近期，一项借助搜索引擎页面，直接传播木马的新型"挂马"技术，在全球范围内首次出现。受微软"MPEG-2视频"0day漏洞影响，微软和中国电信合作的"114搜索"首当其冲，黑客将大量木马直接插入在搜索结果页面，悄然大肆传播。危害同时波及内嵌"114搜索"框的互联星空、56.com等众多联盟网站。2009年7月对于互联网来说也许是黑色的，2009年上半年的互联网更是满目疮痍。

    以木马为代表的应用威胁愈演愈烈

    飞速发展的互联网加速了企业信息化建设进程，越来越多的企业开始将其业务系统移植到开放的互联网平台上来。伴随着营销理念和商业模式的转变，来自互联网的安全威胁也在逐渐凸显变化，常见的安全威胁来源，开始由传统的网络层和系统层，转向以恶意代码为代表的应用层。

    据业内安全机构研究表明，截至今年7月，国内挂马网页累计高达2.9亿个，共有11.2亿人次网民遭木马攻击，平均每天有622万余人次网民访问挂马网站，其中大型网站、流行软件被挂马的有35万个，比去年同期有大幅度增长。

    通过看似正常的互联网站点向用户传播木马等恶意程序，是一种极为隐蔽的攻击方法，很少有用户是因为了解自身操作系统、应用服务的脆弱性，而发现遭受攻击的。因此，在互联网上大量投放利用客户端漏洞的恶意代码，再"借助"用户对互联网站点的盲目信任，就能够很轻松地诱骗客户被动下载万恶的木马程序。当然，更多时候，首先植入用户主机的可能是一个下载器，它会自动连接远端的"木马养殖场"，下载更多恶意程序到本地执行，从而使得木马控制者能够获得某些敏感的数据，或通过渗透，最终获取用户主机的控制权限。

图1 "网页挂马"威胁扩散示意图

    木马检测的常见方法

    分析一次完整的"网页挂马"攻击过程，可以看到攻击者能够在整条攻击路径的多个环节介入，制造虚假的数据和恶意的流量，正是因为在多个防护层面缺少有效的安全监控机制，才使得攻击最后能够得逞。

    为了有效监测并抑制木马等恶意程序的传播和扩散，至少可以从以下三个层面考虑，加以监控，包括：针对目标Web站点的安全评估、网络侧恶意流量检测，以及针对客户端主机的脆弱性检查。

图2 常见的木马检测方法

    相比其它两种检测方式，网络侧恶意流量检测方案能够为企业提供实时的风险感知能力，具备更低的部署成本，和更大的防护区域，该方案可在现有成熟的NIDS技术和产品进一步发展形成。

    对网络中传输的各种流量进行分析，从中发现违反企业安全策略的行为，这是NIDS的核心功能。从技术上，入侵检测技术大体分为两类：一种基于特征标识（signature-based），另一种基于异常行为（anomaly-based）。在面向以木马为代表的新型应用层攻击时，可采用的检测技术则主要包括以下三种：基于协议分析的特征检测、基于行为分析的异常检测，以及基于互联网安全信誉服务的恶意流量检测。

    基于协议分析的特征检测技术

    特征检测是NIDS应用最为成熟的一类技术，能够准确识别各种已知的攻击行为，并出示详尽的分析报告。该项技术的基本思路是：首先定义"异常流量"的事件特征（signature），如：带有非法TCP标志联合物的数据包、数据负载中的DNS缓冲区溢出企图、含有特殊病毒信息的电子邮件等，再将收集到的数据和已有的攻击特征库进行比较，从而发现违反企业安全策略的行为。该过程可以很简单，通过字符串匹配寻找一个简单的指令；也可以很复杂，使用正则表达式来描述安全状态的变化。

(责任编辑：)