字體:小 中 大 | |
|
|
2009/11/03 20:41:42瀏覽3012|回應0|推薦0 | |
Misuse Detection misuse detection 的方法是必須持續地蒐集各式各樣的電腦病毒,分析與歸納這些電腦病毒的特徵或行為,將這些特徵或行為寫到 signature files 之中,隨後的每日作業活動所產生的 log files,都會與這些 signature files 做比較,若 log files 中的特徵或行為與某個電腦病毒相符,則表示系統很可能遭到入侵,此時 misuse detection system 會送出警戒訊息給相關的管理人員,管理人員接到警訊後,會針對攸關的 log files 進行深入的分析,以確認系統是否真得遭到駭客入侵、抑或只是一個 false alarm。這裡所提到的電腦病毒之特徵,通常是指該電腦病毒執行檔中的若干區段之特定數值,這些特定數值都會被記錄到 signature file 之中,而電腦病毒的行為則可透過類似於 "behavior 1 followed by behavior 2, then followed by behavior 3" 的描述方式,將它記錄至 signature file 之中。整個 misuse detection scheme 的流程,請參考圖 4.1-3。 在此順道一提的是,一般用之於個人電腦上的防毒軟體,也是採用 signature 的方式來尋找與移除電腦病毒,只是 Microsoft Window 每日所產生的 log files 對協尋電腦病毒沒有什麼幫助,所以防毒軟體是直接對系統中的每一個檔案執行特徵比對,一旦符合某個電腦病毒的特徵,它就會提出警訊或直接將病毒移除。顯而易見的是,這種特徵的比對方式難免會出現 false alarm,以本人的經歷為例,PC-Cillin 2008 在 2008 年 7 月 1 日,就將本人電腦中的 Longman Comtemporary Dictionary 之部分檔案當成是電腦病毒,並隨即逕行刪除 (連問都不問一下);所以,有時候防毒軟體也會造成一些不小的困擾。 |
|
( 創作|其他 ) |