付易鵬

摘 要：2017注定是風(fēng)云際會(huì)的一年，從席卷全球的“WannaCry”敲詐勒索病毒，再到國內(nèi)的“暗云Ⅲ”病毒，無一不說明目前的網(wǎng)絡(luò)安全形勢(shì)嚴(yán)峻?！吨腥A人民共和國網(wǎng)絡(luò)安全法》的發(fā)布與實(shí)施為網(wǎng)絡(luò)安全提高到了國家安全的高度，成為國家安全戰(zhàn)略的重要一環(huán)。企業(yè)網(wǎng)絡(luò)在面對(duì)網(wǎng)絡(luò)攻擊時(shí)如何進(jìn)行有效的防御？網(wǎng)絡(luò)設(shè)備在其中能起到哪些作用，這些已需要盡快解決的重要問題。本文旨在通過對(duì)2017網(wǎng)絡(luò)安全事件中的分析，提出了增強(qiáng)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)感知、預(yù)測(cè)和防范的方法與建議，及對(duì)網(wǎng)絡(luò)設(shè)備的要求，以提高政府、企業(yè)的網(wǎng)絡(luò)安全防護(hù)能力。

關(guān)鍵詞：網(wǎng)絡(luò)安全；網(wǎng)絡(luò)設(shè)備；大數(shù)據(jù)分析

中圖分類號(hào)：TP393.08 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1671-2064（2018）12-0030-02

1 2017網(wǎng)絡(luò)安全事件回顧

“WannaCry”敲詐勒索病毒5月12日在全球爆發(fā)2017年5月12日，“WannaCry”（想哭）比特幣勒索病毒在全球范圍內(nèi)爆發(fā)，本次事件波及150多個(gè)國家和地區(qū)、10多萬的組織和機(jī)構(gòu)以及30多萬網(wǎng)民，損失總計(jì)高達(dá)500多億人民幣。包括醫(yī)院、教育機(jī)構(gòu)以及政府部門，都無一例外的遭受到了攻擊。勒索病毒結(jié)合蠕蟲的方式進(jìn)行傳播，是此次攻擊事件大規(guī)模爆發(fā)的重要原因。

“暗云”系列病毒升級(jí)為“暗云III”再度來襲2017年6月9日，早在2015年就被首次發(fā)現(xiàn)并攔截查殺的“暗云”病毒死灰復(fù)燃，升級(jí)為“暗云Ⅲ”，通過下載站大規(guī)模傳播，同時(shí)通過感染磁盤MBR實(shí)現(xiàn)開機(jī)啟動(dòng)，感染用戶數(shù)量已達(dá)數(shù)百萬。 升級(jí)過后的“暗云Ⅲ”將主要代碼存儲(chǔ)在云端，可實(shí)時(shí)動(dòng)態(tài)更新，其功能目前主要有下載推廣惡意木馬、鎖定瀏覽器主頁、篡改推廣導(dǎo)航頁id等。用戶一旦中招，電腦便會(huì)淪為“肉雞”形成“僵尸網(wǎng)絡(luò)”，并利用DDoS攻擊影響搭建在某云服務(wù)商平臺(tái)上的棋牌類網(wǎng)站，導(dǎo)致該網(wǎng)站訪問變得異?？?。

2 勒索病毒與暗云III木馬分析

2.1 WanaCrypt（勒索病毒）分析

病毒名稱：Trojan.WannaCry.i。

病毒類型：木馬|后門。

殼信息：無殼，此病毒沒有加殼行為。

傳播方式：主機(jī)系統(tǒng)漏洞傳播。

影響系統(tǒng)：沒有安裝MS-17-010補(bǔ)丁的Windows系統(tǒng)。

病毒危害：

（1）初始文件sample.exe會(huì)釋放并執(zhí)行tasksche.exe文件，然后鏈接網(wǎng)絡(luò)http：//www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com。（2）如果鏈接成功，病毒不發(fā)作。如果鏈接不成功，創(chuàng)建mssecsvc2.0服務(wù)并設(shè)置自啟動(dòng)，病毒開始運(yùn)行發(fā)作。判斷參數(shù)是否小于2，以兩種方式執(zhí)行mssecsvc.exe文件。再次執(zhí)行會(huì)檢查被感染電腦的IP地址，并嘗試聯(lián)接到相同子網(wǎng)內(nèi)每個(gè)IP地址的TCP 445端口，進(jìn)行漏洞攻擊。（3）主要針對(duì)文檔、圖片、視頻、音頻文件進(jìn)行加密，以此來勒索用戶付費(fèi)解密。破壞操作系統(tǒng)還原功能設(shè)置，使操作系統(tǒng)還原功能失效。病毒本身會(huì)結(jié)束操作系統(tǒng)部分系統(tǒng)工具，使用戶無法及時(shí)阻止病毒運(yùn)行。

2.2 暗云Ⅲ木馬分析

病毒名稱：TrojanDownloader.Uparte.afze。

病毒類型：木馬下載器|后門。

殼信息：無殼，此病毒沒有加殼行為。

傳播方式：各種下載網(wǎng)站的高速下載器。

影響系統(tǒng)：Windows等使用MBR啟動(dòng)的機(jī)器。

病毒危害：

（1）木馬的主體在MBR中運(yùn)行，比所有的安全軟件啟動(dòng)都早，因此大部分的安全軟件無法攔截和檢測(cè)該木馬的惡意行為。木馬能夠在內(nèi)核中直接結(jié)束部分安全軟件進(jìn)程，同時(shí)會(huì)關(guān)閉安全軟件的文件監(jiān)控設(shè)備句柄，會(huì)導(dǎo)致安全軟件文件監(jiān)控失效，大大減少了被檢測(cè)的機(jī)率。（2）木馬在開機(jī)時(shí)自動(dòng)從云端下載運(yùn)行，獲得控制權(quán)限，該木馬控制的主機(jī)已經(jīng)組成了一個(gè)大規(guī)模的僵尸網(wǎng)絡(luò)，并可以通過更換腳本的方式對(duì)不同目標(biāo)發(fā)起DDoS攻擊。（3）對(duì)感染的MBR進(jìn)行hook保護(hù)，防止被安全軟件檢測(cè)和清除，并且使用對(duì)象劫持技術(shù)躲避安全人員的手工檢測(cè)。大多數(shù)安全軟件無法檢測(cè)和查殺該木馬，并且該木馬通過游戲微端、外掛、私服登錄器等方式進(jìn)行傳播，且具有較強(qiáng)的隱蔽性。（4）兼容多種系統(tǒng)版本，通過捆綁的推廣ID，獲取利潤(rùn)。

3 基于大數(shù)據(jù)分析的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)感知與預(yù)測(cè)

3.1 網(wǎng)絡(luò)安全困境

傳統(tǒng)的防護(hù)攻擊手段是采用防火墻及終端用戶采用安裝防病毒軟件的方法，防止黑客攻擊及病毒的傳播，而我們面臨的威脅已不僅僅是單純的病毒，而是更多形式的威脅。根據(jù)CERT CC發(fā)布的關(guān)于最新入侵者攻擊方式的趨勢(shì)分析結(jié)果，網(wǎng)絡(luò)攻擊呈現(xiàn)攻擊過程自動(dòng)化、攻擊技術(shù)復(fù)雜化、漏洞發(fā)現(xiàn)的更快、以及滲透防火墻的趨勢(shì)；采用蠕蟲攻擊、病毒擴(kuò)散等混合型威脅的復(fù)雜攻擊事件越來越多。

3.2 大數(shù)據(jù)內(nèi)涵

大數(shù)據(jù)是具有數(shù)量巨大（volume）、來源多樣（variety）、生成極快（velocity）、多變（variability）等特征，且難以用傳統(tǒng)數(shù)據(jù)體系架構(gòu)有效處理的包含大量數(shù)據(jù)集的數(shù)據(jù)。大數(shù)據(jù)技術(shù)是使大數(shù)據(jù)中所蘊(yùn)含的價(jià)值得以挖掘和展現(xiàn)的一系列技術(shù)與方法，包括數(shù)據(jù)采集、預(yù)處理、存儲(chǔ)、分析挖掘、可視化等。主要集中在三個(gè)方面：一，網(wǎng)絡(luò)中大數(shù)據(jù)的快速收集和信息匯總，并及時(shí)上報(bào)；二，大數(shù)據(jù)存儲(chǔ)平臺(tái)，需要達(dá)到PB、EB、ZB級(jí)別；三，大數(shù)據(jù)分析，在短時(shí)間內(nèi)處理大量不同類型的數(shù)據(jù)集，分析出高價(jià)值信息，是體現(xiàn)大數(shù)據(jù)核心價(jià)值的關(guān)鍵。

3.3 網(wǎng)絡(luò)安全態(tài)勢(shì)

面對(duì)不斷增加的多層面網(wǎng)絡(luò)安全威脅和安全風(fēng)險(xiǎn)，企業(yè)和組織需要及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)中的異常事件，實(shí)時(shí)掌握網(wǎng)絡(luò)安全狀態(tài)，由過去的“亡羊補(bǔ)牢”轉(zhuǎn)向事前自動(dòng)評(píng)估，降低網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，提高網(wǎng)絡(luò)安全防護(hù)能力。網(wǎng)絡(luò)安全態(tài)勢(shì)感知（network security situational awareness，NSSA）技術(shù)能夠綜合各方面的安全因素，通過安全要素的獲取、理解、評(píng)估與可視，從總體上反映網(wǎng)絡(luò)安全狀況，并對(duì)網(wǎng)絡(luò)安全的發(fā)展趨勢(shì)進(jìn)行預(yù)測(cè)和預(yù)警。大數(shù)據(jù)技術(shù)特有的海量存儲(chǔ)、并行計(jì)算、高效查詢等特點(diǎn)，為大規(guī)模網(wǎng)絡(luò)安全態(tài)勢(shì)感知技術(shù)的突破創(chuàng)造了機(jī)遇。網(wǎng)絡(luò)安全領(lǐng)域許多企業(yè)紛紛提出安全大數(shù)據(jù)態(tài)勢(shì)感知方案或構(gòu)建安全大數(shù)據(jù)態(tài)勢(shì)感知預(yù)警平臺(tái)。國內(nèi)有專業(yè)的網(wǎng)絡(luò)安全廠商也提供了的病毒威脅預(yù)警系統(tǒng)，可以對(duì)本地全量數(shù)據(jù)進(jìn)行采集和存儲(chǔ)，以情報(bào)為驅(qū)動(dòng)，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)的持續(xù)監(jiān)控、安全分析與威脅溯源。

3.4 立體安全防范體系

安全防范已不再是遇到病毒再上專殺工具的時(shí)代了，需要多種技術(shù)和設(shè)備配合來建立立體管控體系。有效的控制手段是從網(wǎng)絡(luò)邊界入手，全面收集網(wǎng)絡(luò)中傳遞的數(shù)據(jù)，對(duì)網(wǎng)絡(luò)中數(shù)據(jù)進(jìn)行綜合性判斷，整理各種安全事件的關(guān)聯(lián)后的數(shù)據(jù)，從而全面實(shí)時(shí)動(dòng)態(tài)的監(jiān)控網(wǎng)絡(luò)中的病毒及攻擊事件。變被動(dòng)防御為積極主動(dòng)防御，對(duì)已經(jīng)發(fā)生的安全事件及將要發(fā)生的安全事件給予全面掌握，并及時(shí)進(jìn)行處理。對(duì)全網(wǎng)的安全事件全面的了解，及時(shí)的處理，專業(yè)的病毒威脅預(yù)警系統(tǒng)不僅對(duì)具備惡意程序及惡意攻擊行進(jìn)行記錄，而且可以對(duì)安全事件進(jìn)行智能的關(guān)聯(lián)，對(duì)事件的處理做到流程化管理，對(duì)全網(wǎng)的安全事件做到全面的呈現(xiàn)，如圖1所示。同時(shí)，可全面高效檢測(cè)計(jì)算機(jī)病毒傳播、蠕蟲攻擊、木馬通訊、僵尸網(wǎng)絡(luò)、口令探測(cè)等當(dāng)前活躍的多種網(wǎng)絡(luò)威脅；通過多層檢測(cè)分析（網(wǎng)絡(luò)層、傳輸層、應(yīng)用層）、深度內(nèi)容分析、智能關(guān)聯(lián)等技術(shù)策略，對(duì)網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行高效檢測(cè)處理，可有效對(duì)網(wǎng)絡(luò)環(huán)境的安全狀況進(jìn)行預(yù)警。

4 網(wǎng)絡(luò)安全對(duì)網(wǎng)絡(luò)設(shè)備的影響

整個(gè)立體安全防范體系的有效運(yùn)行需要多種類型的網(wǎng)絡(luò)設(shè)備配合實(shí)現(xiàn)，整個(gè)網(wǎng)絡(luò)環(huán)境中包括單不限于：核心網(wǎng)絡(luò)的路由器與交換機(jī)，接入終端設(shè)備（PTN，PON和Wifi），專用的網(wǎng)絡(luò)安全設(shè)備（防火墻，防毒墻，IPS/IDS），流量探針（流量匯聚與分流設(shè)備），大容量存儲(chǔ)平臺(tái)，服務(wù)器集群等。

網(wǎng)絡(luò)基礎(chǔ)設(shè)備：網(wǎng)絡(luò)從20年前的電話撥號(hào)開始，現(xiàn)在已經(jīng)是千兆光纖入戶，從接入端到核心網(wǎng)絡(luò)，技術(shù)不斷的升級(jí)，網(wǎng)絡(luò)設(shè)備也不停的迭代更新，現(xiàn)在的數(shù)據(jù)中心核心層T級(jí)交換網(wǎng)絡(luò)已經(jīng)普及了。數(shù)據(jù)是整個(gè)網(wǎng)絡(luò)運(yùn)行的基礎(chǔ)，是血液；網(wǎng)絡(luò)是傳輸數(shù)據(jù)的管道，是血管；高速，大容量的管道有利于數(shù)據(jù)的傳輸，也有利于大腦判斷整個(gè)身體的情況。某處管道擁擠，有突發(fā)的大流量數(shù)據(jù)、大量丟包、大量的TCP鏈接等網(wǎng)絡(luò)異常情況發(fā)生時(shí)，除了定位網(wǎng)絡(luò)問題外，還有可能是網(wǎng)絡(luò)安全事件發(fā)生，例如暗云III木馬造成的全網(wǎng)DDos攻擊。

同時(shí)，針對(duì)網(wǎng)絡(luò)基礎(chǔ)設(shè)備的漏洞挖掘也成為新的熱點(diǎn)，得到了越來越多的安全研究者關(guān)注。特別是針對(duì)路由器、交換機(jī)和無線設(shè)備的底層驅(qū)動(dòng)的漏洞挖掘，一旦這些設(shè)備出現(xiàn)問題，將給整個(gè)網(wǎng)絡(luò)帶來極大的影響；這也使網(wǎng)絡(luò)設(shè)備廠商對(duì)自身產(chǎn)品的安全更加關(guān)注了。

網(wǎng)絡(luò)安全設(shè)備：網(wǎng)絡(luò)安全設(shè)備從單臺(tái)防火墻開始，到現(xiàn)在的全網(wǎng)安全解決方案，技術(shù)也在快速革新中。隨著人們安全意識(shí)的不斷提高，對(duì)信息和隱私的保護(hù)意識(shí)不斷加強(qiáng)，網(wǎng)絡(luò)安全的重要性也日漸凸顯?！吨腥A人民共和國網(wǎng)絡(luò)安全法》的發(fā)布更是標(biāo)志著，網(wǎng)絡(luò)安全已經(jīng)上升到國家戰(zhàn)略的高度，網(wǎng)絡(luò)安全設(shè)備也日益繁多。主機(jī)安全，邊界安全，大數(shù)據(jù)安全，云安全等概念不斷推陳出新，網(wǎng)絡(luò)安全產(chǎn)品也不斷升級(jí)換代，網(wǎng)絡(luò)安全也成為大眾創(chuàng)業(yè)的方向之一。

5 結(jié)語

本文描述了2017的兩個(gè)網(wǎng)絡(luò)安全事件，分析了“WannaCry”病毒和暗云II木馬，結(jié)合大數(shù)據(jù)技術(shù)對(duì)網(wǎng)絡(luò)立體安全防范體系進(jìn)行了闡述，同時(shí)也就網(wǎng)絡(luò)安全對(duì)網(wǎng)絡(luò)設(shè)備的影響進(jìn)行了敘述。網(wǎng)絡(luò)安全問題已經(jīng)滲透到人們生活的各個(gè)方面中，從實(shí)體設(shè)備到虛擬空間，各個(gè)環(huán)節(jié)都能影響到安全問題，也將一直是信息時(shí)代的核心問題。