【文章內(nèi)容簡介】 攻擊與防范技術(shù) 45 趨勢 6：對網(wǎng)絡(luò)基礎(chǔ)設(shè)施的破壞力越來越大 ?由于用戶越來越多地依賴計算機網(wǎng)絡(luò)提供各種服務(wù)，完成日常相關(guān)業(yè)務(wù)，黑客攻擊網(wǎng)絡(luò)基礎(chǔ)設(shè)施造成的破壞影響越來越大。 ?黑客對網(wǎng)絡(luò)基礎(chǔ)設(shè)施的攻擊，主要手段有分布式拒絕服務(wù)攻擊、蠕蟲病毒攻擊、對Inter域名系統(tǒng) DNS的攻擊和對路由器的攻擊。 2023/2/25 網(wǎng)絡(luò)攻擊與防范技術(shù) 46 防御技術(shù)的發(fā)展趨勢 ?病毒防御技術(shù)發(fā)展趨勢 ?反垃圾郵件發(fā)展趨勢 ?防火墻技術(shù)發(fā)展趨勢 ?反間諜技術(shù)的應(yīng)用嘗試與發(fā)展 ? IDS技術(shù)的發(fā)展趨勢 2023/2/25 網(wǎng)絡(luò)攻擊與防范技術(shù) 47 病毒防御技術(shù)發(fā)展趨勢 ?對于企業(yè)來說，面臨的最大問題是基于簽名的識別技術(shù)不能有效防御新病毒。 ?企業(yè)要想有效地制止攻擊，行為識別是首選的解決方案。 2023/2/25 網(wǎng)絡(luò)攻擊與防范技術(shù) 48 病毒防御技術(shù)發(fā)展趨勢 (2) ?綜合采用行為識別和特征識別技術(shù)，可非常高效的實現(xiàn)對計算機病毒、蠕蟲、木馬等惡意攻擊行為的主動防御，能較好地解決現(xiàn)有產(chǎn)品或系統(tǒng)以被動防御為主、識別未知攻擊行為能力弱的缺陷。 ?基于行為的反防毒保護并不依靠一對一的簽名校對來實現(xiàn)惡性代碼的識別，而是通過檢查病毒及蠕蟲的共有特征發(fā)現(xiàn)可能的惡性軟件。 2023/2/25 網(wǎng)絡(luò)攻擊與防范技術(shù) 49 病毒防御技術(shù)發(fā)展趨勢 (3) ?采用這一技術(shù)的優(yōu)勢在于：該技術(shù)可識別未知的病毒，以抵御“零日”攻擊。 ?可以說由簽名識別技術(shù)轉(zhuǎn)移到行為識別技術(shù)，是大勢所趨。但是，目前的事實是，行為識別技術(shù)暫時還沒有走向商業(yè)化。 2023/2/25 網(wǎng)絡(luò)攻擊與防范技術(shù) 50 反垃圾郵件發(fā)展趨勢 ?國內(nèi)外主要的反垃圾郵件系統(tǒng)，普遍采用的是關(guān)鍵字內(nèi)容過濾技術(shù)，采取 “ 截獲樣本，解析特征，生成規(guī)則，規(guī)則下發(fā)，內(nèi)容過濾 ” 這種類似傳統(tǒng)殺病毒系統(tǒng)的原理。 ?這種技術(shù)存在著許多難以克服的問題。 2023/2/25 網(wǎng)絡(luò)攻擊與防范技術(shù) 51 傳統(tǒng)反垃圾郵件難以克服的問題 ? 垃圾郵件內(nèi)容變化快，數(shù)量遠(yuǎn)遠(yuǎn)大于病毒，任何一家安全公司都很難保證樣本采集的數(shù)量和及時性，也就很難保證反垃圾郵件的使用效果和效果的持久性 。 ? 必須比對完所有的關(guān)鍵字規(guī)則，一封信才能被確信不是垃圾郵件，導(dǎo)致效率低下、資源消耗大、網(wǎng)關(guān)系統(tǒng)不穩(wěn)定，尤其是在遭受巨量郵件攻擊時，可能導(dǎo)致系統(tǒng)崩潰 。 ? 依賴關(guān)鍵字規(guī)則判別垃圾郵件，導(dǎo)致誤判率較高，垃圾郵件識別準(zhǔn)確性低，效果差 。 2023/2/25 網(wǎng)絡(luò)攻擊與防范技術(shù) 52 傳統(tǒng)反垃圾郵件難以克服的問題 (2) ?系統(tǒng)自維護能力差，管理員維護大量規(guī)則庫，工作量大； ?信件必須接收完整才能進(jìn)行內(nèi)容過濾，導(dǎo)致國際網(wǎng)絡(luò)流量費用高； ?通過拆信檢查內(nèi)容的方式進(jìn)行反垃圾郵件，侵犯了公民電子郵件通信自由權(quán)和隱私權(quán)，這種內(nèi)容過濾技術(shù)將受到廣泛的法律質(zhì)疑。 2023/2/25 網(wǎng)絡(luò)攻擊與防范技術(shù) 53 反垃圾郵件發(fā)展趨勢 (cont.) ? 傳統(tǒng)反垃圾郵件技術(shù)，只能提升信噪比，以免垃圾郵件淹沒正常郵件，但垃圾郵件與病毒郵件仍然占用了大量帶寬與存儲資源，垃圾郵件的發(fā)送仍處于非受控狀態(tài)。 ? 要想從根本上解決反垃圾郵件的技術(shù)難題，就要采用主動型垃圾郵件行為模式識別的技術(shù)，這樣才能做到主動的郵件攻擊行為防御、主動的垃圾郵件阻斷，從而最大程度地提高垃圾郵件識別率、攔截率，降低資源消耗，真正達(dá)到電信級的網(wǎng)關(guān)處理速度。 2023/2/25 網(wǎng)絡(luò)攻擊與防范技術(shù) 54 反垃圾郵件發(fā)展趨勢 (cont.) ?行為模式識別模型包含了郵件發(fā)送過程中的各類行為要素，例如：時間、頻度、發(fā)送IP、協(xié)議聲明特征、發(fā)送指紋等。 ?在統(tǒng)計分析中，可以發(fā)現(xiàn)在行為特征上，垃圾郵件與正常郵件具有極高的區(qū)分度，且不論內(nèi)容如何均相對為固有特征，特別是對大量的采用動態(tài) IP發(fā)送的郵件更是如此。 2023/2/25 網(wǎng)絡(luò)攻擊與防范技術(shù) 55 反垃圾郵件發(fā)展趨勢 (cont.) ? 采用垃圾郵件行為模式識別模型不僅大大提高了垃圾郵件辨別的準(zhǔn)確率，而且不需要對信件的全部內(nèi)容進(jìn)行掃描，所以又可以大大提高計算處理能力，為電信級的郵件過濾打下了堅實的基礎(chǔ)。 ? 此外，采用垃圾郵件行為模式識別模型識別垃圾郵件，也可以從另一方面給垃圾郵件攻擊者以壓力，迫使發(fā)送者必須按照一定的規(guī)范發(fā)送郵件。也就是說迫使郵件發(fā)送者只能從正常渠道，以正常方式發(fā)送郵件，從而使得郵件的發(fā)送處于受控狀態(tài)。 2023/2/25 網(wǎng)絡(luò)攻擊與防范技術(shù) 56 防火墻技術(shù)發(fā)展趨勢 ?目前的防火墻已經(jīng)不僅僅只是進(jìn)行狀態(tài)檢測，還需提供更多的安全功能，從各個方面對網(wǎng)絡(luò)安全威脅進(jìn)行防護，主動擴大戰(zhàn)線。 ? 新一代 NP技術(shù) ? 防火墻深度檢測 ? 應(yīng)用狀態(tài)檢測 ? 安全技術(shù)融合 ? VPN功能集成 2023/2/25 網(wǎng)絡(luò)攻擊與防范技術(shù) 57 新一代 NP技術(shù) ? NP是網(wǎng)絡(luò)處理器（ Net Processor）的簡稱，顧名思義， NP是專門設(shè)計用于網(wǎng)絡(luò)封包處理的一種處理器，作為被業(yè)內(nèi)普遍推崇的一種革命性技術(shù)，NP至今尚未能達(dá)到人們預(yù)期的應(yīng)用水平。 ? 作為 NP技術(shù)的主要目標(biāo)客戶群，通信廠商們的態(tài)度正由熱捧回歸冷靜，而在網(wǎng)絡(luò)安全設(shè)備特別是硬件防火墻市場上， NP的應(yīng)用卻正呈現(xiàn)出一片欣欣向榮的景象。 ? 國內(nèi)的大部分重量級防火墻廠商紛紛推出了自己的NP架構(gòu)防火墻產(chǎn)品。 2023/2/25 網(wǎng)絡(luò)攻擊與防范技術(shù) 58 新一代 NP技術(shù) (2) ? 用 CPU、 ASIC還是 NP，一直是大家不斷爭論的一個問題，其實這個問題非常簡單。在能達(dá)到同樣性能的情況下，優(yōu)選 CPU，其次是NP，然后是 ASIC。目前很多廠商使用CPU+特定業(yè)務(wù) ASIC來實現(xiàn)高速處理，這是比較常見的方式。在性能不能解決的情況下，選擇 NP是必然的做法。 ? 但不管是 IBM，還是 Intel的 NP，一個主要問題是開發(fā)成本太高，代碼的開發(fā)難度和進(jìn)度都不是普通公司能夠短期搞定的，而帶來的維護成本和對客戶的響應(yīng)速度都是很大的問題。 2023/2/25 網(wǎng)絡(luò)攻擊與防范技術(shù) 59 新一代 NP技術(shù) (3) ? 這兩年推出的新一代網(wǎng)絡(luò)業(yè)務(wù) NP，通過直接集成多個通用 CPU在一個處理器中，既可以保證高性能，又能借助軟件的靈活性處理高層業(yè)務(wù)數(shù)據(jù)。 ? 新一代 NP直接支持 C語言和標(biāo)準(zhǔn)協(xié)議棧，性能高達(dá) 10G，是期望中的業(yè)務(wù)網(wǎng)關(guān)處理芯片。使用新一代 NP技術(shù)的防火墻將會獲得性能和功能上兩全的保障。 2023/2/25 網(wǎng)絡(luò)攻擊與防范技術(shù) 60 防火墻深度檢測 ? 防火墻最初的功能就是進(jìn)行訪問控制、狀態(tài)檢測，以及地址轉(zhuǎn)換功能。通過對報文網(wǎng)絡(luò)層信息的檢測，來實現(xiàn)在網(wǎng)絡(luò)層上對報文的控制。 ? 隨著網(wǎng)絡(luò)應(yīng)用的發(fā)展，高層協(xié)議得到越來越多的應(yīng)用，互聯(lián)網(wǎng)也從多種協(xié)議并駕齊驅(qū)發(fā)展成少數(shù)應(yīng)用協(xié)議成為主流。而針對這些協(xié)議，用戶需要進(jìn)行控制。比如，需要控制用戶不能訪問非法網(wǎng)址，帶有惡意信息的報文不能進(jìn)入內(nèi)網(wǎng)。 ? 而這些功能，僅僅依靠傳統(tǒng)防火墻技術(shù)實現(xiàn)的對網(wǎng)絡(luò)層信息進(jìn)行檢查和判斷，是不能實現(xiàn)的，需要檢查報文中的更深層次的內(nèi)容，于是發(fā)展出了深度檢測技術(shù)。 2023/2/25 網(wǎng)絡(luò)攻擊與防范技術(shù) 61 防火墻深度檢測 (2) ?深度檢測可以檢測報文中的內(nèi)容信息，從而實現(xiàn) URL過濾、 FTP命令過濾、網(wǎng)頁中ActiveX控件過濾等功能，達(dá)到控制應(yīng)用內(nèi)容的目的。 ?集成深包檢測的防火墻將會越來越多。通過深包檢測對內(nèi)容進(jìn)行控制，而不僅僅是對網(wǎng)絡(luò)層信息進(jìn)行控制，使防火墻對智能攻擊有了主動防護能力。 2023/2/25 網(wǎng)絡(luò)攻擊與防范技術(shù) 62 應(yīng)用狀態(tài)檢測 ? 安全領(lǐng)域中長期依賴、發(fā)揮最大作用的無非是狀態(tài)防火墻，通過協(xié)議狀態(tài)檢測技術(shù)實現(xiàn)數(shù)據(jù)訪問單向流動，從而有效的保護內(nèi)部網(wǎng)絡(luò)不受攻擊。而對服務(wù)器，采取暴露端口的形式。 ? 隨著應(yīng)用的增多和對安全性要求的提高，對這種開放端口的服務(wù)器同樣需要保護，在網(wǎng)絡(luò)層狀態(tài)檢查的基礎(chǔ)上需要擴展到應(yīng)用層的狀態(tài)檢查，從而對暴露在網(wǎng)絡(luò)中的服務(wù)器進(jìn)行保護。 ? 這種趨勢會產(chǎn)生一系列的應(yīng)用層安全網(wǎng)關(guān)，比如Web安全網(wǎng)關(guān)、語音安全網(wǎng)關(guān)等專用協(xié)議網(wǎng)關(guān)。 2023/2/25 網(wǎng)絡(luò)攻擊與防范技術(shù) 63 安全技術(shù)融合 ? 傳統(tǒng)的網(wǎng)絡(luò)層安全技術(shù)，如 NAT、狀態(tài)防火墻、VPN將不再作為專有設(shè)備，網(wǎng)絡(luò)中路由器、交換機性能的提升和硬件構(gòu)架的換代將直接提供網(wǎng)絡(luò)層的安全功能，傳統(tǒng)意義上的防火墻功能可以集成在路由器中。 ? 而另一方面，隨著協(xié)議和接口的統(tǒng)一，防火墻也可以取代路由器或者交換機的位置。安全廠商或許會變化成網(wǎng)絡(luò)設(shè)備廠商，網(wǎng)絡(luò)設(shè)備廠商也能變?yōu)榘踩珡S商，而由于積累的不同，網(wǎng)絡(luò)設(shè)備廠商具有更大的優(yōu)勢。 2023/2/25 網(wǎng)絡(luò)攻擊與防范技術(shù) 64 安全技術(shù)融合 (2) ? 比如，現(xiàn)在的交換機成本和以前的 Hub一樣，但是拋棄了原來的交換芯片，使用新的硬件，不但提供交換，而且提供安全和業(yè)務(wù)特性，將來會直接把安全延伸到整個內(nèi)部網(wǎng)絡(luò)，徹底解決目前的內(nèi)網(wǎng)安全問題。那么，傳統(tǒng)的安全廠商如何發(fā)展？ ? 把自己融合進(jìn)網(wǎng)絡(luò)設(shè)備廠商。 ? 向安全的新領(lǐng)域 — 業(yè)務(wù)安全 (而不是網(wǎng)絡(luò)安全 )進(jìn)軍。 ? 組建安全聯(lián)盟，形成一個大的安全體系，自己成為其中一個基石。 2023/2/25 網(wǎng)絡(luò)攻擊與防范技術(shù) 65 VPN功能集成 ? 從廠商的角度來說，希望一個環(huán)境中既使用 VPN設(shè)備，又使用防火墻。但是，由于 VPN設(shè)備對數(shù)據(jù)的隧道封裝會導(dǎo)致防火墻設(shè)備上對 VPN數(shù)據(jù)檢測出現(xiàn)失準(zhǔn)的現(xiàn)象，而同時維護兩套配置策略也是沒有必要的。 ? 為了減少重復(fù)處理，降低維護工作，提高防火墻的防護范圍，直接在防火墻上集成 VPN功能是非常有效的方法。如 IPSec VPN、 SSL VPN、L2TP VPN直接通過防火墻來支持，應(yīng)用效果提高，而且降低了用戶的投入成本。 2023/2/25 網(wǎng)絡(luò)攻擊與防范技術(shù) 66 VPN功能集成 (2) ?防火墻技術(shù)在新的挑戰(zhàn)下會繼續(xù)向前發(fā)展，提供越來越多的智能和主動防御功能。 ?防火墻中各個功能的協(xié)調(diào)工作，以及和網(wǎng)絡(luò)中其他硬件、軟件組件的配合聯(lián)動，才能達(dá)到真正意義上的智能安全和主動防御。 2023/2/25 網(wǎng)絡(luò)攻擊與防范技術(shù) 67 反間諜技術(shù)的應(yīng)用嘗試與發(fā)展 ? 與其他網(wǎng)絡(luò)安全產(chǎn)品相比，反間諜軟件可謂后起之秀。應(yīng)對間諜軟件的首要任務(wù)就是要有一個清晰的標(biāo)準(zhǔn)來定義什么是間諜軟件，然后以此為準(zhǔn)繩進(jìn)行判斷和查殺。但難點恰巧是這個標(biāo)準(zhǔn)很難定義。 ? 通常的定義：任何在計算機用戶不知不覺的情況下，秘密搜集使用者的相關(guān)信息，并將其發(fā)給幕后操縱者的軟件都可以稱之為間諜軟件。 ? 但是，很多合法的廣告軟件實現(xiàn)的也是類似的功能。有人認(rèn)為，可以通過傳送信息的最終結(jié)果是否帶有惡意來進(jìn)行判定，但實際上，是否具有 “ 惡意 ” ，人類能夠通過智力和直覺來判斷，但要沒有