【導(dǎo)讀】星安縣財(cái)政局信息化安全解決方案。星湘縱橫信息科技有限公司。湖南工業(yè)職業(yè)技術(shù)學(xué)院網(wǎng)絡(luò)技術(shù)專業(yè)教學(xué)資源庫

　　

【正文】 于行為分析的合法性檢查技術(shù)，用于對未知威脅的檢測和判斷，其基本原理如上圖所示。具體可以從如下四個(gè)方面理解： 從異常的行為入手。對操作系統(tǒng)的主要行為進(jìn)行統(tǒng)計(jì)，并對主要行為進(jìn)行相應(yīng)的監(jiān)控和報(bào)警。例如修改 Browser 特性的必定要改注冊表或者相關(guān)文件，所以我們可以通過對注冊表進(jìn)行監(jiān)視和報(bào)警；對于很多網(wǎng)頁木馬之類的病毒必定有一個(gè)下載文件的過程，同時(shí)簡單的會(huì)有一個(gè)相應(yīng)處理的方式，可以對此類行為進(jìn)行監(jiān)視和報(bào)警；對于鍵盤操作進(jìn)行記錄的病毒必定會(huì)有一個(gè)對鍵盤進(jìn)行消息處理進(jìn)行監(jiān)視的行為，我們也可 以據(jù)此進(jìn)行監(jiān)視，看哪些軟件進(jìn)行此類處理，進(jìn)而分析報(bào)警。 采用行為統(tǒng)計(jì)閾值技術(shù)。對于現(xiàn)在已知的各位入侵威脅和病毒等，把他們的各種行為進(jìn)行分析、統(tǒng)計(jì)，給每種行為一種權(quán)值。 通過人工智能的方法進(jìn)行訓(xùn)練。對于我們所給的權(quán)值有可能不太準(zhǔn)確，可以利用人工神經(jīng)網(wǎng)絡(luò)中的學(xué)習(xí)算法讓它調(diào)整權(quán)值等，從而達(dá)到一個(gè)準(zhǔn)確的權(quán)值，進(jìn)而正確的識別一個(gè)病毒。如圖所示，每一種威脅進(jìn)行都可以分解出若干有威脅的動(dòng)作，在確定其是一種威脅的前提下將這些動(dòng)作對應(yīng)的闕值進(jìn)行調(diào)整。在通過數(shù)萬次的訓(xùn)練后，這些行為動(dòng)作的闕值達(dá)到了一種相對準(zhǔn)確的狀態(tài)。 對未知威 脅進(jìn)行判斷。當(dāng)一個(gè)軟體進(jìn)入時(shí)，可以對其行為進(jìn)行跟蹤分解，并將其動(dòng)作行為與知識庫中的相應(yīng)條目比對，得出每個(gè)行為動(dòng)作的闕值，將所有動(dòng)作的闕值相加，權(quán)值之和 若 達(dá)到一個(gè)給定的閾值就認(rèn)為是一個(gè)入侵或病毒，否則就判斷為正確數(shù)據(jù)。 基于行為分析的合法性檢查技術(shù)給出了一種相對準(zhǔn)確的對于未知攻擊、威脅和病毒的檢測方法，對于 “ ZDay” 類攻擊具有很好的防范作用，是解決網(wǎng)絡(luò)邊界安全的重要技術(shù)創(chuàng)新。 行為分析技術(shù)邏輯圖 如圖 6 所示。 湖南工業(yè)職業(yè)技術(shù)學(xué)院 網(wǎng) 絡(luò)技術(shù)專業(yè)教學(xué)資源庫 15 圖 6 行為分析技術(shù)邏輯圖 3． 基于標(biāo)簽的融合式綜合匹配技術(shù) 傳統(tǒng) UTM 的深度內(nèi)容檢測匹配整個(gè)數(shù) 據(jù)流過濾過程可以抽象描述為圖 7 所示 。 用 戶 病毒特征碼 IDS 特征碼 內(nèi)容過濾特征碼 病毒特征匹配器 IDS 特征匹配器 內(nèi)容特征匹配器 數(shù)據(jù)流 病毒報(bào)警 / 響應(yīng) I DS 報(bào)警 / 響應(yīng) 內(nèi)容報(bào)警 / 響應(yīng) 其他特征碼 其他特征匹配器 其他報(bào)警 / 響應(yīng) 圖 7 傳統(tǒng) UTM 系統(tǒng)匹配過程邏輯 UTM 系統(tǒng)的特征匹配器采用多模串匹配算法，這種算法的匹配效率和特征關(guān)鍵的總數(shù)量相關(guān)性不大，和待過濾的數(shù)據(jù)流長短成正比關(guān)系。從圖中可以看出，由于數(shù)據(jù)是串行穿過每個(gè)匹配器，從而導(dǎo)致了輸入數(shù)據(jù)被多次匹配，從而降低了匹 配效率 ，如圖 8 所示。 湖南工業(yè)職業(yè)技術(shù)學(xué)院 網(wǎng) 絡(luò)技術(shù)專業(yè)教學(xué)資源庫 16 用 戶 病毒特征碼 IDS 特征碼 內(nèi)容過濾特征碼 2 標(biāo)簽 3 數(shù)據(jù)流 病毒報(bào)警 / 響應(yīng) I D S 報(bào)警 / 響應(yīng) 內(nèi)容報(bào)警 / 響應(yīng) 其他特征碼 標(biāo)簽 n 其他報(bào)警 / 響應(yīng) 標(biāo)簽 1 標(biāo)簽 2 標(biāo)簽 3 標(biāo)簽 n 融合式 綜合匹配器 標(biāo)簽 1 標(biāo)簽 2 標(biāo)簽 3 標(biāo)簽 n 圖 8 標(biāo)簽的融合式綜合匹配技術(shù) 基于標(biāo)簽的融合式綜合匹配技術(shù)在結(jié)構(gòu)上最大限度地融合了存在冗余功能 的模塊，從而避免了重復(fù)的數(shù)據(jù)還原、分析過程。同時(shí)將相關(guān)的特征碼加上標(biāo)簽，輸入同一個(gè)特征匹配器——融合式綜合匹配器，融合后的過濾模塊對輸入的數(shù)據(jù)只匹配一次，匹配到關(guān)鍵字后，根據(jù)相應(yīng)關(guān)鍵字的標(biāo)簽選擇報(bào)警 /響應(yīng)方式。這一步避免了對同一數(shù)據(jù)流進(jìn)行重復(fù)匹配過濾的操作。 4． 事件關(guān)聯(lián)分析技術(shù)與歸并處理機(jī)制 對用戶的多個(gè)網(wǎng)絡(luò)行為進(jìn)行關(guān)聯(lián)，是提高檢測精度的有效手段。比如一個(gè)用戶首先對HTTP 服務(wù)進(jìn)行了慢速 CGI掃描，服務(wù)端反饋的結(jié)果證明其運(yùn)行了可能含有漏洞的某個(gè) CGI，之后該用戶又發(fā)送了包含 ShellCode 的請求，從這兩 次行為分別看，每個(gè)都不能絕對的將其界定為惡意行為，如果將兩個(gè)行為聯(lián)系起來，則基本可以確定該行為的高風(fēng)險(xiǎn)等級。 針對大規(guī)模的監(jiān)測系統(tǒng)應(yīng)用中可能出現(xiàn)一個(gè)網(wǎng)絡(luò)異常行為在多個(gè)監(jiān)測點(diǎn)作為事件報(bào)告而形成事件洪流的問題，數(shù)據(jù)關(guān)聯(lián)性分析模塊首次提出并采用了基于統(tǒng)計(jì)分析的二次事件分析技術(shù)，能夠?qū)Σ煌瑫r(shí)間、不同地點(diǎn)、不同事件的大量信息進(jìn)行統(tǒng)一處理，簡潔、準(zhǔn)確地報(bào)告出正確的網(wǎng)絡(luò)安全事件。 大規(guī)模網(wǎng)絡(luò)的數(shù)據(jù)集中在一起分析，可以發(fā)現(xiàn)一些在局部網(wǎng)絡(luò)無法檢測的現(xiàn)象： 一對多的攻擊現(xiàn)象 比如病毒發(fā)作時(shí)的傳染行為，特點(diǎn)為一個(gè)源在一段時(shí)間內(nèi)向 多個(gè)目標(biāo)發(fā)動(dòng)攻擊行為。 多對一的攻擊現(xiàn)象 比如分布式拒絕服務(wù)行為，對網(wǎng)絡(luò)帶寬較大主機(jī)而言，這是最有效的拒絕服務(wù)攻擊方式。 攻擊傳遞現(xiàn)象 包括病毒的傳染， 以及黑客常用的手段：先攻擊一臺主機(jī)，再利用它攻擊其它計(jì)算機(jī)，具有很強(qiáng)的隱蔽性。 對于大規(guī)模的蠕蟲類、病毒類和分布攻擊事件，如果對事件的源、目的信息逐條記錄，將產(chǎn)生大量的報(bào)警日志信息，這對系統(tǒng)的正常運(yùn)行將產(chǎn)生不利影響。本系統(tǒng)支持對于事件的歸并處理技術(shù)，即對于事件可采取按源地址歸并、按目的地址歸并、按源或目的地址歸并的湖南工業(yè)職業(yè)技術(shù)學(xué)院 網(wǎng) 絡(luò)技術(shù)專業(yè)教學(xué)資源庫 17 歸并策略。這樣既可以降低事件的報(bào)警頻率、避 免日志洪流的產(chǎn)生，又可以明確攻擊發(fā)生的規(guī)模情況。 在極為罕見的情況下，如果發(fā)生海量事件生成，本系統(tǒng)將數(shù)據(jù)寫入存儲(chǔ)緩沖區(qū)中，供后期網(wǎng)絡(luò)空閑時(shí)系統(tǒng)自動(dòng)傳輸；如存儲(chǔ)緩沖區(qū)滿時(shí)，系統(tǒng)將采用按事件優(yōu)先級的淘汰策略，首先淘汰低優(yōu)先級事件的方式進(jìn)行處理，以確保事件的優(yōu)先存儲(chǔ)。 5． 應(yīng)用層協(xié)議類型識別技術(shù) 為了能夠?qū)?yīng)用層數(shù)據(jù)進(jìn)行入侵檢測、病毒檢測以及內(nèi)容過濾，我們首先需要識別應(yīng)用層協(xié)議類型，然后才能針對不同的協(xié)議給出相應(yīng)的具體處理方法。一般的協(xié)議類型識別方法是利用 RFC 規(guī)定的協(xié)議默認(rèn)端口來判斷協(xié)議的類型，然而，我們知道這 種方法的準(zhǔn)確性并不高，因此在我們的技術(shù)方案中，通過增加對后續(xù)數(shù)據(jù)報(bào)文內(nèi)容的分析來綜合判斷協(xié)議類型，同時(shí)我們也在底層平臺中設(shè)計(jì)了相應(yīng)的處理機(jī)制，以支持對協(xié)議類型的綜合判斷。 在 TCP/IP 網(wǎng)絡(luò)結(jié)構(gòu)下，應(yīng)用層的數(shù)據(jù)報(bào)文主要基于 UDP 和 TCP 兩種傳輸層之上，下面將從這兩個(gè)方面給出我們的技術(shù)方案。 UDP 數(shù)據(jù) 考慮到平臺的性能和實(shí)際應(yīng)用中，對于沒有上下文信息的數(shù)據(jù)，比如 IP 分片、 IP 數(shù)據(jù)和UDP 數(shù)據(jù)等，采用優(yōu)先級按照插件優(yōu)先級的順序進(jìn)行調(diào)用，根據(jù)高優(yōu)先級的插件的返回結(jié)果決定當(dāng)前數(shù)據(jù)是否提交低優(yōu)先級的插件處理。例如， 如果存在三個(gè)不同的 IP 層數(shù)據(jù)處理插件IPP IPP2，分別賦予三個(gè)插件優(yōu)先級 1， 2。當(dāng)監(jiān)控平臺捕獲網(wǎng)絡(luò)數(shù)據(jù)包 A 的時(shí)候，平臺首先調(diào)用優(yōu)先級最高的插件 IPP1，如果 IPP1 處理完成后返回 PASS 指令，則將當(dāng)前數(shù)據(jù)包繼續(xù)提交插件 IPP2，如果 IPP1 處理完成后返回的指令是 DROP，則拋棄當(dāng)前的數(shù)據(jù)包，不再提交優(yōu)先級較低的 IPP2 處理。這種方式可以有效避免同一數(shù)據(jù)包的重復(fù)處理，可以有效提高系統(tǒng)的整體性能。 TCP 數(shù)據(jù) 針對有上下文連接信息的 TCP 數(shù)據(jù)，采用競爭連接控制權(quán)的方式來決定處理插件。相對于網(wǎng)絡(luò)層的協(xié)議而言 ，應(yīng)用層的協(xié)議沒有統(tǒng)一的表示來表明協(xié)議的類型。目前，除了少數(shù)的協(xié)議（如： DNS 和 SMTP 協(xié)議）可以通過 TCP 連接的目的端口判定以外，其他的協(xié)議均可以變換連接的端口，比如 HTTP 協(xié)議雖然 RFC 規(guī)定默認(rèn)情況下使用 80 端口，但是實(shí)際應(yīng)用中，可以見到大量的網(wǎng)站采用其他端口，比如說 1080， 8080 等。因此，對于應(yīng)用層協(xié)議的判定，有必要通過對數(shù)據(jù)內(nèi)容進(jìn)行分析來進(jìn)行協(xié)議識別。但是應(yīng)用層協(xié)議種類繁多，內(nèi)容復(fù)雜，并且更新很快，通過平臺統(tǒng)一完成應(yīng)用層協(xié)議的識別既復(fù)雜又降低了平臺的通用性和可擴(kuò)展性，因此將具體協(xié)議的識別交給進(jìn)行 相應(yīng)協(xié)議處理的插件去完成，如圖 9 所示，每個(gè)數(shù)據(jù)報(bào)文按自上而下的順序依次傳遞給各插件進(jìn)行處理。 湖南工業(yè)職業(yè)技術(shù)學(xué)院 網(wǎng) 絡(luò)技術(shù)專業(yè)教學(xué)資源庫 18 H T T PS M T PP O P 3O t h e r sP a c k e tiP a c k e t1P a c k e tn 圖 9 插件的組織結(jié)構(gòu) 當(dāng)?shù)讓悠脚_捕獲一個(gè) TCP 連接的建立信息，平臺將這個(gè)連接建立的信息提交所有的 TCP協(xié)議處理插件進(jìn)行處理，每個(gè)插件的處理過程如圖 2 所示。所有的插件都必須對當(dāng)前連接的內(nèi)容進(jìn)行處理，判定當(dāng)前連接的類型是否是自己所能處理的協(xié)議。如果不是，則通過平臺提供的函數(shù) DROP_ME 通知平臺放棄當(dāng)前連接的處理權(quán)，如果插件識別出當(dāng)前的連接的協(xié)議和他所能處理的 協(xié)議吻合，插件通過函數(shù) KEEP_ME 通知平臺宣稱自己對于當(dāng)前連接的處理控制權(quán)，對于那些根據(jù)當(dāng)前信息還不能進(jìn)行有效判斷的功能插件，則可以使用函數(shù) PEND_ME通知平臺將自己掛在當(dāng)前連接上等待進(jìn)一步的更多的數(shù)據(jù)到來已完成有效的判斷。通過不斷到達(dá)的數(shù)據(jù)包驅(qū)動(dòng)上述過程，可以找到當(dāng)前連接的處理插件或者所有的插件均放棄對于當(dāng)前連接的處理權(quán)，如果找到了當(dāng)前連接的處理插件平臺需要通知調(diào)用了 PEND_ME 的插件釋放對于當(dāng)前連接的控制并完成現(xiàn)場銷毀。 由于可能出現(xiàn)在同一 TCP 連接中包含多個(gè)應(yīng)用層協(xié)議的問題，比如說使用 SOCKS 代理進(jìn)行 HTTP 訪問的 TCP 連接，連接的前一部分是 SOCKS 協(xié)議，而連接的后一個(gè)部分則為標(biāo)準(zhǔn)的 HTTP 協(xié)議，平臺提供函數(shù) RESTORE_ME 函數(shù)允許插件在完成協(xié)議分析以后將連接控制權(quán)交還給平臺讓平臺重新選擇當(dāng)前連接的處理插件。對于一個(gè) TCP 連接，平臺的狀態(tài)轉(zhuǎn)換圖 10 所示。 開 始不確定是否不 確 定 ( 有 限次 )P E N D _ M EKEEP_ME否P1P2P3DROP_MEDROP_MEPEND_MEKEEP_ME是RESTORE_ME重新處理P4 圖 10 插件的處理過程 我們的方法給出了一種協(xié)議類型識別及內(nèi)容分析的實(shí)現(xiàn)機(jī)制，它使得底層平臺具有良湖南工業(yè)職業(yè)技術(shù)學(xué)院 網(wǎng) 絡(luò)技術(shù)專業(yè)教學(xué)資源庫 19 好的通用性和可擴(kuò)展性。通過這一機(jī)制，我們力圖有效而準(zhǔn)確地識別應(yīng)用層協(xié)議類型，為 進(jìn)一步的協(xié)議內(nèi)容分析提供必要的幫助和支持。 6． 高速深層檢測技術(shù) 高精度應(yīng)用層協(xié)議分析 協(xié)議分析是深度檢測必不可少的環(huán)節(jié)，它可以減少特征匹配的計(jì)算量，提高匹配精度。但是深度的協(xié)議分析本身也需要相當(dāng)大的計(jì)算量，如何既保證特征匹配和文件還原所需的分析精確度，又不占用過多的資源，是高速環(huán)境下必須面對的課題。我們將主要通過以下兩方面來解決這一問題， 基于攻擊研究和特征知識庫選擇分析深度。協(xié)議分析不需要的無限制的精細(xì)，否則入侵防御系統(tǒng)將變成一個(gè)低效的應(yīng)用代理系統(tǒng)，協(xié)議分析應(yīng)該建立在對網(wǎng)絡(luò)攻擊研究的基礎(chǔ)上，對特征知識庫 中需要的協(xié)議信息進(jìn)行分析，這點(diǎn)的實(shí)現(xiàn)關(guān)鍵集中在攻擊研究上，軟件實(shí)現(xiàn)中可通過編譯時(shí)的條件控制和運(yùn)行時(shí)對特征庫進(jìn)行掃描設(shè)置相應(yīng)開關(guān)完成； 高效協(xié)議自識別算法。對于非周知端口的通信，需要通過內(nèi)容識別其所屬的協(xié)議類型。這一內(nèi)容識別的過程類似于攻擊檢測的特征識別過程，可以通過多階段分析和匹配算法的選擇降低計(jì)算開銷。 多模匹配算法選擇 由于在一個(gè)報(bào)文的匹配中，最為耗時(shí)的匹配運(yùn)算是在報(bào)文中匹配多個(gè)串模式。過去的幾十年中學(xué)術(shù)界提出了若干的多模匹配算法，并且在工業(yè)界得到了很好的應(yīng)用，比如 AC 算法、WM 算法在軟件檢測系統(tǒng)中證明 了其優(yōu)秀的性能。在以往的多模匹配算法通常是在理論分析的基礎(chǔ)上，在 IA32 架構(gòu)和隨機(jī)數(shù)據(jù)源上進(jìn)行實(shí)驗(yàn)選擇，且算法一經(jīng)確定就固化在軟件中。實(shí)際這樣得出的算法不能保證在所有的處理器架構(gòu)和數(shù)據(jù)源條件下都保證是已知算法中最優(yōu)的。 現(xiàn)在在學(xué)術(shù)界存在多種多串并行匹配的算法，在商業(yè)產(chǎn)品中應(yīng)用較多有 AhoCorasick、WuManber 和 ExB 算法或它們的變種。 根據(jù)研究發(fā)現(xiàn)，所有這些算法的性能分析全部是基于理想的存儲(chǔ)模型，忽略訪存的性能開銷。由于存儲(chǔ)器速度遠(yuǎn)低于處理器速度，兩者相差一個(gè)數(shù)量級以上，為避免存儲(chǔ)器效能低造 成系統(tǒng)整體的效能低下，絕大多數(shù)系統(tǒng)采用多級存儲(chǔ)結(jié)構(gòu)，增加少量的高速緩存隱藏存儲(chǔ)器的性能瓶頸。但是在多串匹配算法中，數(shù)據(jù)結(jié)構(gòu)非常龐大，并且匹配過程中不斷在非連續(xù)的地址間跳轉(zhuǎn)，此時(shí)高速緩存的命中率大幅下降，不考慮訪存開銷顯然已不能反映各算法在實(shí)際應(yīng)用中的效能。 實(shí)際上不存在一種普適的算法能夠在各種情況下都有最佳表現(xiàn)，同樣的算法可能在不同的數(shù)據(jù)源、特征集、處理器結(jié)構(gòu)上性能相差甚遠(yuǎn)。我們將結(jié)合具體的硬件（處理器）架構(gòu)和匹配規(guī)則的分布類型，將其抽象為與匹配算法效能相關(guān)的若干關(guān)鍵參數(shù)，計(jì)算出當(dāng)前適用的最優(yōu)算法