ARAKIS-早期预警和攻击鉴定系统.doc

ARAKIS-早期预警和攻击鉴定系统 Piotr Kijewsti CERT Polska/NASK 摘要 这篇文章概述了由波兰计算机紧急事务响应小组(CERT)开发出来一种预警和入侵 识别系统--ARAKIS.这种系统被设计为能够发觉和识别大规模异常威胁的特征,例如, 能自我传播的恶意代码和其他跨越多个站点的自动攻击.它的目标也包括自动建立侵 扰探测和防御系统的入侵签证的分发和提供入侵统计.这篇论文陈述了系统的基本原 理,使用的数据流,体系结构以及当前发展的阶段. 1、介绍：大规模恶意代码入侵的趋势。近几年来与越来越多的英特网相连的组织受 到了能够自我传播的恶意代码与自动入侵的攻击。这些威胁是部分青红皂白的， 矛头指向了整个因特网。一个例子就是SQL Slammer 蠕虫病毒。它利用微软的SQL Server的一个漏洞，成功地在10分钟之内通过搜索90％的英特网地址空间来感染超 过75,000台主机。最近的威胁，例如，Bugbear.B病毒，它具有能够使自己搜索指定 类型受害者的功能。在感染后，Bugbear.B病毒会检查受感染主机地地址是否与全世 界1000多个金融机构的地址一样。如果一旦匹配的话，它就会搜索系统的密码和其 他敏感信息。 因此，未来的威胁将有可能区别目标和集中在某些网络组上，根据不同的标准，例 如，国家的，地理的,或者是功能的中肯。这些有目标的入侵将会是侦察和对抗变得 更得困难，如定义那样，它们不会被整个英特网所观察到。 另一个值得注意的趋势是漏洞的发现和利用的出现之间的时间持续的缩短了，也就是后继 的蠕虫病毒（或者是其他自动工具）出现了。例如，Witty 蠕虫病毒在漏洞仅仅发 布后的一天便出现了，使管理员没有时间来修补他们的系统。 page 1 这就使当前的基于签字的，入侵侦察和防御技术以及反病毒系统非常烦恼。这些 系统的认识都是基于已知的入侵的。在某种意义上来说，它们本质上是有历史性的 。它们的有效性是基于新规则的设计速度、正确性和配置的交换性。这样的系统， 如果单机工作的话，在自我传播的代码使用零天更新的情况下是不可能成功地表现 出他们地功能的。 蠕虫，病毒，特洛伊，后门，受控系统网络(botnet)的区别正变得更加的模糊了 。一个威胁常常是以上的混合。这些新的威胁可以通过多种的方式传播的。只用通 过多种不同的数据源的相互关系才能够充分的理解它们。随着这些威胁的代码变得 复杂，它变得更加易受到小错误的影响了。由于一些小错误（bugs），这些威胁不 是准确的按照作者的意图进行起作用的，初始的代码的分析有时候会失败的。 2 、项目目标 ARAKIS 是由波兰计算机紧急事务响应小组(CERT)为了强调上述的趋势而发起的项目。 项目的目标是建立一个对波兰网络的大规模的恶意代码的入侵和其他启动入侵自动 侦察、分析和响应的系统，这些可以认为是波兰国家网络关键基础设施。具体上， 系统被设计为： 能够自动检测新的威胁，尤其是利用奇异网络的入侵。 使入侵分析的过程自动化，允许对异常袭击的识别和描述。 开发自动签证的建立方法和防火墙和入侵检测和防御系统的分发。 开发能够自动比较跨多个行政区域的趋势的过程。 提高网络环境意识。 在平常事件处理中作为一种帮助。 提供网络入侵的统计数据。 预期这个项目可以为针对于波兰的网络的入侵提供一个独特的观点，提供重要的数 据。这些数据可以作为与其他国家和系统的入侵数据相比较的基础。我们的目标是 集中精力开发出实用的办法以达到上面提出的目标。 page 2 3 理解威胁，目标选择和传播方法 随着对付威胁的有效技术要发展，有必要理解恶意代码的本质。近年来有许多关 于恶意代码的研究。其中的一个就是集中研究蠕虫病毒的分类方法。在与我们感觉 的与我们的项目最相关分类学中出现的两种分类准则是：目标选择和传播方法。这 是因为这些因素对于用于检测，分析和相应的系统的数据源有重要的影响。他们不 但仅仅与蠕虫病毒相关，而去同样与恶意代码袭击和自动入侵有关系。 分类法识别出许多蠕虫使用的目标选择的方法－－扫描，预产生目标列表，外表 产生目标列表，内部产生目标列表和被动性。蠕虫可能使用这些的多个的结合。扫 描，可以连续或者随机搜索一系列的地址来识别出有漏洞的主机。这是蠕虫使用的 寻找目标的最流行的方式，红色代码1和2，尼姆达，Slammer和Witty病毒都使用了 这种方法的。扫描也是早期的检测方法之一，因为它可以显示出异常的信息。攻