PDF《Virus Detection System》

Virus Detection System――网络病毒监控系统的架构体系与研究方法 安天公司 版权所有 第1页/共13 页Virus Detection System ―― 网络病毒监控系统的架构体系与研究方法 肖新光

1 吴冰

2 云晓春

3 邱永良

4 (

1、4:中国安天实验室 哈尔滨 150006;

2、3:哈尔滨工业大学 哈尔滨 150006) 摘要 通过对传统的 IDS 结构进行分析,研究者认为传统的 IDS 的体系结构不适合对高速大 流量下的种类繁多的病毒进行检测.

为解决这个问题, 研究者以准确而高速的检测各种病毒 在网络中传输、扫描、攻击行为并兼有部分未知病毒检测能力为目标.提出了基于旁路监听 技术,采用归一化处理思想,面向算法效率的检测系统体系结构――Virus Detection System (VDS) ;

,实现了适用于骨干网络带宽条件,采用简单协议分流,并发大特征集高速匹配处 理和并发协议定位解析的检测体制. 论文通过引入 AVML、 DEDL 等新的技术描述体制论述 了VDS 使用的数据处理方式,并介绍了深度处理和未知发现的一般性方法. 关键词:计算机网络,安全,病毒,归一化方法,Virus Detection System 简介 根据 Antiy Cert 的统计,

2004 年全球病毒产生速度加快, 其中与网络相关的蠕虫、 后门、 木马数量均增量增长,全年共产生新病毒

20047 种,比03 年增长 41%,超过了 1986-1996 的十年总和,从而使全球病毒总数达到

7 万3千种. 由于网络相关的病毒对网络基础设施、信息系统环境压力和安全影响日趋加大,理论 和工程界都在不断的提出和修正有关的方法,Virus Detection System(以下简称 VDS)就是 本文作者所提出的一套体系化方法和对应架构. IDS 向VDS 的体制变化原因

1、IDS 体制是 VDS 体制的基础 VDS 与IDS(此处指 NIDS)系统设计的基本思路相同,都是基于若干检测规则,实现 不影响网络效率的检测与数据处理.因此 VDS 采用了 NIDS 的基本体制,选择了旁路监听 方式.即采用将网卡设置为混杂模式接入共享器(hub)端口或者接入交换机(switch)镜 像端口的方式实现网络数据的实时旁路捕获, 并对所获得的网络数据进行进一步的检测处理.

2、传统 IDS 体系架构 传统的网络 IDS 主要采用基于精细的协议解析分流网络数据后,通过若干个小特征库 的匹配的体系架构.图1为传统的网络 IDS 模型.捕获层首先捕获所有的网络通信内容, 并将收到的网络数据进行协议解析,解析出协议头部的各个域,然后据此进行数据分流,将 数据送入检测引擎进行对应协议的规则子集检测. 这里我们用归一化软件结构方法来解释传统 IDS 模型. 定义一:归一化方法,在面对大规模复杂事件处理的情况下,采取的对需要处理的事件 Virus Detection System――网络病毒监控系统的架构体系与研究方法 安天公司 版权所有 第2页/共13 页 做归类处理, 形成一个或一组的相应的处理模块和对应的可扩展数据结构与数据集合的规划 方法. 传统网络 IDS 的归一化方法是通过精细协议解析后,进行小规则集匹配.由于绝大多 数网络攻击行为与具体网络协议和服务存在依存关系, 因此对脱离了网络协议的特征描述可 以视为无效规则,所以精细协议解析有效的将待检测对象分流,避免无效规则检测. 这种方法有效缩小了规则集的规模,提高了检测效率.在IDS 系统发展的初始阶段, 影响系统效率的瓶颈问题一直是匹配速度.由于 IDS 检测算法的时间长度与纪录条数呈线 性关系, 因此获取最短检测时间的有效方式是最大程度的减少特征纪录的条数. 通过精细协 议解析实现小规模的特征库匹配, 提高了检测速度. 因此当前多数网络 IDS 都是采用与 snort 相似的架构:将数千条规则分配到几十个小型的按照协议归一化相关的特征库中.所以 IDS 的检测速度和检测粒度取决于三个主要因素:协议解析的深度、特征匹配的速度、特征库的 质量.其中检测的速度与协议解析的深度呈反比,而与特征匹配的速度成正比. 图一:传统 IDS 体制

3、网络病毒全面检测目标与传统的 IDS 体制的冲突 全面病毒检测应该包含如下的对象检测: 行为 说明 蠕虫主动传播 包括邮件蠕虫、口令猜测蠕虫等的主动发送自身的行为 病毒体传输 攻击者主动传递病毒的行为和染毒文件被下载等行为 病毒扫描 病毒所发出的扫描包和溢出包 病毒攻击 病毒感染节点发动的各种 DoS、DDoS 等攻击 病毒在线升级 具有 online update 能力的蠕虫的在线升级行为. 病毒握手连接 后门的握手过程 Virus Detection System――网络病毒监控系统的架构体系与研究方法 安天公司 版权所有 第3页/共13 页 其他病毒行为 如连接 IRC,接受控制指令等 表一:期望检测的病毒行为 为了更好的表示病毒检测的方法,我们引入 AVML 概念. 定义二:AVML ,AVML 是AntiVirus Markup Language(病毒检测规则描述语言 Virus detection rule scription language)的缩写,是一种文本化的描述病毒检测与处理规则 的方法. AVML 由Antiy Labs 在与哈尔滨工业大学的公益性研究计划 OBAV (Open Base Antivirus) 计划中提出, 在此前有关论文中也将 AVML 称为 VCC(Virus Characteristic Characterization). 下面示例为通过 AVML 表示的 Backdoor.Win32.bo.a 后门文件的检测方式. Echo irus(id= B00801 ;

type= Backdoor ;

os= Win32 ;

format= pe ;

name= bo ;

version= a ;

size=

124928 ;

Port_listen=on[31337];

content=|81EC0805000083BC240C050000005356 57557D148B8424240500008BAC242005000050E9950500000F85800500008B|;

delmark=1) 假定需要检测 Backdoor.bo 通过 FTP 服务上载, 可以把 AVML 描述转化为类似 Snort 风 格的 IDS 规则. alert tcp $EXTERNAL_NET any ->

$HOME_NET

21 (msg: Backdoor.bo.a Upload ;

content: |81EC0805000083BC240C05000000535657557D148B8424240500008BAC242005000050E9950 500000F85800500008B |;

) 如果需要检测 Backdoor.bo 通过 NETBIOS 服务进行自身复制, 则对应的 Snort 风格规则 如下, alert tcp $EXTERNAL_NET any ->

$HOME_NET

139 (msg: Backdoor.bo.a Copy ;

content: |81EC0805000083BC240C05000000535657557D148B8424240500008BAC242005000050E9950 500000F85800500008B |;

). 可以发现,除了系统前端的分流机制的变化,两条规则的检测方式是一致的,如果采用 snort 的分流体制,并期望与原有规则的整合,则规则集将出现冗余(如图二) ,由于病毒规 则集的庞大,冗余部分远大于原有 IDS 规则规模.如果保留原有的 snort 体制,把病毒规则 检测作为一个公共前置或者后置部分, 则检测过程出现冗余. 同时网络协议中存在多种........