contentfilename=FBORFW.EXE.ppt

基于网络流和包的病毒检测 肖新光 前言 蠕虫和其他网络病毒的日益蔓延和流行，VXER对黑客技术的利用日趋成熟，网络安全技术和反病毒技术的融合趋势日趋明显。 开发者希望扩展firewall、IDS和GAP产品的反病毒能力，与传统的反病毒厂商的文件级别的检测技术结合是一个解决思路，但也面临一些问题。 本专题试图探讨，网络安全技术与反病毒技术的一个结合点——基于流和包的病毒检测。 一、两种检测粒度的比较 snort中及其粗糙的反病毒规则作为我们今天批判的靶子… 最新的snort在其virus.rules中，用了多达24条规则来检测名为NewApt的蠕虫，占了全部VX规则的28%。 粗糙的文件名检测法 粗检测粒度的表现 附件文件名检测方式弊端 对于那些随机选择附件名文件名或者提取本机文件的文件名作为自身名字的蠕虫无能为力。 一个同名的正常附件，带来误报造成用户的恐慌。同时，修改文件名对于修改蠕虫是最容易的。 细粒度检测 站在基于文件系统的病毒分析来看，I-worm.NewApt完全可以靠文件体中如下的特征串来检测：|680401000056FF152C75106884F7400056E8CC0800005903C650E8340C6880F7400056E8B50800005903C650……| 问题（一）网络检测与文件检测的不同 蠕虫在网络传输中的形态，不是2进制文件，而是经过编码后的，下面就是病毒特征码所对应的base64编码：GgEAQAAVv8VLMBAAFaLdRBohPdAAFbozAgAAFkDxlDoOwcAAIPEDGiA90AAVui1CAAAWQPGUOgkBwAAoeQBQQBZWUBQVuidCAAAWQPGUGjo90AA/9ej5AFBA…… 同时新的问题产生：|0d 0a|如何处理？ 问题（二）特征码质量 问题（三）如何面对更多层面的需求 IDS的规则问题只是我们问题的出发点。 能否实现御毒于内网之外 Firewall、Gap能否扩充反病毒能力 骨干网络能否建立病毒疫情监控机制，甚至直接切断蠕虫传播 独立病毒分析的准备工作 对于网络安全企业的高手们来说，剖析几个蠕虫，提取特征码，没有问题，但要注意这是系统的工作： 建立自己的病毒捕获网络，第一时间获得新病毒样本； 建立完善的样本库 建立自己的特征码分析体制，保证特征码的科学性，避免漏报和误报的可能。 警告：对于firewall或者IDS开发部门来说，维持一个专门的Virus Cert小组可能是得不偿失的。 第二章、结合文件级别反病毒技术 反病毒技术是一个积累性技术。有一定难以逾越的基础，因此，结合传统反病毒企业的技术是安全厂商的一种选择。 一些二线反病毒厂商也把向其他网络安全安全厂商、其他厂商和服务商和提供AV SDK作为新的热点。 另一方面，更多的反病毒厂商正在积极扩展自己的网络安全产品线，从而构筑全面地解决方案。 传统的反病毒技术说明 结合传统的反病毒技术 传统的反病毒技术是基于文件对象的，适合搭建机遇应用网关服务器的文件系统或者独立构造应用层代理的情况。 案例：hotmail的反病毒系统。 趋势反病毒网关 结合传统反病毒技术的优势 最好的与应用层网关结合 全面、彻底的检测各种类型的已知病毒 对包裹格式的良好支持。 传统反病毒技术的网络级别应用面临的问题 必须还原出具体文件导致一系列的问题产生。 极大的资源占用，很低的效率。 不能处理类似IIS-Worm.CodeRed之类的情况。 不能实时地实现网络级别响应处理 UDP协议等难以还原到文件、或者还原代价很大的情况 能否在流级别直至包级别直接搭建病毒检测体制? 三、基于流和包的病毒检测 从病毒分析技术入手 从网络传输形态的角度 为了证明该思路是成熟的，我们制作了一个可使用的SDK——Virus Catcher。 流级别和包级别的不同检测层次 比较包级别检测与文件级别检测（一） 扫描对象的传递 struct se_data { unsigned long src_ip,dst_ip; //源IP、目的IP unsigned short src_port,dst_port; //源端口、目的端口 unsigned long protocol; //协议类型（由响应处理模块使用） unsigned char * data; //待扫描数据 unsigned long len; //待扫描数据的长度 }; 比较包级别检测与文件级别检测（二） 处理方式： int vise_response(unsigned long vi_id,//病毒编码 unsigned long src_ip, //源I