如何通过防火墙沙箱和分析流量

时间:2012-10-03 04:38:17

标签: c linux firewall libpcap

我读过Palo Alto Wildfire产品。它说:

  

WildFire,提供识别恶意行为的能力   在可执行文件中通过在虚拟环境中运行它们   观察他们的行为

我不知道如何以编程方式分析此恶意软件行为 [更新]我的困惑是防火墙如何通过将其置于虚拟环境并执行它来分析实时流量!如果有人正在发布pdf漏洞。防火墙如何以编程方式分析?

2 个答案:

答案 0 :(得分:0)

该公司可能不会告诉你他们是如何做到这一点的,但是一个天真的猜测是他们如何使用防火墙首先将文件发送到虚拟机,测试它们然后将其发送给最终用户。因此,防火墙本身很可能无法以编程方式分析任何内容。

<强>更新

network monitoring tools for linux

答案 1 :(得分:0)

要了解这类产品,您需要首先识别恶意软件和其他类似软件的行为。通常他们声称是别的东西,并且在执行时开始执行与类似应用程序的标准行为不匹配的任务。

现代防火墙产品具有跟踪下载的可执行文件所执行活动的代码。

例如,您的防火墙检测到一个应用程序会话,该应用程序复制系统上声称是媒体播放器的可执行文件。他们试图检测完整的L7,即识别正在使用哪个应用程序以及它复制了哪个文件。然后他们在测试机器上运行收到的文件。

防火墙还会监视虚拟机是否存在异常行为。例如收到的播放器试图自己复制大量文件,或从磁盘等读取其他信息或开始写入机器的文件系统,或者启动开口套接字将数据发送回某些地方。预计这一切都不会由该类型的标准程序完成。此级别的产品具有通用编程框架工作,其定义对接收的应用程序类型列表有效的操作类型。如果他们执行超出该列表的行为,则称其为可疑。

这些细节属于入侵检测(IDS / IPS)。

总结一下,这里的关键不仅仅是剖析实时交通。但是在完成一个会话后,监控下载程序执行的活动。

最后,一旦识别出的应用程序被标记为恶意应用程序,就会使用手动和自动机制来识别此类流量。这是签名,连接模式,有效负载长度和其他因素到位的地方。 Snort是定义此类规则的一个示例工具,还有许多其他工具。

一旦你建立了一个标准,比如这个媒体播放器,看起来恶意软件在90%的情况下实际上有一个模式y,他们会立即开始阻止特定会话的流量