Web木馬防護(hù)工具選擇標(biāo)準(zhǔn) 上篇

對(duì)程序通訊進(jìn)行全面監(jiān)視

從專業(yè)的角度講，木馬的運(yùn)行具有一定的規(guī)律。也就是說，一個(gè)安全專家可以通過查看程序通訊的內(nèi)容，來判斷網(wǎng)頁中或者系統(tǒng)中是否有木馬。不過這需要有比較專業(yè)的技術(shù)與比較豐富的經(jīng)驗(yàn)，才做的到。對(duì)于普通用戶來說，就需要借助專業(yè)的工具對(duì)程序通訊進(jìn)行全面的監(jiān)視，利用工具來彌補(bǔ)自己在知識(shí)與經(jīng)驗(yàn)上的不足，以發(fā)現(xiàn)可以進(jìn)程并最終切斷木馬的通訊。

木馬最基本的工作原理就是客戶端與服務(wù)器端之間的通訊。判斷服務(wù)器端或者客戶端身份合法性(如是否是自己請(qǐng)求的服務(wù)器或者說單個(gè)連接請(qǐng)求連接了多個(gè)服務(wù)器)，這是判斷一個(gè)程序是否是木馬的最重要的標(biāo)準(zhǔn)之一。不過話說起來簡單，木馬程序會(huì)采取各種手段來千方百計(jì)的隱藏這種特征，以實(shí)現(xiàn)欺騙防護(hù)工具與用戶的目的。

為此在選擇防護(hù)工具的時(shí)候，最后選擇這些具有對(duì)程序通訊進(jìn)行全面監(jiān)視功能的工具，并在必要的情況下切斷木馬的通訊。如果防護(hù)工具具有這個(gè)功能的話，那么具有一定專業(yè)技能的安全人員就可以借助這個(gè)工具，對(duì)進(jìn)程的通信進(jìn)行監(jiān)控。這可以在最早的時(shí)間之內(nèi)發(fā)現(xiàn)可以的進(jìn)程。

其實(shí)這個(gè)標(biāo)準(zhǔn)與第三個(gè)標(biāo)準(zhǔn)有點(diǎn)類似。其主要作用仍然在于在第一時(shí)間內(nèi)發(fā)現(xiàn)可以的進(jìn)程，即未知的木馬，并進(jìn)行查殺。不過筆者需要提醒的是，這往往對(duì)于操作者的專業(yè)技能要求比較高。一般來說，都是由企業(yè)的IT技術(shù)人員來完成。普通用戶可能沒有這種能力來完成這項(xiàng)工作。

對(duì)特定文件和敏感區(qū)域的監(jiān)視

操作系統(tǒng)中不同的應(yīng)用往往對(duì)于安全有不同的要求。如網(wǎng)上銀行應(yīng)用，其安全級(jí)別要求就比較高。對(duì)于這些關(guān)鍵應(yīng)用，在防護(hù)木馬是需要特別考慮。這就涉及到防護(hù)功能能否對(duì)特定的文件或者敏感區(qū)域進(jìn)行有差別的監(jiān)視。

簡單的說，現(xiàn)在有兩個(gè)應(yīng)用，分別為網(wǎng)上銀行應(yīng)用和論壇BBS應(yīng)用。這兩個(gè)地方都是木馬比較喜歡關(guān)注的地方。但是從安全的角度講，網(wǎng)上銀行的應(yīng)用比論壇來說，安全級(jí)別要高的多。如果同時(shí)對(duì)這個(gè)兩個(gè)應(yīng)用進(jìn)行監(jiān)控(有時(shí)候企業(yè)所采用的應(yīng)用多達(dá)幾十種)，則監(jiān)控到的記錄信息會(huì)很多。

此時(shí)從眾多的信息中發(fā)現(xiàn)可疑的行為，如同大海撈針，會(huì)非常的困難。但是如果在監(jiān)控時(shí)，只監(jiān)控那些關(guān)鍵的應(yīng)用，那么其涉及到的范圍就會(huì)非常的小。IT安全人員對(duì)通訊進(jìn)行監(jiān)控時(shí)也會(huì)更加具有針對(duì)性。

【編輯推薦】

1. 淺析Web安全
2. Web安全產(chǎn)品分析
3. Web攻擊的十大原因
4. Web應(yīng)用安全日趨嚴(yán)重我們?cè)撃檬裁凑?/span>
5. Web2.0時(shí)代 需要防范黑客的5種新型在線攻擊