那 罡
在日常网络运行维护管理和定期的自检自查中加强对木马的监测与评估,来防止木马窃取重要敏感信息,保护重要数据,已经成为当前信息网络安全监管或维护部门的重中之重。
木马特征综合分析
木马的大肆传播已给国家造成了巨大损失。2009年5月,工业和信息化部下发了关于印发《木马和僵尸网络监测与处置机制》的通知,明确了相关主管机构与广大的互联网用户各自的责任和义务,规定了对木马和僵尸网络的“监测和通报”、“处置和反馈”两个主要流程及通报内容。
北京鼎普科技股份有限公司总裁于晴说,木马本身也是一段能够完成一定功能的代码,与其他合法应用程序在程序结构、程序运行机理方面并没有本质的差异。因此从程序内在结构、程序运行机理等方面无法从正常的合法应用程序中检测出木马程序。
合法应用程序是为目标系统和用户应用服务的,其运行和各种操作都是善意的,因此不需要进行刻意隐蔽。但是,木马程序的目的是危害和破坏被攻击的目标系统。如果木马的运行和各种恶意操作“光明正大”地进行,就会被目标系统的用户或管理软件及时发现。所以木马会采用各种手段对其自身的行为进行隐蔽。
因此,木马与合法程序的区别就在于木马行为的隐蔽性和目的的恶意性。于晴说,从这两点区别入手,控制木马植入、隐蔽和恶意操作行为所需要的资源条件,监控木马运行、通信、启动的隐蔽行为和恶意操作,就可以对木马的检测和防范起到较为理想的效果。
记者了解到,鼎普木马监测与评估系统可以对已知或未知木马进行监测与评估,综合分析木马行为特征,如目的IP地址、端口等已获取的特征及注册表、启动服务等未知动态活动特征;与此同时,对木马的最终目的——窃取关键信息进行分析判断,直接对关键信息进行内容匹配来判定有无感染木马或被窃取重要信息。
根据不同的应用环境需求,鼎普科技提供了两套解决方案:单机版木马检测方案与网络版木马检测方案。单机版木马检测主要通过对木马静态特征的分析以及动态行为的判断进行检测,而网络版木马检测方案则可以高效地检查整个网络中是否存在木马,准确地判断出网络中感染木马的主机,并协同单机版木马做进一步的深度检查。
掀开木马的外衣
木马隐蔽技术的发展使得木马植入目标系统后在目标系统中越来越隐蔽。传统的基于静态特征的木马检测技术,不仅面对已知木马的各种隐蔽和变化,检测能力不足,对于未知的木马更是无能为力。鼎普科技通过控制木马的植入、隐蔽、恶意操作所需资源以防范木马;通过扫描监控注册表、文件和目录、端口进程关联和可疑调用行为、过滤分析网络通信等来检测木马。
单机版木马检测系统以光盘或防病毒U盘为载体,可以对未知木马变种进行动态特征的深度检查和分析。通常人们在查木马的时候都是利用查杀软件在每一台电脑上逐一扫描检查。这样的检查方式对于个人应用来说,还是很方便的,但对信息安全监管部门来说,如果要检查某一个网络中是否会因为存在木马而导致信息泄露,这样的逐台检查就非常费时费力了。
于晴表示,鼎普科技根据这一需求,开发了网络版木马监测与分析评估系统。该系统首先通过专用网络木马扫描设备扫描并分析网络中的所有主机,并进行木马特征分析与重要信息匹配,准确判断并定位网络中感染木马的主机,然后再用单机版木马检测系统去做深入检查,从而可以大大的提高整个网络中木马检测与分析的效率。
鼎普科技的网络版木马检测方案有两种版本形式:检查版和监测版。检查版以一台专用笔记本和防病毒U 盘为载体,提供灵活、便捷的木马检测技术手段;监测版则以专业硬件平台为载体,可以长期部署在网络上,实现对木马的连续、实时监测。