摘  要: 阐述并分析了反病毒技术及入侵检测技术,比较二种方法的优劣,最后取长补短提出一种结合二种检测手段的网络安全系统。

　　关键词: 黑客  病毒  特征扫描  入侵检测  虚拟机  病毒捕获网

1 问题的提出

　　根据世界知名统计公司的数据显示,在2003年前6个月中,计算机病毒的活跃程度高出同期17个百分点。早在DOS时代,由于操作系统简单、容易分析,计算机病毒曾经风行一时。当Windows成为主流操作系统后的一段时期,因为微软技术封锁严密,从而使计算机病毒转入低潮。随着Crack技术的发展,病毒制造者深入分析并掌握了Windows下NE、PE文件格式和保护模式下的编程技术,随后第一个Win32病毒出现,计算机病毒又进入了一个新的发展高潮。同时病毒制造者的设计角度发生了变化。他们不仅制造普通的病毒,而且寻找系统的设计漏洞,设计出具有更大破坏性、更强传染性的病毒。例如CIH就是利用PE文件节表内由于节对齐造成的节内空隙来保持被感染文件大小不变,因此CIH具有很高的隐蔽性;同时CIH利用了Windows95系统中断表可写的漏洞,由Ring3进入Ring0,增强了破坏性。随着网络的发展,计算机病毒又把触角伸向网络这片广阔的空间。从由于Windows系统双扩展名机制致使以“爱虫”病毒为典型代表的脚本病毒在网络上的泛滥可以看到:病毒制造更加简单了,传播速度进一步提高了。2001年Nimda病毒爆发更是预示了计算机病毒发展的一个新趋势。Nimda病毒正是利用“畸形邮件头可以导致IE浏览器执行附件文件”这个网络应用程序的设计漏洞实现了自己的传播感染。可见计算机病毒技术已经出现了普通病毒技术与黑客技术相结合的趋势。例如2003年前6个月位于感染率排名榜首的“怪物B”就是一个具有特洛伊性质、黑客性质的网络蠕虫病毒。它能记录用户的键盘操作、截获用户密码、自启动、杀掉已知的反病毒进程;可以对世界上1 200家知名银行进行有目的的攻击。再如近期风行的“冲击波”更是变本加厉地结合了黑客技术。它采用多线程向目标主机发送缓冲区溢出代码,当溢出成功后,开启UDP端口提供TFTP服务下载病毒自身文件,集合所有已经感染该病毒的主机向微软的补丁下载网站发起DDOS攻击。“冲击波”病毒利用的这些技术都是典型的黑客攻击目标网络的常见手段。

　　综上所述,计算机病毒的发展已经进入一个新的阶段。DOS下单纯修改中断向量表将代码本身写入执行文件或系统引导区的病毒已经消失。今天的计算机病毒已经黑客化、网络化、蠕虫化。因此可以将其重新分类为:传统型病毒和黑客型病毒。传统型病毒在Windows、Unix、Linux等系统中仍然存在,并且由于变形和多态病毒手段的进一步发展,该类病毒仍然具有很大的危害性和很强的生命力。黑客型病毒就是传统病毒制造技术与黑客攻击手段相结合而产生的计算机病毒。该类病毒又可以分为非感染型和感染型二类。非感染型是具有特洛伊性质的计算机木马病毒,其危害性小于后者;感染型是利用系统或应用软件设计中的漏洞来传播其自身的病毒。例如“红色代码”、“Nimda”、“SQL蠕虫王”、“冲击波”等均属于后者。面临这种情形,反病毒技术和网络安全技术处于一种被动的局面。反病毒技术查杀传统型的病毒已经相当成熟。但是黑客型病毒出现后,各大反病毒公司都是及早地推出相应的专杀程序。这说明反病毒技术的病毒查杀引擎针对黑客型病毒查杀效果不好,查杀某个病毒必须依靠针对性很强的单独程序。而网络安全领域的检测系统" title="入侵检测系统">入侵检测系统对于黑客型病毒更是束手无措。所以针对黑客型病毒,利用反病毒技术与反黑客技术相结合形成新的网络安全防御体系是当务之需。

2 传统反病毒技术及其存在的不足

2.1 比较法

　　比较法是将原始的或正常的情况与被检测的情况进行比较。比较法包括长度比较法、内容比较法、内存比较法等。比较时可以靠打印的代码清单(如DEBUG的反汇编命令输出格式)进行比较,或用程序进行比较。这是传统反病毒技术中最古老的方法。比较法效率低、误警率高。例如长度和内容比较法,对于正常程序运行引起的文件长度或内容的改变,会作出虚假的报警。像CIH这种病毒,由于利用了PE文件节内的空隙,所以感染的文件大小不变。大小比较法自然对此类病毒查杀失效。目前多数反病毒引擎已经不采用这种手段。对于新型黑客型病毒,有些反病毒公司在没有其他更好的方法时,只能依旧使用这种内容比较法。例如对于“新欢乐时光”病毒,某反病毒公司在推出的专杀工具中,用一个*.def文件封装了该脚本病毒的源代码。显然要用文件比较法,这里仍然是采用了很蹩脚的内容比较法。

2.2 特征扫描法

　　扫描法是用每一种病毒体含有的特定字符串对被检测的对象进行扫描。如果在被检测对象内部发现了某一种特定字符串,则表明该对象中存在该字符串所代表的病毒。国外称该种按搜索法工作的病毒扫描软件为SCANNER。扫描法包括特征代码扫描法、特征字扫描法。由于其误警率低,系统实现简洁,所以该类方法在当前反病毒界仍然是主流技术。对于新病毒的出现,反病毒工作者只能通过分析代码,寻找最短小精悍的特征代码完善特征代码库。因此该技术对于已知病毒的查杀率很高,对于未知病毒的防范却是很低。病毒制造者不断提高设计手段,写出多态变形病毒,而多态变形病毒随机地改变自己传染、发作模块,在代码中写入加密和变形的指令甚至添入垃圾指令来迷惑反病毒人员的分析,使得无法提取该类病毒固定的特征代码。显然特征扫描法现在受到病毒制造者的挑战。

2.3 虚拟机技术

　　虚拟机技术是近年来反病毒前沿的新技术,主要用来分析未知病毒和查杀多态变形病毒。具体的思想是用程序代码虚拟CPU、各个寄存器甚至是硬件端口,将采集到的病毒样本放到该虚拟环境中执行,通过分析内存和寄存器以及端口的变化来了解程序的执行情况。当虚拟机技术加入病毒检测引擎中时,由于该技术动态分析程序的变化,因此对于多态变形病毒和未知病毒的发现准确性很高。对于多态病毒,无论如何变化代码和加密代码,最终执行时总会露出真面目。但是该技术虚拟的CPU执行速度是真正CPU的1/10,所以在查杀效率上有待于提高。

2.4 启发式扫描技术

　　启发式扫描技术是在软件系统规模趋于庞大,对常用的特征扫描法的扫描速度要求改进的情况下提出的更优化的特征扫描法。启发式是指“自我发现的能力”或“运用某种方式或方法去判定事物的知识和技能”。从某种意义上讲,启发式扫描是基于专家系统的原理产生的。由于病毒程序和正常程序在执行行为上的不同,作为汇编级的代码分析人员可以很容易地分辨出这类非正常的程序。例如对正常PE文件最后一个节不是执行代码节,而病毒一般把自己添加到正常文件的最后一节,并把执行的入口跳到最后一节。启发式扫描发现这些代码异常之后再对文件进行特征代码扫描,这样会明显地提高扫描效率。在Windows系统下PE文件程序入口点异常是该技术的一个关键判断条件,而如今出现了EPO类型的模糊入口点病毒,它采用的技术主要是为了躲避启发式扫描的查杀,因此对这种技术也提出了挑战。

2.5 传统反病毒方法面对黑客型病毒存在的不足

　　黑客型病毒不同于传统病毒,其感染机制是利用操作系统软件或常用应用软件中的设计缺陷而设计的。所以反病毒软件正常的警报系统是反映不出任何问题的。而黑客型病毒感染系统后却可以反客为主,破坏驻留在内存中的反病毒程序的进程。“求职信”、YAHA”、Goner”、“物B”等都属于这类病毒。黑客型病毒列出一个进程清单,隔一段时间对系统进程进行一次快照,删除进程清单中的反病毒程序。例如“怪物B”可以杀掉106个进程,几乎覆盖了全世界所有优秀的杀毒软件。可见黑客型病毒比传统病毒更有危害性,由被动变为主动攻击反病毒程序对系统的控制权。

　　黑客型病毒多是网络蠕虫类型,利用网络和系统漏洞感染计算机,感染速度快且完全清除十分困难。传统反病毒软件多数运行在单机系统,对于这种网络病毒往往在一定时期难以杀尽。所以传统反病毒软件在防御黑客型病毒时显得身单力薄。同时由于黑客型病毒的横行,系统失去反病毒软件的保护,传统病毒也会出来为虎作伥。这时进一步加大了网络安全的压力。

3 入侵检测系统反病毒技术及其存在的不足

　　入侵检测是继“防火墙”、“信息加密”等传统安全保护方法之后的新一代安全保障技术。它监视计算机系统或网络中发生的事件,并对它们进行分析,以寻找危及机密性、完整性、可用性或绕过安全机制的入侵行为。入侵检测系统(IDS)就是自动执行这种监视和分析过程的软件或硬件产品。传统的防火墙无法阻止、过滤来自内网的入侵行为,而据权威机构统计,60%的攻击来自内网。同时也由于防火墙技术缺乏用户交互操作的能力,所以出现了以主动防御为目的的入侵检测系统。IDS对来自内网和外网的攻击行为都能有很好的检测。IDS常用的类型是:基于专家系统的滥用检测系统(Misuse Detection System)和基于统计分析的非规则检测系统(Anomaly Detection System)。非规则检测系统是应用统计分析的方法,按一定的时间间隔采样系统的参数,如进程占用资源的情况,会话的开始结束时间等。根据一定的统计模型(如平均偏差)检测当前行为是否超过某一阈值,以判断是否发生入侵事件。黑客等网络病毒不同于一般的攻击行为,在时间上有一定的潜伏期。当病毒进入网络系统时各种系统的情况变化不大,所以该类IDS对黑客型病毒的防御先天不足。基于专家系统的IDS捕获网络中的数据包并根据专家规则库进行模式匹配,理论上可以防御以邮件或TCP/IP数据包形式传播的黑客型病毒,但是目前实际上防御能力极为有限。

4 针对黑客型病毒的新型网络防御方案

　　根据对传统反病毒技术的分析和对目前入侵检测反病毒技术的分析,提出了一种新型的针对黑客型病毒的网络防御体系方案。其体系结构示意图如图1所示。

4.1 病毒捕获虚拟网

　　如图1所示,在外网区域设置一个基于规则的入侵检测系统IDS1,将集线器连接在与放火墙并行的位置,而在IDS1后面建立虚拟的捕获网。捕获网负责诱骗黑客型病毒进入其虚拟环境,IDS1负责分析记录病毒的行为特性,并进一步完善IDS规则数据库。位于外网的IDS1其主要任务就是分析已知黑客型病毒的变形体,提取其规则并及时更新规则库,为内网的IDS2进行真正的检测作好准备工作。

　　同时IDS1采用特征检测法和统计分析法的有机结合,分析病毒捕获网的资源使用异常来察觉未知病毒的攻击和发作。当出现系统异常时,IDS1可以和防火墙联动,及时封锁进入内网的入侵病毒和黑客行为。

4.2 数据流与数据包二种检测粒度的结合

　　位于内网的IDS2是整个安全防御体系中真正工作的入侵检测系统。IDS2连接及时更新的规则数据库,可以比简单基于网络的IDS更多、更准确地完成病毒检测任务。但要查杀那些编写完善的多态变形病毒仍然效果不好,所以将虚拟机技术应用到网络检测中形成网络虚拟机。在IDS2中应用高效的网络虚拟机技术,在分析网络数据时,进行完整的数据重组、恢复,把网络连接作为数据流分析,而不是一个个孤立的数据包。采用IP分片重组和TCP会话状态维护技术,不但可以检测利用IP分片的攻击,还可以真实、完整地监测整个TCP会话过程,对TCP会话的各数据包进行关联性分析,从而确保了检测的准确性。虚拟机技术的应用体现了基于数据流和基于数据包检测的结合。

　　对规则数据库的规则进行粒度的细化,例如原来Snort规则对蠕虫病毒的检测是对附件文件名或主题的比较,检测方法停留在内容级别。现在采用传统病毒特征码提取的技术把对病毒的检测细化到源代码级别。这样检测的准确性提高,误警率降低。同时入侵检测系统大大分担了黑客型病毒给反病毒软件带来的压力,也在各主机之前加了一道反黑客型病毒的安全屏障。

4.3 入侵检测系统与反病毒系统联动

　　如图2所示,在内网区域内建立反病毒系统与入侵检测系统联动的体系结构。其核心机构是建立反病毒代理,实际上就是网络版的反病毒软件运行于一台服务器中。反病毒代理可以与分布在各主机上的反病毒软件通信。当IDS2发现异常时,如果自己检测粒度太大无法完成检测任务,则可通知反病毒代理,由其调动各主机中基于数据流的反病毒程序扫描系统。这样基于数据流与基于数据包的检测进一步现实化,在内网中形成了严密的防毒体系。

5  总  结

　　在分析近几年来利用系统漏洞发起感染网络的病毒基础上,阐述了该类新兴的具有黑客性质的计算机病毒执行行为与传统病毒的不同之处。通过与传统反病毒技术的比较,指出了现行反病毒技术在对付黑客型病毒方面的不足。另一方面分析了入侵检测系统对黑客型病毒检测的弱点。经过分析研究,将二种技术融合在一起,互相取长补短,提出一个融合二种检测粒度的安全防御体系来应对新兴的网络病毒。网络黑客病毒及它们的特点对信息安全提出了严峻的挑战,技术上需要不断地深入研究。

参考文献

1   唐正军.黑客入侵防护系统源代码分析.北京:机械工业出版社,2003

2   杨涛译.虚拟机的设计与实现——C/C++.北京:机械工业出版社,2003

3   张纪罗译.Pentium处理器结构与程序设计.北京:电子工业出版社,1996

4   Reed K D.Protocol Analysis.北京:电子工业出版社,2002