华中科技大学 病毒原理 课件 第7章网络环境下的防御文档资料.pptx

7网络环境下病毒的防治,7.1网络蠕虫的检测与抑制办法7.2木马的检测与防治7.3网络病毒的清除7.4网络环境下病毒的隔离措施,7.1网络蠕虫的检测与抑制办法,7.1.1基于扫描的蠕虫检测7.1.2基于honeypot的蠕虫检测7.1.3基于包匹配的蠕虫检测7.1.4基于内容的蠕虫检测7.1.6基于终端源头安全的蠕虫抑制模型,7.1.1基于扫描的蠕虫检测,很多蠕虫传播是依靠选择性随机扫描方式(如Code Red蠕虫)。大范围的随机扫描往往是蠕虫爆发时的征兆，因此收集这些扫描活动就能在一定程度上发现蠕虫。Massachusetts大学的Zou等人正是利用这种思想，通过统计对未用地址进行的扫描来分析是否发生蠕虫。他们提出了一个蠕虫预警系统模型，该模型主要包含两个部分:蠕虫预警中心和大量的监视器。这些监视器分布在Internet的各个位置上，主要是收集本地蠕虫扫描的相关数据，然后将统计数据发送到预警中心。预警中心则综合分析收到的数据。为了减少预警中心需要处理的数据量，在传送到预警中心之前，需要对这些原始数据进行预处理(如数据融合)，因此系统增加了多个数据混合器。监视器分为两种，即入口监视器和出口监视器。这种方法可以在蠕虫刚开始传播不久就进行预警。该方法的一个主要缺点就是系统的监控范围必须很广，如监控的地址空间数为220，否则会导致很大的误差。不能直接去清除蠕虫，阻止蠕虫对网络的破坏，保障网络性能,7.1.2基于honeypot的蠕虫检测,Honeypot是一种用来收集入侵行为信息并学习入侵过程的工具。由于Honeypot没有向外界提供真正有价值的服务，因此所有进出Honeypot的数据均被视为可疑数据，这样就大大减少了所需要分析的数据量。剑桥大学的Kreibich等人提出使用Honeypot来自动提取蠕虫的特征，然后将这些特征加入到现有的IDS特征库。他们将该系统称为Honeycomb。其具体做法是:首先对进入Honeycomb的数据包进行协议解析；然后提取应用层数据，利用后缀树算法提取出最长的相同子串；最后将这些子串作为蠕虫的特征加入到IDS的特征库中。采用这种方法可以极大地减少人工操作，并且可以缩短蠕虫发生到特征提取之间的时间，有助于在初期就发现蠕虫。,7.1.3基于包匹配的蠕虫检测,Xuan Chen和Heideman建立了一个基于路由器的蠕虫检测系统DEWP来实现蠕虫的检测和过滤。其方法基于这样的观察现象:因为大多数蠕虫都是针对某一个网络服务的漏洞，因此当这种蠕虫爆发时，在路由器的两个方向上均会出现大量目的端口相同的网络流量，并且不同目的地址数量急剧增加，当数量增长到超过一定阈值时就认为发生了蠕虫。DEWP主要包含蠕虫检测模块和包过滤模块。蠕虫检测模块进行目的端口匹配和目的地址计数，如果发现蠕虫，就将可疑蠕虫数据包的目的端口加入包过滤模块中，从而限制其传播,7.1.4基于内容的蠕虫检测,通过仔细分析现有各种蠕虫的特点可以发现，这些蠕虫具有一个明显的共性：蠕虫数据包的内容是相似的。因此一些系统，如Autograph和EarlyBird均利用此性质来检测蠕虫并自动提取特征。其基本方法是:如果在一段时间内出现大量的重复数据包，则认为出现蠕虫，并将重复部分作为蠕虫特征,7.1.5基于传播行为的蠕虫检测,Ellis等人指出蠕虫在传播过程中体现了下列三个特征：1.传播数据的相似性；2.蠕虫传播呈类似树状结构(不考虑重复感染的情况)；3.主机感染蠕虫后其行为发生变化，也称为角色发生变化，即由攻击的受害者变为攻击的发起者。因此可以通过观察网络中是否出现上述模式来判断蠕虫是否发生。与此类似，Staniford等人提出了用活动图的方式来检测蠕虫。其主要缺点在于这种方法需要观察所有的网络活动，因此一般只适合于局部网络。前面介绍的蠕虫抑制模型中，都是在网络中并入专门或者兼职（基于DNS服务的蠕虫传播模型）检测的设备，通过监控网络中的数据特点，看看是否带有蠕虫爆发的特征从而检测出网络中是否有蠕虫的存在，甚至定位到某台主机。如果考虑在网络中的各台主机上就对自身的数据进出进行检测，分析是否带有感染蠕虫的特征，从而判断自身是否已经被感染，进而找出可疑进程作为进一步的处理。,7.1.6基于源头安全的蠕虫抑制模型,在蠕虫抑制模型中，都是在网络中并入专门或者兼职（基于DNS服务的蠕虫传播模型）检测的设备，通过监控网络中的数据特点，看看是否带有蠕虫爆发的特征从而检测出网络中是否有蠕虫的存在，甚至定位到某台主机。如果考虑在网络中的各台主机上就对自身的数据进出进行检测，分析是否带有感染蠕虫的特征，从而判断自身是否已经被感染，进而找出可疑进程作为进一步的处理。这就是基于终端安全的蠕虫抑制模型。整个模型分为三个模块：中心控制模块，蠕虫检测模块和蠕虫定位模块。,7.2木马的检测与防治,7.2.1木马的检测技术1静态检测方法2 动态检测方法7.2.2木马的清除,7.2.1木马的检测技术(静态),对于静态检测方式，根据采用的工具不同可分为：基于杀毒软件的方式和专门的木马检测方式。杀毒软件的检测方法为：把木马作为病毒来检测，首先对大量的木马病毒文件进行格式分析（一般均为PE格式），在文件的代码段中找出一串特征字符串作为木马病毒的特征，建立特征库。然后，对磁盘文件、传入系统的比特串进行扫描匹配，如发现有字符串与木马病毒特征匹配就认为发现了木马病毒,7.2.1木马的检测技术(动态),动态检测的基本思想：1）监视对注册表操作和文件访问检测木马注册表是木马进行隐蔽启动的主要工具，是木马进行系统配置修改及其它恶意功能的操作重要对象之一，被木马用于保存数据和隐蔽运行形式。系统文件也是木马进行隐蔽启动和自身文件隐蔽的重要利用对象。系统目录是木马进行自身文件隐蔽的重要地方。根据系统的服务和应用需求，监控和保护注册表中木马能用于隐蔽运行、隐蔽启动及系统安全配置的各项。监控程序对系统文件的访问。对这些对象访问的可疑操作行为和可疑操作企图就是进行分析检测木马的依据。2）从运行行为和通信行为检测木马木马植入被攻击的目标系统后，为了能够完成其恶意操作目的，必须有一定启动方式、在系统中需要一定的运行形式。木马为了与控制端（攻击者）进行通信，一般需要有一个通信形式。木马为了掩盖其目的和行为，必需进行运行、通信、启动的隐蔽。而木马的运行、通信、启动的隐蔽行为是正常的应用程序极少采用。通过检测这些运行、通信、启动的隐蔽行为进而发现隐蔽在系统中的木马。3）监视特定的API调用，发现木马的隐蔽和恶意操作行为,7.3网络病毒的清除(通用),网络病毒主要是指主要通过网络传染的病毒，网络指的是传染渠道，就病毒本身而言，可能包括文件型病毒、引导型病毒等多种病毒。所以这里说的清除方法是针对网络，主要是局域网这一特殊传染环境的各种针对性措施：立即使用BROADCAST等命令，通知所有用户退网，对比文件服务器。用带有写保护的“干净”系统盘启动系统管理员工作站，并立即清除本机病毒。用带有写保护的“干净”的系统盘启动文件服务器，系统管理员登录后，使用DISABLE LOGIN等命令禁止其他用户登录。将文件服务器的硬盘中的资料备份到干净的软盘上。但千万不可执行硬盘上的安装程序，也千万不要往硬盘在中复制文件，以免破坏病毒搞坏的硬盘数据。用病毒防治软件扫描服务器上的所有卷的文件，恢复或删除被病毒感染的文件，重新安装被删除文件。用病毒防治软件扫描并清除所有可能染上病毒的软盘或备份文件中的病毒。用病毒防治软件扫描并清除所有的有盘工作站应硬盘上的病毒。在确信病毒已经彻底清除后，重新启动网络和工作站。如有异常现象，请网络安全与病毒防治专家来处理。,7.3网络病毒的清除(蠕虫),（一）其中检测服务器（IDS）：定期生成染毒计算机IP地址列表。（二）修改过的DNS服务器：获取染毒计算机IP地址列表，过滤染毒计算机IP（三）地址产生的DNS请求，将染毒计算机导向警示服务器。（四）警示服务器（Warning Information Server）：提供染毒告警信息，提供补丁程序、杀毒工具下载，收集用户相关信息。,7.4网络环境中的病毒免疫策略,7.4.1人工免疫策略7.4.2网络环境中的免疫策略7.4.3免疫策略的局限,7.4.1人工免疫策略,疫苗检测器、记忆检测器和成熟检测器。疫苗检测器存储的是人类已经研究出相应对抗策略的网络病毒特征及其疫苗，用来防御已被人类掌控的病毒攻击；记忆检测器存储的是己被确认的网络病毒特征信息，用来检测己爆发的网络病毒；成熟检测器存储的是类似网络病毒特征的信息，用来检测第一次攻击网络的病毒。它们先分工完成各自的检测任务后共同协作防御尽可能多的网络病毒攻击。,7.4.2网络环境中的免疫策略,免疫策略可以分为静态免疫策略和动态免疫策略。静态免疫策略是指将疫苗一次性注入到指定节点中使其成为免疫节点，疫苗不在节点间进行传播；主要的静态免疫策略包括随机免疫策略、特定点免疫策略和相识点免疫策略。动态免疫策略是指将疫苗注入到选定的节点后，被免疫的节点向外传播疫苗从而使其它节点也被免疫，整个免疫过程实际上就是疫苗的传播过程。,两阶段动态免疫策略（Two-phase Strategy,TPS）,将疫苗的传播分为两个阶段，第一阶段疫苗沿着网络节点形成的路径从低度结点向高度结点传播，实现了对高度节点的优先保护；第二阶段疫苗从高度结点向低度结点传播，实现了对低度节点的保护。由于每一个阶段疫苗的传播都是单向的，有效避免了双向传播和循环传播，从而降低了网络的流量,7.4.3免疫策略的局限,针对传统方法的不足，将仿生技术应用到系统中，提出了一个病毒免疫方法。本节介绍了人工免疫系统的基本组成与作用机制。对与传统的病毒防治主要关注用户个体，无法对整个网络进行有效的保护，因而也无法对病毒传播所引发的DDoS攻击做出有效的防御的问题。介绍了网络环境中的病毒免疫概念，并详细介绍了两阶段动态免疫策略。并分析了该策略的免疫覆盖情况、免疫的速度和免疫的代价。把生物学的原理应用于计算机病毒，是一个新的课题。病毒免疫系统的研究，对计算机系统以及网络信息安全也具有深远的意义。对网络环境中不同的病毒传播模型，免疫策略也不尽相同，考虑网络环境中的免疫策略才能更好的控制病毒的传播。,7.5网络病毒的网络隔离,1 隔离技术的发展;2 基于连接类型的隔离;3 确定传播源的范围;4 确定接收点的范围;5 基于类型的隔离墙建立.,7.5.1隔离背景,利用隔离措施切断病毒的传播是生物病毒防治的一个基本方法，早期的比较系统的隔离理论由M.Bellmore等人在1969年提出，本节提出的隔离墙主要是切断结点之间的物理接触，结点间的连接是单一的，物理隔离是直观可行的，也就是现在的物理隔离。1975年,N.J.T.Bailey 将生物的隔离定义为两元组的集合5，这些两元组也就是病毒传播的边，文章给出了生物隔离的理论基础，也为后来的生物流行病隔离奠定了理论基础。但这种生物隔离理论没有预见到现在庞杂的国际互连网（Internet）中包含种类如此众多的动态连接，且这些连接都是逻辑的、抽象的。,7.5.1 网络隔离技术的发展历程,网络隔离，英文名为Network Isolation，主要是指把两个或两个以上可路由的网络（如：TCP/IP）通过不可路由的协议（如：IPX/SPX、NetBEUI等）进行数据交换而达到隔离目的。第一代隔离技术完全的隔离 第二代隔离技术硬件卡隔离 第三代隔离技术数据转播隔离 第四代隔离技术空气开关隔离 第五代隔离技术安全通道隔离。,已有隔离的技术,Programmable disrupt of multicast packets for secure networks（安全网络中多播数据包的可编程中断隔离）美国 专利号 5539373Hub-embedded system for automated network fault detection and isolation（网络缺陷的自动探测和隔离的Hub嵌入系统）美国 专利号6079034Data processing system and method including a network access connector for limiting access to the network（网络连接器限制网络访问连接的数据处理方法）美国 专利号6754826Interface device with network isolation（网络隔离的接口装置）美国 专利号7016358 Network abstraction and isolation layer for masquerading machine identity of a computer美国 专利号20050108407 The secure isolation gap中国 专利号CN2588677基于数据交换检测的物理隔离网络安全控制器中国 专利号 CN1421794 物理隔离控制开关中国 专利号 CN1464403,7.5.1.3 当前网络隔离的困境,总结现有的网络隔离研究和技术，无论是物理的、逻辑的还是两者的混合方法，他们的隔离都是针对保护特定的子网，属访问控制的策略，隔离针对的是特定的IP地址，被隔离的IP或被保护的IP是相对固定不变的，所以隔离相对容易。本章把它们归类为基于IP地址的隔离IPBI（IP-based isolation），依据隔离的范围不同把它们分为两类：一类是排他性隔离Exclusive IP based Isolation记为EIPBI，其主要思路是除了被认为是安全的结点外，其他均被认为不安全的结点而被排除或隔离、不得访问子网，一些安全性要求较高的系统或单位的内部网采用的就是这种隔离；另一类是选择性隔离Selective IP based Isolation记为SIPBI，其思路是选择认为不安全的结点隔离，其他均被认为是安全的可以访问子网，一些安全性要求不太高的系统或公开的网站采用的是SIPBI。很显然SIPBI对网络流量的影响减少了，但安全性降低了。值的注意的是无论EIPBI还是SIPBI，它们采取的隔离措施都是彻底切断被隔离结点间的连接，而不在乎这些连接的类型。,与这些来自具有固定IP的威胁不同，决大部分的网络病毒并不是来自固定的IP，并且它们感染的目标也不是固定的。一个非常值得信任的IP 结点也会成为病毒传播的媒介。第二,现在的Internet是一个庞大而复杂的网络系统，其上运行着各种不同的网络应用平台（或称为服务），而绝大部分的网络病毒也是利用这些具体的网络应用平台来传播，也就是说病毒借助的是IP之上的某一类具体的应用连接，他们是逻辑的、抽象的，一台连接在Internet上的计算机可能包含有许多种应用连接，如图1。只要切断被隔离结点间病毒所借助的连接类型，也就阻断了病毒的传播，而此时被隔离的结点间的其他连接还可以继续传输数据，这也就是本章要提出的应用类型的隔离Type Based Isolation(TBI)，显然TBI对病毒的传播隔离要比特定个体与个体的间的隔离复杂，但它对网络的影响要比IPBI 小得多。,7.5.3本节隔离的思路,7.5.3本节隔离的思路,7.5.5隔离的实现,1)确定隔离的区域2)建立隔离墙3)隔离的效果分析,7.5.1当前隔离的困境,当前计算机网络的隔离都是基于IP地址的隔离IPBI（IP-based isolation）,依据隔离的范围不同把它们分为两类：一类是排他性隔离Exclusive IP based Isolation记为EIPBI；另一类是选择性隔离Selective IP based Isolation记为SIPBI，其思路是选择认为不安全的结点隔离，其他均被认为是安全的可以访问子网，一些安全性要求不太高的系统或公开的网站采用的是SIPBI。无论EIPBI还是SIPBI，它们采取的隔离措施都是彻底切断被隔离结点间的连接，而不在乎这些连接的类型。,7.5.2基于连接类型的隔离(TBI),只要切断被隔离结点间病毒所借助的连接类型，也就阻断了病毒的传播，而此时被隔离的结点间的其他连接还可以继续传输数据，显然TBI对病毒的传播隔离要比特定个体与个体的间的隔离复杂，但它对网络的影响要比IPBI 小得多,如图:,图7.5 网络连接构成,7.5.2隔离形式定义,7.5.3确定传播源,病毒疫区的确定有不少办法，直接的办法是当发现网络中的结点感染某病毒后，尽快提取病毒的特征码，网络内所有计算机尽快查杀该病毒（一般来讲，提取新病毒的特征码需要时间，此时病毒可能已开始蔓延）；另外也可以依据收集来的网络连接数据，通过建模计算来确定病毒的疫区。后者对网络的影响小，但需要建立相对复杂的算法。,7.5.4确定易感染对象,EIPBI策略:疫区外的结点除被选择为安全的结点集C外均被认为是易感结点;SIPBI策略:疫区外与疫区内有连接的结点被定义为易感结点,显然S2要比S1小的多;TBI策略：将与被感染结点产生连接的并且连接类型符合病毒传播类型的结点定义为易感结点.,7.5.5建立隔离墙,7.5.5隔离对网络的影响,隔离占整个连接中的比重:,7.5.6隔离技术的发展方向,软件隔离逻辑类型的隔离动态的隔离,