僵尸电脑是指被黑客程序控制从而进行犯罪活动的电脑，目前全球有上千万台这样的电脑 ，其中很大一部分来自中国。如何防止自己的电脑成为僵尸电脑？采取哪些安全手段检测、 预防、制止僵尸病毒？很多用户还并不了解。

接入互联网的计算机被病毒感染后，受控于黑客，可以随时按照黑客的指令展开拒绝服务 （DoS）攻击或发送垃圾信息，而用户却毫不知情，就仿佛是没有自主意识的僵尸一般。当 这样的计算机达到一定数量后，就会形成一个庞大的网络，因此被称为“僵尸网络”。

僵尸网络来势汹汹
成千上万台被感染的计算机组成的僵尸军团，可以在统一号令下同时对网络的某个节点发动 攻击，从而具备攻城拔寨的强大破坏力。根据赛门铁克（Symantec）的《互联网威胁》报告 调查显示，每天有3万台个人电脑被“招揽”进入僵尸网络。最高的记录是一天7.5万台。

实际上，在此之前，国家计算机网络应急技术处理协调中心（CNCERT/CC）副总工程师杜跃 进博士就曾说过，僵尸网络是我国目前面对的非常重严峻的信息安全威胁，国家计算机网络 应急技术处理协调中心之前发现的“口令蠕虫”，就是黑客在利用蠕虫构建“僵尸网络”。国内已 发现的大规模僵尸网络一次可以操控10万台以上的电脑，这的确是一个令人触目惊心的数字 。

去年，公安部在国家计算机网络应急技术处理协调中心（CNCERT/CC）的协助下，一举捣毁 了一个涉及近十万台计算机的僵尸网络（详情请见后文“法律面对网络犯罪也不留情”）。此事 件一经披露，立即震惊世界。僵尸网络这一新兴的互联网威胁，也由此开始进入人们的视野 ，并立即让全球网络进入新的警戒状态。

不论是对网络安全运行、还是用户数据安全的保护，僵尸网络都极具威胁。然而，发现僵尸 网络是非常困难的，因为黑客通常远程、隐蔽地控制分散在网络上的“僵尸主机”，而这些主机 的用户并不知情。因此，僵尸网络目前是互联网上黑客最青睐的作案工具，是需要重点跟踪 研究的网络安全三大主要威胁之一（另外两大威胁是网络钓鱼和漏洞），是目前国际网络安 全领域十分关注的重点问题。

最新一期的赛门铁克《互联网安全威胁》报告也显示，去年上半年，全球僵尸网络增加了 143%。其中，英国有32%的计算机已经成为僵尸计算机，位居第一；美国僵尸计算机的比例 为19%，位居第二；而中国的僵尸计算机比例也已达到7%，位居第三。

报告发现，僵尸网络和僵尸代码正在被一些僵尸网络的控制者为获取商业利益而出租或出售 ，而利用僵尸网络的人或者企业，则可以为了窃取用户的机密信息，而散发一些垃圾邮件、 Phishing邮件、间谍软件、广告软件等，甚至进行各种拒绝服务攻击。僵尸计算机一旦被人控 制，由于数量惊人，产生的破坏力也是惊人的。

CipherTrust公司也有调查数据显示，每天约有15万～17万新的僵尸程序出现。其中有15%～ 20%来自中国。中国与美国交替名列僵尸程序感染源数量的榜首。

僵尸程序瞄准政府和教育
与浮在表面而广受关注的间谍软件、广告软件、垃圾邮件不同，僵尸程序往往不受注意，其 实，它们是散发间谍软件、广告软件、垃圾邮件的罪魁祸首，已经被列为对个人用户及企业 威胁不断增加的一种安全危害。

这种程序通过聊天室，文件共享网络感染存在漏洞的计算机。这些被感染的计算机所保存的 信息都可被黑客随意取用。不论是对网络安全还是用户数据安全的保护来说，“僵尸网络”都因 其极具威胁，而在国际上引起广泛关注。

和大部分的蠕虫及病毒一样，僵尸程序的主要攻击对象是那些安装了 Windows 操作系统的电 脑。 攻击者除了将个人宽带连接作为僵尸外，还越来越多地把目光瞄向了政府、教育和企业 组织，通过他们来散发垃圾邮件，盗取信息以及败坏他人名誉。 很多组织和机构已经为黑客 所掌握，原因是这些组织通常对自己的网络缺乏控制。政府和机构组织可能比自己想象中更 缺少对自身网络的控制，这使得他们的网络通常成为病毒作者所青睐的对象，成为僵尸电脑 的散发途径。

最近的统计表明：被僵尸程序控制的个人电脑数量在急剧增加，比年初增加了4倍，而很多人 没想到的是，63%的电脑曾经被僵尸网络利用过，可能很多人都不曾知道。2005年第二季度发 现的计算机安全漏洞的数量比2004年同期上升了5%，数量超过了1000 个。这也从一个侧面反 映出，僵尸程序有着广泛的生存空间。

网络端客户端双路防范
目前对于僵尸网络，并没有太好的办法来防止。但是专家建议，在目前没有好的技术方法解 决僵尸网络的情况下，对于僵尸网络，需要从整体上正确理解和处置，并联合各界的力量整 体对抗。比如双向防范，也就是说我们不仅需要对外部的网络连接和信息传递进行监控，也 要对内部的终端行为进行管理，正如预防现实社会中的传染病一样，要控制传染源、切断传 染途径、保护易感人群。

McAfee北亚区总裁廖伟智表示：“既然僵尸网络是综合传播的结果，阻挡僵尸网络，也应从运 营商的骨干网络入手，才能获取最佳的效果。全球的企业需要他们的服务供应商提供更多的 抵御僵尸网络，以及由此带来的DoS保护功能。当一个运营商能够有效地阻挡僵尸网络，远 离拒绝服务攻击，对其客户网络的影响就减少了。

此外，在骨干链接上过滤恶意编码可以显著减少国内与国际骨干网络的负载，从而可以大量 节省成本。” McAfee认为，僵尸网络实际上是垃圾邮件、病毒和特洛伊木马发展的最终结果。 这些自我复制的危险蠕虫在这一切的背后显然有犯罪组织在影响和操纵，通常作为网络恐怖 （Cyberterrorist）或勒索攻击的手段之一。不仅会使受害的目标网站和主要应用瘫痪，而且还 会显著影响受害网站运营商的服务能力和性能。

网络安全公司趋势科技表示：在利润的诱惑下，黑客们出租僵尸电脑给高价竞标的买主，从 事商业破坏、垃圾邮件散播、阻断服务攻击，还会搜寻未修补漏洞的电脑加以入侵。在用户 端缺乏防范是造成这种情况的重要因素。因此，用户应该对客户端的安全防范给予足够重视 。

僵尸电脑会带来哪些威胁
最近的统计表明：被僵尸程序控制的个人电脑数量在急剧增加，比去年初增加了4倍，而很多人没想到的是，63%的电脑曾经被僵尸网络利用过。而由僵尸电脑带来的间谍软件和广告软件的数量的增长速度也是令人咋舌。攻击者通常借助木马等软件程序，获取对僵尸电脑的控制。专家们认为，僵尸电脑的日益泛滥，对间谍软件、垃圾邮件、DoS和其它攻击，以及非法敛财起到了推波助澜的作用。

根据Sophos的调查显示，有一半的Internet垃圾邮件都来自于僵尸电脑。这些电脑通常在主人毫不知情的情况下，感染了木马、病毒或其它恶意软件，并且进而被攻击者所控制。

有数据显示，由僵尸电脑带来的间谍软件和广告软件的数量在今年上半年就会超过去年全年的总和。如果50%的垃圾邮件都来自僵尸电脑，那么你就不得不相信，僵尸已不仅仅局限在个人用户的电脑上了。另外，劫持电脑的木马或恶意程序会保持最低限度的动作，以避免被用户发现。被劫持的电脑会冒充某家公司的IP地址和名称，散发垃圾邮件，进而给这家公司的品牌和声誉造成严重的损害。

僵尸电脑的威胁还包括：攻击增多的可能性大大提高；宿主电脑被列入垃圾邮件发送者的黑名单并且被邮件接收者所屏蔽；信息和身份被盗取。由于越来越多的电脑被变为僵尸电脑， 一项向用户提供僵尸搜寻（zombie-seeking）的服务开始推动。

Sophos资深安全分析家Gregg Mastoras说：“如果邮件中包含色情或包含对收件人有所冒犯的内容，毫无疑问，它会给你的品牌和声誉造成潜在的损害，旨在盗取密码和其它数据的按键记录型木马的数量增幅快速。对于未采取防护措施的电脑，其感染次数也在增加。但是，对自己的电脑已经被利用进行垃圾邮件散发以及其它攻击和非法活动，多数用户却毫不知情。僵尸们在小心谨慎的寻找机会，攫取钱财。虽然它们不会大规模爆发，但是他们的数量却在增加，危险也在增长。”

Verisign/iDefense研究小组高级工程师Ken Dunham说：“僵尸电脑的日益泛滥，使得一系列破坏活动成为可能。据估计，每月都会新增超过1百万个新僵尸电脑，我相信绝对有这个数量。”

Dunham指出，僵尸电脑可以被利用来散发垃圾邮件，盗取信息，行业间谍，洗钱以及DoS攻击或威胁。他确信，僵尸电脑数量的快速增长原因在于通讯，复制和攻击者之间的合作。“攻击者可以在Internet上获得大量的源代码，”他说，“这些源代码很容易获得，它们为攻击者提供机会，并被利用来进行一些列的破坏活动。”

抓捕僵尸电脑背后的黑手
从2004年10月起，我国境内互联网上曾有超过6万台的电脑主机因受到一种名为IPXSRV的后门程序控制，而连续同时攻击一个网站，造成该网站“门前”网民空前“火爆”，而“门后”却空无一人，导致该网站经济损失达700余万元……这是近期我国发生的“僵尸网络”重大案件的典型案例，制造如此事端的神秘黑客在不久后就被警方捕获。

2005年1月6日，河北省公安厅向唐山市公安局公共信息网络安全监察处下达了一条简单且略显神秘的指令，要求对唐山境内的一个互联网服务器进行侦查。接到指令后，网监处处长戴守志、副处长刘瑞寅立即意识到这个简单的指令背后一定有一篇“大文章”，随即向市公安局领导做了汇报。局长韩金哲和副局长周景林、李明远专门听取了情况汇报，并立即做出工作部署。

果然，唐山警方的分析是对的。在随后的几天里，公安部、省公安厅与唐山公安局网监处密切联系，并直接指挥侦查工作，此举在唐山公安办案史上是极为罕见的。在这种情况下，唐山警方创造性地开展工作，迅速将案情初步查清。

据公安部专家介绍，原本并不火爆的北京境内的某音乐网站，突然“热闹”起来，在某些时段，要想登录这家网站非常困难，后经该网站技术人员确认造成这一问题的原因在于有人恶意实施攻击。为了摆脱困境，网站的经营者曾专门请来北京地区的计算机专家前来会诊，但事与愿违，面对这种攻击手法专家们无计可施，期间专家在试图抵御攻击时，结果是你一动，攻击者下手更狠。无奈，为了躲避攻占，网站经营者将网站服务器转移到了我国台湾境内，但攻击者仍然一路穷追猛打，网站依然频频告急，网站经营者又生一计，越跑越远，干脆将服务器转移到美国境内，结果再次失败，攻击者如影相随，跑到哪儿打到哪儿，大有致其于死地而后快之势。疲于奔命的网站经营者无奈之下最后向信息产业部上报了这一情况，接着信息产业部向公安部紧急报案。

经过警方侦破，抓获了27岁的徐某，据徐某自己说，其文化程度其实并不高，仅仅是个技校毕业生，而且所学专业还是车工，他说，最初知道电脑是在1995年，当时受他的一位小学同学影响，开始自学计算机知识。他说尽管自己在校读书期间，学习成绩并非一流，可对计算机这东西却情有独钟，简直就是无师自通。1995年下半年，父母终于给他买了一台电脑，从此他成了一个电脑痴迷者，其主攻方向是编译计算机程序。

1997年，尽管当时的徐某已经成了一名企业工人，但由于一天到晚只想电脑，工作表现不佳，但计算机水平却与日俱增，而且在亲朋好友中已经很有名气，经常会有人来请他帮助解决计算机问题，他说起初时自己仅仅是热衷于帮忙，显示自己水平，满足一下虚荣心。

后来，徐某接触互联网这个更加令他发狂的虚拟世界。他曾自己搞过网站、开过网络聊天室。可期间最令他气愤的是时常有人在网络上攻击他，也就是网友们所说的被“黑”。在被“黑”与反“黑”的较量中，他的计算机水平出奇的突飞猛进起来，特别是他的编译程序能力足可以与专家比肩。

再后来，徐某开始不安分起来，开始尝试着编写破坏性程序，也就是黑客程序。从2000年开始，他先后制作了script.exe、 msapp.exe、rasin.exe、lpxsrv.exe等木马程序，还制作了用来传播这些破坏性程序的“QQ尾巴”病毒等，他所制作的这些病毒在国家计算机病毒应急处理中心都有案底。

据徐某自己说，最令自己“出彩”的是2003年夏天，当时他受朋友邀请，在唐山对远在上海的一家音乐网站进行安全维护，成功地使这家网站脱离了被“黑”的窘境，令网站经营者心悦诚服，从此，每月都心甘情愿地送给他4000元人民币作为薪水。但在利益的驱动下，徐某说他一直想试一试自己制作的木马程序的威力，于是便在互联网上选中了北京的那家音乐网站为标靶，通过其控制的僵尸网络对这家网站进行了为期近3个月的拒绝服务攻击，导致网站长时间瘫痪，经济损失高达700余万元。

徐某的重大僵尸网络案告破后，无论是公安部专家还是唐山市办案的网监民警们，都无不担忧，僵尸网络这种攻击威胁在未来将会给互联网带来毁灭性的打击。

阻断僵尸网络要靠ISP
有些ISP也开始采取行动阻止僵尸电脑连入他们的网络。一项名为“port 25 blocking”（“端口25阻止”）的技术让供应商可以确认用户的电脑只发送来自自己服务器的电子邮件，而不是发送垃圾邮件服务器生成的邮件。而且，绝大部分服务供应商都使用了诸如比例控制等技术，以限制一名用户所能够发送的电子邮件信息的数量。

Dmitri Alperovitch是CipherTrust的一名研究工程师，他表示这些方法还远远不够。为了清除僵尸电脑，ISP们应该更加严密地监视网络，以发现那些受到威胁的电脑所发出的信息。

而且，服务供应商应该加强对用户的教育，并且要求人们在连接到网络上之前，扫描自己的电脑，寻找是否存在已知的安全漏洞，Alperovitch表示。这样做能够帮助阻止所谓的推送安装，当电脑用户使用没有安装补丁的浏览器浏览某一恶意网站时，僵尸代码利用漏洞将自己植入电脑。

另一些专家建议这些公司应该切断那些不能采取防护措施的用户，不让他们连接到互联网。Alperovitch表示，“ISP允许这些机器同社会进行联系。供应商们在应对僵尸电脑方面拥有很大的能量，他们应该在这方面多做些工作” 。

他表示，现在互联网公司应该更积极地加入到安全防护工作中，他们应该使用诸如CipherTrust这样的第三方安全公司所搜集的关于僵尸电脑的数据。

一些ISP的行动是公开的，比如Cox和EarthLink。另一些则相对保密，这样对那些怀有恶意的用户来说也是保密的。Comcast这家美国最大的宽带接入服务商就是这种做法的一个例子。

亚特兰大的Cox拥有超过27万的宽带用户。该公司表示在去年五月曾收到了大约3万起关于该公司用户的投诉。Cox投诉部门的经理Matt Tarothers表示其中大约有1/3的投诉和僵尸电脑有关。

他认为，有些用户刚刚开始使用cable modem，这些对技术陌生的用户需要他们的服务供应商提供指导和帮助。Tarothers表示，“越来越多没有技术背景的人开始上网。如果你想做一个成功的ISP，你就必须手把手地指导这些用户。”

Cox积极地监视着自己的网络，以发现潜在的恶意行为。它还能够防范已知的僵尸程序并且切断远程控制渠道，Tarothers表示。僵尸程序等待主人从Internet Relay Chat渠道发来的指令。

Cox阻止了僵尸程序所使用的IRC服务器，这通常不是使用IRC网络，而经常是运行在一台被感染的电脑上。

当发现了一个僵尸程序，Cox将会把受感染的电脑从网络中断开。用户将会被引导到一个特殊的页面，该页面里是一些关于计算机安全的信息，而同时，他将不能访问互联网。

攻击将会变得更成熟，Tarothers表示：“这是一场军备竞赛。我们采用了新的预防措施，木马制造者也会制造出更新的东西来。僵尸程序将会使用对等网来听候主人的命令，这种做法是Cox目前的防范措施所不能抵御的。”

Tarothers表示他并不担心严密监视网络通信会带来的隐私问题。“我们的用户中绝大部分人都非常高兴看到我们采取了积极的行动来监视他们的通信。”

EarthLink也对自己网络中出入的通信进行监视以防范潜在的滥用风险，Tripp Cox是这家亚特兰大的ISP的首席技术官。他表示，可疑的行为将被调查，如果EarthLink确认某用户的电脑感染了僵尸程序，就会联系该用户。“我们不间断地进行调查，禁用并关闭被感染的帐户。这是我们的日常工作中的一部分。”

未来，用户将会需要安全的互联网服务，如果一家ISP不能符合安全标准，用户将会流失到竞争对手那里去，Forrester analyst Stamp表示。“用户显然需要一个干净的网络通道。”

技术是互联网公司赖以确认僵尸程序的保障，Stamp表示。这将鼓励新技术进入市场。

最后，如果一家ISP的网络中大批滋生僵尸电脑，其他的供应商将会阻止来自该网络来的通信，Stamp预测。“如果我们不保护我们自己的网络，那么其他供应商就不会和你连接，”在一次最近发生的事件中，英国ISP Telewest将超过900,000用户列入黑名单，因为他们的系统被垃圾邮件所感染。

服务供应商甚至能够把帮助用户变成一种新业务，Russ Cooper（Cybertrust的高级科学家）表示：“那些感染了僵尸程序的电脑向外发送垃圾邮件，它们应该被隔离，而且ISP应该为拯救这些电脑收费。”

发现僵尸程序对于ISP来说是最容易做到的，尽管这经常被服务供应商吹嘘成具有竞争力的功能，Gartner的分析人员John Pescatore表示。“当发现一台被感染了的电脑以后，他们可以做得更多，然后他们应该通知用户。”

Pescatore认为如果互联网公司对待这个问题的态度足够成熟和认真的话，就应该做更多工作。“ISP能够阻止僵尸程序被安装到电脑上，但他们还有很长的路要走。”

即便如此，诸如教育用户之类的预防措施还是能够帮助服务供应商减轻问题的复杂程度。目前，ISP的技术支持部门接到的很多电话都是关于用户浏览网络时，发现了僵尸程序或者其他恶意软件而打来求助的。趋势科技互联网内容安全首席技术专家Dave Rand这样认为，事实上，ISP与家庭用户的关系应该如同公司里的IT部门与办公室人员的关系。

可以通过断网来要求甚至强制用户保持电脑干净，这种压力需要ISP自己去施加。要求服务供应商在安全防范方面承担更多责任的呼声日渐高涨，无论是来自政府或者互联网的声音都是如此。趋势科技的Rand表示，僵尸电脑的数目一再增长，ISP应该扮演更加积极的角色。“袖手旁观的方法已经被证明没有用了。”

三招阻断僵尸电脑
——McAfee发布IntruShield提供集中、多层、主动安全方案
McAfee近期宣布其IntruShield入侵防护系统（IPS）是首个向恶意“僵尸网络”提供集中、多层和主动阻断的基于网络的安全解决方案。Bot是一个软件机器人，也被称作“zombie”或“drone“。“僵尸网络”是感染了zombie的网络，可以使未授权用户远程控制被感染的电脑。被感染电脑接下来可以用来发布分布式拒绝服务攻击（DoS）、发送垃圾邮件和间谍软件，或者实施网络敲诈。

McAfee是业界首个通过把“僵尸网络”作为攻击独立分类来集中解决，并且主动阻断他们的通信和安装的厂商。利用附加层的防护，McAfee IntruShield能够最大化安全性，不仅能够防护安装了bot的漏洞，而且能够通过互联网阻断bot的通信或激活。该解决方案将向客户提供防范“僵尸网络”不断增长的具有竞争性的解决方案。

Bots由于能够在其它恶意软件之后控制用户的电脑，并且能够秘密地发送恶意攻击，继续困扰着企业、中小企业和家庭用户。典型的“僵尸网络”队伍的数量可达到1万～10万台受感染电脑。一些最具破坏性的bot包括SDBot、GaoBot和SpyBot变种，然而越来越多的恶意bots每天都在被创建。

McAfee产品营销总监John Vecchi ：“McAfee相信主动地阻断Bot本身的脆弱性，而不是仅仅作为一个特殊的漏洞对待，这将能够提供更高程度的安全性。利用这项创新的防护能力，即使安装的反恶意软件已经被清除，或者bot通过未受保护的渠道进入网络，McAfee IntruShield也能够阻断‘僵尸网络’的通信。”

实时监控恶意攻击和欺诈
——CipherTrust 雷达监控网络钓鱼、网络欺诈和僵尸活动
CipherTrust 公司近日宣布了其最新的、以其基于行为的发送信誉系统TrustedSource为动力的 CipherTrust RADAR。CipherTrust RADAR是基于网络的一种服务，对企业网络中可能出现的网络钓鱼攻击和受到感染的僵尸机器提供实时的监控和警示。

CipherTrust研究中心每个月都会发现17000多宗网络钓鱼攻击；此外，CipherTrust研究中心每天还平均检测出25万台新的僵尸机器，这足以显示利用感染机器发送垃圾邮件、病毒和其它恶意攻击所能够造成的巨大威胁。CipherTrust RADAR通过主动地跟踪这些僵尸机器和网络钓鱼攻击，帮助企业保护信誉，减少依赖性，并加速获得客户信任的进程。CipherTrust RADAR是一项托管式的订购服务，客户可以根据合法的证件随时通过互联网获得CipherTrust RADAR的准入资格。

CipherTrust RADAR采用下列几种方法为企业提供具备基于企业的相关信息的欺诈调查员服务和信息安全专家：企业风险评估，即识别并找出公司名称不论是全球范围内还是特定的纵向市场中在欺诈信息中被盗用的特定事例；内部威胁监控，即允许企业对内部IP地址和域进行监控，对企业所有信息发送者进行审查并监控所有不正常的活动，因为这些非正常活动往往不是受到感染的僵尸机器的行为就是违反内部IT使用策略的行为。实时警示，即根据实际情况发送通知，当出现可疑活动或者有网络钓鱼企图盗用企业名称进行欺诈的行为时给予警示；辅助调查，即辅助进行欺诈行为调查，识别利用企业进行网络钓鱼的企图。

安全需要多层防护
——某金融公司依靠IPS防范威胁
对于一个名列“财富 100”的知名金融服务公司来说，安全性无疑是公司的主要“业务”之一。对于这家名列“财富 100”的金融服务公司来说，在全球范围内保护自己的关键网络以及客户信息无疑是优先级最高的一项工作。

安全防护是多层次机制
安全防护是一个多层次的保护机制，它既包括企业的安全策略，又包括从防火墙、防病毒到入侵防护系统 (IPS) 的技术解决方案。其中，IPS 是一个不可或缺的保护层，它既能够防止员工违反企业的安全策略，又能够有效地检测来自外部的威胁，例如潜在的 Slammer 蠕虫或拒绝服务 (DoS) 攻击，以及黑客控制电脑后造成的僵尸网络威胁。

部署 IPS 系统时，这家金融服务巨头选择了同样处于行业领导地位的下一代 IDS 产品（即IPS）来保护自己业务的安全。

McAfee IntruShield网络安全产品为这家全球知名的金融服务公司提供了全面的安全保护，该产品不仅易于部署，而且使得该公司能够实时、准确地抵御各种已知攻击、未知攻击和 DoS 攻击。该金融公司在全世界 9 个不同的地点分别以嵌入模式和 SPAN 模式部署了 30 多个 IntruShield 4000 和 IntruShield 2600入侵防护设备。

IntruShield 广泛的攻击检测范围使得任何一种未知攻击都很难触及到用户的网络，多种检测方法层层把关，决不会漏掉任何一个未知的攻击。例如，新出现的病毒可能尚未包含在病毒签名数据库中，但异常检测功能却能够及时地发出有关该病毒的警报。

另外，僵尸网络也是让企业感到恐惧的一种新威胁，它是指接入互联网的计算机被病毒感染后，受控于黑客，可以随时按照黑客的指令展开DoS攻击或发送垃圾信息，而真正的用户却毫不知情，就仿佛没有自主意识的僵尸一般。成千上万台被感染的计算机组成的僵尸军团，可以在统一号令下同时对网络的某个节点发动攻击，具备非常强大的破坏力。

防范僵尸网络依靠分类集中
McAfee IntruShield入侵防护系统是首个能向恶意“僵尸网络”提供集中、多层和主动阻断的网络安全解决方案。该解决方案通过把“僵尸网络”作为独立的攻击分类来集中解决他们，并且主动阻断他们的通信和安装的厂商。利用附加层的防护，McAfee IntruShield能够最大化安全性，不仅能够防护安装了bot的漏洞，而且能够通过互联网阻断bot的通信或激活。该解决方案将向客户提供防范“僵尸网络”不断增长的具有竞争性的解决方案。

IntruShield 为安全管理员提供的是简洁实用的分析结果信息，而不是混乱的原始数据，因而有效地降低了监控和分析 IDS 数据所需的成本。

IntruShield 还显著地降低了误报率，这使得公司的 IT 人员再也不必将宝贵的时间耗费在对误报信息和威胁的分析及追踪上，现在，他们可以投入更多的精力来考虑如何进一步提升系统的安全性。

由于 IntruShield 具有多个端口，因此同一个传感器可以同时监控多个网段。由于该公司以往采用的 IDS 产品不具备这种能力，因此，IT 人员只得不停地购买、构建和管理更多的IDS设备，但保护对象却依然只是相同的一个或多个网络，这必然会导致运行成本的不断攀升。

这家金融服务公司对安全性有着极其深入的理解和认识，他们充分利用了 IntruShield 产品的优势，在同一个传感器上应用了多种入侵预防策略。例如，IntruShield 产品并不是针对所有的 Web 服务器采用统一的安全策略，相反，其虚拟IDS（VIDS）功能使得该公司的安全管理人员能够针对每一种 Web 服务器和每种操作系统创建特定的入侵检测策略，而且能够在同一个传感器上运行所有这些策略。

IntruShield 使得用户能够更加细致地控制每一种入侵预防策略，不仅可以实现更为广泛的攻击检测范围，而且需要管理的设备数量和需要评审的日志文件数量都显著减少。

内外防护打造双重保险
对于这家全球领先的金融服务提供商来说，无论是通过外部网访问 Web 应用程序的 B2B 客户，还是在家中工作的内部员工，保护他们免受内部和外部攻击已不再单单是一项工作任务，而已成为关系到企业名誉的大事。公司的安全主管这样说道：“IntruShield 给我们带来了战略性的优势，它能够全方位地保护我们免受内部和外部攻击的侵扰。IntruShield 不仅降低了我们 IDS 系统的总拥有成本，而且对我们的业务也起到了积极的促进作用。”

平均来说，企业无论在最新的环境还是在传统环境下部署 IntruShield 的专用 IDS 设备，都可以在三年内实现 145% 的投资回报率。IntruShield 曾与 Giga Group 紧密合作，对其 IPS 产品的总体经济影响进行评估。Giga Group 的计算结果显示，在三年左右的时间里，IntruShield 能够帮助用户节省 16.5 万美元的资金成本以及 30 万美元的运行成本。对于这家金融服务公司来说，采购 IntruShield 产品的一个主要原因就是它能够显著降低资金成本和持续的运行成本。

此外，黑客的攻击也远远比先前降低了很多，大大减少了电脑由于受黑客控制成为僵尸的机会。通过积极预防来保持业务的持续性，这同时也具有显著的组织效益。就这一点来说，IntruShield 广泛的攻击检测范围以及极低的误报率都成为了无可比拟的优势。IntruShield 产品通过单一的平台提供了全面的入侵检测和预防功能，其卓越的灵活性，高水平的可用性和扩展性都能够为用户带来极大的价值。