震网如何利用大数据来处理网络安全攻击

Flame火焰病毒究竟是有多大的威力啊，真怕感染上，哪个杀毒软件可以对付得了它呢？

此前发现的计算机病毒都复杂 专家称其确有独特之处 在伊朗承认其石油部门受计算机病毒“火焰”影响后，多家反病毒公司的专家表示，“火焰”的确有独特之处，比此前发现的病毒要复杂。

代码打印长达2400米 “火焰”病毒引起人们对网络间谍活动的关注，伊朗网络安全部门表示，“火焰”和著名的“震网()”、Duqu病毒有“密切关系”。

“震网”和Duqu被看作是最早出现的两种“网络间谍战武器”。

“震网”于2010年7月被发现，这种蠕虫病毒专门针对德国西门子公司设计制造的供水、发电等基础设施的计算机控制系统，伊朗曾承认“震网”影响到其核电站的部分离心机。

Duqu病毒针对的也是工业控制系统，目的在于收集信息。

大部分反病毒专家认为，“震网”和Duqu来源相同，需要多人长时间合作完成，因此可能是某组织或政府机构所为。

与“震网”相比，“火焰”病毒最直观的特点是代码量大，达到65万行，是前者的20倍。

这种大型的恶意软件常被业内人士称作“百米赛跑”，指的是代码打印出来的纸张长度。

“火焰”代码打印出来的纸张长度达到2400米。

可通吃各行业信息 从功能上看，“震网”和Duqu能破坏某个目标，而“火焰”则是为了收集各行业的敏感信息。

反病毒企业迈克菲公司负责安全研究的戴维·马库斯等专家对媒体表示，“火焰”的散布范围主要在中东地区，但可针对多个不同行业。

它实际是一个工具包，当计算机感染最初的“火焰”病毒后，计算机就会被安装特定的任务模块。

研究人员已发现，这些特定的任务模块可捕捉键盘敲击、窃取密码、删除硬盘数据、激活语音系统窃听网络电话和聊天内容，甚至利用蓝牙功能窃取与被感染电脑相连的智能手机、平板电脑中的内容。

利用已知漏洞攻击 马库斯解释说，“震网”当年“成名”的一个重要原因在于它使用了“零日漏洞”攻击，即病毒编写者利用自己发现的4个系统漏洞，在软件公司发布补丁之前发起攻击。

但“火焰”利用的都是已知漏洞，甚至包括“震网”曾攻击的两个漏洞。

由此看来，“火焰”编写者很可能做了大量调研，分析了目标计算机的操作系统，发现目标还没有修补某些系统漏洞，掌握了渗透这些系统的最佳方式。

通过蓝牙信号传递指令也是此前罕见的功能。

迈克菲公司的研究人员已成功关闭了几个向被感染计算机发送指令的服务器。

但即便与服务器的联系被切断，攻击者依然可通过蓝牙信号对被感染计算机进行近距离控制。

震网病毒的发现历史

2010年6月，“震网”病毒首次被发现，它被称为有史以来最复杂的网络武器，因为它悄然袭击伊朗核设施的手法极其阴险。

2010年9月，瑞星公司监测到这个席卷全球工业界的病毒已经入侵中国。

瑞星反病毒专家警告说，我国许多大型重要企业在安全制度上存在缺失，可能促进病毒在企业中的大规模传播。

2010年12月15日，一位德国计算机高级顾问表示，“震网”计算机病毒令德黑兰的核计划拖后了两年。

这个恶意软件2010年一再以伊朗核设施为目标，通过渗透进“视窗”（Windows）操作系统，并对其进行重新编程而造成破坏。

2011年1月26日，俄罗斯常驻北约代表罗戈津表示，这种病毒可能给伊朗布什尔核电站造成严重影响，导致有毒的放射性物质泄漏，其危害将不亚于1986年发生的切尔诺贝利核电站事故。

2012年6月1日的美国《纽约时报》报道，揭露“震网”病毒起源于2006年前后由美国前总统小布什启动的“奥运会计划”。

2008年，奥巴马上任后下令加速该计划。

2013年3月，中国解放军报报道，美国曾利用“震网”蠕虫病毒攻击伊朗的铀浓缩设备，已经造成伊朗核电站推迟发电，目前国内已有近500万网民、及多个行业的领军企业遭此病毒攻击。

这种病毒可能是新时期电子战争中的一种武器。

震网病毒，截止2011年，感染了全球超过45000个网络，60%的个人电脑感染了这种病毒。

FSCS能杀灭“超级火焰”病毒吗？？？

想灭掉“超级火焰” 现在的技术还是不行的 国际上还没有一款杀毒软件有解决方案 这个病毒比当年中东网络战争留下的震网病毒的程序代码复杂20多倍 比盗取商业信息的病毒强大100多倍 一般人怎么可能被这种病毒入侵呢 不必庸人自扰

近几年几个网络病毒事件有哪些

您好，近几年出现的网络病毒有以下几个。

　　1、磁碟机（2007年） 　　磁碟机病毒也称，它是一个下载者病毒，会关闭一些安全工具和杀毒软件并阻止其运行；对于不能关闭的某些辅助工具会通过发送窗口信息洪水使得相关程序因为消息得不到处理处于假死状态；破坏安全模式，删除一些杀毒软件和实时监控的服务，远程注入到其它进程来启动被结束进程的病毒；病毒会在每个分区下释放AUTORUN.INF来达到自运行，感染除SYSTEM32目录外其它目录下的所有可执行文件。

磁碟机病毒造成的危害及损失10倍于同年的熊猫烧香。

　　2、机器狗（2007年） 　　机器狗病毒因最初的版本采用电子狗的照片做图标而被网民命名为“机器狗”，该病毒的主要危害是充当病毒木马下载器，与AV终结者病毒相似，病毒通过修改注册表，让大多数流行的安全软件失效，然后疯狂下载各种盗号工具或黑客工具，给用户计算机带来严重的威胁。

机器狗病毒直接操作磁盘以绕过系统文件完整性的检验，通过感染系统文件（比如explorer.exe，userinit.exe，winhlp32.exe等）达到隐蔽启动；通过还原系统软件导致大量网吧用户感染病毒，无法通过还原来保证系统的安全。

　　3、（2009-2010年） 　　，震网是一种Windows平台上针对工业控制系统的计算机蠕虫，它是首个旨在破坏真实世界，而非虚拟世界的计算机病毒，利用西门子公司控制系统（SIMATIC WinCC/Step7）存在的漏洞感染数据采集与监控系统（SCADA），向可编程逻辑控制器（PLCs）写入代码并将代码隐藏。

这是有史以来第一个包含PLC Rootkit的计算机蠕虫，也是已知的第一个以关键工业基础设施为目标的蠕虫。

据报道，该蠕虫病毒可能已感染并破坏了伊朗纳坦兹的核设施，并最终使伊朗的布什尔核电站推迟启动。

不过西门子公司表示，该蠕虫事实上并没有造成任何损害。

　　4、Conficker（2008-2009年） 　　Conficker，也被称作Downup，Downadup或Kido，Conficker蠕虫最早于2008年11月20日被发现，针对微软Windows操作系统。

迄今已出现了A、B、C、E四个版本，目前全球已有超过1500万台电脑受到感染。

Conficker主要利用Windows操作系统MS08-067漏洞来传播，同时也能借助任何有USB接口的硬件设备来感染。

　　5、Online Games盗号木马 　　这是一类针对网络游戏账号的盗号木马，它们的特点就是通过进程注入盗取网络游戏的帐号从而通过买卖装备获得利益。

一般情况下，这类病毒本身不会对抗杀毒软件，但经常伴随着AV终结者、机器狗等病毒出现。

　　推荐您使用腾讯电脑管家来保护您的电脑系统安全，腾讯电脑管家使用5大引擎，层层保护您的电脑，防止病毒侵入，并且拥有全面的病毒库，保证实时更新，还有着较高的病毒查杀率！ 　　腾讯电脑管家下载地址：/ 　　希望我的回答能帮助到您！ 腾讯电脑管家企业平台：/c/guanjia/

工控系统中，PLC、DCS、FCS还有什么以太网，对中小型的工业装置，真的有必要引入那么多的系统吗？

PLC用于小型中型自动化控制！如机械控制，型生产线控制！单台单机控制，中型控制如点数在512点以上的工厂自动化中的应用用！ DCS主要用于过程控制！如化工 制药 冶金 石化 电厂 核工业！电能等等所有行业！如伊朗的核电站就是西门子PCS7系统！所以在美国发动的震网病毒中它才中招。

FCS 我并不熟悉！所以你自己去了解吧！小型PLC价格不贵！由于性能可靠 编程方便。

使用量是很多的！

如何利用大数据来处理网络安全攻击

“大数据”已经成为时下最火热的IT行业词汇，各行各业的大数据解决方案层出不穷。

究竟什么是大数据、大数据给信息安全带来哪些挑战和机遇、为什么网络安全需要大数据，以及怎样把大数据思想应用于网络安全技术，本文给出解答。

一切都源于APT APT（Advanced Persistent Threat）攻击是一类特定的攻击，为了获取某个组织甚至是国家的重要信息，有针对性的进行的一系列攻击行为的整个过程。

APT攻击利用了多种攻击手段，包括各种最先进的手段和社会工程学方法，一步一步的获取进入组织内部的权限。

APT往往利用组织内部的人员作为攻击跳板。

有时候，攻击者会针对被攻击对象编写专门的攻击程序，而非使用一些通用的攻击代码。

此外，APT攻击具有持续性，甚至长达数年。

这种持续体现在攻击者不断尝试各种攻击手段，以及在渗透到网络内部后长期蛰伏，不断收集各种信息，直到收集到重要情报。

更加危险的是，这些新型的攻击和威胁主要就针对国家重要的基础设施和单位进行，包括能源、电力、金融、国防等关系到国计民生，或者是国家核心利益的网络基础设施。

现有技术为什么失灵 先看两个典型APT攻击案例，分析一下盲点在哪里： 1、 RSA SecureID窃取攻击 1) 攻击者给RSA的母公司EMC的4名员工发送了两组恶意邮件。

邮件标题为“2011 Recruitment Plan”，寄件人是webmaster@，正文很简单，写着“I forward this file to you for review. Please open and view it.”;里面有个EXCEL附件名为“2011 Recruitment plan.xls”； 2) 很不幸，其中一位员工对此邮件感到兴趣，并将其从垃圾邮件中取出来阅读，殊不知此电子表格其实含有当时最新的Adobe Flash的0day漏洞(CVE-2011-0609)。

这个Excel打开后啥也没有，除了在一个表单的第一个格子里面有个“X”(叉)。

而这个叉实际上就是内嵌的一个Flash； 3) 该主机被植入臭名昭著的Poison Ivy远端控制工具，并开始自BotNet的C&C服务器(位于 )下载指令进行任务； 4) 首批受害的使用者并非“位高权重”人物，紧接着相关联的人士包括IT与非IT等服务器管理员相继被黑； 5) RSA发现开发用服务器(Staging server)遭入侵，攻击方随即进行撤离，加密并压缩所有资料(都是rar格式)，并以FTP传送至远端主机，又迅速再次搬离该主机，清除任何踪迹； 6) 在拿到了SecurID的信息后，攻击者就开始对使用SecurID的公司(例如上述防务公司等)进行攻击了。

2、 震网攻击 遭遇超级工厂病毒攻击的核电站计算机系统实际上是与外界物理隔离的，理论上不会遭遇外界攻击。

坚固的堡垒只有从内部才能被攻破，超级工厂病毒也正充分的利用了这一点。

超级工厂病毒的攻击者并没有广泛的去传播病毒，而是针对核电站相关工作人员的家用电脑、个人电脑等能够接触到互联网的计算机发起感染攻击，以此 为第一道攻击跳板，进一步感染相关人员的U盘，病毒以U盘为桥梁进入“堡垒”内部，随即潜伏下来。

病毒很有耐心的逐步扩散，利用多种漏洞，包括当时的一个 0day漏洞，一点一点的进行破坏。

这是一次十分成功的APT攻击，而其最为恐怖的地方就在于极为巧妙的控制了攻击范围，攻击十分精准。

以上两个典型的APT攻击案例中可以看出，对于APT攻击，现代安全防御手段有三个主要盲点： 1、0day漏洞与远程加密通信 支撑现代网络安全技术的理论基础最重要的就是特征匹配，广泛应用于各类主流网络安全产品，如杀毒、入侵检测/防御、漏洞扫描、深度包检测。

Oday漏洞和远程加密通信都意味着没有特征，或者说还没来得及积累特征，这是基于特征匹配的边界防护技术难以应对的。

2、长期持续性的攻击 现代网络安全产品把实时性作为衡量系统能力的一项重要指标，追求的目标就是精准的识别威胁，并实时的阻断。

而对于APT这种Salami式的攻击，则是基于实时时间点的检测技术难以应对的。

3、内网攻击 任何防御体系都会做安全域划分，内网通常被划成信任域，信任域内部的通信不被监控，成为了盲点。

需要做接入侧的安全方案加固，但不在本文讨论范围。

大数据怎么解决问题 大数据可总结为基于分布式计算的数据挖掘，可以跟传统数据处理模式对比去理解大数据： 1、数据采样——>全集原始数据（Raw Data） 2、小数据+大算法——>大数据+小算法+上下文关联+知识积累 3、基于模型的算法——>机械穷举（不带假设条件） 4、精确性+实时性——>过程中的预测 使用大数据思想，可对现代网络安全技术做如下改进： 1、特定协议报文分析——>全流量原始数据抓取（Raw Data） 2、实时数据+复杂模型算法——>长期全流量数据+多种简单挖掘算法+上下文关联+知识积累 3、实时性+自动化——>过程中的预警+人工调查 通过传统安全防御措施很难检测高级持续性攻击，企业必须先确定日常网络中各用户、业务系统的正常行为模型是什么，才能尽早确定企业的网络和数据是否受到了攻击。

而安全厂商可利用大数据技术对事件的模式、攻击的模式、时间、空间、行为上的特征进行处理，总结抽象出来一些模型，变成大数据安全工具。

为了精准地描述威胁特征，建模的过程可能耗费几个月甚至几年时间，企业需要耗费大量人力、物力、财力成本，才能达到目的。

但可以通过整合大数据处理资源，协调大数据处理和分析机制，共享数据库之间的关键模型数据，加快对高级可持续攻击的建模进程，消除和控制高级可持续攻击的危害。