一、木馬的概念

1、木馬定義：以各種可能的方法進入被害者的計算機中，收集各種信息，進行任何未經被害者允許的行為，這樣的程序就是木馬。

2、木馬的分類

1）組合型木馬：組合型木馬是指黑客可以遠程控制以獲取信息的木馬，如圖1-2所示。這種木馬是植入被害者計算機中的服務端程序(Server Program)。黑客使用用戶端程序(Client Program)實施控制。按操作或下達命令的方法可分為4種，詳見下表1-2-1。

圖1-2-1：組合型木馬構成框圖標

表1-2：木馬的分類

2）特定型木馬：特定型木馬是指自動收集數據，然后發送給黑客的木馬，如圖1-2-2所示。按操作或下達命令的方法可分為6種，也列入表1-2中。

圖1-2-2：特定型木馬構成框圖

3、木馬的特點：木馬的特點表現為：1）具有隱蔽性；2）具有自動運行能力；3）具有欺騙性；4）具有自動恢復能力；5）能自動打開特別的窗口；6）歸納特殊；7）不斷出現因而種類繁多。

4、木馬攻擊定義：木馬是一段聲稱具有有用或必備功能的程序，同時還能執行一些不是運行者希望的功能。

5、木馬攻擊分類：1）破壞性的木馬；2）侵犯隱私的木馬；3）網絡攻擊木馬；4）后門木馬；5）遠程訪問木馬；6）播種者（dropper）；7）開玩笑（joke）；8）邏輯炸彈（logic bomb）；9）分布式拒絕服務（DDoS，Distributed Denial-of-Service）；10）蠕蟲。

6、木馬的入侵途徑：木馬入侵計算機系統必須在計算機系統中開啟一個端口（PORT）。這就是“后門”。通過后門置入木馬、控制木馬和竊取信息。

7、木馬入侵步驟：置入服務端程序；運行服務端程序。其置入服務端程序的主要方法和運行服務端程序的主要方法歸納在下表1-7中。

表1-7：木馬入侵的步驟和其主要方法

8、木馬防衛分類：木馬防衛分類眾多，大體上可以分為下表1-8所示的6類。

表1-8：木馬防衛的分類

二、電信網絡環境中的木馬防衛

計算機網絡是一個開放環境。在這種環境中，計算機系統之間的對抗是精英之間的知識、經驗和時間的對抗；是一個看不見盡頭的攻防斗爭過程。在這場對抗中，木馬攻擊總是處于主動地位；木馬防衛總是處于被動地位。出于種種背景原因，促使這種對抗日趨激烈。

在這場計算機網絡對抗之中，對抗主體是計算機系統。其間，電信網絡通常是被動的，甚至常常被人忽視，然而客觀上起到了推波助瀾的作用。電信網絡同時被防衛方面和攻擊方面利用。可悲的是，電信網絡方面在這場對抗之中，不但未獲得任何好處，相反卻招致引火燒身。這就是在信令網絡和管理網絡之中，出現了類似計算機網絡中存在的網絡安全問題。誠然，信令網絡和管理網絡都屬于計算機網絡，必然不能幸免這類劫難。但是，電信網絡中的管理網絡和信令網絡是一個封閉環境。在這種環境中，針對電信網絡的支持網絡的攻防，也可能是精英之間的知識、經驗和時間的對抗；出于種種背景原因，可能促使這種對抗日趨激烈。因此，電信網絡的木馬防衛，除了盡可能利用計算機系統木馬防衛知識之外，要充分利用管理網絡和信令網絡的相對封閉的環境。

在管理網絡和信令網絡環境中，如果初始安裝未潛入木馬，就難以植入木馬；即使已經植入木馬，也難以啟動和運行；即使已經運行，也難以傳遞信息。因此，可以形成“外邊木馬進不來；里面木馬出不去”，然后逐步清理的局面。

三、管理網絡的木馬防衛

在正常情況下，管理網絡完全與外部隔離，只接受管理者控制。因此可以說，正常情況下管理網絡不存在木馬攻擊問題；在反常情況下，則不如此。為此必須采取木馬防衛措施。

1、采取可信備份

2、阻止入侵

1）管理網絡不得以任何方式與外界通信：不與其他計算機連接，不收信，不下載，不運行任何郵件。

2）管理網絡的傳輸通路與媒體網絡的傳輸通路完全隔離；電信網絡的媒體網絡支持用戶電信業務，必然與用戶終端連接，傳遞用戶信息。管理網絡用于支持媒體網絡，沒有傳遞用戶信息的功能。但是，出于機理缺陷、設計錯誤或人為攻擊，在這兩種網絡之間可能建立接口，這就是“后門”。

3、嚴格訪問控制：在電信網絡的所有設備之間，在電信網絡的所有功能層次之上，都要采用基于組合公共密鑰的標識認證。不“彼此認識”的物理設備不能建立連接；不“符合約定”的信號不能傳遞。

4、及時采用最新補丁

5、最大限度簡化管理網絡

1）刪除計算機系統中所有沒用的軟件和接口。至今，關于軟件設計尚未發現可信的開發方法。軟件與漏洞共生是當今公認的事實。因此，簡化軟件是減少漏洞的捷徑；特別是那些無用且惹事的軟件和接口，必須刪除和關閉。

2）盡可能簡化管理網絡功能。

6、監督管理者：一是對于管理網絡的管理者實施全天候安全監督；二是不得采用遠距離監控管理；三是嚴格禁止無關人員接觸管理計算機；四是建立操作日記。

7、尋找和消滅木馬：利用最新的反木馬軟件，在管理網絡中，全天候尋找和消滅木馬。

8、監視“代理”的行為：在管理網絡中，全天候監視和記錄所有“代理”的行為。

四、信令網絡的木馬防衛

信令網絡與管理網絡的共同特點是，它們都是專用計算機網絡。信令網絡與管理網絡的主要區別是，信令網絡受廣大用戶控制；信令網絡存在信令網間互通。因此，信令網絡的木馬防衛應當采用管理網絡所采用的全部木馬防衛措施；此外，應當著重解決下列兩個問題：即用戶-網絡接口防衛問題和信令網關接口防衛問題，它們的具體防衛措施匯總于下表4中。

表4：用戶-網絡接口防衛問題和信令網關接口防衛措施

五、電信網絡木馬對抗系統設計要求

1、電信網絡木馬對抗系統的任務：發現和清除管理網絡和信令網絡中的木馬。

2、電信網絡木馬對抗系統的功能要求：一是發現和清除管理網絡中的木馬；二是發現和清除信令網絡中的木馬；三是監視和阻止木馬通過信令網關的植入。

3、電信網絡木馬對抗系統關系：參見下圖5-3。

圖5-3：電信網絡木馬對抗系統關系圖解

欲進一步了解相關通信網絡的安全機制與安全技術的請進入。