付易鹏

摘 要：2017注定是风云际会的一年，从席卷全球的“WannaCry”敲诈勒索病毒，再到国内的“暗云Ⅲ”病毒，无一不说明目前的网络安全形势严峻。《中华人民共和国网络安全法》的发布与实施为网络安全提高到了国家安全的高度，成为国家安全战略的重要一环。企业网络在面对网络攻击时如何进行有效的防御？网络设备在其中能起到哪些作用，这些已需要尽快解决的重要问题。本文旨在通过对2017网络安全事件中的分析，提出了增强网络安全风险感知、预测和防范的方法与建议，及对网络设备的要求，以提高政府、企业的网络安全防护能力。

关键词：网络安全；网络设备；大数据分析

中图分类号：TP393.08 文献标识码：A 文章编号：1671-2064（2018）12-0030-02

1 2017网络安全事件回顾

“WannaCry”敲诈勒索病毒5月12日在全球爆发2017年5月12日，“WannaCry”（想哭）比特币勒索病毒在全球范围内爆发，本次事件波及150多个国家和地区、10多万的组织和机构以及30多万网民，损失总计高达500多亿人民币。包括医院、教育机构以及政府部门，都无一例外的遭受到了攻击。勒索病毒结合蠕虫的方式进行传播，是此次攻击事件大规模爆发的重要原因。

“暗云”系列病毒升级为“暗云III”再度来袭2017年6月9日，早在2015年就被首次发现并拦截查杀的“暗云”病毒死灰复燃，升级为“暗云Ⅲ”，通过下载站大规模传播，同时通过感染磁盘MBR实现开机启动，感染用户数量已达数百万。 升级过后的“暗云Ⅲ”将主要代码存储在云端，可实时动态更新，其功能目前主要有下载推广恶意木马、锁定浏览器主页、篡改推广导航页id等。用户一旦中招，电脑便会沦为“肉鸡”形成“僵尸网络”，并利用DDoS攻击影响搭建在某云服务商平台上的棋牌类网站，导致该网站访问变得异常卡慢。

2 勒索病毒与暗云III木马分析

2.1 WanaCrypt（勒索病毒）分析

病毒名称：Trojan.WannaCry.i。

病毒类型：木马|后门。

壳信息：无壳，此病毒没有加壳行为。

传播方式：主机系统漏洞传播。

影响系统：没有安装MS-17-010补丁的Windows系统。

病毒危害：

（1）初始文件sample.exe会释放并执行tasksche.exe文件，然后链接网络http：//www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com。（2）如果链接成功，病毒不发作。如果链接不成功，创建mssecsvc2.0服务并设置自启动，病毒开始运行发作。判断参数是否小于2，以两种方式执行mssecsvc.exe文件。再次执行会检查被感染電脑的IP地址，并尝试联接到相同子网内每个IP地址的TCP 445端口，进行漏洞攻击。（3）主要针对文档、图片、视频、音频文件进行加密，以此来勒索用户付费解密。破坏操作系统还原功能设置，使操作系统还原功能失效。病毒本身会结束操作系统部分系统工具，使用户无法及时阻止病毒运行。

2.2 暗云Ⅲ木马分析

病毒名称：TrojanDownloader.Uparte.afze。

病毒类型：木马下载器|后门。

壳信息：无壳，此病毒没有加壳行为。

传播方式：各种下载网站的高速下载器。

影响系统：Windows等使用MBR启动的机器。

病毒危害：

（1）木马的主体在MBR中运行，比所有的安全软件启动都早，因此大部分的安全软件无法拦截和检测该木马的恶意行为。木马能够在内核中直接结束部分安全软件进程，同时会关闭安全软件的文件监控设备句柄，会导致安全软件文件监控失效，大大减少了被检测的机率。（2）木马在开机时自动从云端下载运行，获得控制权限，该木马控制的主机已经组成了一个大规模的僵尸网络，并可以通过更换脚本的方式对不同目标发起DDoS攻击。（3）对感染的MBR进行hook保护，防止被安全软件检测和清除，并且使用对象劫持技术躲避安全人员的手工检测。大多数安全软件无法检测和查杀该木马，并且该木马通过游戏微端、外挂、私服登录器等方式进行传播，且具有较强的隐蔽性。（4）兼容多种系统版本，通过捆绑的推广ID，获取利润。

3 基于大数据分析的网络安全风险感知与预测

3.1 网络安全困境

传统的防护攻击手段是采用防火墙及终端用户采用安装防病毒软件的方法，防止黑客攻击及病毒的传播，而我们面临的威胁已不仅仅是单纯的病毒，而是更多形式的威胁。根据CERT CC发布的关于最新入侵者攻击方式的趋势分析结果，网络攻击呈现攻击过程自动化、攻击技术复杂化、漏洞发现的更快、以及渗透防火墙的趋势；采用蠕虫攻击、病毒扩散等混合型威胁的复杂攻击事件越来越多。

3.2 大数据内涵

大数据是具有数量巨大（volume）、来源多样（variety）、生成极快（velocity）、多变（variability）等特征，且难以用传统数据体系架构有效处理的包含大量数据集的数据。大数据技术是使大数据中所蕴含的价值得以挖掘和展现的一系列技术与方法，包括数据采集、预处理、存储、分析挖掘、可视化等。主要集中在三个方面：一，网络中大数据的快速收集和信息汇总，并及时上报；二，大数据存储平台，需要达到PB、EB、ZB级别；三，大数据分析，在短时间内处理大量不同类型的数据集，分析出高价值信息，是体现大数据核心价值的关键。

3.3 网络安全态势

面对不断增加的多层面网络安全威胁和安全风险，企业和组织需要及时发现网络中的异常事件，实时掌握网络安全状态，由过去的“亡羊补牢”转向事前自动评估，降低网络安全风险，提高网络安全防护能力。网络安全态势感知（network security situational awareness，NSSA）技术能够综合各方面的安全因素，通过安全要素的获取、理解、评估与可视，从总体上反映网络安全状况，并对网络安全的发展趋势进行预测和预警。大数据技术特有的海量存储、并行计算、高效查询等特点，为大规模网络安全态势感知技术的突破创造了机遇。网络安全领域许多企业纷纷提出安全大数据态势感知方案或构建安全大数据态势感知预警平台。国内有专业的网络安全厂商也提供了的病毒威胁预警系统，可以对本地全量数据进行采集和存储，以情报为驱动，实现对网络的持续监控、安全分析与威胁溯源。

3.4 立体安全防范体系

安全防范已不再是遇到病毒再上专杀工具的时代了，需要多种技术和设备配合来建立立体管控体系。有效的控制手段是从网络边界入手，全面收集网络中传递的数据，对网络中数据進行综合性判断，整理各种安全事件的关联后的数据，从而全面实时动态的监控网络中的病毒及攻击事件。变被动防御为积极主动防御，对已经发生的安全事件及将要发生的安全事件给予全面掌握，并及时进行处理。对全网的安全事件全面的了解，及时的处理，专业的病毒威胁预警系统不仅对具备恶意程序及恶意攻击行进行记录，而且可以对安全事件进行智能的关联，对事件的处理做到流程化管理，对全网的安全事件做到全面的呈现，如图1所示。同时，可全面高效检测计算机病毒传播、蠕虫攻击、木马通讯、僵尸网络、口令探测等当前活跃的多种网络威胁；通过多层检测分析（网络层、传输层、应用层）、深度内容分析、智能关联等技术策略，对网络数据进行高效检测处理，可有效对网络环境的安全状况进行预警。

4 网络安全对网络设备的影响

整个立体安全防范体系的有效运行需要多种类型的网络设备配合实现，整个网络环境中包括单不限于：核心网络的路由器与交换机，接入终端设备（PTN，PON和Wifi），专用的网络安全设备（防火墙，防毒墙，IPS/IDS），流量探针（流量汇聚与分流设备），大容量存储平台，服务器集群等。

网络基础设备：网络从20年前的电话拨号开始，现在已经是千兆光纤入户，从接入端到核心网络，技术不断的升级，网络设备也不停的迭代更新，现在的数据中心核心层T级交换网络已经普及了。数据是整个网络运行的基础，是血液；网络是传输数据的管道，是血管；高速，大容量的管道有利于数据的传输，也有利于大脑判断整个身体的情况。某处管道拥挤，有突发的大流量数据、大量丢包、大量的TCP链接等网络异常情况发生时，除了定位网络问题外，还有可能是网络安全事件发生，例如暗云III木马造成的全网DDos攻击。

同时，针对网络基础设备的漏洞挖掘也成为新的热点，得到了越来越多的安全研究者关注。特别是针对路由器、交换机和无线设备的底层驱动的漏洞挖掘，一旦这些设备出现问题，将给整个网络带来极大的影响；这也使网络设备厂商对自身产品的安全更加关注了。

网络安全设备：网络安全设备从单台防火墙开始，到现在的全网安全解决方案，技术也在快速革新中。随着人们安全意识的不断提高，对信息和隐私的保护意识不断加强，网络安全的重要性也日渐凸显。《中华人民共和国网络安全法》的发布更是标志着，网络安全已经上升到国家战略的高度，网络安全设备也日益繁多。主机安全，边界安全，大数据安全，云安全等概念不断推陈出新，网络安全产品也不断升级换代，网络安全也成为大众创业的方向之一。

5 结语

本文描述了2017的两个网络安全事件，分析了“WannaCry”病毒和暗云II木马，结合大数据技术对网络立体安全防范体系进行了阐述，同时也就网络安全对网络设备的影响进行了叙述。网络安全问题已经渗透到人们生活的各个方面中，从实体设备到虚拟空间，各个环节都能影响到安全问题，也将一直是信息时代的核心问题。