木马检测属于网络安全技术吗网络安全等级备案查询

近期，一项借助搜索引擎页面，直接传播木马的新型"挂马"技术，在全球范围内首次出现。受微软"MPEG-2视频"0day漏洞影响，微软和中国电信合作的"114搜索"首当其冲，黑客将大量木马直接插入在搜索结果页面，悄然大肆传播。危害同时波及内嵌"114搜索"框的互联星空、等众多联盟网站。2009年7月对于互联网来说也许是黑色的，2009年上半年的互联网更是满目疮痍。

飞速发展的互联网加速了企业信息化建设进程，越来越多的企业开始将其业务系统移植到开放的互联网平台上来。伴随着营销理念和商业模式的转变，来自互联网的安全威胁也在逐渐凸显变化，常见的安全威胁来源，开始由传统的网络层和系统层，转向以恶意代码为代表的应用层。

据业内安全机构研究表明，截至今年7月，国内挂马网页累计高达2.9亿个，共有11.2亿人次网民遭木马攻击，平均每天有622万余人次网民访问挂马网站，其中大型网站、流行软件被挂马的有35万个，比去年同期有大幅度增长。

通过看似正常的互联网站点向用户传播木马等恶意程序，是一种极为隐蔽的攻击方法，很少有用户是因为了解自身操作系统、应用服务的脆弱性，而发现遭受攻击的。因此，在互联网上大量投放利用客户端漏洞的恶意代码，再"借助"用户对互联网站点的盲目信任，就能够很轻松地诱骗客户被动下载万恶的木马程序。当然，更多时候，首先植入用户主机的可能是一个下载器，它会自动连接远端的"木马养殖场"，下载更多恶意程序到本地执行，从而使得木马控制者能够获得某些敏感的数据，或通过渗透，最终获取用户主机的控制权限。

分析一次完整的"网页挂马"攻击过程，可以看到攻击者能够在整条攻击路径的多个环节介入，制造虚假的数据和恶意的流量，正是因为在多个防护层面缺少有效的安全监控机制，才使得攻击最后能够得逞。

为了有效监测并抑制木马等恶意程序的传播和扩散，至少可以从以下三个层面考虑，加以监控，包括：针对目标Web站点的安全评估、网络侧恶意流量检测，以及针对客户端主机的脆弱性检查。

相比其它两种检测方式，网络侧恶意流量检测方案能够为企业提供实时的风险感知能力，具备更低的部署成本，和更大的防护区域，该方案可在现有成熟的NIDS技术和产品进一步发展形成。

特征检测是NIDS应用最为成熟的一类技术，能够准确识别各种已知的攻击行为，并出示详尽的分析报告。该项技术的基本思路是：首先定义"异常流量"的事件特征（signature），如：带有非法TCP标志联合物的数据包、数据负载中的DNS缓冲区溢出企图、含有特殊病毒信息的电子邮件等，再将收集到的数据和已有的攻击特征库进行比较，从而发现违反企业安全策略的行为。该过程可以很简单，通过字符串匹配寻找一个简单的指令；也可以很复杂，使用正则表达式来描述安全状态的变化。

特征检测技术的核心在于建立和维护一个知识库，涉及的特征包括：简单的数据包头域信息，高度复杂的连接状态跟踪，以及可扩展的协议分析。一个经典的特征定义：明显违背RFC793规定的TCP标准，设置了SYN和FIN标记的TCP数据包。这种数据包被许多入侵软件采用，向防火墙、路由器以及IDS发起攻击。

为了规避NIDS的检测，攻击者往往会将恶意流量进行分片、压缩、编码等各种处理。此时，传统的特征检测技术，遇到了一定的技术瓶颈，需要引入智能协议识别和处理技术。

协议分析是在对网络数据流进行重组的基础上，深入分析网络报文的协议特征，发现其所在协议，然后递交给相应的协议分析引擎进行处理，对相关字段进行规则检测，实现4-7层深度协议解码。

只有准确理解事物的本质，才能对症下药，木马检测亦是如此。通过融合端口分析、协议特征判断、行为分析等技术，借助动态升级的木马特征库，先进的NIDS能够准确检测出运行在任意端口的木马，以及运用SmartTunnel技术的其它恶意程序。

构建和维护一套可用的攻击特征库，需要花费大量的精力，面对浩如烟海、种类繁多的攻击手段，特征检测模型只能发挥有限的效能，要更好地检测出未知的攻击，还要使用到异常检测技术。

异常检测技术通常先构建一个正常的用户行为集合，再比较被监测用户的实际行为模式，和正常模式之间的偏离程度，来判定用户行为的变化，最终确定是否属于入侵。

异常检测技术不需要过多依赖系统缺陷的相关知识，具有较强的适应性。无论攻击者如何变换攻击策略，通过检测行为模式之间的差异来判定是否异常，从而检测出未知的，甚至更为复杂的攻击。

异常检测技术主要用到"模式比较"和"聚类"两类算法，本文主要介绍模式比较算法在NIDS木马检测过程中的应用。

在模式比较算法中，首先通过关联规则和序列规则建立正常的行为模式，然后通过行为比较判定攻击。

关联规则挖掘是数据挖掘最为广泛应用的技术之
一，也是最早用于入侵检测的技术。关联规则从用户定义的"支持度"和"可信度"两个维度出发，设定用户合法行为的阈值，通过和用户实际行为的比较来发现攻击。同时，关联规则还会进一步分析一种行为与其它行为之间的相互关联性或相互依靠性，如从被挂马页面下载木马服务端程序的同时，接受远程客户端程序控制的可能性。

序列分析和关联分析类似，其目的也是为了挖掘出数据之间的关系，不同的是，序列规则增加了时间的概念，在检测分布式攻击和插入噪声的攻击时，这种方法比较有效。

下文将结合经常被僵尸网络（）利用的一种蠕虫（W32/IRCBot-TO）的特征和行为分析，介绍网络侧NIDS检测方法。

僵尸网络是指采用一种或多种传播手段，将大量主机感染僵尸程序（bot程序），从而在控制者和被感染主机之间所形成的一个一对多控制的网络。僵尸网络是一种恶意行为，拥有这些的人极不愿意让其他人登录到他的服务器中去，同时也为了防止其他黑客夺取其，他们会有意地隐藏服务器的基本信息，如连入的用户数、可见的用户数、服务器内所建立的频道等，这些信息本来是需要公布给聊天者的，现在却被攻击者有意隐藏了。

但是，由于加入到服务器中的所谓用户nickname是由bot程序自动生成，所以这些bot的nickname应该符合一定的生成算法，也就具有了某些规律，通常有IP地址表示法和系统表示法两种"命名规范"。

nIP表示法：将被感染了bot程序的主机（IP）归属国家的三位缩写放在开头，然后在后面加入指定长度的随机数字，如USA|8028032，CHA|8920340；

n系统表示法：将被感染bot程序的主机的系统类型作为开始的字母，然后在后面加上指定长度的随机数字，如xp|8034，2000|80956

这些nickname的规律性和正常IRCServer中的nickname的随意性是不相同的，其命名特征可以从得到的bot源码中发现并总结出来。

因为中感染bot程序的主机并不知道自己被控制，所以在没有控制者指令的条件下是不会有所行为的，更形象地讲他们的行为更像一个个僵尸。而在传播和准备发起攻击之前，都会有一些异常的行为，如发送大量的DNS查询（倾向于使用动态DNS定位C