基于網(wǎng)絡(luò)流和包的病毒檢測

基于網(wǎng)絡(luò)流和包的病毒檢測肖新光整理ppt前言蠕蟲和其他網(wǎng)絡(luò)病毒的日益蔓延和流行，VXER對黑客技術(shù)的利用日趨成熟，網(wǎng)絡(luò)安全技術(shù)和反病毒技術(shù)的融合趨勢日趨明顯。開發(fā)者希望擴(kuò)展firewall、IDS和GAP產(chǎn)品的反病毒能力，與傳統(tǒng)的反病毒廠商的文件級別的檢測技術(shù)結(jié)合是一個解決思路，但也面臨一些問題。

本專題試圖探討，網(wǎng)絡(luò)安全技術(shù)與反病毒技術(shù)的一個結(jié)合點——基于流和包的病毒檢測。整理ppt一、兩種檢測粒度的比較

snort中及其粗糙的反病毒規(guī)則作為我們今天批判的靶子…最新的snort在其virus.rules中，用了多達(dá)

24條規(guī)則來檢測名為NewApt的蠕蟲，占了全部VX規(guī)則的28%。整理ppt粗糙的文件名檢測法content:

"filename=\"THEOBBQ.EXE\"";content:

"filename=\"COOLER3.EXE\"";content:

"filename=\"PARTY.EXE\"";content:

"filename=\"HOG.EXE\"";content:

"filename=\"GOAL1.EXE\"";content:

"filename=\"PIRATE.EXE\"";content:

"filename=\"VIDEO.EXE\"";content:

"filename=\"BABY.EXE\"";content:

"filename=\"COOLER1.EXE\"";content:

"filename=\"BOSS.EXE\"";content:

"filename=\"GADGET.EXE\"";content:

"filename=\"IRNGLANT.EXE\"";content:

"filename=\"CASPER.EXE\"";content:

"filename=\"FBORFW.EXE\"";content:

"filename=\"SADDAM.EXE\"";content:

"filename=\"BBOY.EXE\"";content:

"filename=\"MONICA.EXE\"";content:

"filename=\"GOAL.EXE\"";content:

"filename=\"PANTHER.EXE\"";content:

"filename=\"CHESTBURST.EXE\"";整理ppt粗檢測粒度的表現(xiàn)通過對病毒的分析來看，Worm.NewApt附件文件

清單是26個，而不是24個。Rule(s)from

C&D沒有錯誤，但Capture&Decode之外，希望能補(bǔ)充進(jìn)，Code&Disassemblers整理ppt附件文件名檢測方式弊端

對于那些隨機(jī)選擇附件名文件名或者提取本機(jī)文件的文件名作為自身名字的蠕蟲無能為力。

一個同名的正常附件，帶來誤報造成用戶的恐慌。同時，修改文件名對于修改蠕蟲是最容易的。整理ppt細(xì)粒度檢測

站在基于文件系統(tǒng)的病毒分析來看，I-worm.NewApt完全可以靠文件體中如下的特征串來檢測：|680401000056FF152CC04000568B75106884F7400056E8CC0800005903C650E83B07000083C40C6880F7400056E8B50800005903C650……|整理ppt問題（一）網(wǎng)絡(luò)檢測與文件檢測的不同

蠕蟲在網(wǎng)絡(luò)傳輸中的形態(tài)，不是2進(jìn)制文件，而是經(jīng)過編碼后的，下面就是病毒特征碼所對應(yīng)的base64編碼：GgEAQAAVv8VLMBAAFaLdRBohPdAAFbozAgAAFkDxlDoOwcAAIPEDGiA90AAVui1CAAAWQPGUOgkBwAAoeQBQQBZWUBQVuidCAAAWQPGUGjo90AA/9ej5AFBA……同時新的問題產(chǎn)生：|0d

0a|如何處理？整理ppt問題（二）特征碼質(zhì)量特征碼不能任意選取，而要求能夠準(zhǔn)確無誤報的實現(xiàn)檢測。長度要求復(fù)雜度要求其他要求整理ppt問題（三）如何面對更多層面的需求IDS的規(guī)則問題只是我們問題的出發(fā)點。能否實現(xiàn)御毒于內(nèi)網(wǎng)之外Firewall、Gap能否擴(kuò)充反病毒能力

骨干網(wǎng)絡(luò)能否建立病毒疫情監(jiān)控機(jī)制，甚至直接切斷蠕蟲傳播整理ppt獨立病毒分析的準(zhǔn)備工作對于網(wǎng)絡(luò)安全企業(yè)的高手們來說，剖析幾個蠕蟲，提取特征碼，沒有問題，但要注意這是系統(tǒng)的工作：建立自己的病毒捕獲網(wǎng)絡(luò)，第一時間獲得新病毒樣本；建立完善的樣本庫建立自己的特征碼分析體制，保證特征碼的科學(xué)性，避免漏報和誤報的可能。警告：對于firewall或者IDS開發(fā)部門來說，維

持一個專門的Virus

Cert小組可能是得不償失的。整理ppt第二章、結(jié)合文件級別反病毒技術(shù)

反病毒技術(shù)是一個積累性技術(shù)。有一定難以逾越的基礎(chǔ)，因此，結(jié)合傳統(tǒng)反病毒企業(yè)的技術(shù)是安全廠商的一種選擇。

一些二線反病毒廠商也把向其他網(wǎng)絡(luò)安全安全廠商、其他廠商和服務(wù)商和提供AV

SDK作為

新的熱點。

另一方面，更多的反病毒廠商正在積極擴(kuò)展自己的網(wǎng)絡(luò)安全產(chǎn)品線，從而構(gòu)筑全面地解決方案。整理ppt傳統(tǒng)的反病毒技術(shù)說明文件格式識別模塊需要格式處理格式處理模塊需要預(yù)處理預(yù)處理模塊分類檢測引擎YY整理ppt結(jié)合傳統(tǒng)的反病毒技術(shù)

傳統(tǒng)的反病毒技術(shù)是基于文件對象的，適合搭建機(jī)遇應(yīng)用網(wǎng)關(guān)服務(wù)器的文件系統(tǒng)或者獨立構(gòu)造應(yīng)用層代理的情況。案例：hotmail的反病毒系統(tǒng)。趨勢反病毒網(wǎng)關(guān)整理ppt結(jié)合傳統(tǒng)反病毒技術(shù)的優(yōu)勢最好的與應(yīng)用層網(wǎng)關(guān)結(jié)合全面、徹底的檢測各種類型的已知病毒對包裹格式的良好支持。整理ppt傳統(tǒng)反病毒技術(shù)的網(wǎng)絡(luò)級別應(yīng)用面臨的問題必須還原出具體文件導(dǎo)致一系列的問題產(chǎn)生。極大的資源占用，很低的效率。不能處理類似IIS-Worm.CodeRed之類的情況。不能實時地實現(xiàn)網(wǎng)絡(luò)級別響應(yīng)處理

UDP協(xié)議等難以還原到文件、或者還原代價很大的情況

能否在流級別直至包級別直接搭建病毒檢測體制?整理ppt三、基于流和包的病毒檢測從病毒分析技術(shù)入手從網(wǎng)絡(luò)傳輸形態(tài)的角度

為了證明該思路是成熟的，我們制作了一個可使用的SDK——Virus

Catcher。整理ppt流級別和包級別的不同檢測層次Virus

CatcherSteamVirus

CatcherPacketVirusCatcher

File2進(jìn)制病毒檢測模塊√√√郵件蠕蟲病毒檢測模塊√√√url檢測模塊√√腳本病毒檢測模塊√√整理ppt比較包級別檢測與文件級別檢測（一）掃描對象的傳遞struct

se_data{unsigned

long

src_ip,dst_ip;//源IP、目的IPunsigned

short

src_port,dst_port;//源端口、目的端口

unsigned

long

protocol;//協(xié)議類型（由響應(yīng)處理模塊使用）unsigned

char

*

data;//待掃描數(shù)據(jù)unsigned

long

len;//待掃描數(shù)據(jù)的長度};整理ppt比較包級別檢測與文件級別檢測（二）處理方式：int

vise_response(unsigned

long

vi_id,//病毒編碼unsigned

long

src_ip,//源IPunsigned

short

src_port,//源端口

unsigned

long

dst_ip,//目的IPunsigned

short

dst_port,//目的端口unsigned

long

protocol);//網(wǎng)絡(luò)協(xié)議（具體協(xié)議定義，由前端設(shè)備制訂）整理ppt并非簡單的技術(shù)疊加

包級別檢測不是簡單的傳統(tǒng)病毒特征碼庫+高速內(nèi)容匹配算法為什么現(xiàn)有反病毒體系不適合作包級別的檢測進(jìn)一步談文件級別反病毒軟件的檢測機(jī)理文件類型、預(yù)處理、虛擬機(jī)、特征碼風(fēng)格|B3

03

B4

38

81

03

F3

B4

38

81

8C

C8

B7

38

81

8CDB

B5

38

81

39

C3

B4

38

81

74

11

B4

|->|B303B4

?1

03F3B4

?1

8CC8B7

?1

8CDBB5

?139C3B4

?1

7411B4|整理ppt已經(jīng)解決的問題高速匹配的問題：2Gbit/S特征碼被邊界截斷的問題：高速預(yù)處理問題：

更高質(zhì)量的特征碼問題：由于沒有文件格式處理和文件預(yù)處理模塊，誤報概率大大增加，對特征碼提取質(zhì)量的要求大大提高。透明處理的問題。整理ppt不能解決的問題編寫可靠的變形病毒加密的宏病毒包裹格式整理ppt技術(shù)定位結(jié)論

病毒的可靠處理環(huán)節(jié)是要在實體系統(tǒng)和文件級別上，這依然是毋庸置疑的。

包級別檢測不能解決所有病毒問題，其定位不應(yīng)是替代傳統(tǒng)反病毒產(chǎn)品。

技術(shù)并不因為不完備而無價值，技術(shù)的價值在于有否合理應(yīng)用，解決實際問題。

反病毒技術(shù)在任何層次上都是不完備技術(shù)，聊勝于無。整理ppt技術(shù)的應(yīng)用點Firewall、GAP的反病毒模塊更加可靠的IDS

Worm規(guī)則集獨立的骨干網(wǎng)絡(luò)病毒模塊整理ppt實例整理ppt應(yīng)用目的

基