ZDNet至顶网软件频道消息: 当前,大部分的网络都是通过防病毒软件、防毒墙等对网络病毒、恶意代码进行发现或处理,通常处理情况如下:
系统补丁或病毒库通常都会落后于病毒产生的时间,且补丁或库文件在通过网络更新的时候也存在感染的风险,现在病毒的变种速度又非常快,而且会采用相应的新技术,如免杀技术、禁止杀软运行、内核驱动等。可传统的技术手段已经落后于当前病毒、恶意代码的技术,且传统手段对未知的蠕虫病毒毫无办法,经过实践发现,通过网络行为分析手段则可以有效的发现未知蠕虫病毒、恶意代码等异常行为。
网络分析技术通过旁路方式(科来网络回溯分析系统)捕获分析网络里传输的底层数据包,全面展现数据链路层到应用层的信息,并提供丰富的关键参数,是记录、分析、发现蠕虫攻击的最佳手段。
蠕虫病毒原理
根据蠕虫病毒的原理和特性,其通常具有“扫描、攻击、寄生、传播、发作”等几大功能,每一个功能模块具有不同的功能,如下图所示:
可以看出,蠕虫病毒在扫描、传播、发作等过程中,将产生大量的网络行为,根据实际分析,当终端感染蠕虫病毒后,其通讯行为通常具有以下特征:
同大量的主机进行会话,即IP会话很多,且每个会话的流量很少;
大多是发送数据包,且数据包较小。
产生大量的TCP、或UDP会话,会话特征类似(包括会话时间、收发数据包个数、流量等);
会话端口也有相应的特征,如采用连续端口、固定端口和随机端口进行通讯;
发现的TCP SYN包,大部份没有响应或拒绝。
应用流量激增,会话数增多,通讯内容类似,比较典型的是邮件蠕虫。
分析案例
1、未知邮件蠕虫分析
在一次流量巡检中,偶然发现单位的邮件流量异常,即晚上10点以后,网络里出现大量的STMP流量。提取SMTP数据,进行深度分析,发现大量的SMTP的会话特征基本相同,会话频率高,且每个会话的数据包在27-35之间。通过日志分析发现内网IP XX.77.42最快时每秒钟发送一份邮件,而邮件的大小和收件人都是QQ邮箱。查看该IP发送的内容可以发现明显的广告推广内容。内容是推广“天猫”商城。而且多达近万封的邮件内容几乎完全一样,定位该IP,找出发送邮件的进程,并进行深度处理,发现了相应的蠕虫程序,网络恢复正常。
分析小结:
蠕虫发展越来越智能,攻击和利用网络的时间设置为错开上班时间,这样不会对网络和PC使用者造成明显的影响,因此更加的隐蔽,该IP在晚上10点后发送大量邮件,看似是正常的网络行为,但通过行为分析后,可以确定是明显的蠕虫病毒。
2、CIFS蠕虫分析
CIFS协议主要用于Windows主机之间进行文件共享,通常采用445端口通讯,但该端口给我们带来方便的同时,也带来了很多风险,如硬盘被偷偷共享等,下面就是一起利用445端口传染蠕虫病毒的案例。
在流量巡检中,对网络中的CIFS应用数据进行了重点分析,发现大部分IP的TCP同步发收比严重失衡。(正常情况下,TCP同步发收比应该是1:1的状态)
定位到其中一个IP地址172.17.236.205,通过TCP会话视图发现此IP不断尝试和61.139.8.101等多个IP建立TCP会话,这是典型的端口扫描行为:攻击者对每台主机发送至少3个TCP同步报文,其中大部分数据包总量为3的是主机不存在或未作响应;数据包为6的是主机对扫描者回应了TCP重置,表示攻击者访问的端口没有开放;而有几台主机与攻击者交换了几十个数据包,说明攻击者对这几台主机进行了深入的漏洞扫描。
从这些扫描会话的数据流还原视图中,可以明显看出IPC$连接请求,和命名管道的访问请求,可以看出这是针对Windows 2003 SP1以前版本“\pipe\browser”命名管道漏洞的攻击尝试。
分析小结:
通常情况下,边界路由器、防火墙、IDS、防病毒软件等是对付蠕虫病毒的主要手段,而它们都是通过一些特征库进行检测,因此这些措施都只能对现有的策略或已知的蠕虫病毒进行响应。倘若蠕虫发生变种,病毒特征会发生改变,继续依靠特征库则无法准确检测。但是它的工作流程、网络行为是没有改变的,所有通过抓包分析,根据网络行为检测蠕虫病毒,是一种非常可行的解决办法。
好文章,需要你的鼓励
当前软件工程团队正在试验基于AI代理的编码工具和大语言模型,以提高开发速度和质量。然而,AI编码工具的效果很大程度上取决于使用方式。开发者需要提供结构化的问题描述、明确的执行要求和相关上下文,同时建立适当的防护机制。AI不仅能处理重复性任务,还能识别和评估替代方案,从被动助手演进为工作流程推进器。成功的关键在于将AI视为合作伙伴而非快捷工具,并将其整合到软件交付的全生命周期中。
NVIDIA研究团队开发出名为Lyra的AI系统,能够仅凭单张照片生成完整3D场景,用户可自由切换观察角度。该技术采用创新的"自蒸馏"学习方法,让视频生成模型指导3D重建模块工作。系统还支持动态4D场景生成,在多项测试中表现优异。这项技术将大大降低3D内容创作门槛,为游戏开发、电影制作、VR/AR应用等领域带来重大突破。
Salesforce发布企业级AI智能体平台Agentforce 360,将AI智能体融入几乎所有应用中。该平台采用混合推理引擎Atlas,结合大语言模型的概率思维和业务规则的精确性,支持语音交互和深度集成。以Slack为主要界面,提供Agentforce Builder开发环境,能将非结构化文档转换为可查询记录。Salesforce内部已部署该系统,每周处理180万次对话,主动服务活动增长40%。
谷歌DeepMind团队创新性地让Gemini 2.5模型在无需训练的情况下学会理解卫星多光谱图像。他们将复杂的12波段卫星数据转换为6张可理解的伪彩色图像,配以详细文字说明,使通用AI模型能够准确分析遥感数据。在多个基准测试中超越现有模型,为遥感领域AI应用开辟了全新道路。