網(wǎng)絡(luò)安全應(yīng)急響應(yīng)終極解決方案

網(wǎng)絡(luò)安全應(yīng)急響應(yīng)終極解決方案網(wǎng)絡(luò)安全應(yīng)急響應(yīng)目前狀況和主要問題有以下幾點：1、 重防輕治，以防代治。目前網(wǎng)絡(luò)安全產(chǎn)品以安全防御為主，如防火墻、入侵檢測、入侵防御、防毒軟件，以及網(wǎng)絡(luò)細分、流量監(jiān)視、流量控制等等，但網(wǎng)絡(luò)安全應(yīng)急救治的產(chǎn)品卻處于稀缺或空白的狀態(tài)。其表現(xiàn)為基于網(wǎng)絡(luò)安全防御體系的技術(shù)水平現(xiàn)狀，系統(tǒng)漏洞隨著時間推移陸續(xù)顯露，新病毒總量每年以超幾何級數(shù)增長，黑客及病毒的技術(shù)含量不斷提高和攻擊手段不斷翻新，黑客及病毒突破和破壞現(xiàn)有網(wǎng)絡(luò)安全防御體系、劫殺和禁用防毒軟件現(xiàn)象屢有發(fā)生，特別是爆發(fā)的大規(guī)模傳染性網(wǎng)絡(luò)病毒對提供公共服務(wù)的機構(gòu)造成社會公共安全事件時有發(fā)生。2、 網(wǎng)絡(luò)安全應(yīng)急響應(yīng)尚處于簡單低級層次。事前制定的應(yīng)急響應(yīng)預(yù)案總難以有效應(yīng)對尚且未知的病毒及網(wǎng)絡(luò)攻擊，匆忙趕赴現(xiàn)場，無奈斷網(wǎng)恢復(fù)，或簡單備機切換，大多數(shù)公司網(wǎng)絡(luò)安全應(yīng)急響應(yīng)現(xiàn)狀如此，與黑客病毒實施的遠程入侵控制相比，技術(shù)和手段完全處于非對等的劣勢地位，缺乏一種快速響應(yīng)、與黑客病毒決勝于千里之外的能力。3、 安全防御與應(yīng)急救治能力失衡，單純防御必造成投入邊際收益率遞減，投資者裹足不前。“預(yù)防為主，防治結(jié)合”，這句話人人耳濡目染，但前半句的正確性和合理性成立是有條件的。安全防御與應(yīng)急救治，兩者的關(guān)系如同醫(yī)學(xué)上疾病防疫與疾病救治的關(guān)系一樣，以此類比聯(lián)想，是否所有疾病都可防疫的呢？突發(fā)急病是找治病的醫(yī)生，還是找疫防的醫(yī)生呢？百把元即可治愈的流感有人肯不計成本的去預(yù)防它呢？答案是肯定的：1.可預(yù)防的；2.預(yù)防成本小于救治成本，這才是“預(yù)防為主，防治結(jié)合”正確性和合理性成立的前提條件。4、 進攻與防御，對攻防雙方而言，如同矛與盾關(guān)系一樣，沒有無堅不摧的矛，也沒有堅不可摧的盾，兩者相生相克，此消彼長。防御系統(tǒng)和防毒軟件處于明處，往往成為攻防實驗室網(wǎng)絡(luò)攻擊秘密武器絕佳的靶子?；谔卣鞔a識別和基于行為模式識別的防毒軟件需要從已知病毒提取特征碼和從已知病毒學(xué)習(xí)行為模式，所以不可能識別具有未知特征碼的未來病毒和具有未知行為模式的未來病毒。由于防御系統(tǒng)和防毒軟件在系統(tǒng)防御中所處位置以及上述原因，決定了率先被突破、被劫殺的正是它們，由此進入網(wǎng)絡(luò)安全應(yīng)急響應(yīng)的階段。網(wǎng)絡(luò)安全應(yīng)急響應(yīng)最本質(zhì)特征就在于應(yīng)急救治，應(yīng)急體現(xiàn)在實時響應(yīng)，救治體現(xiàn)在具有決勝于千里之外的能力。實際上，難不在于實時響應(yīng)，而在于入侵檢測、病毒識別。若不能解決入侵檢測、病毒識別問題，就無法阻擊入侵、查殺病毒，現(xiàn)場情況不明，縱有詳盡完備的應(yīng)急響應(yīng)預(yù)案，也只能匆忙趕赴現(xiàn)場，無奈斷網(wǎng)恢復(fù)，簡單備機切換，而事后取證和補救措施便也成為無的之失，流于形式，這難以滿足網(wǎng)絡(luò)安全應(yīng)急響應(yīng)服務(wù)社會化、專業(yè)化發(fā)展的要求，更不要說應(yīng)急響應(yīng)中心或應(yīng)急呼叫中心了。怎樣識別病毒呢？病毒識別目前主要有病毒特征碼識別和病毒行為模式識別兩種方法，歷史上先有特征碼識別，后有行為模式識別。問題是，除此兩種方法以外，還有其他的方法嗎？防毒軟件多年的使用及取得的巨大成就使這個問題似乎無多大意義。其實不然，“不識廬山真面目，只緣身在此山中”，下面構(gòu)造算法闡明此問題。算法I.設(shè)當(dāng)前病毒文件有全集U，經(jīng)采集病毒樣本并提取特征碼和行為模式后構(gòu)成樣本集合S，現(xiàn)有任一文件f,其特征碼和行為模式為a,只有四種可能：l.feu,aeS，識別正確；2.f￡U,a￡S,識別正確；3.f￡U,aeS,假陽性誤報；4.feU,a￡S,假陰性漏報。此算法即為當(dāng)前防毒軟件所采用的方法，集合S俗稱病毒庫。此算法病毒識別率高，但執(zhí)行效率低。從全集U到集合S，采集病毒樣本并提取特征碼和行為模式包含大量工作，樣本采集會有漏項和時間滯后，判斷是否aeS耗時費力，集合S需要不斷更新才可識別新病毒，以當(dāng)下日增數(shù)百萬新病毒樣本計，所有這些將是非常巨大的工作。對內(nèi)外網(wǎng)隔離的集團用戶，需要下載病毒庫S才可識別病毒，而時間滯后帶來可能是災(zāi)難性的影響，以曾經(jīng)的熊貓燒香病毒和ARP病毒為例，從病毒流行到有效專殺工具出現(xiàn)個月有余，用戶手忙腳亂，充滿無助無奈。算法II.設(shè)當(dāng)前主機病毒文件有集合S，有：1.設(shè)系統(tǒng)正常時有全集A，系統(tǒng)異常時有全集B，作差集D=B-A，則有SUD；2.設(shè)系統(tǒng)正常時有集合A，系統(tǒng)異常時有集合B，作差集C=B-A，作差集C的關(guān)聯(lián)集合D，則有SUD。此算法與算法I相比，與病毒特征碼或行為模式無關(guān)，不存在樣本采集、特征碼和行為模式提取、病毒庫更新下載等問題；集合D是一個小樣本集合，可用文件屬性或?qū)傩越M合條件甄別，所用文件屬性包括進程、線程、端口、文件類型、長度、時間、目錄、名字、注冊表、服務(wù)、驅(qū)動、隱身性、版本號、數(shù)字簽名、MD5值等。此算法是本文在網(wǎng)絡(luò)安全應(yīng)急響應(yīng)中采用的方法。根據(jù)上述原理，現(xiàn)給出網(wǎng)絡(luò)安全應(yīng)急響應(yīng)終極解決方案--《終極者》。一則驗證理論的可行性，完善各個細節(jié)；二則將理論轉(zhuǎn)化成工具，用于解決實際問題，否則再好的理論也只是紙上的理論。下面簡要闡述《終極者》的原理和方法等相關(guān)問題。《終極者》是一款基于Windows操作系統(tǒng)阻擊入侵、查殺病毒的工具軟件，旨在用于網(wǎng)絡(luò)安全應(yīng)急響應(yīng)，當(dāng)發(fā)生網(wǎng)絡(luò)入侵、病毒爆發(fā)、現(xiàn)有網(wǎng)絡(luò)安全防御體系（如防火墻、入侵檢測、入侵防御等）被突破、防毒軟件被病毒所劫殺或?qū)Σ《静蛔鳛闀r，阻擊入侵、查殺病毒、恢復(fù)系統(tǒng)的工作；改變目前應(yīng)急響應(yīng)趕赴現(xiàn)場，斷網(wǎng)恢復(fù)，備機切換簡單低層次的響應(yīng)模式，改變與黑客病毒實施的遠程入侵控制相比，技術(shù)和手段處于的非對等劣勢地位，使之具有可快速響應(yīng)、決勝于千里之外的能力；填補缺失的網(wǎng)絡(luò)安全應(yīng)急救治環(huán)節(jié)，與現(xiàn)有的網(wǎng)絡(luò)安全防御產(chǎn)品形成互補，構(gòu)成防治結(jié)合完整的網(wǎng)絡(luò)安全體系；通過快速響應(yīng)，縮短應(yīng)急響應(yīng)時間，避免安全事態(tài)惡化，大幅減少運行維護成本。網(wǎng)絡(luò)安全公司以此可將重點服務(wù)器應(yīng)急響應(yīng)服務(wù)擴大至全網(wǎng)段各主機的應(yīng)急響應(yīng)服務(wù)，內(nèi)外網(wǎng)隔離的集團用戶以此可就近應(yīng)急響應(yīng)自我救治，不必被動等待那不可預(yù)期的反病毒廠商病毒庫更新來查殺病毒?！督K極者》原理和方法也可適用于和移植于其它操作系統(tǒng)。使用《終極者》，可選擇一臺主機，將《終極者》所有程序拷貝其上，作為網(wǎng)絡(luò)共享服務(wù)器。網(wǎng)絡(luò)共享服務(wù)器除了開放提供網(wǎng)絡(luò)共享服務(wù)的445端口以外，關(guān)閉其余所有端口，以提高網(wǎng)絡(luò)共享服務(wù)器自身安全性?！督K極者》網(wǎng)絡(luò)配置示意圖如下：《終極者》支持本地連接模式（如上圖實線所示），與遠程連接客戶端套件配合使用，可支持遠程連接模式（如上圖虛線所示）。請求幫助的主機稱為求助端，提供幫助的主機稱為救助端。求助端、救助端和共享服務(wù)器可以處于同一個內(nèi)網(wǎng)，也可以不處于同一個內(nèi)網(wǎng)。對企業(yè)級網(wǎng)絡(luò)用戶，推薦將共享服務(wù)器配置在企業(yè)內(nèi)網(wǎng)，以提高其響應(yīng)速度和安全性?！督K極者》查找識別病毒的方法不同于特征碼識別和行為模式識別，主要包括系統(tǒng)完整性檢查、差異分析法、時序分析法和數(shù)字簽名法等方法。系統(tǒng)完整性檢查方法認為系統(tǒng)的變化必然表現(xiàn)出文件和注冊表的變化，因此通過前后兩個不同時間點或感染病毒前后所作的由文件和注冊表組成的系統(tǒng)“快照”比較，便可查出系統(tǒng)在這個時段或感染病毒前后的變化。差異分析法從分析系統(tǒng)的異常入手，各種類型的病毒根據(jù)其觸發(fā)條件、攻擊方式、抗殺手段、傳播途徑必定會在系統(tǒng)的進程、端口、線程、服務(wù)、驅(qū)動、注冊表、目錄和文件等方面表現(xiàn)出某種異常，從這些異常便可查找出病毒的“蛛絲馬跡”。時序分析法認為病毒是具有時間屬性的，也即病毒各文件之間形成某種時序相關(guān)性。根據(jù)這種時序相關(guān)性，時序分析法完成“由此及彼、由點到面”的病毒查尋工作。數(shù)字簽名法通過驗證文件數(shù)字簽名判斷文件的完整性及簽署人的“身份”。Windows操作系統(tǒng)許多文件，如進程、線程、驅(qū)動等，都具有微軟的數(shù)字簽名，而非微軟的文件不可能具有微軟的數(shù)字簽名，因此根據(jù)數(shù)字簽名可以很容易將具有數(shù)字簽名的系統(tǒng)文件與疑似病毒文件區(qū)分開來。《終極者》目前有450多條命令，涵蓋多方面的功用。為交流方便，特制作部分錄像資料，以可視化的方式演示《終極者》的原理方法、相關(guān)操作及常用命令組合。這些錄像資料包括：1、 0.1_請求幫助相關(guān)操作示例2、 0.2_遠程響應(yīng)相關(guān)操作示例3、 0.3_基本命令組合查殺病毒示例4、 0.4_完整性檢查查殺病毒示例一5、 0.5_完整性檢查查殺病毒示例二6、 0.6_遠程終端登錄操作示例7、 1.1_自啟動型病毒查殺示例8、 2.1_系統(tǒng)服務(wù)型病毒查殺示例9、 3.1_文件關(guān)聯(lián)型病毒查殺示例10、 4.1—映像劫持型病毒查殺示例11、 5.1_線程插入型病毒查殺示例12、 6.1_系統(tǒng)內(nèi)核型病毒查殺示例13、 7.1_設(shè)備驅(qū)動型病毒查殺示例14、 7.2_CMT.EXE感染型及驅(qū)動型病毒查殺示例15、 7.3_LINKINFO.DLL感染型及驅(qū)動型病毒查殺示例16、 8.1_EXPOR.EXE感染型病毒查殺示例17、9.1_腳本型病毒查殺示例其中0.1和0.2示例演示請求幫助和遠程響應(yīng)，0.3示例演示基本命令組合，多數(shù)類型病毒查殺可按此示例命令順序操作，0.4和0.5示例演示完整性檢查法，0.6示例演示遠程終端登錄操作，1.1至9.1示例（6.1示例除外）演示差異分析法，時序分析法和數(shù)字簽名法通常與其它方法配合使用，故未作單獨錄像示例。對一般用戶需了解和掌握的首推完整性檢查法，其次為差異分析法。完整性檢查法以掌握0.5示例為先，差異分析法以掌握0.3示例為先，此兩示例展現(xiàn)了《終極者》的體系結(jié)構(gòu)，命令操作相對程序化。對于本地維護的用戶，不需要了解0.1和0.2示例，需遠程安裝軟件的用戶可能會用到0.6示例的內(nèi)容。完整性檢查法不需要用戶具有計算機及網(wǎng)絡(luò)安全方面相關(guān)知識，操作簡單程序化，查殺準確率高且速度快，唯一前提是進行完整性檢查前，要先做一個映像，或稱“快照”。完整性檢查法可應(yīng)用于：1、網(wǎng)絡(luò)應(yīng)用服務(wù)器。這類服務(wù)器安裝特定應(yīng)用程序，安裝配置完成以后，除版本更新升級外，文件極少變動，對網(wǎng)絡(luò)用戶提供公共服務(wù)，是網(wǎng)絡(luò)安全重點防范對象；2、網(wǎng)絡(luò)工作站。對集團網(wǎng)絡(luò)用戶，網(wǎng)絡(luò)工作站通常運行著完全相同的客戶端程序，因此可將一臺安裝所有客戶端程序工件站的文件映像當(dāng)作其他工作站當(dāng)前文件映像的比較基準，提高疑似病毒文件的甄別速度和準確率；3、本機。特別是在實戰(zhàn)中學(xué)習(xí)掌握提高查殺病毒技能技巧，以機試毒，自種自查，查尋確認錯判漏判和避免錯判漏判原因方面，完整性檢查法的結(jié)果將提供一個極好的參照；4、驅(qū)動型和內(nèi)核型病毒。通常此類型病毒具有隱身特點，殺毒軟件極難處置、甚至無法發(fā)現(xiàn)此類型病毒，但完整性檢查法通過一個時間段兩“快照”比對，如正常模式與安全模式，或正常模式與WinPE模式，可輕易發(fā)現(xiàn)處置此類型病毒，示例6.1演示了此方面的運用。除完整性檢查法外，可使用差異分析法。若操作者具有一定有關(guān)計算機系統(tǒng)及網(wǎng)絡(luò)安全方面相關(guān)知識，如進程、線程、服務(wù)、驅(qū)動、端口、注冊表、訪問控制等，將有助于對許多命令意圖和目的的理解，但這并非是必須的。對著錄像示例，依葫畫瓢，照章操作，循序漸進，自然便可達到“糊涂來，明白去”的境地。差異分析法與完整性檢查法相比，沒有相對固定的操作順序，通常以查尋系統(tǒng)進程、進程線程、系統(tǒng)服務(wù)、設(shè)備驅(qū)動、通訊端口、注冊表相關(guān)項開始。在差異分析法示例中，根據(jù)觸發(fā)條件、攻擊方式、抗殺手段、傳播途徑、查殺特點等特征，將病毒分成了9大類，每種類型病毒查殺提供一個“參考”解法。后考慮感染型病毒和驅(qū)動型病毒當(dāng)前現(xiàn)狀及今后或成為病毒發(fā)展主要方向，又添加7.2和7.3示例，以及重新改寫了8.1示例。感染型病毒通常將其自身加密壓縮后嵌入宿主文件，改變宿主文件入口地址，當(dāng)宿主文件運行時，首先執(zhí)行病毒代碼，激活病毒，或感染更多的文件。因病毒經(jīng)過加密壓縮后嵌入宿主文件，隨著加密壓縮技術(shù)水平不斷提高，使得在有限時段既清除病毒代碼又不破壞宿主文件愈發(fā)困難或不可能了。現(xiàn)許多殺軟和專殺工具，只是簡單地將嵌有病毒代碼的宿主文件刪除而已。常有的情況是，當(dāng)數(shù)周推出某病毒專殺工具時，該病毒又產(chǎn)生變種了。由此引深出一個問題：若不能既清除病毒代碼又不破壞宿主文件，而宿主文件對用戶在特定時段非常重要，能否維持宿主文件或整個系統(tǒng)正常功能，而令病毒不發(fā)作，不擴散？這即所謂“生存系統(tǒng)”的概念。8.1示例所演示正是如何做成一個“生存系統(tǒng)”。驅(qū)動級程序是操作系統(tǒng)內(nèi)優(yōu)先級最高的程序，它可以獲得內(nèi)核級的系統(tǒng)優(yōu)先權(quán)，可以先于普通應(yīng)用程序啟動并獲