CCERT介绍与近期校园网安全趋势分析

中国教育和科研网紧急响应组（CCERT）

清华大学信息网络工程研究中心

郑先伟

电子邮件： zxw@cernet.edu.cn

电 话： 010－62784301

传 真： 010－62785933

地 址： 清华大学FIT大楼1区213

2

提纲

1. CERT的组织建设及功能2. 近期校园网安全趋势3. CCERT的一些研究工作介绍

3

CCERT组织结构建设

CERNET 专家委员会

CCERT 应急响应组

CCERT地区网络应急响应组

CCERT专家组

校园网应急响应组

研发工作组 秘书处省级网络应急响应组

4

CCERT

研究开发部

关系联络部

教育培训部

信息分析部

网络监测部

工程服务部

专家委员会

Network monitoring, engineering, analysis, R&D, Awareness/training, Liaison

CCERT 组织结构

5

CCERT的主要工作

• CERNET主干网、清华大学校园网安全监控

• 安全信息的收集、整理和分析．跟踪网络安全动态，发布安全公告

• 安全事件的处理和协调• 安全技术咨询• 安全技术的培训和技术交流• 网络安全技术相关的研究和开发

6

CERT基础设施

• 信息库、信息发布平台（CERT网站）http://www.ccert.edu.cn• 电话、电子邮件010-62784301 incidentreport@ccert.edu.cn• 事件处理系统• 流量监控系统• 入侵检测系统• 蜜罐系统…

7

校级CERT的建设

基本功能：

网络监测、安全事件处理、对外协调与联系

基本设施：

信息发布平台、专用的邮箱、专用的电话

其他：

专职（兼职）的人员配备、完善的事件处理流程

8

应急响应流程

0

1 0

2 0

3 0

4 0

5 0

6 0

7 0

8 0

9 0

1 s t Q t r 2 n d Qt r 3 r d Q t r 4 t h Qt r

投诉

事件处理

NOC

流量监测

检测系统

CERNET管理委员会

CNCERT/CC

其他CERT组织

终端用户

toolspatches

Attacksignature

Incident database

Whoisinfo advisories

普通事件

重大事件

学校CERT

学校NOC

9

CERT的主要功能

① 应急信息建设维护——准备② 事件的报告与检测——检测③ 事件的调查与分析——分析④ 管理层决策与协调——决策⑤ 网络的控制与隔离——控制⑥ 信息的通报与联系——通告⑦ 事后的统计与分析——统计

10

提纲

1. CCERT的组织建设及功能2. 近期校园网安全趋势3. CCERT的一些研究工作介绍

11

近期校园网安全趋势

表面现象——网络相对比较太平,很长时间都没有大规模的蠕虫爆发。

实际情况——病毒木马仍然大量存在，危害比以前更大。新的安全问题层出不穷。

12

近期校园网安全趋势

• 木马病毒依然是校园网安全的首要威胁

病毒编写者不再单纯炫耀技术，而更多以经济利益为目的。跟过去那种恶性病毒突然爆发相比，目前这种“悄悄潜入”的“木马病毒”给网造成了更大的实际损失。

13

近期校园网安全趋势

目的明确化，一切向钱看,黑客的地下经济：• 网络钓鱼• 垃圾邮件• 卖点击率• 攻击讹诈• 肉鸡租售• 信息贩卖• 木马制造• 虚拟物品的盗售

14

近期校园网安全趋势

传播方式与时俱进：

• 垃圾邮件• P2P软件• 实时聊天软件（QQ—MSN）• 免费软件下载• 恶意网站• 移动存储介质（U盘或者移动硬盘）

15

近期校园网安全趋势

技术多元化：

• RootKit技术，隐蔽性好• 变种迅速，反查杀能力强• 采用静默方式传播• 利用所有能用上的技术（arp木马）• 跨平台技术

16

近期网络安全趋势

木马病毒衍生出的新的安全威胁：

僵尸网络（Botnet），是指采用一种或多种传播

手段，将大量主机感染bot程序（僵尸程序），从

而在控制者和被感染主机之间所形成的一个可一

对多控制的网络。一般的僵尸网络都通过IRC服务

器来控制被感染的主机。

17

近期网络安全趋势

CNCERT的统计数据• 中国内地被控僵尸网络数量全球排名第一• 2005年规模超过5000台的僵尸网络143个

• 2006上半年规模超过5000台的僵尸网络188个

• 控制服务器所在地：美国68%、韩国7%、巴西4%、香港3%

• 1000-5000规模的僵尸网络数量庞大

僵尸网络在教育网内分布同样严重，已经逐渐成

为校园网安全运行的最大隐患

18

近期校园网安全趋势

• 流量的滥用——第二大威胁

新兴应用对网络带宽的冲击，主要就是P2P流量的滥用

19

近期校园网安全趋势

• 小结

1. 木马、病毒依然是校园网安全运行的首要威胁。

2. 新兴网络应用对我们的网络安全提出更高的要求

新的安全要求：

网络安全个体化(控制粒度细化)网络与信息安全结合化

20

提纲

1. CCERT的组织建设及功能2. 近期校园网安全趋势3. CCERT的一些研究工作介绍

21

网络安全P3实验室的建设

国内第一个网络安全P3实验室,在严格管理和控制下开展各种高风险的网络安全实验

• 模拟大规模网络蠕虫的传播与爆发过程• 模拟大规模的攻击(如DOS攻击等)

• 各种安全设备或模型的仿真测试等等

22

准入控制研究及应用

用户Agent

SiSi

SiSi

SiSi

SiSi

SWSW

SiSi

Policy Server

1. 用户Agent通过SW发起认证请求

2. 认证请求以及客户端系统信息通过Radius Server发送到 Policy Server

Policy Server

Radius ServerWLSECluster

WSUS Server

3. Policy Server决定打开或关闭switch port，或使用户进入受限VLAN

架构

23

准入控制研究及应用

• 特点：– 通用解决方案，同时支持802.1x，DHCP，网关等，有自己的客户端，开发多种控制模板。

– 不依赖厂商设备或系统。

用户Agent

SW

WLSECluster

Radius Server Access Control Policy Server

Policy Server

Anti Virus Policy Server

WSUS Server

KEYControl

Net

24

ARP木马防治

• ARP木马防治开发客户端疫苗程序，功能如下：

保护客户端的网关MAC地址不被篡改，保证网关一端的

客户机MAC不被伪造，监测和发现同网段内的感染ARP木马的主机，并及时将相关信息反馈给中央监测服务器。

开发中央监测服务器，功能如下：

通过客户端疫苗程序反馈的信息定位出感染主机所在的

交换机端口，记录相关信息并进行处理！

25

ARP木马防治

26

ARP木马防治

27

僵尸网络的监测与控制

28

僵尸网络的监测与控制

• 7-9月检测出教育网新增的botnet个数为103个

• Botnot控制服务器的地理位置分布

29

僵尸网络的监测与控制

• 大部分的被控主机都是通过动态域名与控制服务器联系.

• 通过控制DNS的解析来达到中断被控主机与控制服务器的连接,让被控主机连接到我们的服务器上来.

30

对P2P流量的控制研究

1. 对一些已有的免费的方案的测试

2. 针对大带宽的p2p流量控制系统的开发

31

总结

• 安全趋势不容乐观• 新环境下的网络安全工作需要我们所有院校共同的参与合作