·	每日国外媒体IT头条摘要
·	世界IT名刊精彩报道
·	高端访谈见证展望IT业
·	非典型评论观点犀利精辟

赛迪网 > 资讯中心 > 软件世界 > 文章

主动防御思辩（2）

发布时间：2005.07.19 13:28 来源：赛迪网-软件世界作者：陈祖龙

传统反病毒技术的软肋。反病毒技术链条的最薄弱环节并不在于病毒分析和升级，而在于病毒捕获。

目前病毒的发展正在从根本上挑战这一体制。首先，由于编写病毒，特别是木马的经济目的性增强，从而使样本的定向使用趋势不断明显，样本的传播范围大大减小，从而使受到用户上报的概率大大降低。另一方面，随着大量的系统技术的公开，越来越多的驱动级和其它利用溢出等方式深度隐藏的木马出现，使用户发现已经被木马感染的概率也在降低。

反病毒的技术体制的另外一个薄弱环节则是，它是一种低成本、廉价、容易获得的安全手段。一般来说，类似防火墙和IDS等安全设备，其保护者和攻击者，并不处于对等地位，多数攻击者并不具备获取设备进行测试分析的能力。而反病毒软件却是病毒制作者们不需要用任何代价就可以获得的。这就将AV完全置于暴露的境地。

不断修改和反复查杀测试，是毒客使他们编写的样本逃避检测的最朴素也最有效的手段。这种修改和测试的风险也是不通的，攻击者与IDS的对抗、与HoneyPot的对抗，对多数攻击者来说，都是冒着可能被发现和捕获的风险。而本地的病毒测试则非常安全。

建设性安全观

行为识别提高了对尚未捕获的定向样本识别能力。但对于AV的另外一块短板，即毒客可以通过不断测试寻找逃避的方法，依然无能为力。

逃避行为检测的方式，同样可以是主动的。一种是类似Anti-AV的模块，直接将行为检测模块摘掉，而另一种模式则更为有趣，病毒在执行过程中发现有行为判别模块时，则不走入病毒的正常行为分支。

在VMWare开始流行不久，毒客们就注意到了AVER采用这种东西来观察病毒的行为。因此，他们编写了一段识别VMWare环境的例程，如果发现VMWare就安静的推出，从而使病毒分析工程师难以观察病毒的表现。

完美的技术从来不曾存在，我们也从未见过针对网络这个复杂巨系统完备而又可实施的解决方案。因此，评论一种安全技术是否有价值的方式，并不在于是否无懈可击，而在于其能够带来的安全效果与其所付出的代价。

有两类关于反病毒技术的评论观点。一类说，每天分析这么多病毒累不累，是否应该寻求一些一劳永逸的方法，他们多数并没有分析过任何一种病毒，他们美好的初衷完全来自于想象。而另一类则往往表达这样的观点，做那些东西根本没有用，大家及时升级，打好补丁就可以，反病毒软件根本没有必要存在。

第一类观点尽管使我们哑然失笑，但对于第二种观点则更令我们无可奈何。持第二种观点的人不乏熟练的用户，但无疑，他们假定了，所有普通用户都有他们一样的安全敏感性和安全常识。

既然我们都承认安全没有一劳永逸的方法，既然我们都明了任何安全手段都只是增加攻击者入侵的代价，而不能彻底解决安全问题。我们就应该建设性的看待主动防御的每一步探索——不完备永远好于不作为。

防火墙走向智能化

对于主动防御，不同的安全领域有不同的理解和技术原理。传统的防火墙通过设定好的规则进行网络数据过滤，丢弃不符合规则的数据包，以此防范网络攻击。而事实上，目前许多网络攻击已经可以完全绕开这些规则。

防火墙的技术发展大概经历了五个阶段。第一代防火墙技术几乎与路由器同时出现，采用了包过滤技术。1989年，贝尔实验室的Dave Presotto和Howard Trickey推出了第二代防火墙，即电路层防火墙，同时提出了第三代防火墙—应用层防火墙（代理防火墙）的初步结构。1992年，USC信息科学院的BobBraden开发出了基于动态包过滤（Dynamic packet filter）技术的第四代防火墙，后来演变为目前所说的状态监视（Stateful inspection）技术。1994年，以色列Check Point公司开发出了第一个采用这种技术的商业化的产品。1998年，NAI公司推出了一种自适应代理（Adaptive proxy）技术，并在其产品Gauntlet Firewall for NT中得以实现，给代理类型的防火墙赋予了全新的意义，可以称之为第五代防火墙。

前五代防火墙技术有一个共同的特点，就是采用逐一匹配方法，计算量太大。包过滤是对IP包进行匹配检查，状态检测包过滤除了对包进行匹配检查外还要对状态信息进行匹配检查，应用代理对应用协议和应用数据进行匹配检查。因此，它们都有一个共同缺陷——安全性越高，检查的越多，效率越低。用一个定律来描述，就是防火墙的安全性与效率成反比。正是在这种情况下，带有主动防御的智能型防火墙应运而生。目前带有主动防御功能的防火墙实质是集成了防火墙、防病毒、VPN、内容过滤、反垃圾邮件、流量整形、IDS等技术大成于一身的主动防御系统，对于DDoS、蠕虫、垃圾邮件、黑客入侵等都具有一定的防范作用，而且这种防范是基于行为判断的，而不是单一依据以往的防火墙规则。如安氏公司的inkTrust Border Protector，即是基于这种主动防御理念的新型防火墙，通过与IDS联动动态防御黑客和病毒，而且可以自动对抗拒绝服务攻击。