《网络安全知识体系1.1》
恶意软件和攻击技术(十):
恶意软件检测之恶意软件攻击的检测
4.2 恶意软件攻击的检测
我们已经讨论了识别恶意软件的静态和行为模式的方法,然后可以使用它们来检测相同或类似恶意软件的实例。尽管恶意软件家族的许多流行变体曾经存在过(例如,宙斯,Spyeye,Mirai),但那里将始终是恶意软件检测模型无法检测到的新恶意软件系列(如AV签名)。
因此,我们需要超越识别特定的恶意软件实例:我们需要检测一般的恶意活动。
4.2.1 基于主机和基于网络的监视
检测恶意活动的最通用方法是异常检测。系统或网络行为中的异常是偏离正常(或可见)行为的活动。异常检测可以识别新旧攻击。重要的是要注意,异常行为与恶意行为不同。异常行为描述了偏离规范的行为,当然,在系统或网络上可能发生异常良性活动。
另一方面,检测旧攻击的更有效且可以说更准确的方法是查找已知攻击活动的模式或特征码。这通常称为误用检测方法。签名的示例包括:未经授权写入系统文件(例如Windows注册表),连接到已知的僵尸网络C&C服务器等。
部署攻击检测系统的两种不同但互补的方法是:1)基于主机的系统活动监视,以及2)基于网络的流量监视。基于主机的监视系统监视主机中发生的活动,以确定主机是否受到威胁。这些系统通常收集和监视与文件系统、进程和系统调用相关的活动。基于网络的监控系统分析网络范围的活动,例如,网络流量访问模式的时间特征、网络主机所覆盖的域名、跨越网络边界的网络数据包有效负载的特征等。
让我们看一下恶意活动的几个示例以及相应的检测方法。第一代垃圾邮件检测系统专注于分析电子邮件内容,以区分合法邮件和垃圾邮件。后者的系统包括指示垃圾邮件流量的网络级行为,例如,由于发送大量垃圾邮件而导致的电子邮件流量激增。
对于DDoS检测,主要思想是分析流量的统计属性,例如,在短时间内发送到网络服务器的请求数。一旦确定主机正在发送此类流量,就会将其视为参与DDoS攻击,其流量将被阻止。攻击者已将其技术发展为DDoS攻击,特别是通过使用多个受感染的主机或机器人以同步方式发送流量,例如,通过使用DDoS即服务恶意软件工具包,也就是说,每个机器人不再需要发送大量流量。相应地,DDoS检测涉及同时向受害者发送非常相似流量的关联主机。
对于勒索软件检测,主要方法包括监视加密中涉及的主机活动。如果某个进程对大量文件进行了大量重大修改,则表示存在勒索软件攻击。“重大”修改反映了这样一个事实,即加密文件将导致其内容与原始内容发生巨大变化。
基于主机和基于网络的监视方法可以有益地组合在一起。例如,如果我们看到来自系统上各种敏感文件(例如,财务记录,密码相关文件等)的内容在网络流量中传输,则表明数据正在被泄露(未经user)到攻击者的服务器。然后,我们可以应用基于主机的分析工具来进一步确定攻击来源和对受害主机的影响。
由于许多恶意活动都是由僵尸网络执行的,因此包含僵尸网络检测方法非常重要。根据定义,同一僵尸网络的机器人由同一攻击者控制并执行协调的恶意活动。因此,僵尸网络检测的一般方法是在C&C中查找同步活动,例如网络主机上的流量和恶意流量(例如,扫描,垃圾邮件,DDoS等)。
原文始发于微信公众号(河南等级保护测评):恶意软件和攻击技术(十):恶意软件检测之恶意软件攻击的检测
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论