启明星辰天阆IDS有效遏制“熊猫烧香”
2007-06-07 17:08:32　来源:
网络病毒的发展趋势与“熊猫烧香”
被杀毒厂商评为“2007年1季度十大计算机病毒之首”的“熊猫烧香”病毒及其上百个变种，在2007年初掀起了不小的波澜：数百万个人计算机用户、企事业单位和政府机构局域网遭受感染，北京、上海等计算机用户较为集中的城市更是成为了“重灾区”。面对来势汹汹的蠕虫病毒，启明星辰公司支持某政府单位，凭借先期建立起的以网络入侵检测系统（IDS）为核心的预警体系和安全机制，有效防范了此次大规模爆发的蠕虫病毒事件，保障了全网办公系统的平稳运行，取得了良好的效果。
一、网络病毒的发展趋势与“熊猫烧香”
“网络蠕虫病毒”对于大多数计算机用户来说，并不是一个陌生的字眼。它是将黑客技术与病毒技术相融合，形成的“恶意代码”，其形成过程详见图表1。
图表1：恶意代码的诞生示意图
令网络管理人员头疼不已的是：一旦感染了蠕虫病毒，在短时间内，几乎网络上所有的计算机都会被依次感染，同时网络还将出现各种异常状况甚至阻塞，严重影响正常使用。而且蠕虫病毒很难根除，好不容易清除了本地的，一旦远程计算机联入，病毒又死灰复燃。
“熊猫烧香”病毒的产生与爆发，就是一个网络蠕虫的典型例子。
“熊猫烧香”病毒是一个由Delphi工具编写的蠕虫病毒。入侵操作系统后可终止大量反病毒软件和防火墙软件进程，删除扩展名为gho（系统备份软件ghost的备份文件扩展名）的文件。可感染系统的“.exe”、“.com”、“.pif”、“.src”、“.html”、“.a ”文件，用户一打开网页文件，IE就自动连接到指定的病毒网址。同时在硬盘各分区下生成autorun.inf和setup.exe文件，可通过U盘和移动硬盘等方式进行传播，同时利用Windows系统的自动播放功能来运行，搜索硬盘中的.exe文件进行感染。该蠕虫感染计算机系统后，将系统中所有.exe文件都变成了一种“熊猫烧香”的奇怪图案。同时受感染的计算机系统会出现蓝屏、频繁重启以及系统硬盘中数据文件被破坏等现象。
2007年1月7日，国家计算机病毒应急处理中心紧急预警：“通过对互联网络的监测发现，一个伪装成‘熊猫烧香’图案的蠕虫病毒正在传播，并已有很多企业局域网遭受了该蠕虫的感染。”1月9日，感染的电脑用户约达数十万；2007年1月29日，“熊猫烧香”病毒变种达416个，数百万个人计算机用户和企业局域网遭受感染。“熊猫烧香”发作时的表现见图表2。 图表2：“熊猫烧香”病毒发作时的表现示例
此次“熊猫烧香”病毒的传播途径有以下五种：
1）通过已经染毒的移动存储设备（如U盘等）传播；
2）通过局域网中的共享文件传播；
3）蠕虫病毒通过猜解administrator组成员口令，获得该设备的控制权限自动传播；
4）蠕虫病毒自动扫描并利用WINDOWS的系统漏洞传播；
5）通过被感染的网站（通常是非法的网站）传播。
对于第1、2种传播方式，防范起来相对比较简单，但是第3、4、5种传播方式危害更大，也更难以防范。
大型机构中的计算机用户普遍缺乏网络安全防范意识和良好的安全习惯，这给病毒传播带来可乘之机。虽然一些组织和机构在全网部署了杀毒软件，但是由于此次“熊猫烧香”病毒具有攻击防病毒软件的能力，如果没有全局预警和检测设备，从根源上消除蠕虫病毒的来源，网管人员这个时候就只能四处“救火”了。
某单位对“熊猫烧香”的发现与预警
二、某单位对“熊猫烧香”的发现与预警
信息时代风险损失的大小是高度时间敏感的，并且其损失是全局性的。第一时间掌握信息网络系统的状态，是建立性价比最优的动态应急防御体系的必要条件。面对风险如果不及时处理，随着时间的延长，风险所带来的损失会呈指数级的增长、放大。以“熊猫烧香”网络蠕虫病毒爆发为例，在很多企事业单位、政府机构中，一天之内它就扩展到全网的范围。
预警与响应是网络安全成败的关键，检测与预警是安全的核心。某国家单位正是因为提前部署了入侵检测系统，所以在此次“熊猫烧香”肆虐的病毒风波中并未受到波及。
该国家单位拥有一个全国范围内的广域网，上万台计算机终端和用户。前期已在网络中部署了启明星辰的天阗入侵检测与管理系统，在此基础上结合现有的其它安全防护措施，建立大规模安全监测与响应基础设施，形成信息安全保障体系。
2007年2月初，在北京和天津等地部署的天阗网络入侵检测系统，报出“UDP_熊猫烧香_蠕虫_解析恶意网站域名”、“MSPROXY_135端口连接”和“MSPROXY_445端口连接”等一些特殊安全事件。该国家单位的技术人员对此高度重视，马上会同安全厂商进行了安全事件分析。
其中，根据入侵检测系统报出的“UDP_熊猫烧香_蠕虫_解析恶意网站域名”事件，可以准确地表明：源IP地址感染了“熊猫烧香”蠕虫病毒，并且该蠕虫正在向DNS服务器提交恶意网站的域名解析。同时，需要加以区别的是，如果源IP地址为DNS服务器，可能是由于源IP向上层DNS服务器转发了提交给自己的恶意网站域名解析请求，并不表明该源DNS服务器感染了“熊猫烧香”蠕虫病毒。
对于入侵检测系统报出的“MSPROXY_135端口连接”和“MSPROXY_445端口连接”事件，说明目的IP在对源IP的TCP135或TCP445端口发起连接，虽然很多正常业务会触发该事件，事件本身并无危害（事件本身属于低级事件），但一方面目的IP忽然发生大量此类事件，非常类似感染蠕虫病毒的伴生现象；另一方面通过检查目的IP设备，发现其并没有提供TCP135或TCP445端口的业务应用，则可以肯定判断它感染了蠕虫病毒。
检查了IDS报警信息中显示的几台设备后，对于源IP不是DNS服务器的计算机设备，可以确定其已经感染了“熊猫烧香”蠕虫病毒，技术人员迅速将其从网络上隔离开，同时使用专杀工具对其进行杀毒，并且对这几台设备进行安全加固以避免再次感染。对于源IP是DNS服务器的设备，虽然发现其并没有感染“熊猫烧香”病毒，但考虑到“熊猫烧香”巨大的传染性，只要其运行的是WINDOWS操作系统，都尽快升级防病毒软件，并马上进行了系统加固。
与此同时，该国家单位的技术人员还立即发布了预警通知，告知各下级单位的网管人员，密切关注入侵检测系统的报警提示信息，并且将防病毒软件升级至最新，以提前防范“熊猫烧香”病毒的大规模爆发。该国家单位中已经部署了天阗入侵检测系统的各级机构，几乎没有受到此次“熊猫烧香”病毒的影响。
以上可见，尽早地发现蠕虫病毒并对感染蠕虫的主机进行隔离和抑制，是防止蠕虫泛滥、造成重大损失的关键。在此次“熊猫烧香”蠕虫病毒事件中，由于发现及时、响应迅速、定位准确、举措得当，使得只有零星几台设备受到病毒影响（最后确认是U盘使用不当，通过拷贝文件带入的病毒）。从07年1月份到3月份，“熊猫烧香”病毒爆发的高峰期，该国家单位整体网络运行平稳，最大程度降低了此次病毒事件的影响。
IDS规模部署是实现预警的基础
三、IDS规模部署是实现预警的基础
在上述蠕虫病毒应急事件中，先期部署的预警体系发挥了极大作用，通过一个快速反应、运行良好的预警机制，可以在危机前兆阶段就将其消灭在萌芽状态，在事前-事中-事后3个阶段全面抑制蠕虫病毒的传播。而IDS的规模部署是实现预警的基础。
入侵检测系统（IDS）通常架设在网络重要节点与主机系统之上，可监测网络流量与内容、分析网络内的信息流动。
一谈到入侵检测系统，都会自然而然地想到防黑客入侵，但是防黑客只是IDS的功能之一，入侵检测系统是用来全面、实时了解网络动态的设备。通过对网络上数据的形态、内容、行为（包括合法的、不合法的）的全面监控，可以全面实时了解网络动态现状，对网络行为进行综合分析和预测，在第一时间对网络中的危害做出反应。
1.加强IDS的管理功能
为了提高IDS的可用性，提高对应急响应体系的支持力度，一些主流的安全厂商着力加强了IDS的安全管理功能，提高对全局安全事件的管理能力。主要包括如下几个方面：
1)分布式部署。分布式部署是入侵检测系统能够支持应急响应体系建设的基本要素，只有进行全网范围内的部署，才能发现整个网络中的安全问题，也才能够进行全网的应急响应。
2)分级控制。对于大型网络来说，分布式部署的IDS对管理提出了更高的要求。为了有效管理众多的分布式探测引擎，主流IDS已经具备了三级以上的分级控制功能，各级控制中心一方面管理本地的探测引擎，另一方面作为上级IDS的子控，起到“上传下达”的作用。
3)集中管理。以启明星辰公司天阗IDS为核心部署的入侵管理系统，有一个总控制中心，它连接分控制中心、网络探测引擎和主机探测引擎。通过策略下发机制，可使上级部门能够统一全网的安全防护策略；通过信息上传机制，可使上级部门能够及时了解和监控全网的安全状态。同时可以制定并下发全局安全事件管理策略，接收并显示全局网络安全态势。
2.入侵检测系统对应急响应的支撑
入侵检测系统，可以在以下几个方面支撑应急响应体系的建设：
1)建立全局预警体系，做到一点发现，全网皆知并及时响应。对于较大规模的网络系统，由于一种攻击从一个区域向其它区域渗透会有一定的延时，在这段延时期间内，入侵检测系统有能力将这种警报发布到尚未受攻击的区域中，以起到及时防范的作用。入侵检测系统不仅能发现局域网上发生的入侵事件，而且可以据此对整个网络做出有针对性的全局预警。
2)联合多种安全设备，组成立体防御体系。利用入侵验证系统确认攻击结果，利用IP定位系统补充地址信息，与防火墙联动实时阻断非法连接，与漏洞扫描系统联动确认漏洞、降低误报率，以形成各个安全子系统协同工作的联合防御体系，是对应急响应的支持。
3)全局网络安全态势的地图化显示。入侵检测系统采用拓扑发现和地址定位技术，与GIS显示系统相结合，以地图显示的方式实现安全事件的可视化，能够直观显示全局和各个结点的安全态势，并可及时定位攻击源。用户可以清晰地看到网络安全事件的源头或目标对象，不同地域的网络安全事件发生比例以及事件级别比例。天阗入侵检测系统的定位显示功能如图表3所示。 图表3：天阗入侵检测系统安全事件定位显示
四、小结
《关于加强信息安全保障工作的意见》（中办、国办发2003年27号文）中明确指出：“信息安全监控是及时发现和处置网络攻击、病毒传播，对网络和系统实施保护的重要手段，要建设和完善信息安全监控体系。”纵观目前国内网络安全现状，特别是面对大规模蠕虫病毒爆发时，大多数企事业单位、政府机构都处在事后处理、“亡羊补牢”的阶段，距离“积极预防、及时发现”这个八字方针还非常远。
计算机安全专家与黑客和病毒之间的斗争一直在持续，斗争的方式也在不断地变化。这次“熊猫烧香”病毒确实又给中国的广大网络用户们“上了一课”，虽然很多企事业单位、政府机关的网络安全意识、网络安全保障能力在不断加强，但要实现真正的网络安全，还有很长的路要走。http://article.pchome.net/214081.html
本文来源：
我来评两句
网易通行证：
匿名发表
网易数码今日推荐
精彩推荐
热点推荐
手机推荐
(评568条)
(评339条)
(评329条)
(评287条)
(评274条)
汽车推荐
　***:010-82558193
网易公司版权所有
1997-2011每個人心裏都有自己的yuya，而我的yuya——你是天使。 |
| 查看文章 少年啊= =你的目标是星辰大海！
2008-01-31
首先我承认我是颜饭……第二我有时候会EG一些= =+
好吧，我来说俺喜欢的孩子的颜的……
其实说J+的颜俺首先得说大神。这个不承认俺就是瞎子了……只不过他红的时候俺还是loli，看了看了没感觉，所以到现在俺也很少关注smap的活动T T或者说我不是叔控么？！
然后让俺记住的就是51了……噢~这个素俺HC到极点的爱~~~~不算大的狐狸眼细细的眼角纹（别打俺= =）看的俺天天垂涎三尺，啊！俺是KKL！虽然俺一直徘徊在51攻受问题上……哭
大头……大头是俺承认的，到现在为止俺的审美眼光中最J+的男人……太美了……摊手，笑。这个人根本就是美的让人无法忽视么= =+++虽然俺不饭他，但是还是经常被他的照片shock到。
嗯，再说小胖^ ^|||||叫小胖总好过叫胸妃，咳
，自抽。俺从05年才开始担小胖，而且还是颜饭，不能说不合格吧，也只能说俺的爱浮浅。可是为什么俺开始爱他他就残了TAT？！胸倒是一天比一天大 摸两把。俺最伤心是06年那会儿……他唱***抱抱……那个发型让俺哭到死……擦干眼泪俺就飘了……|||口水，小胖正太的时候是最让俺挪不开眼睛的时候，他那会的街照直接秒死俺……
第一次看牛团，俺眼睛根本没往俺家儿子身上瞄= =这个等下再说，小胖也不是俺最先盯上的……俺最先看到的……是57！俺一直惊叹于57的秀丽……又震惊于他上堂本时严肃着搞笑的精神= =a可惜……算了俺不提了，反正57要回来了
跟着57看过去是66……笑，说的俗气点，66小时后真像天使……淘气天使……特招人疼，不过后来到正太转型期就残了= =+++残的像国内某童星……后来长开了，好多人还是说残= =6爷……喷……我倒觉得现在满好看的 不是美丽是帅气~~~笑起来眼睛弯弯的暖暖的~~~~~~无比羡慕的看着洞洞妈……
还有= =俺是正太控……小翅膀~~~~~~~~扑倒……可惜后来忙着追儿子去了，好久没看他了……其实跳跳团的宝宝俺都喜欢……尤其是32……有人说这孩子长的男女不分=v=切，俺就好这一口怎么着？！要不是俺家儿子彻底S到我了= =||||俺早爬墙爬到32家去了……看Q的时候镇觉得这个素冷艳小美人啊……口水……= =谁跟俺打赌，俺赌这孩子是攻！是攻！！！
放到最后谁俺儿子……咳，儿子的长相，怎么说呢，不算最好看的，反正俺是后妈了就痛快的挑刺了= =+俺儿子把，长的土，后来是俗= =再后来他三天两头折腾他那头毛……算了我不说了……可俺就是死心塌地的爱着俺儿子……痛哭，当初长的跟小土豆似的，兔子说他土真一点都不假……可儿子的眼睛一直很漂亮，本来俺一直无视土豆的存在，谁知道某天忽然看见大头照= =被他的眼睛shock到不能自拔……一直到现在还是那样OTZ。现在么是脸上两砣肉肉没有了……越来越妩媚=w=不过儿子就算胖也蛮可爱的……樱姑娘抱抱~~~
可惜了，儿子小时候明明很攻的，这两年不知怎么的越长越女王受……我曾经还说哩，儿子长大后说不定可
以像前辈那样变成一代总攻……现在看没戏了，或者某天会变身鬼畜攻？！
俺的审美观就是眼睛好看，五官端正= =+不要美的过火……所以P和大头俺都不敢多看……儿子么其实也属于男女不分，但气质男生多点，看起来很干净的样子……俺就喜欢这样的，泪。所以，儿子你千万表转型……逼俺改变审美观是件很残忍的事情！
其它的还有雅叔和小池~~雅叔是越老越有男人味……看的俺常常暗下决心要找个熟男嫁了= =+小池并不是俺最稀罕的长相，可是很可爱吖吖，再加上声音满分，不偏袒的说，虽然俺家企鹅唱歌不错，但声音真的没有小黄瓜好听，
俺天天听着入眠……笑。这根小黄瓜已经比瑛士高了……真是……岁月不饶人吖……
| 浏览(
) 最近读者： 网友评论：
发表评论： 内　容： 2011 Baidu
kamar00 您好:
　利黄蔡连ｂ　　
　菁嘉明恩ｌ　　
　酸千亮尼ｏ　　
　杠含　逊ｇ　　
　陶泪导丧．　　
　子敲演妻ｓ　　
　　响变后ｉ　　
　李金导　ｎ　　
　李钟游挑ａ　　
　仁　　战．　　
　来　罗外ｃ　　
　势　浮欲ｏ　　
　胸　宫展ｍ　　
　胸　卖演．　　
　　　脸技ｃ　　
　　　　　ｎ　　
　　　　　／　　
　　　　　ｙ　　
　　　　　ｏ　　
　　　　　ｕ　　
　　　　　ｂ　　
　　　　　ｂ　　
　　　　　ｔ　　
　　　　　ｖ　　
　　　　　７　　
　　　　　９　　
　　　　　７　　2011年08月06日 星期六
功夫熊猫2《星辰变》众灵兽晒私家战斗照
功夫熊猫2《星辰变》众灵兽晒私家战斗照
2011/5/31 15:53:01
　　2D次世代动作网游《星辰变》开放性测试现已火爆开启，作为动作网游的世纪巅峰之作，《星辰变》的动作表现可谓美轮美奂独具匠心。不仅是人物动作表现堪比动作大片，灵兽们的击打动作同样活泼可爱忍俊不禁真实感十足。这不，《功夫熊猫2》火了，灵兽们也耐不住寂寞了。一场功夫灵兽选拔赛拉来了帷幕。谁是动作最漂亮？谁的动作最潇洒？谁的动作又最真实？众灵兽们纷纷携带私家珍藏战斗照来参加比赛，小编也深入比赛，特别选取了部分参赛灵兽的精彩战斗瞬间和大家分享！让我们一起来看看吧！
　　参赛作品：《路边的野花我就要采》
　　参赛灵兽：黄蜂精
　　参赛宣言：管你是野花是家花还是妖花，我是蜜蜂我最大。看到我手里的小小指挥棒吗？点谁中谁，杀啊我冲啦！！
　　群众感言：有武器了不起啊？有本事赤手空拳！
　　参赛作品：《猫落平原被虎欺》
　　参赛灵兽：叮当虎
　　参赛宣言：我说阿狸你没事当我的地盘来闲逛啥？不知道最近我想换口味啃啃猫科动物吗？当我这只山大王是假的啊！不管了，到了嘴边怎能错过，吃了你！
　　群众感言：朋友，那个“落空”出卖了你啊。山寨货。。。
　　参赛作品：《勇往直前》
　　参赛灵兽：狸猫
　　参赛宣言：我不入地狱谁入地狱？所谓“功夫“的最高境界，就是近身搏斗，有像我这样敢于冲到敌人身体中心的吗？功夫皇帝非我阿狸所有啦！
　　群众感言：就你那肥样，卡在蜘蛛的爪子里，我说你能逃得出来吗？实力很重要，智慧更重要啊！
　　参赛作品：《战神重现》
　　参赛灵兽：霜纹霸虎
　　参赛宣言：别以为我只是只坐骑，看我家主人打了那么多场，以我的慧根早就学会了。请叫我“老虎奎”，偶就是奎爷老虎版的化身，看我的绝杀秘技“虎啸”！震死你！
　　群众感言：果然够猛够威武，看过《功夫熊猫1》吗？老虎再强也没用啊，注定是个悲剧啦。
　　参赛作品：《海陆空大作战》
　　参赛灵兽：钳钳
　　参赛宣言：自从本人移居陆地一来，就跟这些陆地生物为伍了。跟人家说我从海里来的，结果这些个没有眼光的家伙偏偏不行！这不，又来一只嘲笑我的***。灭了你灭了你，以为在天上很了不起吗？我站起来也可以和你一样高。试试看我的大钳的威力吧！
　　群众感言：如果你能飞，那你就是当之无愧的功夫皇帝。
　　参赛作品：《愤怒的小雕》
　　参赛灵兽：云雾金雕
　　参赛宣言：我是一只小小小小雕，知道我的实力一般。但是为了表达下对主人的衷心，我还是千挑万选了这种带有愤怒加成的美照。希望本届大赛也多照顾照顾偶们这些弱势群体，谁说系统送的灵兽不是好灵兽？看我的！
　　群众感言：你的姿势真的很有腔调，看的出你是有追求的雕。
　　精彩纷呈千奇百怪，超过12000种的《星辰变》灵兽军团不断在潜龙大陆里演绎灵兽动作传奇。谁是最强的动作灵兽，这不是重要。重要的是无论是萌系的还是猛系的，你都能在这里找到最心仪的。赶快加入《星辰变》，一起和灵兽们战斗吧！
中关村游戏网专区推荐：
http://dn.zol.com.cn/ 神魔大陆
http://smdl.zol.com.cn/ 泡泡战士
http://bf.zol.com.cn/ 荐
最新资讯 -
最新评论
新闻热搜词
本周十大热门资讯
最新专栏
图文精选
赞助商广告
-- 合作媒体 --