洪雙喜，雷 濤

(華北水利水電學(xué)院信息工程學(xué)院，河南鄭州 450011)

隨著社會信息化以及信息網(wǎng)絡(luò)化的迅速發(fā)展，網(wǎng)絡(luò)安全問題日益突出且越來越復(fù)雜，已經(jīng)成為亟待解決的問題，并引起各方的關(guān)注。目前以木馬病毒對網(wǎng)絡(luò)系統(tǒng)信息進(jìn)行的竊取、篡改行為最為突出，這對網(wǎng)絡(luò)用戶的信息安全構(gòu)成了巨大威脅。與此同時，各種病毒程序，尤其是木馬程序通過計算機網(wǎng)絡(luò)滲透到PC機中，竊取秘密信息，給信息系統(tǒng)或個人帶來嚴(yán)重威脅。比較有名的殺毒軟件如360、瑞星等殺毒軟件可以對計算機起到良好的保護(hù)作用，但對已經(jīng)潛入計算機的網(wǎng)銀型木馬病毒的通信攔截就有限。通過對基于包過濾技術(shù)網(wǎng)絡(luò)安全的研究［1］，本文采用基于NDIS中間層技術(shù)，對木馬工作周期中的網(wǎng)絡(luò)通信階段進(jìn)行實時監(jiān)視，通過對進(jìn)程運行時產(chǎn)生的網(wǎng)絡(luò)通信數(shù)據(jù)進(jìn)行分析和判定，達(dá)到識別防范木馬通信的目的。

1 網(wǎng)絡(luò)驅(qū)動接口規(guī)范(NDIS)體系結(jié)構(gòu)

網(wǎng)絡(luò)驅(qū)動接口規(guī)范(Network Driver Interface Specification，NDIS)是微軟和3Com公司在1989年制定了一套開發(fā)Windows平臺網(wǎng)絡(luò)驅(qū)動程序的標(biāo)準(zhǔn)［2］，NDIS提供了一套標(biāo)準(zhǔn)的接口，用于實現(xiàn)傳輸驅(qū)動程序和網(wǎng)卡驅(qū)動程序之間的相互通信，使得網(wǎng)絡(luò)驅(qū)動程序的跨平臺性更好，所有傳輸層驅(qū)動程序都需要調(diào)用NDIS接口來訪問網(wǎng)絡(luò)。NDIS在Windows中的拓?fù)浣Y(jié)構(gòu)如圖1所示。一般情況NDIS包含符合NDIS規(guī)范的3種常見驅(qū)動程序類型:(1)NDIS小端口驅(qū)動程序(Miniport Driver)。有兩個基本功能:其一，管理一個網(wǎng)絡(luò)接口卡(NIC)，包括通過NIC收發(fā)數(shù)據(jù)。其二，提供與高層驅(qū)動程序之間的接口，例如中間層驅(qū)動程序和傳輸協(xié)議驅(qū)動程序。(2)NDIS協(xié)議驅(qū)動程序(Protocol Driver)。傳輸協(xié)議在NDIS驅(qū)動程序?qū)哟谓Y(jié)構(gòu)中屬于最高層驅(qū)動程序，而它經(jīng)常在實現(xiàn)傳輸層協(xié)議的傳輸驅(qū)動程序中被用作最底層驅(qū)動程序，例如TCP/IP或IPX/SPX。傳輸協(xié)議驅(qū)動程序分配包，從應(yīng)用程序中將數(shù)據(jù)拷貝到包中，并通過調(diào)用NDIS函數(shù)將這些包發(fā)送到低層驅(qū)動程序中。傳輸協(xié)議驅(qū)動程序也為從下層驅(qū)動程序中接收包提供了接口。協(xié)議驅(qū)動程序?qū)⒔邮盏降臄?shù)據(jù)轉(zhuǎn)換成相應(yīng)的客戶應(yīng)用數(shù)據(jù)。(3)NDIS中間層驅(qū)動程序(Intermediate Driver)。NDIS中間驅(qū)動位于小端口驅(qū)動和協(xié)議驅(qū)動之間，這樣可以在網(wǎng)卡驅(qū)動程序和協(xié)議驅(qū)動程序之間插入自己的NDIS過濾驅(qū)動程序，在該層驅(qū)動程序可以截獲所有網(wǎng)絡(luò)報文并加以處理，執(zhí)行效率較高。

圖1 NDIS拓?fù)浣Y(jié)構(gòu)

2 木馬種類特征及通信方式

2.1 木馬的特征和種類

木馬的特征主要有:自動運行性，欺騙性，自動恢復(fù)性，頑固性和隱蔽性。隱蔽性是木馬的首要特征。根據(jù)木馬程序?qū)τ嬎銠C的具體動作方式，可以把現(xiàn)有的木馬程序分為:(1)遠(yuǎn)程控制型木馬。(2)密碼發(fā)送型木馬。(3)破壞型木馬。(4)鍵盤記錄型木馬。(5)即時通訊型木馬。(6)網(wǎng)銀型木馬。(7)FTP型木馬。上述類型木馬中以密碼發(fā)送型木馬和網(wǎng)銀型木馬造成的損失最大。

密碼發(fā)送型木馬是找到所有的隱藏密碼，并在受害者不知情的情況下將其發(fā)送到指定信箱。網(wǎng)銀型木馬專門針對網(wǎng)絡(luò)銀行攻擊，采用記錄鍵盤和系統(tǒng)動作的方法盜取網(wǎng)銀賬號和密碼，并發(fā)送到作者指定的郵件，直接導(dǎo)致用戶的經(jīng)濟(jì)損失。通過對木馬病毒的特征及種類分析［3］，大部分木馬病毒與主控機進(jìn)行通信，以接受主控機指令并發(fā)送所竊取的各種重要信息，是木馬病毒有別于其他病毒或蠕蟲的最大特點。

2.2 木馬病毒的通信方式

木馬病毒的通信方式主要有［4］:(1)傳統(tǒng)的客戶∕服務(wù)通信模式。即木馬病毒打開某個端口進(jìn)行監(jiān)聽以獲得主控機的連接消息，以便與之進(jìn)行通信交流。(2)端口寄生模式。就是木馬病毒利用目標(biāo)機上一個已經(jīng)打開的端口進(jìn)行監(jiān)聽，遇到指令就進(jìn)行解釋執(zhí)行;由于這時木馬實際上是寄生在已有的系統(tǒng)服務(wù)之上，因此無法通過系統(tǒng)端口掃描發(fā)現(xiàn)此類木馬病毒。(3)端口反彈模式。由于絕大多數(shù)防火墻都嚴(yán)格限制由外向內(nèi)的連接請求，故工作在傳統(tǒng)客戶∕服務(wù)通信模式下的木馬往往很難奏效。而端口反彈型木馬則恰恰相反，它利用了防火墻對由內(nèi)向外的連接請求通常不加限制的特點，將主控機作為服務(wù)器，而目標(biāo)機作為客戶，主動向外發(fā)出連接請求。如將主控機監(jiān)聽端口設(shè)為80，偽裝成Web服務(wù)器，則目標(biāo)機的通信請求都會被防火墻誤認(rèn)為是HTTP請求而予以通行。(4)利用應(yīng)用層協(xié)議。木馬為避開新端口以增加其隱蔽性，往往會利用現(xiàn)有的高層協(xié)議，如HTTP協(xié)議、FTP協(xié)議或SMTP協(xié)議進(jìn)行通信交流。為此木馬主控機會偽裝成一個支持CGI的HTTP服務(wù)器，在80端口監(jiān)聽連接請求。而目標(biāo)機則可以利用協(xié)議與主控機進(jìn)行通信交流，傳送目標(biāo)機中的重要敏感信息。(5)利用ICMP協(xié)議。木馬病毒利用ICMP協(xié)議進(jìn)行通信交流，可有效避免被端口掃描工具所察覺，增強其隱蔽性。但由于ICMP協(xié)議不是一個可靠的有連接傳輸，因此只能用于傳遞一些敏感信息，而不適用于進(jìn)行實時圖像傳輸和遠(yuǎn)程控制。同時由于目前基于ICMP的攻擊方式很多，有些防火墻阻塞了ICMP包，在這種情況下，利用ICMP協(xié)議的木馬病毒就失靈了。

3 木馬防護(hù)平臺的設(shè)計與實現(xiàn)

3.1 系統(tǒng)的框架結(jié)構(gòu)

通過對木馬病毒通信特征及方式的分析可知，大部分木馬病毒都要主動與外界進(jìn)行聯(lián)系，并建立連接，把用戶的重要信息發(fā)送出去。如果在應(yīng)用層進(jìn)行攔截，木馬病毒可以輕松繞過，從而無法進(jìn)行有效攔截。針對這些特征，本文提出利用在NDIS中間層加入一個過濾驅(qū)動，使所有進(jìn)行通信的數(shù)據(jù)包都要經(jīng)過這個過濾驅(qū)動的過濾，并特別對主動對外聯(lián)系的數(shù)據(jù)包進(jìn)行重點分析。為不影響數(shù)據(jù)包的傳輸速率，減少對數(shù)據(jù)包的處理時間，本文通過分析數(shù)據(jù)包的IP地址、相應(yīng)的端口號及進(jìn)程，對數(shù)據(jù)包進(jìn)行檢測，而不對數(shù)據(jù)包的內(nèi)容進(jìn)行分析。在該層的過濾驅(qū)動不需要關(guān)心報文的收發(fā)，網(wǎng)絡(luò)報文的收發(fā)操作由NDIS中的協(xié)議驅(qū)動和小端口驅(qū)動負(fù)責(zé)。以發(fā)送報文為例，如圖2所示，在處理過程中，為降低丟包率，NDIS中間層驅(qū)動在截獲完整的報文后，直接放入網(wǎng)絡(luò)報文隊列，對于分片報文，則進(jìn)入分片重組隊列，重組完成后再放入網(wǎng)絡(luò)報文隊列。

圖2 木馬防護(hù)系統(tǒng)結(jié)構(gòu)

木馬防護(hù)平臺采用多線程技術(shù)，其中排隊處理線程專門負(fù)責(zé)網(wǎng)絡(luò)報文的排隊，報文分析線程處理隊列中的報文。為減少對報文的處理時間，報文分析線程首先查看包的IP地址和端口號，然后和IP信息庫進(jìn)行比對，如果IP信息庫中存在此IP地址，并且相應(yīng)的安全標(biāo)記顯示為安全，則認(rèn)為發(fā)往此目的的IP數(shù)據(jù)包安全。如果IP信息庫中不存在此IP地址，則說明此數(shù)據(jù)包是一個進(jìn)程主動向外發(fā)送的，報文分析線程把端口號發(fā)送給IP信息庫管理程序，然后IP信息庫管理程序通過端口號查出該端口號屬于哪一個進(jìn)程，再判斷該進(jìn)程是否為正常進(jìn)程。如果屬于非法進(jìn)程，則把該數(shù)據(jù)包丟棄。如果是正常進(jìn)程，IP信息庫管理程序把此IP地址、相應(yīng)的端口號和進(jìn)程加入到信息庫中，設(shè)安全標(biāo)記為安全，然后把數(shù)據(jù)包向下正常發(fā)送出去。對于計算機接收到的數(shù)據(jù)包，對該數(shù)據(jù)包的IP地址和信息庫進(jìn)行匹配，如果信息庫中存在此IP地址，則把該數(shù)據(jù)包直接向上傳送，如果不存在，則把此IP地址和端口號添加到信息庫中，同時IP信息庫管理程序把擁有該端口號的進(jìn)程名也添加進(jìn)去。

3.2 IP信息庫的管理及結(jié)構(gòu)

IP信息庫是本文提出的木馬防護(hù)平臺的核心模塊之一，信息庫管理程序?qū)π畔爝M(jìn)行管理，實現(xiàn)查找、修改、刪除等功能。同時信息庫管理程序具有判斷進(jìn)程合法性的功能。它通過一個合法進(jìn)程表對一個進(jìn)程進(jìn)行判斷。如果該進(jìn)程在合法表中，則該進(jìn)程合法，否則通過下列規(guī)則進(jìn)行判斷。其所依據(jù)的判斷規(guī)則［5］如下:

(1)如果進(jìn)行網(wǎng)絡(luò)通信的進(jìn)程名與系統(tǒng)進(jìn)程名(如services.exe)相同，但其路徑不在系統(tǒng)進(jìn)程目錄(system32)下，則為不合法。

(2)如果進(jìn)行網(wǎng)絡(luò)通信的進(jìn)程名與系統(tǒng)進(jìn)程名相似，如程svch0st.exe與系統(tǒng)進(jìn)程svchost.exe相似，則為不合法。

(3)如果進(jìn)程運行時自動發(fā)送電子郵件，則將此進(jìn)程名進(jìn)行顯示給用戶，由用戶對此郵件的行為進(jìn)行判斷，判斷結(jié)果存入IP信息庫，如果是合法進(jìn)程則同時添加到合法進(jìn)程表中。

(4)如果進(jìn)程使用ICMP協(xié)議進(jìn)行通信，則將進(jìn)程名顯示給用戶。通過和用戶交互進(jìn)行判斷。判斷結(jié)果存入IP信息庫。如果是合法進(jìn)程則同時添加到合法進(jìn)程表中。

(5)如果進(jìn)程主動向外進(jìn)行連接，則將進(jìn)程名顯示給用戶，通過和用戶交互進(jìn)行判斷。判斷結(jié)果存入IP信息庫。同時如果是合法進(jìn)程則添加到合法進(jìn)程表中。

第(1)條規(guī)則和第(2)條規(guī)則基于木馬程序的進(jìn)程隱藏原理進(jìn)行判定;第(3)條規(guī)則基于木馬程序傳輸信息的途徑進(jìn)行判定;第(4)條規(guī)則基于木馬程序的通信隱藏原理進(jìn)行判定;第(5)條規(guī)則基于木馬程序網(wǎng)絡(luò)通信的端口及其狀態(tài)進(jìn)行判定。

IP信息庫結(jié)構(gòu)如圖3所示，其中每一條記錄顯示出一個進(jìn)程，其所用的端口號和進(jìn)行通信的目的IP地址及相應(yīng)的安全標(biāo)記。

圖3 IP信息庫記錄數(shù)據(jù)結(jié)構(gòu)

由于一臺PC機所訪問的IP地址并不是很多，本文采用哈希方法進(jìn)行檢索，這在很大程度上提高了對記錄的檢索速度，對于一個給定的IP地址，首先計算它的哈希值，找到相應(yīng)的位置，然后進(jìn)行比對，如果不是，再看該記錄的下一個記錄是否為空，如果不為空則向下查找。

3.3 數(shù)據(jù)包截獲的實現(xiàn)與測試結(jié)果

中間層過濾驅(qū)動捕獲接收和發(fā)送的數(shù)據(jù)包是NDIS_PACKET格式，通過調(diào)用NdisQueryPacket函數(shù)獲取得到NDIS_PACKET包的內(nèi)容［6］，得到傳輸數(shù)據(jù)包的內(nèi)容，判斷所捕獲的是不是TCP∕UDP包或其他協(xié)議包，并取得包中所含的IP地址和端口號，將得到的IP地址和端口號交給數(shù)據(jù)包分析線程。該線程通過DeviceIoControl函數(shù)和應(yīng)用層的IP信息庫管理程序進(jìn)行相互通信，通過信息庫管理程序?qū)邮盏降腎P地址和IP信息庫進(jìn)行匹配，如果匹配成功并且安全，則將數(shù)據(jù)包傳向上層驅(qū)動繼續(xù)進(jìn)行收包，或者向下層驅(qū)動繼續(xù)發(fā)包，完成整個數(shù)據(jù)包的發(fā)送或者接收。以發(fā)送工作流程為例，如圖4所示。

圖4 數(shù)據(jù)包發(fā)送流程

測試環(huán)境是在Windows XP系統(tǒng)下進(jìn)行，由于該機制工作在內(nèi)核層，所以在虛擬機下進(jìn)行測試。文中采用3種木馬病毒及常用的Ping命令進(jìn)行了測試，測試結(jié)果如表1所示。

表1 防護(hù)平臺測試結(jié)果

該機制開始時會對通信速率有一定的影響，并且有時需要和用戶進(jìn)行交互，但隨著IP信息庫和合法進(jìn)程表的信息增加，通信速率會迅速恢復(fù)到正常，并且和用戶交互的次數(shù)也迅速減少。

4 結(jié)束語

本文采用NDIS中間層過濾驅(qū)動技術(shù)實現(xiàn)了對數(shù)據(jù)包捕獲和分析，通過分析數(shù)據(jù)包IP地址、端口號和其對應(yīng)進(jìn)程的合法性，能夠?qū)崿F(xiàn)對木馬病毒通信的攔截和木馬進(jìn)程發(fā)現(xiàn)，這在很大程度上降低了對數(shù)據(jù)包的處理時間，使發(fā)送和接收數(shù)據(jù)包速率沒有明顯下降。下一步改進(jìn)方向:在基于統(tǒng)計學(xué)的基礎(chǔ)上，對一部分可疑數(shù)據(jù)包中數(shù)據(jù)進(jìn)行安全分析，以達(dá)到降低木馬病毒的漏報率和誤報率，同時結(jié)合防火墻和殺毒軟件能更好地實現(xiàn)對木馬程序的攔截和查殺。

［1］柳岸，龍雅琴，古樂野.基于包過濾技術(shù)的網(wǎng)絡(luò)安全的研究［J］.計算機應(yīng)用，2006，26(9):2160 －6162.

［2］陳小愛，劉海濤.基于NDIS中間層的通信安全機制的設(shè)計與實現(xiàn)［J］.微型電腦應(yīng)用，2008，24(8):6 －8.

［3］李斯.淺析木馬程序攻擊手段及防范技術(shù)［J］.網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2009(8):16－18.

［4］朱明，徐騫，劉春明.木馬病毒分析及其檢測方法研究［J］.計算機工程與應(yīng)用，2003(28):176 －179.

［5］鐘明全，李煥洲，唐彰國，等.基于網(wǎng)絡(luò)驅(qū)動技術(shù)的木馬通信檢測系統(tǒng)［J］.計算機工程，2010，36(9):150 －152.

［6］楊志程，舒輝，董衛(wèi)宇.基于NDIS通信技術(shù)的木馬病毒分析［J］.計算機工程，2008，34(10):147－149.