网络安全应急响应终极解决方案

网络安全应急响应终极解决方案

网络安全应急响应目前状况和主要问题有以下几点：

1、重防轻治，以防代治。目前网络安全产品以安全防御为主，如防火墙、入侵检测、入侵防御、防毒软件，以及网络细分、流量监视、流量控制等等，但网络安全应急救治的产品却处于稀缺或空白的状态。其表现为基于网络安全防御体系的技术水平现状，系统漏洞随着时间推移陆续显露，新病毒总量每年以超几何级数增长，黑客及病毒的技术含量不断提高和攻击手段不断翻新，黑客及病毒突破和破坏现有网络安全防御体系、劫杀和禁用防毒软件现象屡有发生，特别是爆发的大规模传染性网络病毒对提供公共服务的机构造成社会公共安全事件时有发生。

2、网络安全应急响应尚处于简单低级层次。事前制定的应急响应预案总难以有效应对尚且未知的病毒及网络攻击，匆忙赶赴现场，无奈断网恢复，或简单备机切换，大多数公司网络安全应急响应现状如此，与黑客病毒实施的远程入侵控制相比，技术和手段完全处于非对等的劣势地位，缺乏一种快速响应、与黑客病毒决胜于千里之外的能力。

3、安全防御与应急救治能力失衡，单纯防御必造成投入边际收益率递减，投资者裹足不前。“预防为主，防治结合”，这句话人人耳濡目染，但前半句的正确性和合理性成立是有条件的。安全防御与应急救治，两者的关系如同医学上疾病防疫与疾病救治的关系一样，以此类比联想，是否所有疾病都可防疫的呢？突发急病是找治病的医生，还是找疫防的医生呢？百把元即可治愈的流感有人肯不计成本的去预防它呢？答案是肯定的：1.可预防的；2.预防成本小于救治成本，这才是“预防为主，防治结合”正确性和合理性成立的前提条件。

4、进攻与防御，对攻防双方而言，如同矛与盾关系一样，没有无坚不摧的矛，也没有坚不可摧的盾，两者相生相克，此消彼长。防御系统和防毒软件处于明处，往往成为攻防实验室网络攻击秘密武器绝佳的靶子。基于特征码识别和基于行为模式识别的防毒软件需要从已知病毒提取特征码和从已知病毒学习行为模式，所以不可能识别具有未知特征码的未来病毒和具有未知行为模式的未来病毒。由于防御系统和防毒软件在系统防御中所处位置以及上述原因，决定了率先被突破、被劫杀的正是它们，由此进入网络安全应急响应的阶段。

网络安全应急响应最本质特征就在于应急救治，应急体现在实时响应，救治体现在具有决胜于千里之外的能力。实际上，难不在于实时响应，而在于入侵检测、病毒识别。若不能解决入侵检测、病毒识别问题，就无法阻击入侵、查杀病毒，现场情况不明，纵有详尽完备的应急响应预案，也只能匆忙赶赴现场，无奈断网恢复，简单备机切换，而事后取证和补救措施便也成为无的之失，流于形式，这难以满足网络安全应急响应服务社会化、专业化发展的要求，更不要说应急响应中心或应急呼叫中心了。

怎样识别病毒呢？病毒识别目前主要有病毒特征码识别和病毒行为模式识别两种方法，历史上先有特征码识别，后有行为模式识别。问题是，除此两种方法以外，还有其他的方法吗？防毒软件多年的使用及取得的巨大成就使这个问题似乎无多大意义。其实不然，“不识庐山真面目，只缘身在此山中”，下面构造算法阐明此问题。

算法I. 设当前病毒文件有全集U，经采集病毒样本并提取特征码和行为模式后构成样本集合S，现有任一文件f,其特征码和行为模式为a, 只有四种可能：1.f∈U, a∈S,识别正确；2.f∉U, a∉S,识别正确；3.f∉U, a∈S,假阳性误报；4.f∈U, a∉S,假阴性漏报。此算法即为当前防毒软件所采用的方法，集合S俗称病毒库。此算法病毒识别率高，但执行效率低。从全集U到集合S，采集病毒样本并提取特征码和行为模式包含大量工作，样本采集会有漏项和时间滞后，判断是否a∈S耗时费力，集合S需要不断更新才可识别新病毒，以当下日增数百万新病毒样本计，所有这些将是非常巨大的工作。对内外网隔离的集团用户，需要下载病毒库S才可识别病毒，而时间滞后带来可能是灾难性的影响，以曾经的熊猫烧香病毒和ARP病毒为例，从病毒流行到有效专杀工具出现个月有余，用户手忙脚乱，充满无助无奈。算法II. 设当前主机病毒文件有集合S，有：1.设系统正常时有全集A，系统异常时有全集B，作差集D=B-A，则有S⊂D；2. 设系统正常时有集合A，系统异常时有集合B，作差集C=B-A，作差集C的关联集合D，则有S⊂D。此算法与算法I相比，与病毒特征码或行为模式无关，不存在样本采集、特征码和行为模式提取、病毒库更新下载等问题；集合D是一个小样本集合，可用文件属性或属性组合条件甄别，所用文件属性包括进程、线程、端口、文件类型、长度、时间、目录、名字、注册表、服务、驱动、隐身性、版本号、数字签名、MD5值等。此算法是本文在网络安全应急响应中采用的方法。

根据上述原理，现给出网络安全应急响应终极解决方案--《终极者》。一则验证理论的可行性，完善各个细节；二则将理论转化成工具，用于解决实际问题，否则再好的理论也只是纸上的理论。下面简要阐述《终极者》的原理和方法等相关问题。

《终极者》是一款基于Windows操作系统阻击入侵、查杀病毒的工具软件，旨在用于网络安全应急响应，当发生网络入侵、病毒爆发、现有网络安全防御体系（如防火墙、入侵检测、入侵防御等）被突破、防毒软件被病毒所劫杀或对病毒不作为时，阻击入侵、查杀病毒、恢复系统的工作；改变目前应急响应赶赴现场，断网恢复，备机切换简单低层次的响应模式，改变与黑客病毒实施的远程入侵控制相比，技术和手段处于的非对等劣势地位，使之具有可快速响应、决胜于千里之外的能力；填补缺失的网络安全应急救治环节，与现有的网络

安全防御产品形成互补，构成防治结合完整的网络安全体系；通过快速响应，缩短应急响应时间，避免安全事态恶化，大幅减少运行维护成本。网络安全公司以此可将重点服务器应急响应服务扩大至全网段各主机的应急响应服务，内外网隔离的集团用户以此可就近应急响应自我救治，不必被动等待那不可预期的反病毒厂商病毒库更新来查杀病毒。《终极者》原理和方法也可适用于和移植于其它操作系统。

使用《终极者》，可选择一台主机，将《终极者》所有程序拷贝其上，作为网络共享服务器。网络共享服务器除了开放提供网络共享服务的445端口以外，关闭其余所有端口，以提高网络共享服务器自身安全性。《终极者》网络配置示意图如下：

《终极者》支持本地连接模式(如上图实线所示)，与远程连接客户端套件配合使用，可支持远程连接模式(如上图虚线所示)。请求帮助的主机称为求助端，提供帮助的主机称为救助端。求助端、救助端和共享服务器可以处于同一个内网，也可以不处于同一个内网。对企业级网络用户，推荐将共享服务器配置在企业内网，以提高其响应速度和安全性。

《终极者》查找识别病毒的方法不同于特征码识别和行为模式识别，主要包括系统完整性检查、差异分析法、时序分析法和数字签名法等方法。系统完整性检查方法认为系统的变化必然表现出文件和注册表的变化，因此通过前后两个不同时间点或感染病毒前后所作的由文件和注册表组成的系统“快照”比较，便可查出系统在这个时段或感染病毒前后的变化。差异分析法从分析系统的异常入手，各种类型的病毒根据其触发条件、攻击方式、抗杀手段、传播途径必定会在系统的进程、端口、线程、服务、驱动、注册表、目录和文件等方面表现出某种异常，从这些异常便可查找出病毒的“蛛丝马迹”。时序分析法认为病毒是具有时间属性的，也即病毒各文件之间形成某种时序相关性。根据这种时序相关性，时序分析法完成“由此及彼、由点到面”的病毒查寻工作。数字签名法通过验证文件数字签名判断文件的完整性及签署人的“身份”。Windows操作系统许多文件，如进程、线程、驱动等，都具有微软的数字签名，而非微软的文件不可能具有微软的数字签名，因此根据数字签名可以很容易将具有数字签名的系统文件与疑似病毒文件区分开来。

《终极者》目前有450多条命令，涵盖多方面的功用。为交流方便，特制作部分录像资料，以可视化的方式演示《终极者》的原理方法、相关操作及常用命令组合。这些录像资料包括：

1、0.1_请求帮助相关操作示例

2、0.2_远程响应相关操作示例

3、0.3_基本命令组合查杀病毒示例

4、0.4_完整性检查查杀病毒示例一

5、0.5_完整性检查查杀病毒示例二

6、0.6_远程终端登录操作示例

7、1.1_自启动型病毒查杀示例

8、2.1_系统服务型病毒查杀示例

9、3.1_文件关联型病毒查杀示例

10、4.1_映像劫持型病毒查杀示例

11、5.1_线程插入型病毒查杀示例

12、6.1_系统内核型病毒查杀示例

13、7.1_设备驱动型病毒查杀示例

14、7.2_CMT.EXE感染型及驱动型病毒查杀示例

15、7.3_LINKINFO.DLL感染型及驱动型病毒查杀示例

16、8.1_EXPOR.EXE感染型病毒查杀示例

17、9.1_脚本型病毒查杀示例