网络运维安全中网络病毒全流程防护解决方案

随着网络货币的兴起，让病毒攻击变现变得简单和隐蔽，近年来网络病毒攻击爆发主要基于勒索软件和挖矿病毒。2019年权威的云安全机构截获勒索软件样本共174万个，感染次数为224万次；挖矿病毒样本总体数量为213万个，感染次数为1,628万次。

网络病毒防护难点

网络病毒防护有三大难点，分别是时效慢、难溯源、防单点

时效慢

特征模式在时效上有着天然滞后性，在加密勒索病毒爆发后影响更为严重，一旦加密，查杀于事无补。

难溯源

安全特征库不可穷尽，各种客观因素导致病毒特征库与用户端不同步让已知病毒和威胁也会造成严重危害 。

防单点

病毒检测与防护机制只是单点机制，无法形成体系，同时面临部署难题 纯查杀并不能找到入侵的本源，脆弱点仍可能被再次利用。

网络病毒杀伤链条

网络病毒入侵的本质：虽病毒类型各异，但从病毒入侵的过程是存在共性的，这与洛克希德-马丁公司提出的“网络杀伤链”理论非常契合。即整个入侵过程，一般会经历侦查跟踪、武器构建、载荷投送、漏洞利用、安装植入、命令与控制、目标达成七个阶段。

“杀伤链”这个概念源自军事领域，它是一个描述攻击环节的六阶段模型，该理论也可以用来反制此类攻击（即反杀伤链）。每一个环节都是对攻击做出侦测和反应的机会为病毒攻击在每个阶段发现与防范提供依据。这就像传统的盗窃流程。小偷要先踩点再溜入目标建筑，一步步实行盗窃计划最终卷赃逃逸。只需要针对小偷盗窃的流程阶段做出相应的预防就可以避免损失以及捉住小偷。

图1：网络病毒杀伤链条

全流程网络病毒防护整体架构

整体架构中各个组件可以在安全大数据平台的构架下协同联动，实现各个阶段对病毒的定位发现和清除，也可以单独工作，独立发现和定位病毒。

图2：全流程网络病毒防护整体架构

图3：侦查跟踪阶段

图4：侦查跟踪阶段病毒防护

图5：载荷投递阶段

图6：漏洞利用及安装植入阶段

图7：命令与控制阶段

图8：网络病毒防护部署方案

方案总体价值

通过部署网络病毒全流程防护解决方案，可以帮助用户在网络病毒爆发前可以及时发现潜在网络病毒攻击风险、可以与云端同步特征更新避免未知病毒的攻击、可以协同大数据防御、流量探针、防火墙、沙箱等安全设备协同防御最后可以及时发现并修补系统漏洞避免被病毒利用传播等防护价值。