| 摘要:IPS的引擎设计的好坏是决定IPS入侵防御效果的核心,误报和漏洞是检验IPS引擎的两个关键指标。 |
原因一:当前厂商的IPS引擎和签名主要还是基于攻击来设计;
原因二:漏洞的披露速度大幅提升,很多漏洞因此被称之为“零日漏洞”,“零时漏洞”,基于同一漏洞的攻击种类和攻击工具也各不相同。
因此通过发现攻击的特征来设计引擎和签名,往往让IPS的误报和漏报率明显较高,UTM中的IPS功能经常应为性能等其他的因素,检测略往往不被重视。
基于攻击的引擎VS基于漏洞的引擎
所谓漏洞是指软件中的缺陷,这些缺陷可被恶意人员利用,形成攻击。一般漏洞被发现以后,会有一些组织如CVE和Bugtraq对这些漏洞进行编号跟踪。而签名则用于描述检测威胁所需要的特征。当一种攻击被发现以后,签名研究人员会对这个攻击进行特征的提取,一般有两种方法:基于具体攻击的(exploit-based)和基于漏洞(vulnerability-based)的。
所谓基于具体攻击,就是指一个攻击出现后,研究人员专门针对这个攻击的特征来编写签名,这类签名能够防御的范围非常狭窄,往往只能防御一种特定的攻击。要躲开这样的签名非常容易,只要把攻击中的特定字符串修改掉就行了。举一个简单的例子来说:如果有一个签名寻找“FUBAR123”这个特定字符串,那么只要修改一些大小写或者数字,比如“fUBAR124”,原先的签名就失效了。如果签名是基于某一种特定的攻击方法,那么攻击者只要稍微修改一下这个模式,就能完全躲开检测了。基于具体攻击的签名开发周期非常短,对研究人员的技能要求也相对较低,这使得很多厂商能够在很短时间内响应突发的新型攻击。
华为赛门铁克UTM+产品采用的是基于漏洞的签名技术。在这种方式下,研究人员同样也需要提取特征来编写签名,但是和基于具体攻击不一样的是——研究人员需要充分理解和掌握对应的漏洞的各种技术信息,并分析对应的已知和未知的攻击方式,然后才能提取出具备普遍性的特征。通过这种方式开发的签名,能够防御针对该漏洞的未知攻击,真正做到零日攻击防御。采用这种方式开发的签名还有一个优点,即可以让签名库整体规模在不损失检测能力的情况下保持在一个非常小的水平,从而降低引擎工作压力。基于漏洞的签名开发需要厂商具备非常资深的漏洞分析能力,目前只有少数厂商才具备该能力。
如何保护那些没有打过补丁的漏洞呢?主要思路其实很简单:就像一把钥匙开一把锁一样,只有特定特征的蠕虫才能攻陷一个漏洞。通过对攻击特征的分析提取出漏洞的特征,把这个特征作为标准模式对网络流量进行扫描,一旦发现网络流量中的攻击符合这个特征的内容,就对这个攻击进行拦截。基于漏洞的攻击关注的是漏洞的特征而不是蠕虫本身的特征,所以当一个新的蠕虫出现的时候,只要它是攻击某个漏洞的,我们就能够立刻阻挡它而不需要关注蠕虫的特征,因此基于漏洞的特征能有效抵御已知和未知的攻击。
通常情况下基于攻击的引擎,往往衡量IPS的核心指标是签名的数量,那么在基于漏洞引擎的设计下,它还是否是一个决定性的指标呢?
评论表单加载中...
