資源描述:
《基于NIDS網(wǎng)絡(luò)側(cè)木馬檢測(cè)技術(shù)》由會(huì)員上傳分享,免費(fèi)在線閱讀�,更多相關(guān)內(nèi)容在行業(yè)資料-天天文庫�。
1、前言近期����,一項(xiàng)借助搜索引擎頁面����,直接傳播木馬的新型"掛馬"技術(shù)���,在全球范圍內(nèi)首次出現(xiàn)。受微軟"MPEG-2視頻"0day漏洞影響���,微軟和中國電信合作的"114搜索"首當(dāng)其沖�,黑客將大量木馬直接插入在搜索結(jié)果頁面���,悄然大肆傳播����。危害同時(shí)波及內(nèi)嵌"114搜索"框的互聯(lián)星空�、56.com等眾多聯(lián)盟網(wǎng)站。2009年7月對(duì)于互聯(lián)網(wǎng)來說也許是黑色的����,2009年上半年的互聯(lián)網(wǎng)更是滿目瘡痍�����。以木馬為代表的應(yīng)用威脅愈演愈烈飛速發(fā)展的互聯(lián)網(wǎng)加速了企業(yè)信息化建設(shè)進(jìn)程�����,越來越多的企業(yè)開始將其業(yè)務(wù)系統(tǒng)移植到開放的互聯(lián)網(wǎng)平臺(tái)上來�����。伴隨著營銷理念和商業(yè)模式的轉(zhuǎn)變
2���、��,來自互聯(lián)網(wǎng)的安全威脅也在逐漸凸顯變化��,常見的安全威脅來源�����,開始由傳統(tǒng)的網(wǎng)絡(luò)層和系統(tǒng)層�����,轉(zhuǎn)向以惡意代碼為代表的應(yīng)用層�。據(jù)業(yè)內(nèi)安全機(jī)構(gòu)研究表明,截至今年7月,國內(nèi)掛馬網(wǎng)頁累計(jì)高達(dá)2.9億個(gè)�����,共有11.2億人次網(wǎng)民遭木馬攻擊����,平均每天有622萬余人次網(wǎng)民訪問掛馬網(wǎng)站���,其中大型網(wǎng)站、流行軟件被掛馬的有35萬個(gè)����,比去年同期有大幅度增長(zhǎng)�����。通過看似正常的互聯(lián)網(wǎng)站點(diǎn)向用戶傳播木馬等惡意程序����,是一種極為隱蔽的攻擊方法�,很少有用戶是因?yàn)榱私庾陨聿僮飨到y(tǒng)���、應(yīng)用服務(wù)的脆弱性�����,而發(fā)現(xiàn)遭受攻擊的���。因此�����,在互聯(lián)網(wǎng)上大量投放利用客戶端漏洞的惡意代碼����,再"借助"用
3、戶對(duì)互聯(lián)網(wǎng)站點(diǎn)的盲目信任����,就能夠很輕松地誘騙客戶被動(dòng)下載萬惡的木馬程序。當(dāng)然���,更多時(shí)候,首先植入用戶主機(jī)的可能是一個(gè)下載器�,它會(huì)自動(dòng)連接遠(yuǎn)端的"木馬養(yǎng)殖場(chǎng)"��,下載更多惡意程序到本地執(zhí)行����,從而使得木馬控制者能夠獲得某些敏感的數(shù)據(jù),或通過滲透�,最終獲取用戶主機(jī)的控制權(quán)限�。圖1"網(wǎng)頁掛馬"威脅擴(kuò)散示意圖木馬檢測(cè)的常見方法分析一次完整的"網(wǎng)頁掛馬"攻擊過程����,可以看到攻擊者能夠在整條攻擊路徑的多個(gè)環(huán)節(jié)介入��,制造虛假的數(shù)據(jù)和惡意的流量�����,正是因?yàn)樵诙鄠€(gè)防護(hù)層面缺少有效的安全監(jiān)控機(jī)制��,才使得攻擊最后能夠得逞�����。為了有效監(jiān)測(cè)并抑制木馬等惡意程序的傳播和
4�、擴(kuò)散���,至少可以從以下三個(gè)層面考慮����,加以監(jiān)控,包括:針對(duì)目標(biāo)Web站點(diǎn)的安全評(píng)估����、網(wǎng)絡(luò)側(cè)惡意流量檢測(cè)�,以及針對(duì)客戶端主機(jī)的脆弱性檢查。圖2常見的木馬檢測(cè)方法相比其它兩種檢測(cè)方式�����,網(wǎng)絡(luò)側(cè)惡意流量檢測(cè)方案能夠?yàn)槠髽I(yè)提供實(shí)時(shí)的風(fēng)險(xiǎn)感知能力�,具備更低的部署成本��,和更大的防護(hù)區(qū)域�,該方案可在現(xiàn)有成熟的NIDS技術(shù)和產(chǎn)品進(jìn)一步發(fā)展形成���。對(duì)網(wǎng)絡(luò)中傳輸?shù)母鞣N流量進(jìn)行分析,從中發(fā)現(xiàn)違反企業(yè)安全策略的行為���,這是NIDS的核心功能�。從技術(shù)上����,入侵檢測(cè)技術(shù)大體分為兩類:一種基于特征標(biāo)識(shí)(signature-based)����,另一種基于異常行為(anomaly-b
5、ased)�����。在面向以木馬為代表的新型應(yīng)用層攻擊時(shí)�����,可采用的檢測(cè)技術(shù)則主要包括以下三種:基于協(xié)議分析的特征檢測(cè)��、基于行為分析的異常檢測(cè)��,以及基于互聯(lián)網(wǎng)安全信譽(yù)服務(wù)的惡意流量檢測(cè)?��;趨f(xié)議分析的特征檢測(cè)技術(shù)特征檢測(cè)是NIDS應(yīng)用最為成熟的一類技術(shù)��,能夠準(zhǔn)確識(shí)別各種已知的攻擊行為��,并出示詳盡的分析報(bào)告��。該項(xiàng)技術(shù)的基本思路是:首先定義"異常流量"的事件特征(signature)�����,如:帶有非法TCP標(biāo)志聯(lián)合物的數(shù)據(jù)包���、數(shù)據(jù)負(fù)載中的DNS緩沖區(qū)溢出企圖、含有特殊病毒信息的電子郵件等����,再將收集到的數(shù)據(jù)和已有的攻擊特征庫進(jìn)行比較,從而發(fā)現(xiàn)違反企業(yè)安
6����、全策略的行為。該過程可以很簡(jiǎn)單,通過字符串匹配尋找一個(gè)簡(jiǎn)單的指令�;也可以很復(fù)雜,使用正則表達(dá)式來描述安全狀態(tài)的變化��。特征檢測(cè)技術(shù)的核心在于建立和維護(hù)一個(gè)知識(shí)庫�,涉及的特征包括:簡(jiǎn)單的數(shù)據(jù)包頭域信息,高度復(fù)雜的連接狀態(tài)跟蹤���,以及可擴(kuò)展的協(xié)議分析��。一個(gè)經(jīng)典的特征定義:明顯違背RFC793規(guī)定的TCP標(biāo)準(zhǔn)���,設(shè)置了SYN和FIN標(biāo)記的TCP數(shù)據(jù)包。這種數(shù)據(jù)包被許多入侵軟件采用��,向防火墻��、路由器以及IDS發(fā)起攻擊��。為了規(guī)避NIDS的檢測(cè)�����,攻擊者往往會(huì)將惡意流量進(jìn)行分片���、壓縮�、編碼等各種處理��。此時(shí)�,傳統(tǒng)的特征檢測(cè)技術(shù),遇到了一定的技術(shù)瓶頸����,需要
7、引入智能協(xié)議識(shí)別和處理技術(shù)����。協(xié)議分析是在對(duì)網(wǎng)絡(luò)數(shù)據(jù)流進(jìn)行重組的基礎(chǔ)上,深入分析網(wǎng)絡(luò)報(bào)文的協(xié)議特征�����,發(fā)現(xiàn)其所在協(xié)議��,然后遞交給相應(yīng)的協(xié)議分析引擎進(jìn)行處理�����,對(duì)相關(guān)字段進(jìn)行規(guī)則檢測(cè)���,實(shí)現(xiàn)4-7層深度協(xié)議解碼����。只有準(zhǔn)確理解事物的本質(zhì),才能對(duì)癥下藥�,木馬檢測(cè)亦是如此。通過融合端口分析�����、協(xié)議特征判斷����、行為分析等技術(shù),借助動(dòng)態(tài)升級(jí)的木馬特征庫����,先進(jìn)的NIDS能夠準(zhǔn)確檢測(cè)出運(yùn)行在任意端口的木馬,以及運(yùn)用SmartTunnel技術(shù)的其它惡意程序�����。構(gòu)建和維護(hù)一套可用的攻擊特征庫����,需要花費(fèi)大量的精力,面對(duì)浩如煙海���、種類繁多的攻擊手段��,特征檢測(cè)模型只能發(fā)揮
8�����、有限的效能�,要更好地檢測(cè)出未知的攻擊���,還要使用到異常檢測(cè)技術(shù)�?;谛袨榉治龅漠惓z測(cè)技術(shù)異常檢測(cè)技術(shù)通常先構(gòu)建一個(gè)正常的用戶行為集合�����,再比較被監(jiān)測(cè)用戶的實(shí)際行為模式,和正常模式之間的偏離程度���,來判定用戶行為的變化��,最終確定是否屬于入侵
