前言近期，一项借助搜索引擎页面，直接传播木马的新型"挂马"技术，在全球范围内首次出现。受微软"MPEG-2视频"0day漏洞影响，微软和中国电信合作的"114搜索"首当其冲，黑客将大量木马直接插入在搜索结果页面，悄然大肆传播。危害同时波及内嵌"114搜索"框的互联星空、56等众多联盟网站。2009年7月对于互联网来说也许是黑色的，2009年上半年的互联网更是满目疮痍。以木马为代表的应用威胁愈演愈烈飞速发展的互联网加速了企业信息化建设进程，越来越多的企业开始将其业务系统移植到开放的互联网平台上来。伴随着营销理念和商业模式的转变，来自互联网的安全威胁也在逐渐凸显变化，常见的安全威胁，开始由传统的网络层和系统层，转向以恶意代码为代表的应用层。据业内安全机构研究表明，截至今年7月，国内挂马网页累计高达2.9亿个，共有11.2亿人次网民遭木马攻击，平均每天有622万余人次网民访问挂马网站，其中大型网站、流行软件被挂马的有35万个，比去年同期有大幅度增长。通过看似正常的互联网站点向用户传播木马等恶意程序，是一种极为隐蔽的攻击方法，很少有用户是因为了解自身操作系统、应用服务的脆弱性，而发现遭受攻击的。因此，在互联网上大量投放利用客户端漏洞的恶意代码，再"借助"用户对互联网站点的盲目信任，就能够很轻松地诱骗客户被动下载万恶的木马程序。当然，更多时候，首先植入用户主机的可能是一个下载器，它会自动连接远端的"木马养殖场"，下载更多恶意程序到本地执行，从而使得木马控制者能够获得某些敏感的数据，或通过渗透，最终获取用户主机的控制权限。图1"网页挂马"威胁扩散示意图木马检测的常见方法分析一次完整的"网页挂马"攻击过程，可以看到攻击者能够在整条攻击路径的多个环节介入，制造虚假的数据和恶意的流量，正是因为在多个防护层面缺少有效的安全监控机制，才使得攻击最后能够得逞。为了有效监测并抑制木马等恶意程序的传播和扩散，至少可以从以下三个层面考虑，加以监控，包括：针对目标Web站点的安全评估、网络侧恶意流量检测，以及针对客户端主机的脆弱性检查。图2常见的木马检测方法相比其它两种检测方式，网络侧恶意流量检测方案能够为企业提供实时的风险感知能力，具备更低的部署成本，和更大的防护区域，该方案可在现有成熟的NIDS技术和产品进一步发展形成。对网络中传输的各种流量进行分析，从中发现违反企业安全策略的行为，这是NIDS的核心功能。从技术上，入侵检测技术大体分为两类：一种基于特征标识（signature-based），另一种基于异常行为（anomaly-based）。在面向以木马为代表的新型应用层攻击时，可采用的检测技术则主要包括以下三种：基于协议分析的特征检测、基于行为分析的异常检测，以及基于互联网安全信誉服务的恶意流量检测。基于协议分析的特征检测技术特征检测是NIDS应用最为成熟的一类技术，能够准确识别各种已知的攻击行为，并出示详尽的分析报告。该项技术的基本思路是：首先定义"异常流量"的事件特征（signature），如：带有非法TCP标志联合物的数据包、数据负载中的DNS缓冲区溢出企图、含有特殊病毒信息的电子邮件等，再将收集到的数据和已有的攻击特征库进行比较，从而发现违反企业安全策略的行为。该过程可以很简单，通过字符串匹配寻找一个简单的指令；也可以很复杂，使用正则表达式来描述安全状态的变化。特征检测技术的核心在于建立和维护一个知识库，涉及的特征包括：简单的数据包头域信息，高度复杂的连接状态跟踪，以及可扩展的协议分析。一个经典的特征定义：明显违背RFC793规定的TCP标准，设置了SYN和FIN标记的TCP数据包。这种数据包被许多入侵软件采用，向防火墙、路由器以及IDS发起攻击。为了规避NIDS的检测，攻击者往往会将恶意流量进行分片、压缩、编码等各种处理。此时，传统的特征检测技术，遇到了一定的技术瓶颈，需要引入智能协议识别和处理技术。协议分析是在对网络数据流进行重组的基础上，深入分析网络报文的协议特征，发现其所在协议，然后递交给相应的协议分析引擎进行处理，对相关字段进行规则检测，实现4-7层深度协议解码。只有准确理解事物的本质，才能对症下药，木马检测亦是如此。通...