Microsoft AntiMalware家族，NIS网络检查系统的全新解析，独特的网络实时行为监控

驭龙

今天我们要说的不是Norton Internet Security 而是我们Microsoft AntiMalware的功能组件：Network Inspection System，中文名：网络检查系统，缩写与诺顿互联网安全一样是NIS。

关于网络检查系统，它经历了多个进化阶段：

第一阶段：MSE 2.0~MSE 4.0时代，它仅仅是一个预防漏洞入侵的防御功能，系统补丁如果全部安装，它几乎没有太大的用处。

第二阶段：MSE 4.1的重写网络检查系统，已经不是之前意义上防御系统漏洞的功能，而是防御一些特定病毒的网络攻击，但是它不包含整个特征库定义，仅包含特定的病毒入侵，具体防御的特征定义，该功能是网络协议层的入侵保护，因此与传统用特征库监控HTTP的网页保护不同，它仅针对特定威胁的入侵，不是全部的网页威胁。

第三阶段：也就是Microsoft AntiMalware的4.2以后版本，主要是为Windows 8.1系统中的Windows Defender而再度改进，功能再一次改变，这一次的改变，可以说是让网络检查系统重获新生，成为Microsoft AntiMalware独家功能之一，成为一个强大的保护功能。


补上官方简单介绍：

提供了一个新的保护功能，结合已触发的可疑文件，可能需要进一步分析遥测和示例提交该产品中包含其他可疑行为监视可疑的网络活动。

简单介绍一下最新网络检查系统，现在的网络检查系统实际上可以被分为Network Real-Time Inspection，中文名：网络实时检查，缩写为：NRI。以及之前第一代网络检查系统，两个部分，网络检查系统部分就不多说了，我们重点说的是网络实时检查。

网络实时检查与之前的Behavior Monitoring，中文名：行为监控，二者合并的功能是Network Real-Time Inspection Behavior Monitoring，中文名：网络实时行为监控，缩写：NRI BM，拥有检查进程和文件的网络行为、注册表、内核修改等等行为的监控，如果确定某些文件或程序存在网络实时检查特征库的恶意行为，将会等待云阻断，也就是网络实时检查将动用DSS，也就是动态签名服务链接到Microsoft云服务器，查询该可疑的网络行为是不是新的威胁。

备注：NRI BM并不等于BM

其中NRI BM的网络层可疑行为特征库，为24条威胁家族的网络行为定义，如果想了解这些定义的威胁家族类型，可以查看C:\ProgramData\Microsoft\Microsoft Antimalware\Network Inspection System\Support\NisLog.txt

[On ] Sig {0ba185cf-007f-468f-b01e-e83c6f60a829} Other:Win/BIFROSE.HTTP.HTTP!NIS-0000-0000 -
[On ] Sig {60a54817-6315-4ffa-aee4-a51eefb054a0} Other:Win/CLEAMAN.HTTP.HTTP!NIS-0000-0000 -
[On ] Sig {c0af4a50-8911-436c-830f-797b419b55b0} Other:Win/CYCBOT.HTTP.HTTP!NIS-0000-0000 -
[On ] Sig {530607d9-8e4d-44c2-91da-4951e9c11550} Other:Win/FAKEPAV.HTTP.HTTP!NIS-0000-0000 -
[On ] Sig {e43c8ce3-4ab0-4c32-a59d-7a6f57a0e379} Other:Win/FAREIT.HTTP.HTTP!NIS-0000-0000 -
[On ] Sig {f3c5a901-58f4-4357-b1f2-fa27b8080c0c} Other:Win/GROZLEX.HTTP.HTTP!NIS-0000-0000 -
[On ] Sig {fad62e2d-5c87-4294-b281-2f1a82ab1eea} Other:Win/HARNIG.HTTP.HTTP!NIS-0000-0000 -
[On ] Sig {ed4aa3ca-40fb-409a-9294-77699e69f349} Other:Win/HOTBAR.HTTP.HTTP!NIS-0000-0000 -
[On ] Sig {829c21c6-0714-4edb-a5b5-386beca031fa} Other:Win/LOLYDA.HTTP.HTTP!NIS-0000-0000 -
[On ] Sig {0d81f25a-0b4f-417f-b8f7-40a3d25fd943} Other:Win/MYFWUS.HTTP.HTTP!NIS-0000-0000 -
[On ] Sig {64766320-0ca6-4173-a4dc-ca8d7eb81d0d} Other:Win/PAMESEG.HTTP.HTTP!NIS-0000-0000 -
[On ] Sig {04cc148e-e83a-4569-a891-cc89318ccaf2} Other:Win/RAMNIT.HTTP.HTTP!NIS-0000-0000 -
[On ] Sig {91bb65e2-2c89-4d35-ae78-8c9f189cdc57} Other:Win/RENOS.HTTP.HTTP!NIS-0000-0000 -
[On ] Sig {db9aeca3-583f-466a-aafd-e2039bd3adfc} Other:Win/SIMDA.HTTP.HTTP!NIS-0000-0000 -
[On ] Sig {0751ede2-b4a7-41e0-8980-d253abbb665e} Other:Win/SIREFEF.HTTP.HTTP!NIS-0000-0000 -
[On ] Sig {16e6088b-ab72-434d-8cc2-d51fdfe0dfa3} Other:Win/SWIZZOR.HTTP.HTTP!NIS-0000-0000 -
[On ] Sig {672f7fe9-e909-4424-97dc-a4062f8b35bb} Other:Win/VOBFUS.HTTP.HTTP!NIS-0000-0000 -
[On ] Sig {56a9c37d-c665-4d95-a1e4-4fb00afee93a} Other:Win/VUNDO.HTTP.HTTP!NIS-0000-0000 -
[On ] Sig {f5a8ca50-4ba6-453c-9af0-c3cfac70bf1d} Other:Win/WALEDAC.HTTP.HTTP!NIS-0000-0000 -
[On ] Sig {ecfaaf2a-e527-4537-90de-32af3a723440} Other:Win/WINWEBSEC.HTTP.HTTP!NIS-0000-0000 -
[On ] Sig {7819b4af-3b7d-47c4-999a-3e0254739da1} Other:Win/XTRAT.HTTP.HTTP!NIS-0000-0000 -
[On ] Sig {17b5a0b2-7d7e-40a2-848b-c09a9a84c3b9} Other:Win/ZBOT.HTTP.HTTP!NIS-0000-0000 -
[On ] Sig {7d299124-5ed1-4be4-942f-07b7aa8a9d7c} Other:Win/ZEGOST.HTTP.HTTP!NIS-0000-0000 -
[On ] Sig {078d1c6d-456a-40c5-95ff-e710e0e67f22} Other:Win/ZWANGI.HTTP.HTTP!NIS-0000-0000 -

换一种介绍，大家可以更好的理解网络实时检查的效果，我们以FakepAV家族的威胁为例，简单说一下网络实时行为监控的效果。

比如说一个系统中存在一个Microsoft AntiMalware无法识别的新型未知FakepAV，当FakepAV发动出站行为（在网络层），该行为与Microsoft AntiMalware的网络实时行为监控特征库中FakepAV行为相同，Microsoft AntiMalware将会等待云拦截该行为，达到防御的效果。

但是，大家要注意的是网络行为实时监控大多数的时候，也就是在非网络检查系统特征库的可疑网络行为，并不可疑的网络行为拦截，而是发起动态签名服务与微软恶意软件保护中心的云服务器连接，查询最新动态签名服务的特征库。

现在大家是不是明白Windows 8.1系统中内置的Windows Defender与Windows 8系统的Windows Defender有何不同了吧？

值得注意的是网络检查系统的NisSrv服务名称，已经被Microsoft修改为Network Real-Time Inspection，或许以后网络检查系统真的会彻底改名为网络实时检查。


本想测试一下网络实时行为监控的威力，可在样本区转了十几天，真正的高危威胁，没有过Microsoft AntiMalware的，即使是有过MA的威胁，可这些威胁没有可疑的网络行为，因此不能测试网络实时行为监控的真正威力，有一点遗憾。

看过这篇帖子，大家还会觉得Microsoft 安全体系中防出站威胁不好么？其实我们想到的事情，Microsoft怎么可能会想不到，不是吗？

另外，Windows XP系统无法使用此功能，因为NRI BM依托于网络检查系统，而网络检查系统依托于Windows NT 6.X的WFP 也就是Windows Filtering Platform 中文名：Windows 筛选平台，因此Windows XP系统无法使用网络检查系统和网络实时行为监控。


注：本帖仅代表我个人看法，与卡饭和特殊组无关，如有转载，请注明卡饭会员驭龙原创内容！

yeow5243

微软的Network Inspection System和norton ips一样。

驭龙

yeow5243 发表于 2013-9-28 19:08
微软的Network Inspection System和norton ips一样。

第二阶段一样，现在第三阶段的NIS 是NRI BM阶段，与诺顿的IPS不一样了

yeow5243

驭龙 发表于 2013-9-28 19:10
第二阶段一样，现在第三阶段的NIS 是NRI BM阶段，与诺顿的IPS不一样了

第三阶段类似norton ips + avast 网络防护功能。

驭龙

yeow5243 发表于 2013-9-28 19:17
第三阶段类似norton ips + avast 网络防护功能。

这个很独特的,不能说类似谁,是很强的网络行为防御功能

fake5

这么说现在mse也有了？

驭龙

fake5 发表于 2013-9-28 19:28
这么说现在mse也有了？

当然有了,只有Windows 8系统的WD没有

HEMM

缩写应该是NB哈哈哈哈哈哈~~
不过还真的没体验过这个功能，我担心我的MSE这个功能是失效的= =
当遇到威胁被拦截时，我会说我的MSE老NB了，NB功能阻断了威胁，太NB了。

驭龙

HEMM 发表于 2013-9-28 19:42
缩写应该是NB哈哈哈哈哈哈~~
不过还真的没体验过这个功能，我担心我的MSE这个功能是失效的= =

没事,只要NisSrv正常运行,就没有问题的,放心吧

HEMM

驭龙 发表于 2013-9-28 19:45
没事,只要NisSrv正常运行,就没有问题的,放心吧

好看！我已经开始期待第三部大片～。这篇帖子总结是够NB～