文/穆阿里

1 信息網(wǎng)絡(luò)安全威脅趨勢(shì)分析

銀行業(yè)務(wù)網(wǎng)安全體系防范，依托傳統(tǒng)的以太網(wǎng)防范技術(shù)對(duì)DOS、ARP、操作系統(tǒng)、重放攻擊等具有一定的防范作用，但對(duì)利用NDay、0Day等多組合的APT攻擊防范不足。

多維度安全體系囊括：

（1）傳統(tǒng)安全防范，包含防火墻、抗DOS攻擊、防病毒軟件等

（2）通訊加密，對(duì)銀行系統(tǒng)通信數(shù)據(jù)加密。

（3）通訊協(xié)議及數(shù)據(jù)包的顆粒度精細(xì)化分析。

由于病毒產(chǎn)生的特點(diǎn)，系統(tǒng)補(bǔ)丁或病毒庫的滯后性，并且補(bǔ)丁或者升級(jí)的庫文件在更新時(shí)也存在被感染的可能性。而且現(xiàn)在病毒的變化速度很快，為了防止殺毒軟件的查殺會(huì)使用新的技術(shù)，例如內(nèi)核驅(qū)動(dòng)、禁止殺毒軟件運(yùn)行、免查殺技術(shù)。我們結(jié)合銀行業(yè)務(wù)網(wǎng)的特殊性，信息網(wǎng)絡(luò)安全面臨以下幾類威脅。

1.1 操作系統(tǒng)威脅

銀行業(yè)務(wù)網(wǎng)中大多采用專用的操作系統(tǒng)，這些系統(tǒng)由于升級(jí)更新困難，存在較多的Nday、0day漏洞；且隨著通用操作系統(tǒng)的運(yùn)行，攻擊者可以使用與真實(shí)環(huán)境相同的系統(tǒng)、工具、字符、命令，極大的降低了攻擊成本和難度。

1.2 被動(dòng)網(wǎng)絡(luò)探測(cè)攻擊

攻擊者通過網(wǎng)卡混雜模式被動(dòng)地捕獲廣播網(wǎng)絡(luò)的所有數(shù)據(jù)包，攻擊者可以獲取網(wǎng)絡(luò)的拓?fù)?、網(wǎng)絡(luò)設(shè)備功能、銀行系統(tǒng)主機(jī)運(yùn)行的服務(wù)以及其他數(shù)據(jù)。

1.3 DOS攻擊

Smurf攻擊（Smurf攻擊通過將向某個(gè)網(wǎng)絡(luò)廣播地址發(fā)送的ICMP請(qǐng)求數(shù)據(jù)包的回復(fù)地址設(shè)置成第三方的受害者，導(dǎo)致該網(wǎng)絡(luò)的所有主機(jī)都對(duì)此ICMP請(qǐng)求做出答復(fù)，從而淹沒受害主機(jī)并導(dǎo)致網(wǎng)絡(luò)阻塞，最終導(dǎo)致第三方崩潰，在銀行系統(tǒng)的背景下，遭受Smurf攻擊的對(duì)象可以是柜面，也可能是ATM終端）。

SYN Flooding攻擊 （ SYN Flooding攻擊通過發(fā)送大量的TCP半開連接請(qǐng)求，耗盡目標(biāo)的資源?？赡茉斐赡繕?biāo)的拒絕服務(wù)）。

UDP Flooding攻擊（ UDP Flooding攻擊大量發(fā)送UDP數(shù)據(jù)包，從而造成拒絕服務(wù)）。

1.4 重放攻擊

重放攻擊（Replay Attacks）是指攻擊者重復(fù)發(fā)送一個(gè)被攻擊主機(jī)已經(jīng)接收的數(shù)據(jù)包，該攻擊主要通過欺騙，用于身份認(rèn)證過程，使認(rèn)證無法正確進(jìn)行；在以太網(wǎng)中，攻擊一般會(huì)在重發(fā)數(shù)據(jù)包前修改關(guān)鍵參數(shù)，從而達(dá)到破壞的目的。這需要精通銀行業(yè)務(wù)交互流程、了解相關(guān)交易參數(shù)的含義等。

1.5 惡意代碼攻擊

移動(dòng)存儲(chǔ)設(shè)備，移動(dòng)IT設(shè)備、維護(hù)終端都有可能將惡意代碼引入銀行系統(tǒng)中，如前所說，以太網(wǎng)的系統(tǒng)相對(duì)傳統(tǒng)網(wǎng)絡(luò)的系統(tǒng)更脆弱；且終端部署的安全軟件更少，更容易中招，從而爆發(fā)拒絕服務(wù)、系統(tǒng)被劫持等。

1.6 APT攻擊

攻擊者利用社會(huì)工程學(xué)針對(duì)銀行系統(tǒng)內(nèi)部人員進(jìn)行持續(xù)性的外圍調(diào)研，通過魚叉式攻擊，水坑式攻擊等方式攻擊銀行內(nèi)部特定人員的外網(wǎng)電腦，再利用人員對(duì)移動(dòng)存儲(chǔ)介質(zhì)在內(nèi)外網(wǎng)的疏忽使用，采用特定的攻擊代碼對(duì)銀行系統(tǒng)進(jìn)行破環(huán)。

1.7 未知流量威脅

以太網(wǎng)網(wǎng)絡(luò)的不同單元/域間完全互聯(lián)，容易導(dǎo)致不同性質(zhì)的業(yè)務(wù)、設(shè)備、通信混在一起，實(shí)時(shí)生產(chǎn)業(yè)務(wù)與其他業(yè)務(wù)之間沒有完全隔離，從而給關(guān)鍵的生產(chǎn)業(yè)務(wù)帶來安全風(fēng)險(xiǎn)。

2 數(shù)據(jù)包解碼技術(shù)

數(shù)據(jù)包解碼(Deep Packet Inspection)深度包檢測(cè)技術(shù)比較傳統(tǒng)數(shù)據(jù)包檢測(cè)（該技術(shù)是在OSI第二層到第四層之間進(jìn)行的數(shù)據(jù)包檢測(cè)），數(shù)據(jù)包解碼增加了如下功能，包括對(duì)應(yīng)用層數(shù)據(jù)的協(xié)議識(shí)別，對(duì)應(yīng)用層內(nèi)容檢測(cè)以及深度解碼。針對(duì)協(xié)議識(shí)別，該技術(shù)可劃分為以下三類：

第一類是對(duì)特征識(shí)別：應(yīng)用的不同會(huì)使用不同的協(xié)議，而且每個(gè)協(xié)議都有其特征值，這些特征值可能是由協(xié)議的端口、協(xié)議的字符串或者協(xié)議的序列。

第二類是應(yīng)用協(xié)議識(shí)別技術(shù)：在銀行實(shí)際業(yè)務(wù)通訊的規(guī)劃中，為了提高業(yè)務(wù)系統(tǒng)及應(yīng)用系統(tǒng)的安全性，在搭建服務(wù)時(shí)，通過傳輸層端口區(qū)分各業(yè)務(wù)對(duì)象，開放服務(wù)的TCP通訊端口是除去已知的1-1024端口號(hào)以外的自定義端口。依據(jù)TCP通訊端口號(hào)結(jié)合銀行各業(yè)務(wù)系統(tǒng)的交易碼，實(shí)現(xiàn)對(duì)各系統(tǒng)的應(yīng)用層協(xié)議識(shí)別，以及對(duì)單筆交易進(jìn)行識(shí)別。

第三類是行為模式識(shí)別技術(shù)：在對(duì)終端用戶的各種行為特征研究研究的基礎(chǔ)上建立行為識(shí)別模型?；谠撃Ｐ托校ㄟ^模式識(shí)別技術(shù)，根據(jù)終端用戶目已經(jīng)產(chǎn)生行為，推斷正在進(jìn)行的動(dòng)作或者下一步動(dòng)作。

3 數(shù)據(jù)包解碼技術(shù)應(yīng)用案例

安全事件檢測(cè)，數(shù)據(jù)包解碼技術(shù)可以對(duì)攻擊、病毒、木馬等流量進(jìn)行模型對(duì)比，根據(jù)其行為特征進(jìn)行檢測(cè)。以下列舉針對(duì)銀行系統(tǒng)威脅程度最大的兩大類信息安全風(fēng)險(xiǎn)進(jìn)行示例探討：

3.1 未知蠕蟲

通過掃描、傳播、發(fā)作等過程，蠕蟲病毒將產(chǎn)生很多的網(wǎng)絡(luò)特征。通過現(xiàn)有情況總結(jié)分析，當(dāng)終端用戶感染蠕蟲后，具有以下特征：

3.1.1 在網(wǎng)絡(luò)層

單個(gè)主機(jī)會(huì)對(duì)多個(gè)主機(jī)產(chǎn)生大量IP數(shù)據(jù)會(huì)話，但是每個(gè)IP會(huì)話的數(shù)據(jù)交換很少，而且具有單向性，及發(fā)送數(shù)據(jù)遠(yuǎn)遠(yuǎn)大于接收數(shù)據(jù)。

3.1.2 在傳輸層

（1）單個(gè)主機(jī)會(huì)對(duì)多個(gè)主機(jī)產(chǎn)生大量TCP、或UDP會(huì)話，而且每個(gè)會(huì)話在括會(huì)話時(shí)間、收發(fā)數(shù)據(jù)包個(gè)數(shù)、流量等特征上具有相似性；

（2）端口也具有相似性，例如使用會(huì)話連續(xù)端口、固定端口或者隨機(jī)端口；

（3）產(chǎn)生SYN包，但是大部份沒有響應(yīng)或拒絕。

3.1.3 高層應(yīng)用數(shù)據(jù)交互

探測(cè)操作系統(tǒng)版本，利用后門或漏洞進(jìn)行攻擊，獲取權(quán)限→提權(quán)→植入病毒。

3.2 APT攻擊

級(jí)APT攻擊采用社會(huì)工程學(xué)，針對(duì)銀行系統(tǒng)的入侵呈多樣型趨勢(shì)發(fā)展。

傳統(tǒng)安全監(jiān)測(cè)手段針對(duì)APT攻擊偵測(cè)面臨的局限，數(shù)據(jù)包級(jí)的顆粒度精細(xì)化分析采用數(shù)據(jù)包解碼（深度數(shù)據(jù)包檢測(cè)）技術(shù)通訊數(shù)據(jù)包進(jìn)行深度分析檢測(cè)，通過對(duì)數(shù)據(jù)包鏈路層至應(yīng)用層的精細(xì)化分析，對(duì)每一層網(wǎng)絡(luò)行為進(jìn)行建模。

數(shù)據(jù)包解碼技術(shù)是對(duì)傳統(tǒng)安全防范體系與加密技術(shù)的補(bǔ)充，探測(cè)銀行系統(tǒng)運(yùn)行過程中存在的級(jí)APT攻擊、未知安全流量。