程序的运行、或者磁盘的容量超出某个限制等。 不是所有的病毒都要经过这个阶段。

（2）繁殖阶段

病毒将自己的副本放入其他程序或者磁盘上特定系统区域，使得程序包含病毒的一个副本，即对程序进行感染。

（3）触发阶段

由于各种可能的触发条件的满足，导致病毒被激活，以执行病毒程序预设的功能。

（4）执行阶段

病毒程序预设的功能被完成。

2.病毒的命名方式

命名方式得了解，通过什么传播得知道。

（1）一般格式

一般格式为 前缀.病毒名.后缀 前缀指病毒的种类，后缀用来区别不同的变种。

（2）系统病毒

前缀为Win32、PE、Win95、W32、W95等，共性是感染Windows操作系统的exe和dll文件。

① 例

CIH为系统病毒。

（3）蠕虫病毒

前缀是Worm，通过网络或者系统漏洞传播。

① 例

欢乐时光、熊猫烧香均为蠕虫病毒。

（4）木马病毒和黑客病毒

木马的前缀为Trojan，黑客病毒的前缀为Hack，木马的特征是通过网络或系统漏洞进入用户系统并隐藏，从后台运行并泄露用户信息，黑客病毒有操作界面，对用户计算机进行远程控制，木马和黑客病毒常成对出现，协同工作。 木马（Trojan）黑客（Hack）通过网络实现对计算机的远程攻击。

① 例

X卧底，通过木马形式传播，目标为智能手机的病毒。

3.各种病毒

（1）脚本病毒

前缀是Script，特性为用脚本语言编写，通过网页传播，脚本病毒的前缀还有VBS或JS等，表明用何种语言编写

（2）宏病毒

前缀为Macro，第二前缀由文档的不同分别为Word、Word97、Excel等。 寄存在文档或文档模板的宏中的病毒，一旦打开这样的文档，其中的宏就会被执行，进而宏病毒就会被激活，转移到计算机上，并驻留在 Normal 模板上。从此以后，所有自动保存的文档都会感染上这种宏病毒，而且如果其他用户打开了感染病毒的文档，宏病毒又会转移到他的计算机上。 因此,只有微软的Word文档或者pExce文档才会感染宏病毒。

（3）后门病毒

前缀是Backdoor，特性是通过网络传播，给系统开后门，将安全漏洞扩大。

（4）病毒种植程序

前缀是Dropper，特性是运行时释放其他的病毒。

（5）破坏性程序病毒

前缀是Harm，具有好看的图标引诱用户点击，对计算机产生破坏性的行为。

（6）玩笑病毒

前缀是Joke，也叫恶作剧病毒，其它特性与破坏性病毒一致，只不过不会有破坏性的行为，只是吓唬用户。

（7）捆绑病毒：

前缀是Binder，使用特定的捆绑程序使病毒与其他应用程序捆绑到一起，隐藏在正常的程序之下运行。

钓鱼网站

是指通过是一类仿冒真实网站的URL地址，通过E-mail传播网站，目的是窃取用户账号、密码等机密信息的网站。

二、入侵检测

1.IDS（被动，入侵检测系统）

入侵检测系统（IDS）作为防火墙之后的第二道安全屏障。 通过从计算机系统或网络中的若干关键点收集网络的安全日志、用户的行为、网络数据包和审计记录等信息并对其进行分析，从中检查是否有违反安全策略的行为和遭到入侵攻击的迹象，入侵检测系统根据检测结果，自动做出响应。

2.IPS（主动）

入侵防护（IPS）是在 IDS 的基础之上发展起来的，IPS 不仅具有入侵检测系统（IDS）检测攻击行为的能力，而且具有防火墙拦截攻击并且阻断攻击的功能。 但是 IPS 并不是 IDS 与 防火墙功能的简单组合，IPS在攻击响应上采取的是主动的全面的深层次的防御。

3.IDS和IPS与防火墙的区别

主要区别是防火墙不对内容进行拦截检测，而入侵检测可以完成字节内容的拦截检测。

3.IDS与IPS的区别

IDS是并联在当前网络中，不需要断网就可以完成接入。 IPS是串联在当前网络中，接入过程会切断网络。