淺析2017網絡安全事件及對網絡設備的影響

付易鵬

摘 要：2017注定是風云際會的一年，從席卷全球的“WannaCry”敲詐勒索病毒，再到國內的“暗云Ⅲ”病毒，無一不說明目前的網絡安全形勢嚴峻。《中華人民共和國網絡安全法》的發布與實施為網絡安全提高到了國家安全的高度，成為國家安全戰略的重要一環。企業網絡在面對網絡攻擊時如何進行有效的防御？網絡設備在其中能起到哪些作用，這些已需要盡快解決的重要問題。本文旨在通過對2017網絡安全事件中的分析，提出了增強網絡安全風險感知、預測和防范的方法與建議，及對網絡設備的要求，以提高政府、企業的網絡安全防護能力。

關鍵詞：網絡安全；網絡設備；大數據分析

中圖分類號：TP393.08 文獻標識碼：A 文章編號：1671-2064（2018）12-0030-02

1 2017網絡安全事件回顧

“WannaCry”敲詐勒索病毒5月12日在全球爆發2017年5月12日，“WannaCry”（想哭）比特幣勒索病毒在全球范圍內爆發，本次事件波及150多個國家和地區、10多萬的組織和機構以及30多萬網民，損失總計高達500多億人民幣。包括醫院、教育機構以及政府部門，都無一例外的遭受到了攻擊。勒索病毒結合蠕蟲的方式進行傳播，是此次攻擊事件大規模爆發的重要原因。

“暗云”系列病毒升級為“暗云III”再度來襲2017年6月9日，早在2015年就被首次發現并攔截查殺的“暗云”病毒死灰復燃，升級為“暗云Ⅲ”，通過下載站大規模傳播，同時通過感染磁盤MBR實現開機啟動，感染用戶數量已達數百萬。 升級過后的“暗云Ⅲ”將主要代碼存儲在云端，可實時動態更新，其功能目前主要有下載推廣惡意木馬、鎖定瀏覽器主頁、篡改推廣導航頁id等。用戶一旦中招，電腦便會淪為“肉雞”形成“僵尸網絡”，并利用DDoS攻擊影響搭建在某云服務商平臺上的棋牌類網站，導致該網站訪問變得異常卡慢。

2 勒索病毒與暗云III木馬分析

2.1 WanaCrypt（勒索病毒）分析

病毒名稱：Trojan.WannaCry.i。

病毒類型：木馬|后門。

殼信息：無殼，此病毒沒有加殼行為。

傳播方式：主機系統漏洞傳播。

影響系統：沒有安裝MS-17-010補丁的Windows系統。

病毒危害：

（1）初始文件sample.exe會釋放并執行tasksche.exe文件，然后鏈接網絡http：//www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com。（2）如果鏈接成功，病毒不發作。如果鏈接不成功，創建mssecsvc2.0服務并設置自啟動，病毒開始運行發作。判斷參數是否小于2，以兩種方式執行mssecsvc.exe文件。再次執行會檢查被感染電腦的IP地址，并嘗試聯接到相同子網內每個IP地址的TCP 445端口，進行漏洞攻擊。（3）主要針對文檔、圖片、視頻、音頻文件進行加密，以此來勒索用戶付費解密。破壞操作系統還原功能設置，使操作系統還原功能失效。病毒本身會結束操作系統部分系統工具，使用戶無法及時阻止病毒運行。

2.2 暗云Ⅲ木馬分析

病毒名稱：TrojanDownloader.Uparte.afze。

病毒類型：木馬下載器|后門。

殼信息：無殼，此病毒沒有加殼行為。

傳播方式：各種下載網站的高速下載器。

影響系統：Windows等使用MBR啟動的機器。

病毒危害：

（1）木馬的主體在MBR中運行，比所有的安全軟件啟動都早，因此大部分的安全軟件無法攔截和檢測該木馬的惡意行為。木馬能夠在內核中直接結束部分安全軟件進程，同時會關閉安全軟件的文件監控設備句柄，會導致安全軟件文件監控失效，大大減少了被檢測的機率。（2）木馬在開機時自動從云端下載運行，獲得控制權限，該木馬控制的主機已經組成了一個大規模的僵尸網絡，并可以通過更換腳本的方式對不同目標發起DDoS攻擊。（3）對感染的MBR進行hook保護，防止被安全軟件檢測和清除，并且使用對象劫持技術躲避安全人員的手工檢測。大多數安全軟件無法檢測和查殺該木馬，并且該木馬通過游戲微端、外掛、私服登錄器等方式進行傳播，且具有較強的隱蔽性。（4）兼容多種系統版本，通過捆綁的推廣ID，獲取利潤。

3 基于大數據分析的網絡安全風險感知與預測

3.1 網絡安全困境

傳統的防護攻擊手段是采用防火墻及終端用戶采用安裝防病毒軟件的方法，防止黑客攻擊及病毒的傳播，而我們面臨的威脅已不僅僅是單純的病毒，而是更多形式的威脅。根據CERT CC發布的關于最新入侵者攻擊方式的趨勢分析結果，網絡攻擊呈現攻擊過程自動化、攻擊技術復雜化、漏洞發現的更快、以及滲透防火墻的趨勢；采用蠕蟲攻擊、病毒擴散等混合型威脅的復雜攻擊事件越來越多。

3.2 大數據內涵

大數據是具有數量巨大（volume）、來源多樣（variety）、生成極快（velocity）、多變（variability）等特征，且難以用傳統數據體系架構有效處理的包含大量數據集的數據。大數據技術是使大數據中所蘊含的價值得以挖掘和展現的一系列技術與方法，包括數據采集、預處理、存儲、分析挖掘、可視化等。主要集中在三個方面：一，網絡中大數據的快速收集和信息匯總，并及時上報；二，大數據存儲平臺，需要達到PB、EB、ZB級別；三，大數據分析，在短時間內處理大量不同類型的數據集，分析出高價值信息，是體現大數據核心價值的關鍵。

3.3 網絡安全態勢

面對不斷增加的多層面網絡安全威脅和安全風險，企業和組織需要及時發現網絡中的異常事件，實時掌握網絡安全狀態，由過去的“亡羊補牢”轉向事前自動評估，降低網絡安全風險，提高網絡安全防護能力。網絡安全態勢感知（network security situational awareness，NSSA）技術能夠綜合各方面的安全因素，通過安全要素的獲取、理解、評估與可視，從總體上反映網絡安全狀況，并對網絡安全的發展趨勢進行預測和預警。大數據技術特有的海量存儲、并行計算、高效查詢等特點，為大規模網絡安全態勢感知技術的突破創造了機遇。網絡安全領域許多企業紛紛提出安全大數據態勢感知方案或構建安全大數據態勢感知預警平臺。國內有專業的網絡安全廠商也提供了的病毒威脅預警系統，可以對本地全量數據進行采集和存儲，以情報為驅動，實現對網絡的持續監控、安全分析與威脅溯源。

3.4 立體安全防范體系

安全防范已不再是遇到病毒再上專殺工具的時代了，需要多種技術和設備配合來建立立體管控體系。有效的控制手段是從網絡邊界入手，全面收集網絡中傳遞的數據，對網絡中數據進行綜合性判斷，整理各種安全事件的關聯后的數據，從而全面實時動態的監控網絡中的病毒及攻擊事件。變被動防御為積極主動防御，對已經發生的安全事件及將要發生的安全事件給予全面掌握，并及時進行處理。對全網的安全事件全面的了解，及時的處理，專業的病毒威脅預警系統不僅對具備惡意程序及惡意攻擊行進行記錄，而且可以對安全事件進行智能的關聯，對事件的處理做到流程化管理，對全網的安全事件做到全面的呈現，如圖1所示。同時，可全面高效檢測計算機病毒傳播、蠕蟲攻擊、木馬通訊、僵尸網絡、口令探測等當前活躍的多種網絡威脅；通過多層檢測分析（網絡層、傳輸層、應用層）、深度內容分析、智能關聯等技術策略，對網絡數據進行高效檢測處理，可有效對網絡環境的安全狀況進行預警。

4 網絡安全對網絡設備的影響

整個立體安全防范體系的有效運行需要多種類型的網絡設備配合實現，整個網絡環境中包括單不限于：核心網絡的路由器與交換機，接入終端設備（PTN，PON和Wifi），專用的網絡安全設備（防火墻，防毒墻，IPS/IDS），流量探針（流量匯聚與分流設備），大容量存儲平臺，服務器集群等。

網絡基礎設備：網絡從20年前的電話撥號開始，現在已經是千兆光纖入戶，從接入端到核心網絡，技術不斷的升級，網絡設備也不停的迭代更新，現在的數據中心核心層T級交換網絡已經普及了。數據是整個網絡運行的基礎，是血液；網絡是傳輸數據的管道，是血管；高速，大容量的管道有利于數據的傳輸，也有利于大腦判斷整個身體的情況。某處管道擁擠，有突發的大流量數據、大量丟包、大量的TCP鏈接等網絡異常情況發生時，除了定位網絡問題外，還有可能是網絡安全事件發生，例如暗云III木馬造成的全網DDos攻擊。

同時，針對網絡基礎設備的漏洞挖掘也成為新的熱點，得到了越來越多的安全研究者關注。特別是針對路由器、交換機和無線設備的底層驅動的漏洞挖掘，一旦這些設備出現問題，將給整個網絡帶來極大的影響；這也使網絡設備廠商對自身產品的安全更加關注了。

網絡安全設備：網絡安全設備從單臺防火墻開始，到現在的全網安全解決方案，技術也在快速革新中。隨著人們安全意識的不斷提高，對信息和隱私的保護意識不斷加強，網絡安全的重要性也日漸凸顯。《中華人民共和國網絡安全法》的發布更是標志著，網絡安全已經上升到國家戰略的高度，網絡安全設備也日益繁多。主機安全，邊界安全，大數據安全，云安全等概念不斷推陳出新，網絡安全產品也不斷升級換代，網絡安全也成為大眾創業的方向之一。

5 結語

本文描述了2017的兩個網絡安全事件，分析了“WannaCry”病毒和暗云II木馬，結合大數據技術對網絡立體安全防范體系進行了闡述，同時也就網絡安全對網絡設備的影響進行了敘述。網絡安全問題已經滲透到人們生活的各個方面中，從實體設備到虛擬空間，各個環節都能影響到安全問題，也將一直是信息時代的核心問題。