基于網絡流和包的病毒檢測

基于網絡流和包的病毒檢測肖新光整理ppt前言蠕蟲和其他網絡病毒的日益蔓延和流行，VXER對黑客技術的利用日趨成熟，網絡安全技術和反病毒技術的融合趨勢日趨明顯。開發(fā)者希望擴展firewall、IDS和GAP產品的反病毒能力，與傳統(tǒng)的反病毒廠商的文件級別的檢測技術結合是一個解決思路，但也面臨一些問題。

本專題試圖探討，網絡安全技術與反病毒技術的一個結合點——基于流和包的病毒檢測。整理ppt一、兩種檢測粒度的比較

snort中及其粗糙的反病毒規(guī)則作為我們今天批判的靶子…最新的snort在其virus.rules中，用了多達

24條規(guī)則來檢測名為NewApt的蠕蟲，占了全部VX規(guī)則的28%。整理ppt粗糙的文件名檢測法content:

"filename=\"THEOBBQ.EXE\"";content:

"filename=\"COOLER3.EXE\"";content:

"filename=\"PARTY.EXE\"";content:

"filename=\"HOG.EXE\"";content:

"filename=\"GOAL1.EXE\"";content:

"filename=\"PIRATE.EXE\"";content:

"filename=\"VIDEO.EXE\"";content:

"filename=\"BABY.EXE\"";content:

"filename=\"COOLER1.EXE\"";content:

"filename=\"BOSS.EXE\"";content:

"filename=\"GADGET.EXE\"";content:

"filename=\"IRNGLANT.EXE\"";content:

"filename=\"CASPER.EXE\"";content:

"filename=\"FBORFW.EXE\"";content:

"filename=\"SADDAM.EXE\"";content:

"filename=\"BBOY.EXE\"";content:

"filename=\"MONICA.EXE\"";content:

"filename=\"GOAL.EXE\"";content:

"filename=\"PANTHER.EXE\"";content:

"filename=\"CHESTBURST.EXE\"";整理ppt粗檢測粒度的表現(xiàn)通過對病毒的分析來看，Worm.NewApt附件文件

清單是26個，而不是24個。Rule(s)from

C&D沒有錯誤，但Capture&Decode之外，希望能補充進，Code&Disassemblers整理ppt附件文件名檢測方式弊端

對于那些隨機選擇附件名文件名或者提取本機文件的文件名作為自身名字的蠕蟲無能為力。

一個同名的正常附件，帶來誤報造成用戶的恐慌。同時，修改文件名對于修改蠕蟲是最容易的。整理ppt細粒度檢測

站在基于文件系統(tǒng)的病毒分析來看，I-worm.NewApt完全可以靠文件體中如下的特征串來檢測：|680401000056FF152CC04000568B75106884F7400056E8CC0800005903C650E83B07000083C40C6880F7400056E8B50800005903C650……|整理ppt問題（一）網絡檢測與文件檢測的不同

蠕蟲在網絡傳輸中的形態(tài)，不是2進制文件，而是經過編碼后的，下面就是病毒特征碼所對應的base64編碼：GgEAQAAVv8VLMBAAFaLdRBohPdAAFbozAgAAFkDxlDoOwcAAIPEDGiA90AAVui1CAAAWQPGUOgkBwAAoeQBQQBZWUBQVuidCAAAWQPGUGjo90AA/9ej5AFBA……同時新的問題產生：|0d

0a|如何處理？整理ppt問題（二）特征碼質量特征碼不能任意選取，而要求能夠準確無誤報的實現(xiàn)檢測。長度要求復雜度要求其他要求整理ppt問題（三）如何面對更多層面的需求IDS的規(guī)則問題只是我們問題的出發(fā)點。能否實現(xiàn)御毒于內網之外Firewall、Gap能否擴充反病毒能力

骨干網絡能否建立病毒疫情監(jiān)控機制，甚至直接切斷蠕蟲傳播整理ppt獨立病毒分析的準備工作對于網絡安全企業(yè)的高手們來說，剖析幾個蠕蟲，提取特征碼，沒有問題，但要注意這是系統(tǒng)的工作：建立自己的病毒捕獲網絡，第一時間獲得新病毒樣本；建立完善的樣本庫建立自己的特征碼分析體制，保證特征碼的科學性，避免漏報和誤報的可能。警告：對于firewall或者IDS開發(fā)部門來說，維

持一個專門的Virus

Cert小組可能是得不償失的。整理ppt第二章、結合文件級別反病毒技術

反病毒技術是一個積累性技術。有一定難以逾越的基礎，因此，結合傳統(tǒng)反病毒企業(yè)的技術是安全廠商的一種選擇。

一些二線反病毒廠商也把向其他網絡安全安全廠商、其他廠商和服務商和提供AV

SDK作為

新的熱點。

另一方面，更多的反病毒廠商正在積極擴展自己的網絡安全產品線，從而構筑全面地解決方案。整理ppt傳統(tǒng)的反病毒技術說明文件格式識別模塊需要格式處理格式處理模塊需要預處理預處理模塊分類檢測引擎YY整理ppt結合傳統(tǒng)的反病毒技術

傳統(tǒng)的反病毒技術是基于文件對象的，適合搭建機遇應用網關服務器的文件系統(tǒng)或者獨立構造應用層代理的情況。案例：hotmail的反病毒系統(tǒng)。趨勢反病毒網關整理ppt結合傳統(tǒng)反病毒技術的優(yōu)勢最好的與應用層網關結合全面、徹底的檢測各種類型的已知病毒對包裹格式的良好支持。整理ppt傳統(tǒng)反病毒技術的網絡級別應用面臨的問題必須還原出具體文件導致一系列的問題產生。極大的資源占用，很低的效率。不能處理類似IIS-Worm.CodeRed之類的情況。不能實時地實現(xiàn)網絡級別響應處理

UDP協(xié)議等難以還原到文件、或者還原代價很大的情況

能否在流級別直至包級別直接搭建病毒檢測體制?整理ppt三、基于流和包的病毒檢測從病毒分析技術入手從網絡傳輸形態(tài)的角度

為了證明該思路是成熟的，我們制作了一個可使用的SDK——Virus

Catcher。整理ppt流級別和包級別的不同檢測層次Virus

CatcherSteamVirus

CatcherPacketVirusCatcher

File2進制病毒檢測模塊√√√郵件蠕蟲病毒檢測模塊√√√url檢測模塊√√腳本病毒檢測模塊√√整理ppt比較包級別檢測與文件級別檢測（一）掃描對象的傳遞struct

se_data{unsigned

long

src_ip,dst_ip;//源IP、目的IPunsigned

short

src_port,dst_port;//源端口、目的端口

unsigned

long

protocol;//協(xié)議類型（由響應處理模塊使用）unsigned

char

*

data;//待掃描數(shù)據(jù)unsigned

long

len;//待掃描數(shù)據(jù)的長度};整理ppt比較包級別檢測與文件級別檢測（二）處理方式：int

vise_response(unsigned

long

vi_id,//病毒編碼unsigned

long

src_ip,//源IPunsigned

short

src_port,//源端口

unsigned

long

dst_ip,//目的IPunsigned

short

dst_port,//目的端口unsigned

long

protocol);//網絡協(xié)議（具體協(xié)議定義，由前端設備制訂）整理ppt并非簡單的技術疊加

包級別檢測不是簡單的傳統(tǒng)病毒特征碼庫+高速內容匹配算法為什么現(xiàn)有反病毒體系不適合作包級別的檢測進一步談文件級別反病毒軟件的檢測機理文件類型、預處理、虛擬機、特征碼風格|B3

03

B4

38

81

03

F3

B4

38

81

8C

C8

B7

38

81

8CDB

B5

38

81

39

C3

B4

38

81

74

11

B4

|->|B303B4

?1

03F3B4

?1

8CC8B7

?1

8CDBB5

?139C3B4

?1

7411B4|整理ppt已經解決的問題高速匹配的問題：2Gbit/S特征碼被邊界截斷的問題：高速預處理問題：

更高質量的特征碼問題：由于沒有文件格式處理和文件預處理模塊，誤報概率大大增加，對特征碼提取質量的要求大大提高。透明處理的問題。整理ppt不能解決的問題編寫可靠的變形病毒加密的宏病毒包裹格式整理ppt技術定位結論

病毒的可靠處理環(huán)節(jié)是要在實體系統(tǒng)和文件級別上，這依然是毋庸置疑的。

包級別檢測不能解決所有病毒問題，其定位不應是替代傳統(tǒng)反病毒產品。

技術并不因為不完備而無價值，技術的價值在于有否合理應用，解決實際問題。

反病毒技術在任何層次上都是不完備技術，聊勝于無。整理ppt技術的應用點Firewall、GAP的反病毒模塊更加可靠的IDS

Worm規(guī)則集獨立的骨干網絡病毒模塊整理ppt實例整理ppt應用目的

基