高級(jí)逃避技術(shù)的研究

(華北電力大學(xué) 北京 102200)

一、課題背景及研究的目的和意義

近年來(lái)，隨著科技水平的發(fā)展和人們對(duì)互聯(lián)網(wǎng)的不斷熟悉，網(wǎng)絡(luò)與人們的聯(lián)系更加緊密。特別是伴隨早期互聯(lián)網(wǎng)人群逐漸走入工作崗位，更是把互聯(lián)網(wǎng)的影響力散播到了工作生活的方方面面。然而，互聯(lián)網(wǎng)在給我們帶來(lái)便利的同時(shí)，也引發(fā)了越來(lái)越多的問(wèn)題和隱患[1]。特別是近幾年，大數(shù)據(jù)技術(shù)廣泛應(yīng)用于各行各業(yè)之中，各大互聯(lián)網(wǎng)企業(yè)爭(zhēng)相收集用戶(hù)信息，并試圖以此分析得到精確的用戶(hù)偏好，推送給用戶(hù)更加感興趣的產(chǎn)品，提高公司收入。這些生活中有意或無(wú)意透露出的信息使我們的一切都變得透明，不在有隱私存在。這樣的技術(shù)多用于企業(yè)根據(jù)你在搜索引擎搜索的關(guān)鍵字對(duì)你進(jìn)行個(gè)性化的產(chǎn)品推送，看起來(lái)非常方便，企業(yè)不僅能夠創(chuàng)造更大的利潤(rùn)、用戶(hù)能更方便的獲得想要的商品。但是，當(dāng)我們?cè)谙硎艽髷?shù)據(jù)技術(shù)帶來(lái)便利的同時(shí)，也要注意該技術(shù)帶來(lái)的安全隱患。在這其中，有關(guān)用戶(hù)的大量數(shù)據(jù)的安全性首當(dāng)其沖，一旦存儲(chǔ)這些數(shù)據(jù)的服務(wù)器遭到黑客攻擊而導(dǎo)致數(shù)據(jù)泄露，將會(huì)造成巨大的影響，尤其是詐騙人員在獲得這些用戶(hù)信息之后，受害者更加難以分辨其言語(yǔ)的真?zhèn)?。因此，檢查系統(tǒng)安全性，確保系統(tǒng)能夠抵御各種形式的惡意攻擊成為保護(hù)信息安全的重中之重[2]。

逃避技術(shù)是一種可以改變數(shù)據(jù)流原有特征的技術(shù)手段，它能夠通過(guò)偽裝或修改網(wǎng)絡(luò)攻擊幫助惡意攻擊者實(shí)現(xiàn)逃避網(wǎng)絡(luò)安全防護(hù)設(shè)備檢測(cè)的目的。這一技術(shù)最大的危害是其針對(duì)數(shù)據(jù)流量特征的偽裝，在它的協(xié)助下惡意攻擊代碼能夠完全騙過(guò)網(wǎng)絡(luò)安全防護(hù)設(shè)備的檢測(cè)并進(jìn)入到信息系統(tǒng)內(nèi)部[3]。在應(yīng)用了逃避技術(shù)之后，即使是非常陳舊的惡意代碼也能夠?qū)π畔⑾到y(tǒng)的安全性帶來(lái)嚴(yán)重的威脅。逃避技術(shù)的引入完全改變了以往攻擊使用的惡意代碼一旦被安全防護(hù)設(shè)備廠商發(fā)現(xiàn)就毫無(wú)威脅的局面，給安全防護(hù)領(lǐng)域引入了全新的挑戰(zhàn)。高級(jí)逃避攻擊技術(shù)(AET)是多種原子逃避技術(shù)(我們將單一的某種逃避攻擊技術(shù)稱(chēng)為原子逃避技術(shù))的組合。從本質(zhì)上講，AET是動(dòng)態(tài)的、不符合常規(guī)的、沒(méi)有數(shù)量限制的，因此，傳統(tǒng)檢測(cè)手段很難與之抗衡[4]。通過(guò)測(cè)試可以發(fā)現(xiàn)很多Gartner排名靠前的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)(NIDS)設(shè)備以及防火墻設(shè)備同樣能夠被輕易穿透不留任何痕跡。據(jù)統(tǒng)計(jì)，近年來(lái)互聯(lián)網(wǎng)中產(chǎn)生的攻擊數(shù)據(jù)流中約有40%運(yùn)用了逃避技術(shù)作為偽裝[5]。2014年，由于黑客攻擊所造成的重大損失，世界各國(guó)的安全組織為防御高級(jí)逃避技術(shù)所帶來(lái)的威脅就平均投入近100萬(wàn)美元。以澳大利亞為例，應(yīng)用了AET的黑客攻擊使得企業(yè)信息設(shè)備的防御能力平均降低15個(gè)百分點(diǎn)，造成的損失多達(dá)150萬(wàn)美元。

高級(jí)逃避技術(shù)正是在這種情況下獲得了網(wǎng)絡(luò)黑客的追捧：一方面，現(xiàn)有的網(wǎng)絡(luò)安全設(shè)備在0day漏洞被爆出后很快就會(huì)將其列入特征庫(kù)之中，造成了攻擊者可用漏洞種類(lèi)銳減；另一方面，高級(jí)逃避技術(shù)能夠?qū)?shù)據(jù)流進(jìn)行偽裝，能夠較好的掩蓋漏洞攻擊代碼原有的數(shù)據(jù)特征。有了高級(jí)逃避技術(shù)這一偽裝利器，一些因?yàn)樘卣鞅讳浫氲骄W(wǎng)絡(luò)安全設(shè)備而銷(xiāo)聲匿跡的經(jīng)典漏洞攻擊代碼又恢復(fù)了往日的威脅，給現(xiàn)有的網(wǎng)絡(luò)安全管理帶來(lái)了全新的挑戰(zhàn)。有鑒于此，研究高級(jí)逃避攻擊技術(shù)的網(wǎng)絡(luò)攻擊方式以及如何有效抵御其攻擊具有一定的實(shí)際應(yīng)用意義。

二、高級(jí)逃避技術(shù)國(guó)內(nèi)外研究現(xiàn)狀

2010年，當(dāng)Stonesoft的研究實(shí)驗(yàn)室對(duì)全球領(lǐng)先的各大安全廠商的安全產(chǎn)品進(jìn)行逃避技術(shù)的測(cè)試時(shí)，意外的發(fā)現(xiàn)了重大的安全隱患。令人難以置信的是，所有的測(cè)試設(shè)備都無(wú)法檢測(cè)到應(yīng)用了高級(jí)逃避技術(shù)的攻擊[6]。目前為止Stonesoft已經(jīng)發(fā)現(xiàn)了近150種不同的高級(jí)逃避技術(shù)方法，但AET能夠組合的數(shù)量約為2的49次方，還沒(méi)有哪一種IPS能夠做到完全識(shí)別所有應(yīng)用了AET的威脅。之所以攻擊與防御之間會(huì)存在如此巨大的差距，是由于這些安全應(yīng)用的工作方式?jīng)Q定的。通常意義上的防火墻采用了預(yù)先定義的安全策略規(guī)則，可根據(jù)源、目標(biāo)、協(xié)議和其他屬性允許和阻止數(shù)據(jù)包。與防火墻不同，IDS和IPS設(shè)備會(huì)對(duì)所有的數(shù)據(jù)流量進(jìn)行檢測(cè)，只要沒(méi)發(fā)現(xiàn)威脅，就會(huì)允許所有流量進(jìn)入網(wǎng)絡(luò)。一旦發(fā)現(xiàn)惡意軟件試圖進(jìn)入網(wǎng)絡(luò)，IDS和IPS設(shè)備就會(huì)向管理員發(fā)出警告信息或中斷數(shù)據(jù)連接。

據(jù)資料統(tǒng)計(jì)顯示，國(guó)際網(wǎng)絡(luò)安全組織MITRE在其網(wǎng)站上公布多達(dá)45000個(gè)帶有統(tǒng)一CVE標(biāo)識(shí)安全漏洞，然而目前市面上的網(wǎng)絡(luò)安全設(shè)備一般只會(huì)選擇收錄最為常見(jiàn)的3000-4000種安全漏洞的數(shù)據(jù)特征，甚至有些網(wǎng)絡(luò)安全防護(hù)設(shè)備廠商基于產(chǎn)品性能等因素限制的原因僅提供最為基本的1000種特征指紋的匹配檢測(cè)。由此可見(jiàn)，常見(jiàn)的網(wǎng)絡(luò)安全設(shè)備檢測(cè)存在巨大的盲區(qū)，在面對(duì)高級(jí)逃避技術(shù)的攻擊時(shí)更加的無(wú)力。

而在國(guó)內(nèi)，“高級(jí)逃避技術(shù)”已經(jīng)引起了國(guó)內(nèi)安全專(zhuān)家與廠商的重視。但是由于自身軟件架構(gòu)和硬件架構(gòu)的設(shè)計(jì)問(wèn)題，還不能夠真正實(shí)現(xiàn)對(duì)AET的防護(hù)。通常國(guó)內(nèi)安全產(chǎn)品只能夠防御IP和TCP層部分逃避技術(shù)或者通過(guò)靜態(tài)特征庫(kù)的方式來(lái)防護(hù)AET。進(jìn)一步加強(qiáng)對(duì)AET最新威脅研究，成為國(guó)內(nèi)安全行業(yè)首選課題。

很多國(guó)內(nèi)的網(wǎng)絡(luò)安全防護(hù)設(shè)備的檢測(cè)技術(shù)存在漏洞：其只對(duì)部分?jǐn)?shù)據(jù)流進(jìn)行檢測(cè)，很多情況下無(wú)法判斷高級(jí)逃避技術(shù)存在的網(wǎng)絡(luò)層次，當(dāng)然也就無(wú)法移除應(yīng)用了高級(jí)逃避技術(shù)的惡意數(shù)據(jù)流。另外，國(guó)內(nèi)很多廠商對(duì)高級(jí)逃避技術(shù)不夠重視，產(chǎn)品中缺少專(zhuān)用的處理模塊導(dǎo)致只能利用靜態(tài)特征指紋來(lái)識(shí)別數(shù)據(jù)流當(dāng)中存在的高級(jí)逃避技術(shù)威脅。

三、總結(jié)

隨著計(jì)算機(jī)網(wǎng)絡(luò)同我們生活的關(guān)系日益密切，網(wǎng)絡(luò)安全也得到了越來(lái)越多的重視。當(dāng)今社會(huì)中，幾乎所有的團(tuán)體都會(huì)為了確保名下的虛擬數(shù)據(jù)的安全而購(gòu)買(mǎi)網(wǎng)絡(luò)安全設(shè)備，并將其部署在網(wǎng)絡(luò)的邊界上，也正因?yàn)槿绱耍@些網(wǎng)絡(luò)安全設(shè)備的性能才格外重要。本文基于以上背景，對(duì)“高級(jí)逃避技術(shù)”這一新興的網(wǎng)絡(luò)攻擊輔助進(jìn)行了研究。對(duì)該技術(shù)的危害的進(jìn)行介紹與討論，對(duì)比分析了高級(jí)逃避技術(shù)國(guó)外的研究現(xiàn)狀，得出國(guó)內(nèi)現(xiàn)有產(chǎn)品不足的結(jié)論。