文 档 等 级 : 公 开 产 品 技 术 手 册 百 太 明 观 NTDS 网 络 威 胁 检 测 系 统 上 海 百 太 信 息 科 技 有 限 公 司 http://www.patatek.com 2016 年 5 月 版 本 号 :V3.0
百 太 明 观 网 络 威 胁 检 测 系 统 V3.0 技 术 手 册 本 技 术 手 册 阐 述 了 百 太 明 观 网 络 威 胁 检 测 系 统 的 功 能 本 技 术 手 册 阐 述 了 百 太 明 观 网 络 威 胁 检 测 系 统 的 特 性 本 技 术 手 册 阐 述 了 百 太 明 观 网 络 威 胁 检 测 系 统 的 应 用 模 式 和 部 署 方 案 版 权 所 有 2016 上 海 百 太, 保 留 所 有 权 利 2016 年 5 月 未 经 上 海 百 太 信 息 科 技 有 限 公 司 书 面 许 可, 本 技 术 手 册 任 何 部 分 的 内 容 不 得 被 复 制 或 抄 袭 用 于 任 何 商 业 或 盈 利 活 动 本 技 术 手 册 所 展 示 的 内 容 会 由 于 时 间 跨 度 的 原 因 与 上 海 百 太 信 息 科 技 有 限 公 司 提 供 的 最 新 产 品 或 服 务 内 容 出 现 不 一 致 的 情 况, 请 留 意 版 本 信 息 本 技 术 手 册 的 内 容 在 未 经 通 知 的 情 形 下 可 能 会 发 生 改 变, 欢 迎 随 时 索 取 最 新 版 本 除 已 经 声 明 之 外, 本 技 术 手 册 提 及 一 些 产 品 或 技 术 还 可 能 是 以 下 或 其 它 产 品 供 应 商 的 权 益 : Microsoft Windows XP Professional Windows2003 Server Windows 2008 Server SQL Server.NET 是 Microsoft 公 司 的 注 册 商 标 Intel IA 是 Intel 公 司 的 注 册 商 标 -I-
百 太 明 观 网 络 威 胁 检 测 系 统 V3.0 技 术 手 册 联 系 卡 片 : 上 海 百 太 信 息 科 技 有 限 公 司 Shanghai Pata Technology Co., Ltd. 地 址 : 上 海 市 中 山 北 一 路 1250 号 3 号 楼 1007-1008 室 电 话 :021-60918598 传 真 :021-60918595 欢 迎 访 问 : http://www.patatek.com 建 议 意 见 :support@patatek.com 文 档 修 改 记 录 序 号 文 档 版 本 类 型 编 制 者 审 核 人 备 注 1 V3.0 创 建 田 玉 龙 陈 江 勇 2015/8/1 2 V3.1 修 改 陈 志 俊 景 生 光 2016/5/25 -II--II-
目 录 一 概 述...- 1-1.1 引 言...- 1-1.2 信 息 安 全 堡 垒 的 脆 弱 性 分 析...- 1-1.3 风 险 分 析...- 3 - 二 NTDS 网 络 威 胁 检 测 系 统 介 绍...- 7-2.1 NTDS 系 统 检 测 功 能...- 7-2.1.1 僵 尸 网 络...- 7-2.1.2 远 程 控 制...- 8-2.1.3 网 站 后 门... - 10-2.1.4 网 页 篡 改... - 11-2.1.5 DDOS 攻 击... - 15-2.1.6 漏 洞 利 用... - 19-2.1.7 网 络 盗 号...- 20-2.1.8 网 站 欺 诈... - 22-2.1.9 数 据 泄 漏... - 23-2.1.10 其 他 威 胁...- 26-2.2 NTDS 网 络 检 测 系 统 核 心 技 术...- 26-2.2.1 威 胁 感 知 技 术...- 26-2.2.2 威 胁 匹 配 检 测 技 术...- 27-2.2.3 威 胁 延 伸 分 析 技 术... - 28 - 三 NTDS 网 络 威 胁 检 测 系 统 部 署 方 案... - 29-3.1 系 统 单 机 化 部 署... - 29-3.2 分 布 式 架 构 部 署... - 29-3.3 软 硬 件 需 求... - 30-3.3.1 网 络 探 针... 错 误! 未 定 义 书 签 3.3.2 管 理 控 制 台... 错 误! 未 定 义 书 签 四 NTDS 网 络 威 胁 检 测 系 统 技 术 特 点... - 33-4.1 先 进 的 软 件 架 构 ( 大 流 量 探 针 多 级 分 布 式 )... - 33-4.2 多 重 引 擎 分 析... - 33 - -III--II I-
一 概 述 1.1 引 言 随 着 互 联 网 技 术 的 快 速 发 展, 使 其 在 人 们 日 常 的 生 活 中 发 挥 着 越 来 越 重 要 的 作 用 互 联 网 技 术 不 仅 提 高 了 人 们 的 办 公 效 率, 而 且 也 为 国 际 间 的 交 流 合 作 带 了 极 大 的 便 利, 人 们 的 生 产 生 活 越 来 越 依 赖 于 互 联 网 然 而 伴 随 网 络 应 用 发 展 的 同 时, 各 种 网 络 安 全 威 胁 也 不 断 产 生, 已 经 成 为 阻 碍 网 络 应 用 快 速 发 展 的 重 要 因 素 之 一 网 络 安 全 威 胁 从 早 期 单 一 的 病 毒 威 胁 已 经 逐 渐 演 变 成 恶 意 代 码 木 马 蠕 虫 僵 尸 网 络 等 各 种 新 的 威 胁, 而 且 呈 现 出 危 害 程 度 更 大, 危 害 面 更 广 等 特 点 1.2 信 息 安 全 堡 垒 的 脆 弱 性 分 析 习 近 平 总 书 记 指 出 : 没 有 网 络 安 全, 就 没 有 国 家 安 全 以 互 联 网 为 核 心 的 网 络 空 间 已 成 为 继 陆 海 空 天 之 后 的 第 五 大 战 略 空 间, 各 国 均 高 度 重 视 网 络 空 间 的 安 全 问 题 2013 年, 斯 诺 登 披 露 的 棱 镜 门 事 件 如 同 重 磅 炸 弹, 更 是 引 发 了 国 际 社 会 和 公 众 对 网 络 安 全 的 空 前 关 注 维 护 国 内 互 联 网 网 络 安 全, 是 保 障 各 领 域 信 息 化 工 作 持 续 稳 定 发 展 的 先 决 条 件 我 国 面 临 互 联 网 的 安 全 态 势 主 要 呈 现 以 下 几 方 面 : 1) 2013 年, 国 家 信 息 安 全 漏 洞 共 享 平 台 (CNVD) 向 企 业 通 报 漏 洞 风 险 事 件 518 起, 较 2012 年 增 长 超 过 一 倍 按 漏 洞 风 险 类 型 分 类, 其 中 通 用 软 硬 件 信 息 泄 露 权 限 绕 过 SQL 注 入 弱 口 令 等 类 型 较 多, - 1 -
分 别 占 比 42.1% 15.3% 12.7% 12.0% 和 11.2% 有 相 当 一 部 分 部 分 企 业 的 接 入 层 网 络 设 备 被 攻 击 控 制, 网 络 单 元 稳 定 运 行 以 及 用 户 数 据 安 全 受 到 威 胁 2) 政 府 网 站 面 临 威 胁 依 然 严 重, 地 方 政 府 网 站 成 为 重 灾 区 政 府 网 站 因 其 公 信 力 高 影 响 力 大, 容 易 成 为 黑 客 攻 击 目 标 2013 年, 我 国 政 府 网 站 被 篡 改 和 植 入 后 门 的 情 况 依 然 严 重, 我 国 境 内 被 篡 改 网 站 数 量 为 24034 个, 较 2012 年 增 长 46.7%, 其 中 政 府 网 站 被 篡 改 数 量 为 2430 个, 较 2012 年 增 长 34.9%, 由 于 地 方 政 府 与 企 业 存 在 技 术 和 管 理 水 平 有 限 网 络 安 全 防 护 能 力 薄 弱 人 员 和 资 金 投 入 不 足 等 问 题, 其 网 站 服 务 器 成 为 黑 客 控 制 的 资 源 节 点 一 些 政 府 部 门 及 企 业 收 到 预 警 通 报 后 置 之 不 理, 导 致 安 全 威 胁 长 期 存 在 ; 另 一 些 政 府 部 门 及 企 业 则 只 针 对 安 全 事 件 简 单 清 除, 未 对 网 站 进 行 详 细 检 测 和 加 固 处 理, 导 致 反 复 多 次 遭 受 攻 击 3) 2013 年, 互 联 网 与 金 融 行 业 深 度 融 合, 以 余 额 宝 现 金 宝 理 财 通 等 为 代 表 的 互 联 网 金 融 产 品 市 场 火 爆, 在 线 经 济 活 动 日 趋 活 跃 但 与 此 同 时, 钓 鱼 网 站 数 量 继 续 迅 速 增 长, 针 对 我 国 银 行 等 境 内 网 站 的 钓 鱼 页 面 30199 个, 涉 及 IP 地 址 4240 个, 分 别 较 2012 年 增 长 35.4% 和 64.6%, 欺 骗 了 广 大 网 民 数 亿 元 4) 我 国 仍 面 临 大 量 来 自 境 外 地 址 的 攻 击 威 胁 2013 年, 境 外 有 3.1 万 台 主 机 通 过 植 入 后 门 对 境 内 6.1 万 个 网 站 实 施 远 程 控 制, 虽 然 境 外 控 制 主 机 数 量 较 2012 年 下 降 4.3%, 但 所 控 制 的 境 内 网 站 数 量 却 大 幅 增 长 62.1% - 2 -
a) 同 样, 网 络 安 全 威 胁 事 件 也 给 企 业 带 来 了 极 大 困 扰 和 负 面 影 响 : 5) 2014 年 3 月 22 日 携 程 出 现 重 大 安 全 漏 洞, 携 程 安 全 支 付 日 志 可 遍 历 下 载, 导 致 大 量 用 户 银 行 卡 信 息 泄 露 ( 包 含 持 卡 人 姓 名 身 份 证 银 行 卡 号 卡 CVV 码 6 位 卡 Bin) 尽 管 漏 洞 仅 持 续 了 两 个 多 小 时, 不 过 事 件 引 发 的 恐 慌 仍 在 持 续 目 前 看 来, 该 漏 洞 引 发 的 担 忧 和 愤 怒 大 大 超 过 了 漏 洞 造 成 的 实 际 危 害 本 身 6) 2014 年 4 月 8 日 曝 出 严 重 的 OpenSSL 安 全 漏 洞 这 个 漏 洞 使 攻 击 者 能 够 从 内 存 中 读 取 多 达 64 KB 的 数 据, 用 户 登 录 该 网 站 时 就 可 能 被 黑 客 实 时 监 控 到 登 录 账 号 和 密 码 等 敏 感 的 信 息 7) 2015 年 1 月 机 锋 论 坛 被 曝 出 存 在 高 危 漏 洞, 多 达 2300 万 用 户 的 信 息 遭 遇 安 全 威 胁 4 月, 重 庆 上 海 山 西 贵 州 河 南 等 省 市 卫 生 和 社 保 系 统 被 曝 出 现 大 量 高 危 漏 洞, 数 千 万 用 户 的 社 保 信 息 可 能 因 此 被 泄 露, 其 中 包 括 个 人 身 份 证 社 保 参 保 信 息 财 务 薪 酬 房 屋 等 敏 感 信 息 8) 2015 年 9 月, 国 家 旅 游 局 漏 洞 致 6 套 系 统 沦 陷, 涉 及 全 国 6000 万 客 户 6W+ 旅 行 社 账 号 密 码 百 万 导 游 信 息 ; 并 且 攻 击 者 可 利 用 该 漏 洞 进 行 审 核 拒 签 等 操 作 通 过 该 漏 洞, 安 全 工 作 者 获 取 了 一 则 长 长 的 名 单, 能 够 直 接 观 看 到 每 位 用 户 的 详 细 行 程 及 个 人 信 息 由 此 可 见 我 国 面 临 的 网 络 安 全 问 题 之 严 峻, 作 为 一 种 日 趋 严 重 的 互 联 网 安 全 威 胁, 已 成 为 安 全 领 域 研 究 者 所 共 同 关 注 的 热 点 1.3 风 险 分 析 - 3 -
根 据 互 联 网 安 全 报 告 最 新 数 据 显 示, 在 全 球 网 络 安 全 事 件 中, 主 要 存 在 的 安 全 威 胁 包 括 : 系 统 后 门 ; 网 站 挂 马 ; 网 页 篡 改 ; DOS/DDOS; 注 入 攻 击 ; 跨 站 脚 本 (XSS) 攻 击 ; 漏 洞 利 用 ; 僵 尸 网 络 ; 远 程 控 制 ; 网 络 盗 号 ; 病 毒 / 木 马 / 蠕 虫 ; 敏 感 信 息 泄 露 等 目 前, 为 避 免 网 络 安 全 受 到 威 胁, 各 大 运 营 商 金 融 证 券 企 业 重 要 政 府 职 能 机 关 等 单 位, 从 人 力 物 力 财 力 和 技 术 等 各 方 面 都 加 强 了 投 入, 加 强 了 人 员 的 管 理 和 监 督 力 度, 购 买 了 各 种 入 侵 监 测 和 防 护 设 备, 使 得 政 府 金 融 和 国 家 企 事 业 的 网 络 安 全 威 胁 得 到 了 较 为 有 效 的 控 制, 但 是 由 于 购 置 的 网 络 设 备 和 管 理 比 较 复 杂, 而 且 面 临 的 - 4 -
网 络 安 全 威 胁 也 在 不 断 的 升 级 和 变 化, 因 此, 依 旧 每 年 存 在 大 量 的 各 类 网 络 安 全 事 件 1.4 传 统 IDS IPS 产 品 的 局 限 与 传 统 的 IDS 和 IPS 相 比,NTDS 检 测 系 统 能 够 发 现 的 安 全 威 胁 种 类 更 多, 更 全, 发 现 安 全 入 侵 事 件 的 准 确 率 更 高 传 统 的 IDS IPS 等 安 全 设 备, 主 要 关 注 于 黑 客 的 行 为 活 动 和 非 系 统 安 全 本 身 例 如 : 对 于 黑 客 的 端 口 扫 描 尝 试 口 令 破 解 等 活 动, 传 统 的 IDS 设 备 会 有 大 量 的 告 警, 其 实 这 些 大 部 分 是 黑 客 无 效 的 尝 试 活 动, 并 不 能 说 明 系 统 存 在 安 全 问 题 这 种 监 测 方 式 对 于 局 域 网 内 部 小 流 量 来 说 是 可 以 接 受 的, 我 们 的 分 布 式 小 探 针 也 提 供 类 似 的 功 能, 而 且 还 对 大 量 重 复 的 告 警 做 了 的 压 缩, 方 便 用 户 查 看 然 而 对 于 主 干 网 流 量, 会 存 在 大 量 的 各 种 黑 客 活 动, 这 种 告 警 方 式 是 不 可 接 受 我 们 的 检 测 系 统 对 这 种 黑 客 行 为 作 了 过 滤, 平 台 发 现 的 都 是 黑 客 的 成 功 入 侵 事 件, 每 个 入 侵 事 件 都 说 明 系 统 本 身 确 实 存 在 着 安 全 问 题, 并 且 用 户 可 以 自 行 验 证 系 统 的 安 全 问 题 另 外, 传 统 的 IDS 和 IPS 主 要 是 对 流 量 进 行 被 动 的 误 用 检 测, 会 存 在 大 量 的 误 报, 而 监 控 平 台 采 用 被 动 检 测 和 主 动 检 测 相 结 合 的 误 用 检 测 和 异 常 行 为 检 测 相 结 合 的 方 式, 极 大 减 少 了 安 全 事 件 的 误 报 率, 提 高 了 监 测 结 果 的 准 确 性 最 后, 安 全 威 胁 监 测 在 于 与 时 俱 进, 传 统 的 IDS IPS 其 特 征 库 往 往 不 怎 么 更 新, 导 致 能 够 监 测 的 安 全 威 胁 的 数 量 和 种 类 较 为 有 限, 而 监 测 平 台 有 专 业 的 队 伍 在 不 断 的 收 集 最 新 的 安 全 威 胁, 能 够 及 时 的 发 现 最 新 的 各 类 安 全 威 胁 目 前, NTDS 检 测 中 心 除 了 能 识 别 当 下 主 流 的 僵 尸 木 马 蠕 虫 威 胁 外, 还 在 漏 - 5 -
洞 利 用 敏 感 信 息 泄 露 及 钓 鱼 网 站 等 方 面 同 样 具 有 较 高 的 识 别 能 力, 每 天 可 以 监 测 出 的 各 类 威 胁 事 件 并 且 可 及 时 验 证 随 着 安 全 威 胁 事 件 的 频 繁 爆 光 及 威 胁 事 件 升 级, 针 对 目 前 国 内 外 的 各 类 威 胁 事 件, 监 测 中 心 对 威 胁 事 件 的 识 别 准 确 率 已 达 到 90% 以 上 的 业 内 较 高 水 平 - 6 -
二 NTDS 网 络 威 胁 检 测 系 统 介 绍 2.1 NTDS 系 统 检 测 功 能 2.1.1 僵 尸 网 络 2.1.1.1 功 能 描 述 僵 尸 网 络 ( 英 文 名 称 叫 BotNet), 是 互 联 网 上 受 到 黑 客 集 中 控 制 的 一 群 计 算 机, 往 往 被 黑 客 用 来 发 起 大 规 模 的 网 络 攻 击, 如 分 布 式 拒 绝 服 务 攻 击 (DDoS) 海 量 垃 圾 邮 件 等, 同 时 黑 客 控 制 的 这 些 计 算 机 所 保 存 的 信 息 也 都 可 被 黑 客 随 意 取 用 因 此, 不 论 是 对 网 络 安 全 运 行 还 是 用 户 数 据 安 全 的 保 护 来 说, 僵 尸 网 络 都 是 极 具 威 胁 的 隐 患 僵 尸 网 络 的 威 胁 也 因 此 成 为 目 前 一 个 国 际 上 十 分 关 注 的 问 题 然 而, 发 现 一 个 僵 尸 网 络 是 非 常 困 难 的, 因 为 黑 客 通 常 远 程 隐 蔽 地 控 制 分 散 在 网 络 上 的 僵 尸 主 机, 这 些 主 机 的 用 户 往 往 并 不 知 情 因 此, 僵 尸 网 络 是 目 前 互 联 网 上 黑 客 最 青 睐 的 作 案 工 具 NTDS 可 及 时 发 现 僵 尸 主 机 的 行 为 并 报 警 NTDS 通 过 深 度 分 析 数 据 包 的 行 为 数 据, 实 时 分 析 出 僵 尸 主 机 的 IP 地 址 和 所 属 区 域 运 营 商, 以 及 控 制 僵 尸 主 机 的 黑 客 的 信 息 和 网 络 数 据, 如 IP 地 址, payload 数 据 包, 绝 对 URL 地 址 等, 方 便 用 户 能 够 及 时 了 解 自 己 是 否 被 黑 客 利 用, 成 为 僵 尸 主 机 对 DDOS 攻 击 对 象 进 行 了 非 法 的 攻 击 行 为 - 7 -
2.1.1.2 应 急 处 理 当 看 到 NTDS 报 警 显 示 机 器 成 为 僵 尸 主 机 后, 应 立 即 开 始 查 杀 工 作 首 先 安 装 杀 毒 软 件, 并 保 证 杀 毒 软 件 病 毒 库 的 更 新 如 果 依 然 不 能 查 杀 僵 尸 主 机 程 序, 可 选 择 相 对 应 的 僵 尸 主 机 专 业 查 杀 工 具 进 行 全 盘 查 杀, 更 可 选 择 交 叉 查 杀, 直 至 僵 尸 病 毒 被 清 除 2.1.2 远 程 控 制 2.1.2.1 功 能 描 述 所 谓 远 程 控 制, 是 指 管 理 人 员 在 异 地 通 过 计 算 机 网 络 异 地 拨 号 或 双 方 都 接 入 Internet 等 手 段, 连 通 需 被 控 制 的 计 算 机, 将 被 控 计 算 机 的 桌 面 环 境 显 示 到 自 己 的 计 算 机 上, 通 过 本 地 计 算 机 对 远 方 计 算 机 进 行 配 置 软 件 安 装 程 序 修 改 等 工 作 远 程 控 制 在 给 用 户 带 来 诸 多 便 利 的 同 时, 也 存 在 着 极 大 的 安 全 隐 患, 特 别 是 保 密 要 求 较 高 的 单 位, 使 用 远 程 控 制 不 当, 可 能 会 使 电 脑 处 于 失 控 状 态, 极 易 导 致 失 泄 密 事 件 的 发 生 远 程 控 制 的 主 要 安 全 隐 患 有 两 点 : 一 是 具 有 相 当 的 隐 蔽 性 由 于 远 程 控 制 器 与 木 马 同 宗 同 源, 所 以 安 装 起 来 也 非 常 方 便 隐 蔽 例 如, 一 款 名 为 酷 鬼 的 电 脑 远 程 控 制 软 件, 其 安 装 盘 和 密 钥 盘 与 普 通 U 盘 无 异, 而 且 本 身 就 是 一 个 128M 的 U 盘, 直 接 插 入 被 控 电 脑 点 击 安 装 即 可, 稍 加 改 进 就 可 以 实 现 隐 蔽 地 自 动 安 装, 相 当 于 在 被 控 电 脑 中 安 插 了 一 个 会 随 时 报 告 情 况 的 间 谍 - 8 -
二 是 存 在 着 危 险 漏 洞 远 程 控 制 要 求 被 控 电 脑 打 开 相 应 的 端 口, 还 采 用 了 内 网 穿 透 技 术, 可 穿 透 内 网 防 火 墙, 轻 松 连 接 两 台 不 同 局 域 网 甚 至 不 同 地 域 的 电 脑 进 行 远 程 控 制, 在 方 便 用 户 的 同 时, 也 为 黑 客 寻 找 网 络 攻 击 路 径 和 漏 洞 留 下 了 方 便 之 门 有 的 远 程 控 制 软 件 在 进 行 远 程 控 制 时, 会 给 软 件 提 供 商 发 送 数 据, 从 而 暴 露 被 控 电 脑 的 信 息 一 些 免 费 的 远 程 控 制 软 件 还 存 在 着 后 门, 不 但 用 户 可 以 控 制 被 控 电 脑, 软 件 开 发 者 也 可 以 轻 松 控 制 被 控 电 脑, 这 无 异 于 引 狼 入 室 2.1.2.2 应 急 处 理 当 你 意 识 到 系 统 正 在 被 控 制 后, 应 立 即 采 取 相 应 的 应 急 措 施 应 急 处 理 流 程 如 下 : 第 一 步 : 重 新 启 动 计 算 机 ( 最 好 是 采 取 硬 启 动 ); 第 二 步 : 切 断 网 络, 控 制 都 是 由 网 络 作 为 载 体 ; 第 三 步 : 远 程 控 制 同 样 是 由 计 算 机 的 端 口 负 责 传 输 控 制 信 息, 屏 蔽 所 有 未 使 用 的 端 口 删 除 除 Administrator 以 外 所 有 用 户, 并 修 改 Administrator 用 户 的 密 码 是 对 付 利 用 合 法 程 序 控 制 的 方 式 如 果 确 定 是 木 马 控 制, 那 对 付 木 马 控 制 的 方 式 具 有 多 样 性, 因 为 每 种 木 马 程 序 彻 底 清 除 的 方 法 有 所 区 别 一 般 的 步 骤 是 : 1. 系 统 进 入 后 不 执 行 任 何 EXE 程 序, 进 行 扫 描 杀 毒 ; 2. 修 改 ( 修 补 ) 注 册 表 被 修 改 的 部 分, 促 使 木 马 的 客 户 端 不 被 重 新 启 动 ; 3. 使 用 防 火 墙, 监 视 所 有 的 UDP 控 制 数 据 包, 再 查 看 日 志 是 否 有 非 法 的 IP 进 行 连 接, 由 此 确 定 木 马 的 清 除 是 否 成 功 - 9 -
2.1.3 网 站 后 门 2.1.3.1 功 能 描 述 网 站 后 门 本 质 上 是 一 种 为 入 侵 者 下 次 入 侵 提 供 便 利 的 脚 本 接 口 文 件 黑 客 入 侵 者 得 逞 了 之 后, 往 往 会 用 自 己 的 方 式 留 下 后 门, 方 便 下 次 再 来 进 入 该 系 统 在 设 置 网 站 后 门 后, 黑 客 会 尽 可 能 的 隐 藏 这 个 后 门 不 被 发 现, 对 后 门 进 行 伪 装, 比 如 修 改 文 件 名 一 句 话 木 马 开 放 端 口 并 且 监 听 创 建 影 子 账 户 等 如 果 管 理 员 发 现 问 题 后, 就 会 尽 可 能 的 处 理 被 发 现 的 问 题, 比 如 清 除 已 经 存 在 的 网 页 木 马 等, 但 是 只 要 没 有 清 理 掉 入 侵 者 留 下 的 后 门, 那 么 入 侵 者 下 次 来 的 时 候, 一 样 会 很 容 易 的 进 行 入 侵, 让 管 理 员 防 不 胜 防 叫 苦 不 已, 最 后 还 可 能 导 致 系 统 被 严 重 破 坏 2.1.3.2 应 急 处 理 后 门 主 要 分 为 网 页 后 门 和 病 毒 后 门 如 果 属 于 网 页 后 门, 管 理 员 会 比 较 容 易 处 理, 比 如 一 句 话 木 马 文 件 上 传 漏 洞 权 限 验 证 漏 洞 以 及 SQL 注 入 漏 洞 等 许 多, 这 类 后 门 的 处 理, 只 要 使 用 NTDS 网 络 威 胁 分 析 监 测 系 统 进 行 扫 描, 即 可 一 网 打 尽 如 果 黑 客 留 下 了 病 毒 方 式 的 后 门, 比 如 创 建 了 影 子 账 户, 开 启 了 某 些 端 口 在 监 听, 劫 持 了 数 据 包 的 发 送 和 接 收... 等, 那 么 建 议 先 备 份 重 要 的 文 件, 然 后 杀 毒 并 且 重 新 安 装 系 统, 安 装 新 系 统 之 后, 立 即 设 置 系 统 安 全, 包 括 数 据 库 降 权 数 据 库 危 险 存 储 过 程 删 除 磁 盘 权 限 设 - 10 -
置 端 口 设 置 等, 然 后 开 启 护 卫 神 的 各 类 监 控 实 时 处 理, 最 后, 再 开 启 服 务 器 即 可 2.1.4 网 页 篡 改 2.1.4.1 功 能 描 述 网 页 恶 意 篡 改 一 般 是 网 络 犯 罪 分 子 非 法 获 得 受 害 网 站 控 制 权 后, 对 网 页 内 容 进 行 修 改, 主 要 包 括 : 向 网 页 植 入 木 马 病 毒 或 非 法 网 站 链 接 在 网 页 中 发 布 虚 假 信 息 对 网 页 中 的 交 易 信 息 进 行 修 改 等 网 页 被 篡 改 的 行 为 也 会 带 来 非 常 多 的 危 害, 主 要 有 : 1 形 象 受 损 : 政 府 或 企 业 门 户 网 站 的 网 页 被 篡 改 后, 访 问 者 将 看 到 被 涂 鸦 的 页 面, 会 导 致 广 大 民 众 对 政 府 或 企 业 信 息 安 全 防 护 能 力 的 怀 疑, 更 会 担 心 政 府 或 企 业 的 人 才 建 设 和 制 度 管 理 等 诸 多 问 题, 给 政 府 或 企 业 的 可 信 形 象 打 上 问 号 2 影 响 信 息 传 达 : 网 页 被 篡 改 后, 访 问 者 将 无 法 获 取 自 己 需 要 的 内 容, 政 府 或 企 业 发 布 的 各 种 信 息 将 得 不 到 传 达, 影 响 了 信 息 的 发 布 和 传 播, 假 如 黑 客 非 法 破 坏 了 网 站 的 数 据 库, 更 长 的 系 统 恢 复 时 间 将 带 来 深 远 的 影 响 3 恶 意 发 布 信 息 : 有 些 黑 客 会 篡 改 网 页 的 内 容, 以 政 府 或 企 业 名 义 发 布 恶 意 和 不 良 信 息 及 言 论, 从 而 导 致 社 会 恐 慌 或 引 发 政 治 危 机 - 11 -
4 木 马 病 毒 传 播 : 黑 客 入 侵 政 府 或 企 业 网 站 后, 会 在 网 页 中 插 入 木 马 和 病 毒 程 序, 来 访 者 将 会 被 感 染, 从 而 导 致 计 算 机 病 毒 的 传 播, 引 发 系 统 崩 溃 数 据 损 坏 和 银 行 账 号 被 盗 等 严 重 后 果 5 引 发 泄 密 事 件 : 因 为 工 作 需 要 政 府 或 企 业 办 公 人 员 会 经 常 会 访 问 政 府 或 企 业 网 站, 一 旦 访 问 了 被 植 入 木 马 的 网 页, 木 马 程 序 会 自 动 搜 集 并 传 走 电 脑 中 的 各 种 文 档, 将 可 能 引 发 严 重 的 泄 密 事 件, 后 果 不 堪 设 想 2.1.4.2 日 常 防 护 由 于 主 要 的 网 站 是 面 向 互 联 网 开 放 访 问 的, 而 互 联 网 作 为 一 个 公 开 的 网 络, 任 何 国 内 和 国 外 的 来 访 者 均 有 可 能 对 网 站 实 施 攻 击, 因 此 网 站 安 全 防 护 工 作 的 难 度 是 可 想 而 知 的, 因 此, 鉴 于 来 访 者 的 不 确 定 性 和 不 可 控 性, 应 该 优 先 考 虑 做 好 技 术 防 范 工 作, 主 要 可 采 取 以 下 技 术 手 段 : 1 给 服 务 器 打 上 最 新 的 安 全 补 丁 程 序 这 些 补 丁 程 序 包 含 操 作 系 统 应 用 程 序 数 据 库 等, 都 需 要 打 上 最 新 的 安 全 补 丁, 这 个 步 骤 是 非 常 必 要 的, 因 为 是 程 序 内 部 的 问 题, 是 安 全 产 品 难 以 替 代 的, 主 要 是 为 了 防 止 缓 冲 溢 出 和 设 计 缺 陷 等 攻 击 2 封 闭 未 用 但 开 放 的 网 络 服 务 端 口 对 于 Windows 2000 而 言 可 以 用 TCP/IP 筛 选 器, 对 于 Windows 2003 可 以 用 自 带 的 防 火 墙, 当 然 也 可 以 通 过 操 作 比 较 复 杂 的 IP 安 全 策 略 来 实 现,Linux 可 以 用 自 带 的 IPTable 防 火 墙, 本 工 作 是 一 个 非 常 简 单 的 任 务, 但 会 大 大 降 低 服 务 器 被 入 侵 的 可 能 性 - 12 -
3 合 理 设 计 网 站 程 序 并 编 写 安 全 代 码 网 站 目 录 设 计 上 尽 可 能 将 只 需 要 读 权 限 的 脚 本 和 需 要 有 写 权 限 的 目 录 单 独 放 置, 尽 量 不 要 采 用 第 三 方 不 明 开 发 插 件, 将 网 站 的 程 序 名 字 按 照 一 定 的 规 律 进 行 命 名 以 便 识 别 ; 编 写 代 码 过 程 重 要 注 意 对 输 入 串 进 行 约 束, 过 滤 可 能 产 生 攻 击 的 字 符 串, 需 要 权 限 的 页 面 要 加 上 身 份 验 证 代 码 4 设 置 复 杂 的 管 理 员 密 码 无 论 是 系 统 管 理 员 Administrator 和 Root, 还 是 FTP 及 网 站 管 理 员 的 密 码, 都 务 必 要 设 置 为 复 杂 密 码, 如 : 不 少 于 8 位 ; 至 少 包 含 有 字 母 大 写 字 母 小 写 和 数 字 及 特 殊 字 符 ; 不 要 有 明 显 的 规 律 等 5 设 置 合 适 的 网 站 权 限 网 站 权 限 设 置 包 括 网 站 目 录 文 件 的 权 限 和 网 站 虚 拟 目 录 的 权 限, 网 站 目 录 文 件 权 限 设 置 原 则 是 : 只 给 需 要 写 入 的 目 录 以 写 的 权 限, 其 它 全 为 只 读 权 限 ; 网 站 虚 拟 目 录 的 权 限 设 置 原 则 是 ; 只 给 需 要 执 行 脚 本 的 目 录 赋 予 执 行 脚 本 的 权 限, 其 它 目 录 均 为 无 6 安 装 专 业 的 网 站 防 火 墙 很 多 网 站 安 装 有 防 火 墙 仍 然 被 黑 客 入 侵 了, 经 过 分 析 发 现, 其 实 这 些 用 户 大 多 安 装 的 是 普 通 硬 件 防 火 墙 或 个 人 防 火 墙, 普 通 硬 件 防 火 墙 大 多 是 以 过 滤 IP 和 端 口 为 主, 辅 以 NAT 地 址 转 换 和 身 份 认 证 等 管 理 功 - 13 -
能, 对 于 网 站 安 全 防 护 方 面 几 乎 没 有 什 么 价 值, 而 个 人 防 火 墙 是 面 向 个 人 电 脑 不 太 考 虑 可 靠 性 和 资 源 占 用, 实 际 应 用 上 不 仅 对 网 站 防 护 起 不 到 作 用, 相 反 可 能 会 导 致 网 速 变 慢 系 统 不 稳 定 等 问 题 7 网 站 数 据 备 份 备 份 备 份 再 备 份!! 我 们 必 须 做 好 数 据 备 份 工 作, 因 为 无 论 是 黑 客 入 侵 硬 件 故 障 等 问 题 都 可 导 致 数 据 丢 失, 但 我 们 可 以 用 备 份 尽 快 的 恢 复 业 务, 所 以 一 定 制 订 好 持 续 的 数 据 备 份 方 案 8 安 全 管 理 制 度 任 何 技 术 手 段 的 实 施, 如 : 打 安 全 补 丁 网 站 权 限 设 置 复 杂 的 密 码 防 火 墙 规 则 等, 都 需 要 人 来 进 行 完 成, 若 没 有 良 好 的 制 度 来 指 导 和 管 理, 那 么 一 切 都 将 是 空 话, 因 此, 制 订 好 一 套 行 之 有 效 的 制 度, 把 技 术 手 段 贯 彻 下 去 是 非 常 必 要 的 2.1.4.3 应 急 处 理 即 便 是 再 好 的 技 术 和 管 理, 也 不 能 保 证 攻 击 事 件 不 会 发 生, 因 此 我 们 要 时 刻 做 好 网 页 被 篡 改 的 准 备, 一 旦 发 现 自 己 网 站 被 篡 改, 应 及 时 做 好 以 下 工 作 : 准 备 好 相 应 的 检 查 记 录 和 恢 复 工 具 - 14 -
1 准 备 好 规 范 的 应 急 步 骤, 一 旦 发 生, 以 便 有 条 不 紊 的 尽 快 予 以 恢 复, 并 进 行 记 录 和 总 结 2 网 站 数 据 进 行 恢 复 3 查 找 可 能 存 在 的 漏 洞 和 后 门 程 序, 也 就 是 找 出 被 篡 改 的 途 径 4 必 要 时, 可 保 护 现 场 并 进 行 报 案 处 理 等 总 之 定 期 维 护 自 己 的 网 站 是 必 须 的, 比 如 : 关 注 网 站 使 用 组 件 的 官 方 动 态, 定 期 对 网 站 进 行 安 全 检 测, 发 现 网 站 存 在 漏 洞 了 及 时 修 复, 自 主 学 习 网 站 安 全 相 关 注 意 事 项 等, 了 解 常 见 漏 洞 的 防 御 方 法, 避 免 漏 洞 被 利 用, 网 站 被 篡 改 时 的 措 手 不 及 2.1.5 DDOS 攻 击 2.1.5.1 功 能 描 述 DDOS 攻 击 即 分 布 式 拒 绝 服 务 攻 击 分 布 式 拒 绝 服 务 (DDoS: Distributed Denial of Service) 攻 击 指 借 助 于 客 户 端 / 服 务 器 技 术, 将 多 个 计 算 机 联 合 起 来 作 为 攻 击 平 台, 对 一 个 或 多 个 目 标 发 动 DoS 攻 击, 从 而 成 倍 地 提 高 拒 绝 服 务 攻 击 的 威 力 通 常, 攻 击 者 使 用 一 个 偷 窃 帐 号 将 DDoS 主 控 程 序 安 装 在 一 个 计 算 机 上, 在 一 个 设 定 的 时 间 主 控 程 序 将 与 大 量 代 理 程 序 通 讯, 代 理 程 序 已 经 被 安 装 在 Internet 上 的 许 多 计 算 机 上 代 理 程 序 收 到 指 令 时 就 发 动 攻 击 利 用 客 户 端 / 服 务 器 技 术, 主 - 15 -
控 程 序 能 在 几 秒 钟 内 激 活 成 百 上 千 次 代 理 程 序 的 运 行 DDOS 攻 击 会 造 成 目 标 网 络 的 流 量 大 增, 使 得 正 常 用 户 无 法 登 陆 或 使 用 资 源 或 服 务 2.1.5.2 日 常 防 范 到 目 前 为 止, 进 行 DDoS 攻 击 的 防 御 还 是 比 较 困 难 的 首 先, 这 种 攻 击 的 特 点 是 它 利 用 了 TCP/IP 协 议 的 漏 洞, 除 非 你 不 用 TCP/IP, 才 有 可 能 完 全 抵 御 住 DDoS 攻 击 一 位 资 深 的 安 全 专 家 给 了 个 形 象 的 比 喻 : DDoS 就 好 象 有 1,000 个 人 同 时 给 你 家 里 打 电 话, 这 时 候 你 的 朋 友 还 打 得 进 来 吗? 不 过 即 使 它 难 于 防 范, 也 不 是 说 防 止 DDoS 攻 击 是 绝 对 不 可 行 的 事 情, 互 联 网 的 使 用 者 是 各 种 各 样 的, 与 DDoS 做 斗 争, 我 们 需 要 不 同 的 角 色 通 力 合 作, 而 不 同 的 角 色 有 不 同 的 任 务 我 们 以 下 面 几 种 角 色 为 例 : 1. 企 业 网 管 理 员 网 管 员 做 为 一 个 企 业 内 部 网 的 管 理 者, 往 往 也 是 安 全 员 守 护 神 在 他 维 护 的 网 络 中 有 一 些 服 务 器 需 要 向 外 提 供 WWW 服 务, 因 而 不 可 避 免 地 成 为 DDoS 的 攻 击 目 标, 他 该 如 何 做 呢? 可 以 从 主 机 与 网 络 设 备 两 个 角 度 去 考 虑 主 机 上 的 设 置 几 乎 所 有 的 主 机 平 台 都 有 抵 御 DoS 的 设 置, 总 结 一 下, 基 本 的 有 几 种 : 1) 关 闭 不 必 要 的 服 务 2) 限 制 同 时 打 开 的 Syn 半 连 接 数 目 3) 缩 短 Syn 半 连 接 的 time out 时 间 - 16 -
4) 及 时 更 新 系 统 补 丁 网 络 设 备 上 的 设 置 企 业 网 的 网 络 设 备 可 以 从 防 火 墙 与 路 由 器 上 考 虑 这 两 个 设 备 是 到 外 界 的 接 口 设 备, 在 进 行 防 DDoS 设 置 的 同 时, 要 注 意 一 下 这 是 以 多 大 的 效 率 牺 牲 为 代 价 的, 对 你 来 说 是 否 值 得 1. 防 火 墙 禁 止 对 主 机 的 非 开 放 服 务 的 访 问 限 制 同 时 打 开 的 SYN 最 大 连 接 数 限 制 特 定 IP 地 址 的 访 问 启 用 防 火 墙 的 防 DDoS 的 属 性 严 格 限 制 对 外 开 放 的 服 务 器 的 向 外 访 问 ( 第 五 项 主 要 是 防 止 自 己 的 服 务 器 被 当 做 工 具 去 害 人 ) 2. 路 由 器 ( 以 Cisco 路 由 器 为 例 ) Cisco Express Forwarding(CEF) 使 用 unicast reverse-path 访 问 控 制 列 表 (ACL) 过 滤 设 置 SYN 数 据 包 流 量 速 率 升 级 版 本 过 低 的 ISO 为 路 由 器 建 立 log server 2. ISP / ICP 管 理 员 - 17 -
ISP / ICP 为 很 多 中 小 型 企 业 提 供 了 各 种 规 模 的 主 机 托 管 业 务, 所 以 在 防 DDoS 时, 除 了 与 企 业 网 管 理 员 一 样 的 手 段 外, 还 要 特 别 注 意 自 己 管 理 范 围 内 的 客 户 托 管 主 机 不 要 成 为 傀 儡 机 客 观 上 说, 这 些 托 管 主 机 的 安 全 性 普 遍 是 很 差 的, 有 的 连 基 本 的 补 丁 都 没 有 打 就 赤 膊 上 阵 了, 成 为 黑 客 最 喜 欢 的 " 肉 鸡 ", 因 为 不 管 这 台 机 器 黑 客 怎 么 用 都 不 会 有 被 发 现 的 危 险, 它 的 安 全 管 理 太 差 了 ; 还 不 必 说 托 管 的 主 机 都 是 高 性 能 高 带 宽 的 - 简 直 就 是 为 DDoS 定 制 的 而 做 为 ISP 的 管 理 员, 对 托 管 主 机 是 没 有 直 接 管 理 的 权 力 的, 只 能 通 知 让 客 户 来 处 理 在 实 际 情 况 时, 有 很 多 客 户 与 自 己 的 托 管 主 机 服 务 商 配 合 得 不 是 很 好, 造 成 ISP 管 理 员 明 知 自 己 负 责 的 一 台 托 管 主 机 成 为 了 傀 儡 机, 却 没 有 什 么 办 法 的 局 面 3. 骨 干 网 络 运 营 商 骨 干 网 络 运 营 商 提 供 了 互 联 网 存 在 的 物 理 基 础 如 果 骨 干 网 络 运 营 商 可 以 很 好 地 合 作 的 话,DDoS 攻 击 可 以 很 好 地 被 预 防 在 2000 年 yahoo 等 知 名 网 站 被 攻 击 后, 美 国 的 网 络 安 全 研 究 机 构 提 出 了 骨 干 运 营 商 联 手 来 解 决 DDoS 攻 击 的 方 案 其 实 方 法 很 简 单, 就 是 每 家 运 营 商 在 自 己 的 出 口 路 由 器 上 进 行 源 IP 地 址 的 验 证, 如 果 在 自 己 的 路 由 表 中 没 有 到 这 个 数 据 包 源 IP 的 路 由, 就 丢 掉 这 个 包 对 DDoS 的 原 理 与 应 付 方 法 的 研 究 一 直 在 进 行 中, 找 到 一 个 既 有 效 又 切 实 可 行 的 方 案 不 是 一 朝 一 夕 的 事 情 但 目 前 我 们 至 少 可 以 做 到 把 自 己 的 网 络 与 主 机 维 护 好, 首 先 让 自 己 的 主 机 不 成 为 别 人 利 用 的 对 象 去 攻 - 18 -
击 别 人 ; 其 次, 在 受 到 攻 击 的 时 候, 要 尽 量 地 保 存 证 据, 以 便 事 后 追 查, 一 个 良 好 的 网 络 和 日 志 系 统 是 必 要 的 无 论 DDoS 的 防 御 向 何 处 发 展, 这 都 将 是 一 个 社 会 工 程, 需 要 IT 界 的 同 行 们 来 一 起 关 注, 通 力 合 作 2.1.6 漏 洞 利 用 2.1.6.1 功 能 描 述 漏 洞 利 用 是 攻 击 者 能 够 在 未 授 权 的 情 况 下 利 用 硬 件 软 件 协 议 的 具 体 实 现 或 系 统 安 全 策 略 上 存 在 的 缺 陷 进 行 访 问 或 破 坏 系 统 漏 洞 利 用 产 生 的 影 响 主 要 有 以 下 几 个 方 面 : 1 数 据 : 访 问 本 来 不 可 访 问 的 数 据, 包 括 读 和 写 这 一 条 通 常 是 攻 击 者 的 核 心 目 的, 而 且 可 造 成 非 常 严 重 的 灾 难 ( 如 银 行 数 据 可 被 人 写 ) 2 权 限 : 主 要 为 权 限 绕 过 或 权 限 提 升 通 常 权 限 提 升 都 是 为 了 获 得 期 望 的 数 据 操 作 能 力 3 可 用 性 : 获 得 对 系 统 某 些 服 务 的 控 制 权 限, 这 可 能 导 致 某 些 重 要 服 务 被 攻 击 者 停 止 而 导 致 拒 绝 服 务 攻 击 4 认 证 : 通 常 利 用 认 证 系 统 的 漏 洞 而 不 用 受 权 就 能 进 入 系 统 通 常 认 证 绕 过 都 是 为 权 限 提 升 或 直 接 的 数 据 访 问 服 务 的 5 代 码 执 行 : 主 要 是 让 程 序 将 输 入 的 内 容 作 为 代 码 来 执 行, 从 而 获 得 远 程 系 统 的 访 问 权 限 或 本 地 系 统 的 更 高 权 限 这 个 角 度 是 SQL 注 入 内 存 指 针 游 戏 类 漏 洞 ( 缓 冲 区 溢 出 格 式 串 整 形 溢 出 等 等 ) 等 的 主 要 驱 动 这 个 角 度 通 常 为 绕 过 系 统 认 证 权 限 提 升 数 据 读 取 做 - 19 -
准 备 的 2.1.6.2 应 急 处 理 对 于 漏 洞 利 用 的 应 急 处 理 就 是 及 时 找 到 漏 洞 所 在, 然 后 修 补 漏 洞, 亡 羊 补 牢, 避 免 黑 客 下 次 依 旧 从 原 路 径 攻 入, 但 是 这 对 于 普 通 的 技 术 管 理 人 员 来 说, 不 是 那 么 容 易 定 位, 因 此 操 作 起 来 具 有 一 定 难 度 目 前 漏 洞 利 用 的 处 理 也 是 体 现 在 日 常 的 管 理 和 维 护 中, 主 要 包 括 : 修 复 漏 洞, 及 时 打 补 丁, 求 助 于 专 业 人 员 等 2.1.7 网 络 盗 号 2.1.7.1 功 能 描 述 网 络 盗 号 就 是 通 过 一 定 的 网 络 手 段, 盗 取 他 人 账 号 和 密 码 凡 未 经 帐 号 所 有 者 授 权 而 用 非 常 的 网 络 手 段 获 取 他 人 账 号 及 密 码 的 行 为 都 可 以 视 为 网 络 盗 号, 目 前 主 要 利 用 网 络 网 络 盗 号 钓 鱼 网 站 网 游 箱 子 等 手 段 网 络 盗 号 危 害 不 言 而 喻, 它 主 要 目 的 是 盗 取 用 户 的 有 价 值 的 帐 号, 比 如 说 银 行 卡 号 QQ 帐 号 ( 即 使 帐 号 本 身 不 值 钱, 但 不 排 除 这 些 盗 号 者 会 以 你 的 名 义 向 你 的 朋 友 索 要 财 物 ) 还 有 游 戏 帐 号 ( 虚 拟 装 备 等 ) 网 银 帐 号 ( 存 在 网 银 网 络 盗 号, 你 没 有 提 供 很 好 的 网 银 保 护 措 施, 网 银 资 金 会 被 盗 号 者 转 走 ), 所 以 说 网 络 盗 号 最 大 的 危 害 是 会 造 成 用 户 的 经 济 损 失, 后 果 相 对 广 大 群 众 而 言 极 其 严 重 - 20 -
2.1.7.2 应 急 处 理 既 然 了 解 了 盗 号 的 手 段, 就 可 以 有 针 对 性 的 提 前 对 帐 号 进 行 保 护 保 护 手 段 主 要 有 以 下 几 种 : 1. 针 对 非 技 术 性 盗 号, 要 求 帐 号 所 有 者 对 自 己 的 帐 号 要 保 密, 不 要 向 任 何 不 可 信 的 人 泄 漏 在 网 吧 等 公 共 场 所 使 用 网 络 帐 号 时 要 注 意 是 否 有 人 偷 窥 2. 不 要 登 陆 那 些 所 谓 的 领 奖 网 站, 一 般 游 戏 或 者 其 他 帐 号, 官 方 有 活 动 时, 一 般 会 在 官 网 上 公 布, 不 会 在 游 戏 中 用 世 界 频 道 私 聊 等 方 式 通 知 玩 家 3. 去 自 己 不 熟 悉 的 网 吧 要 留 心 网 吧 安 装 着 键 盘 监 控 程 序 此 时 不 妨 使 用 软 键 盘 + 键 盘 输 入 4. 使 用 密 保 卡 虽 然 盗 号 技 术 有 所 增 长, 许 多 密 保 卡 都 被 破 译 了 但 是 毕 竟 比 没 有 要 好 得 多 可 是 如 果 您 的 计 算 机 一 旦 中 了 网 络 盗 号, 那 么 黑 客 盗 取 您 密 码 和 证 件 号 码 就 如 囊 中 取 物, 因 为 您 的 所 有 操 作 都 在 他 / 她 的 监 视 之 下 对 付 击 键 记 录, 目 前 有 一 种 比 较 普 遍 的 方 法 就 是 通 过 软 键 盘 输 入 软 键 盘 也 叫 虚 拟 键 盘, 用 户 在 输 入 密 码 时, 先 打 开 软 键 盘, 然 后 用 鼠 标 选 择 相 应 的 字 母 输 入, 这 样 就 可 以 避 免 木 马 记 录 击 键, 另 外, 为 了 更 进 一 步 保 护 密 码, 用 户 还 可 以 打 乱 输 入 密 码 的 顺 序, 这 样 就 进 一 步 增 加 了 黑 客 破 解 密 码 的 难 度 5. 在 家 中 上 网 的 要 安 装 正 版 的 杀 毒 软 件 和 防 火 墙, 并 经 常 升 级 杀 毒 还 需 要 打 开 杀 毒 软 件 的 实 时 监 控 功 能, 时 刻 监 控 计 算 机 与 外 界 之 间 的 数 据 流 - 21 -
6. 在 公 共 场 合 下 线 或 退 出 之 后, 建 议 去 修 改 密 码, 为 了 帐 号 的 安 全, 请 勿 浏 览 不 明 网 站 色 情 网 站 或 外 挂 网 站, 因 为 很 多 此 类 网 站 都 会 有 木 马 和 病 毒 7. 不 要 点 击 陌 生 人 发 送 的 文 件 自 己 的 账 号 莫 名 其 妙 的 下 线 后, 不 要 再 次 登 录 8. 不 要 在 所 有 的 网 站 使 用 相 同 的 帐 号 密 码, 避 免 黑 客 在 得 到 一 个 网 站 的 帐 号 密 码 以 后 撞 库 来 取 得 你 其 他 网 站 的 个 人 资 料 或 帐 号 密 码 定 期 修 改 自 己 的 帐 号 密 码, 培 养 起 一 种 安 全 意 识 2.1.8 网 站 欺 诈 2.1.8.1 功 能 描 述 网 站 欺 诈 主 要 是 为 达 到 某 种 目 的 在 网 络 上 以 各 种 形 式 向 他 人 骗 取 财 物 的 欺 诈 手 段, 网 络 钓 鱼 是 当 前 最 为 常 见 也 较 为 隐 蔽 的 网 络 欺 诈 形 式 所 谓 网 络 钓 鱼, 是 指 犯 罪 分 子 通 过 使 用 盗 号 木 马 网 络 监 听 以 及 伪 造 的 假 网 站 或 网 页 等 手 法, 盗 取 用 户 的 银 行 账 号 证 券 账 号 密 码 信 息 和 其 他 个 人 资 料, 然 后 以 转 账 盗 款 网 上 购 物 或 制 作 假 卡 等 方 式 获 取 利 益 2.1.8.2 应 急 处 理 1 链 接 要 安 全 在 提 交 任 何 关 于 你 自 己 的 敏 感 信 息 或 私 人 信 息 ( 尤 其 是 你 的 信 用 卡 - 22 -
号 ) 之 前, 一 定 要 确 认 网 站 的 可 靠 性, 以 及 数 据 已 经 加 密, 并 且 是 通 过 安 全 连 接 传 输 的 ( 例 如 Https:// 开 头 的 连 接 ) 2 保 护 电 脑 安 全 确 保 电 脑 防 火 墙 防 毒 软 体 等 维 持 最 新 更 新 状 态, 以 防 各 类 病 毒 或 木 马 侵 入 在 线 进 行 大 额 度 交 易 前, 最 好 先 查 查 电 脑 是 否 中 毒 2.1.9 数 据 泄 漏 2.1.9.1 功 能 描 述 数 据 泄 漏 是 指 通 过 一 定 的 手 段 获 取 到 目 标 用 户 的 指 定 ( 重 要 或 者 敏 感 的 ) 数 据 或 信 息 资 产, 并 以 违 反 安 全 策 略 规 定 的 形 式 流 出 数 据 泄 漏 的 影 响 是 非 常 大 的, 从 斯 诺 登 事 件 对 美 国 的 影 响 就 可 见 一 斑,Ponemon 研 究 所 (Ponemon Institute) 进 行 的 一 项 最 新 研 究 调 查 显 示, 内 部 泄 密 已 经 成 为 企 业 数 据 外 泄 的 头 号 原 因, 而 黑 客 仅 位 列 第 五 1. 内 部 人 员 无 意 泄 密 和 恶 意 泄 密 企 业 内 部 人 员 在 上 网 时 候 不 小 心 中 了 病 毒 或 木 马, 电 脑 上 存 储 的 重 要 资 料 被 流 失 的 情 况 也 非 常 多 由 于 病 毒 和 木 马 泛 滥, 使 得 企 业 泄 密 的 风 险 越 来 越 大 而 部 分 不 良 员 工 明 知 是 企 业 机 密 信 息, 还 通 过 QQ MSN 邮 件 博 客 或 者 是 其 他 网 络 形 式, 把 信 息 发 到 企 业 外 部, 这 种 有 针 对 性 的 泄 密 行 为, 导 致 的 危 害 也 相 当 严 重 2. 内 部 人 员 离 职 拷 贝 带 走 资 料 泄 密 - 23 -
这 类 情 况 发 生 概 率 最 高 据 调 查, 中 国 企 业 员 工 离 职 拷 贝 资 料 达 到 70% 以 上 在 离 职 的 时 候, 研 发 人 员 带 走 研 发 成 果, 销 售 人 员 带 走 企 业 客 户 资 料, 甚 至 是 财 务 人 员 也 会 把 企 业 的 核 心 财 务 信 息 拷 贝 带 走 3. 内 部 文 档 权 限 失 控 失 密 在 单 位 内 部, 往 往 机 密 信 息 会 分 为 秘 密 机 密 和 绝 密 等 不 同 的 涉 密 等 级 一 般 来 说, 根 据 人 员 在 单 位 中 的 地 位 和 部 门 的 不 同, 其 所 接 触 和 知 悉 的 信 息 也 是 不 同 然 而, 当 前 多 数 单 位 的 涉 密 信 息 的 权 限 划 分 是 相 当 粗 放 的, 导 致 不 具 备 相 应 密 级 的 人 员 获 知 了 高 密 级 信 息 4. 存 储 设 备 丢 失 和 维 修 失 密 移 动 存 储 设 备 例 如 笔 记 本 电 脑 移 动 硬 盘 手 机 存 储 卡 数 码 照 相 / 摄 录 机 等, 一 旦 遗 失 维 修 或 者 报 废 后, 其 存 储 数 据 往 往 暴 露 无 遗 随 着 移 动 存 储 设 备 的 广 泛 使 用, 家 庭 办 公 兴 起, 出 差 人 员 的 大 量 事 务 处 理 等 等 都 会 不 可 避 免 地 使 用 移 动 存 储 设 备 因 此, 移 动 存 储 设 备 丢 失 和 维 修 导 致 泄 密 也 是 当 前 泄 密 事 件 发 生 的 主 要 原 因 之 一 5. 对 外 信 息 发 布 失 控 失 密 在 两 个 或 者 多 个 合 作 单 位 之 间, 由 于 信 息 交 互 的 频 繁 发 生, 涉 密 信 息 也 可 能 泄 露, 导 致 合 作 方 不 具 备 权 限 的 人 员 获 得 涉 密 信 息 甚 至 是 涉 密 信 息 流 至 处 于 竞 争 关 系 的 第 三 方 因 此, 对 于 往 外 部 发 送 的 涉 密 信 息, 必 须 加 以 管 控, 防 止 外 发 信 息 失 控 而 导 致 失 密 6. 外 部 竞 争 对 手 窃 密 - 24 -
竞 争 对 手 采 用 收 买 方 式, 买 通 企 业 内 部 人 员, 让 内 部 人 员 把 重 要 信 息 发 送 竞 争 方, 从 而 窃 取 机 密 的 情 况 也 非 常 多 这 种 方 式 直 接 损 害 了 企 业 的 核 心 资 产, 给 企 业 带 来 致 命 的 打 击 7. 黑 客 和 间 谍 窃 密 国 际 国 内 许 多 黑 客 和 间 谍, 通 过 层 出 不 穷 的 技 术 手 段, 窃 取 国 内 各 种 重 要 信 息, 已 经 成 为 中 国 信 息 安 全 的 巨 大 威 胁 虽 然 许 多 企 业 都 部 署 了 防 火 墙 杀 毒 软 件 入 侵 检 测 等 系 统, 但 是 对 于 高 智 商 的 犯 罪 人 员 来 说, 这 些 防 御 措 施 往 往 形 同 虚 设 2.1.9.2 应 急 处 理 信 息 防 泄 漏 解 决 方 案, 不 仅 为 防 止 信 息 通 过 U 盘 Email 等 泄 露 提 供 解 决 方 法, 更 大 的 意 义 在 于, 它 能 够 帮 助 企 业 构 建 起 完 善 的 信 息 安 全 防 护 体 系, 使 得 企 业 可 以 实 现 事 前 防 御 事 中 控 制 事 后 审 计 的 完 整 的 信 息 防 泄 漏 流 程, 从 而 达 到 信 息 安 全 目 标 的 透 明 性 可 控 性 和 不 可 否 认 性 的 要 求 信 息 防 泄 漏 三 重 保 护 体 系 包 括 详 尽 细 致 的 操 作 审 计 全 面 严 格 的 操 作 授 权 和 安 全 可 靠 的 透 明 加 密 三 部 分 全 面 严 格 的 操 作 授 权 从 网 络 边 界 外 设 边 界 以 及 桌 面 应 用 三 方 面 做 以 全 方 位 控 制, 达 到 信 息 安 全 目 标 中 的 可 控 性 的 要 求, 防 止 对 信 息 的 不 当 使 用 和 流 传, 使 得 文 档 不 会 轻 易 看 得 到 改 得 了 发 得 出 带 得 走 安 全 可 靠 的 透 明 加 密 为 重 要 信 息 提 供 最 有 力 的 保 护, 它 能 够 保 证 涉 密 信 息 无 论 何 时 何 地 都 是 加 密 状 态, 可 信 环 境 内, 加 密 文 档 可 正 常 使 用, 在 非 授 信 环 境 内 则 无 法 访 问 加 密 文 档, 在 不 改 变 用 户 操 作 习 惯 的 同 时 最 - 25 -
大 限 度 保 护 信 息 安 全 2.1.10 其 他 威 胁 我 们 将 不 属 于 以 上 九 大 类 的 其 他 威 胁 归 纳 到 其 他 威 胁 中, 其 中 包 括 但 不 限 于 以 下 几 个 方 面 : 远 程 桌 面 3389 SHIFT 后 门 黑 客 天 堂 控 制 器 与 木 马 通 信 路 由 器 32764 后 门 探 测 Linksys 路 由 器 蠕 虫 探 测 在 发 现 其 他 威 胁 的 报 警 事 件 后, 用 户 可 以 根 据 事 件 详 细 信 息 和 NTDS 所 提 供 的 解 决 方 案 下 载 补 丁 专 杀 等 工 具 进 行 处 理 和 解 决 2.2 NTDS 网 络 检 测 系 统 核 心 技 术 2.2.1 威 胁 感 知 技 术 威 胁 感 知 技 术 主 要 作 用 是 通 过 主 动 扫 描 方 式 收 集 给 定 目 标 的 基 本 信 息 和 通 过 被 动 流 量 特 征 检 测 方 式 收 集 给 定 目 标 存 在 的 可 疑 安 全 威 胁 事 件, 为 进 一 步 的 威 胁 判 断 做 准 备 主 动 方 式 具 体 为 能 够 对 给 定 的 IP 地 址 段 进 行 自 动 感 知 检 测, 自 动 发 送 ping 探 测 包, SYN 半 连 接 探 测 包,TCP 连 接 探 测 包 UDP 连 接 探 测 包 等, 确 定 给 定 IP 地 址 段 中 存 活 的 主 机, 接 着 再 对 存 活 的 主 机 每 个 端 口 发 送 探 测 包, 确 定 每 个 存 活 主 机 的 开 放 端 口, 并 根 据 每 个 端 口 号 发 回 的 服 务 签 名 信 息 与 系 统 中 已 有 的 签 名 特 征 库 进 行 对 比, 判 - 26 -
断 每 个 开 发 的 端 口 上 所 运 行 的 具 体 应 用 服 务 及 其 对 应 的 版 本 号 确 定 开 发 端 口 号 及 其 所 运 行 的 服 务 后, 接 着 对 往 这 些 端 口 服 务 自 动 发 送 精 心 构 造 的 TCP/UDP/ICMP 数 据 包, 把 返 回 的 数 据 包 的 指 纹 特 征 与 系 统 中 已 有 的 指 纹 特 征 库 进 行 对 比, 从 而 判 断 出 存 活 主 机 的 具 体 操 作 系 统 类 型 或 设 备 类 型 2.2.2 威 胁 匹 配 检 测 技 术 威 胁 匹 配 检 测 技 术 主 要 是 在 威 胁 感 知 工 具 所 收 集 的 基 本 信 息 和 疑 似 安 全 威 胁 事 件 的 基 础 之 上, 进 一 步 采 用 主 动 发 送 安 全 威 胁 特 征 包 的 方 式 来 判 断 对 应 系 统 是 否 存 在 相 应 的 安 全 威 胁 其 中 对 于 收 集 的 服 务 器 基 本 信 息 进 一 步 通 过 自 动 发 包 的 方 式 判 断 具 体 的 应 用 系 统 中 是 否 存 在 相 应 的 漏 洞 威 胁 主 要 包 括 判 断 Oracle MYSQL SQL Server POP3 SSH FTP NT Server RDP 等 系 统 服 务 是 否 存 在 弱 口 令 威 胁, 进 一 步 判 断 操 作 系 统 是 否 存 在 通 用 漏 洞 威 胁, 对 于 数 据 库 服 务 判 断 是 否 存 在 提 权 越 权 访 问 的 漏 洞 威 胁, 对 于 Web 服 务 判 断 是 否 存 在 注 入 和 跨 站 脚 本 漏 洞 威 胁, 其 他 还 能 自 动 判 断 是 否 存 在 LDAP 服 务 漏 洞,Zimbra 邮 件 漏 洞 打 印 机 共 享 服 务 漏 洞 等 而 对 于 感 知 系 统 被 动 检 测 出 的 所 有 疑 似 安 全 威 胁 事 件, 由 于 网 络 攻 击 的 复 杂 性, 和 基 于 特 征 / 规 则 检 测 方 法 的 局 限 性, 网 络 探 针 初 始 监 测 结 果 不 可 避 免 地 存 在 误 报 和 漏 报 现 象, 为 提 高 实 时 监 测 得 准 确 率, 减 少 误 报 和 漏 报, 需 要 对 初 始 监 测 的 结 果 进 行 后 置 处 理 具 体 为 通 过 主 动 发 送 精 心 构 造 的 漏 洞 利 用 数 据 包, 接 受 目 标 服 务 器 的 具 体 响 - 27 -
应, 并 根 据 响 应 行 为 特 征 从 而 确 定 目 标 主 机 是 否 真 实 存 在 网 站 挂 马 后 门 远 控 控 制 僵 尸 网 络 等 真 实 的 安 全 威 胁 如 果 发 现 确 实 是 安 全 威 胁 就 把 对 应 的 疑 似 安 全 威 胁 事 件 移 到 威 胁 事 件 发 布 表 中 由 前 端 Web 系 统 进 行 发 布 2.2.3 威 胁 延 伸 分 析 技 术 威 胁 延 伸 分 析 技 术 主 要 是 对 威 胁 匹 配 检 测 所 发 现 的 安 全 威 胁 事 件 做 进 一 步 延 伸 分 析, 根 据 不 同 的 威 胁 类 别 判 断 该 安 全 威 胁 具 体 可 以 被 如 何 利 用, 被 利 用 后 是 否 会 产 生 其 他 更 为 严 重 的 安 全 威 胁, 以 及 判 断 是 否 存 在 类 似 的 其 他 威 胁 比 如 对 于 蠕 虫 感 染 的 安 全 威 胁 事 件, 由 于 蠕 虫 是 交 叉 感 染, 在 确 定 了 目 标 系 统 被 蠕 虫 感 染 后, 还 要 进 一 步 自 动 发 送 威 胁 探 测 包 来 判 断 源 地 址 所 在 的 系 统 也 是 否 同 样 被 蠕 虫 感 染 对 于 漏 洞 类 安 全 威 胁, 判 断 对 漏 洞 的 进 一 步 利 用 是 否 可 以 进 行 提 权 之 类 操 作, 从 而 进 一 步 访 问 到 服 务 器 上 其 他 应 用 系 统, 产 生 更 大 的 安 全 威 胁 比 如 对 于 Zimbra 邮 件 系 统 的 配 置 漏 洞, 如 果 该 系 统 开 放 了 特 定 的 端 口 则 可 以 进 一 步 在 邮 件 系 统 中 建 立 超 级 用 户, 然 后 利 用 该 超 级 用 户 进 一 步 又 可 以 登 录 服 务 器 上 的 LDAP 服 务 器, 从 而 造 成 LDAP 服 务 器 敏 感 信 息 的 泄 露 - 28 -
三 NTDS 网 络 威 胁 检 测 系 统 部 署 方 案 3.1 系 统 单 机 化 部 署 图 : 单 机 模 式 部 署 示 意 图 单 机 化 部 署 适 用 于 具 有 基 础 架 构 网 络 统 一 网 络 出 口 出 口 总 流 量 在 单 向 1G 的 规 模 用 户 中 进 行 部 署, 通 过 旁 路 抓 包 流 量 镜 像 的 架 构 部 署, 对 现 有 网 络 的 架 构 不 存 在 很 大 的 影 响 如 图 所 示, 部 署 方 式 只 需 要 将 交 换 机 的 进 出 双 向 的 数 据 流 量 镜 像 口 连 接 到 NTDS 的 监 控 口, 然 后 通 讯 管 理 口 与 网 络 中 的 系 统 管 理 员 相 连 接, 即 可 通 过 产 品 地 址 进 行 管 理 ( 详 请 参 考 用 户 使 用 手 册 ) 3.2 分 布 式 架 构 部 署 - 29 -
图 : 分 布 式 模 式 部 署 示 意 图 分 布 式 架 构 适 用 于 具 有 大 型 网 络 架 构 网 络 区 域 广 的 政 府 军 工 集 团 大 型 国 企 等 单 位 NTDS 形 成 平 台 化 的 技 术 支 撑, 数 据 库 服 务 器 网 络 安 全 检 测 与 分 析 服 务 器 以 及 WEB 发 布 服 务 器 可 根 据 负 载 程 度 线 性 扩 展 和 性 能 堆 叠 ; 在 终 端 网 络 中, 部 署 网 络 探 针, 检 测 到 的 威 胁 行 为 报 警 信 息 会 实 时 传 送 至 NTDS 报 警 平 台, 实 现 整 网 的 集 中 安 全 管 控 和 威 胁 预 警 的 功 能 3.3 软 硬 件 需 求 目 前 NTDS 系 统 提 供 五 种 硬 件 型 号, 可 分 别 处 理 双 向 500M 1G 和 2G 6G 10G 带 宽, 具 体 参 数 如 下 表 所 示 NTDS 也 可 以 作 为 纯 软 件 部 署 到 用 户 的 PC 机 或 服 务 器 上, 具 体 配 置 要 求 需 要 根 据 检 测 的 流 量 带 宽 具 体 确 认 产 品 型 号 软 硬 件 参 数 规 格 和 技 术 说 明 - 30 -
NTDS 500 NTDS 1000 NTDS 2000 NTDS 6000 外 观 1U 机 架 式, 含 上 架 套 件 CPU 1*Intel i3-4150 3.5GHz CPU 内 存 8G DDR3 1600 ECC 内 存 硬 盘 1*500G 3.5 寸 SATA 硬 盘 网 卡 2* 千 兆 网 络 接 口 电 源 单 电 源 核 数 2( 超 线 程 ) 最 大 吞 吐 量 500M/s 软 件 架 构 多 流 水 线 处 理 架 构 并 发 连 接 数 500 个 ( 待 确 定 ) 外 观 1U 机 架 式, 含 上 架 套 件 CPU 1*Intel Xeon E3-1230 v3 3.3G 8M QC CPU 内 存 2*8G DDR3 UBF 内 存 硬 盘 1*1T 3.5 寸 SATA 硬 盘 网 卡 4* 千 兆 网 络 接 口 电 源 单 电 源 核 数 4 核 ( 支 持 超 线 程 ) 最 大 吞 吐 量 1G/s 软 件 架 构 多 流 水 线 处 理 架 构 并 发 连 接 数 1000 个 ( 待 确 定 ) 外 观 2U 机 架 式, 含 上 架 套 件 CPU 1*Xeon E5-2620v2 2.1G 15M 6C 内 存 4*8GB DDR3 内 存 硬 盘 1*2T SATA3.5 寸 热 插 拔 硬 盘 网 卡 6* 千 兆 网 络 接 口 电 源 单 电 源 核 数 8 核 ( 支 持 超 线 程 ) 最 大 吞 吐 量 2G/s 软 件 架 构 多 流 水 线 处 理 架 构 并 发 连 接 数 2000 个 ( 待 确 定 ) 外 观 2U 机 架 式, 含 上 架 套 件 CPU 2 颗 8 核 Intel Xeon E5-2600 系 列 CPU( 或 性 能 相 仿 的 AMD cpu), 主 频 2.0GHz 内 存 64GB(16 4GB)1600Mhz DDR4 硬 盘 1 块 SATA 硬 盘 ; 容 量 2TB; 转 速 7200 rpm, 网 卡 1 块 双 口 SFP+ 接 口 万 兆 网 卡, 性 能 不 低 于 Intel 82599EB 10G, 可 接 两 个 SFP+ 10G 模 块 ; 同 时 至 少 1 块 千 兆 网 卡 电 源 支 持 冗 余 热 插 拔 电 源 冗 余 热 插 拔 风 扇, 电 源 风 扇 和 PDU 电 源 连 接 线 满 配 核 数 16 核 ( 支 持 超 线 程 ) 最 大 吞 吐 量 6G/s 软 件 架 构 多 流 水 线 处 理 架 构 - 31 -
NTDS 10000 并 发 连 接 数 6000 个 ( 待 确 定 ) 外 观 2U 机 架 式, 含 上 架 套 件 CPU 2 颗 12 核 Intel Xeon E5-2670 系 列 CPU( 或 性 能 相 仿 的 AMD cpu), 主 频 2.3GHz 内 存 128GB (16G DDR4 2133 ECC REG 内 存 x8) 硬 盘 1 块 SATA 硬 盘 ; 容 量 4TB; 转 速 7200 rpm, 网 卡 1 块 双 口 SFP+ 接 口 万 兆 网 卡, 性 能 不 低 于 Intel 82599EB 10G, 可 接 两 个 SFP+ 10G 模 块 ; 同 时 至 少 1 块 千 兆 网 卡 电 源 支 持 冗 余 热 插 拔 电 源 冗 余 热 插 拔 风 扇, 电 源 风 扇 和 PDU 电 源 连 接 线 满 配 核 数 24 核 ( 支 持 超 线 程 ) 最 大 吞 吐 量 10G/s 软 件 架 构 多 流 水 线 处 理 架 构 并 发 连 接 数 10000 个 ( 待 确 定 ) - 32 -
四 NTDS 网 络 威 胁 检 测 系 统 技 术 特 点 4.1 先 进 的 软 件 架 构 ( 大 流 量 探 针 多 级 分 布 式 ) 分 析 计 算 能 力 扩 展 : 流 量 分 析 服 务 器 数 量 可 扩 展, 并 基 于 同 一 规 则 库 并 行 运 行 二 级 流 量 均 衡 分 析 引 擎 服 务 器 之 间 流 量 均 衡 和 引 擎 服 务 器 内 多 核 处 理 器 之 间 流 量 均 衡 大 流 量 负 载 扩 展 10G~100G 或 以 上 可 按 需 升 级 4.2 多 重 引 擎 分 析 第 一 重 分 析 引 擎 基 于 特 征 的 模 式 匹 配, 检 出 所 有 可 疑 安 全 威 胁 第 二 重 分 析 引 擎 基 于 知 识, 自 动 验 证 每 个 安 全 威 胁 的 存 在 性, 减 少 误 报, 提 高 准 确 性 第 三 重 分 析 引 擎 基 于 关 系, 勾 勒 出 每 个 安 全 威 胁 的 来 龙 去 脉 - 33 -