信息网络安全加固之数据包解码技术应用

文/穆阿里

1 信息网络安全威胁趋势分析

银行业务网安全体系防范，依托传统的以太网防范技术对DOS、ARP、操作系统、重放攻击等具有一定的防范作用，但对利用NDay、0Day等多组合的APT攻击防范不足。

多维度安全体系囊括：

（1）传统安全防范，包含防火墙、抗DOS攻击、防病毒软件等

（2）通讯加密，对银行系统通信数据加密。

（3）通讯协议及数据包的颗粒度精细化分析。

由于病毒产生的特点，系统补丁或病毒库的滞后性，并且补丁或者升级的库文件在更新时也存在被感染的可能性。而且现在病毒的变化速度很快，为了防止杀毒软件的查杀会使用新的技术，例如内核驱动、禁止杀毒软件运行、免查杀技术。我们结合银行业务网的特殊性，信息网络安全面临以下几类威胁。

1.1 操作系统威胁

银行业务网中大多采用专用的操作系统，这些系统由于升级更新困难，存在较多的Nday、0day漏洞；且随着通用操作系统的运行，攻击者可以使用与真实环境相同的系统、工具、字符、命令，极大的降低了攻击成本和难度。

1.2 被动网络探测攻击

攻击者通过网卡混杂模式被动地捕获广播网络的所有数据包，攻击者可以获取网络的拓扑、网络设备功能、银行系统主机运行的服务以及其他数据。

1.3 DOS攻击

Smurf攻击（Smurf攻击通过将向某个网络广播地址发送的ICMP请求数据包的回复地址设置成第三方的受害者，导致该网络的所有主机都对此ICMP请求做出答复，从而淹没受害主机并导致网络阻塞，最终导致第三方崩溃，在银行系统的背景下，遭受Smurf攻击的对象可以是柜面，也可能是ATM终端）。

SYN Flooding攻击 （ SYN Flooding攻击通过发送大量的TCP半开连接请求，耗尽目标的资源。可能造成目标的拒绝服务）。

UDP Flooding攻击（ UDP Flooding攻击大量发送UDP数据包，从而造成拒绝服务）。

1.4 重放攻击

重放攻击（Replay Attacks）是指攻击者重复发送一个被攻击主机已经接收的数据包，该攻击主要通过欺骗，用于身份认证过程，使认证无法正确进行；在以太网中，攻击一般会在重发数据包前修改关键参数，从而达到破坏的目的。这需要精通银行业务交互流程、了解相关交易参数的含义等。

1.5 恶意代码攻击

移动存储设备，移动IT设备、维护终端都有可能将恶意代码引入银行系统中，如前所说，以太网的系统相对传统网络的系统更脆弱；且终端部署的安全软件更少，更容易中招，从而爆发拒绝服务、系统被劫持等。

1.6 APT攻击

攻击者利用社会工程学针对银行系统内部人员进行持续性的外围调研，通过鱼叉式攻击，水坑式攻击等方式攻击银行内部特定人员的外网电脑，再利用人员对移动存储介质在内外网的疏忽使用，采用特定的攻击代码对银行系统进行破环。

1.7 未知流量威胁

以太网网络的不同单元/域间完全互联，容易导致不同性质的业务、设备、通信混在一起，实时生产业务与其他业务之间没有完全隔离，从而给关键的生产业务带来安全风险。

2 数据包解码技术

数据包解码(Deep Packet Inspection)深度包检测技术比较传统数据包检测（该技术是在OSI第二层到第四层之间进行的数据包检测），数据包解码增加了如下功能，包括对应用层数据的协议识别，对应用层内容检测以及深度解码。针对协议识别，该技术可划分为以下三类：

第一类是对特征识别：应用的不同会使用不同的协议，而且每个协议都有其特征值，这些特征值可能是由协议的端口、协议的字符串或者协议的序列。

第二类是应用协议识别技术：在银行实际业务通讯的规划中，为了提高业务系统及应用系统的安全性，在搭建服务时，通过传输层端口区分各业务对象，开放服务的TCP通讯端口是除去已知的1-1024端口号以外的自定义端口。依据TCP通讯端口号结合银行各业务系统的交易码，实现对各系统的应用层协议识别，以及对单笔交易进行识别。

第三类是行为模式识别技术：在对终端用户的各种行为特征研究研究的基础上建立行为识别模型。基于该模型行，通过模式识别技术，根据终端用户目已经产生行为，推断正在进行的动作或者下一步动作。

3 数据包解码技术应用案例

安全事件检测，数据包解码技术可以对攻击、病毒、木马等流量进行模型对比，根据其行为特征进行检测。以下列举针对银行系统威胁程度最大的两大类信息安全风险进行示例探讨：

3.1 未知蠕虫

通过扫描、传播、发作等过程，蠕虫病毒将产生很多的网络特征。通过现有情况总结分析，当终端用户感染蠕虫后，具有以下特征：

3.1.1 在网络层

单个主机会对多个主机产生大量IP数据会话，但是每个IP会话的数据交换很少，而且具有单向性，及发送数据远远大于接收数据。

3.1.2 在传输层

（1）单个主机会对多个主机产生大量TCP、或UDP会话，而且每个会话在括会话时间、收发数据包个数、流量等特征上具有相似性；

（2）端口也具有相似性，例如使用会话连续端口、固定端口或者随机端口；

（3）产生SYN包，但是大部份没有响应或拒绝。

3.1.3 高层应用数据交互

探测操作系统版本，利用后门或漏洞进行攻击，获取权限→提权→植入病毒。

3.2 APT攻击

级APT攻击采用社会工程学，针对银行系统的入侵呈多样型趋势发展。

传统安全监测手段针对APT攻击侦测面临的局限，数据包级的颗粒度精细化分析采用数据包解码（深度数据包检测）技术通讯数据包进行深度分析检测，通过对数据包链路层至应用层的精细化分析，对每一层网络行为进行建模。

数据包解码技术是对传统安全防范体系与加密技术的补充，探测银行系统运行过程中存在的级APT攻击、未知安全流量。