木马的概念及电信网络木马的防卫

一、木马的概念

1、木马定义：以各种可能的方法进入被害者的计算机中，收集各种信息，进行任何未经被害者允许的行为，这样的程序就是木马。

2、木马的分类

1）组合型木马：组合型木马是指黑客可以远程控制以获取信息的木马，如图1-2所示。这种木马是植入被害者计算机中的服务端程序(Server Program)。黑客使用用户端程序(Client Program)实施控制。按操作或下达命令的方法可分为4种，详见下表1-2-1。

图1-2-1：组合型木马构成框图标

表1-2：木马的分类

2）特定型木马：特定型木马是指自动收集数据，然后发送给黑客的木马，如图1-2-2所示。按操作或下达命令的方法可分为6种，也列入表1-2中。

图1-2-2：特定型木马构成框图

3、木马的特点：木马的特点表现为：1）具有隐蔽性；2）具有自动运行能力；3）具有欺骗性；4）具有自动恢复能力；5）能自动打开特别的窗口；6）归纳特殊；7）不断出现因而种类繁多。

4、木马攻击定义：木马是一段声称具有有用或必备功能的程序，同时还能执行一些不是运行者希望的功能。

5、木马攻击分类：1）破坏性的木马；2）侵犯隐私的木马；3）网络攻击木马；4）后门木马；5）远程访问木马；6）播种者（dropper）；7）开玩笑（joke）；8）逻辑炸弹（logic bomb）；9）分布式拒绝服务（DDoS，Distributed Denial-of-Service）；10）蠕虫。

6、木马的入侵途径：木马入侵计算机系统必须在计算机系统中开启一个端口（PORT）。这就是“后门”。通过后门置入木马、控制木马和窃取信息。

7、木马入侵步骤：置入服务端程序；运行服务端程序。其置入服务端程序的主要方法和运行服务端程序的主要方法归纳在下表1-7中。

表1-7：木马入侵的步骤和其主要方法

8、木马防卫分类：木马防卫分类众多，大体上可以分为下表1-8所示的6类。

表1-8：木马防卫的分类

二、电信网络环境中的木马防卫

计算机网络是一个开放环境。在这种环境中，计算机系统之间的对抗是精英之间的知识、经验和时间的对抗；是一个看不见尽头的攻防斗争过程。在这场对抗中，木马攻击总是处于主动地位；木马防卫总是处于被动地位。出于种种背景原因，促使这种对抗日趋激烈。

在这场计算机网络对抗之中，对抗主体是计算机系统。其间，电信网络通常是被动的，甚至常常被人忽视，然而客观上起到了推波助澜的作用。电信网络同时被防卫方面和攻击方面利用。可悲的是，电信网络方面在这场对抗之中，不但未获得任何好处，相反却招致引火烧身。这就是在信令网络和管理网络之中，出现了类似计算机网络中存在的网络安全问题。诚然，信令网络和管理网络都属于计算机网络，必然不能幸免这类劫难。但是，电信网络中的管理网络和信令网络是一个封闭环境。在这种环境中，针对电信网络的支持网络的攻防，也可能是精英之间的知识、经验和时间的对抗；出于种种背景原因，可能促使这种对抗日趋激烈。因此，电信网络的木马防卫，除了尽可能利用计算机系统木马防卫知识之外，要充分利用管理网络和信令网络的相对封闭的环境。

在管理网络和信令网络环境中，如果初始安装未潜入木马，就难以植入木马；即使已经植入木马，也难以启动和运行；即使已经运行，也难以传递信息。因此，可以形成“外边木马进不来；里面木马出不去”，然后逐步清理的局面。

三、管理网络的木马防卫

在正常情况下，管理网络完全与外部隔离，只接受管理者控制。因此可以说，正常情况下管理网络不存在木马攻击问题；在反常情况下，则不如此。为此必须采取木马防卫措施。

1、采取可信备份

2、阻止入侵

1）管理网络不得以任何方式与外界通信：不与其他计算机连接，不收信，不下载，不运行任何邮件。

2）管理网络的传输通路与媒体网络的传输通路完全隔离；电信网络的媒体网络支持用户电信业务，必然与用户终端连接，传递用户信息。管理网络用于支持媒体网络，没有传递用户信息的功能。但是，出于机理缺陷、设计错误或人为攻击，在这两种网络之间可能建立接口，这就是“后门”。

3、严格访问控制：在电信网络的所有设备之间，在电信网络的所有功能层次之上，都要采用基于组合公共密钥的标识认证。不“彼此认识”的物理设备不能建立连接；不“符合约定”的信号不能传递。

4、及时采用最新补丁

5、最大限度简化管理网络

1）删除计算机系统中所有没用的软件和接口。至今，关于软件设计尚未发现可信的开发方法。软件与漏洞共生是当今公认的事实。因此，简化软件是减少漏洞的捷径；特别是那些无用且惹事的软件和接口，必须删除和关闭。

2）尽可能简化管理网络功能。

6、监督管理者：一是对于管理网络的管理者实施全天候安全监督；二是不得采用远距离监控管理；三是严格禁止无关人员接触管理计算机；四是建立操作日记。

7、寻找和消灭木马：利用最新的反木马软件，在管理网络中，全天候寻找和消灭木马。

8、监视“代理”的行为：在管理网络中，全天候监视和记录所有“代理”的行为。

四、信令网络的木马防卫

信令网络与管理网络的共同特点是，它们都是专用计算机网络。信令网络与管理网络的主要区别是，信令网络受广大用户控制；信令网络存在信令网间互通。因此，信令网络的木马防卫应当采用管理网络所采用的全部木马防卫措施；此外，应当着重解决下列两个问题：即用户-网络接口防卫问题和信令网关接口防卫问题，它们的具体防卫措施汇总于下表4中。

表4：用户-网络接口防卫问题和信令网关接口防卫措施

五、电信网络木马对抗系统设计要求

1、电信网络木马对抗系统的任务：发现和清除管理网络和信令网络中的木马。

2、电信网络木马对抗系统的功能要求：一是发现和清除管理网络中的木马；二是发现和清除信令网络中的木马；三是监视和阻止木马通过信令网关的植入。

3、电信网络木马对抗系统关系：参见下图5-3。

图5-3：电信网络木马对抗系统关系图解

欲进一步了解相关通信网络的安全机制与安全技术的请进入。