攻击名称：ZOTBOT
事件说明：zotbot病毒是一
种。。。。。。。
响应
检测+“响应”
防护
影响系统：windows操作系统
处理建议：。。。。。。。。。。。。。。
补丁下载：
http://securityresponse.symantec.co m/avcenter/venc/data/w32.zotob.a. html
– 详细处理方法
事件名称： 事件 描述 影响
TCP_蠕虫_W32.zotob.a/b变种_IRCBOT
W32.zotob蠕虫是Mytob蠕虫的最新变种。目前该蠕虫产生了两个变种，名称分别为W32.zotob.a和W32.zotob.b。该事件表明源IP 主机已经中毒且正在连接目的IP的IRC服务器，并被攻击者远程控制。该蠕虫利用了微软2005年8月10日公布的最新系统严重漏洞 －－Microsoft Windows Plug and Play远程缓冲区溢出漏洞 (MS05-039) 进行主动攻击。Zotob蠕虫攻击TCP端口445，和冲击波、 振荡波方法类似，攻击代码向目标系统的445端口发送漏洞代码，使目标系统造成缓冲区溢出，同时运行病毒代码，进行传播。该 病毒传播的广度非常大。病毒攻击目标系统时 WINDOWS系统 b建议您：下载微软公布的MS05-039漏洞的最新补丁，避免病毒利用该漏洞攻击存在该漏洞的主机；升级最新的杀毒工 具，或者下载针对该蠕虫的专杀工具进行杀毒。 ，可能造成系统不断重启，类似于震荡波、冲击波发作时候的情形，但是Zotob蠕 虫影响的进程变了，为系统关键进程“Service.exe”。中毒的主机还可能会主动通过IRC连接某些IRC服务器上的机器人，并通过该 机器人被病毒散播者控制，病毒散播者可以远程控制连接到这些IRC服务器上的中毒主机进行一些非法的操作。。 Zotob蠕虫除了 利用漏洞攻击外，还具有邮件传播、自动下载新病毒等等这些邮件病毒所具有的危害。
36
天阗IDS的“第一”
• 连续六年国内IDS市场份额第一
– 多年市场成功销售，保证产品持续发展 – 客户遍布全行业，树立良好的用户口碑 – 销售全过程体系成熟：销售、售前、售后以及商务经验传承
• •
多次权威测评产品排名第一 IDS领域的技术先驱
– – – – – – –
– 最全面的资质认证，国际CVE产品兼容证书 – 各种专利技术保证产品检测能力和性能领先
扩充能力
基于原理检测 综合优势
基于特征检测 对新攻击的应 变能力
基于特征检测 综合优势
精确检测覆盖面
基于原理检测
27
全面检测之五：组网能力全面
• 面向复杂网络
OA办公区
生产网络 多个接口灵活组网模式：
•面对不同网络下发不同策略 •在同一界面上统一管理 TCO方面： • 免除重复投资 • 节略管理投入
BigHammer 内置防火墙交换机 IPS
定位威胁
安全策略服务器
IDS
AV
Internet
SmartHammer 防火墙
路由器
VPN VPN路由器 VPN
Radius & AAA
人员数据库
清除步骤
80端口
========== 1. 结束病毒进程 %System%\FuckJacks. exe ……
全面检测威胁面临的挑战之一
• 协议分析要求全面
公开协议 上千种应用 多种协议变量
协 议 分 析
未公开协议
数据库：TNS（oracle）、TDS（SQL）等
即时通讯：TCQ、MSNP等
动态协商端口
新型协议：SIP、P2P等
非标准端口
用户自行定义协议端口
12
全面检测威胁面临的挑战之二
• 攻击识别要求全面
•特点
–特征变，检测方法就要变
•特点
–特征变，检测方法不用变
动态的检测 以变应变 检测不全面
15
静态的检测 以不变应万变 检测扩充复杂
全面检测威胁面临的挑战之五
• 检测对象覆盖要求全面
– 面向多级网络
分支机构
Internet 单位总部
远程办公
合作单位
– 面向复杂网络
16
数据检测完整性保证
• 计算机数量和网络的发展
威 胁 管 理
IDS
入 侵 行 为 检 测
入 侵 行 为 呈 现
安 全 运 营
为风险管理提供基础数据，并为安全建设 决策提供参考 科学的安全建议，保证网络具备相应的威胁抵御能力 实时告警，多种格式用户报表，日志记录，历史备份等； 识别各种协议，对各种攻击、病毒等入侵行为的检测；
IDS为风险管理和安全决策提供支持
攻击行为 异常流量 网络协议 检测机制 物理覆盖
检测算法
部署位置
网络性能
检测 内容
检测 机制
检测 对象
检测 性能
全面检测
18
有效呈现威胁的诸多要求
多种用户自定义 不同部署位置
多种报警方式 结合网络拓扑 界面直接管理
功能自动执行
有效呈现
事件详细解释 及时报警显示
定位事件源头
清晰传播途径 科学处理步骤
•
——安全管理员
疑问：这么多信息都需要一条条分析么？ 能不能有一种方法降低IDS的报警数量？ 为什么会有这么多报警信息？
受病毒感染机器
Internet
UNIX
结合环境，精确报警信息， 降低“误”报率 “环境指纹”技术
ANI蠕虫
31
Solaris
AIX
有效呈现之二：详尽描述
• “看到报警应该怎么处理？”
– 摩尔定律
• 全世界因特网流量每6个月翻一番 • 一年内因特网上网用户翻两番
网 络 发 展
Internet、区域网络 多个局域网 单个局域网 单个局域网 单个PC 单个PC 1990S 2000S
多个局域网、单个
局域网、单个PC
单个PC
1980S
时间
网络规模的发展要求IDS满足高性能检测
17
小结-全面的威胁检测要求
9
IDS如何发挥应有价值
入侵检测
黑客攻击 蠕虫病毒 木马后门 间谍软件 ……
威胁管理
实时报警
事件统计 处理办法 安全措施
……
全面的检测覆盖
有效的威胁呈现
做好全面和有效才能体现IDS的价值
10
• 深入认识IDS价值
• 发挥IDS价值的客观要求 • 天阗全面检测与有效呈现 • 天阗IDS产品介绍 • 天阗典型应用
• 通过详细日志定位问题
大量低级事件为特殊 端口连接事件且主要 来自三台主机
5
IDS实际应用中的价值发挥
• 解决问题，有效控制病毒传播 – 措施1：禁止威胁扩散
主机：王二
– 措施2：寻求启明星辰安全专家帮助 – 措施3：升级IDS产品，根据处理方法杀毒
清除步骤
升级包
========== 1. 结束病毒进程 %System%\FuckJacks. exe ……
总控
总局主控制中心
数据汇总流
天阗IDS引擎 各地直属机构子控中心 直管分属子控中 心
– 威胁监控
• 通过事件报告发现异常： 类似蠕虫病毒
天阗IDS引擎
下级子控
天阗IDS引擎
下级子控
日常：周事件统计报告 高级 0；中级 245； 低级 1027；
异常：某周事件统计报告 高级 0；中级 266； 低级 51843； 现场对三台主机进行 排查，发现主机中出 现熊猫烧香图标
协议分析
协议伺服器
23
全面检测之二：流量检测
• 异常流量检测乱序算法
– 传统使用hash算法 • 性能较差 • 维护hash表将消耗极大内存 – 采用熵值计算的微缩算法 • 熵值是混乱和无序的度量 • 计算方法简单“S＝ KlnΩ” • 无需维护随会话量而增长的表
流量
时间
24
全面检测之三：攻击识别
1
• 深入认识IDS价值
• 发挥IDS价值的客观要求 • 天阗全面检测与有效呈现 • 天阗IDS产品介绍 • 天阗典型应用
回顾中国IDS历史
• IDS在中国
– 起源：抓“黑客”; 发展：入侵检测到威胁检测
3
IDS面临新需求
攻击效率越来越高，检测思路面临挑战 自动化攻击：出售攻击工具、黑色产业链
检测
这里的响应是指被动响应——报警
参考文 档:dfe./dfejw/df
相关编号：cve-xxxxx 危害描述：
32
有效呈现之三：关联定位
大规模部署
报警信息：172.16.235.21 slammer病毒 31次
33
有效呈现之四：详细事件处理指导
– 事件呈现
• 拓扑 报警
• 抗躲避能力
–超过12种常用躲避方法检测
–支持攻击还原、编码拟态识别
• 攻击识别能力
–支持会话内/间关联识别复杂攻击
–基于漏洞机理的攻击识别复杂 –支持多达20个的逻辑操作 –支持正则表达式 – ……
25
全面检测之三：攻击类型识别全面
• 攻击类型包括：
– – – – – – – – – – – – – –
产品升级包
科学指导事件处理
7
度量安全建设效果 发现→定位→解决→管理
从风险管理看IDS威胁管理
ISO13335：风险管理模型
威胁管理
量化威胁
威胁
定位威胁
科学指导 度量安全建设效果
三分技术 七分管理
8
深入认识IDS价值
• 科学使用IDS
– 不再是抓“黑客”的简单IDS – 从威胁检测上升到威胁管理层面
管理模板更新