《基于NIDS网络侧木马检测技术》由会员分享,可在线阅读,更多相关《基于NIDS网络侧木马检测技术(6页珍藏版)》请在金锄头文库上搜索。
1、前言近期,一项借助搜索引擎页面,直接传播木马的新型挂马技术,在全球范围内首次出现。受微软MPEG-2视频0day漏洞影响,微软和中国电信合作的114搜索首当其冲,黑客将大量木马直接插入在搜索结果页面,悄然大肆传播。危害同时波及内嵌114搜索框的互联星空、等众多联盟网站。2009年7月对于互联网来说也许是黑色的,2009年上半年的互联网更是满目疮痍。以木马为代表的应用威胁愈演愈烈飞速发展的互联网加速了企业信息化建设进程,越来越多的企业开始将其业务系统移植到开放的互联网平台上来。伴随着营销理念和商业模式的转变,来自互联网的安全威胁也在逐渐凸显变化,常见的安全威胁来源,开始由传统的网络层和系统层,转
2、向以恶意代码为代表的应用层。据业内安全机构研究表明,截至今年7月,国内挂马网页累计高达2.9亿个,共有11.2亿人次网民遭木马攻击,平均每天有622万余人次网民访问挂马网站,其中大型网站、流行软件被挂马的有35万个,比去年同期有大幅度增长。通过看似正常的互联网站点向用户传播木马等恶意程序,是一种极为隐蔽的攻击方法,很少有用户是因为了解自身操作系统、应用服务的脆弱性,而发现遭受攻击的。因此,在互联网上大量投放利用客户端漏洞的恶意代码,再借助用户对互联网站点的盲目信任,就能够很轻松地诱骗客户被动下载万恶的木马程序。当然,更多时候,首先植入用户主机的可能是一个下载器,它会自动连接远端的木马养殖场,下
3、载更多恶意程序到本地执行,从而使得木马控制者能够获得某些敏感的数据,或通过渗透,最终获取用户主机的控制权限。图1 网页挂马威胁扩散示意图木马检测的常见方法分析一次完整的网页挂马攻击过程,可以看到攻击者能够在整条攻击路径的多个环节介入,制造虚假的数据和恶意的流量,正是因为在多个防护层面缺少有效的安全监控机制,才使得攻击最后能够得逞。为了有效监测并抑制木马等恶意程序的传播和扩散,至少可以从以下三个层面考虑,加以监控,包括:针对目标Web站点的安全评估、网络侧恶意流量检测,以及针对客户端主机的脆弱性检查。图2 常见的木马检测方法相比其它两种检测方式,网络侧恶意流量检测方案能够为企业提供实时的风险感知
4、能力,具备更低的部署成本,和更大的防护区域,该方案可在现有成熟的NIDS技术和产品进一步发展形成。对网络中传输的各种流量进行分析,从中发现违反企业安全策略的行为,这是NIDS的核心功能。从技术上,入侵检测技术大体分为两类:一种基于特征标识(signature-based),另一种基于异常行为(anomaly-based)。在面向以木马为代表的新型应用层攻击时,可采用的检测技术则主要包括以下三种:基于协议分析的特征检测、基于行为分析的异常检测,以及基于互联网安全信誉服务的恶意流量检测。基于协议分析的特征检测技术特征检测是NIDS应用最为成熟的一类技术,能够准确识别各种已知的攻击行为,并出示详尽的
5、分析报告。该项技术的基本思路是:首先定义异常流量的事件特征(signature),如:带有非法TCP标志联合物的数据包、数据负载中的DNS缓冲区溢出企图、含有特殊病毒信息的电子邮件等,再将收集到的数据和已有的攻击特征库进行比较,从而发现违反企业安全策略的行为。该过程可以很简单,通过字符串匹配寻找一个简单的指令;也可以很复杂,使用正则表达式来描述安全状态的变化。特征检测技术的核心在于建立和维护一个知识库,涉及的特征包括:简单的数据包头域信息,高度复杂的连接状态跟踪,以及可扩展的协议分析。一个经典的特征定义:明显违背RFC793规定的TCP标准,设置了SYN和FIN标记的TCP数据包。这种数据包被
6、许多入侵软件采用,向防火墙、路由器以及IDS发起攻击。为了规避NIDS的检测,攻击者往往会将恶意流量进行分片、压缩、编码等各种处理。此时,传统的特征检测技术,遇到了一定的技术瓶颈,需要引入智能协议识别和处理技术。协议分析是在对网络数据流进行重组的基础上,深入分析网络报文的协议特征,发现其所在协议,然后递交给相应的协议分析引擎进行处理,对相关字段进行规则检测,实现4-7层深度协议解码。只有准确理解事物的本质,才能对症下药,木马检测亦是如此。通过融合端口分析、协议特征判断、行为分析等技术,借助动态升级的木马特征库,先进的NIDS能够准确检测出运行在任意端口的木马,以及运用Smart Tunnel技
7、术的其它恶意程序。构建和维护一套可用的攻击特征库,需要花费大量的精力,面对浩如烟海、种类繁多的攻击手段,特征检测模型只能发挥有限的效能,要更好地检测出未知的攻击,还要使用到异常检测技术。基于行为分析的异常检测技术异常检测技术通常先构建一个正常的用户行为集合,再比较被监测用户的实际行为模式,和正常模式之间的偏离程度,来判定用户行为的变化,最终确定是否属于入侵。异常检测技术不需要过多依赖系统缺陷的相关知识,具有较强的适应性。无论攻击者如何变换攻击策略,通过检测行为模式之间的差异来判定是否异常,从而检测出未知的,甚至更为复杂的攻击。异常检测技术主要用到模式比较和聚类两类算法,本文主要介绍模式比较算法
8、在NIDS木马检测过程中的应用。在模式比较算法中,首先通过关联规则和序列规则建立正常的行为模式,然后通过行为比较判定攻击。关联规则挖掘是数据挖掘最为广泛应用的技术之一,也是最早用于入侵检测的技术。关联规则从用户定义的支持度和可信度两个维度出发,设定用户合法行为的阈值,通过和用户实际行为的比较来发现攻击。同时,关联规则还会进一步分析一种行为与其它行为之间的相互关联性或相互依靠性,如从被挂马页面下载木马服务端程序的同时,接受远程客户端程序控制的可能性。序列分析和关联分析类似,其目的也是为了挖掘出数据之间的关系,不同的是,序列规则增加了时间的概念,在检测分布式攻击和插入噪声的攻击时,这种方法比较有效
9、。下文将结合经常被僵尸网络(Botnet)利用的一种蠕虫(W32/IRCBot-TO)的特征和行为分析,介绍网络侧NIDS检测方法。僵尸网络是指采用一种或多种传播手段,将大量主机感染僵尸程序(bot程序),从而在控制者和被感染主机之间所形成的一个一对多控制的网络。僵尸网络是一种恶意行为,拥有这些Botnet的人极不愿意让其他人登录到他的服务器中去,同时也为了防止其他黑客夺取其Botnet,他们会有意地隐藏服务器的基本信息,如连入的用户数、可见的用户数、服务器内所建立的频道等,这些信息本来是需要公布给聊天者的,现在却被攻击者有意隐藏了。但是,由于加入到Botnet服务器中的所谓用户nicknam
10、e是由bot程序自动生成,所以这些bot的nickname 应该符合一定的生成算法,也就具有了某些规律,通常有IP地址表示法和系统表示法两种命名规范。n IP表示法:将被感染了bot程序的主机(IP)归属国家的三位缩写放在开头,然后在后面加入指定长度的随机数字,如USA|8028032,CHA|8920340;n 系统表示法:将被感染bot程序的主机的系统类型作为开始的字母,然后在后面加上指定长度的随机数字,如xp|8034,2000|80956这些nickname的规律性和正常IRC Server中的nickname的随意性是不相同的,其命名特征可以从得到的bot源码中发现并总结出来。因为B
11、otnet中感染bot程序的主机并不知道自己被控制,所以在没有Botnet控制者指令的条件下是不会有所行为的,更形象地讲他们的行为更像一个个僵尸。而Botnet在传播和准备发起攻击之前,都会有一些异常的行为,如发送大量的DNS查询(Botnet倾向于使用动态DNS定位C&C服务器,提高系统的健壮性和可用性)、发送大量的连接请求等。一个先进的NIDS系统在这个时候应该能够及时发觉此类异常行为。W32/IRCBot-TO是一种后门蠕虫病毒,能允许远程的入侵者获取访问权限进而控制整个计算机,感染主机通常会成为Botnet中的受害者。以下是特定环境下,蜜网(Honeynet)捕获的异常流量交互过程:6
12、 TCP 2971 - 445 SYN, SYN,ACK13 - SMB Negotiate Protocol Request14 SMB Session Setup AndX Request, NTLMSSP_AUTH, User: 18 SMB Tree Connect AndX Request, Path: IPC$20 SMB NT Create AndX Request, Path: rowser22 DCERPC Bind: call_id: 0 UUID: SRVSVC24 SMB Read AndX Request, FID: 0x4000, 4292 bytes at offset 026 SRVSVC NetrpPathCanonicalize request28 SMB Read AndX Request, FID: 0x4000, 4292 bytes at offset 0Initiating Egg download30 TCP 1028 - 8295 SYN, SYNACK34-170 114572 byte egg download .Connecting to IRC server /
