付易鵬

摘 要：2017注定是風(fēng)云際會的一年，從席卷全球的“WannaCry”敲詐勒索病毒，再到國內(nèi)的“暗云Ⅲ”病毒，無一不說明目前的網(wǎng)絡(luò)安全形勢嚴峻?！吨腥A人民共和國網(wǎng)絡(luò)安全法》的發(fā)布與實施為網(wǎng)絡(luò)安全提高到了國家安全的高度，成為國家安全戰(zhàn)略的重要一環(huán)。企業(yè)網(wǎng)絡(luò)在面對網(wǎng)絡(luò)攻擊時如何進行有效的防御？網(wǎng)絡(luò)設(shè)備在其中能起到哪些作用，這些已需要盡快解決的重要問題。本文旨在通過對2017網(wǎng)絡(luò)安全事件中的分析，提出了增強網(wǎng)絡(luò)安全風(fēng)險感知、預(yù)測和防范的方法與建議，及對網(wǎng)絡(luò)設(shè)備的要求，以提高政府、企業(yè)的網(wǎng)絡(luò)安全防護能力。

關(guān)鍵詞：網(wǎng)絡(luò)安全；網(wǎng)絡(luò)設(shè)備；大數(shù)據(jù)分析

中圖分類號：TP393.08 文獻標識碼：A 文章編號：1671-2064（2018）12-0030-02

1 2017網(wǎng)絡(luò)安全事件回顧

“WannaCry”敲詐勒索病毒5月12日在全球爆發(fā)2017年5月12日，“WannaCry”（想哭）比特幣勒索病毒在全球范圍內(nèi)爆發(fā)，本次事件波及150多個國家和地區(qū)、10多萬的組織和機構(gòu)以及30多萬網(wǎng)民，損失總計高達500多億人民幣。包括醫(yī)院、教育機構(gòu)以及政府部門，都無一例外的遭受到了攻擊。勒索病毒結(jié)合蠕蟲的方式進行傳播，是此次攻擊事件大規(guī)模爆發(fā)的重要原因。

“暗云”系列病毒升級為“暗云III”再度來襲2017年6月9日，早在2015年就被首次發(fā)現(xiàn)并攔截查殺的“暗云”病毒死灰復(fù)燃，升級為“暗云Ⅲ”，通過下載站大規(guī)模傳播，同時通過感染磁盤MBR實現(xiàn)開機啟動，感染用戶數(shù)量已達數(shù)百萬。 升級過后的“暗云Ⅲ”將主要代碼存儲在云端，可實時動態(tài)更新，其功能目前主要有下載推廣惡意木馬、鎖定瀏覽器主頁、篡改推廣導(dǎo)航頁id等。用戶一旦中招，電腦便會淪為“肉雞”形成“僵尸網(wǎng)絡(luò)”，并利用DDoS攻擊影響搭建在某云服務(wù)商平臺上的棋牌類網(wǎng)站，導(dǎo)致該網(wǎng)站訪問變得異?？?。

2 勒索病毒與暗云III木馬分析

2.1 WanaCrypt（勒索病毒）分析

病毒名稱：Trojan.WannaCry.i。

病毒類型：木馬|后門。

殼信息：無殼，此病毒沒有加殼行為。

傳播方式：主機系統(tǒng)漏洞傳播。

影響系統(tǒng)：沒有安裝MS-17-010補丁的Windows系統(tǒng)。

病毒危害：

（1）初始文件sample.exe會釋放并執(zhí)行tasksche.exe文件，然后鏈接網(wǎng)絡(luò)http：//www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com。（2）如果鏈接成功，病毒不發(fā)作。如果鏈接不成功，創(chuàng)建mssecsvc2.0服務(wù)并設(shè)置自啟動，病毒開始運行發(fā)作。判斷參數(shù)是否小于2，以兩種方式執(zhí)行mssecsvc.exe文件。再次執(zhí)行會檢查被感染電腦的IP地址，并嘗試聯(lián)接到相同子網(wǎng)內(nèi)每個IP地址的TCP 445端口，進行漏洞攻擊。（3）主要針對文檔、圖片、視頻、音頻文件進行加密，以此來勒索用戶付費解密。破壞操作系統(tǒng)還原功能設(shè)置，使操作系統(tǒng)還原功能失效。病毒本身會結(jié)束操作系統(tǒng)部分系統(tǒng)工具，使用戶無法及時阻止病毒運行。

2.2 暗云Ⅲ木馬分析

病毒名稱：TrojanDownloader.Uparte.afze。

病毒類型：木馬下載器|后門。

殼信息：無殼，此病毒沒有加殼行為。

傳播方式：各種下載網(wǎng)站的高速下載器。

影響系統(tǒng)：Windows等使用MBR啟動的機器。

病毒危害：

（1）木馬的主體在MBR中運行，比所有的安全軟件啟動都早，因此大部分的安全軟件無法攔截和檢測該木馬的惡意行為。木馬能夠在內(nèi)核中直接結(jié)束部分安全軟件進程，同時會關(guān)閉安全軟件的文件監(jiān)控設(shè)備句柄，會導(dǎo)致安全軟件文件監(jiān)控失效，大大減少了被檢測的機率。（2）木馬在開機時自動從云端下載運行，獲得控制權(quán)限，該木馬控制的主機已經(jīng)組成了一個大規(guī)模的僵尸網(wǎng)絡(luò)，并可以通過更換腳本的方式對不同目標發(fā)起DDoS攻擊。（3）對感染的MBR進行hook保護，防止被安全軟件檢測和清除，并且使用對象劫持技術(shù)躲避安全人員的手工檢測。大多數(shù)安全軟件無法檢測和查殺該木馬，并且該木馬通過游戲微端、外掛、私服登錄器等方式進行傳播，且具有較強的隱蔽性。（4）兼容多種系統(tǒng)版本，通過捆綁的推廣ID，獲取利潤。

3 基于大數(shù)據(jù)分析的網(wǎng)絡(luò)安全風(fēng)險感知與預(yù)測

3.1 網(wǎng)絡(luò)安全困境

傳統(tǒng)的防護攻擊手段是采用防火墻及終端用戶采用安裝防病毒軟件的方法，防止黑客攻擊及病毒的傳播，而我們面臨的威脅已不僅僅是單純的病毒，而是更多形式的威脅。根據(jù)CERT CC發(fā)布的關(guān)于最新入侵者攻擊方式的趨勢分析結(jié)果，網(wǎng)絡(luò)攻擊呈現(xiàn)攻擊過程自動化、攻擊技術(shù)復(fù)雜化、漏洞發(fā)現(xiàn)的更快、以及滲透防火墻的趨勢；采用蠕蟲攻擊、病毒擴散等混合型威脅的復(fù)雜攻擊事件越來越多。

3.2 大數(shù)據(jù)內(nèi)涵

大數(shù)據(jù)是具有數(shù)量巨大（volume）、來源多樣（variety）、生成極快（velocity）、多變（variability）等特征，且難以用傳統(tǒng)數(shù)據(jù)體系架構(gòu)有效處理的包含大量數(shù)據(jù)集的數(shù)據(jù)。大數(shù)據(jù)技術(shù)是使大數(shù)據(jù)中所蘊含的價值得以挖掘和展現(xiàn)的一系列技術(shù)與方法，包括數(shù)據(jù)采集、預(yù)處理、存儲、分析挖掘、可視化等。主要集中在三個方面：一，網(wǎng)絡(luò)中大數(shù)據(jù)的快速收集和信息匯總，并及時上報；二，大數(shù)據(jù)存儲平臺，需要達到PB、EB、ZB級別；三，大數(shù)據(jù)分析，在短時間內(nèi)處理大量不同類型的數(shù)據(jù)集，分析出高價值信息，是體現(xiàn)大數(shù)據(jù)核心價值的關(guān)鍵。

3.3 網(wǎng)絡(luò)安全態(tài)勢

面對不斷增加的多層面網(wǎng)絡(luò)安全威脅和安全風(fēng)險，企業(yè)和組織需要及時發(fā)現(xiàn)網(wǎng)絡(luò)中的異常事件，實時掌握網(wǎng)絡(luò)安全狀態(tài)，由過去的“亡羊補牢”轉(zhuǎn)向事前自動評估，降低網(wǎng)絡(luò)安全風(fēng)險，提高網(wǎng)絡(luò)安全防護能力。網(wǎng)絡(luò)安全態(tài)勢感知（network security situational awareness，NSSA）技術(shù)能夠綜合各方面的安全因素，通過安全要素的獲取、理解、評估與可視，從總體上反映網(wǎng)絡(luò)安全狀況，并對網(wǎng)絡(luò)安全的發(fā)展趨勢進行預(yù)測和預(yù)警。大數(shù)據(jù)技術(shù)特有的海量存儲、并行計算、高效查詢等特點，為大規(guī)模網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)的突破創(chuàng)造了機遇。網(wǎng)絡(luò)安全領(lǐng)域許多企業(yè)紛紛提出安全大數(shù)據(jù)態(tài)勢感知方案或構(gòu)建安全大數(shù)據(jù)態(tài)勢感知預(yù)警平臺。國內(nèi)有專業(yè)的網(wǎng)絡(luò)安全廠商也提供了的病毒威脅預(yù)警系統(tǒng)，可以對本地全量數(shù)據(jù)進行采集和存儲，以情報為驅(qū)動，實現(xiàn)對網(wǎng)絡(luò)的持續(xù)監(jiān)控、安全分析與威脅溯源。

3.4 立體安全防范體系

安全防范已不再是遇到病毒再上專殺工具的時代了，需要多種技術(shù)和設(shè)備配合來建立立體管控體系。有效的控制手段是從網(wǎng)絡(luò)邊界入手，全面收集網(wǎng)絡(luò)中傳遞的數(shù)據(jù)，對網(wǎng)絡(luò)中數(shù)據(jù)進行綜合性判斷，整理各種安全事件的關(guān)聯(lián)后的數(shù)據(jù)，從而全面實時動態(tài)的監(jiān)控網(wǎng)絡(luò)中的病毒及攻擊事件。變被動防御為積極主動防御，對已經(jīng)發(fā)生的安全事件及將要發(fā)生的安全事件給予全面掌握，并及時進行處理。對全網(wǎng)的安全事件全面的了解，及時的處理，專業(yè)的病毒威脅預(yù)警系統(tǒng)不僅對具備惡意程序及惡意攻擊行進行記錄，而且可以對安全事件進行智能的關(guān)聯(lián)，對事件的處理做到流程化管理，對全網(wǎng)的安全事件做到全面的呈現(xiàn)，如圖1所示。同時，可全面高效檢測計算機病毒傳播、蠕蟲攻擊、木馬通訊、僵尸網(wǎng)絡(luò)、口令探測等當前活躍的多種網(wǎng)絡(luò)威脅；通過多層檢測分析（網(wǎng)絡(luò)層、傳輸層、應(yīng)用層）、深度內(nèi)容分析、智能關(guān)聯(lián)等技術(shù)策略，對網(wǎng)絡(luò)數(shù)據(jù)進行高效檢測處理，可有效對網(wǎng)絡(luò)環(huán)境的安全狀況進行預(yù)警。

4 網(wǎng)絡(luò)安全對網(wǎng)絡(luò)設(shè)備的影響

整個立體安全防范體系的有效運行需要多種類型的網(wǎng)絡(luò)設(shè)備配合實現(xiàn)，整個網(wǎng)絡(luò)環(huán)境中包括單不限于：核心網(wǎng)絡(luò)的路由器與交換機，接入終端設(shè)備（PTN，PON和Wifi），專用的網(wǎng)絡(luò)安全設(shè)備（防火墻，防毒墻，IPS/IDS），流量探針（流量匯聚與分流設(shè)備），大容量存儲平臺，服務(wù)器集群等。

網(wǎng)絡(luò)基礎(chǔ)設(shè)備：網(wǎng)絡(luò)從20年前的電話撥號開始，現(xiàn)在已經(jīng)是千兆光纖入戶，從接入端到核心網(wǎng)絡(luò)，技術(shù)不斷的升級，網(wǎng)絡(luò)設(shè)備也不停的迭代更新，現(xiàn)在的數(shù)據(jù)中心核心層T級交換網(wǎng)絡(luò)已經(jīng)普及了。數(shù)據(jù)是整個網(wǎng)絡(luò)運行的基礎(chǔ)，是血液；網(wǎng)絡(luò)是傳輸數(shù)據(jù)的管道，是血管；高速，大容量的管道有利于數(shù)據(jù)的傳輸，也有利于大腦判斷整個身體的情況。某處管道擁擠，有突發(fā)的大流量數(shù)據(jù)、大量丟包、大量的TCP鏈接等網(wǎng)絡(luò)異常情況發(fā)生時，除了定位網(wǎng)絡(luò)問題外，還有可能是網(wǎng)絡(luò)安全事件發(fā)生，例如暗云III木馬造成的全網(wǎng)DDos攻擊。

同時，針對網(wǎng)絡(luò)基礎(chǔ)設(shè)備的漏洞挖掘也成為新的熱點，得到了越來越多的安全研究者關(guān)注。特別是針對路由器、交換機和無線設(shè)備的底層驅(qū)動的漏洞挖掘，一旦這些設(shè)備出現(xiàn)問題，將給整個網(wǎng)絡(luò)帶來極大的影響；這也使網(wǎng)絡(luò)設(shè)備廠商對自身產(chǎn)品的安全更加關(guān)注了。

網(wǎng)絡(luò)安全設(shè)備：網(wǎng)絡(luò)安全設(shè)備從單臺防火墻開始，到現(xiàn)在的全網(wǎng)安全解決方案，技術(shù)也在快速革新中。隨著人們安全意識的不斷提高，對信息和隱私的保護意識不斷加強，網(wǎng)絡(luò)安全的重要性也日漸凸顯?！吨腥A人民共和國網(wǎng)絡(luò)安全法》的發(fā)布更是標志著，網(wǎng)絡(luò)安全已經(jīng)上升到國家戰(zhàn)略的高度，網(wǎng)絡(luò)安全設(shè)備也日益繁多。主機安全，邊界安全，大數(shù)據(jù)安全，云安全等概念不斷推陳出新，網(wǎng)絡(luò)安全產(chǎn)品也不斷升級換代，網(wǎng)絡(luò)安全也成為大眾創(chuàng)業(yè)的方向之一。

5 結(jié)語

本文描述了2017的兩個網(wǎng)絡(luò)安全事件，分析了“WannaCry”病毒和暗云II木馬，結(jié)合大數(shù)據(jù)技術(shù)對網(wǎng)絡(luò)立體安全防范體系進行了闡述，同時也就網(wǎng)絡(luò)安全對網(wǎng)絡(luò)設(shè)備的影響進行了敘述。網(wǎng)絡(luò)安全問題已經(jīng)滲透到人們生活的各個方面中，從實體設(shè)備到虛擬空間，各個環(huán)節(jié)都能影響到安全問題，也將一直是信息時代的核心問題。