淺析如何利用網(wǎng)絡(luò)回溯分析技術(shù)檢測蠕蟲病毒

吉林省統(tǒng)計局數(shù)據(jù)管理中心 張 楠 蘇艷春

淺析如何利用網(wǎng)絡(luò)回溯分析技術(shù)檢測蠕蟲病毒

吉林省統(tǒng)計局數(shù)據(jù)管理中心 張 楠 蘇艷春

隨著網(wǎng)絡(luò)規(guī)模的不斷壯大,安全問題已經(jīng)成為網(wǎng)絡(luò)中的主要因素,如何有效的了解并解決在網(wǎng)絡(luò)中出現(xiàn)的狀況,網(wǎng)絡(luò)回溯分析也許是解決的辦法之一。

網(wǎng)絡(luò)回溯分析;蠕蟲

1.引言

信息技術(shù)正在無時不刻地改變著人們的生產(chǎn)與生活,其極大物聯(lián)網(wǎng)技術(shù)、云數(shù)據(jù)、智能移動終端、大數(shù)據(jù)等相關(guān)行業(yè)的發(fā)展,使其成為一個新的經(jīng)濟增長點,便利的生產(chǎn)生活環(huán)境增長的同時,也促使著企業(yè)面臨著更大的安全問題與隱患。如何保證企業(yè)的健康發(fā)展,使其重要的應(yīng)用業(yè)務(wù)得以正常運轉(zhuǎn),保護好客戶的重要數(shù)據(jù)不被損害。如何充分了解企業(yè)業(yè)務(wù)網(wǎng)絡(luò)中重要流量參數(shù)的運行特點,完成對企業(yè)業(yè)務(wù)網(wǎng)絡(luò)健康狀況的分析,抓住重要流量參數(shù)的異常變化趨勢,己成為擺在企業(yè)安全管理者面前的一個無法回避的問題。網(wǎng)絡(luò)回溯分析也許是解決這一難題的手段之一。

2.網(wǎng)絡(luò)回溯分析技術(shù)

網(wǎng)絡(luò)回溯分析技術(shù)是通過網(wǎng)絡(luò)底層通訊信息的嗅探及存儲,進行記錄、檢查、分析及統(tǒng)計[1],是對數(shù)據(jù)包、TCP同步、網(wǎng)絡(luò)會話信息進行同步記錄、鏡像存儲、挖掘分析的過程,協(xié)助用戶了解本網(wǎng)絡(luò)的健康態(tài)勢,匯總網(wǎng)絡(luò)運行的統(tǒng)計報表,出具網(wǎng)絡(luò)分析依據(jù)[2]。

傳統(tǒng)的分析技術(shù)過多依賴安全規(guī)則庫的檢測,缺乏對異常通訊行為征兆的主動分析能力和預(yù)警能力?；贗P、端口進行攔截,缺乏對內(nèi)容的深度分析,基于代碼指紋進行檢測,缺乏動態(tài)行為深度分析,無法識別未知惡意代碼,基于攻擊特征檢測,誤報率高,容易被繞過,基于IP、域名、內(nèi)容特征檢測,難以對抗結(jié)合社交工程的定向攻擊?？傮w上分析就是缺乏對未知攻擊的檢測能力和缺乏對流量的深度分析能力。

網(wǎng)絡(luò)回溯分析技術(shù)就是對企業(yè)用戶網(wǎng)絡(luò)中的流量進行深度的剖析,在嚴重的安全事件未發(fā)生的時候起到對異常征兆的預(yù)警和對風險事件的提前規(guī)避;在網(wǎng)絡(luò)安全事件發(fā)生時更夠做到及時發(fā)現(xiàn)和快速準確的定位;網(wǎng)絡(luò)安全事件發(fā)生后還可以做到分析取證分析、追根溯源,及時有效的指導(dǎo)管理員調(diào)整企業(yè)網(wǎng)絡(luò)中的相關(guān)策略。

3.網(wǎng)絡(luò)回溯分析系統(tǒng)的作用

網(wǎng)絡(luò)回溯分析系統(tǒng)的核心作用就是使得企業(yè)管理員充分了解本單位網(wǎng)絡(luò)中的數(shù)據(jù)流量情況、重要業(yè)務(wù)應(yīng)用系統(tǒng)運行規(guī)律及企業(yè)中各個用戶網(wǎng)絡(luò)行為;從而發(fā)現(xiàn)企業(yè)網(wǎng)絡(luò)中的安全隱患和安全事件突發(fā)的征兆,及企業(yè)重要應(yīng)用的異常通訊行為特征;最終能夠?qū)崿F(xiàn)歷史數(shù)據(jù)的回溯分析和對安全事件的數(shù)字取證提供有效的法律依據(jù)。

網(wǎng)絡(luò)回溯分析系統(tǒng)在應(yīng)急方面的作用是能夠提供了透視網(wǎng)絡(luò)行為和事件追溯的重要手段;及時的發(fā)現(xiàn)并追蹤定位可疑通信特征如:流量突發(fā)、蠕蟲傳播、木馬與僵尸網(wǎng)絡(luò)反彈上線、DOS攻擊、滲透攻擊等非法行為;可以對各類安全設(shè)備警報事件進行分析和驗證,并提取出網(wǎng)絡(luò)中存在的惡意樣本,對特定網(wǎng)絡(luò)行為實施特征分析。

網(wǎng)絡(luò)回溯分析系統(tǒng)由軟件和硬件組成。軟件的主要功能是可以按照不同的企業(yè)用戶需求來采集數(shù)據(jù)包,其部署特點十分靈活與機動,非常適用于企業(yè)中持續(xù)性事件取證與分析。硬件主要可以做到7X24小時數(shù)據(jù)包的采集與分析,在企業(yè)網(wǎng)絡(luò)中的關(guān)鍵節(jié)點做到針對性的部署,能夠?qū)崿F(xiàn)實時的分析和預(yù)警,使歷史數(shù)據(jù)有效的回溯。

4.網(wǎng)絡(luò)回溯分析系統(tǒng)蠕蟲監(jiān)測分析方法

蠕蟲是網(wǎng)絡(luò)中比較常見的病毒,它可以不斷地進行自我復(fù)制,并在感染的網(wǎng)絡(luò)中肆虐的傳播,主要的蠕蟲病毒有Loveletter、CodeRed、Nimda、MSN/Worm。MM。本文以蠕蟲病毒為例,淺析蠕蟲病毒的回溯分析法。

首先蠕蟲病毒會在企業(yè)網(wǎng)絡(luò)的傳輸層發(fā)送大量的TCP SYN包,并且不斷地掃描其所在的網(wǎng)絡(luò);之后在企業(yè)網(wǎng)絡(luò)的網(wǎng)絡(luò)層中蠕蟲病毒會同大量的企業(yè)主機發(fā)起會話,這些會話大多數(shù)都是發(fā)包的特點,并且每個會話的流量都很少;在企業(yè)網(wǎng)絡(luò)的會話層中會出現(xiàn)很對的會話連接,這些會話連接大多是發(fā)出的TCP SYN包,并且大部分會話都沒有得到響應(yīng)或者被拒絕,總體流量不一定很大,但大多數(shù)的發(fā)包都沒有回包,而且發(fā)包的數(shù)量遠遠大于回包的數(shù)量。企業(yè)網(wǎng)絡(luò)中一旦有主機被病毒成功感染,蠕蟲就會再掃描企業(yè)網(wǎng)絡(luò),再次發(fā)送大量的會話包,從而進一步感染更多的企業(yè)用戶。蠕蟲病毒的行為特點,如圖1所示。

圖1 蠕蟲病毒行為特點圖

在回溯分析系統(tǒng)監(jiān)控的時間節(jié)點里,特定的兩個時間段上會話數(shù)體現(xiàn)出明顯的增加趨勢,和正常的業(yè)務(wù)相比起會話數(shù)處于井噴的狀態(tài),但是實際的工作環(huán)境中企業(yè)的業(yè)務(wù)并沒有特殊的改變,這樣有悖常理的情況出現(xiàn)應(yīng)當值得企業(yè)管理員對其進行持續(xù)的關(guān)注。如圖2所示。

圖2 大量會話異常圖

圖3 數(shù)據(jù)包異常圖

圖4 數(shù)據(jù)包分析圖

經(jīng)過進一步的分析,在發(fā)包數(shù)量比較大的網(wǎng)絡(luò)IP中,他們所發(fā)出大量的數(shù)據(jù)包里,平均每兩個包里就會出現(xiàn)一個同步包。如圖3所示。

在發(fā)送大量數(shù)據(jù)包的IP地址中任意選取一個主機進行分析,在極短的時間內(nèi),向多個IP地址的445端口發(fā)送了大量的數(shù)據(jù)包,并且發(fā)送的數(shù)據(jù)包的數(shù)量是相等的,在一些關(guān)鍵的參數(shù)上體現(xiàn)出來的也是等同的信息。如圖4所示。

以上種種跡象表明,在企業(yè)網(wǎng)絡(luò)中的這臺主機已經(jīng)被蠕蟲病毒成功的入侵,應(yīng)當迅速定位并對其進行查殺。

通過對企業(yè)網(wǎng)絡(luò)中異常流量的分析,找到了產(chǎn)生問題的原因所在,通過對異常流量中數(shù)據(jù)包的解讀,了解最細微的網(wǎng)絡(luò)動作,將企業(yè)網(wǎng)絡(luò)不可見的"黑盒"變的清晰透明,為企業(yè)的安全整改提供了有利的依據(jù),在企業(yè)有針對性的加強安全措施同時,更好的提供應(yīng)用服務(wù),并保證用戶的數(shù)據(jù)安全。

5.結(jié)束語

如何清晰的掌控網(wǎng)絡(luò)中的狀況一直困擾著所有的管理者,本文也只從網(wǎng)絡(luò)回溯分析這一手段入手,提出了基本的技術(shù)理論和簡便的檢測手段,但單一的手段始終無法保障企業(yè)網(wǎng)絡(luò)的安全運行,其他安全手段的輔助也是對管理者工作的有效補充。

[1]李明。科來網(wǎng)絡(luò)回溯分析系統(tǒng)4_0_正式發(fā)布[J]。網(wǎng)絡(luò)安全技木與應(yīng)用,2012.12.

[2]張楠。某部門網(wǎng)絡(luò)安全管理方案的設(shè)計與實施[D]。長春工業(yè)大學,2016.