您的位置: 网界网 > 周报全文 > 正文

[周报全文]从甲型H1N1流感看木马检测防范

2009年09月28日 14:16:25 | 作者:启明星辰 吴海民 | 来源:网界网 | 查看本文手机版

摘要:本次世界范围内爆发的H1N1流感病毒在各国之间的通力配合之下,正在趋于平稳,而其防范和应对策略对我们防范木马程序有着一定的启示。

标签
木马检测
智点安全

【CNW.com.cn 专稿】本次世界范围内爆发的H1N1流感病毒在各国之间的通力配合之下,正在趋于平稳,而其防范和应对策略对我们防范木马程序有着一定的启示。

检测思路博弈

防范流感病毒的首要条件就是及时发现疑似病例,医院、机场等公共区域的重点监测,同时配合广泛的媒体宣传和报道。这些是从管理措施来提升检测的有效性。发现确诊案例后要提取样本,最终确定病毒样本,然后再进入到耐药性等一系列测试,以发现有效抗病毒药物。

现在的木马检测流程与这个过程有非常相似的地方,安全厂商及相关的实验室、研究机构通过截取、用户主动上报等方式获得新的木马样例。经过内部的脱壳、反编译等分析手段,发现木马的特征码,然后发布检测和清除方法。

如果说两者的不同点,还在于获取样本和分析周期上。相比较而言,对于单个木马的分析和特征提取比分析单个流感病毒更容易一些,投入相对小,分析周期快。但是从新样本增加的趋势来看,新型木马出现的数量、频度远高于新型流感病毒出现的数量、频度。2008年新增木马的数量是27.6万个,比2007年相对上升了5.6%,这个数字相当的惊人。

在探索中突破

人类对于流感病毒的及时检测还存在一定的缺陷。同样,对于新型木马检测目前在业界已经成了一个难题。现在,木马的数量发展速度已经远远超出了防病毒厂商的特征库更新能力。究其原因,其实是防病毒厂商的传统检测机制出了问题。由于木马的二进制属性和互联网的普及,木马的变化、新增能力远远超过自然界的病毒生物属性的变化能力。不转变检测思路,木马泛滥的问题是无法解决的。

不论是应对H1N1流感病毒,还是网络安全中的木马问题,从理论角度来看,都是可以用现有的动态安全模型PDR(Protect+Detection+Response)来考虑。

对于流感病毒,我们在防御、检测、响应三个层面都已经有了很大的提升。首先,医院的治疗条件在不断提高,中国的第一例HIN1患者成功出院就是证明。其次,在响应层面,对于这种事件,从世卫组织到国家的各级政府、卫生防疫部门都建立起了应急响应机制和预案,也没有问题。唯一要提高的是检测速度,目前检测体系已初步建立,重点是在传播环境去及时布控和发现。

对于木马检测思路的突破,其实也主要体现在以下三个环节:一是如何在传播链上及时发现木马。目前主流的木马传播方式是通过网页挂马。据调查,2008年在遭受木马攻击的用户中,有53%的是通过网页挂马方式中招,而且这一比例还在不断增加。因此,必须加强对网站的主动监查(+微信关注网络世界),一旦发现被挂马,及时采取措施,可以确保木马的危害面减小。同时通过检测挂马可以向上追溯,发现托管木马的恶意网站,及时查封并找到木马上传人员、木马制作人员,通过法律手段来进行管控。

二是如何及时判别新的木马和应对木马变种。基于特征检测的传统方式,面对数量急剧膨胀,必然带来检测效果的滞后性,无法满足当前形势的需要。但如果我们转换一种思路来看木马产生的本源,可能就会豁然开朗。木马是人用计算机语言来编写的,因此木马无论如何变化不会逃出人已知的范畴。木马要在计算机中运行,执行木马制作者的目的,就会有相应的行为和动作,而这种行为和动作是可以进行总结归纳的,归纳后形成的检测规则就可以用来指导木马检测。这和通过一个一个积累特征方式形成特征库相比,完全不在一个数量级。

三是检测支撑平台选择上的思路转变。医学上对于一种病毒的检测分析往往会采用活体实验的方式,但是不可能在人的身体上实验,通常是选择小白鼠。但是木马不同于生物病毒,对人体没有危害,我们可以通过现在流行的虚拟化技术来模拟实际计算机运行环境,在这个我们称为“沙箱”中来进行木马采样和充分分析。而且即使有危害,也不会扩散,很容易恢复。

[责任编辑:程永来 cheng_yonglai@cnw.com.cn]