（通信与信息系统专业论文）主机入侵保护系统的研究与实现.pdf

山东大学硕士学位论文 a p i b p d d o s d l l h i p s i d s i p s l m s n i p s o s s s d t 符号说明 应用编程接口( a p p l i c a t i o np r 0 黟舢i n gi n t e r f a c e ) 误差反向传播( b a c kp r o p a g a t i o n ) 分布式拒绝服务( d i s t r i b u t e dd e n i a lo fs e i c e ) 动态链接库( d y l l 咖i cl i n kl i b 删劝 主机入侵保护系统( h o s ti i l 吣i o np r e v 锄t i o ns y s t 锄) 入侵检测系统( 姗i o nd e t e c t i o ns y s t e m ) 入侵保护系统( i n 乜啪i o np r e v e n t i o ns y s t e m ) 最小均方误差( l e 嬲tm 啪s q u a r e ) 网络入侵保护系统( n e t 、) r o r ki n t n 略i o np r c v 朗“0 n s y s t e n l ) 操作系统( o p 删i o ns y s t e m ) 系统服务描述符表( s y s t 咖s e i c e sd e s 耐p t o r1 a b l e ) 3 原创性声明 本人郑重声明：所呈交的学位论文，是本人在导师的指导下，独 立进行研究所取得的成果。除文中已经注明引用的内容外，本论文不 包含任何其他个人或集体已经发表或撰写过的科研成果。对本文的研 究作出重要贡献的个人和集体，均已在文中以明确方式标明。本声明 的法律责任由本人承担。 论文作者签名：2 虱氲日期：塑! 塞：竺! ! 关于学位论文使用授权的声明 本人完全了解山东大学有关保留、使用学位论文的规定，同意学 校保留或向国家有关部门或机构送交论文的复印件和电子版，允许论 文被查阅和借阅；本人授权山东大学可以将本学位论文的全部或部分 内容编入有关数据库进行检索，可以采用影印、缩印或其他复制手段 保存论文和汇编本学位论文。 ( 保密论文在解密后应遵守此规定) 论文作者签名： ! 虱盈导师签名： 山东大学硕士学位论文 摘要 w i n d o w s 在桌面操作系统的全球市场占有率有着绝对的优势，加上、m n d o w s 自身的一些弱点，w i n d o w s 操作系统就成为黑客攻击的重要目标，因此w i n d o w s 操作系统的安全问题就越来越被重视。传统的防火墙加入侵检测系统的安全方案， 由于响应的滞后性已经不能满足目前的安全需要，入侵保护系统在这种形式下应 运而生。入侵保护系统在吸收了入侵检测系统的优点以及成熟技术的基础上，可 以在系统受到攻击之前阻断攻击源，是下一代目前计算机安全产品的代表。 本文的重点内容是主机安全技术的研究以及主机入侵保护系统的实现，首先 从技术层面简要分析了目前常见安全产品的缺点，以及主机入侵保护系统出现的 必然性。然后在深入研究主机入侵保护系统技术和未来发展趋势的基础上以设计 了一套主机入侵保护系统，即通过对系统活动( 进程、注册表、文件) 的综合监 控，来达到防止病毒、木马、蠕虫等恶意软件危害系统的目的。 本文内容与项目实践密切相关，上述提到的技术都是项目执行过程中从不同 方案中选取的，并在实际项目开发过程中证明是切实可行的，因而在具有研究价 值的同时具备实用价值。 在项目实现的基础上，本文针对项目的不足之处提出了改进方案，将神经网 络的自学习算法与规则库和策略库的匹配决策过程相结合，能够很好的提高系统 的运行效率。 最后，对主机入侵保护系统的发展趋势以及研究热点做了一下展望。 关键词：主机安全；入侵保护系统；系统服务描述表；神经网络 山东大学硕士学位论文 a b s t r a c t w i n d o w sh 鹤t h ea b s o l u t ea d v a n t a g ei i lt h ed e s k t o po p 硎i n gs y s t e ms h a r co ft h e 酉o b a lm a r k e t ，c o u p l e dw i t hi t so w nw e a l 【1 1 e s s e s ；t h ew i l l d o w s0 sh 嬲b e c o m e 锄 i m p o r t a i l tt a r g e to fh a c k e r s ，s op e o p l ep a ym o r ea t t e l l t i o nt ot h es e c u f i t yo fw i n d o w s o s d u et ot h el a g 沓n gr e s p o n s e ，t r a d i t i o n a ls e c u r i t ys c h 锄es u c ha sf i r e w a l la s s o c i 曲e dw i t h i n t m s i o nd e t e c t i o ns y s t 锄c 锄n o tm e c tt l l es e c u r i t yn e e d s ，i n t m s i o np r o t e c t i o ns y s t a n a p i p e a r s i i l 觚s i o np r o t e c t i o ns y s t 锄a b s o r b st h em 丽t s 嬲w e l l 嬲t h em a t u r c t e d m o l o 酉c so fi n t m s i o nd e t e c t i o ns y s t e m a sat y p i c a ls e 训t yp r o d u c t ，i tc a nb l o c k a t t a c k ss o u r c eb e f o i et t 坨o si sa t t a c k e d t h i sp 印e rf o c u s 铭o nm er e s e a r c ho fh o s ts e c u r i t yt e c l l r l 0 1 0 9 y 笛w e l l 觞t h e i m p l e m to fh o s ti n t m s i o np r o t e c t i o ns y s t 锄f i r s to fa l l ，t h el i m i t a t i o n s0 ft h ec u 嬲l t c 0 i i l 】m o ns e c 嘶t ) ，p r o d u c t sa r c 锄a l y z e do nat e c l l n i c a ll e v e l ，a n dm en c c e s s a 巧o fh o s t i n t n l s i o np r o t e c t i o ns y s t e mi sa l s om e n t i o n e d t h e nas c to fh o s ti n t r u s i o np r o t e c t i o n s y s t e mi sd c s i g n e do nt h eb 鹊i so f l ei i l - d 印t hs t u d yo nh o s ti 1 1 _ 缸u s i o np m t e c t i o n s y s t e i l l st e c t 1 0 l o g ya n di t s 矗m 鹏d c v e l o p m e n t 仃t m d s t h eh l p sp r c v e n t sv i m s 髓， t i 0 j a n s ，w o 衄sa n do t h e rm a l i c i o 郴s o f 两a r e - o mc 1 1 d 鲫g e r i n gn l e 、m n d o w so sb y s y i l t h e t i c a l l ym o n i t o r i n gt h eb e h a v i o r so f t h es y s t e m ( p r o c c s s ，r e 西s 臼啊锄df i l e ) h lt 1 1 i sp 印t h ec o n t ti s c l o s e l yr e l a t o dw i t ht l l ep r o j e c tp r a c t i c e ；t h e a b o v e - m e n t i o n c dt e d m o l o 西懿a r es e l e c t e d 缸 mm ed i 伍b 豫no p t i o n sb ym e i t l b e 瑙o f t h ep r o j e c tt e 锄，a 1 1 dp r 0 v e dt ob ep r a c t i c a li nt l l ea c t u a lp r o j e c td e v e l o p m e n tp r o c e s s t h e r e f o r c ，m es c h e m eh a sr e s e a f c hv a l u ea tt l l es 锄et i m eh 嬲p r a c t i c a lv 砸u e 0 l i ln l eb a s i so fi m p l 啪e n t a t i o no ft h ep r o j e c tt l l i s p a p e rp r o p o s 懿an e w i m p r o v e m e n tp r o g r a mp r o j e c t st oc o n s u m m a t et h ei n a d e q u a c yo fm es c h e m ep r o j e c t t h a ti s u s i n gs e l f l e 锄i n gn e u r a ln e 帆o r ka l g o r i t h m i i lt l l e m a t 出n g锄d d e c i s i o n - m a k i n gp r o c e s s f i n a l l y ，t l l ed e v e l o p m e n t 仃e n do fh o s ti i l 打u s i o np r o t e c f t i o ns y s t e ma n ds e 、懈试 托s e a r d hf o c u s 懿s t l l d ya r e 百m 2 k e y w o r d s ：h o s ts e c u r i t y ；h i p s ；s s d t ；n e u r a ln 娟) l ，o r k 山东大学硕士学位论文 1 1 课题背景 第一章绪论 随着互联网的高速发展，数据通信网络的同益普及，信息的存储、处理、交 换和获取变得越来越便利。但同时网络也给怀有恶意的人提供了新的途径，比如 通过网络对计算机系统进行破坏，或者非法获得资源和信息。对于这些行为，我 们通常称之为网络安全威胁或网络攻击。 随着新的技术不断出现并且被大规模应用，各种系统的安全漏洞也暴露出来， 给了攻击者可乘之机，发展出多种攻击方法。各种恶意程序( 蠕虫、病毒、木马 等) 的广泛传播，导致来自网络内部的攻击数量大大增加，更加提高了网络安全 防御的难度。 根据国家计算机网络应急技术处理协调中心( 简称c n c e r t c c ) 公布的2 0 0 7 年上半年网络安全工作报告显示，攻击者的攻击目标明确，针对不同网站和用户 采用不同的攻击手段，且攻击行为趋利化特点表现明显。对政府类和安全管理相 关类网站主要采用篡改网页的攻击形式，以达到泄愤和炫耀的目的，也不排除放 置恶意代码的可能，导致政府类网站可能存在安全隐患。对中小企业，尤其是以 网络为核心业务的企业，采用有组织的分布式拒绝服务攻击( d d o s ) 攻击等手段 进行勒索，从而迫使企业接受相应条件，影响企业正常业务的开展。对于个人用 户，攻击者更多的是通过用户身份窃取等手段，偷取该用户游戏账号、银行账号、 密码等，窃取用户的私有财产。如利用网络钓鱼( p h i s h i n g ) 和网址嫁接( p h a n i l i n g ) 等对金融机构、网上交易等站点进行网络仿冒，在线盗用用户身份和密码。通过 恶意网页、社交工程、电子邮件和信息系统漏洞等方式传播恶意代码，利用间谍 软件( s p y w a r e ) 和木马程序窃取用户的私有信息，严重的导致财产损失 1 】。 5 山东大学硕士学位论文 本课题的内容正是在如此严峻的背景下与华为公司采取校企合作的方式开发 目前比较流行的主机入侵保护产品( h i p s ) ，主要是在研究目前在互联网上流行 计算机攻击手段以及著名的安全产品特点以及技术的基础上，开发有自主知识产 权的h i p s 主机入侵保护系统，截至到目前该产品已经基本开发完成，主要在进行 后期的维护以及调试，并有接近1 0 项专利在申请之中。 1 2 国内外研究现状 在传统的安全系统中，较多的采用入侵检测系统。入侵检测系统( i d s ， i n 乜1 j s i o nd e t e c t i o ns y s t e m ) 是近十多年发展起来的安全防范技术，它通过对计算机 网络或系统中的若干关键点收集信息并对其进行分析，从中发现是否有违反安全 策略的行为和被攻击的迹象。i d s 产品被认为是在防火墙之后的第二道安全防线 在攻击检测、安全审计和监控等方面都发挥了重要的作用。 但在入侵检测系统的使用过程中，仍暴露出了诸多的问题，特别是误报、漏 报和对攻击行为缺乏实时响应等问题比较突出，并且严重影响了系统发挥实际的 作用。g a r t n c r 在2 0 0 3 年一份研究报告中称入侵检测系统已经“死 了。g a n n e r 认为i d s 不能给网络带来附加的安全，反而会增加管理员的困扰，建议用户使用 入侵防御系统( i p s ，i n n l l s i o np r e v e n t i o ns y s t e m ) 来代替i d s 。g a r h l e r 公司认为只 有在线的或基于主机的攻击阻止( 实时拦截) 才是最有效的入侵防御系统。 i p s 是一种主动的、积极的入侵防御系统，它部署在网络的关键路径上或者主 机上，当检测到攻击企图时，它会自动地将攻击包丢掉或采取措施将攻击源阻断。 简单地理解，可认为i p s 就是防火墙加上入侵检测系统。i p s 能对防火墙所不能过 滤的攻击进行过滤。i p s 的检测功能类似于i d s ，但i p s 检测到攻击后会采取行动阻 止攻击，可以说m s 是基于i d s 的、是建立在i d s 发展的基础上的新网络( 主机) 安全产品。 1 2 1 国外研究现状 目前，越来越多的网络安全公司正在从被动的i d s 技术转移到采取主动防御 的口s 技术。市场上既有独立的i p s 设备，如i s s 的p r o v 铋t a 系列、m c a f e e 的 6 山东大学硕士学位论文 i 砷m s l l i e l d 系列、j u n i p e r 的i d p 系列，也有安全厂商将入侵防御功能集成到安全设 备当中，如赛门铁克、w a t c h g 呦r d 、s o l l i c w a l l 等都将入侵防御作为一个功能模块 集成到自己的安全网关设备当中。 t o pl a y e r 公司推出的a t t a c km i t i g a t o ri p s 硬件产品可以阻击由防火墙漏掉 的、或i d s 只能检测而不能处理的网络攻击，从而减少因网络攻击而受到的损失， 增强网络的性能和可用性。 j u m p e r 公司的入侵检测和防御产品i d p 把入侵检测和防御功能整合进一个设 备中并拥有优秀的管理能力。它的多元检测技术具有八种检测机制，并且在一个 单独的平台上提供了所有其他几个品牌产品分别具有的功能。而且，它是基于“内 嵌 进整个网络来运行设计的，可以提供更主动的方式来阻止入侵。 c h e c kp o i n t 公司在其防火墙产品f i r e w a l l i n g 中构造了s m a r t d e 氨m s e 系统。它 使用了由c h e c kp o i n t 开发的可以在掌握通信状态的情况下检测出可疑数据包的 s t a t e 如l i n s p e c t i o n 引擎。s m a n d e 蠡m s e 不仅能满足防火墙访问控制、认证等方面的 需求，还能够对各种己知未知的网络攻击进行主动检测，并做到积极防范。 m c a f e e 推出的网络入侵防护解决方案m c a f e ei n 仃u s h i e l d 拥有强大的可编程 安全硬件，对已知未知攻击、d o s 攻击都可以进行防护，并且同时线速支持成千 上万的特征，而不会丢失数据包；主机入侵防护解决方案m c a f e ee n t e r c 印t 提供了 更加有效的、可管理的防护性能，为企业提供了有效防护，可以有效阻挡像红色 代码、尼姆达和s l a m m e f 病毒这样的混合威胁。 c o r n p u t e ra s s o c i a t c s 公司基于主机的入侵防御系统e t n l s 认c c e s s c o r l t r o l 利用禁 n l 未授权访问的全面安全策略来保护关键业务数据和应用。这种强大的解决方案 简化了i j l 、i 或w i n d o w sn t 的安全管理与增强特性。其图形用户界面可集中控制 安全策略以及用户、组和资源的管理，其内建的基本策略可以提供综合的保护。 另外，网络安全霸主i s s 推出名为g u a r d 的i p s ；赛门铁克推出含i p s ，a v ：，n 和内容过滤的s g s ；思科公司推出的基于主机的安全代理软件c s a ；h 硎s 公司推 出名为s t a t n 眦仃 1 1 i z e r 的i p s ；t i p p i n g p o i n t 公司推出的u n i t y o n e 系列i p s ；p l a t f o m l o 百c 推出的a p p f i r e s u i t e ；s 锄as e c u r i t y 推出的p r i m a 巧r e s p o n s e ；c a p t u sa k 仃0 i l i c s ， v s e c u r e 等公司也相继推出相应产品【2 】【4 】。 7 山东大学硕士学位论文 1 2 2 国内研究现状 在国内，i p s 曾多次在相关媒体上报道，安全厂商和安全人士对i p s 也十分关 注，一些防火墙厂商集成了防范部分攻击的功能，如绿盟科技的冰之眼网络入侵 保护系统，天融信的防火墙4 0 0 0 u f 内置有i p s 功能，联想网御系列防火墙可以 检测出1 0 0 0 余种攻击行为。 冰之眼网络入侵保护系统是绿盟科技自主知识产权的新一代安全产品，作为 一种在线部署的产品，其设计目标旨在准确监测网络异常流量，自动对各类攻击 性的流量，尤其是应用层的威胁进行实时阻断，而不是在监测到恶意流量的同时 或之后才发出告警。这类产品弥补了防火墙、入侵检测等产品的不足，提供动态 的、深度的、主动的安全防御，为企业提供了一个全新的入侵保护解决方案。冰 之眼网络入侵保护系统采用先进的体系架构集成领先的入侵保护技术，包括以全 面深入的协议分析技术为基础，协议识别、协议异常检测、关联分析为核心的新 一代入侵保护引擎，具有实时的、主动的网络防护功能，内置基于状态检测的防 火墙，保护网络边界和内部网络，同时为网络设备的漏洞提供防护，具有流量管 理功能；对于可能出现的异常流量，提供抗拒绝服务攻击功能；提供对应用层的 防护功能，针对操作系统，应用软件以及数据库、提供深度的内容检测技术，过滤 报文里的恶意流量和攻击行为，保护存在的漏洞，防止操作系统和应用程序损坏 或宕机；对企业内部网络资源提供内容管理，可以有效检测并阻断间谍软件，包 括木马后门、恶意程序和广告软件等，并可以对即时通讯、p 2 p 下载、网络游戏、 在线视频、网络流媒体等内容进行监控并阻断 5 】。 启明星辰公司的安星个人主机防护系统是专门用于个人主机防范入侵或误操 作的安全保护系统，可对、m n d o w s 环境下的个人主机资源进行实时监测和有效防 护，它以系统默认策略和用户自定义策略为保护依据，从文件、注册表、网络通 信以及拨号网络四个方面进行安全控制。 与国外轰轰烈烈的场面相比，国内的入侵防御技术发展比较缓慢，产品也较 少，在技术上还有很大的差距。 山东大学硕士学位论文 1 3 本论文研究内容 本文在分析了传统安全产品的技术特点的基础上，采用了h o o ks s d t 表的方 式，来实现了一套主机入侵保护系统，并对该系统的一些实际设计中不足的地方 提出了改进方案。 本文组织结构如下： 第一章是绪论部分，主要介绍论文背景、国内外厂商的研究现状以及本论文 研究内容。第二章主要介绍传统安全产品的技术特点，并对其缺点进行了简要阐 述，在此基础上着重介绍了入侵保护系统存在的必要性。第三章主要介绍主机入 侵保护系统使用的相关技术。第四章设计了一种基于h o o ks s d t 表的主机入侵 保护系统，该系统主要包括文件、注册表、进程监控三个主要功能，主要针对目 前比较流行的恶意程序的防御。第五章在对我们所设计的产品的策略库和规则库 进行了细致的介绍后，提出了一种基于神经网络的自学习系统，该系统主要采用 b p 改进算法，达到了使主机入侵保护系统自学习和智能判断的目的。第六章对本 文的h i p s 设计进行了总结，并对其以后发展的方向做出了展望。 9 山东大学硕士学位论文 2 1 防火墙技术介绍 第二章安全产品技术介绍 在计算机领域为了保证网络安全，在互联网与内部网之间建立起一个安全网 关( s e c u d t yg m e w a y ) ，用来保护内部网络不受非法用户的侵入，这种计算机硬件 和软件组成的设备就是防火墙。我们知道开放系统互连模型( o s i ) 分为物理层、数 据链路层、网络层、传输层、会话层、表示层和应用层。根据防火墙技术主要工 作在该模型的哪些层面上，可以将防火墙技术分为“包过滤型防火墙 和“应用 代理型防火墙”两大类。 包过滤型防火墙工作在o s i 网络参考模型的网络层和传输层，该类防火墙相 当于一个智能路由器它将到达的数据包进行拆包分析获得该数据包的源地址，目 的地址、端口号和协议类型等标志性信息，然后将这些信息与和网络管理员设定 的规则标准进行比对判断，让满足所有过滤条件的数据包通过，其余不满足任何 一个过滤条件的数据包都会从数据流中丢弃。包过滤方式的防火墙技术是一种通 用、廉价和有效的安全手段。 应用代理型防火墙是工作在o s i 模型的最高层，直接对特定的应用层进行服 务，也被称为应用层网关级防火墙。它代理用户完成t c p i p 网络的访问功能，实 际上通过对电子邮件、f f p 、t e l i l e t 、w w w 等各种不同的应用分别提供相应的代 理。该技术使得外网与内网之间的所有连接都通过代理服务器的中间转换，实现 了安全的网络访问，还可实现用户认证、详细日志、审计跟踪和数据加密等功能， 以及协议及应用的过滤和会话过程的控制，具有很好的灵活性。其优点是完全“阻 隔 了网络通信流，通过对每种应用服务编制专门的代理程序，实现监视和控制 应用层通信流的作用缺点是可能影响网络的性能，对用户来说它是不透明的，且 对每一种t c p 口协议都要设计一个代理模块，建立对应的网关，实现起来比较复 杂 6 】。 l o 山东大学硕士学位论文 2 2i d s 技术介绍 i d s ( 入侵检测系统) 【7 】根据入侵检测采用的技术，可以分为异常检测 ( a n o m a l vd c t e c t i o n ) 和误用检测( m i s u s ed e t e c t i o n ) 。 异常检测也被称为基于行为的检测，基于行为的检测指根据使用者的行为或 资源使用状况来判断是否入侵。基于行为的检测与系统相对无关，通用型较强。 它甚至有可能检测出以前为出现过的攻击方法，不像基于知识的检测那样受己知 脆弱性的限制。但因为不可能对整个系统内的所有用户行为进行全面的描述，并 且每个用户的行为是经常改变的，所以它的主要缺陷在于误检率很高。尤其在用 户数目总众多，或工作目的经常改变的环境中。其次，由于统计简表要不断更新， 入侵者如果知道某系统在检测器的监视之下，他们能慢慢地训练检测系统，以至 于最初认为是异常地行为，经过一段时间训练之后也认为是正常的了。 误用检测也被称为基于知识的检测，它指运用己知的攻击方法，根据已定义 好的入侵模式，通过判断这些入侵模式是否出现来检测。常用的误用检测技术主 要有：专家系统、模型推理和状态转换分析等【8 】 9 】。 ( 一) 基于专家系统的误用入侵检测 基于专家系统的误用入侵检测是通过将安全专家的知识表示成规则形成专家 知识库，然后运用推理算法检测入侵。用专家系统对入侵进行检测，经常是针对 有特征的入侵行为。所谓的规则，即是知识，专家系统的建立依赖于知识库的完 备性，知识库的完备性又取决于审计记录的完备性与实时性。 ( 二) 基于模型推理的误用入侵检测 入侵者在攻击一个系统时往往采用一定的行为序列，如猜测口令的行为序列， 这种行为序列构成了具有一定行为特征的模型，根据这种模型所代表的攻击意图 的行为特征，可以实时地检测出恶意地攻击企图。与专家系统通常放弃处理那些 不确定的中间结论的缺点相比，这一方法的有点在于它基于完善的不确定性推理 数学理论。基于模型的入侵检测方法可以仅监视一些主要的审计事件，当这些事 件发生后，再开始记录详细的审计，从而减少审计事件处理负荷。 ( 三) 基于状态转换分析的误用入侵检测 状态转换分析就是将状态转换图应用于入侵行为的分析。状态转换法将入侵 山东大学硕士学位论文 过程看作一个行为序列，这个行为序列导致系统从初始状态转入被入侵状态。分 析时首先针对每一种入侵方法确定系统的初始状态和被入侵状态，以及导致状态 转换的转换条件，即导致系统进入被入侵状态必须执行的操作( 特征事件) 1 0 】。然 后用状态转换图来表示每一个状态和特征事件，这些事件被集成于模型中，所以 检测时不需要一个个地查找审计记录。但是，状态转换是针对事件序列分析，所 以不善于分析过分复杂的事件，而且不能检测于系统状态无关的入侵。 2 3 反病毒技术 中华人民共和国计算机信息系统安全保护条例第二十八条中明确指出： “计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数 据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。 目前病毒大致分为以下几类：传统病毒、宏病毒、恶意脚本、木马、黑客、 蠕虫、破坏性程序。随着病毒技术的提高，杀毒软件的技术也在演变之中，当今 主要的反病毒技术有特征值扫描技术，启发式分析技术，反病毒虚拟机技术 8 】。 特征值扫描技术 特征值扫描技术是基于早期计算机病毒特征发展起来的反病毒技术。最初的 计算机病毒采用简洁的设计，病毒代码没有采用加密或变形的手段，每一种新的 病毒代码代表一种新的病毒。由于每一种病毒的代码固定不变，反病毒技术人员 从病毒代码中抽取不同于其他程序的异常特征代码，称为病毒特征值，组成病毒 特征库，然后对不同的程序进行特征值扫描，如果在程序中发现有匹配的特征码， 则判定该程序是病毒。这种方法的优点是：判断病毒精度高、速度快，缺点是不 能判定未知病毒 3 】。每出现一种新的病毒，反病毒技术人员需要获取新病毒的源 代码，进行认真分析，提取新的病毒特征值增加到病毒特征值库。由于特征值扫 描精度高、速度快的特点，它一直是反病毒技术发展过程中的基础技术【1 1 】。对 于已知的计算机病毒，现代反病毒领域采用传统的特征值扫描【1 2 】；对于未知病毒， 则采用现代的反病毒技术。 启发式分析技术 随着病毒技术的发展，变形病毒的出现是病毒发展的一次飞跃。这类病毒采 用加密变形手段，每进行一次传染，病毒体发生新的变化，可以存在无数种变形， 1 2 山东大学硕士学位论文 传统的特征值扫描技术已经存在严重的局限。为了提高对未知病毒的判定能力， 反病毒领域出现了一种新的反病毒技术：启发式分析。启发式分析是通过一组规 则集，来判断一个程序是否是病毒的技术。这些规则集反映了病毒的特征，如 、矾n d o w s 下的p e 病毒感染程序后，可能在程序后面增加新节、修改程序的入口点 为最后一节等。任何具体同样传染方式的病毒，不论其变形的手段如何复杂、形 体有多少种变化，只要抽取到该病毒的传染规则，通过启发式分析就能准确地判 断是哪种病毒的变形。启发式分析不仅有效地对抗了变形病毒，而且提高了对未 知病毒的判断能力，只要某种未知病毒具有满足规则集的传染形式，启发式分析 技术也能准确地进行判断。启发式分析存在的缺陷是会产生误报。由于规则集是 反病毒技术人员在认真分析大量病毒特征的基础上提取的，并且为每条规则规定 相应权值，扫描过程中只要权值总和到达或超过某一网值，即可判断该程序是病 毒。某些正常的程序也可能满足一定的规则被判断为病毒，如有些正常加密、加 壳的程序等。 反病毒虚拟机技术 虚拟机技术应用于反病毒领域是反病毒技术的重大突破，它能模拟一个程序 的运行环境，病毒在其中运行如同在真实的环境中一样，这样就不断显露它的病 毒特征，这是一种极其理想的反病毒方式，尤其检测未知病毒。目前，反病毒虚 拟机不同于v m w a r e 和咖a lp c 这些完全仿真计算机资源的虚拟机，它仅仅是一 个虚拟c p u 和部分系统功能的模拟，目标仅仅限于模拟可执行文件的运行，反病 毒界又称之为通用解密器。反病毒虚拟机最初用于对抗变形病毒，这类病毒能产 生无数种变形，但其运行前会进行解密，并且同一种病毒的无数种变形解密后的 病毒体明文是相同的，因此只要模拟病毒的解密过程，就能还原出病毒体明文， 然后采用传统的特征值扫描技术进行扫描，反病毒虚拟机在这方面发挥了强大的 功能。 除了上面介绍的反病毒技术外，还有其他一些反病毒手段，如访问控制、完 整性校验、以及近年发展的主动内核技术等。由于病毒采用技术手段的多样化， 特别是网络的普及，计算机病毒扩散的范围、扩散的速度、产生的数量不断增长， 现代的反病毒软件是多种反病毒技术融合的结晶，呈现多层次、多元化的趋势。 1 3 山东大学硕士学位论文 2 4i p s 技术 入侵防御系统区别于入侵检测系统的重要特点就是：在攻击造成对网络或者 主机危害之前发现攻击行为，并对该行为进行阻断处理或者提示管理者进行选择 处理。入侵防御系统根据部署方式的不同可以分为两类：网络型入侵防御系统 ( n i p s ) 和主机型入侵防御系统( h i p s ) 。顾名思义，前者主要预先对入侵活动 和攻击性网络流量进行拦截，避免其造成损失，后者是对即将产生破坏作用、危 害计算机主机安全的操作、活动进行警告，拦截，中止等，避免其对目标计算机 产生恶意的攻击。 2 4 1 网络型入侵防御系统( p s ) 网络型入侵防御系统采用的在线工作模式，在网络中起到了关卡的作用。流 经网络的所有数据都经过n i p s ，由n i p s 来判定该数据是否安全，这就起到了保护 关键网段的作用。一般的n i p s 都包括检测引擎和管理器。网络型入侵防御系统模 型如图2 1 所示。 ；：1 1 i i检测引擎| 图2 1 网络型入侵保护模型 其中流量分析模块具有捕获数据包、删除基于数据包异常的规避攻击、执行 访问控制等功能。作为关键部分的检测引擎是基于异常检测模型或误用检测模型， 1 4 山东大学硕士学位论文 响应模块具有制定不同响应策略的功能，流量调整模块主要根据协议实现数据包 分类和流量管理。 n i p s 的这种运行方式实现了实时防御，但它仍然无法检测出特定类型的攻 击、误报率较高。 2 4 2 主机型入侵防御系统( p s ) 基于主机的入侵防御系统是预防黑客对关键资源( 如重要服务器、数据库、 文件等) 的入侵。h i p s 通常由代理( a g 铋t ) 和数据管理器组成，采用类似i d s 异常 检测的方法来检测入侵行为，也就是允许用户定义规则，以确定应用程序和系统 服务的哪些行为是可以接受的、哪些是违法的。a 鲫t 驻留在被保护的主机上，用 来拦截系统调用并检测和阻断，然后通过可靠的通信信道于数据管理器相连。 h i p s 这种基于主机环境的防御非常有效，可以根据自定义的安全策略以及分 析学习机制来阻断对服务器、主机发起的恶意入侵，而且也容易发现新的攻击方 式，h i p s 可以发现与阻断缓冲区溢出、恶意进程、文件破坏、d l l 注入与远程线程、 注册表可疑修改、改变登录口令、改写动态链接库以及其他试图从操作系统夺取 控制权的入侵行为，整体提升主机的安全水平。但是对它的规则配置比较困难， 参数的选择会直接影响到误报率的高低。 2 5 本章小结 本章主要介绍了目前市面上常见的几种安全产品所采用主要技术，在此对它 们的技术特点做一些比较和总结。 大多数的攻击数据包跟正常的数据包是没有什么差别的，因而在网络中通过 防火墙的数据包并不能保证都是安全的；而i d s 主要起的还是监听记录的作用， 它只能在攻击发生以后通过审计等监听技术分析出攻击已经发生，而采取什么措 施一般由网络管理员来决定【1 3 】。基于以上防火墙和i d s ，网络安全产品中采用较 多的是防火墙和i d s 联动的方式。入侵检测系统在捕捉到某一攻击事件后 1 4 】，按 策略进行检查，如果策略中对该攻击事件设置了防火墙阻断，那么入侵检测系统 就会发给防火墙一个相应的动态阻断策略，防火墙根据该动态策略中的设置进行 1 5 山东大学硕士学位论文 相应的阻断，阻断的时间、阻断时间间隔、源端口、目的端口、源i p 和目的i p 等 信息，完全依照入侵检测系统发出的动态策略来执行。目前总得来说，联动有一 定效果，但是稳定性不理想，特别是攻击者利用伪造的包信息，让l d s 错误判断， 进而错误指挥防火墙将合法的地址无辜屏蔽掉。 反病毒技术主要为杀毒软件厂商所采用，但是杀毒软件对病毒库的更新依赖 十分严重，对于新的病毒和攻击手段难以采取及时的措施。 i p s 是针对以上安全产品的优点进行必要的整合，作用上相当于防火墙和i d s 联动 1 5 】。i p s 最主要的特点就是主动防御：当i p s 发现有攻击行为( h i p s ) 或者数据 包有危险( n i p s ) ，口s 会主动采取措施，终止攻击行为或者丢弃数据包，从而在攻 击行为的发起阶段就将其阻止【1 6 】 1 7 】，达到了保护重要资源的目的。 1 6 山东大学硕士学位论文 3 1 远程注入技术 第三章p s 技术基础 代码注入是指如何在别的程序中插入自己的代码，以便在用户不知情的情况 下跟随着其它程序运行指定的代码，以达到特殊的目的【1 8 】。 如何在其他进程的地址空间中运行起来，一般来说，这个问题有三种可能的 解决方案： 把你的代码放到一个d l l 中；然后用w i n d o w s 钩子把它映射到远程进程 把你的代码放到一个d l l 中：然后用c r e a t e r 锄o t m r e a d 和l o a d l i b r a r y 把 它映射到远程进程 不用d l l ，直接复制你的代码到远程进程( 使用w t e p r o c e s s m e n l o w ) 并且 用c r e a t e r e m o t c l l l r e a d 执行之 3 1 1w in d 洲s 钩子 w i n d o w s 钩子的主要作用就是监视某个线程的消息流动。一般可分为： 局部钩子，只监视你自己进程中某个线程的消息流动。 远程钩子，又可以分为： 特定线程的，监视别的进程中某个线程的消息 系统级的，监视整个系统中正在运行的所有线程的消息 系统把这包含了钩子过程的d l l 映射到被挂钩的线程的地址空间。w i n d o w s 会映射整个d l l 而不仅仅是你的钩子过程。这就是为什么、矾n d o 、硼钩子可以用 来向其他线程的地址空间注入代码的原因。 当s e t w i n d o w h o o l 【e x 调用成功后，系统会自动映射这个d l l 到被挂钩的线 程，但并不是立即映射。因为所有的、i n d o w s 钩子都是基于消息的，直到一个适 当的事件发生后这个d l l 才被映射。 当你安装了钩子后，系统的性能会受到影响( 特别是系统级的钩子) 。然而如 1 7 山东大学硕士学位论文 果你只是使用的特定线程的钩子来映射d l l 而且不截获如何消息的话，这个缺陷 也可以轻易地避免。 使用完毕后必须卸载d l l ，由于已经对一个线程取消挂钩( u 1 1 1 1 0 0 k ) 了，不能 再使用u n h 0 0 k w i n d o w s h o o k e x ，具体方法如下： 1 在需要卸载这个d l l 之前再安装一个钩子 2 发送一个“特殊”的消息到远程线程 3 在你的新钩子的钩子过程( h o o kp r o c e d u r e ) 中截获该消息，调用f r e e l i b r a 拶 和u n h o o k w i n d o w s h o o k e x 这样，钩子只在映射d l l 到远程进程和从远程进程卸载d l l 时使用，对被 挂钩线程的性能没有影响。也就是说，就给出了一种w i n n t 和、m n 9 x 下都可以 使用的，不影响目的进程性能的d l l 映射机制。 3 1 2c r e a t e r e m o t e t h r e a d 和l o a d lib r a r y 技术 通常，任何进程都可以通过l 0 a d l i b r a r y 动态地加载d l l ，但是当我们要使得 一个外部进程强制调用该函数，应该使用c r e a t e r e m o t e t h r e a d 。 可以把l o a d l i b r a r 胛r e e l i b r a u 哕的指针作为参数传递给c r a t e r e i i l o t c l l l r 朗d 。 需要解决如下两个问题： 传递给n 嘴a d p r o c 的l p s t a r t a d d r c s s 参数必须为远程进程中的线程过程的起 始地址。 如果把t i i r e a d p r o c 的1 p p a r 锄e t e r 参数当做一个普通的3 2 位整数( f r e c i ，i b r a 叫 把它当做h m o d u l e ) 那么没有如何问题，但是如果把它当做一个指针 ( l o a d “b 删y 把它当做一个c h 盯毒) ，它就必须指向远程进程中的内存数据。 第一个问题因为l o a d l i b 删秒和f r l i b r a u 哆都是存在于k 锄e 1 3 2 d l l 中的函数， 而k e n l e l 3 2 可以保证任何“正常”进程中都存在，且其加载地址都是一样的。于是 l 0 a d l i b r 哪柙r e e l i b 聊了在任何进程中的地址都是一样的，这就保证了传递给远程 进程的指针是个有效的指针。 第二个问题可以把d l l 的文件名( l o a d l i b 删y 的参数) 用w n t e p r o c e s s m 锄0 巧 复制到远程进程而加以解决。 所以，使用c r e a t i e r e m o t m r e a d 和l o a d l i b r a 拶技术的步骤如下： 1 8 山东大学硕士学位论文 1 ) 得到远程进程的h a n d l e ( 使用o p e n p r o c 懿s ) 。 2 1 在远程进程中为d l l 文件名分配内存( v i r t l 工a l a l l o c e x ) 。 3 ) 把d l l 的文件名( 全路径) 写到分配的内存中( 、n t e p r o c e s s m 锄。眄) 4 ) 使用c r c a t e r 锄o t e l l l r e a d 和l 0 a d l i b 删秒把你的d l l 映射近远程进程。 5 ) 等待远程线程结束( w a i t f o r s i n g l e o b j e c t ) ，即等待l o a d l i b r a 巧返回。也 就是说当我们的d l l m a i n ( 是以d l lp r o c e s sa 丁r a c h 为参数调用的) 返回时远程线程也就立即结束了。 6 ) 取回远程线程的结束码( g e t e x i t c o d m 骶a d ) ，即l 0 a d l i b r a 叫的返回 值一一d l l 加载后的基地址( h m o d u l e ) 。 7 1 释放第2 步分配的内存( v i m a l l ? r e e e x ) 。 8 ) 用c r e a t e r 锄o t e t h r e a d 和f r e e l i b r a 科把d l l 从远程进程中卸载。调用时 传递第6 步取得的h m o d u l e 给f r e e l i b r a 巧( 通过c r e a t e r 锄o t e - n l r e a d 的l p p a r a m e t e r 参数) 。 9 ) 等待线程的结束( w 撕t f o r s i n g l e o b j e c t ) 。 同时，在最后需要关闭所有的句柄：第4 、8 步得到的线程句柄，第l 步得到 的远程进程句柄。 3 1 3c r e a t e r e m o t e t h r e a d 和w rit e p r o c e s s m