木馬大數據分析

⑴ 破獲木馬病毒案介紹

去年12月29日消息，常州警方召開新聞發布會宣布破獲一起重大手機木馬病毒案件，抓獲主要犯罪嫌疑人2名，繳獲偽基站、電腦、手機、銀行卡等作案工具。下面由我給你做出詳細的破獲木馬病毒案介紹!希望對你有幫助!

破獲木馬病毒案介紹：

(圖：騰訊手機管家安全專家講解“請帖殺熟”病毒作案過程)

破獲木馬病毒案介紹：5.5萬人中手機木馬病毒

據悉，常州警方在收到市民舉報內容為：“我給你發一份請帖m.yihuamall.com.cn/時間、地方都在裡面，在此恭候光臨。”的詐騙簡訊後，常州網安支隊在騰訊手機管家安全專家的配合下對詐騙簡訊進行了詳細分析，發現犯罪分子在群發詐騙簡訊後，利用簡訊中的惡意網址誘導受害人安裝手機木馬病毒，竊取手機支付驗證碼，盜取受害人資金，並在手機後台偷發詐騙簡訊給手機聯系人進行自發傳播。

(圖：常州警方在抓捕現場繳獲的作案工具)

由於案情重大，12月6日常州警方立即成立了專案組進行專項偵查，根據偵查獲得的線索，專案組轉戰海南儋州、廣東東莞，抓獲了犯罪嫌疑人王某(男，25歲，海南儋州人)，後經審查擴線，於12月10日在湖南嶽陽抓獲另一名犯罪嫌疑人謝某(男，20歲，湖南婁底人)。經審查，犯罪嫌疑人王某在2015年8月聯系謝某編寫手機木馬程序，王為此支付謝錢款6600餘元。後王某通過簡訊平台和偽基站共群發簡訊1500條左右,中毒人數超過5.5萬，共有110餘萬個IP(去重後)訪問過嫌疑人的木馬網址，范圍覆蓋全國各地。

常州警方偵破此次木馬案,有效封堵了病毒利用關系鏈人傳人的惡意快速傳播，阻止作案在萌芽狀態,對利用簡訊木馬作案的這一類詐騙犯罪有強大的震懾作用。而公安機關與安全企業的深入合作，藉助大數據的線索串並，更加精準定位和打擊罪犯，避免更多的人群上當受騙和遭受經濟損失。

破獲木馬病毒案介紹：騰訊手機管家安全專家，犯罪分子作案分四步

在發布會現場，騰訊手機管家安全專家受邀分析了該手機木馬病毒案件的技術步驟，並為市民提供了防範此類手機木馬病毒案件的 方法 。

破獲木馬病毒案介紹：據騰訊手機管家安全專家介紹，犯罪分子作案過程分為四步：

首先，群發詐騙簡訊。詐騙分子通過簡訊群發器群發內容為“我給你發一份請帖m.yihuamall.com.cn/時間、地方都在裡面，在此恭候光臨。”的詐騙簡訊。

(圖：請帖殺熟木馬病毒傳播過程)

第二步，用戶點擊惡意網址，安裝“請帖殺熟”木馬病毒。當用戶點擊簡訊中的惡意網址後，會在手機上下載一個名為“請帖殺熟”的木馬病毒安裝包，點擊該安裝包後，會彈出一條消息“看看你愛人都做了什麼事情”，以此誘導用戶完成木馬病毒的安裝。

(圖：騰訊手機管家安全專家分析請帖殺熟木馬作案過程)

第三步，木馬病毒偽裝成GoogleService，群發詐騙簡訊給手機聯系人。安裝後，木馬病毒會偽裝成名為GoogleService的應用，讓其看起來像是Android系統應用。接著會在後台群發“我給你發一份請帖m.yihuamall.com.cn/時間、地方都在裡面，在此恭候光臨。”簡訊給手機聯系人。

由於手機聯系人都為熟人，而且看到是朋友發來的請帖，很多人會點擊簡訊中的網址，從而上當受騙。從警方公布的數據看，雖然犯罪嫌疑人王某隻發了1500條詐騙簡訊，中毒人數就超過了5.5萬,簡訊中的惡意網址卻有110餘萬次訪問，可見木馬病毒傳播的高效率。

第四步：詐騙分子通過木馬病毒盜取手機支付驗證碼，盜刷資金。在木馬病毒不斷通過群發簡訊傳播的同時，詐騙分子根據其事先購買到的手機號、銀行賬號密碼、姓名、身份證號等隱私信息，登錄受害人網銀、第三方支付工具進行轉賬、匯款操作，當受害人手機收到手機支付驗證碼的時候，木馬病毒會立即竊取手機支付驗證碼，利用該支付驗證碼，犯罪分子完成對受害人資金的盜刷。

(圖：騰訊手機管家查殺“請帖殺熟”病毒)

破獲木馬病毒案介紹：常州警方聯合騰訊手機管家提醒，三招防木馬病毒

對於本次常州警方破獲的手機木馬病毒案，騰訊手機管家安全專家分析後表示，這類利用“詐騙簡訊+手機木馬病毒”作案的新型案件目前處於高發期，比如，“相冊陷阱”“10086積分”“銀行積分”等。由於詐騙分子利用高科技手段作案，讓市民很難防範。為此，常州警方與騰訊手機管家聯合提醒：

首先，不要點擊簡訊中的任何網址鏈接。無論是“請帖殺熟”木馬病毒，還是之前發現的“相冊陷阱”“10086積分”“銀行積分”病毒都是依靠簡訊中內置惡意網址進行傳播，因此手機用戶千萬不要打開簡訊中的網址鏈接，即使簡訊是熟人發來也不要點開。

其次，不要從手機論壇、小的電子市場下載應用。通過應用內置病毒傳播的案例也越來越多，所以下載應用最好選擇官方網站，或者騰訊手機管家的“軟體管理”進行下載。

再次，安裝專業安全軟體，攔截詐騙簡訊、惡意網址。通過騰訊手機管家可以有效的攔截詐騙簡訊、惡意網址，並可以查殺木馬病毒，從而確保手機安全。

⑵ 什麼是木馬怎樣檢測木馬機器中了木馬會怎樣

什麼是木馬?
特洛伊木馬(以下簡稱木馬)，英文叫做「Trojan house」，其名稱取自希臘神話的特洛伊木馬記。
它是一種基於遠程式控制制的黑客工具，具有隱蔽性和非授權性的特點。
所謂隱蔽性是指木馬的設計者為了防止木馬被發現，會採用多種手段隱藏木馬，這樣服務端即使發現感染了木馬，由於不能確定其具體位置，往往只能望「馬」興嘆。
所謂非授權性是指一旦控制端與服務端連接後，控制端將享有服務端的大部分操作許可權，包括修改文件，修改注冊表，控制滑鼠，鍵盤等等，而這些權力並不是服務端賦予的，而是通過木馬程序竊取的。

從木馬的發展來看，基本上可以分為兩個階段。
最初網路還處於以UNIX平台為主的時期，木馬就產生了，當時的木馬程序的功能相對簡單，往往是將一段程序嵌入到系統文件中，用跳轉指令來執行一些木馬的功能，在這個時期木馬的設計者和使用者大都是些技術人員，必須具備相當的網路和編程知識。
而後隨著WINDOWS平台的日益普及，一些基於圖形操作的木馬程序出現了，用戶界面的改善，使使用者不用懂太多的專業知識就可以熟練的操作木馬，相對的木馬入侵事件也頻繁出現，而且由於這個時期木馬的功能已日趨完善，因此對服務端的破壞也更大了。
所以所木馬發展到今天，已經無所不用其極，一旦被木馬控制，你的電腦將毫無秘密可言。
參考資料：http://bbs.51ww.com/365000/ShowPost.aspx
回答者：完顏康康 - 探花 十一級 9-18 12:40

--------------------------------------------------------------------------------

DLL 木馬揭秘

相信經常玩木馬的朋友們都會知道一些木馬的特性，也會有自己最喜愛的木馬，不過，很多朋友依然不知道近年興起的「DLL木馬」為何物。什麼是「DLL木馬」呢？它與一般的木馬有什麼不同？

一、從DLL技術說起

要了解DLL木馬，就必須知道這個「DLL」是什麼意思，所以，讓我們追溯到幾年前，DOS系統大行其道的日子裡。在那時候，寫程序是一件繁瑣的事情，因為每個程序的代碼都是獨立的，有時候為了實現一個功能，就要為此寫很多代碼，後來隨著編程技術發展，程序員們把很多常用的代碼集合（通用代碼）放進一個獨立的文件里，並把這個文件稱為「庫」（Library），在寫程序的時候，把這個庫文件加入編譯器，就能使用這個庫包含的所有功能而不必自己再去寫一大堆代碼，這個技術被稱為「靜態鏈接」（Static Link）。靜態鏈接技術讓勞累的程序員鬆了口氣，一切似乎都很美好。可是事實證明，美好的事物不會存在太久，因為靜態鏈接就像一個粗魯的推銷員，不管你想不想要宣傳單，他都全部塞到你的手上來。寫一個程序只想用到一個庫文件包含的某個圖形效果，就因為這個，你不得不把這個庫文件攜帶的所有的圖形效果都加入程序，留著它們當花瓶擺設，這倒沒什麼重要，可是這些花瓶卻把道路都阻塞了——靜態鏈接技術讓最終的程序成了大塊頭，因為編譯器把整個庫文件也算進去了。

時代在發展，靜態鏈接技術由於天生的弊端，不能滿足程序員的願望，人們開始尋找一種更好的方法來解決代碼重復的難題。後來，Windows系統出現了，時代的分水嶺終於出現。Windows系統使用一種新的鏈接技術，這種被稱為「動態鏈接」（Dynamic Link）的新技術同樣也是使用庫文件，微軟稱它們為「動態鏈接庫」——Dynamic Link Library，DLL的名字就是這樣來的。動態鏈接本身和靜態鏈接沒什麼區別，也是把通用代碼寫進一些獨立文件里，但是在編譯方面，微軟繞了個圈子，並沒有採取把庫文件加進程序的方法，而是把庫文件做成已經編譯好的程序文件，給它們開個交換數據的介面，程序員寫程序的時候，一旦要使用某個庫文件的一個功能函數，系統就把這個庫文件調入內存，連接上這個程序佔有的任務進程，然後執行程序要用的功能函數，並把結果返回給程序顯示出來，在我們看來，就像是程序自己帶有的功能一樣。完成需要的功能後，這個DLL停止運行，整個調用過程結束。微軟讓這些庫文件能被多個程序調用，實現了比較完美的共享，程序員無論要寫什麼程序，只要在代碼里加入對相關DLL的調用聲明就能使用它的全部功能。最重要的是，DLL絕對不會讓你多拿一個花瓶，你要什麼它就給你什麼，你不要的東西它才不會給你。這樣，寫出來的程序就不能再攜帶一大堆垃圾了——絕對不會讓你把吃剩的東西帶回家，否則罰款，這是自助餐。

DLL技術的誕生，使編寫程序變成一件簡單的事情，Windows為我們提供了幾千個函數介面，足以滿足大多數程序員的需要。而且，Windows系統自身就是由幾千個DLL文件組成，這些DLL相互扶持，組成了強大的Windows系統。如果Windows使用靜態鏈接技術，它的體積會有多大？我不敢想。

二、應用程序介面API

上面我們對DLL技術做了個大概分析，在裡面我提到了「介面」，這又是什麼呢？因為DLL不能像靜態庫文件那樣塞進程序里，所以，如何讓程序知道實現功能的代碼和文件成了問題，微軟就為DLL技術做了標准規范，讓一個DLL文件像乳酪一樣開了許多小洞，每個洞口都註明裡面存放的功能的名字，程序只要根據標准規范找到相關洞口就可以取得它要的美味了，這個洞口就是「應用程序介面」（Application Programming Interface），每個DLL帶的介面都不相同，盡最大可能的減少了代碼的重復。用Steven的一句話：API就是一個工具箱，你根據需要取出螺絲刀、扳手，用完後再把它們放回原處。在Windows里，最基本的3個DLL文件是kernel32.dll、user32.dll、gdi32.dll。它們共同構成了基本的系統框架。

三、DLL與木馬

DLL是編譯好的代碼，與一般程序沒什麼大差別，只是它不能獨立運行，需要程序調用。那麼，DLL與木馬能扯上什麼關系呢？如果你學過編程並且寫過DLL，就會發現，其實DLL的代碼和其他程序幾乎沒什麼兩樣，僅僅是介面和啟動模式不同，只要改動一下代碼入口，DLL就變成一個獨立的程序了。當然，DLL文件是沒有程序邏輯的，這里並不是說DLL=EXE，不過，依然可以把DLL看做缺少了main入口的EXE，DLL帶的各個功能函數可以看作一個程序的幾個函數模塊。DLL木馬就是把一個實現了木馬功能的代碼，加上一些特殊代碼寫成DLL文件，導出相關的API，在別人看來，這只是一個普通的DLL，但是這個DLL卻攜帶了完整的木馬功能，這就是DLL木馬的概念。也許有人會問，既然同樣的代碼就可以實現木馬功能，那麼直接做程序就可以，為什麼還要多此一舉寫成DLL呢？這是為了隱藏，因為DLL運行時是直接掛在調用它的程序的進程里的，並不會另外產生進程，所以相對於傳統EXE木馬來說，它很難被查到。

四、DLL的運行

雖然DLL不能自己運行，可是Windows在載入DLL的時候，需要一個入口函數，就如同EXE的main一樣，否則系統無法引用DLL。所以根據編寫規范，Windows必須查找並執行DLL里的一個函數DllMain作為載入DLL的依據，這個函數不作為API導出，而是內部函數。DllMain函數使DLL得以保留在內存里，有的DLL裡面沒有DllMain函數，可是依然能使用，這是因為Windows在找不到DllMain的時候，會從其它運行庫中找一個不做任何操作的預設DllMain函數啟動這個DLL使它能被載入，並不是說DLL可以放棄DllMain函數。

五、DLL木馬技術分析

到了這里，您也許會想，既然DLL木馬有那麼多好處，以後寫木馬都採用DLL方式不就好了嗎？話雖然是這么說沒錯，但是DLL木馬並不是一些人想像的那麼容易寫的。要寫一個能用的DLL木馬，你需要了解更多知識。

1.木馬的主體

千萬別把木馬模塊寫得真的像個API庫一樣，這不是開發WINAPI。DLL木馬可以導出幾個輔助函數，但是必須有一個過程負責主要執行代碼，否則這個DLL只能是一堆零碎API函數，別提工作了。
如果涉及一些通用代碼，可以在DLL里寫一些內部函數，供自己的代碼使用，而不是把所有代碼都開放成介面，這樣它自己本身都難調用了，更不可能發揮作用。
DLL木馬的標准執行入口為DllMain，所以必須在DllMain里寫好DLL木馬運行的代碼，或者指向DLL木馬的執行模塊。

2.動態嵌入技術

Windows中，每個進程都有自己的私有內存空間，別的進程是不允許對這個私人領地進行操作的，但是，實際上我們仍然可以利用種種方法進入並操作進程的私有內存，這就是動態嵌入，它是將自己的代碼嵌入正在運行的進程中的技術。動態嵌入有很多種，最常見的是鉤子、API以及遠程線程技術，現在的大多數DLL木馬都採用遠程線程技術把自己掛在一個正常系統進程中。其實動態嵌入並不少見，羅技的MouseWare驅動就掛著每一個系統進程-_-

遠程線程技術就是通過在另一個進程中創建遠程線程（RemoteThread）的方法進入那個進程的內存地址空間。在DLL木馬的范疇里，這個技術也叫做「注入」，當載體在那個被注入的進程里創建了遠程線程並命令它載入DLL時，木馬就掛上去執行了，沒有新進程產生，要想讓木馬停止惟有讓掛接這個木馬DLL的進程退出運行。但是，很多時候我們只能束手無策——它和Explorer.exe掛在一起了，你確定要關閉Windows嗎？

3.木馬的啟動

有人也許會迫不及待的說，直接把這個DLL加入系統啟動項目不就可以了。答案是NO，前面說過，DLL不能獨立運行，所以無法在啟動項目里直接啟動它。要想讓木馬跑起來，就需要一個EXE使用動態嵌入技術讓DLL搭上其他正常進程的車，讓被嵌入的進程調用這個DLL的DllMain函數，激發木馬運行，最後啟動木馬的EXE結束運行，木馬啟動完畢。

啟動DLL木馬的EXE是個重要角色，它被稱為Loader，如果沒有Loader，DLL木馬就是破爛一堆，因此，一個算得上成熟的DLL木馬會想辦法保護它的Loader不會那麼容易被毀滅。記得狼狽為奸的故事嗎？DLL木馬就是爬在狼Loader上的狽。

Loader可以是多種多樣的，Windows的rundll32.exe也被一些DLL木馬用來做了Loader，這種木馬一般不帶動態嵌入技術，它直接掛著rundll32進程運行，用rundll32的方法（rundll32.exe [DLL名],[函數] [參數]）像調用API一樣去引用這個DLL的啟動函數激發木馬模塊開始執行，即使你殺了rundll32，木馬本體還是在的，一個最常見的例子就是3721中文實名，雖然它不是木馬。

注冊表的AppInit_DLLs鍵也被一些木馬用來啟動自己，如求職信病毒。利用注冊表啟動，就是讓系統執行DllMain來達到啟動木馬的目的。因為它是kernel調入的，對這個DLL的穩定性有很大要求，稍有錯誤就會導致系統崩潰，所以很少看到這種木馬。

有一些更復雜點的DLL木馬通過svchost.exe啟動，這種DLL木馬必須寫成NT-Service，入口函數是ServiceMain，一般很少見，但是這種木馬的隱蔽性也不錯，而且Loader有保障。

4.其它

到這里大家也應該對DLL木馬有個了解了，是不是很想寫一個？別急，不知道大家想過沒有，既然DLL木馬這么好，為什麼到現在能找到的DLL木馬寥寥無幾？現在讓我來潑冷水，最重要的原因只有一個：由於DLL木馬掛著系統進程運行，如果它本身寫得不好，例如沒有防止運行錯誤的代碼或者沒有嚴格規范用戶的輸入，DLL就會出錯崩潰。別緊張，一般的EXE也是這樣完蛋的，但是DLL崩潰會導致它掛著的程序跟著遭殃，別忘記它掛接的是系統進程哦，結局就是……慘不忍睹。所以寫一個能公布的DLL木馬，在排錯檢查方面做的工作要比一般的EXE木馬多，寫得多了自己都煩躁……

六、DLL木馬的發現和查殺

經常看看啟動項有沒有多出莫名其妙的項目，這是Loader的所在，只要殺了狼，狽就不能再狂了。而DLL木馬本體比較難發現，需要你有一定編程知識和分析能力，在Loader里查找DLL名稱，或者從進程里看多掛接了什麼陌生的DLL，可是對新手來說……總之就是比較難啊比較難，所以，最簡單的方法：殺毒軟體和防火牆（不是萬能葯，切忌長期服用）。
http://..com/q?word=%B5%E7%C4%D4%B2%A1%B6%BE%CA%C7%CA%B2%C3%B4&ct=17&pn=0&tn=ikaslist&rn=10

⑶ 網路安全與大數據技術應用探討論文

網路安全與大數據技術應用探討論文

摘要： 隨著互聯網技術的高速發展與普及，現如今互聯網技術已經廣泛應用於人們工作與生活之中，這給人們帶來了前所未有的便利，但與此同時各種網路安全問題也隨之顯現。基於此，本文主要介紹了大數據技術在網路安全領域中的具體應用，希望在網路系統安全方面進行研究的同時，能夠為互聯網事業的持續發展提供可行的理論參考。

關鍵詞： 網路安全；大數據技術；應用分析

前言

隨著近年來互聯網技術的不斷深入，網路安全事故也隨之頻頻發生。出於對網路信息安全的重視，我國於2014年成立了國家安全委員會，正式將網路安全提升為國家戰略部署，這同時也表示我國網路信息安全形勢不容樂觀，網路攻擊事件處於高發狀態。木馬僵屍病毒、惡意勒索軟體、分布式拒絕服務攻擊、竊取用戶敏感信息等各類網路攻擊事件的數量都處於世界前列。時有發生的移動惡意程序、APT、DDOS、木馬病毒等網路攻擊不僅會嚴重阻礙網路帶寬、降低網路速度、並且對電信運營商的企業聲譽也會產生一定影響。根據大量數據表明，僅僅依靠傳統的網路防範措施已經無法應對新一代的網路威脅，而通過精確的檢測分析從而在早期預警，已經成為現階段網路安全能力的關鍵所在。

1網路安全問題分析

網路安全問題不僅涉及公民隱私與信息安全，更關乎國事安全，例如雅虎的信息泄露，導致至少五億條用戶信息被竊；美國棱鏡門與希拉里郵件門等等事件都使得網路安全問題進一步升級、擴大。隨著互聯網構架日益復雜，網路安全分析的數據量也在與日俱增，在由TB級向PB級邁進的過程，不僅數據來源豐富、內容更加細化，數據分析所需維度也更為廣泛。伴隨著現階段網路性能的增長，數據源發送速率更快，對安全信息採集的速度要求也就越高，版本更新延時等導致的Odav等漏洞日漸增多，網路攻擊的影響范圍也就進一步擴大；例如APT此類有組織、有目標且長期潛伏滲透的多階段組合式攻擊更加難以防範，唯有分析更多種類的安全信息並融合多種手段進行檢測抵禦。在傳統技術架構中，大多使用結構化資料庫來進行數據存儲，但由於數據存儲的成本過高，系統往往會將原始數據進行標准化處理後再進行存儲，如此易導致數據的丟失與失真以及歷史數據難以保存而造成的追蹤溯源困難；同時對於嘈雜的大型、非結構化數據集的執行分析以及復雜查詢效率很低，導致數據的實時性及准確性難以保證，安全運營效率不高，因此傳統網路安全技術已經難以滿足現階段網路安全分析的新要求。大數據技術這一概念最初由維克托.邁爾.舍恩伯格與肯尼斯.庫克耶在2008年出版的《大數據時代》一書中提出的，大數據是指不採用隨機分析法，而是對所有的數據進行綜合分析處理。大數據技術作為現階段信息架構發展的趨勢之首，其獨有的高速、多樣、種類繁多以及價值密度低等特點，近年來被廣泛應用於互聯網的多個領域中。大數據的戰略意義在於能夠掌握龐大的數據信息，使海量的原始安全信息的存儲與分析得以實現、分布式資料庫相比傳統資料庫的存儲成本得以降低，並且數據易於在低廉硬體上的水平擴展，極大地降低了安全投入成本；並且伴隨著數據挖掘能力的大幅提高，安全信息的採集與檢測響應速度更加快捷，異構及海量數據存儲的支持打造了多維度、多階段關聯分析的基礎，提升了分析的深度與廣度。對於網路安全防禦而言，通過對不同來源的數據進行綜合管理、處理、分析、優化，可實現在海量數據中極速鎖定目標數據，並將分析結果實時反饋，對於現階段網路安全防禦而言至關重要。

2大數據在網路安全中的應用

將大數據運用到網路安全分析中，不僅能夠實現數據的優化與處理，還能夠對日誌與訪問行為進行綜合處理，從而提高事件處理效率。大數據技術在網路安全分析的效果可從以下幾點具體分析：

2.1數據採集效率

大數據技術可對數據進行分布式地採集，能夠實現數百兆/秒的採集速度，使得數據採集速率得到了極大的提高，這也為後續的關聯分析奠定了基礎。

2.2數據的存儲

在網路安全分析系統中，原始數據的存儲是至關重要的，大數據技術能夠針對不同數據類型進行不同的數據採集，還能夠主動利用不同的方式來提高數據查詢的效率，比如在對日誌信息進行查詢時適合採用列式的存儲方式，而對於分析與處理標准化的數據，則適合採用分布式的模式進行預處理，在數據處理後可將結果存放在列式存儲中；或者也可以在系統中建立起MapRece的查詢模塊，在進行查詢的時候可直接將指令放在指定的節點，完成處理後再對各個節點進行整理，如此能夠確保查詢的速度與反應速度。

2.3實時數據的分析與後續數據的處理

在對實時數據的分析中，可以採用關聯分析演算法或CEP技術進行分析，如此能夠實現對數據的採集、分析、處理的綜合過程，實現了更高速度以及更高效率的處理；而對於統計結果以及數據的處理，由於這種處理對時效性要求不高，因此可以採用各種數據處理技術或是利用離線處理的方式，從而能夠更好地完成系統風險、攻擊方面的分析。

2.4關於復雜數據的分析

在針對不同來源、不同類型的復雜數據進行分析時，大數據技術都能夠更好的完成數據的分析與查詢，並且能夠有效完成復雜數據與安全隱患、惡意攻擊等方面的處理，當網路系統中出現了惡意破壞、攻擊行為，可採用大數據技術從流量、DNS的角度出發，通過多方面的數據信息分析實現全方位的防範、抵禦。

3基於大數據技術構建網路系統安全分析

在網路安全系統中引入大數據技術，主要涉及以下三個模塊：

3.1數據源模塊

網路安全系統中的`數據及數據源會隨著互聯網技術的進步而倍增技術能夠通過分布式採集器的形式，對系統中的軟硬體進行信息採集，除了防火牆、檢測系統等軟體，對設備硬體的要求也在提高，比如對伺服器、存儲器的檢查與維護工作。

3.2數據採集模塊

大數據技術可將數據進行對立分析，從而構建起分布式的數據基礎，能夠做到原始數據從出現到刪除都做出一定說明，真正實現數據的訪問、追溯功能，尤其是對數據量與日俱增的今天而言，分布式數據存儲能夠更好地實現提高資料庫的穩定性。

3.3數據分析模塊

對網路安全系統的運營來說，用戶的業務系統就是安全的最終保障對象，大數據分析能夠在用戶數據產生之初，及時進行分析、反饋，從而能夠讓網路用戶得到更加私人化的服務體驗。而對於用戶而言，得其所想也會對網路系統以及大數據技術更加的信任，對於個人的安全隱私信息在系統上存儲的疑慮也會大幅降低。當前網路與信息安全領域正在面臨著全新的挑戰，企業、組織、個人用戶每天都會產生大量的安全數據，現有的安全分析技術已經難以滿足高效率、精確化的安全分析所需。而大數據技術靈活、海量、快速、低成本、高容量等特有的網路安全分析能力，已經成為現階段業界趨勢所向。而對互聯網企業來說，實現對數據的深度「加工處理」，則是實現數據增值的關鍵所在，對商業運營而言是至關重要的。

4結語

在當下時代，信息數據已經滲透到各個行業及業務領域中，成為重要的社會生產因素。正因如此，互聯網數據產生的數量也在與日倍增中，這給網路安全分析工作帶來了一定難度與壓力，而大數據技術則能夠很好的完善這一問題。在網路系統中應用大數據技術不僅能夠滿足人們對數據處理時所要求的高效性與精準性，並且能夠在此基礎上構建一套相對完善的防範預警系統，這對維護網路系統的安全起著非常關鍵的作用，相信大數據技術日後能夠得到更加廣泛的應用。

參考文獻：

[1]魯宛生.淺談網路安全分析中大數據技術的應用[J].數碼世界，2017.

[2]王帥,汪來富,金華敏等.網路安全分析中的大數據技術應用[J].電信科學，2015.

[3]孫玉.淺談網路安全分析中的大數據技術應用[J].網路安全技術與應用，2017.

;

⑷ 部分共享充電寶被植入「木馬」泄漏用戶信息，如何警惕這些安全陷阱

我們所處的時代是不斷發展的，尤其是信息化。各種高科技設備出現在我們的生活裡面，極大的方便了我們的日常生活。比如說共享充電寶。大家就會感到疑惑部分共享充電寶被植入“木馬”泄漏用戶信息，如何警惕這些安全陷阱？我覺得自己一定要看清楚這里的共享充電寶的信息，還有公司方面也要進行處理，我們來具體分析一下吧。

1：個人的注意：

尤其是我們處在這個高速發展的時代裡面，信息是非常重要的。我們不要覺得自身的信息沒有什麼價值，不斷的暴露出去，對應我們自身的安全是有問題的。

⑸ 當心手機里的病毒：木馬病毒如何竊取個人信息

先回答竊取個人信息的方式：
惡意軟體通過獲得手機的部分許可權，如獲取通訊錄許可權可得到你的通訊錄進而得知你的父母，朋友的聯系方式，可用來販賣資源或騷擾；獲取存儲空間讀取許可權可掃描你的照片和圖片，將滿足特定條件的照片上傳後台做進一步分析，可能會獲得你的身份證、銀行卡、家庭、財務甚至隱私信息；監聽你的輸入法可以獲得你輸入的所有內容，包括賬號密碼等；獲取攝像頭許可權可以趁你不注意拍攝照片並上傳；獲取麥克風許可權可以監聽你的通話；獲取定位許可權可以監控你的位置，加上時間和頻次可以分析出你的生活規律…加上大數據綜合分析，獲得的信息就更多了！
但是其實很多正規app也在做這些事情，你每次安裝app勾選並同意的條款也有這些內容，只不過正規企業會有所克制，有一定的監管！而惡意軟體容易失控！
最後說下提防方法：
1.不要在非官方網站和應用商店下載你不了解的app；
2.盡可能不要給app你所不了解的敏感許可權；
3.不要在手機里存儲個人敏感信息如身份證照片，密碼等；
4.出門在外不要隨便掃描二維碼或者連接未知的wifi；
5.不要擅自把手機交給陌生人使用；
6.注意手機的狀態是否有異常耗電、異常流量…
暫時想到這么多，手機手打，望採納！

⑹ 0DAY漏洞的0Day概念

0Day的概念最早用於軟體和游戲破解，屬於非盈利性和非商業化的組織行為，其基本內涵是「即時性」。Warez被許多人誤認為是一個最大的軟體破解組織，而實際上，Warez如黑客一樣，只是一種行為。0Day也是。當時的0Day是指在正版軟體或游戲發布的當天甚至之前，發布附帶著序列號或者解密器的破解版，讓使用者可以不用付費就能長期使用。因此，雖然Warez和0Day都是反盜版的重要打擊對象，卻同時受到免費使用者和業內同行的推崇。盡管Warez和0Day的擁護者對以此而謀利的盜版商不齒，但商業利益的驅動還是將破解行為的商業化推到了高峰。而眼下的0Day，正在對信息安全產生越來越嚴重的威脅。
「0day」其實就是Warez的一種傳播形式，「0day」不是說那些破解專家不到1天就「搞定」某個軟體，而是說他在最短的時間內迅速地「解鎖」，並在網上發布。0day的真正意思是「即時發布」（盡管不是真的當天發布），大家可以把它看作是一種精神。
「0day」是一種自發的網路運動而已，「warez」是對破解的泛稱；如果有人說他屬於「0day組織」，並不是說他真的在一個叫做「0day」的破解組織里幹活，其真正涵義是他屬於某個破解組織，而這個組織經常向0day發布作品。很多人說「0day」是一個邪惡的組織，其實他們只是將自己的破解作品以「0day」的發行形式發布，分享給全世界的人。
「0day」的主要目的是交換，完全是非商業化、非盈利、志願的行為。如果有人將0day的東西拿去做成盜版光碟，那麼與0day的本意無關。
0day漏洞，是已經被發現(有可能未被公開),而官方還沒有相關補丁的漏洞。
信息安全意義上的0Day
信息安全意義上的0Day是指在系統商在知曉並發布相關補丁前就被掌握或者公開的漏洞信息。
2005年12月8日，幾乎影響Windows所有操作系統的WMF漏洞在網上公開，雖然微軟在8天後提前發布了安全補丁（微軟的慣例是在每月的第一個周二），但就在這8天內出現了二百多個利用此漏洞的攻擊腳本。漏洞信息的公開加速了軟體生產企業的安全補丁更新進程，減少了惡意程序的危害程度。但如果是不公開的0Day呢？WMF漏洞公開之前，又有多少人已經利用了它？是否有很多0Day一直在秘密流傳？例如，給全球網路帶來巨大危害的「沖擊波」和「震盪波」這兩種病毒，如果它們的漏洞信息沒有公開，自然也就沒有這兩種超級病毒的產生。反過來想，有什麼理由認為眼下不存在類似的有著重大安全隱患的漏洞呢？（Dtlogin遠程溢出漏洞於2002年被發現，2004年公布。）
看不見的才是最可怕的，這就是0Day的真正威脅。
不可避免的0Day
信息價值的飛速提升，互聯網在全球的普及，數字經濟的廣泛應用，這一切都刺激著信息安全市場的不斷擴大，軟體破解、口令解密、間諜軟體、木馬病毒全部都從早期的僅做研究和向他人炫耀的目的轉化為純商業利益的運作，並迅速地傳播開來，從操作系統到資料庫，從應用軟體到第三方程序和插件，再到遍布全球的漏洞發布中心，看看它們當中有多少0Day存在？可以毫不誇張的說，在安全補丁程序發布之前，所有的漏洞信息都是0Day，但是從未發布過安全補丁的軟體是否就意味著它們當中不存在0Day呢？
有人說：「每一個稍具規模的應用軟體都可能存在0Day。」沒錯！從理論上講，漏洞必定存在，只是尚未發現，而彌補措施永遠滯後而已。
只要用戶方不獨自開發操作系統或應用程序，或者說只要使用第三方的軟體，0Day的出現就是遲早的事，無論你是使用資料庫還是網站管理平台，無論你是使用媒體播放器還是繪圖工具，即便是專職安全防護的軟體程序本身，都會出現安全漏洞，這已是不爭的事實，但最可怕的不是漏洞存在的先天性，而是0Day的不可預知性。 0Day走向何方
越來越多的破解者和黑客們，已經把目光從率先發布漏洞信息的榮譽感轉變到利用這些漏洞而得到的經濟利益上，互聯網到處充斥著數以萬計的充滿入侵激情的腳本小子，更不用說那些以竊取信息為職業的商業間諜和情報人員了。於是，0Day有了市場。
國外兩年前就有了0Day的網上交易，黑客們通過網上報價出售手中未公開的漏洞信息，一個操作系統或資料庫的遠程溢出源碼可以賣到上千美元甚至更高；而國內的黑客同行，前不久也在網上建立了一個專門出售入侵程序號稱中國第一0Day的網站，盡管類似的提供黑客工具的網站很多，但此網站與其它網站的區別在於0Day的特性十分明顯：價格較高的攻擊程序的攻擊對象，還沒有相應的安全補丁，也就是說這樣的攻擊程序很可能具有一擊必中的效果。這個網站成立不久便在搜索引擎中消失了，也許已經關閉，也許轉入地下。但不管怎樣，0Day帶來的潛在經濟利益不可抹殺，而其將來對信息安全的影響以及危害也絕不能輕視。
軟體上的0Day幾乎不可避免，那硬體呢？硬體是否存在0Day？答案無疑是肯定的。近年來，思科路由器漏洞頻繁出現，今年2月，已被曝光的某知名網路產品漏洞至今仍未被修復。對於那些基於IP協議連接網路的路由、網關、交換機，哪個電信運營商敢百分之百地 保證自己的網路設備萬無一失？（2005年4月11日，全國超過二十個城市的互聯網出現群發性故障；同年7月12日，北京20萬ADSL用戶斷網）。
早在兩年前，英特爾的首席技術官就提出過互聯網不能承受與日俱增的使用者這一想法，當時，被很多人認為是無稽之談。今年6月，在美國的商業圓桌會議上，包括惠普公司、IBM公司、Sun公司、通用汽車公司、家得寶公司和可口可樂公司等在內的160個企業代表呼籲政府要對發生大規模網路故障的可能性做好准備工作……
當今的互聯網，病毒、蠕蟲、僵屍網路、間諜軟體、DDoS猶如洪水般泛濫，所有的這一切都或多或少地從0Day走過，互聯網癱瘓絕不遙遠。 0day的主要發布類型
ISO
某些軟體為了保留原汁原味，就將原版光碟做成ISO、Bin文件，然後用WinRAR分卷壓縮後，加上nfo說明檔發行。碰到有加密的光碟，也會選擇CloneCD等格式來發布。Nero、BlindWrite等其它燒錄軟體的鏡像檔較少見，但也有。 在國內一般叫做光碟版。
RIP
專門製作RIP的游戲小組會將游戲以RIP的形式發布。所謂RIP就是把游戲能去掉的都去掉，以達到最小的尺寸（前提是符合標準的RIP規則——Standard RIP Rules，簡稱SRR），對游戲數據進行壓縮、分卷、每個分卷還要用ZIP打包、再加上NFO、發布。RIP在國內一般叫做「硬碟版」
crack&keygen
這些主要是針對共享軟體，因為軟體本身比較容易找到，因而注冊就是最重要的事情。破解補丁與注冊機是最考驗cracker的東西了，原則上能寫出完美注冊機的是最好情況，不行的話，就要用破解補丁了。
基於發行內容
軟體
0day軟體通常是一些程序或者工具，包含了破解、注冊機或者使用該軟體所需的序列號、以及最關鍵的程序本身。0day軟體一般發布於FTP上，按照日期來進行排列，一天之中基本上會有不同小組來發布上百種軟體。每個發布都會採用分卷壓縮的方式來發布，這樣如果在下載過程中出現錯誤則不需要重新下載全部文件，僅僅是出現錯誤的文件重新下載。壓縮包命名採用嚴格的8.3格式。
發布格式一般為：
程序名稱.版本.適用平台.破解方式-發布小組
添加上目錄結構則為: 0day發布日期（一般為MM/DD格式）程序名稱.版本.適用平台.破解方式-發布小組
游戲
這樣也不用說了吧，就是新鮮熱辣的游戲。包括前一陣子最熱門的「極品飛車－熱力追擊2」、「FIFA2003」等。TT的感覺是RIP的游戲越來越少了，ISO版越來越多，可能和大家的帶寬增長有關系吧。
電影
0day電影是什麼？簡單化的說，就是release group（發布群）將自己手裡的dvd或者其他的電影源盤，做成方便網路流通的一種形式，為大家提供共享。如今我們所說的0day電影，一般分為了兩種。一種是純粹原創性質的，即從尋找片源到製作發布，不經過任何市場的因素。完全獨立完成。不要驚訝，也許這些人手裡，在電影尚未首映之前，已經擁有了「正版」的DVD影片。而另一種，則是從市場上購買DVD碟，進行破解和復制、傳播。為了保護版權，在DVD的製作中，包含了一種叫做 DVD CSS的加密技術，正是因為這樣一個技術，使得一般人無法對DVD進行直接的復制，如果你要分享——把碟借給你的朋友吧。但是，為了破除DVD廠商的這種保護，挪威有一名叫做john Johnansen的天才少年，在他15歲的時候編制了DeCSS，用來破解DVD CSS的保護。使得利用家用電腦對DVD碟片進行直接復製成為可能。
也許有的人看到這里會問：為什麼有的人在電影發布之前就已經擁有了「正版」影片。這就不得不提到0day組織的構成。一個完整的0day單體組織稱為topsite，領導者為OP。topsite由IRC（一種聊天程序）和FTP（一種網路傳輸方式）組成，IRC負責交流，FTP負責發布作品。進入IRC需要極嚴格的審查程序，包括對申請者的技術、資源甚至是人品，而FTP的限制更加嚴格，甚至只能在限定的IP地址段內才能登錄。一個 topsite包含了若干個group（團隊，簡稱grp），首領為admin，grp是0day作品的直接製造者，他們製作的「產品」最終匯總到topsite中進行統一發布。在每個topsite中，又有詳細的分工，以0day電影為例：負責提供原材料的supplier，負責製作的ripper,負責在站點間傳輸的race等等。在提供給topsite發布之前，會有人專門負責nuke（對製作的0day影片質量進行審核）。
Supplier，這是一個對0day電影來說至關重要的人物，特別是原創性的0day電影。他的身份很可能是電影院的一個放映員、老闆，也可能是電影局審查員，甚至，是電影公司的內部成員。與盜版商所接觸的「內線」不同，這些人提供片源，並不出於某種利益上的企圖，他們所希望的只是：分享。如果一個topsite的名聲大到了足夠的顯赫，甚至會有人主動和他們聯系，提供片源。而更多的時候，則要看機緣巧合——沒准你身邊某個好朋友就是這樣一個能在第一時間接觸到最新電影並把它弄出來的人。那麼恭喜你，你將在圈內大大地火一把，因為你甚至能在電影還沒公映之前就已經製作完成了0day電影拷貝。不過，即使能夠製作完成，也不會提前發布出去，這一時間僅限於內部交流。在幾年前，有一個名為CFB的grp將暴雪公司的一個游戲軟體在公開發售前一個多月就以破解的形式發布了出去，結果給整個0day組織帶來了滅頂之災——在暴雪公司的強烈抗議下，整個歐洲有近1/3的0day組織被FBI、各國警察及國家安全機構聯合掃盪、關閉。數十個計算機精英被抓入大牢。
一部0day電影一般會分為以下幾個步驟發布：第一時間發布的是TS版，也就是俗稱的偷拍版、槍版。這是直接用攝錄機在電影院里對熒幕翻拍得到的產品。然後是TC版也就是膠片版——通過在電影院播放的膠片直接掃描得到的影片。接下來就是已經接近市面上銷售的DVD質量的SCR版，也就是電影廠商提供給電影評審委員會所看的片子。實際上，這一版本往往在電影首映之前已經製作完成，但是為了自身保護，grp會「循序漸進」地等到適合的時機才發布。最後，則是市面同步的 retail dvd版本。不過，一般retail dvd都會壓縮製作成rip，一種容量更小，便於流通，但是播放質量損失不大的格式。一部電影，一般會按照時間長短壓縮成容量在700M左右1-3部分 ——700M正好是一張CD碟的容量。不過這種格式只能在電腦上播放，不能刻錄成DVD碟片。盜版商所採用的則是DVD-R，將破解好的DVD，做成一個 Image文件形式在網路上流傳，下載後直接刻錄就能得到DVD電影碟片。

⑺ 酷我音樂為什麼被認為是木馬

---

火絨工程師深入分析發現，「酷我音樂」攜帶的間諜木馬會在後台進行搜集用戶隱私信息等惡意行為：

1、搜集用戶主機登錄過的QQ號碼。

2、通過瀏覽器瀏覽歷史歸納用戶特徵後回傳後台。

3、通過雲控配置下發命令至用戶電腦，比如下載音頻文件回傳到伺服器後台。

此外，該木馬還可隨時通過遠程伺服器進行其它操作，不排除未來通過修改雲控配置下發其它風險模塊的可能性。

同時， 「酷我音樂」會通過雲控下發兩套間諜木馬：一套下發在軟體的安裝目錄下；另外一套則會下發到非軟體安裝目錄，且即便「酷我音樂」卸載後仍然駐留用戶系統，持續響應雲控指令。

事實上，早在2015年，「酷我音樂」攜帶的上述間諜木馬就曾被國外安全廠商報「潛在不需要的程序（PUA/PUP）」（見下方用戶反饋鏈接）。可能由於該報法與行業內對惡意軟體的定義有區別，因此未能引起其它安全廠商注意。直到今日火絨工程師在用戶現場中發現，進而詳細分析，認為這套組件功能已經超出了「PUA/PUP」的定義，且符合 間諜木馬的定義。

值得一提的是，火絨工程師還發現該間諜木馬的雲控配置的鏈接在一個名為「bigdata」（大數據）目錄下，推測該間諜木馬是用作所謂的大數據收集之用。

⑻ 為什麼殺毒軟體免費以後感覺病毒減少了呢

5加強了對製造病毒者的打壓力度

法制上對製造病毒者的打壓，一旦造成很大的損失或者傳播量很大，確認誰乾的沒准呆牢房，這種得不償失的事聰明的人是不會乾的，傻不拉嘰的人就是幹了也沒有什麼破壞力。

以及製造病毒的人經濟來源不樂觀，之前很多正式軟體都曾經干過這種事，目的是保護他們的產品，一旦發現軟體被破解使用病毒就開始運行，現在誰敢這么做，估計一個晚上股票下跌到低谷。說不定還會被公安系統（網監），工信部的人找上門來。