宽带网络环境下恶意代码监测主要检测在宽带以太网环境下传播的恶意代码,用于监测网络中的恶意代码疫情,为国家实施恶意代码的防治措施和应急处理提供及时准确的疫情信息。
CNCERT/CC自2002年开始宽带网络环境下恶意代码监测系统研制,目前试运行系统能够主要实现以下内容的监测:
一、恶意代码行为:
1. 蠕虫基于非加密协议的主动传播行为(包括邮件蠕虫利用smtp和pop3的传输行为,口令猜测蠕虫的网络复制行为,利用非加密协议的p2p文件传输行为);
2.木马后门和普通病毒的http和ftp下载行为;
3.利用http页面访问进行传播的脚本病毒;
4.具有采用http方式自我更新蠕虫的更新行为;
二、未知恶意代码:
1. 利用iframedownload漏洞的未知邮件蠕虫;
2. 未知恶意网页脚本病毒;
三、攻击数据包:
1. 扫描型蠕虫的溢出包;
2. URL攻击;
对于监测到的恶意代码事件,能够实时进行结果事件列表显示,并同时根据恶意代码名称、类型、检出次数、占用网络流量等信息生存动态排行榜。对一段时间内发生的恶意代码,系统能够按照恶意代码属性生成趋势图,为研判恶意代码传播趋势及应急处置提供可靠数据。