网络安全应急响应现状问题与解决方案

《网络安全应急响应现状问题与解决方案》由会员分享，可在线阅读，更多相关《网络安全应急响应现状问题与解决方案（10页珍藏版）》请在金锄头文库上搜索。

1、网络安全应急响应现状问题与解决方案作者 2015. 3. 11本文网络安全应急响应现状问题与解决方案与网络安 全应急响应现状问题与思考（作者，2012.9.30）为上下篇，旨 在解决网络安全应急响应现状问题与思考一文所提出的问题， 当发生网络入侵、病毒爆发、现有网络安全防御体系（如防火墙、 入侵检测、入侵防御等）被突破或当机或无异常显示、防毒软件 或被病毒所劫杀或对病毒不作为时，如何阻击入侵、查杀病毒、 恢复系统？事前制定的网络安全应急响应预案总难以有效应对 尚且未知的病毒及网络攻击，匆忙赶赴现场，无奈断网恢复，或 简单备机切换，大多数公司网络安全应急响应现状如此，与黑客 病毒实施的远程入侵控

2、制相比，技术和手段完全处于非对等的劣 势地位，能否改变现状，有何解决方案？网络安全应急响应目前状况和主要问题有以下几点：1、重防轻治，以防代治。目前网络安全产品以安全防御为 主，如防火墙、入侵检测、入侵防御、防毒软件，以及网络细分、 流量监视、流量控制等等，但网络安全应急救治的产品却处于稀 缺或空白的状态。其表现为基于网络安全防御体系的技术水平现 状，系统漏洞随着时间推移陆续显露，新病毒总量每年以超几何 级数增长，黑客及病毒的技术含量不断提高和攻击手段不断翻 新，黑客及病毒突破和破坏现有网络安全防御体系、劫杀和禁用 防毒软件现象屡有发生，特别是爆发的大规模传染性网络病毒对 提供公共服务的机构造

3、成社会公共安全事件时有发生。2、网络安全应急响应尚处于简单低级层次。事前制定的应 急响应预案总难以有效应对尚且未知的病毒及网络攻击，匆忙赶 赴现场，无奈断网恢复，或简单备机切换，大多数公司网络安全 应急响应现状如此，与黑客病毒实施的远程入侵控制相比，技术 和手段完全处于非对等的劣势地位，缺乏一种快速响应、与黑客 病毒决胜于千里之外的能力。3、安全防御与应急救治能力失衡，单纯防御必造成投入边 际收益率递减，投资者裹足不前。“预防为主，防治结合”，这句 话人人耳濡目染，但前半句的正确性和合理性成立是有条件的。 安全防御与应急救治，两者的关系如同医学上疾病防疫与疾病救 治的关系一样，以此类比联想，是

4、否所有疾病都可防疫的呢？突 发急病是找治病的医生，还是找疫防的医生呢？百把元即可治愈 的流感有人肯不计成本的去预防它呢？答案是肯定的：1.可预防 的；2.预防成本小于救治成本，这才是“预防为主，防治结合” 正确性和合理性成立的前提条件。4、进攻与防御，对攻防双方而言，如同矛与盾关系一样， 没有无坚不摧的矛，也没有坚不可摧的盾，两者相生相克，此消 彼长。防御系统和防毒软件处于明处，往往成为攻防实验室网络 攻击秘密武器绝佳的靶子。基于特征码识别和基于行为模式识别 的防毒软件需要从已知病毒提取特征码和从已知病毒学习行为 模式，所以不可能识别具有未知特征码的未来病毒和具有未知行 为模式的未来病毒。由于

5、防御系统和防毒软件在系统防御中所处 位置以及上述原因，决定了率先被突破、被劫杀的正是它们，由 此进入网络安全应急响应的阶段。网络安全应急响应最本质特征就在于应急救治，应急体现在 实时响应，救治体现在具有决胜于千里之外的能力。实际上，难 不在于实时响应，而在于入侵检测、病毒识别。若不能解决入侵 检测、病毒识别问题，就无法阻击入侵、查杀病毒，现场情况不 明，纵有详尽完备的应急响应预案，也只能匆忙赶赴现场，无奈 断网恢复，简单备机切换，而事后取证和补救措施便也成为无的 之失，流于形式，这难以满足网络安全应急响应服务社会化、专 业化发展的要求，更不要说应急响应中心或应急呼叫中心了。怎样识别病毒呢？病毒

6、识别目前主要有病毒特征码识别和 病毒行为模式识别两种方法，历史上先有特征码识别，后有行为 模式识别。问题是，除此两种方法以外，还有其他的方法吗？防 毒软件多年的使用及取得的巨大成就使这个问题似乎无多大意 义。其实不然，“不识庐山真面目，只缘身在此山中”，下面构造 算法阐明此问题。算法I.设当前病毒文件有全集U，经采集病毒样本并提取 特征码和行为模式后构成样本集合S，现有任一文件f,其特征码 和行为模式为a,只有四种可能：l.fGU, aGS,识别正确；2.f任U, a任S，识别正确；3.f任U, aGS，假阳性误报；4.fgU, a任S,假阴性 漏报。此算法即为当前防毒软件所采用的方法，集合S

7、俗称病毒 库。此算法病毒识别率高，但执行效率低。从全集U到集合S， 采集病毒样本并提取特征码和行为模式包含大量工作，样本采集 会有漏项和时间滞后，判断是否aGS耗时费力，集合S需要不断 更新才可识别新病毒，以当下日增数百万新病毒样本计，所有这 些将是非常巨大的工作。对内外网隔离的集团用户，需要下载病 毒库S才可识别病毒，而时间滞后带来可能是灾难性的影响，以 曾经的熊猫烧香病毒和ARP病毒为例，从病毒流行到有效专杀工 具出现个月有余，用户手忙脚乱，充满无助无奈。算法II.设当前主机病毒文件有集合S，有：1.设系统正常 时有全集A，系统异常时有全集B，作差集D=B-A，则有SUD；2. 设系统正常

8、时有集合A，系统异常时有集合B，作差集C=B-A， 作差集C的关联集合D，则有SUD。此算法与算法I相比，与病 毒特征码或行为模式无关，不存在样本采集、特征码和行为模式 提取、病毒库更新下载等问题；集合D是一个小样本集合，可用 文件属性或属性组合条件甄别，所用文件属性包括进程、线程、 端口、文件类型、长度、时间、目录、名字、注册表、服务、驱 动、隐身性、版本号、数字签名、MD5值等。此算法是本文在网 络安全应急响应中采用的方法。根据上述原理，现给出网络安全应急响应终极解决方案- 终极者。一则验证理论的可行性，完善各个细节；二则将理 论转化成工具，用于解决实际问题，否则再好的理论也只是纸上 的理

9、论。下面简要阐述终极者的原理和方法等相关问题。终极者是一款基于Windows操作系统阻击入侵、查杀病 毒的工具软件，旨在用于网络安全应急响应，当发生网络入侵、 病毒爆发、现有网络安全防御体系（如防火墙、入侵检测、入侵 防御等）被突破、防毒软件被病毒所劫杀或对病毒不作为时，阻 击入侵、查杀病毒、恢复系统的工作；改变目前应急响应赶赴现 场，断网恢复，备机切换简单低层次的响应模式，改变与黑客病 毒实施的远程入侵控制相比，技术和手段处于的非对等劣势地位，使之具有可快速响应、决胜于千里之外的能力；填补缺失的 网络安全应急救治环节，与现有的网络安全防御产品形成互补， 构成防治结合完整的网络安全体系；通过快

10、速响应，缩短应急响 应时间，避免安全事态恶化，大幅减少运行维护成本。网络安全 公司以此可将重点服务器应急响应服务扩大至全网段各主机的 应急响应服务，内外网隔离的集团用户以此可就近应急响应自我 救治，不必被动等待那不可预期的反病毒厂商病毒库更新来查杀 病毒。终极者原理和方法也可适用于和移植于其它操作系统。使用终极者，可选择一台主机，将终极者所有程序 拷贝其上，作为网络共享服务器。网络共享服务器除了开放提供 网络共享服务的445端口以外，关闭其余所有端口，以提高网络 共享服务器自身安全性。终极者网络配置示意图如下：共享服务器：开放445端口3.共享连接求助主机2.应急响应：连接指定IP地址和端口1

11、.应急请求：告知IP地址和侦听端口救助主机终极者支持本地连接模式（如上图实线所示），与远程连 接客户端套件配合使用，可支持远程连接模式（如上图虚线所 示）。请求帮助的主机称为求助端，提供帮助的主机称为救助端。 求助端、救助端和共享服务器可以处于同一个内网，也可以不处 于同一个内网。对企业级网络用户，推荐将共享服务器配置在企 业内网，以提高其响应速度和安全性。终极者查找识别病毒的方法不同于特征码识别和行为模 式识别，主要包括系统完整性检查、差异分析法、时序分析法和 数字签名法等方法。系统完整性检查方法认为系统的变化必然表 现出文件和注册表的变化，因此通过前后两个不同时间点或感染 病毒前后所作的由

12、文件和注册表组成的系统“快照”比较，便可 查出系统在这个时段或感染病毒前后的变化。差异分析法从分析 系统的异常入手，各种类型的病毒根据其触发条件、攻击方式、 抗杀手段、传播途径必定会在系统的进程、端口、线程、服务、 驱动、注册表、目录和文件等方面表现出某种异常，从这些异常 便可查找出病毒的“蛛丝马迹”。时序分析法认为病毒是具有时 间属性的，也即病毒各文件之间形成某种时序相关性。根据这种 时序相关性，时序分析法完成“由此及彼、由点到面”的病毒查 寻工作。数字签名法通过验证文件数字签名判断文件的完整性及 签署人的“身份”。Windows操作系统许多文件，如进程、线程、 驱动等，都具有微软的数字签名

13、，而非微软的文件不可能具有微 软的数字签名，因此根据数字签名可以很容易将具有数字签名的 系统文件与疑似病毒文件区分开来。终极者目前有450多条命令，涵盖多方面的功用。为交 流方便，特制作部分录像资料，以可视化的方式演示终极者 的原理方法、相关操作及常用命令组合。这些录像资料包括：1、0.1一请求帮助相关操作示例2、0.2_远程响应相关操作示例3、0.3_基本命令组合查杀病毒示例4、0.4_完整性检查查杀病毒示例一5、0.5-完整性检查查杀病毒示例二6、0.6_远程终端登录操作示例7、1.1一自启动型病毒查杀示例8、2.1_系统服务型病毒查杀示例9、3.1一文件关联型病毒查杀示例10、4.1_映

14、像劫持型病毒查杀示例11、5.1-线程插入型病毒查杀示例12、6.1-系统内核型病毒查杀示例13、7.1_设备驱动型病毒查杀示例14、7.2_CMT.EXE感染型及驱动型病毒查杀示例15、7.3_LINKINFO.DLL感染型及驱动型病毒查杀示例16、8.1_EXPOR.EXE感染型病毒查杀示例17、9.1-脚本型病毒查杀示例其中0.1和0.2示例演示请求帮助和远程响应，0.3示例演 示基本命令组合，多数类型病毒查杀可按此示例命令顺序操作， 0.4和0.5示例演示完整性检查法，0.6示例演示远程终端登录 操作，1.1至9.1示例（6.1示例除外）演示差异分析法，时序分 析法和数字签名法通常与其

15、它方法配合使用，故未作单独录像示 例。对一般用户需了解和掌握的首推完整性检查法，其次为差异 分析法。完整性检查法以掌握0.5示例为先，差异分析法以掌握 0.3示例为先，此两示例展现了终极者的体系结构，命令操 作相对程序化。对于本地维护的用户，不需要了解0.1和0.2示 例，需远程安装软件的用户可能会用到0.6示例的内容。完整性检查法不需要用户具有计算机及网络安全方面相关 知识，操作简单程序化，查杀准确率高且速度快，唯一前提是进 行完整性检查前，要先做一个映像，或称“快照”。完整性检查 法可应用于：1、网络应用服务器。这类服务器安装特定应用程 序，安装配置完成以后，除版本更新升级外，文件极少变动

16、，对 网络用户提供公共服务，是网络安全重点防范对象；2、网络工 作站。对集团网络用户，网络工作站通常运行着完全相同的客户 端程序，因此可将一台安装所有客户端程序工件站的文件映像当 作其他工作站当前文件映像的比较基准，提高疑似病毒文件的甄 别速度和准确率；3、本机。特别是在实战中学习掌握提高查杀 病毒技能技巧，以机试毒，自种自查，查寻确认错判漏判和避免 错判漏判原因方面，完整性检查法的结果将提供一个极好的参 照；4、驱动型和内核型病毒。通常此类型病毒具有隐身特点， 杀毒软件极难处置、甚至无法发现此类型病毒，但完整性检查法 通过一个时间段两“快照”比对，如正常模式与安全模式，或正 常模式与WinPE模式，可轻易发现处置此类型病毒，示例6.1演 示了此方面的运用。除完整性检查法