您现在的位置是:首页 > IT基础架构 > 网络与安全 >

从甲型H1N1看如何寻求检测思路的突破

2009-08-28 23:07:00作者: 来源:

摘要目前的主要威胁方式从入侵攻击、网络蠕虫转向主要通过网页挂马等方式传播木马,构建地下挂马产业链,窃取机密文件、隐私信息、各种帐号从而谋取暴利,并组建僵尸网络,发动群体攻击,严重威胁着互联网的生存和发展。在甲流肆虐的今天,笔者想谈谈这一事件对于木马检测防范的...

不论是应对H1N1流感病毒还是网络安全中的木马问题,从理论角度来看都是可以用现有的动态安全模型PDR(Protect+Detection+Response)来考虑。

对于流感病毒,经过SARS的教训和经验总结,我们在防御、检测、响应三个层面都已经有了很大的提升。首先,医院的治疗条件在不断提高,中国的第一例HIN1患者成功出院就是证明。其次,在响应层面,对于这种事件从世卫组织到国家的各级政府、卫生防疫部门都建立起了应急响应机制和预案,也没有问题。唯一要提高的是检测速度,但是至少检测体系也初步建立起来,重点是在传播环境去及时布控和发现。

对于木马检测思路的突破,其实也主要体现在以下三个环节:

一是如何在传播链上及时发现木马。

鉴于目前主流的木马传播方式是通过网页挂马模式,有必要对网页挂马的概念做一下阐述。网页挂马,其实并不是真的把木马放到合法网站上,而是在合法网站的网页上嵌入一段隐藏的恶意代码或脚本,当浏览网站的用户在访问网站时,这段代码或脚本在后台被执行,使得用户的计算机在不知不觉中到黑客控制的网站中下载了木马文件,从而被木马控制利用。据调查,2008年在遭受木马攻击的用户中,有53%的是通过网页挂马方式中招,而且这种比例在不断增加。可见,网站在木马传播链中起到非常关键的作用。因此,必须加强对网站的主动监查,一旦发现被挂马,及时采取措施,可以确保木马的危害面减小;同时通过检测挂马可以向上追溯,发现托管木马的恶意网站,及时查封并找到木马上传人员、木马制作人员,通过法律手段来进行管控。

二是如何及时判别新的木马和应对木马变种。

基于特征检测的传统方式由于数量急剧膨胀,必然带来检测效果的滞后性,无法满足当前形势了。如果我们转换一种思路来看木马产生的本原,可能豁然开朗。木马是人用计算机语言来编写的,因此木马无论如何变化不会逃出人已知的范畴。木马要在计算机中运行,执行木马制作者的目的,就会有相应的行为和动作,而这种行为和动作是可以进行总结归纳的,归纳后形成的检测规则就可以来指导木马检测。这和通过一个一个积累特征方式形成特征库的相比完全不在一个数量级。

三是检测支撑平台选择上的思路转变。

医学上对于一种病毒的检测分析往往会采用活体实验的方式,但是不可能在人身体上实验,通常就是选择小白鼠。但是木马不同于生物病毒,对人体没有危害,我们可以通过现在流行的虚拟化技术来模拟实际计算机运行环境,在这个我们称为“沙箱”中来进行木马采样和充分分析,而且即使有危害也不会扩散,很容易恢复。这一点和目前的一些厂商不一样,这些厂商为了拓宽木马的采集,是通过在实际网络计算机上来发现新的样本,似乎有把用户当“小白鼠”之嫌,并有可能获得用户的一些隐私信息,笔者认为有不可取之处。

同样,对于木马的整体防范体系来说,单从木马检测技术层面也不能完全解决,需要配合其它安全产品和技术,并做好组织保障和应急预案。做为信息安全的领航者,启明星辰也有全面的解决思路。


(本文不涉密)
责任编辑:

站点信息

  • 运营主体:中国信息化周报
  • 商务合作:赵瑞华 010-88559646
  • 微信公众号:扫描二维码,关注我们