高級逃避技術(shù)的研究

(華北電力大學(xué) 北京 102200)

一、課題背景及研究的目的和意義

近年來，隨著科技水平的發(fā)展和人們對互聯(lián)網(wǎng)的不斷熟悉，網(wǎng)絡(luò)與人們的聯(lián)系更加緊密。特別是伴隨早期互聯(lián)網(wǎng)人群逐漸走入工作崗位，更是把互聯(lián)網(wǎng)的影響力散播到了工作生活的方方面面。然而，互聯(lián)網(wǎng)在給我們帶來便利的同時，也引發(fā)了越來越多的問題和隱患[1]。特別是近幾年，大數(shù)據(jù)技術(shù)廣泛應(yīng)用于各行各業(yè)之中，各大互聯(lián)網(wǎng)企業(yè)爭相收集用戶信息，并試圖以此分析得到精確的用戶偏好，推送給用戶更加感興趣的產(chǎn)品，提高公司收入。這些生活中有意或無意透露出的信息使我們的一切都變得透明，不在有隱私存在。這樣的技術(shù)多用于企業(yè)根據(jù)你在搜索引擎搜索的關(guān)鍵字對你進(jìn)行個性化的產(chǎn)品推送，看起來非常方便，企業(yè)不僅能夠創(chuàng)造更大的利潤、用戶能更方便的獲得想要的商品。但是，當(dāng)我們在享受大數(shù)據(jù)技術(shù)帶來便利的同時，也要注意該技術(shù)帶來的安全隱患。在這其中，有關(guān)用戶的大量數(shù)據(jù)的安全性首當(dāng)其沖，一旦存儲這些數(shù)據(jù)的服務(wù)器遭到黑客攻擊而導(dǎo)致數(shù)據(jù)泄露，將會造成巨大的影響，尤其是詐騙人員在獲得這些用戶信息之后，受害者更加難以分辨其言語的真?zhèn)巍Ｒ虼耍瑱z查系統(tǒng)安全性，確保系統(tǒng)能夠抵御各種形式的惡意攻擊成為保護(hù)信息安全的重中之重[2]。

逃避技術(shù)是一種可以改變數(shù)據(jù)流原有特征的技術(shù)手段，它能夠通過偽裝或修改網(wǎng)絡(luò)攻擊幫助惡意攻擊者實(shí)現(xiàn)逃避網(wǎng)絡(luò)安全防護(hù)設(shè)備檢測的目的。這一技術(shù)最大的危害是其針對數(shù)據(jù)流量特征的偽裝，在它的協(xié)助下惡意攻擊代碼能夠完全騙過網(wǎng)絡(luò)安全防護(hù)設(shè)備的檢測并進(jìn)入到信息系統(tǒng)內(nèi)部[3]。在應(yīng)用了逃避技術(shù)之后，即使是非常陳舊的惡意代碼也能夠?qū)π畔⑾到y(tǒng)的安全性帶來嚴(yán)重的威脅。逃避技術(shù)的引入完全改變了以往攻擊使用的惡意代碼一旦被安全防護(hù)設(shè)備廠商發(fā)現(xiàn)就毫無威脅的局面，給安全防護(hù)領(lǐng)域引入了全新的挑戰(zhàn)。高級逃避攻擊技術(shù)(AET)是多種原子逃避技術(shù)(我們將單一的某種逃避攻擊技術(shù)稱為原子逃避技術(shù))的組合。從本質(zhì)上講，AET是動態(tài)的、不符合常規(guī)的、沒有數(shù)量限制的，因此，傳統(tǒng)檢測手段很難與之抗衡[4]。通過測試可以發(fā)現(xiàn)很多Gartner排名靠前的網(wǎng)絡(luò)入侵檢測系統(tǒng)(NIDS)設(shè)備以及防火墻設(shè)備同樣能夠被輕易穿透不留任何痕跡。據(jù)統(tǒng)計，近年來互聯(lián)網(wǎng)中產(chǎn)生的攻擊數(shù)據(jù)流中約有40%運(yùn)用了逃避技術(shù)作為偽裝[5]。2014年，由于黑客攻擊所造成的重大損失，世界各國的安全組織為防御高級逃避技術(shù)所帶來的威脅就平均投入近100萬美元。以澳大利亞為例，應(yīng)用了AET的黑客攻擊使得企業(yè)信息設(shè)備的防御能力平均降低15個百分點(diǎn)，造成的損失多達(dá)150萬美元。

高級逃避技術(shù)正是在這種情況下獲得了網(wǎng)絡(luò)黑客的追捧：一方面，現(xiàn)有的網(wǎng)絡(luò)安全設(shè)備在0day漏洞被爆出后很快就會將其列入特征庫之中，造成了攻擊者可用漏洞種類銳減；另一方面，高級逃避技術(shù)能夠?qū)?shù)據(jù)流進(jìn)行偽裝，能夠較好的掩蓋漏洞攻擊代碼原有的數(shù)據(jù)特征。有了高級逃避技術(shù)這一偽裝利器，一些因?yàn)樘卣鞅讳浫氲骄W(wǎng)絡(luò)安全設(shè)備而銷聲匿跡的經(jīng)典漏洞攻擊代碼又恢復(fù)了往日的威脅，給現(xiàn)有的網(wǎng)絡(luò)安全管理帶來了全新的挑戰(zhàn)。有鑒于此，研究高級逃避攻擊技術(shù)的網(wǎng)絡(luò)攻擊方式以及如何有效抵御其攻擊具有一定的實(shí)際應(yīng)用意義。

二、高級逃避技術(shù)國內(nèi)外研究現(xiàn)狀

2010年，當(dāng)Stonesoft的研究實(shí)驗(yàn)室對全球領(lǐng)先的各大安全廠商的安全產(chǎn)品進(jìn)行逃避技術(shù)的測試時，意外的發(fā)現(xiàn)了重大的安全隱患。令人難以置信的是，所有的測試設(shè)備都無法檢測到應(yīng)用了高級逃避技術(shù)的攻擊[6]。目前為止Stonesoft已經(jīng)發(fā)現(xiàn)了近150種不同的高級逃避技術(shù)方法，但AET能夠組合的數(shù)量約為2的49次方，還沒有哪一種IPS能夠做到完全識別所有應(yīng)用了AET的威脅。之所以攻擊與防御之間會存在如此巨大的差距，是由于這些安全應(yīng)用的工作方式?jīng)Q定的。通常意義上的防火墻采用了預(yù)先定義的安全策略規(guī)則，可根據(jù)源、目標(biāo)、協(xié)議和其他屬性允許和阻止數(shù)據(jù)包。與防火墻不同，IDS和IPS設(shè)備會對所有的數(shù)據(jù)流量進(jìn)行檢測，只要沒發(fā)現(xiàn)威脅，就會允許所有流量進(jìn)入網(wǎng)絡(luò)。一旦發(fā)現(xiàn)惡意軟件試圖進(jìn)入網(wǎng)絡(luò)，IDS和IPS設(shè)備就會向管理員發(fā)出警告信息或中斷數(shù)據(jù)連接。

據(jù)資料統(tǒng)計顯示，國際網(wǎng)絡(luò)安全組織MITRE在其網(wǎng)站上公布多達(dá)45000個帶有統(tǒng)一CVE標(biāo)識安全漏洞，然而目前市面上的網(wǎng)絡(luò)安全設(shè)備一般只會選擇收錄最為常見的3000-4000種安全漏洞的數(shù)據(jù)特征，甚至有些網(wǎng)絡(luò)安全防護(hù)設(shè)備廠商基于產(chǎn)品性能等因素限制的原因僅提供最為基本的1000種特征指紋的匹配檢測。由此可見，常見的網(wǎng)絡(luò)安全設(shè)備檢測存在巨大的盲區(qū)，在面對高級逃避技術(shù)的攻擊時更加的無力。

而在國內(nèi)，“高級逃避技術(shù)”已經(jīng)引起了國內(nèi)安全專家與廠商的重視。但是由于自身軟件架構(gòu)和硬件架構(gòu)的設(shè)計問題，還不能夠真正實(shí)現(xiàn)對AET的防護(hù)。通常國內(nèi)安全產(chǎn)品只能夠防御IP和TCP層部分逃避技術(shù)或者通過靜態(tài)特征庫的方式來防護(hù)AET。進(jìn)一步加強(qiáng)對AET最新威脅研究，成為國內(nèi)安全行業(yè)首選課題。

很多國內(nèi)的網(wǎng)絡(luò)安全防護(hù)設(shè)備的檢測技術(shù)存在漏洞：其只對部分?jǐn)?shù)據(jù)流進(jìn)行檢測，很多情況下無法判斷高級逃避技術(shù)存在的網(wǎng)絡(luò)層次，當(dāng)然也就無法移除應(yīng)用了高級逃避技術(shù)的惡意數(shù)據(jù)流。另外，國內(nèi)很多廠商對高級逃避技術(shù)不夠重視，產(chǎn)品中缺少專用的處理模塊導(dǎo)致只能利用靜態(tài)特征指紋來識別數(shù)據(jù)流當(dāng)中存在的高級逃避技術(shù)威脅。

三、總結(jié)

隨著計算機(jī)網(wǎng)絡(luò)同我們生活的關(guān)系日益密切，網(wǎng)絡(luò)安全也得到了越來越多的重視。當(dāng)今社會中，幾乎所有的團(tuán)體都會為了確保名下的虛擬數(shù)據(jù)的安全而購買網(wǎng)絡(luò)安全設(shè)備，并將其部署在網(wǎng)絡(luò)的邊界上，也正因?yàn)槿绱耍@些網(wǎng)絡(luò)安全設(shè)備的性能才格外重要。本文基于以上背景，對“高級逃避技術(shù)”這一新興的網(wǎng)絡(luò)攻擊輔助進(jìn)行了研究。對該技術(shù)的危害的進(jìn)行介紹與討論，對比分析了高級逃避技術(shù)國外的研究現(xiàn)狀，得出國內(nèi)現(xiàn)有產(chǎn)品不足的結(jié)論。