企业网络安全应急响应终极解决方案.docx

1、企业网络安全应急响应终极解决方案企业网络安全应急响应终极解决方案作者 201545本文企业网络安全应急响应终极解决方案与网络安全应急响应现状问题与思考(作者，旨在解决网络安全应急响应现状问题与思考一文所提出的问题，当发生网络入侵、病毒爆发、现有网络安全防御体系（如防火墙、入侵检测、入侵防御等）被突破或当机或无异常显示、防毒软件或被病毒所劫杀或对病毒不作为时，如何阻击入侵、查杀病毒、恢复系统？事前制定的网络安全应急响应预案总难以有效应对尚且未知的病毒及网络攻击，匆忙赶赴现场，无奈断网恢复，或简单备机切换，大多数公司网络安全应急响应现状如此，与黑客病毒实施的远程入侵控制相比，技术和手段完全处于非对

2、等的劣势地位，能否改变现状，有何解决方案？ 网络安全应急响应目前状况和主要问题有以下几点：1、重防轻治，以防代治。目前网络安全产品以安全防御为主，如防火墙、入侵检测、入侵防御、防毒软件，以及网络细分、流量监视、流量控制等等，但网络安全应急救治的产品却处于稀缺或空白的状态。其表现为基于网络安全防御体系的技术水平现状，系统漏洞随着时间推移陆续显露，新病毒总量每年以超几何级数增长，黑客及病毒的技术含量不断提高和攻击手段不断翻新，黑客及病毒突破和破坏现有网络安全防御体系、劫杀和禁用防毒软件现象屡有发生，特别是爆发的大规模传染性网络病毒对提供公共服务的机构造成社会公共安全事件时有发生。2、网络安全应急响

3、应尚处于简单低级层次。事前制定的应急响应预案总难以有效应对尚且未知的病毒及网络攻击，匆忙赶赴现场，无奈断网恢复，或简单备机切换，大多数公司网络安全应急响应现状如此，与黑客病毒实施的远程入侵控制相比，技术和手段完全处于非对等的劣势地位，缺乏一种快速响应、与黑客病毒决胜于千里之外的能力。3、安全防御与应急救治能力失衡，单纯防御必造成投入边际收益率递减，投资者裹足不前。“预防为主，防治结合”，这句话人人耳濡目染，但前半句的正确性和合理性成立是有条件的。安全防御与应急救治，两者的关系如同医学上疾病防疫与疾病救治的关系一样，以此类比联想，是否所有疾病都可防疫的呢？突发急病是找治病的医生，还是找疫防的医生

4、呢？百把元即可治愈的流感有人肯不计成本的去预防它呢？答案是肯定的：1.可预防的；2.预防成本小于救治成本，这才是“预防为主，防治结合”正确性和合理性成立的前提条件。4、进攻与防御，对攻防双方而言，如同矛与盾关系一样，没有无坚不摧的矛，也没有坚不可摧的盾，两者相生相克，此消彼长。防御系统和防毒软件处于明处，往往成为攻防实验室网络攻击秘密武器绝佳的靶子。基于特征码识别和基于行为模式识别的防毒软件需要从已知病毒提取特征码和从已知病毒学习行为模式，所以不可能识别具有未知特征码的未来病毒和具有未知行为模式的未来病毒。由于防御系统和防毒软件在系统防御中所处位置以及上述原因，决定了率先被突破、被劫杀的正是它

5、们，由此进入网络安全应急响应的阶段。网络安全应急响应最本质特征就在于应急救治，应急体现在实时响应，救治体现在具有决胜于千里之外的能力。实际上，难不在于实时响应，而在于入侵检测、病毒识别。若不能解决入侵检测、病毒识别问题，就无法阻击入侵、查杀病毒，现场情况不明，纵有详尽完备的应急响应预案，也只能匆忙赶赴现场，无奈断网恢复，简单备机切换，而事后取证和补救措施便也成为无的之失，流于形式，这难以满足网络安全应急响应服务社会化、专业化发展的要求，更不要说应急响应中心或应急呼叫中心了。怎样识别病毒呢？病毒识别目前主要有病毒特征码识别和病毒行为模式识别两种方法，历史上先有特征码识别，后有行为模式识别。问题是

6、，除此两种方法以外，还有其他的方法吗？防毒软件多年的使用及取得的巨大成就使这个问题似乎无多大意义。其实不然，“不识庐山真面目，只缘身在此山中”，下面构造算法阐明此问题。算法I. 设当前病毒文件有全集U，经采集病毒样本并提取特征码和行为模式后构成样本集合S，现有任一文件f,其特征码和行为模式为a, 只有四种可能：1.fU, aS,识别正确；2.fU, aS,识别正确；3.fU, aS,假阳性误报；4.fU, aS,假阴性漏报。此算法即为当前防毒软件所采用的方法，集合S俗称病毒库。此算法病毒识别率高，但执行效率低。从全集U到集合S，采集病毒样本并提取特征码和行为模式包含大量工作，样本采集会有漏项和

7、时间滞后，判断是否aS耗时费力，集合S需要不断更新才可识别新病毒，以当下日增数百万新病毒样本计，所有这些将是非常巨大的工作。对内外网隔离的集团用户，需要下载病毒库S才可识别病毒，而时间滞后带来可能是灾难性的影响，以曾经的熊猫烧香病毒和ARP病毒为例，从病毒流行到有效专杀工具出现个月有余，用户手忙脚乱，充满无助无奈。算法II. 设当前主机病毒文件有集合S，有：1.设系统正常时有全集A，系统异常时有全集B，作差集D=B-A，则有SD；2. 设系统正常时有集合A，系统异常时有集合B，作差集C=B-A，作差集C的关联集合D，则有SD。此算法与算法I相比，与病毒特征码或行为模式无关，不存在样本采集、特征

8、码和行为模式提取、病毒库更新下载等问题；集合D是一个小样本集合，可用文件属性或属性组合条件甄别，所用文件属性包括进程、线程、端口、文件类型、长度、时间、目录、名字、注册表、服务、驱动、隐身性、版本号、数字签名、MD5值等。此算法是本文在网络安全应急响应中采用的方法。根据上述原理，现给出网络安全应急响应终极解决方案-终极者。一则验证理论的可行性，完善各个细节；二则将理论转化成工具，用于解决实际问题，否则再好的理论也只是纸上的理论。下面简要阐述终极者的原理和方法等相关问题。终极者是一款基于Windows操作系统阻击入侵、查杀病毒的工具软件，旨在用于网络安全应急响应，当发生网络入侵、病毒爆发、现有网

9、络安全防御体系（如防火墙、入侵检测、入侵防御等）被突破、防毒软件被病毒所劫杀或对病毒不作为时，阻击入侵、查杀病毒、恢复系统的工作；改变目前应急响应赶赴现场，断网恢复，备机切换简单低层次的响应模式，改变与黑客病毒实施的远程入侵控制相比，技术和手段处于的非对等劣势地位，使之具有可快速响应、决胜于千里之外的能力；填补缺失的网络安全应急救治环节，与现有的网络安全防御产品形成互补，构成防治结合完整的网络安全体系；通过快速响应，缩短应急响应时间，避免安全事态恶化，大幅减少运行维护成本。网络安全公司以此可将重点服务器应急响应服务扩大至全网段各主机的应急响应服务，内外网隔离的集团用户以此可就近应急响应自我救治

10、，不必被动等待那不可预期的反病毒厂商病毒库更新来查杀病毒。终极者原理和方法也可适用于和移植于其它操作系统。使用终极者，可选择一台主机，将终极者所有程序拷贝其上，作为网络共享服务器。网络共享服务器除了开放提供网络共享服务的445端口以外，关闭其余所有端口，以提高网络共享服务器自身安全性。终极者网络配置示意图如下： 共享服务器：开放445端口 3. 共享连接 2. 应急响应：连接指定IP地址和端口 1. 应急请求：告知IP地址和侦听端口 求助主机 救助主机 终极者支持本地连接模式(如上图实线所示)，与远程连接客户端套件配合使用，可支持远程连接模式(如上图虚线所示)。请求帮助的主机称为求助端，提供帮

11、助的主机称为救助端。求助端、救助端和共享服务器可以处于同一个内网，也可以不处于同一个内网。对企业级网络用户，推荐将共享服务器配置在企业内网，以提高其响应速度和安全性。终极者查找识别病毒的方法不同于特征码识别和行为模式识别，主要包括系统完整性检查、差异分析法、时序分析法和数字签名法等方法。系统完整性检查方法认为系统的变化必然表现出文件和注册表的变化，因此通过前后两个不同时间点或感染病毒前后所作的由文件和注册表组成的系统“快照”比较，便可查出系统在这个时段或感染病毒前后的变化。差异分析法从分析系统的异常入手，各种类型的病毒根据其触发条件、攻击方式、抗杀手段、传播途径必定会在系统的进程、端口、线程、

12、服务、驱动、注册表、目录和文件等方面表现出某种异常，从这些异常便可查找出病毒的“蛛丝马迹”。时序分析法认为病毒是具有时间属性的，也即病毒各文件之间形成某种时序相关性。根据这种时序相关性，时序分析法完成“由此及彼、由点到面”的病毒查寻工作。数字签名法通过验证文件数字签名判断文件的完整性及签署人的“身份”。Windows操作系统许多文件，如进程、线程、驱动等，都具有微软的数字签名，而非微软的文件不可能具有微软的数字签名，因此根据数字签名可以很容易将具有数字签名的系统文件与疑似病毒文件区分开来。终极者目前有450多条命令，涵盖多方面的功用。为交流方便，特制作部分录像资料，以可视化的方式演示终极者的原

13、理方法、相关操作及常用命令组合。这些录像资料包括：1、0.1_请求帮助相关操作示例2、0.2_远程响应相关操作示例3、0.3_基本命令组合查杀病毒示例4、0.4_完整性检查查杀病毒示例一5、0.5_完整性检查查杀病毒示例二6、0.6_远程终端登录操作示例7、1.1_自启动型病毒查杀示例8、2.1_系统服务型病毒查杀示例9、3.1_文件关联型病毒查杀示例10、4.1_映像劫持型病毒查杀示例11、5.1_线程插入型病毒查杀示例12、6.1_系统内核型病毒查杀示例13、7.1_设备驱动型病毒查杀示例14、7.2_CMT.EXE感染型及驱动型病毒查杀示例15、7.3_LINKINFO.DLL感染型及驱

14、动型病毒查杀示例16、8.1_EXPOR.EXE感染型病毒查杀示例17、9.1_脚本型病毒查杀示例其中0.1和0.2示例演示请求帮助和远程响应，0.3示例演示基本命令组合，多数类型病毒查杀可按此示例命令顺序操作，0.4和0.5示例演示完整性检查法，0.6示例演示远程终端登录操作， 1.1至9.1示例(6.1示例除外)演示差异分析法，时序分析法和数字签名法通常与其它方法配合使用，故未作单独录像示例。对一般用户需了解和掌握的首推完整性检查法，其次为差异分析法。完整性检查法以掌握0.5示例为先，差异分析法以掌握0.3示例为先，此两示例展现了终极者的体系结构，命令操作相对程序化。对于本地维护的用户，不

15、需要了解0.1和0.2示例，需远程安装软件的用户可能会用到0.6示例的内容。完整性检查法不需要用户具有计算机及网络安全方面相关知识，操作简单程序化，查杀准确率高且速度快，唯一前提是进行完整性检查前，要先做一个映像，或称“快照”。完整性检查法可应用于：1、网络应用服务器。这类服务器安装特定应用程序，安装配置完成以后，除版本更新升级外，文件极少变动，对网络用户提供公共服务，是网络安全重点防范对象；2、网络工作站。对集团网络用户，网络工作站通常运行着完全相同的客户端程序，因此可将一台安装所有客户端程序工件站的文件映像当作其他工作站当前文件映像的比较基准，提高疑似病毒文件的甄别速度和准确率；3、本机。

16、特别是在实战中学习掌握提高查杀病毒技能技巧，以机试毒，自种自查，查寻确认错判漏判和避免错判漏判原因方面，完整性检查法的结果将提供一个极好的参照；4、驱动型和内核型病毒。通常此类型病毒具有隐身特点，杀毒软件极难处置、甚至无法发现此类型病毒，但完整性检查法通过一个时间段两“快照”比对，如正常模式与安全模式，或正常模式与WinPE模式，可轻易发现处置此类型病毒，示例6.1演示了此方面的运用。除完整性检查法外，可使用差异分析法。若操作者具有一定有关计算机系统及网络安全方面相关知识，如进程、线程、服务、驱动、端口、注册表、访问控制等，将有助于对许多命令意图和目的的理解，但这并非是必须的。对着录像示例，依

17、葫画瓢，照章操作，循序渐进，自然便可达到“糊涂来，明白去”的境地。差异分析法与完整性检查法相比，没有相对固定的操作顺序，通常以查寻系统进程、进程线程、系统服务、设备驱动、通讯端口、注册表相关项开始。在差异分析法示例中，根据触发条件、攻击方式、抗杀手段、传播途径、查杀特点等特征，将病毒分成了9大类，每种类型病毒查杀提供一个“参考”解法。后考虑感染型病毒和驱动型病毒当前现状及今后或成为病毒发展主要方向，又添加7.2和7.3示例，以及重新改写了8.1示例。感染型病毒通常将其自身加密压缩后嵌入宿主文件，改变宿主文件入口地址，当宿主文件运行时，首先执行病毒代码，激活病毒，或感染更多的文件。因病毒经过加密

18、压缩后嵌入宿主文件，随着加密压缩技术水平不断提高，使得在有限时段既清除病毒代码又不破坏宿主文件愈发困难或不可能了。现许多杀软和专杀工具，只是简单地将嵌有病毒代码的宿主文件删除而已。常有的情况是，当数周推出某病毒专杀工具时，该病毒又产生变种了。由此引深出一个问题：若不能既清除病毒代码又不破坏宿主文件，而宿主文件对用户在特定时段非常重要，能否维持宿主文件或整个系统正常功能，而令病毒不发作，不扩散？这即所谓“生存系统”的概念。8.1示例所演示正是如何做成一个“生存系统”。驱动级程序是操作系统内优先级最高的程序，它可以获得内核级的系统优先权，可以先于普通应用程序启动并获得系统控制权。目前非驱动级的杀毒

19、软件在病毒面前根本无运行的机会，驱动级别不高的杀毒软件同样会被驱动级别高的病毒所控制，从而失去杀毒和主动防御功能。另一方面，驱动级病毒位于系统底层，可劫持系统上层的操作，达到病毒从注册表、文件的隐身作用，使普通用户和杀毒软件根本无法觉察病毒的存在。7.2和7.3示例演示驱动型病毒冒充系统文件、释放驱动、恢复SSDT过主动防御，劫持对病毒注册表键项和病毒文件相关访问操作，达到注册表和文件隐身。由于文章所限，终极者更详尽的相关文字录像资料和执行代码，可到作者邮箱索取，也可利用8uftp软件或个人熟悉的FTP软件在下列地址自行下载： ftp地址： ftp帐号：ftp195014 ftp密码：Mason1230