袁航

摘要：本文由一起發(fā)生在電力企業(yè)的網(wǎng)絡(luò)安全事件為啟發(fā)，系統(tǒng)地分析了事件產(chǎn)生的原因、背景以及導(dǎo)致事件情況惡化的因素。其中通過參考有關(guān)單位所進(jìn)行的相關(guān)防護(hù)措施和事件處理方式，對(duì)此次發(fā)生在工業(yè)生產(chǎn)中的網(wǎng)絡(luò)安全相關(guān)事件有了更加深刻的認(rèn)識(shí)，并從中對(duì)此類安全事件的預(yù)防和處理產(chǎn)生了一定的思考和想法，文末對(duì)如何防止此類事件的發(fā)生和如何處理此類事件提出了自己的想法和思路。

Abstract： Inspired by an Internet security related accident happened in several power plants， we analyzed the cause， background of the accident as well as the factors that made it worse. By referring to the procedure of protection， we achieved a better understanding of such kind of cyberspace security accident as well as some thoughts of the protection and prevention of such accident. At the end of this essay， we propose some reasonable solutions and advices in order to help prevent and protect such information systems from being attacked.

關(guān)鍵詞：網(wǎng)絡(luò)安全;電力企業(yè);僵尸網(wǎng)絡(luò);蠕蟲;Fast-Flux

Key words： internet security;power plant;Botnet;Worm Virus;Fast-Flux

中圖分類號(hào)：TP393.18 ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 文獻(xiàn)標(biāo)識(shí)碼：A ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?文章編號(hào)：1006-4311（2020）25-0198-04

1 ?背景概述

1.1 事件描述

本事件是一起發(fā)生在電力企業(yè)內(nèi)網(wǎng)，計(jì)算機(jī)被當(dāng)?shù)仉娦挪块T檢測(cè)到大量訪問僵尸網(wǎng)絡(luò)IP地址和惡意域名的安全風(fēng)險(xiǎn)事件。

通過企業(yè)的網(wǎng)絡(luò)安全態(tài)勢(shì)感知平臺(tái)發(fā)現(xiàn)，某時(shí)間段內(nèi)某一內(nèi)網(wǎng)出口IP地址出現(xiàn)大量訪問以ws為結(jié)尾的域名，在成功解析的域名中發(fā)現(xiàn)指向的IP地址為已知的僵尸網(wǎng)絡(luò)控制端IP。其中，被解析的域名經(jīng)過判斷，均為DGA（Domain Generation Algorithm，域名生成算法）域名，具有明顯的惡意特征。經(jīng)過進(jìn)一步的判斷，該訪問請(qǐng)求均為DNS服務(wù)請(qǐng)求，分析域名后顯示網(wǎng)絡(luò)內(nèi)受感染的主機(jī)感染有Fast-Flux僵尸網(wǎng)絡(luò)家族病毒。

同時(shí)，通過平臺(tái)日志發(fā)現(xiàn)，同一出口IP在某一時(shí)間段內(nèi)還在以每4-6分鐘左右的頻率向一惡意域名發(fā)起大量DNS連接請(qǐng)求。通過使用安全情報(bào)平臺(tái)對(duì)域名進(jìn)行分析，顯示該域名為Virut僵尸網(wǎng)絡(luò)的活躍域名。另外通過對(duì)流量抓包分析，得出所感染的病毒為Trojan.Win32.aboc.Agent，同時(shí)定位到了受感染的內(nèi)網(wǎng)主機(jī)的IP地址。

1.2 Fast-Flux

在常規(guī)的DNS服務(wù)中，用戶在較長(zhǎng)的一段時(shí)間內(nèi)，對(duì)同一個(gè)域名向DNS服務(wù)器查詢得到的IP一般是不會(huì)變化的。傳統(tǒng)的僵尸網(wǎng)絡(luò)病毒制作者一般會(huì)直接將控制端的域名或IP地址硬編碼在程序代碼中，僵尸木馬通過這些域名或IP地址定時(shí)訪問來維持正常運(yùn)行。但對(duì)于受攻擊的網(wǎng)絡(luò)管理者來說，通過逆向分析此類惡意程序，能夠很輕松地找到僵尸網(wǎng)路控制端的真實(shí)網(wǎng)絡(luò)地址，利用這些信息，管理員能夠使用防火墻輕易阻斷連接從而破壞僵尸網(wǎng)絡(luò)的運(yùn)行。為了保護(hù)僵尸網(wǎng)絡(luò)的完整性和穩(wěn)定性，新一代的僵尸網(wǎng)絡(luò)木馬作者常常會(huì)使用Fast-Flux技術(shù)來實(shí)現(xiàn)自我保護(hù)。

Fast-Flux技術(shù)簡(jiǎn)單來說就是一種能夠動(dòng)態(tài)變化域名解析結(jié)果的DNS服務(wù)。在正常合法的網(wǎng)絡(luò)運(yùn)營(yíng)中，利用Fast-Flux技術(shù)，對(duì)目標(biāo)網(wǎng)站的訪問流量能夠通過域名解析被動(dòng)態(tài)分配到多個(gè)CDN服務(wù)器中，對(duì)于一些大型網(wǎng)站來說是緩解服務(wù)器壓力，提高服務(wù)質(zhì)量的有效方法。其技術(shù)原理如圖1所示。

當(dāng)應(yīng)用于僵尸網(wǎng)絡(luò)中時(shí)，該技術(shù)可以分為Single-Flux和Double-Flux兩類。Single-Flux技術(shù)顧名思義，指的是單邊的地址變化，僵尸網(wǎng)絡(luò)管理員會(huì)維護(hù)一系列的控制端主機(jī)，并將控制主機(jī)的IP地址列表提供給一臺(tái)域名服務(wù)器。當(dāng)病毒需要連接網(wǎng)絡(luò)時(shí)將會(huì)訪問指定的DNS服務(wù)器，動(dòng)態(tài)解析控制端的真實(shí)地址。Double-Flux則是雙邊的地址變化技術(shù)。除了提供多個(gè)控制主機(jī)IP以外，還有一系列的僵尸網(wǎng)絡(luò)域名服務(wù)器，這些域名服務(wù)器均對(duì)應(yīng)于一臺(tái)根域名服務(wù)器，病毒通過訪問根域名服務(wù)器來連接動(dòng)態(tài)的子域名的服務(wù)器，進(jìn)而獲得動(dòng)態(tài)的控制端服務(wù)器地址。[2]另外，處于對(duì)網(wǎng)絡(luò)成本的考慮，僵尸網(wǎng)絡(luò)管理員僅僅需要維護(hù)很少的幾臺(tái)控制主機(jī)，稱之為“母體”，再利用網(wǎng)絡(luò)內(nèi)的一部分機(jī)器作為跳板進(jìn)行指令的傳遞。從外界來看，將真實(shí)的控制主機(jī)從跳板主機(jī)中分辨出來的難度將是非常高的，往往針對(duì)某一網(wǎng)絡(luò)的追蹤結(jié)果僅僅是其中的若干跳板節(jié)點(diǎn)，這將使針對(duì)相關(guān)惡意行為的取證工作變得難以進(jìn)行。

1.3 DGA

本質(zhì)上來說DGA是一種隨機(jī)函數(shù)，在給定的參數(shù)下通過字典、哈希、排列組合等方式生成直觀上為亂碼的域名組合。[3]

在當(dāng)代僵尸網(wǎng)路運(yùn)營(yíng)中，F(xiàn)ast-Flux技術(shù)常常和域名生成算法配合使用。一般來說，DGA會(huì)被寫入僵尸木馬程序中，在需要訪問服務(wù)器時(shí)，木馬程序會(huì)使用DGA生成一個(gè)域名列表并對(duì)其中的域名進(jìn)行解析。對(duì)于木馬作者來說，其只需要利用相同的DGA生成少量的若干個(gè)域名并注冊(cè)使用，相應(yīng)的僵尸木馬在遍歷域名的過程中最終都能夠訪問到已注冊(cè)的域名，并接收控制指令。

在使用了DGA以后，僵尸網(wǎng)絡(luò)控制端的真實(shí)域名將變得難以追蹤。同時(shí)，對(duì)于該類木馬感染的網(wǎng)絡(luò)阻斷也更加困難，管理員往往需要阻斷DGA生成的所有域名才能有效防止木馬聯(lián)網(wǎng)。

2 ?事件分析

2.1 服務(wù)器A

該服務(wù)器承載的服務(wù)為基建MIS（Management Information System，管理信息系統(tǒng)），為提高企業(yè)的信息管理效率而設(shè)置，但由于硬件老化和信息化水平提升，MIS系統(tǒng)已經(jīng)遷移至虛擬服務(wù)器平臺(tái)，該服務(wù)器現(xiàn)在處于閑置但未關(guān)機(jī)斷網(wǎng)的狀態(tài)。服務(wù)器自身位于企業(yè)防火墻內(nèi)且并未開放互聯(lián)網(wǎng)訪問權(quán)限，運(yùn)行Windows Server 2003操作系統(tǒng)，同時(shí)并未部署本地防病毒軟件，未進(jìn)行系統(tǒng)漏洞修復(fù)和補(bǔ)丁安裝，也未對(duì)高危端口進(jìn)行本地限制。

對(duì)該服務(wù)器的病毒掃描檢測(cè)到了飛客蠕蟲病毒，該病毒利用MS08-067漏洞發(fā)起攻擊。該漏洞允許當(dāng)用戶收到特制的RPC（遠(yuǎn)程過程調(diào)用）請(qǐng)求時(shí)，可以遠(yuǎn)程執(zhí)行代碼，因而攻擊者可能在未經(jīng)身份驗(yàn)證的前提下遠(yuǎn)程執(zhí)行惡意代碼。該蠕蟲病毒感染主機(jī)后會(huì)訪問DGA域名，并在連接成功后下載木馬程序破壞系統(tǒng)安全。[8]

對(duì)于該臺(tái)感染病毒的服務(wù)器來說，由于企業(yè)防火墻并未開放其聯(lián)網(wǎng)權(quán)限，病毒沒有成功下載其它惡意程序，沒有造成實(shí)質(zhì)上的破壞。同時(shí)由于網(wǎng)絡(luò)策略的設(shè)置，同一內(nèi)網(wǎng)中的其它主機(jī)均無法訪問該服務(wù)器，故沒有對(duì)局域網(wǎng)內(nèi)的其它主機(jī)造成影響。但若不加以及時(shí)處理，病毒程序可能經(jīng)過移動(dòng)存儲(chǔ)介質(zhì)傳播到其它計(jì)算機(jī)中，造成難以預(yù)料的后果。

2.2 服務(wù)器B

該服務(wù)器是企業(yè)內(nèi)部SIS系統(tǒng)（Supervisory Information System in Plant Level，火電廠廠級(jí)監(jiān)控信息系統(tǒng)）發(fā)送數(shù)據(jù)的備用服務(wù)器。服務(wù)器處于企業(yè)內(nèi)網(wǎng)中，內(nèi)網(wǎng)中部署有網(wǎng)絡(luò)防毒墻產(chǎn)品。該服務(wù)器不可連接互聯(lián)網(wǎng)，并在網(wǎng)絡(luò)接口處部署有IPS設(shè)備。服務(wù)器運(yùn)行Windows Server 2003系統(tǒng)，安裝有本地殺毒軟件，但長(zhǎng)期未更新病毒庫(kù)，同時(shí)未對(duì)高危端口作相關(guān)限制。

經(jīng)過對(duì)系統(tǒng)的掃描后，在系統(tǒng)中檢測(cè)到克鄰大盜病毒。該病毒為老式病毒，近年早已不再流行。病毒感染系統(tǒng)后會(huì)嘗試連接網(wǎng)絡(luò)下載惡意程序，對(duì)局域網(wǎng)進(jìn)行ARP攻擊。由于感染主機(jī)不具有互聯(lián)網(wǎng)訪問權(quán)限，病毒未能成功連接惡意域名下載惡意程序，未造成實(shí)質(zhì)性的危害。同時(shí)，由于內(nèi)網(wǎng)中部署有防毒墻，且其它主機(jī)不可訪問該機(jī)器，同網(wǎng)段下的其它業(yè)務(wù)系統(tǒng)并未受到影響。

2.3 服務(wù)器C

該服務(wù)器為企業(yè)內(nèi)部的應(yīng)用發(fā)布服務(wù)器。服務(wù)器為內(nèi)網(wǎng)服務(wù)器，未開放互聯(lián)網(wǎng)訪問權(quán)限。服務(wù)器運(yùn)行本地單機(jī)殺毒軟件，定期進(jìn)行離線病毒庫(kù)更新。操作系統(tǒng)為Windows Server 2003，系統(tǒng)未對(duì)高危端口作一定的限制。

該服務(wù)器病毒感染情況與服務(wù)器A高度相似，通過掃描后均發(fā)現(xiàn)了飛客蠕蟲病毒的程序，并由于局域網(wǎng)策略的原因未對(duì)同一網(wǎng)段下的其它機(jī)器造成影響。但在對(duì)系統(tǒng)的掃描中，發(fā)現(xiàn)了病毒由U盤攜帶傳播的痕跡，包括目錄中的自動(dòng)播放相關(guān)配置文件等。

2.4 計(jì)算機(jī)D

該計(jì)算機(jī)為筆記本電腦，由企業(yè)員工攜帶，臨時(shí)替換故障的辦公電腦。本機(jī)系統(tǒng)中運(yùn)行有某款常用安全管家類軟件，操作系統(tǒng)及病毒庫(kù)均為最新版本，但系統(tǒng)并未及時(shí)更新漏洞補(bǔ)丁。用戶通過有線網(wǎng)絡(luò)將計(jì)算機(jī)接入企業(yè)內(nèi)網(wǎng)，該局域網(wǎng)沒有部署網(wǎng)絡(luò)準(zhǔn)入認(rèn)證系統(tǒng)，而是通過手動(dòng)指定IP地址的方式來連接互聯(lián)網(wǎng)。

利用殺毒軟件對(duì)系統(tǒng)進(jìn)行掃描后，發(fā)現(xiàn)了多個(gè)病毒，其中名稱為Virus.Win32.Virut.Gen.200002的病毒程序行為與對(duì)Virut僵尸網(wǎng)絡(luò)域名的大量訪問行為相符合。該病毒屬于Virut病毒家族，為文件感染型病毒，病毒會(huì)感染系統(tǒng)中的可執(zhí)行文件，對(duì)其入口點(diǎn)進(jìn)行修改以指向病毒代碼，實(shí)現(xiàn)在系統(tǒng)中長(zhǎng)久駐留而維持僵尸網(wǎng)絡(luò)運(yùn)行的目的。[6][7]查看安全日志后，發(fā)現(xiàn)用戶在殺毒軟件告警后手動(dòng)允許了疑似病毒文件的運(yùn)行，導(dǎo)致系統(tǒng)被感染，由于企業(yè)內(nèi)網(wǎng)部署有防毒墻，病毒的網(wǎng)絡(luò)連接被阻斷，并未傳染至內(nèi)網(wǎng)中的其它機(jī)器。但如果不對(duì)此進(jìn)行處理，當(dāng)用戶正常連接互聯(lián)網(wǎng)時(shí)將可能導(dǎo)致個(gè)人信息或企業(yè)內(nèi)部信息泄露，由病毒額外下載的惡意程序可能會(huì)盜取用戶的網(wǎng)絡(luò)賬戶信息，造成損失。

2.5 事件原因分析

從本次網(wǎng)絡(luò)安全事件的過程分析中，可以比較容易得出幾個(gè)事件因素。首先是受到感染的服務(wù)器系統(tǒng)過于老舊，且忽視了相關(guān)漏洞補(bǔ)丁安裝等維護(hù)措施。Windows Server 2003系統(tǒng)是2003年發(fā)布的服務(wù)器專用操作系統(tǒng)，集成了大量服務(wù)器專用的工具和應(yīng)用，但其早在多年前已經(jīng)全面終止了官方的支持和維護(hù)，不再得到官方提供的漏洞補(bǔ)丁。另外，作為老版本的操作系統(tǒng)，與當(dāng)前使用的系統(tǒng)相比缺乏相關(guān)的用戶權(quán)限管理、系統(tǒng)自我防護(hù)等安全特性，在面對(duì)攻擊時(shí)也更加的脆弱。

其次是系統(tǒng)中的安全軟件缺失或沒有正常工作。對(duì)于老版本的操作系統(tǒng)而言，安全軟件可以說是至關(guān)重要的安全防護(hù)工具。此次事件中部分企業(yè)擁有相應(yīng)的網(wǎng)絡(luò)版反病毒軟件，能夠供內(nèi)網(wǎng)中無法連接互聯(lián)網(wǎng)的計(jì)算機(jī)正常使用，但在本次受感染的計(jì)算機(jī)上并未安裝相關(guān)的反病毒軟件客戶端。另外，部分計(jì)算機(jī)雖然安裝有單機(jī)版殺毒軟件，但是由于軟件引擎防護(hù)效果較差，病毒庫(kù)更新不及時(shí)等原因?qū)е路啦《拒浖聦?shí)上無法正常工作。

再次，企業(yè)內(nèi)網(wǎng)出口缺乏網(wǎng)絡(luò)流量檢測(cè)系統(tǒng)。事件中受感染的計(jì)算機(jī)中的病毒程序均不斷向遠(yuǎn)程服務(wù)器發(fā)起連接請(qǐng)求，由于上級(jí)網(wǎng)絡(luò)出口的聯(lián)網(wǎng)權(quán)限設(shè)置而無法正常連接，同時(shí)異常流量被上級(jí)網(wǎng)絡(luò)中的流量監(jiān)測(cè)系統(tǒng)檢測(cè)到，雖然能夠發(fā)現(xiàn)網(wǎng)絡(luò)中存在的安全問題，該檢測(cè)方式仍然不夠迅速。受感染計(jì)算機(jī)所在的內(nèi)網(wǎng)中缺乏流量監(jiān)測(cè)手段，導(dǎo)致了異常情況的檢測(cè)出現(xiàn)延遲，對(duì)于工業(yè)應(yīng)用系統(tǒng)網(wǎng)絡(luò)的安全正常運(yùn)行是不小的隱患。

最后，企業(yè)局域網(wǎng)出口網(wǎng)關(guān)沒有對(duì)高危端口進(jìn)行限制，而本次感染服務(wù)器的飛客蠕蟲病毒正是通過445端口進(jìn)行通信和傳播的。繼不久前爆發(fā)的WannaCry勒索病毒事件后，在網(wǎng)關(guān)處屏蔽135、138、139、445等高風(fēng)險(xiǎn)端口已經(jīng)成為越來越多的網(wǎng)絡(luò)管理員所必須做的一件事情。對(duì)這些端口的屏蔽，在一定程度上能從根本上阻止僵尸網(wǎng)絡(luò)的連接和病毒的更新、擴(kuò)散，對(duì)于企業(yè)內(nèi)網(wǎng)的安全是至關(guān)重要的。

3 ?解決方案和預(yù)防措施

一般地，對(duì)于工業(yè)生產(chǎn)企業(yè)中的信息安全的相關(guān)解決方案來說，其相比于一般的互聯(lián)網(wǎng)企業(yè)或網(wǎng)絡(luò)運(yùn)營(yíng)商存在著許多不同之處。首先，在一般認(rèn)為計(jì)算機(jī)資產(chǎn)并不屬于核心生產(chǎn)設(shè)備的企業(yè)中，對(duì)于信息系統(tǒng)相關(guān)的部署、運(yùn)營(yíng)和維護(hù)成本會(huì)更加的敏感，在相關(guān)設(shè)備和軟件的更新?lián)Q代、日常維護(hù)方面往往會(huì)做出一定的妥協(xié)。另外，由工業(yè)生產(chǎn)的性質(zhì)所決定，在涉及生產(chǎn)監(jiān)控、生產(chǎn)安全保護(hù)方面的信息設(shè)備，對(duì)其運(yùn)行的穩(wěn)定性提出了更高的要求，這也導(dǎo)致其相應(yīng)的信息安全解決方案會(huì)更加側(cè)重于系統(tǒng)性能的冗余和長(zhǎng)期運(yùn)行的穩(wěn)定性。最后，鑒于工業(yè)生產(chǎn)領(lǐng)域的企業(yè)對(duì)互聯(lián)網(wǎng)的使用需求相對(duì)較低，網(wǎng)絡(luò)環(huán)境較為簡(jiǎn)單，在保障安全性的前提下，企業(yè)內(nèi)網(wǎng)的訪問權(quán)限、聯(lián)網(wǎng)準(zhǔn)入等配置可以更加精簡(jiǎn)，不需要過多地考慮由軟、硬件的多樣化所帶來的優(yōu)化適配等問題。

3.1 操作系統(tǒng)

從根本上來說，當(dāng)前應(yīng)用于生產(chǎn)中的服務(wù)器更多地使用的是Linux系統(tǒng)。除了相關(guān)的服務(wù)器應(yīng)用程序、框架協(xié)議等在Linux系統(tǒng)中有更加廣泛的選擇和適配之外，針對(duì)Linux系統(tǒng)的病毒程序相較于Windows來說要少得多。從本次事件來看，所有服務(wù)器感染的病毒都是較為常見的流行病毒，其開發(fā)目的和破壞手段也更多地針對(duì)的是一般的計(jì)算機(jī)使用者。因此在條件和技術(shù)允許的前提下，使用運(yùn)行Linux系統(tǒng)的服務(wù)器是更加徹底的解決方案。

另外，即使需要運(yùn)行Windows Server系統(tǒng)的服務(wù)器來承載網(wǎng)絡(luò)服務(wù)，網(wǎng)絡(luò)管理員也應(yīng)該及時(shí)升級(jí)操作系統(tǒng)，避免使用早已停止服務(wù)的老舊版本。以最新版本的Windows Server 2019為例，其升級(jí)了系統(tǒng)內(nèi)核，并擁有諸如Windows Defender高級(jí)威脅防護(hù)（ATP）等一系列的安全特性，利用深度平臺(tái)傳感器和響應(yīng)操作，通過抑制惡意文件和終止惡意進(jìn)程來暴露內(nèi)存和內(nèi)核級(jí)的安全威脅，對(duì)于系統(tǒng)中惡意程序的防護(hù)水準(zhǔn)大大提高。[5]

3.2 安全軟件

很顯然，本次受到感染的三臺(tái)服務(wù)器中有的沒有本地殺毒軟件，有的殺毒軟件的病毒庫(kù)更新不及時(shí)，都處于無法正常工作的狀態(tài)，這也進(jìn)一步使病毒的入侵更加簡(jiǎn)單。由于當(dāng)前網(wǎng)絡(luò)中的病毒木馬程序更新速度快，這對(duì)傳統(tǒng)殺毒軟件的病毒特征庫(kù)的時(shí)效性提出了很高的要求。在企業(yè)內(nèi)網(wǎng)中，由于聯(lián)網(wǎng)策略的原因，大部分的計(jì)算機(jī)都不具有互聯(lián)網(wǎng)訪問權(quán)限，自然也無法在第一時(shí)間獲取軟件開發(fā)商提供的最新病毒庫(kù)，造成了一定的安全隱患。因此，在成本允許的條件下，內(nèi)網(wǎng)中的計(jì)算機(jī)應(yīng)該部署為企業(yè)設(shè)計(jì)的網(wǎng)絡(luò)版殺毒軟件，利用內(nèi)網(wǎng)中的指定服務(wù)器分發(fā)病毒庫(kù)文件，在不影響整體網(wǎng)絡(luò)策略的同時(shí)保證內(nèi)網(wǎng)計(jì)算機(jī)的安全。

當(dāng)然，對(duì)于一般的企業(yè)來說，成本高昂的企業(yè)版殺毒軟件可能是難以接受的。一般來說，安全軟件的殺毒過程其實(shí)是一個(gè)特征比對(duì)的過程，通過已有的病毒特征信息，結(jié)合當(dāng)前計(jì)算機(jī)中程序的行為和文件內(nèi)容，找出特征匹配的程序或文件并標(biāo)記為惡意文件。傳統(tǒng)的安全軟件采用的是聯(lián)網(wǎng)更新病毒特征庫(kù)的形式，每次更新的文件中都包含了新增加的病毒樣本特征。這種形式在計(jì)算機(jī)正常的聯(lián)網(wǎng)使用中表現(xiàn)良好，但對(duì)于處于內(nèi)網(wǎng)中不連接互聯(lián)網(wǎng)的服務(wù)器來說卻不太適合。此時(shí)較為合適的是被稱作NGAV（Next-Gen Antivirus，下一代殺毒軟件）的一類較新穎的安全軟件。NGAV的核心技術(shù)是機(jī)器學(xué)習(xí)，在提供了訓(xùn)練成熟的模型后，此類軟件無需病毒樣本庫(kù)，即可以通過對(duì)可疑文件的特征提取和模型擬合的方式判斷文件的安全性。[4]另外，一般的NGAV軟件在運(yùn)行過程中能夠不斷對(duì)本地模型進(jìn)行訓(xùn)練，通過用戶的日常使用來完善分類模型，以達(dá)到自主完善進(jìn)步的過程。該類軟件的技術(shù)也決定了其對(duì)聯(lián)網(wǎng)的低需求，通過本地的學(xué)習(xí)就可提供相當(dāng)可觀的安全防護(hù)能力。此外，在采用此類軟件的同時(shí)定期通過離線方式對(duì)軟件的樣本模型作更新，也能夠進(jìn)一步完善其檢測(cè)準(zhǔn)確率和效率。另外一方面，基于機(jī)器學(xué)習(xí)的NGAV相比于傳統(tǒng)安全軟件來說更加輕巧簡(jiǎn)單，對(duì)服務(wù)器的性能影響也更小，有助于服務(wù)器的日常穩(wěn)定運(yùn)行。

3.3 網(wǎng)絡(luò)管理

從本次事件分析中可見，發(fā)生事件的企業(yè)未在其內(nèi)網(wǎng)出口部署IPS設(shè)備，導(dǎo)致異常流量流經(jīng)上級(jí)網(wǎng)絡(luò)時(shí)才被發(fā)現(xiàn)，拖延了事件處理的時(shí)間。對(duì)于事關(guān)社會(huì)正常運(yùn)行的工業(yè)企業(yè)來說，與生產(chǎn)相關(guān)的信息化設(shè)備的安全穩(wěn)定運(yùn)行是極為重要的，尤其是處于局域網(wǎng)中的服務(wù)器設(shè)備，在不承載對(duì)外服務(wù)時(shí)更應(yīng)該確保其與外網(wǎng)的有效隔離，防止受到潛在的感染和攻擊。對(duì)于中型或大型企業(yè)來說，在互聯(lián)網(wǎng)入口設(shè)置的IPS設(shè)備是極為重要的，其能夠檢測(cè)雙向連接中的可疑流量并在需要的時(shí)候進(jìn)行攔截并定位流量來源，這對(duì)及時(shí)發(fā)現(xiàn)并處理網(wǎng)絡(luò)中的安全隱患是至關(guān)重要的。另外，各級(jí)網(wǎng)關(guān)和各計(jì)算機(jī)設(shè)備也應(yīng)該及時(shí)封禁高風(fēng)險(xiǎn)端口，阻斷病毒可能的傳播途徑。

此外，對(duì)于此類安全要求較高的局域網(wǎng)絡(luò)來說，完善聯(lián)網(wǎng)身份驗(yàn)證和內(nèi)網(wǎng)隔離也是不可或缺的安全措施。一些較小型的企業(yè)可能會(huì)選擇手動(dòng)指定IP地址的方式訪問外網(wǎng)，以控制內(nèi)網(wǎng)中的聯(lián)網(wǎng)情況。但該措施缺乏對(duì)聯(lián)網(wǎng)設(shè)備信息的鑒別和聯(lián)網(wǎng)人員身份的認(rèn)證，難以確保由于人為原因造成的涉密設(shè)備聯(lián)網(wǎng)的泄密隱患。因此對(duì)于高安全要求的企業(yè)網(wǎng)絡(luò)來說及時(shí)部署網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)，通過用戶身份信息與聯(lián)網(wǎng)設(shè)備的物理地址信息來確保聯(lián)網(wǎng)人員和設(shè)備的可控性，保證涉密設(shè)備或高安全等級(jí)設(shè)備的隔離。同時(shí)，在企業(yè)內(nèi)部也應(yīng)該通過多級(jí)網(wǎng)關(guān)的設(shè)置，依據(jù)設(shè)備安全等級(jí)要求來劃分不同的VLAN，對(duì)不同安全等級(jí)的VLAN執(zhí)行不同的網(wǎng)絡(luò)權(quán)限設(shè)置，確保內(nèi)網(wǎng)數(shù)據(jù)的安全。

3.4 資產(chǎn)管理

在本次事件中，服務(wù)器A是企業(yè)內(nèi)部的閑置服務(wù)器，沒有承載相關(guān)服務(wù)。在確認(rèn)閑置狀態(tài)后，該服務(wù)器沒有及時(shí)斷電關(guān)機(jī)，而是保持開機(jī)和局域網(wǎng)聯(lián)網(wǎng)狀態(tài)工作，同時(shí)缺乏相關(guān)的系統(tǒng)軟件維護(hù)操作。對(duì)于企業(yè)來說，此類閑置計(jì)算機(jī)設(shè)備在存放使應(yīng)保證其為關(guān)機(jī)斷網(wǎng)狀態(tài)，防止出現(xiàn)無人維護(hù)的安全隱患。

其次，本次計(jì)算機(jī)感染的病毒中出現(xiàn)了以移動(dòng)存儲(chǔ)為媒介的種類，這也意味著企業(yè)內(nèi)部對(duì)移動(dòng)存儲(chǔ)介質(zhì)的管理不夠規(guī)范和嚴(yán)格。對(duì)于高安全等級(jí)的內(nèi)網(wǎng)計(jì)算機(jī)來說，使用的移動(dòng)存儲(chǔ)介質(zhì)應(yīng)必須是可信、可控的，在使用之前必須經(jīng)過相關(guān)的全面安全掃描。另外受感染的計(jì)算機(jī)中未禁用自動(dòng)播放的相關(guān)功能，導(dǎo)致移動(dòng)存儲(chǔ)器中的病毒程序自動(dòng)執(zhí)行并感染。在正常使用中，該功能必須加以禁用，防止?jié)撛诘牟《緜鞑ァ?/p>

另外，對(duì)于本次受感染的計(jì)算機(jī)D來說，其作為普通個(gè)人用計(jì)算機(jī)，在接入企業(yè)網(wǎng)絡(luò)前沒有經(jīng)過相關(guān)的安全審查和認(rèn)證，由于企業(yè)網(wǎng)絡(luò)中防毒墻的存在而沒有成功感染網(wǎng)絡(luò)中的其他設(shè)備。在封閉性較高的企業(yè)內(nèi)網(wǎng)中，對(duì)于此類非常用內(nèi)網(wǎng)設(shè)備的準(zhǔn)入審查應(yīng)該更加嚴(yán)格，包括嚴(yán)格的全面安全掃描和網(wǎng)絡(luò)準(zhǔn)入認(rèn)證，從源頭上切斷外來安全威脅的流入渠道。

參考文獻(xiàn)：

[1]Fast flux Wikipedia. https：//en.wikipedia.org/wiki/Fast_flux.

[2]淺談僵尸網(wǎng)絡(luò)利器：Fast-flux技術(shù). https：//www.freebuf.com/articles/network/136423.html.

[3]Domain generation algorithm Wikipedia. https：//en.wikipedia.org/wiki/Domain_generation_algorithm.

[4]Next Generation Antivirus （NGAV） vs Traditional Subscription Antivirus. https：//cipher.com/blog/next-generation-antivirus-ngav-vs-traditional-subscription-antivirus/.

[5]Threat Protection Windows Security. https：//docs.microsoft.com/en-us/windows/security/threat-protection/.

[6]Virut Wikipedia. https：//en.wikipedia.org/wiki/Virut.

[7]Nitol家族韓國(guó)僵尸網(wǎng)絡(luò)變種分析及其威脅情報(bào). https：//www.freebuf.com/articles/network/147591.html.

[8]Conficker Wikipedia. https：//en.wikipedia.org/wiki/Conficker.