華中科技大學 病毒原理 課件 第7章網絡環(huán)境下的防御.ppt

1、,7網絡環(huán)境下病毒的防治,7.1網絡蠕蟲的檢測與抑制辦法 7.2木馬的檢測與防治 7.3網絡病毒的清除 7.4網絡環(huán)境下病毒的隔離措施,7.1網絡蠕蟲的檢測與抑制辦法,7.1.1基于掃描的蠕蟲檢測 7.1.2基于honeypot的蠕蟲檢測 7.1.3基于包匹配的蠕蟲檢測 7.1.4基于內容的蠕蟲檢測 7.1.6基于終端源頭安全的蠕蟲抑制模型,7.1.1基于掃描的蠕蟲檢測,很多蠕蟲傳播是依靠選擇性隨機掃描方式(如Code Red蠕蟲)。大范圍的隨機掃描往往是蠕蟲爆發(fā)時的征兆，因此收集這些掃描活動就能在一定程度上發(fā)現蠕蟲。 Massachusetts大學的Zou等人正是利用這種思想，通過統計對未用

2、地址進行的掃描來分析是否發(fā)生蠕蟲。他們提出了一個蠕蟲預警系統模型，該模型主要包含兩個部分:蠕蟲預警中心和大量的監(jiān)視器。這些監(jiān)視器分布在Internet的各個位置上，主要是收集本地蠕蟲掃描的相關數據，然后將統計數據發(fā)送到預警中心。預警中心則綜合分析收到的數據。為了減少預警中心需要處理的數據量，在傳送到預警中心之前，需要對這些原始數據進行預處理(如數據融合)，因此系統增加了多個數據混合器。 監(jiān)視器分為兩種，即入口監(jiān)視器和出口監(jiān)視器。這種方法可以在蠕蟲剛開始傳播不久就進行預警。 該方法的一個主要缺點就是系統的監(jiān)控范圍必須很廣，如監(jiān)控的地址空間數為220，否則會導致很大的誤差。不能直接去清除蠕蟲，阻止

3、蠕蟲對網絡的破壞，保障網絡性能,7.1.2基于honeypot的蠕蟲檢測,Honeypot是一種用來收集入侵行為信息并學習入侵過程的工具。由于Honeypot沒有向外界提供真正有價值的服務，因此所有進出Honeypot的數據均被視為可疑數據，這樣就大大減少了所需要分析的數據量。劍橋大學的Kreibich等人提出使用Honeypot來自動提取蠕蟲的特征，然后將這些特征加入到現有的IDS特征庫。他們將該系統稱為Honeycomb。其具體做法是:首先對進入Honeycomb的數據包進行協議解析；然后提取應用層數據，利用后綴樹算法提取出最長的相同子串；最后將這些子串作為蠕蟲的特征加入到IDS的特征庫中

4、。采用這種方法可以極大地減少人工操作，并且可以縮短蠕蟲發(fā)生到特征提取之間的時間，有助于在初期就發(fā)現蠕蟲。,7.1.3基于包匹配的蠕蟲檢測,Xuan Chen和Heideman建立了一個基于路由器的蠕蟲檢測系統DEWP來實現蠕蟲的檢測和過濾。其方法基于這樣的觀察現象:因為大多數蠕蟲都是針對某一個網絡服務的漏洞，因此當這種蠕蟲爆發(fā)時，在路由器的兩個方向上均會出現大量目的端口相同的網絡流量，并且不同目的地址數量急劇增加，當數量增長到超過一定閾值時就認為發(fā)生了蠕蟲。 DEWP主要包含蠕蟲檢測模塊和包過濾模塊。蠕蟲檢測模塊進行目的端口匹配和目的地址計數，如果發(fā)現蠕蟲，就將可疑蠕蟲數據包的目的端口加入包過

5、濾模塊中，從而限制其傳播,7.1.4基于內容的蠕蟲檢測,通過仔細分析現有各種蠕蟲的特點可以發(fā)現，這些蠕蟲具有一個明顯的共性：蠕蟲數據包的內容是相似的。因此一些系統，如Autograph和EarlyBird均利用此性質來檢測蠕蟲并自動提取特征。其基本方法是:如果在一段時間內出現大量的重復數據包，則認為出現蠕蟲，并將重復部分作為蠕蟲特征,7.1.5基于傳播行為的蠕蟲檢測,Ellis等人指出蠕蟲在傳播過程中體現了下列三個特征： 1.傳播數據的相似性； 2.蠕蟲傳播呈類似樹狀結構(不考慮重復感染的情況)； 3.主機感染蠕蟲后其行為發(fā)生變化，也稱為角色發(fā)生變化，即由攻擊的受害者變?yōu)楣舻陌l(fā)起者。 因此可

6、以通過觀察網絡中是否出現上述模式來判斷蠕蟲是否發(fā)生。與此類似，Staniford等人提出了用活動圖的方式來檢測蠕蟲。其主要缺點在于這種方法需要觀察所有的網絡活動，因此一般只適合于局部網絡。 前面介紹的蠕蟲抑制模型中，都是在網絡中并入專門或者兼職（基于DNS服務的蠕蟲傳播模型）檢測的設備，通過監(jiān)控網絡中的數據特點，看看是否帶有蠕蟲爆發(fā)的特征從而檢測出網絡中是否有蠕蟲的存在，甚至定位到某臺主機。如果考慮在網絡中的各臺主機上就對自身的數據進出進行檢測，分析是否帶有感染蠕蟲的特征，從而判斷自身是否已經被感染，進而找出可疑進程作為進一步的處理。,7.1.6基于源頭安全的蠕蟲抑制模型,在蠕蟲抑制模型中，都

7、是在網絡中并入專門或者兼職（基于DNS服務的蠕蟲傳播模型）檢測的設備，通過監(jiān)控網絡中的數據特點，看看是否帶有蠕蟲爆發(fā)的特征從而檢測出網絡中是否有蠕蟲的存在，甚至定位到某臺主機。如果考慮在網絡中的各臺主機上就對自身的數據進出進行檢測，分析是否帶有感染蠕蟲的特征，從而判斷自身是否已經被感染，進而找出可疑進程作為進一步的處理。這就是基于終端安全的蠕蟲抑制模型。整個模型分為三個模塊：中心控制模塊，蠕蟲檢測模塊和蠕蟲定位模塊。,7.2木馬的檢測與防治,7.2.1木馬的檢測技術 1靜態(tài)檢測方法 2 動態(tài)檢測方法 7.2.2木馬的清除,7.2.1木馬的檢測技術(靜態(tài)),對于靜態(tài)檢測方式，根據采用的工具不同可

8、分為：基于殺毒軟件的方式和專門的木馬檢測方式。殺毒軟件的檢測方法為：把木馬作為病毒來檢測，首先對大量的木馬病毒文件進行格式分析（一般均為PE格式），在文件的代碼段中找出一串特征字符串作為木馬病毒的特征，建立特征庫。然后，對磁盤文件、傳入系統的比特串進行掃描匹配，如發(fā)現有字符串與木馬病毒特征匹配就認為發(fā)現了木馬病毒,7.2.1木馬的檢測技術(動態(tài)),動態(tài)檢測的基本思想： 1）監(jiān)視對注冊表操作和文件訪問檢測木馬 注冊表是木馬進行隱蔽啟動的主要工具，是木馬進行系統配置修改及其它惡意功能的操作重要對象之一，被木馬用于保存數據和隱蔽運行形式。 系統文件也是木馬進行隱蔽啟動和自身文件隱蔽的重要利用對象。系

9、統目錄是木馬進行自身文件隱蔽的重要地方。 根據系統的服務和應用需求，監(jiān)控和保護注冊表中木馬能用于隱蔽運行、隱蔽啟動及系統安全配置的各項。監(jiān)控程序對系統文件的訪問。對這些對象訪問的可疑操作行為和可疑操作企圖就是進行分析檢測木馬的依據。 2）從運行行為和通信行為檢測木馬 木馬植入被攻擊的目標系統后，為了能夠完成其惡意操作目的，必須有一定啟動方式、在系統中需要一定的運行形式。木馬為了與控制端（攻擊者）進行通信，一般需要有一個通信形式。木馬為了掩蓋其目的和行為，必需進行運行、通信、啟動的隱蔽。而木馬的運行、通信、啟動的隱蔽行為是正常的應用程序極少采用。通過檢測這些運行、通信、啟動的隱蔽行為進而發(fā)現隱蔽

10、在系統中的木馬。 3）監(jiān)視特定的API調用，發(fā)現木馬的隱蔽和惡意操作行為,7.3網絡病毒的清除(通用),網絡病毒主要是指主要通過網絡傳染的病毒，網絡指的是傳染渠道，就病毒本身而言，可能包括文件型病毒、引導型病毒等多種病毒。所以這里說的清除方法是針對網絡，主要是局域網這一特殊傳染環(huán)境的各種針對性措施： 立即使用BROADCAST等命令，通知所有用戶退網，對比文件服務器。 用帶有寫保護的“干凈”系統盤啟動系統管理員工作站，并立即清除本機病毒。 用帶有寫保護的“干凈”的系統盤啟動文件服務器，系統管理員登錄后，使用DISABLE LOGIN等命令禁止其他用戶登錄。 將文件服務器的硬盤中的資料備份到干凈

11、的軟盤上。但千萬不可執(zhí)行硬盤上的安裝程序，也千萬不要往硬盤在中復制文件，以免破壞病毒搞壞的硬盤數據。 用病毒防治軟件掃描服務器上的所有卷的文件，恢復或刪除被病毒感染的文件，重新安裝被刪除文件。 用病毒防治軟件掃描并清除所有可能染上病毒的軟盤或備份文件中的病毒。 用病毒防治軟件掃描并清除所有的有盤工作站應硬盤上的病毒。 在確信病毒已經徹底清除后，重新啟動網絡和工作站。如有異?，F象，請網絡安全與病毒防治專家來處理。,7.3網絡病毒的清除(蠕蟲),（一）其中檢測服務器（IDS）：定期生成染毒計算機IP地址列表。 （二）修改過的DNS服務器：獲取染毒計算機IP地址列表，過濾染毒計算機IP （三）地址產

12、生的DNS請求，將染毒計算機導向警示服務器。 （四）警示服務器（Warning Information Server）：提供染毒告警信息，提供補丁程序、殺毒工具下載，收集用戶相關信息。,7.4網絡環(huán)境中的病毒免疫策略,7.4.1人工免疫策略 7.4.2網絡環(huán)境中的免疫策略 7.4.3免疫策略的局限,7.4.1人工免疫策略,疫苗檢測器、記憶檢測器和成熟檢測器。 疫苗檢測器存儲的是人類已經研究出相應對抗策略的網絡病毒特征及其疫苗，用來防御已被人類掌控的病毒攻擊；記憶檢測器存儲的是己被確認的網絡病毒特征信息，用來檢測己爆發(fā)的網絡病毒；成熟檢測器存儲的是類似網絡病毒特征的信息，用來檢測第一次攻擊網絡的

13、病毒。它們先分工完成各自的檢測任務后共同協作防御盡可能多的網絡病毒攻擊。,7.4.2網絡環(huán)境中的免疫策略,免疫策略可以分為靜態(tài)免疫策略和動態(tài)免疫策略。 靜態(tài)免疫策略是指將疫苗一次性注入到指定節(jié)點中使其成為免疫節(jié)點，疫苗不在節(jié)點間進行傳播；主要的靜態(tài)免疫策略包括隨機免疫策略、特定點免疫策略和相識點免疫策略。 動態(tài)免疫策略是指將疫苗注入到選定的節(jié)點后，被免疫的節(jié)點向外傳播疫苗從而使其它節(jié)點也被免疫，整個免疫過程實際上就是疫苗的傳播過程。,兩階段動態(tài)免疫策略（Two-phase Strategy,TPS）,將疫苗的傳播分為兩個階段，第一階段疫苗沿著網絡節(jié)點形成的路徑從低度結點向高度結點傳播，實現了對

14、高度節(jié)點的優(yōu)先保護； 第二階段疫苗從高度結點向低度結點傳播，實現了對低度節(jié)點的保護。由于每一個階段疫苗的傳播都是單向的，有效避免了雙向傳播和循環(huán)傳播，從而降低了網絡的流量,7.4.3免疫策略的局限,針對傳統方法的不足，將仿生技術應用到系統中，提出了一個病毒免疫方法。本節(jié)介紹了人工免疫系統的基本組成與作用機制。對與傳統的病毒防治主要關注用戶個體，無法對整個網絡進行有效的保護，因而也無法對病毒傳播所引發(fā)的DDoS攻擊做出有效的防御的問題。介紹了網絡環(huán)境中的病毒免疫概念，并詳細介紹了兩階段動態(tài)免疫策略。并分析了該策略的免疫覆蓋情況、免疫的速度和免疫的代價。把生物學的原理應用于計算機病毒，是一個新的課

15、題。病毒免疫系統的研究，對計算機系統以及網絡信息安全也具有深遠的意義。對網絡環(huán)境中不同的病毒傳播模型，免疫策略也不盡相同，考慮網絡環(huán)境中的免疫策略才能更好的控制病毒的傳播。,7.5網絡病毒的網絡隔離,1 隔離技術的發(fā)展; 2 基于連接類型的隔離; 3 確定傳播源的范圍; 4 確定接收點的范圍; 5 基于類型的隔離墻建立.,7.5.1隔離背景,利用隔離措施切斷病毒的傳播是生物病毒防治的一個基本方法，早期的比較系統的隔離理論由M. Bellmore等人在1969年提出，本節(jié)提出的隔離墻主要是切斷結點之間的物理接觸，結點間的連接是單一的，物理隔離是直觀可行的，也就是現在的物理隔離。1975年, N.

16、J.T. Bailey 將生物的隔離定義為兩元組的集合5，這些兩元組也就是病毒傳播的邊，文章給出了生物隔離的理論基礎，也為后來的生物流行病隔離奠定了理論基礎。但這種生物隔離理論沒有預見到現在龐雜的國際互連網（Internet）中包含種類如此眾多的動態(tài)連接，且這些連接都是邏輯的、抽象的。,7.5.1 網絡隔離技術的發(fā)展歷程,網絡隔離，英文名為Network Isolation，主要是指把兩個或兩個以上可路由的網絡（如：TCP/IP）通過不可路由的協議（如：IPX/SPX、NetBEUI等）進行數據交換而達到隔離目的。 第一代隔離技術完全的隔離 第二代隔離技術硬件卡隔離 第三代隔離技術數據轉播隔離

17、 第四代隔離技術空氣開關隔離 第五代隔離技術安全通道隔離。,已有隔離的技術,Programmable disrupt of multicast packets for secure networks（安全網絡中多播數據包的可編程中斷隔離） 美國 專利號 5539373 Hub-embedded system for automated network fault detection and isolation（網絡缺陷的自動探測和隔離的Hub嵌入系統） 美國 專利號6079034 Data processing system and method including a network acc

18、ess connector for limiting access to the network（網絡連接器限制網絡訪問連接的數據處理方法） 美國 專利號6754826 Interface device with network isolation （網絡隔離的接口裝置） 美國 專利號7016358 Network abstraction and isolation layer for masquerading machine identity of a computer 美國 專利號20050108407 The secure isolation gap 中國 專利號CN2588677 基于

19、數據交換檢測的物理隔離網絡安全控制器 中國 專利號 CN1421794 物理隔離控制開關 中國 專利號 CN1464403,7.5.1.3 當前網絡隔離的困境,總結現有的網絡隔離研究和技術，無論是物理的、邏輯的還是兩者的混合方法，他們的隔離都是針對保護特定的子網，屬訪問控制的策略，隔離針對的是特定的IP地址，被隔離的IP或被保護的IP是相對固定不變的，所以隔離相對容易。本章把它們歸類為基于IP地址的隔離IPBI（IP-based isolation），依據隔離的范圍不同把它們分為兩類：一類是排他性隔離Exclusive IP based Isolation記為EIPBI，其主要思路是除了被認為

20、是安全的結點外，其他均被認為不安全的結點而被排除或隔離、不得訪問子網，一些安全性要求較高的系統或單位的內部網采用的就是這種隔離；另一類是選擇性隔離Selective IP based Isolation記為SIPBI，其思路是選擇認為不安全的結點隔離，其他均被認為是安全的可以訪問子網，一些安全性要求不太高的系統或公開的網站采用的是SIPBI。很顯然SIPBI對網絡流量的影響減少了，但安全性降低了。值的注意的是無論EIPBI還是SIPBI，它們采取的隔離措施都是徹底切斷被隔離結點間的連接，而不在乎這些連接的類型。,與這些來自具有固定IP的威脅不同，決大部分的網絡病毒并不是來自固定的IP，并且它們

21、感染的目標也不是固定的。一個非常值得信任的IP 結點也會成為病毒傳播的媒介。第二, 現在的Internet是一個龐大而復雜的網絡系統，其上運行著各種不同的網絡應用平臺（或稱為服務），而絕大部分的網絡病毒也是利用這些具體的網絡應用平臺來傳播，也就是說病毒借助的是IP之上的某一類具體的應用連接，他們是邏輯的、抽象的，一臺連接在Internet上的計算機可能包含有許多種應用連接，如圖1。只要切斷被隔離結點間病毒所借助的連接類型，也就阻斷了病毒的傳播，而此時被隔離的結點間的其他連接還可以繼續(xù)傳輸數據，這也就是本章要提出的應用類型的隔離Type Based Isolation(TBI)，顯然TBI對病毒的傳播隔離要比特定個體與個體的間的隔離復雜，但它對網絡的影響要比IPBI 小得多。,7.5.3本節(jié)隔離的思路,7.5.3本節(jié)隔離的思路,7.5.5隔離的實現,1)確定隔離的區(qū)域 2)建立隔離墻 3)隔離的效果分析,7.5.1當前隔離的困境,當前計算機網絡的隔離都是基于IP地址的隔離IPBI（IP-based isolation）,依據隔離的范圍不同把它們分為兩類：一類是排他性隔離Exclu