基于NIDS的网络侧木马检测技术.docVIP

前言 近期，一项借助搜索引擎页面，直接传播木马的新型挂马技术，在全球范围内首次出现。受微软MPEG-2视频0day漏洞影响，微软和中国电信合作的114搜索首当其冲，黑客将大量木马直接插入在搜索结果页面，悄然大肆传播。危害同时波及内嵌114搜索框的互联星空、56.com等众多联盟网站。2009年7月对于互联网来说也许是黑色的，2009年上半年的互联网更是满目疮痍。 以木马为代表的应用威胁愈演愈烈 飞速发展的互联网加速了企业信息化建设进程，越来越多的企业开始将其业务系统移植到开放的互联网平台上来。伴随着营销理念和商业模式的转变，来自互联网的安全威胁也在逐渐凸显变化，常见的安全威胁来源，开始由传统的网络层和系统层，转向以恶意代码为代表的应用层。 据业内安全机构研究表明，截至今年7月，国内挂马网页累计高达2.9亿个，共有11.2亿人次网民遭木马攻击，平均每天有622万余人次网民访问挂马网站，其中大型网站、流行软件被挂马的有35万个，比去年同期有大幅度增长。 通过看似正常的互联网站点向用户传播木马等恶意程序，是一种极为隐蔽的攻击方法，很少有用户是因为了解自身操作系统、应用服务的脆弱性，而发现遭受攻击的。因此，在互联网上大量投放利用客户端漏洞的恶意代码，再借助用户对互联网站点的盲目信任，就能够很轻松地诱骗客户被动下载万恶的木马程序。当然，更多时候，首先植入用户主机的可能是一个下载器，它会自动连接远端的木马养殖场，下载更多恶意程序到本地执行，从而使得木马控制者能够获得某些敏感的数据，或通过渗透，最终获取用户主机的控制权限。 图1 网页挂马威胁扩散示意图 木马检测的常见方法 分析一次完整的网页挂马攻击过程，可以看到攻击者能够在整条攻击路径的多个环节介入，制造虚假的数据和恶意的流量，正是因为在多个防护层面缺少有效的安全监控机制，才使得攻击最后能够得逞。 为了有效监测并抑制木马等恶意程序的传播和扩散，至少可以从以下三个层面考虑，加以监控，包括：针对目标Web站点的安全评估、网络侧恶意流量检测，以及针对客户端主机的脆弱性检查。 图2 常见的木马检测方法 相比其它两种检测方式，网络侧恶意流量检测方案能够为企业提供实时的风险感知能力，具备更低的部署成本，和更大的防护区域，该方案可在现有成熟的NIDS技术和产品进一步发展形成。 对网络中传输的各种流量进行分析，从中发现违反企业安全策略的行为，这是NIDS的核心功能。从技术上，入侵检测技术大体分为两类：一种基于特征标识（signature-based），另一种基于异常行为（anomaly-based）。在面向以木马为代表的新型应用层攻击时，可采用的检测技术则主要包括以下三种：基于协议分析的特征检测、基于行为分析的异常检测，以及基于互联网安全信誉服务的恶意流量检测。 基于协议分析的特征检测技术 特征检测是NIDS应用最为成熟的一类技术，能够准确识别各种已知的攻击行为，并出示详尽的分析报告。该项技术的基本思路是：首先定义异常流量的事件特征（signature），如：带有非法TCP标志联合物的数据包、数据负载中的DNS缓冲区溢出企图、含有特殊病毒信息的电子邮件等，再将收集到的数据和已有的攻击特征库进行比较，从而发现违反企业安全策略的行为。该过程可以很简单，通过字符串匹配寻找一个简单的指令；也可以很复杂，使用正则表达式来描述安全状态的变化。 特征检测技术的核心在于建立和维护一个知识库，涉及的特征包括：简单的数据包头域信息，高度复杂的连接状态跟踪，以及可扩展的协议分析。一个经典的特征定义：明显违背RFC793规定的TCP标准，设置了SYN和FIN标记的TCP数据包。这种数据包被许多入侵软件采用，向防火墙、路由器以及IDS发起攻击。 为了规避NIDS的检测，攻击者往往会将恶意流量进行分片、压缩、编码等各种处理。此时，传统的特征检测技术，遇到了一定的技术瓶颈，需要引入智能协议识别和处理技术。 协议分析是在对网络数据流进行重组的基础上，深入分析网络报文的协议特征，发现其所在协议，然后递交给相应的协议分析引擎进行处理，对相关字段进行规则检测，实现4-7层深度协议解码。 只有准确理解事物的本质，才能对症下药，木马检测亦是如此。通过融合端口分析、协议特征判断、行为分析等技术，借助动态升级的木马特征库，先进的NIDS能够准确检测出运行在任意端口的木马，以及运用Smart Tunnel技术的其它恶意程序。 构建和维护一套可用的攻击特征库，需要花费大量的精力，面对浩如烟海、种类繁多的攻击手段，特征检测模型只能发挥有限的效能，要更好地检测出未知的攻击，还要使用到异常检测技术。 基于行为分析的异常检测技术 异常检测技术通常先构建一个正常的用户行为集合，再比较被监测用户的实际行为模式，和正常模式之间的偏离程度，来判定用户行为的变化，