基于NIDS網(wǎng)絡(luò)側(cè)木馬檢測技術(shù)

1、前言近期，一項(xiàng)借助搜索引擎頁面，直接傳播木馬的新型"掛馬"技術(shù)，在全球范圍內(nèi)首次出現(xiàn)。受微軟"MPEG-2視頻"0day漏洞影響，微軟和中國電信合作的"114搜索"首當(dāng)其沖，黑客將大量木馬直接插入在搜索結(jié)果頁面，悄然大肆傳播。危害同時(shí)波及內(nèi)嵌"114搜索"框的互聯(lián)星空、等眾多聯(lián)盟網(wǎng)站。2009年7月對于互聯(lián)網(wǎng)來說也許是黑色的，2009年上半年的互聯(lián)網(wǎng)更是滿目瘡痍。以木馬為代表的應(yīng)用威脅愈演愈烈飛速發(fā)展的互聯(lián)網(wǎng)加速了企業(yè)信息化建設(shè)進(jìn)程，越來越多的企業(yè)開始將其業(yè)務(wù)系統(tǒng)移植到開放的互聯(lián)網(wǎng)平臺(tái)上來。伴隨著營銷理念和商業(yè)模式

2、的轉(zhuǎn)變，來自互聯(lián)網(wǎng)的安全威脅也在逐漸凸顯變化，常見的安全威脅來源，開始由傳統(tǒng)的網(wǎng)絡(luò)層和系統(tǒng)層，轉(zhuǎn)向以惡意代碼為代表的應(yīng)用層。據(jù)業(yè)內(nèi)安全機(jī)構(gòu)研究表明，截至今年7月，國內(nèi)掛馬網(wǎng)頁累計(jì)高達(dá)2.9億個(gè)，共有11.2億人次網(wǎng)民遭木馬攻擊，平均每天有622萬余人次網(wǎng)民訪問掛馬網(wǎng)站，其中大型網(wǎng)站、流行軟件被掛馬的有35萬個(gè)，比去年同期有大幅度增長。通過看似正常的互聯(lián)網(wǎng)站點(diǎn)向用戶傳播木馬等惡意程序，是一種極為隱蔽的攻擊方法，很少有用戶是因?yàn)榱私庾陨聿僮飨到y(tǒng)、應(yīng)用服務(wù)的脆弱性，而發(fā)現(xiàn)遭受攻擊的。因此，在互聯(lián)網(wǎng)上大量投放利用客戶端漏洞的惡意代碼，再"借助"用戶對互聯(lián)網(wǎng)站點(diǎn)的盲目信任，就能夠很輕

3、松地誘騙客戶被動(dòng)下載萬惡的木馬程序。當(dāng)然，更多時(shí)候，首先植入用戶主機(jī)的可能是一個(gè)下載器，它會(huì)自動(dòng)連接遠(yuǎn)端的"木馬養(yǎng)殖場"，下載更多惡意程序到本地執(zhí)行，從而使得木馬控制者能夠獲得某些敏感的數(shù)據(jù)，或通過滲透，最終獲取用戶主機(jī)的控制權(quán)限。圖1 "網(wǎng)頁掛馬"威脅擴(kuò)散示意圖木馬檢測的常見方法分析一次完整的"網(wǎng)頁掛馬"攻擊過程，可以看到攻擊者能夠在整條攻擊路徑的多個(gè)環(huán)節(jié)介入，制造虛假的數(shù)據(jù)和惡意的流量，正是因?yàn)樵诙鄠€(gè)防護(hù)層面缺少有效的安全監(jiān)控機(jī)制，才使得攻擊最后能夠得逞。為了有效監(jiān)測并抑制木馬等惡意程序的傳播和擴(kuò)散，至少可以從以下三個(gè)層面考慮，加

4、以監(jiān)控，包括：針對目標(biāo)Web站點(diǎn)的安全評估、網(wǎng)絡(luò)側(cè)惡意流量檢測，以及針對客戶端主機(jī)的脆弱性檢查。圖2 常見的木馬檢測方法相比其它兩種檢測方式，網(wǎng)絡(luò)側(cè)惡意流量檢測方案能夠?yàn)槠髽I(yè)提供實(shí)時(shí)的風(fēng)險(xiǎn)感知能力，具備更低的部署成本，和更大的防護(hù)區(qū)域，該方案可在現(xiàn)有成熟的NIDS技術(shù)和產(chǎn)品進(jìn)一步發(fā)展形成。對網(wǎng)絡(luò)中傳輸?shù)母鞣N流量進(jìn)行分析，從中發(fā)現(xiàn)違反企業(yè)安全策略的行為，這是NIDS的核心功能。從技術(shù)上，入侵檢測技術(shù)大體分為兩類：一種基于特征標(biāo)識(shí)（signature-based），另一種基于異常行為（anomaly-based）。在面向以木馬為代表的新型應(yīng)用層攻擊時(shí)，可采用的檢測技術(shù)則主要包括以下三種：基于協(xié)議分

5、析的特征檢測、基于行為分析的異常檢測，以及基于互聯(lián)網(wǎng)安全信譽(yù)服務(wù)的惡意流量檢測?；趨f(xié)議分析的特征檢測技術(shù)特征檢測是NIDS應(yīng)用最為成熟的一類技術(shù)，能夠準(zhǔn)確識(shí)別各種已知的攻擊行為，并出示詳盡的分析報(bào)告。該項(xiàng)技術(shù)的基本思路是：首先定義"異常流量"的事件特征（signature），如：帶有非法TCP標(biāo)志聯(lián)合物的數(shù)據(jù)包、數(shù)據(jù)負(fù)載中的DNS緩沖區(qū)溢出企圖、含有特殊病毒信息的電子郵件等，再將收集到的數(shù)據(jù)和已有的攻擊特征庫進(jìn)行比較，從而發(fā)現(xiàn)違反企業(yè)安全策略的行為。該過程可以很簡單，通過字符串匹配尋找一個(gè)簡單的指令；也可以很復(fù)雜，使用正則表達(dá)式來描述安全狀態(tài)的變化。特征檢測技術(shù)的核心在于

6、建立和維護(hù)一個(gè)知識(shí)庫，涉及的特征包括：簡單的數(shù)據(jù)包頭域信息，高度復(fù)雜的連接狀態(tài)跟蹤，以及可擴(kuò)展的協(xié)議分析。一個(gè)經(jīng)典的特征定義：明顯違背RFC793規(guī)定的TCP標(biāo)準(zhǔn)，設(shè)置了SYN和FIN標(biāo)記的TCP數(shù)據(jù)包。這種數(shù)據(jù)包被許多入侵軟件采用，向防火墻、路由器以及IDS發(fā)起攻擊。為了規(guī)避NIDS的檢測，攻擊者往往會(huì)將惡意流量進(jìn)行分片、壓縮、編碼等各種處理。此時(shí)，傳統(tǒng)的特征檢測技術(shù)，遇到了一定的技術(shù)瓶頸，需要引入智能協(xié)議識(shí)別和處理技術(shù)。協(xié)議分析是在對網(wǎng)絡(luò)數(shù)據(jù)流進(jìn)行重組的基礎(chǔ)上，深入分析網(wǎng)絡(luò)報(bào)文的協(xié)議特征，發(fā)現(xiàn)其所在協(xié)議，然后遞交給相應(yīng)的協(xié)議分析引擎進(jìn)行處理，對相關(guān)字段進(jìn)行規(guī)則檢測，實(shí)現(xiàn)4-7層深度協(xié)議解碼

7、。只有準(zhǔn)確理解事物的本質(zhì)，才能對癥下藥，木馬檢測亦是如此。通過融合端口分析、協(xié)議特征判斷、行為分析等技術(shù)，借助動(dòng)態(tài)升級的木馬特征庫，先進(jìn)的NIDS能夠準(zhǔn)確檢測出運(yùn)行在任意端口的木馬，以及運(yùn)用Smart Tunnel技術(shù)的其它惡意程序。構(gòu)建和維護(hù)一套可用的攻擊特征庫，需要花費(fèi)大量的精力，面對浩如煙海、種類繁多的攻擊手段，特征檢測模型只能發(fā)揮有限的效能，要更好地檢測出未知的攻擊，還要使用到異常檢測技術(shù)。基于行為分析的異常檢測技術(shù)異常檢測技術(shù)通常先構(gòu)建一個(gè)正常的用戶行為集合，再比較被監(jiān)測用戶的實(shí)際行為模式，和正常模式之間的偏離程度，來判定用戶行為的變化，最終確定是否屬于入侵。異常檢測技術(shù)不需要過多依

8、賴系統(tǒng)缺陷的相關(guān)知識(shí)，具有較強(qiáng)的適應(yīng)性。無論攻擊者如何變換攻擊策略，通過檢測行為模式之間的差異來判定是否異常，從而檢測出未知的，甚至更為復(fù)雜的攻擊。異常檢測技術(shù)主要用到"模式比較"和"聚類"兩類算法，本文主要介紹模式比較算法在NIDS木馬檢測過程中的應(yīng)用。在模式比較算法中，首先通過關(guān)聯(lián)規(guī)則和序列規(guī)則建立正常的行為模式，然后通過行為比較判定攻擊。關(guān)聯(lián)規(guī)則挖掘是數(shù)據(jù)挖掘最為廣泛應(yīng)用的技術(shù)之一，也是最早用于入侵檢測的技術(shù)。關(guān)聯(lián)規(guī)則從用戶定義的"支持度"和"可信度"兩個(gè)維度出發(fā)，設(shè)定用戶合法行為的閾值，通過和用戶實(shí)際行為的

9、比較來發(fā)現(xiàn)攻擊。同時(shí)，關(guān)聯(lián)規(guī)則還會(huì)進(jìn)一步分析一種行為與其它行為之間的相互關(guān)聯(lián)性或相互依靠性，如從被掛馬頁面下載木馬服務(wù)端程序的同時(shí)，接受遠(yuǎn)程客戶端程序控制的可能性。序列分析和關(guān)聯(lián)分析類似，其目的也是為了挖掘出數(shù)據(jù)之間的關(guān)系，不同的是，序列規(guī)則增加了時(shí)間的概念，在檢測分布式攻擊和插入噪聲的攻擊時(shí)，這種方法比較有效。下文將結(jié)合經(jīng)常被僵尸網(wǎng)絡(luò)（Botnet）利用的一種蠕蟲（W32/IRCBot-TO）的特征和行為分析，介紹網(wǎng)絡(luò)側(cè)NIDS檢測方法。僵尸網(wǎng)絡(luò)是指采用一種或多種傳播手段，將大量主機(jī)感染僵尸程序（bot程序），從而在控制者和被感染主機(jī)之間所形成的一個(gè)一對多控制的網(wǎng)絡(luò)。僵尸網(wǎng)絡(luò)是一種惡意行為，

10、擁有這些Botnet的人極不愿意讓其他人登錄到他的服務(wù)器中去，同時(shí)也為了防止其他黑客奪取其Botnet，他們會(huì)有意地隱藏服務(wù)器的基本信息，如連入的用戶數(shù)、可見的用戶數(shù)、服務(wù)器內(nèi)所建立的頻道等，這些信息本來是需要公布給聊天者的，現(xiàn)在卻被攻擊者有意隱藏了。但是，由于加入到Botnet服務(wù)器中的所謂用戶nickname是由bot程序自動(dòng)生成，所以這些bot的nickname 應(yīng)該符合一定的生成算法，也就具有了某些規(guī)律，通常有IP地址表示法和系統(tǒng)表示法兩種"命名規(guī)范"。n IP表示法：將被感染了bot程序的主機(jī)（IP）歸屬國家的三位縮寫放在開頭，然后在后面加入指定長度的隨機(jī)數(shù)字，如

11、USA|8028032，CHA|8920340；n 系統(tǒng)表示法：將被感染bot程序的主機(jī)的系統(tǒng)類型作為開始的字母，然后在后面加上指定長度的隨機(jī)數(shù)字，如xp|8034，2000|80956這些nickname的規(guī)律性和正常IRC Server中的nickname的隨意性是不相同的，其命名特征可以從得到的bot源碼中發(fā)現(xiàn)并總結(jié)出來。因?yàn)锽otnet中感染bot程序的主機(jī)并不知道自己被控制，所以在沒有Botnet控制者指令的條件下是不會(huì)有所行為的，更形象地講他們的行為更像一個(gè)個(gè)僵尸。而Botnet在傳播和準(zhǔn)備發(fā)起攻擊之前，都會(huì)有一些異常的行為，如發(fā)送大量的DNS查詢（Botnet傾向于使用動(dòng)態(tài)DNS

12、定位C&C服務(wù)器，提高系統(tǒng)的健壯性和可用性）、發(fā)送大量的連接請求等。一個(gè)先進(jìn)的NIDS系統(tǒng)在這個(gè)時(shí)候應(yīng)該能夠及時(shí)發(fā)覺此類異常行為。W32/IRCBot-TO是一種后門蠕蟲病毒，能允許遠(yuǎn)程的入侵者獲取訪問權(quán)限進(jìn)而控制整個(gè)計(jì)算機(jī)，感染主機(jī)通常會(huì)成為Botnet中的受害者。以下是特定環(huán)境下，蜜網(wǎng)（Honeynet）捕獲的異常流量交互過程：6 <-> <infector-ip> TCP 2971 - <honey-ip> 445 SYN, SYN,ACK13 -> SMB Negotiate Protocol Request14 <- SMB N

13、egotiate Protocol Response17 -> SMB Session Setup AndX Request, NTLMSSP_AUTH, User: 18 <- SMB Session Setup AndX Response19 -> SMB Tree Connect AndX Request, Path: <honey-ip>IPC$20 <- SMB Tree Connect AndX Response21 -> SMB NT Create AndX Request, Path: rowser22 <- SMB NT Cre

14、ate AndX Response, FID: 0x400023 -> DCERPC Bind: call_id: 0 UUID: SRVSVC24 <- SMB Write AndX Response, FID: 0x4000, 72 bytes25 -> SMB Read AndX Request, FID: 0x4000, 4292 bytes at offset 026 <- DCERPC Bind_ack27 -> SRVSVC NetrpPathCanonicalize request28 <- SMB Write AndX Response, FID: 0x4000, 1152 bytes29 ->