科技时代新浪首页 > 科技时代 > 滚动新闻 > 正文

大规模网络病毒横流谁显英雄本色


http://www.sina.com.cn 2006年04月17日 16:19 中国计算机报

  【赛迪网讯】

  在网络延展的广袤空间中,病毒防范也愈显睿智与理性。

  当传统解决方案和基于文件引擎的病毒检测技术都暴露出了相关问题,

  防毒擂台上又现“新秀”,由单点到系统,

  由防御到监控,以网络为检测对象的网络病毒扫描技术,

  无疑是反病毒的新趋势。

  在规模增长效应下,网络已成为一个庞然大物,

  承载着信息社会运转,承载着人们的工作与生活。

  但安全防御的丝毫纰漏都将使这一庞然大物转眼成为失控巨兽。

  在确保全网无毒的“理想国”中,

  坚盔铁甲与铁壁铜墙成为了病毒阻隔利器。

  全球的网络体系由很多个大型的网络体系组成,这些大型网络即有类似教育、科研这样的开放式网络体系,也有试图自我闭合的大型行业网络和政府内网。这些大型网络拥有数以万计的用户,有着千兆到万兆的核心带宽和百兆到千兆的桌面接入,多数还通过高速出口与全球internet相连接。在这些巨大的体系中,病毒如潮涌而来,速度缓慢,动辄服务中断,用户怨声载道,网管疲于奔命。

  面临的挑战

  为什么病毒能够对大规模网络产生如此严重的影响,还要从大规模网络的特点说起。

  大规模网络的特点

  结构 多层结构

  (核心层、汇聚层、接入层)

  骨干带宽 千兆~万兆

  出口带宽 百兆~千兆

  桌面带宽 百兆~千兆

  终端数/用户数 以万为单位

  结构复杂:网络的空间延伸能力越来越强,结构也日趋复杂。,其管理成本也因此全面增加。

  高带宽:出口和骨干层的高带宽的直接影响是,传统的病毒过滤设备能力跟不上带宽增长,而更可怕的则是带宽的漏斗效应,即桌面带宽总合远大于汇聚层设备上行带宽总合更远大于核心层的带宽,与此相比,出口带宽就更显得非常微不足道。由于大规模网络的桌面节点到骨干层和出口节点的网络距离较短,内部节点问题对核心层、以及出口可以构成强大压力。

  庞大的用户和节点基数:随着用户数的增多,网络可控性呈几何级数下降。

  边界模糊:大型网络无法确保出口的唯一性,庞大的网络使每个节点都可能成为数据交换的原点,U盘、光盘、单独的拨号或无线访问都是潜在的边界,都会成为病毒进入的通道。

  随着网络结构的复杂程度和节点数量的增加,直至变成完全的不可管理网络。

  管理和主管因素:由于机构庞大、人员众多、用户水平不一,难以形成行政上的统一管理,因此大量节点处于无责任人的状态。

  大规模网络病毒爆发时,其实造成网络瘫痪的并不是来自网络入口向内的扫描攻击,而是由于内部感染节点的高频度、大流量的集中扫描和探测,迅速导致各层网络设备的性能和有效带宽的急剧下降,带来下列问题:

  1、基层瘫痪:病毒扫描产生的大量网络广播造成基层交换设备和汇聚设备瘫痪。而由于网络的地理覆盖面积越来越大,基层问题的定位处理的成本也越来越高。

  2、出口瘫痪:大量对外连接请求导致出口设备(如路由器、防火墙等)的连接数被占死或处理能力达到饱和,导致其他用户无法使用。

  3、带宽阻塞:网络核心层或者出口流量基本被病毒扫描流量占据,导致正常应用的网络质量严重下降。

  当现实遭遇传统

  传统的网络反病毒方案,以确保全网无毒为理想,所建立的安全模型是基于“隔离法”加和,而且简单将网络分割为出口和节点,即两个环节均获得安全保障获取整体安全,因此依靠出口直路控制设备(防毒墙/UTM)和确保在每台机器上安装反病毒软件,获得整体的安全,用通俗的方法来说,传统的思路就是:“进不来,出不去,查的出,杀的掉。”

  事实证明,只要网络规模超过一定程度,无论管理如何森严,都无法杜绝病毒以及其他恶意代码的进入,最典型的案例是,在红色代码的狂潮中,作为封闭内网的日本机场网络,因员工的私自拨号上网,导致蠕虫蔓延后,加之不能快速定位处置,最终网络瘫痪。

  对于大规模网络来说,无毒是一个无法达成的目的,因为确保每台机器上都安装反病毒产品,并且把这些反病毒产品置于统一的管理之下的目标,因网络的规模和管理问题注定无法达成。对大网网管来说:网络的本质在于应用,在于确保通讯畅通和确保节点用户能够正常使用网络内外的资源,其最有效的手段莫过于能够迅速的,发现定位那些影响网络运行的节点,并作出相应处置。

  当传统遇到更传统

  网络安全设备市场刚刚起步的时候,用户常提的问题是买了谁的设备是不是就保证不会相互出现安全问题了。随着市场的成熟,理性的用户都接受了没有绝对的安全,只有相对的安全。但起步更早的反病毒市场在从单机反病毒走向全网反病毒时为何反而陷入了绝对安全的误区,用户往往认为购买了某个厂商的产品,就可以完全杜绝病毒事件。但还是有问题怎么办,找原因,买完单机不够,买服务器版,还不够,又来了防毒网关,还有邮件防毒,一个接一个;升级不及时,一周一升级,一天一升级直到一小时一升级,还有强制升级。但问题在于对于机构复杂,人员众多的大型网络,我们能确保上万用户每个都安装反病毒软件并按时升级么?究竟安装率达到多少能确保全网的安全?

  而事实却是如此残酷,在口令蠕虫感染传播的过程中,7个感染节点的扫描,就使某个有近1万5千个节点的大学网络出口瘫痪。

  现有的反病毒体系在不断强化对单个节点的病毒防范保护的同时,却忽视了网络并不仅仅是逻辑概念,也是一个需要保护的对象,而且是最需要保护的对象。

  在现实生活中,没有哪一个上点规模的单位不依靠警卫巡更监控,而只是依靠各种各样的门锁,保险柜,灭火器的;也没有哪个医院是只依赖各种药品,而不配置医生和检查设备的。

  2003年SARS曾经给SARS带来极大的恐慌,SARS的可怕之处不是死亡率,不是传播速度,也不是传播能力。而是不知传播源在何处,不知其的传播路径。最后问题的解决是依赖全国总动员形成的监控体系,迅速定位出所有作为传播源的患者,并采取相应措施,从而有效地解决了问题。

  我们是否豁然开朗,各家各户需要安装防盗门,但防盗门并不能替代小区保安和监控器。每台机器都需要安装反病毒软件,但我们是否还缺少什么?

  网络病毒扫描技术

  反病毒工作者们曾经把单机作为保护对象,提出了实时监控的概念,然而到了网络反病毒时代,为什么没有即时把网络作为保护对象,即使提出网络层病毒监控的方法呢?这里有反病毒市场的积累门槛较高,创新性的中小企业难以进入的问题,但同时也要从传统的反病毒软件说起。

  传统的反病毒技术无论是对付已知病毒的特征码技术,还是对付未知病毒的启发式扫描和行为判断,它都是基于代码实体文件扫描的一种技术,这是在长期对付单机病毒中建立起来的一种反病毒思想。这种技术是对硬盘中的文件/扇区/进程等进行检测的技术。但是进入到网络环境之下,这套技术面临着很大的局限性。

  传统的反病毒引擎的扫描速度一般都在10MBit/S以下,而当前网络的基本带宽都在100M以上,但这还不是最关键的,根本问题是网络中的数据都是以流和包的形式存在的,其文件传输是分片的,甚至不是顺序的。如果采用传统的文件检测病毒引擎,就必须将数据流都还原成文件,用文件扫描技术进行病毒扫描,这将带来极大的系统开销。对于大流量环境,是不可想象的。

  此外,如sasser病毒的实体是采用udp协议传播的,还原起来较为困难,而类似红色代码病毒根本就不存在文件实体,都很难再网络上形成供传统反病毒引擎检测的对象。

  在上述情况下,基于高速匹配算法设计的特别引擎对网络数据流直接进行检测,在不用还原成文件的情况下,就可以对相关的病毒流和包进行检测发现,就成为了网络防病毒的最佳想法。

  网络反病毒技术正是基于上述思想而产生的一种新型反病毒技术,它的目的就是使宽带网络下大流量病毒检测成为可能,从反病毒发展的角度上看,这种以网络为检测对象的网络病毒扫描技术,无疑是反病毒的新趋势。(n101)

  作者:张晓兵

发表评论

爱问(iAsk.com)



评论】【论坛】【收藏此页】【 】【多种方式看新闻】【下载点点通】【打印】【关闭




科技时代意见反馈留言板 电话:010-82628888-5595   欢迎批评指正

新浪简介 | About Sina | 广告服务 | 联系我们 | 招聘信息 | 网站律师 | SINA English | 会员注册 | 产品答疑

Copyright © 1996 - 2006 SINA Corporation, All Rights Reserved

新浪公司 版权所有