淺析如何利用網絡回溯分析技術檢測蠕蟲病毒

吉林省統計局數據管理中心 張 楠 蘇艷春

淺析如何利用網絡回溯分析技術檢測蠕蟲病毒

吉林省統計局數據管理中心 張 楠 蘇艷春

隨著網絡規模的不斷壯大,安全問題已經成為網絡中的主要因素,如何有效的了解并解決在網絡中出現的狀況,網絡回溯分析也許是解決的辦法之一。

網絡回溯分析;蠕蟲

1.引言

信息技術正在無時不刻地改變著人們的生產與生活,其極大物聯網技術、云數據、智能移動終端、大數據等相關行業的發展,使其成為一個新的經濟增長點,便利的生產生活環境增長的同時,也促使著企業面臨著更大的安全問題與隱患。如何保證企業的健康發展,使其重要的應用業務得以正常運轉,保護好客戶的重要數據不被損害。如何充分了解企業業務網絡中重要流量參數的運行特點,完成對企業業務網絡健康狀況的分析,抓住重要流量參數的異常變化趨勢,己成為擺在企業安全管理者面前的一個無法回避的問題。網絡回溯分析也許是解決這一難題的手段之一。

2.網絡回溯分析技術

網絡回溯分析技術是通過網絡底層通訊信息的嗅探及存儲,進行記錄、檢查、分析及統計[1],是對數據包、TCP同步、網絡會話信息進行同步記錄、鏡像存儲、挖掘分析的過程,協助用戶了解本網絡的健康態勢,匯總網絡運行的統計報表,出具網絡分析依據[2]。

傳統的分析技術過多依賴安全規則庫的檢測,缺乏對異常通訊行為征兆的主動分析能力和預警能力。基于IP、端口進行攔截,缺乏對內容的深度分析,基于代碼指紋進行檢測,缺乏動態行為深度分析,無法識別未知惡意代碼,基于攻擊特征檢測,誤報率高,容易被繞過,基于IP、域名、內容特征檢測,難以對抗結合社交工程的定向攻擊。總體上分析就是缺乏對未知攻擊的檢測能力和缺乏對流量的深度分析能力。

網絡回溯分析技術就是對企業用戶網絡中的流量進行深度的剖析,在嚴重的安全事件未發生的時候起到對異常征兆的預警和對風險事件的提前規避;在網絡安全事件發生時更夠做到及時發現和快速準確的定位;網絡安全事件發生后還可以做到分析取證分析、追根溯源,及時有效的指導管理員調整企業網絡中的相關策略。

3.網絡回溯分析系統的作用

網絡回溯分析系統的核心作用就是使得企業管理員充分了解本單位網絡中的數據流量情況、重要業務應用系統運行規律及企業中各個用戶網絡行為;從而發現企業網絡中的安全隱患和安全事件突發的征兆,及企業重要應用的異常通訊行為特征;最終能夠實現歷史數據的回溯分析和對安全事件的數字取證提供有效的法律依據。

網絡回溯分析系統在應急方面的作用是能夠提供了透視網絡行為和事件追溯的重要手段;及時的發現并追蹤定位可疑通信特征如:流量突發、蠕蟲傳播、木馬與僵尸網絡反彈上線、DOS攻擊、滲透攻擊等非法行為;可以對各類安全設備警報事件進行分析和驗證,并提取出網絡中存在的惡意樣本,對特定網絡行為實施特征分析。

網絡回溯分析系統由軟件和硬件組成。軟件的主要功能是可以按照不同的企業用戶需求來采集數據包,其部署特點十分靈活與機動,非常適用于企業中持續性事件取證與分析。硬件主要可以做到7X24小時數據包的采集與分析,在企業網絡中的關鍵節點做到針對性的部署,能夠實現實時的分析和預警,使歷史數據有效的回溯。

4.網絡回溯分析系統蠕蟲監測分析方法

蠕蟲是網絡中比較常見的病毒,它可以不斷地進行自我復制,并在感染的網絡中肆虐的傳播,主要的蠕蟲病毒有Loveletter、CodeRed、Nimda、MSN/Worm。MM。本文以蠕蟲病毒為例,淺析蠕蟲病毒的回溯分析法。

首先蠕蟲病毒會在企業網絡的傳輸層發送大量的TCP SYN包,并且不斷地掃描其所在的網絡;之后在企業網絡的網絡層中蠕蟲病毒會同大量的企業主機發起會話,這些會話大多數都是發包的特點,并且每個會話的流量都很少;在企業網絡的會話層中會出現很對的會話連接,這些會話連接大多是發出的TCP SYN包,并且大部分會話都沒有得到響應或者被拒絕,總體流量不一定很大,但大多數的發包都沒有回包,而且發包的數量遠遠大于回包的數量。企業網絡中一旦有主機被病毒成功感染,蠕蟲就會再掃描企業網絡,再次發送大量的會話包,從而進一步感染更多的企業用戶。蠕蟲病毒的行為特點,如圖1所示。

圖1 蠕蟲病毒行為特點圖

在回溯分析系統監控的時間節點里,特定的兩個時間段上會話數體現出明顯的增加趨勢,和正常的業務相比起會話數處于井噴的狀態,但是實際的工作環境中企業的業務并沒有特殊的改變,這樣有悖常理的情況出現應當值得企業管理員對其進行持續的關注。如圖2所示。

圖2 大量會話異常圖

圖3 數據包異常圖

圖4 數據包分析圖

經過進一步的分析,在發包數量比較大的網絡IP中,他們所發出大量的數據包里,平均每兩個包里就會出現一個同步包。如圖3所示。

在發送大量數據包的IP地址中任意選取一個主機進行分析,在極短的時間內,向多個IP地址的445端口發送了大量的數據包,并且發送的數據包的數量是相等的,在一些關鍵的參數上體現出來的也是等同的信息。如圖4所示。

以上種種跡象表明,在企業網絡中的這臺主機已經被蠕蟲病毒成功的入侵,應當迅速定位并對其進行查殺。

通過對企業網絡中異常流量的分析,找到了產生問題的原因所在,通過對異常流量中數據包的解讀,了解最細微的網絡動作,將企業網絡不可見的"黑盒"變的清晰透明,為企業的安全整改提供了有利的依據,在企業有針對性的加強安全措施同時,更好的提供應用服務,并保證用戶的數據安全。

5.結束語

如何清晰的掌控網絡中的狀況一直困擾著所有的管理者,本文也只從網絡回溯分析這一手段入手,提出了基本的技術理論和簡便的檢測手段,但單一的手段始終無法保障企業網絡的安全運行,其他安全手段的輔助也是對管理者工作的有效補充。

[1]李明。科來網絡回溯分析系統4_0_正式發布[J]。網絡安全技木與應用,2012.12.

[2]張楠。某部門網絡安全管理方案的設計與實施[D]。長春工業大學,2016.