《基于网络流和包的病毒检测》由会员分享,可在线阅读,更多相关《基于网络流和包的病毒检测(29页珍藏版)》请在金锄头文库上搜索。
1、基于网络流和包的病毒检测Stillwatersrundeep.流静水深流静水深,人静心深人静心深Wherethereislife,thereishope。有生命必有希望。有生命必有希望前言蠕虫和其他网络病毒的日益蔓延和流行,VXER对黑客技术的利用日趋成熟,网络安全技术和反病毒技术的融合趋势日趋明显。开发者希望扩展firewall、IDS和GAP产品的反病毒能力,与传统的反病毒厂商的文件级别的检测技术结合是一个解决思路,但也面临一些问题。本专题试图探讨,网络安全技术与反病毒技术的一个结合点基于流和包的病毒检测。中国安天实验室中国安天实验室一、两种检测粒度的比较snort中及其粗糙的反病毒规则作
2、为我们今天批判的靶子最新的snort在其virus.rules中,用了多达24条规则来检测名为NewApt的蠕虫,占了全部VX规则的28%。中国安天实验室中国安天实验室粗糙的文件名检测法content: filename=THEOBBQ.EXE;content: filename=COOLER3.EXE;content: filename=PARTY.EXE;content: filename=HOG.EXE;content: filename=GOAL1.EXE;content: filename=PIRATE.EXE;content: filename=VIDEO.EXE;content:
3、 filename=BABY.EXE; content: filename=COOLER1.EXE;content: filename=BOSS.EXE;content: filename=G-ZILLA.EXE;content: filename=COYPER.EXE;content: filename=GADGET.EXE;content: filename=IRNGLANT.EXE;content: filename=CASPER.EXE;content: filename=FBORFW.EXE;content: filename=SADDAM.EXE;content: filename
4、=BBOY.EXE;content: filename=MONICA.EXE;content: filename=GOAL.EXE;content: filename=PANTHER.EXE;content: filename=CHESTBURST.EXE;content: filename=FARTER.EXE;content: filename=CUPID2.EXE;中国安天实验室中国安天实验室粗检测粒度的表现通过对病毒的分析来看,Worm.NewApt附件文件清单是26个,而不是24个。Rule(s)fromC&D没有错误,但Capture&Decode之外,希望能补充进,Code&Di
5、sassemblers中国安天实验室中国安天实验室附件文件名检测方式弊端对于那些随机选择附件名文件名或者提取本机文件的文件名作为自身名字的蠕虫无能为力。一个同名的正常附件,带来误报造成用户的恐慌。同时,修改文件名对于修改蠕虫是最容易的。中国安天实验室中国安天实验室细粒度检测站在基于文件系统的病毒分析来看,I-worm.NewApt完全可以靠文件体中如下的特征串来检测:|680401000056FF152CC04000568B75106884F7400056E8CC0800005903C650E83B07000083C40C6880F7400056E8B50800005903C650|中国安天实
6、验室中国安天实验室问题(一)网络检测与文件检测的不同蠕虫在网络传输中的形态,不是2进制文件,而是经过编码后的,下面就是病毒特征码所对应的base64编码:GgEAQAAVv8VLMBAAFaLdRBohPdAAFbozAgAAFkDxlDoOwcAAIPEDGiA90AAVui1CAAAWQPGUOgkBwAAoeQBQQBZWUBQVuidCAAAWQPGUGjo90AA/9ej5AFBA同时新的问题产生:|0d0a|如何处理?中国安天实验室中国安天实验室问题(二)特征码质量特征码不能任意选取,而要求能够准确无误报的实现检测。长度要求复杂度要求其他要求中国安天实验室中国安天实验室问题(三)如
7、何面对更多层面的需求IDS的规则问题只是我们问题的出发点。能否实现御毒于内网之外Firewall、Gap能否扩充反病毒能力骨干网络能否建立病毒疫情监控机制,甚至直接切断蠕虫传播中国安天实验室中国安天实验室独立病毒分析的准备工作对于网络安全企业的高手们来说,剖析几个蠕虫,提取特征码,没有问题,但要注意这是系统的工作:建立自己的病毒捕获网络,第一时间获得新病毒样本;建立完善的样本库建立自己的特征码分析体制,保证特征码的科学性,避免漏报和误报的可能。警告:对于firewall或者IDS开发部门来说,维持一个专门的VirusCert小组可能是得不偿失的。中国安天实验室中国安天实验室第二章、结合文件级别
8、反病毒技术反病毒技术是一个积累性技术。有一定难以逾越的基础,因此,结合传统反病毒企业的技术是安全厂商的一种选择。一些二线反病毒厂商也把向其他网络安全安全厂商、其他厂商和服务商和提供AVSDK作为新的热点。另一方面,更多的反病毒厂商正在积极扩展自己的网络安全产品线,从而构筑全面地解决方案。中国安天实验室中国安天实验室传统的反病毒技术说明文件格式识别模块需要格式处理格式处理模块需要预处理预处理模块分类检测引擎YY中国安天实验室中国安天实验室结合传统的反病毒技术传统的反病毒技术是基于文件对象的,适合搭建机遇应用网关服务器的文件系统或者独立构造应用层代理的情况。案例:hotmail的反病毒系统。趋势反
9、病毒网关中国安天实验室中国安天实验室结合传统反病毒技术的优势最好的与应用层网关结合全面、彻底的检测各种类型的已知病毒对包裹格式的良好支持。中国安天实验室中国安天实验室传统反病毒技术的网络级别应用面临的问题必须还原出具体文件导致一系列的问题产生。极大的资源占用,很低的效率。不能处理类似IIS-Worm.CodeRed之类的情况。不能实时地实现网络级别响应处理UDP协议等难以还原到文件、或者还原代价很大的情况能否在流级别直至包级别直接搭建病毒检测体制?中国安天实验室中国安天实验室三、基于流和包的病毒检测从病毒分析技术入手从网络传输形态的角度为了证明该思路是成熟的,我们制作了一个可使用的SDKVir
10、usCatcher。中国安天实验室中国安天实验室流级别和包级别的不同检测层次VirusCatcherSteamVirusCatcherPacketVirusCatcherFile2进制病毒检测模块邮件蠕虫病毒检测模块url检测模块脚本病毒检测模块中国安天实验室中国安天实验室比较包级别检测与文件级别检测(一)扫描对象的传递扫描对象的传递struct se_dataunsigned long src_ip,dst_ip; /源IP、目的IPunsigned short src_port,dst_port;/源端口、目的端口unsigned long protocol; /协议类型(由响应处理模块使
11、用)unsigned char * data; /待扫描数据unsigned long len; /待扫描数据的长度;中国安天实验室中国安天实验室比较包级别检测与文件级别检测(二)处理方式:处理方式:int vise_response(unsigned long vi_id,/病毒编码unsigned long src_ip,/源IPunsigned short src_port, /源端口unsigned long dst_ip, /目的IPunsigned short dst_port, /目的端口unsigned long protocol); /网络协议(具体协议定义,由前端设备制订)
12、中国安天实验室中国安天实验室并非简单的技术叠加包级别检测不是简单的传统病毒特征码库+高速内容匹配算法为什么现有反病毒体系不适合作包级别的检测进一步谈文件级别反病毒软件的检测机理文件类型、预处理、虚拟机、特征码风格|B303B4388103F3B438818CC8B738818CDBB5388139C3B438817411B4|-|B303B4?103F3B4?18CC8B7?18CDBB5?139C3B4?17411B4|中国安天实验室中国安天实验室已经解决的问题高速匹配的问题:2Gbit/S特征码被边界截断的问题:高速预处理问题:更高质量的特征码问题:由于没有文件格式处理和文件预处理模块,误
13、报概率大大增加,对特征码提取质量的要求大大提高。透明处理的问题。中国安天实验室中国安天实验室不能解决的问题编写可靠的变形病毒加密的宏病毒包裹格式中国安天实验室中国安天实验室技术定位结论病毒的可靠处理环节是要在实体系统和文件级别上,这依然是毋庸置疑的。包级别检测不能解决所有病毒问题,其定位不应是替代传统反病毒产品。技术并不因为不完备而无价值,技术的价值在于有否合理应用,解决实际问题。反病毒技术在任何层次上都是不完备技术,聊胜于无。中国安天实验室中国安天实验室技术的应用点Firewall、GAP的反病毒模块更加可靠的IDSWorm规则集独立的骨干网络病毒模块中国安天实验室中国安天实验室实例中国安天实验室中国安天实验室应用目的基于高速的包检测和响应处理的网关/防火墙级别反病毒系统,遏制恶性病毒的网络传播,构建屏障,降低最终用户的压力。在最终用户的安全防范水平和意识的不可确定性的基础上,增加一层确定性更好的网管屏障。基于主干网络的病毒监控。中国安天实验室中国安天实验室相关下载地址还没有上传,感兴趣的兄弟留Mail我发过去。中国安天实验室中国安天实验室谢谢肖新光(江海客)电子邮件:S通讯地址:哈尔滨898邮政信箱邮政编码:150080中国安天实验室中国安天实验室
