11、网络间谍软件与僵尸网络的防范与应对

网络间谍软件与僵尸网络的防范与应对

1. 网络安全基础防护手段

在网络安全防护体系中，邮件过滤和网页过滤是重要的基础防线。像MailFrontier和MessageLabs这类邮件过滤服务提供商，采用启发式过滤技术，对邮件进行多方面的钓鱼攻击特征分析，给出该邮件是否为钓鱼攻击或垃圾邮件的置信百分比。而Websense等网页过滤产品和服务，则通过阻止对已知钓鱼网站或具有钓鱼特征网站的访问，来保护企业网络安全。

2. 僵尸网络的检测

僵尸网络在受感染主机上往往难以检测，但近期，波特兰州立大学的Jim Binkley对名为Ourmon的工具进行了改进，利用网络流量分析来检测僵尸网络的存在。目前，也有其他类似工具开始涌现。

2.1 主机上检测僵尸程序

预防是抵御僵尸网络的最佳策略。佐治亚理工学院的Kapil Kumar Singh指出，80%的僵尸客户端是未打补丁的Windows机器。因此，我们需要确保系统补丁、杀毒软件和数据文件保持最新状态。同时，关闭那些已启用但未使用的服务。可以使用Sysinternals的Autoruns（www.sysinternals.com）来检查开机时自动执行的程序。在企业防火墙设置中，仅允许必要的端口通信。其中，禁止IRC程序和IRC端口的访问是一种有效的防护措施，但在某些环境下可能无法实现。若要全面阻止IRC流量，需要使用能够识别IRC流量的入侵检测或预防工具。

检测主机上的僵尸程序是一项颇具挑战的任务。在撰写本文时，对McAfee威胁库的搜索显示，包含“Bot”一词的条目多达132条，其中一个条目就报告了500多个变种。部分僵尸软件采用了欺骗机制，如rootkits，它们可以关闭杀毒