713基于包匹配的蠕虫检测-多库文档.PPT

7.5.3本节隔离的思路 疫区 切断 注：本隔离隔离的是Email连接 7.5.5隔离的实现 1)确定隔离的区域 2)建立隔离墙 3)隔离的效果分析 7网络环境下病毒的防治 7.1网络蠕虫的检测与抑制办法 7.2木马的检测与防治 7.3网络病毒的清除 7.4网络环境下病毒的隔离措施 7.1网络蠕虫的检测与抑制办法 7.1.1基于扫描的蠕虫检测 7.1.2基于honeypot的蠕虫检测 7.1.3基于包匹配的蠕虫检测 7.1.4基于内容的蠕虫检测 7.1.6基于终端源头安全的蠕虫抑制模型 7.1.1基于扫描的蠕虫检测 很多蠕虫传播是依靠选择性随机扫描方式(如Code Red蠕虫)。大范围的随机扫描往往是蠕虫爆发时的征兆，因此收集这些扫描活动就能在一定程度上发现蠕虫。 Massachusetts大学的Zou等人正是利用这种思想，通过统计对未用地址进行的扫描来分析是否发生蠕虫。他们提出了一个蠕虫预警系统模型，该模型主要包含两个部分:蠕虫预警中心和大量的监视器。这些监视器分布在Internet的各个位置上，主要是收集本地蠕虫扫描的相关数据，然后将统计数据发送到预警中心。预警中心则综合分析收到的数据。为了减少预警中心需要处理的数据量，在传送到预警中心之前，需要对这些原始数据进行预处理(如数据融合)，因此系统增加了多个数据混合器。 监视器分为两种，即入口监视器和出口监视器。这种方法可以在蠕虫刚开始传播不久就进行预警。 该方法的一个主要缺点就是系统的监控范围必须很广，如监控的地址空间数为220，否则会导致很大的误差。不能直接去清除蠕虫，阻止蠕虫对网络的破坏，保障网络性能 7.1.2基于honeypot的蠕虫检测 Honeypot是一种用来收集入侵行为信息并学习入侵过程的工具。由于Honeypot没有向外界提供真正有价值的服务，因此所有进出Honeypot的数据均被视为可疑数据，这样就大大减少了所需要分析的数据量。剑桥大学的Kreibich等人提出使用Honeypot来自动提取蠕虫的特征，然后将这些特征加入到现有的IDS特征库。他们将该系统称为Honeycomb。其具体做法是:首先对进入Honeycomb的数据包进行协议解析；然后提取应用层数据，利用后缀树算法提取出最长的相同子串；最后将这些子串作为蠕虫的特征加入到IDS的特征库中。采用这种方法可以极大地减少人工操作，并且可以缩短蠕虫发生到特征提取之间的时间，有助于在初期就发现蠕虫。 7.1.3基于包匹配的蠕虫检测 Xuan Chen和Heideman建立了一个基于路由器的蠕虫检测系统DEWP来实现蠕虫的检测和过滤。其方法基于这样的观察现象:因为大多数蠕虫都是针对某一个网络服务的漏洞，因此当这种蠕虫爆发时，在路由器的两个方向上均会出现大量目的端口相同的网络流量，并且不同目的地址数量急剧增加，当数量增长到超过一定阈值时就认为发生了蠕虫。 DEWP主要包含蠕虫检测模块和包过滤模块。蠕虫检测模块进行目的端口匹配和目的地址计数，如果发现蠕虫，就将可疑蠕虫数据包的目的端口加入包过滤模块中，从而限制其传播 7.1.4基于内容的蠕虫检测 通过仔细分析现有各种蠕虫的特点可以发现，这些蠕虫具有一个明显的共性：蠕虫数据包的内容是相似的。因此一些系统，如Autograph和EarlyBird均利用此性质来检测蠕虫并自动提取特征。其基本方法是:如果在一段时间内出现大量的重复数据包，则认为出现蠕虫，并将重复部分作为蠕虫特征 7.1.5基于传播行为的蠕虫检测 Ellis等人指出蠕虫在传播过程中体现了下列三个特征： 1.传播数据的相似性； 2.蠕虫传播呈类似树状结构(不考虑重复感染的情况)； 3.主机感染蠕虫后其行为发生变化，也称为角色发生变化，即由攻击的受害者变为攻击的发起者。 因此可以通过观察网络中是否出现上述模式来判断蠕虫是否发生。与此类似，Staniford等人提出了用活动图的方式来检测蠕虫。其主要缺点在于这种方法需要观察所有的网络活动，因此一般只适合于局部网络。 前面介绍的蠕虫抑制模型中，都是在网络中并入专门或者兼职（基于DNS服务的蠕虫传播模型）检测的设备，通过监控网络中的数据特点，看看是否带有蠕虫爆发的特征从而检测出网络中是否有蠕虫的存在，甚至定位到某台主机。如果考虑在网络中的各台主机上就对自身的数据进出进行检测，分析是否带有感染蠕虫的特征，从而判断自身是否已经被感染，进而找出可疑进程作为进一步的处理。 7.1.6基于源头安全的蠕虫抑制模型 在蠕虫抑制模型中，都是在网络中并入专门或者兼职（基于DNS服务的蠕虫传播模型）检测的设备，通过监控网络中的数据特点，看看是否带有蠕虫爆发的特征从而检测出网络中是否有蠕虫的存在，甚至定位到某台主机。如果考虑在网络中的各台主机上就对自身的数据进出进行检测，分析是否带有感染