通过网络行为分析发现未知蠕虫病毒通过网络行为分析发现未知蠕虫病毒.pdfVIP

通过网络络行为分分析发现现未知蠕蠕虫病毒毒 （恶意意程序）  1. 网络行为为分析概概念  网络络行为是指每每个网络个体体为了完成数据据传输在网络络中被动或主主动接收发送送数据的过程程，它 包括括数据包括数数据链路层到到应用层所有数据。网络个个体在网络中中完成一个操操作可能要发发生多 个和和多种网络行行为，如网页浏浏览就会产生生ARP 、DNS、HTTP 等网络络行为，同样样的，蠕虫病毒、 恶意意程序等在传传播或攻击时时也都存在相应 为为。  应的网络行 网络络分析技术通通过旁路方式式捕获分析网络络里传输的底底层数据包，全面展现数数据链路层到应用 层的的信息，并提提供丰富的关关键参数，是记记录、分析网网络行为的最最佳手段。  本文文讨论的通过过网络行为来来发现未知的蠕虫病毒就是是基于网络分分析技术之上上的。  2. 传统手段段的不足足  当前前，大部份的网网络都是通过过防病毒软件件、防毒墙等对对网络病毒、、恶意代码进进行发现或处处理， 通常常，处理情况况如下：    从上上图可以看到到，系统补丁或或病毒库通常常都会落后于于病毒产生的的时间，且补补丁或库文件件在通 过网网络更新的时时候也存在感感染的风险，现现在病毒的变变种速度又非非常快，而且且会采用相应应的新 技术术，如免杀技技术、禁止杀杀软运行、内核驱动等。   免杀杀技术通常通通过花指令、加加壳、修改特特征码等方式式实现；禁止止杀毒软件运运行通常通过过结束 进程程、删除程序序、修改注册表表等方式实现现；内核驱动动则是改变处处理器的优先先权来进行，病毒 通过过生成驱动程程序，与杀毒软软件争抢系统统控制权限，通过修改SSSDT 表等技术术实现WINDDOWS  API HHOOK 。  注：在保护模式式下，X86 处理理器一共有4 个不同优先先级（Privilege Levels），英特尔的术语为 Ringg，从Ring0‐RRing3。Ring00 的优先级最最高，Ring3 最最低。按照设设计，Ring0 用于操作系统内 核，Ring1 和Rinng2 用于操作作系统服务，Ring3 用于应应用程序。 经过过以上的分析析发现，传统的技术手段已已经落后于当当前病毒、恶恶意代码的技技术，且传统统手段 对未未知的蠕虫病病毒毫无办法法，经过实践发发现，通过网络络行为则可以以有效的发现现未知蠕虫病病毒、 恶意意代码等异常常行为。  3. 蠕虫病毒毒的原理理  根据据蠕虫病毒的的原理和特性性，其通常具有“扫描、攻攻击、寄生、、传播、发作作”等几大功功能， 每一一个功能模块块具有不同的功能，如下图所示：    可以以看出，蠕虫病病毒在扫描、、传播、发作作等过程中，将将产生大量的的网络行为，根据实际分分析， 当终终端感染蠕虫虫病毒后，其其通讯行为通常具有以下特特征：   网络层 （IP 端点）  同大量的主机进行会会话，即IP 会会话很多，且且每个会话的的流量很少；  大多是发发送数据包，，且数据包较较小。   传输层 （UDP、TCPP 会话）  产生大大量的TCP 、或或UDP 会话，会话特征类类似（包括会会话时间、收收发数据包个个数、 流量等等）；  会话端端口也有相应应的特征，如采采用连续端口、固定端口口和随机端口口进行通讯；  发现的的TCP SYN 包，大部份没有有响应或拒绝绝。   应用层  应用流流量激增，会会话数增多，通通讯内容类似似，比较典型型的是邮件蠕蠕虫。  4. 通过网络络行为分分析快速速发现  4.1 未知邮件蠕蠕虫分析  在一次流量量巡检中，偶偶然发现单位的邮件流量异异常，即晚上上10 点以后后，网络里出现大 量的stmp 流流量：