高級(jí)逃逸技術(shù)(AET)的分析

高級(jí)逃逸技術(shù)（AET的分析一、當(dāng)今的網(wǎng)絡(luò)安全現(xiàn)狀當(dāng)前，信息科技的發(fā)展使得計(jì)算機(jī)的應(yīng)用范圍已經(jīng)遍及世界各個(gè)角落。眾多的企業(yè)都紛紛依靠IT技術(shù)構(gòu)建企業(yè)自身的信息系統(tǒng)和業(yè)務(wù)運(yùn)營(yíng)平臺(tái)。IT網(wǎng)絡(luò)的使用極大地提升了企業(yè)的核心競(jìng)爭(zhēng)力，使企業(yè)能在信息資訊時(shí)代脫穎而出。企業(yè)利用通信網(wǎng)絡(luò)把孤立的單機(jī)系統(tǒng)連接起來，相互通信和共享資源。但由于計(jì)算機(jī)信息的共享及互聯(lián)網(wǎng)的特有的開放性，使得企業(yè)的信息安全問題日益嚴(yán)重。在企業(yè)對(duì)于信息化系統(tǒng)嚴(yán)重依賴的情況下，如何有效地增強(qiáng)企業(yè)安全防范能力以及有效的控制安全風(fēng)險(xiǎn)是企業(yè)迫切需要解決的問題。同時(shí)中小企業(yè)在獨(dú)特的領(lǐng)域開展競(jìng)爭(zhēng)，面對(duì)競(jìng)爭(zhēng)壓力，他們必須有效地管理成本和資源，同時(shí)維護(hù)業(yè)務(wù)完整性和網(wǎng)絡(luò)安全性。企業(yè)網(wǎng)絡(luò)中可能存在的問題：外部安全隨著互聯(lián)網(wǎng)的發(fā)展，網(wǎng)絡(luò)安全事件層出不窮。近年來，計(jì)算機(jī)病毒傳播、蠕蟲攻擊、垃圾郵件泛濫、敏感信息泄漏等已成為影響最為廣泛的安全威脅。對(duì)于企業(yè)級(jí)用戶，每當(dāng)遭遇這些威脅時(shí)，往往會(huì)造成數(shù)據(jù)破壞、系統(tǒng)異常、網(wǎng)絡(luò)癱瘓、信息失竊，工作效率下降，直接或間接的經(jīng)濟(jì)損失都很大。內(nèi)部安全據(jù)最新調(diào)查顯示，在受調(diào)查的企業(yè)中，60%以上的員工利用網(wǎng)絡(luò)處理私人事務(wù)。對(duì)網(wǎng)絡(luò)的不正當(dāng)使用，降低了生產(chǎn)率，阻礙了電腦網(wǎng)絡(luò)，消耗了企業(yè)網(wǎng)絡(luò)資源，并引入了病毒和間諜程序，或者使得不法員工可以通過網(wǎng)絡(luò)泄漏企業(yè)機(jī)密，導(dǎo)致企業(yè)的損失。企業(yè)業(yè)務(wù)服務(wù)器不僅需要來自互聯(lián)網(wǎng)的安全防護(hù)，對(duì)于內(nèi)網(wǎng)頻發(fā)的內(nèi)部非正常訪問及病毒威脅，同樣需要進(jìn)行網(wǎng)絡(luò)及應(yīng)用層的安全防護(hù)。內(nèi)部網(wǎng)絡(luò)之間、內(nèi)外網(wǎng)絡(luò)之間的連接安全隨著企業(yè)的發(fā)展壯大及移動(dòng)辦公的普及，逐漸形成了企業(yè)總部、各地分支機(jī)構(gòu)、移動(dòng)辦公人員這樣的新型互動(dòng)運(yùn)營(yíng)模式。怎么處理總部與分支機(jī)構(gòu)、移動(dòng)辦公人員的信息共享安全，既要保證信息的及時(shí)共享，又要防止機(jī)密的泄漏已經(jīng)成為企業(yè)成長(zhǎng)過程中不得不考慮的問題。各地機(jī)構(gòu)與總部之間的網(wǎng)絡(luò)連接安全性直接影響企業(yè)的高效運(yùn)作。上網(wǎng)行為和帶寬的管理需求計(jì)算機(jī)網(wǎng)絡(luò)已經(jīng)成了支撐企業(yè)業(yè)務(wù)的重要環(huán)節(jié)，同時(shí)也成為了企業(yè)員工日常不可缺少的工作及休閑的一部分。員工們習(xí)慣了早上打開電腦訪問新聞網(wǎng)站，到淘寶網(wǎng)上去購(gòu)買商品，到開心網(wǎng)去停車、偷菜，通過炒股軟件觀覽大盤走勢(shì)、在線交易，甚至下載和在線觀看電影視頻、玩網(wǎng)絡(luò)游戲??…企業(yè)連接網(wǎng)絡(luò)的初衷是加快業(yè)務(wù)效率、提高生產(chǎn)力，而原本用來收發(fā)郵件、查詢信息、視頻會(huì)議等用途的網(wǎng)絡(luò)變?yōu)閵蕵饭ぞ邥r(shí)，企業(yè)管理者定然是無法接受的，而如何管理網(wǎng)絡(luò)，讓網(wǎng)絡(luò)流量健康、提高工作效率、限制或禁止上班時(shí)間的非工作行為，則是企業(yè)網(wǎng)絡(luò)管理者最為頭疼的事了。當(dāng)然，最重要的還是如何使得企業(yè)的核心資產(chǎn)以及核心應(yīng)用不受到外界的攻擊破壞而帶來的經(jīng)濟(jì)損失以及名譽(yù)的損失。如今，復(fù)雜的網(wǎng)絡(luò)環(huán)境給信息安全系統(tǒng)管理構(gòu)成了嚴(yán)峻的挑戰(zhàn)。入侵檢測(cè)(IDS)和防御系統(tǒng)(IPS)可以幫助企業(yè)，尤其是那些本身存有漏洞的系統(tǒng)，實(shí)現(xiàn)對(duì)外部攻擊的防御，因?yàn)镻S的更新是隨著惡意風(fēng)險(xiǎn)的出現(xiàn)而進(jìn)行的。既然出現(xiàn)了IPS技術(shù)，同樣，就會(huì)有人試圖逃逸這類系統(tǒng)的檢測(cè)。在這種情況下如何更好地有效地防御這種逃逸類型帶來的攻擊給我們的企業(yè)以及T管理人員提出了更高的要求和更高的技術(shù)手段。二、逃逸技術(shù)產(chǎn)生的歷史背景由于TCP/IP是互聯(lián)網(wǎng)和大多數(shù)計(jì)算機(jī)網(wǎng)絡(luò)使用的協(xié)議集，是根據(jù)981年發(fā)布的RFC791標(biāo)準(zhǔn)的要求編寫的。其中，RFC提到，"一般而言，設(shè)備必須在發(fā)送行為上保守一點(diǎn)，在接收行為上寬松一點(diǎn)。也就是說，設(shè)備在發(fā)送符合語法的數(shù)據(jù)報(bào)時(shí)必須謹(jǐn)慎一些，同時(shí)接收一切能夠翻譯的數(shù)據(jù)報(bào)(例如，不反對(duì)技術(shù)性錯(cuò)誤，只要意思表達(dá)清楚、完整)”(1981年出版的Postel，23頁)。這就意味著，編寫信息的方式多種多樣，而且，接收主機(jī)還能一字不差地翻譯這些信息。這種寬松的方式原本是為了提高系統(tǒng)間互操作性的可靠性，但它同時(shí)也為大量攻擊和方式提供了隱蔽的渠道來逃逸檢測(cè)。由于不同操作系統(tǒng)和應(yīng)用程序接收數(shù)據(jù)包時(shí)的表現(xiàn)形式各有千秋，因此，目標(biāo)主機(jī)的應(yīng)用程序所看見的內(nèi)容可能與網(wǎng)絡(luò)流量中的內(nèi)容完全不一樣。同樣，檢測(cè)系統(tǒng)與主機(jī)之間的網(wǎng)絡(luò)本身可能也會(huì)改變流量。在許多情況下，如果能夠謹(jǐn)慎利用這些不同之處，要以看似正常和安全的方式創(chuàng)建數(shù)據(jù)包是完全有可能的，但當(dāng)終端主機(jī)翻譯時(shí)，則會(huì)形成一個(gè)可攻擊終端系統(tǒng)的漏洞利用程序。這類技術(shù)就是所謂的逃逸技術(shù)。逃逸技術(shù)研究始于1990年末。在1998年發(fā)表的論文中，Newsham和PtaceS紹了大量可有效躲避檢測(cè)系統(tǒng)的技術(shù)。自那時(shí)起，該領(lǐng)域的新研究一直很少，感興趣的也僅限于安全解決方案提供商或黑客社區(qū)的競(jìng)爭(zhēng)對(duì)手oNewsham和Ptacek介紹的基礎(chǔ)逃逸技術(shù)之一集中于IP碎片帶來的挑戰(zhàn)。IP碎片在RFC791標(biāo)準(zhǔn)中也有所說明，用于確保系統(tǒng)之間的互操作性以及處理系統(tǒng)間的不同網(wǎng)絡(luò)拓?fù)?981年出版的Postel）o采用IP碎片逃逸技術(shù)，攻擊者會(huì)充分利用無序拼湊碎片，或通過大量碎片來淹沒PS。他們警告說：“無法妥善處理無序碎片的DS是很容易受到攻擊的；攻擊者會(huì)刻意混亂拼湊碎片流以躲避IDS的檢測(cè)”（Newsham和Ptacek于1998年發(fā)表的論文）。此外，由于必須在片段流重組到完整的P數(shù)據(jù)報(bào)前存儲(chǔ)接收到的碎片'，這也會(huì)給IDS系統(tǒng)帶來一定程度上的挑戰(zhàn)（Newsham和Ptacek于1998年發(fā)表的論文）。他們最后得出結(jié)論，IDS和IPS架構(gòu)必須能有效處理目標(biāo)系統(tǒng)可能采用的所有碎片重組方式，也就是說PS必須能應(yīng)對(duì)所有的可能性。如果IPS不能在應(yīng)用簽名前對(duì)碎片進(jìn)行足夠的緩沖，或確定可能出現(xiàn)的重新排序，那么，它不再會(huì)有恰當(dāng)?shù)纳舷挛沫h(huán)境，從而可在DS上重寫數(shù)據(jù)流”（Newsham和Ptacek于1998年發(fā)表的論文）。我們將IPS和目標(biāo)系統(tǒng)之間的上下文環(huán)境變化稱之為狀態(tài)同步破壞”。1998年發(fā)表的論文中提到的其他逃逸技術(shù)包括各種涉及P選項(xiàng)、TCP選項(xiàng)和TCP序列的技術(shù)。論文中詳細(xì)介紹了這些技術(shù)，此處提及是為了提供有關(guān)逃逸技術(shù)時(shí)代的更多背景信息。1998年發(fā)表的論文中提到的許多逃逸技術(shù)仍然可有效避開現(xiàn)有的PS系統(tǒng)。這一'驚人的事實(shí)應(yīng)該會(huì)讓您對(duì)安全解決方案提供商對(duì)逃逸技術(shù)的興趣和關(guān)注程度有所了解。許多從事安全設(shè)備認(rèn)證測(cè)試的實(shí)驗(yàn)室，如CSA實(shí)驗(yàn)室，在IPS測(cè)試套件中納入了大量逃逸技術(shù)。然而，由于新型漏洞和漏洞利用程序增長(zhǎng)速度勢(shì)不可擋，攻擊者的收獲也是極為豐盛的。這就出現(xiàn)了這樣一種情況：他們更愿意繼續(xù)使用最新的漏洞利用程序，而不愿意利用逃逸技術(shù)配合攻擊，來避開網(wǎng)絡(luò)安全保護(hù)設(shè)備。

比較主流的逃逸技術(shù)攻擊的類型有以下幾類:分片逃逸攻擊-HTTP"-」SYNSEQ=10,000ACK=10T001ACKSEQ=10.0Q1Segment:ZSEQ=10,009-HTTP"-」SYNSEQ=10,000ACK=10T001ACKSEQ=10.0Q1Segment:ZSEQ=10,009■printerSEQ攻擊者把完整的數(shù)據(jù)流GET/bob.printer_HTTP/1.分成了3個(gè)段分別傳輸給接收目標(biāo)，然后在第三段上的數(shù)據(jù)故意沒有傳輸完整，只有:HTTP/1.這個(gè)時(shí)候如何安全檢測(cè)設(shè)備不能有效地重組這個(gè)完整的數(shù)據(jù)流的話并且檢測(cè)出第三個(gè)段的數(shù)據(jù)部完整的，這個(gè)時(shí)候目標(biāo)接收方就存在被攻擊的風(fēng)險(xiǎn)，因?yàn)闆]有傳輸完整的數(shù)據(jù)有可能攜帶了惡意攻擊代碼讓你去執(zhí)行這個(gè)接收到的數(shù)據(jù)。重疊逃逸攻擊SYNACK10,001Segmenit1SEGt=10,007SEQ=10t013SYNACK10,001Segmenit1SEGt=10,007SEQ=10t013nterHT攻擊者利用分段的數(shù)據(jù)流在第二個(gè)分段上故意多加了一個(gè)”。”的字符。如果安全檢測(cè)設(shè)備不能識(shí)別到這個(gè)多加的字符'。”，并且把數(shù)據(jù)重組完整后傳給目標(biāo)接收者的話，那么目標(biāo)接收很可能就存在被攻擊的風(fēng)險(xiǎn)，只有目標(biāo)接收?qǐng)?zhí)行這個(gè)接收到的數(shù)據(jù)就有可能執(zhí)行了惡意攻擊代碼。

加入多余或者無用字節(jié)逃逸攻擊SEQ=104001SEQ=10,000SYNACK=10,001SYN+ACKPSH+ACK5EQ=9997?工￥￡占加入多余或者無用字節(jié)逃逸攻擊SEQ=104001SEQ=10,000SYNACK=10,001SYN+ACKPSH+ACK5EQ=9997?工￥￡占GETZbob.prkitErHTTP?*1」PacketLegend:DataPresequenceChaffAttackerVictimAbsoluteSequenceHumber "59S7 10PMG 10,0961 1 丄GET.bab.prlnt?rHTTP/1.1L■4 0 252Header攻擊者在完整的數(shù)據(jù)流前面加入任何字符或者無效字符，這個(gè)時(shí)候如何安全設(shè)備不能檢測(cè)然后去掉這個(gè)多于的比如4個(gè)字節(jié)的多于字符的話，那么接收到的數(shù)據(jù)有可能就是多余的4個(gè)字節(jié)存在惡意攻擊代碼。三、高級(jí)逃逸技術(shù)產(chǎn)生的背景在發(fā)現(xiàn)高級(jí)逃逸技術(shù)產(chǎn)生之前，我們發(fā)現(xiàn)近幾年在全球發(fā)生的一些重大安全事件無法來解釋清楚，也都懷疑跟逃逸技術(shù)攻擊相關(guān)。比如說2010年，納斯達(dá)克屢遭黑客攻擊2010年，紐約納斯達(dá)克證券交易所電腦系統(tǒng)數(shù)次遭黑客攻擊。這一事件引發(fā)了交易機(jī)構(gòu)的擔(dān)心：如何保持電腦交易的穩(wěn)定性和可靠性，如何確保投資者對(duì)交易系統(tǒng)充滿信心。證券交易機(jī)構(gòu)知道，它們已經(jīng)成為黑客的頻繁攻擊目標(biāo)。2011年3月，RSA遭黑客攻擊，信息泄露黑客成功入侵安全公司RSA的網(wǎng)絡(luò)，并竊取了有關(guān)RSA的SecurlD雙因數(shù)驗(yàn)證產(chǎn)品的相關(guān)信息。2011年，索尼公司被黑客竊取用戶信息這是最新的黑客攻擊和安全漏洞事件。網(wǎng)絡(luò)入侵始于4月19日，公司當(dāng)天開始調(diào)查并發(fā)現(xiàn)PlayStationNetwork存在極大的安全漏洞，這一網(wǎng)絡(luò)攻擊事件造成1億多名用戶的個(gè)人信息泄露。2011年，美國(guó)數(shù)字證書機(jī)構(gòu)Comodo安全漏洞美國(guó)數(shù)字證書機(jī)構(gòu)Comodo承認(rèn)，公司旗下的兩家注冊(cè)機(jī)構(gòu)遭到黑客入侵。此次事件似乎不是3月初披露的所謂的伊朗黑客所為，月初的攻擊行動(dòng)導(dǎo)致至少5個(gè)用戶受損。2011年4月，梭子魚公司（Barracuda）經(jīng)過幾小時(shí)的自動(dòng)探測(cè)，黑客發(fā)現(xiàn)并利用Barracuda公司網(wǎng)站的一個(gè)SQL入侵漏洞，對(duì)不同的數(shù)據(jù)庫(kù)發(fā)起了攻擊，竊取了該公司的合作伙伴、客戶的聯(lián)系人信息以及公司員工的個(gè)人信息。2011年5月，洛克希德?馬丁公司（LockheedmartinCorp）不知名黑客入侵了全球最大的國(guó)防承包商洛克希德馬丁公司的安全網(wǎng)絡(luò)。2011年，L-3通信公司遭黑客攻擊國(guó)防承包商L-3通信公司遭到黑客攻擊，攻擊的目的是為了竊取公司的機(jī)密信息。L-3并未透露攻擊是否成功等相關(guān)信息。2011年5月，花旗銀行遭黑客攻擊花旗銀行北美的20多萬名持卡人個(gè)人信息（包括姓名、電子郵箱等聯(lián)系信息）和賬戶信息全部泄露。2011年6月，國(guó)際貨幣基金組織（IMF）遭黑客攻擊國(guó)際貨幣基金組織是一家監(jiān)管全球金融系統(tǒng)的國(guó)際政府間組織，現(xiàn)有187個(gè)成員國(guó)。該組織已經(jīng)成為網(wǎng)絡(luò)攻擊的最新目標(biāo)，一些敏感信息可能已被黑客竊取。2011年10月，日本富士重工網(wǎng)絡(luò)遭受黑客攻擊富士重工是日本的軍工企業(yè)，它正在考慮重新評(píng)估自己企業(yè)的網(wǎng)絡(luò)安全體系Stonesoft公司從1997年開始研究逃逸技術(shù)，一直到2010年8月份我們向全球宣布發(fā)現(xiàn)了一種新型的高級(jí)逃避技術(shù)SET），這種技術(shù)會(huì)給全球范圍內(nèi)的現(xiàn)有網(wǎng)絡(luò)安全系統(tǒng)構(gòu)成嚴(yán)重的威脅。AET威脅的發(fā)現(xiàn)擴(kuò)展了現(xiàn)有的逃避技術(shù)知識(shí)。出于協(xié)調(diào)目的，Stonesoft已將此次重大發(fā)現(xiàn)詳細(xì)報(bào)告給CERT芬蘭，并且，ICSA實(shí)驗(yàn)室已對(duì)其進(jìn)行了證實(shí)。Stonesoft在位于芬蘭赫爾辛基的研究實(shí)驗(yàn)室內(nèi)發(fā)現(xiàn)了AET攻擊，并將這一發(fā)現(xiàn)上報(bào)給了計(jì)算機(jī)網(wǎng)絡(luò)安全事件應(yīng)急小組CERT芬蘭以及ICSA實(shí)驗(yàn)室（這是VerizonBusiness公司的一個(gè)獨(dú)立部門，主要為安全產(chǎn)品和聯(lián)網(wǎng)設(shè)備提供第三方測(cè)試和認(rèn)證），并發(fā)送了部分AET樣本。為協(xié)調(diào)全球網(wǎng)絡(luò)安全技術(shù)提供商對(duì)已知漏洞進(jìn)行修復(fù),CERT芬蘭于10月4日發(fā)布了一份有關(guān)高級(jí)逃避技術(shù)的漏洞聲明，并計(jì)劃于10月18日進(jìn)行更新。“Stonesoft發(fā)現(xiàn)的攻擊涉及了一系列內(nèi)容檢測(cè)技術(shù)。CERT芬蘭、Stonesoft和其他網(wǎng)絡(luò)安全技術(shù)提供商的持續(xù)合作對(duì)于修復(fù)這一新發(fā)現(xiàn)的攻擊至關(guān)重要。CERT芬蘭將致力于推動(dòng)合作進(jìn)程，"CERT芬蘭漏洞協(xié)調(diào)部經(jīng)理JussiEronen說。Stonesoft首席運(yùn)營(yíng)官JuhaKivikoski說：“我們有理由相信，我們現(xiàn)在所看到的只是冰山的一角。高級(jí)逃避技術(shù)的動(dòng)態(tài)性和不可檢測(cè)性絕對(duì)有可能直接影響整個(gè)網(wǎng)絡(luò)安全行業(yè)。行業(yè)將面臨一場(chǎng)與高級(jí)威脅的無休止的對(duì)抗，我們相信只有動(dòng)態(tài)解決方案才能修復(fù)此漏洞?！盜CSA實(shí)驗(yàn)室入侵檢測(cè)和防御項(xiàng)目經(jīng)理JackWalsh說："Stonesoft發(fā)現(xiàn)了AET躲避網(wǎng)絡(luò)安全系統(tǒng)的新方式。我們對(duì)Stonesoft的研究進(jìn)行了驗(yàn)證，相信這些高級(jí)逃避技術(shù)會(huì)導(dǎo)致企業(yè)資產(chǎn)丟失，給被攻擊的企業(yè)帶來極為嚴(yán)重的后果?！盨tonesoft專家在測(cè)試StoneGate網(wǎng)絡(luò)安全解決方案對(duì)最新的、最先進(jìn)的威脅的防御能力時(shí)發(fā)現(xiàn)了這些新型威脅?，F(xiàn)場(chǎng)測(cè)試和實(shí)驗(yàn)數(shù)據(jù)表明，現(xiàn)有的許多網(wǎng)絡(luò)安全解決方案都無法檢測(cè)出AET，因此無法有效阻止攻擊。Stonesoft警告說，針對(duì)高度先進(jìn)的、有目標(biāo)性的攻擊，全球范圍內(nèi)的黑客很可能已經(jīng)在使用AET。僅有部分安全防護(hù)產(chǎn)品的企業(yè)必須立刻行動(dòng)起來，保護(hù)企業(yè)的系統(tǒng)安全。抵御動(dòng)態(tài)的、不斷升級(jí)的AET攻擊的最佳方式是采用靈活的、基于軟件的安全系統(tǒng)，且系統(tǒng)必須具備遠(yuǎn)程更新和集中化管理能力，如StonesoftStoneGate網(wǎng)絡(luò)安全解決方案。對(duì)于新型的動(dòng)態(tài)威脅如AET，這些系統(tǒng)有著難以匹敵的優(yōu)勢(shì)。然而，如今大多數(shù)企業(yè)都使用的是靜態(tài)的、基于硬件的安全解決方案，很難甚至不可能針對(duì)快速升級(jí)的、動(dòng)態(tài)的威脅作出更新。四、什么是高級(jí)逃逸技術(shù)攻擊以及它帶來的危害？Stonesoft在201（年10月份發(fā)現(xiàn)了在TCP/IP7層中有一系列新型逃逸技術(shù)來避開目前所有主流的IPS設(shè)備的檢測(cè)從而攜帶攻擊代碼進(jìn)入針對(duì)目標(biāo)服務(wù)器協(xié)議的漏洞進(jìn)行攻擊，我們統(tǒng)稱這一系列新型逃逸技術(shù)叫做高級(jí)逃逸技術(shù)。同時(shí)，被CSA以及NSS證明這一系列新型逃逸技術(shù)確實(shí)不能被主流PS設(shè)備所檢測(cè)出來。這種攻擊技術(shù)可按任何順序改變或重新組合，從而避開安全系統(tǒng)的檢測(cè)。從本質(zhì)上講，高級(jí)逃逸技術(shù)是動(dòng)態(tài)的、不合常規(guī)的，沒有數(shù)量限制，傳統(tǒng)檢測(cè)手段無法檢測(cè)。高級(jí)逃逸技術(shù)可在任何級(jí)別的TCP/IP棧上運(yùn)行，可穿越多種協(xié)議或協(xié)議組合。新型高級(jí)逃逸技術(shù)的數(shù)量將呈爆炸式增長(zhǎng)，將對(duì)信息安全行業(yè)和全球企業(yè)構(gòu)成無止境的、充滿變數(shù)的挑戰(zhàn)。。由于可避開現(xiàn)有的網(wǎng)絡(luò)安全系統(tǒng)，AET為當(dāng)今網(wǎng)絡(luò)罪犯入侵任何帶有漏洞的系統(tǒng)如ERP和CRM應(yīng)用提供了一把萬能鑰匙。如此一來，公司則會(huì)面臨數(shù)據(jù)泄露帶來的嚴(yán)重威脅，包括企業(yè)機(jī)密信息丟失。此外，有組織的罪犯和黑客還會(huì)利用這些AET進(jìn)行非法的、破壞性的活動(dòng)。五、高級(jí)逃逸技術(shù)的原理闡述大多數(shù)情況下，互聯(lián)網(wǎng)協(xié)議部署都是開放的、不安全的。因此，大多數(shù)企業(yè)采用了先進(jìn)的IT安全設(shè)備和系統(tǒng)軟件來保護(hù)企業(yè)數(shù)字資產(chǎn)的安全。通常，這類安全防護(hù)平臺(tái)都采用各種各樣的入侵檢測(cè)系統(tǒng)（IDS）和/或入侵防御系統(tǒng)（IPS）架構(gòu)作為基礎(chǔ)組件但I(xiàn)P標(biāo)準(zhǔn)（尤其是報(bào)頭和數(shù)據(jù)包本身的結(jié)構(gòu)）固有的不安全性意味著畸形報(bào)頭和/或數(shù)據(jù)包組合會(huì)破壞大多數(shù)IDS/IPS防御系統(tǒng)的檢測(cè)方法，盡管IDS/IPS平臺(tái)多么先進(jìn)或富有經(jīng)驗(yàn)。原因是IP數(shù)據(jù)包結(jié)構(gòu)是現(xiàn)代網(wǎng)絡(luò)體系的基礎(chǔ)，安全系統(tǒng)很難檢測(cè)到不在已知結(jié)構(gòu)范疇內(nèi)的任何攻擊矢量。如果將IP結(jié)構(gòu)看作鐵路線，歐洲的標(biāo)準(zhǔn)軌距為4英尺8.5英寸（即1.435米，根據(jù)所在地區(qū)的度量標(biāo)準(zhǔn)而定），因?yàn)榛疖囋谲壍郎?，所以自?dòng)信令系統(tǒng)可輕松檢測(cè)出火車的重量和速度。通過這些數(shù)據(jù)，信令系統(tǒng)精確地判斷出火車的類型、時(shí)刻表和目的地，這大大簡(jiǎn)化了信號(hào)控制人員的工作。如果一臺(tái)定制維護(hù)車進(jìn)入軌道，為了對(duì)脫軌軌道附近進(jìn)行修理，維護(hù)車車輪可以伸縮，橡膠輪胎可以擴(kuò)充，在這樣的情況下，會(huì)出現(xiàn)什么樣的問題呢？此時(shí)，信令系

統(tǒng)無法采集相關(guān)的數(shù)據(jù)來檢測(cè)車輛的類型，更不用說目的地了。事實(shí)上，就信令系統(tǒng)掌握的參數(shù)，它甚至無法檢測(cè)出車輛的存在。因此，使用畸形報(bào)頭和數(shù)據(jù)流以及迷惑性代碼調(diào)用的AET攻擊的原理也是如此。常規(guī)IPS/IDS安全平臺(tái)也無法檢測(cè)出AET攻擊的存在，因此，攻擊代碼可悄悄滲透到IT資源。這些新型的高級(jí)逃逸技術(shù)還不知道什么時(shí)候是最后一個(gè)：IPrandomoptionsTCPTIME_WAITTCPurgentpointerSMBwrite/readpaddingSMBtransactionmethodfragmentationSMBsessionmixingMSRPCaltercontextMSRPCobjectreferenceMSRPCendianmanipulation以及這些高級(jí)逃逸技術(shù)還可以任意的組合町進(jìn)行

逃逸的逃逸技術(shù)可以組合的理論數(shù)值町進(jìn)行

逃逸的TOP10無法及時(shí)提供安全補(bǔ)丁廠商:無法修復(fù)的高危漏洞比例:Percentcd2010HIDivaDBumwithNoRaichFeiccntofCrilical&Hi^h2010HIDisclosureswithNo-PatchAJIV^iidas-peri□H1?13feSunMicroaoft&3%11%Manila馬能Apple13%cmIBM1碼25%Google-日匪3^3■眈Linux2?苑Oracle-7?42WS|HPClBCO6^Noudl岳盹￥09&Adobe?3M2H

靜態(tài)防護(hù)和動(dòng)態(tài)防護(hù)所產(chǎn)生的一個(gè)差距:jfi靜息防柑■辭眾方瀬崔供葉倨護(hù)型別崢恿/動(dòng)懸陽護(hù)Timp2D10-2OJL報(bào)適的逃謹(jǐn)和際護(hù)蛻別提升預(yù)測(cè)（動(dòng)態(tài)與靜慫〕AET靜態(tài)防護(hù)和動(dòng)態(tài)防護(hù)所產(chǎn)生的一個(gè)差距:jfi靜息防柑■辭眾方瀬崔供葉倨護(hù)型別崢恿/動(dòng)懸陽護(hù)Timp2D10-2OJL報(bào)適的逃謹(jǐn)和際護(hù)蛻別提升預(yù)測(cè)（動(dòng)態(tài)與靜慫〕AET的擔(dān)現(xiàn)已翌適的建謎技求的總數(shù)量t傳麵的加上髙勰的）避軌術(shù)數(shù)謹(jǐn)六、為什么傳統(tǒng)的安全防護(hù)解決方案不能檢測(cè)并防護(hù)？一大部分的逃逸技術(shù)僅僅基于協(xié)議的正常功能，而且這些功能在正常的通信中被廣泛的使用著。比如IPfragmentation,TCPsegmentation,MSRPCFragmentation,TCPTIME_WAITIPrandomoptions,TCPurgentpointer—般的，這些逃逸不會(huì)和任何RFC有沖突,這是為什么協(xié)議檢查也無法發(fā)現(xiàn)這些逃逸技術(shù)。在國(guó)際組織列出了多達(dá)45,000CVE標(biāo)識(shí)，而傳統(tǒng)的IPS一般只覆蓋了3000F000種的特征指紋，并且有些IPS產(chǎn)品出于性能考慮的原因默認(rèn)僅有L000種特征指紋被檢查。所以，常規(guī)的特征指紋檢測(cè)是無法完全覆蓋高級(jí)逃逸技術(shù)的攻擊，并且在檢測(cè)方法上沒有行之有效的手段，他們都是利用這種垂直的檢測(cè)技術(shù)。

應(yīng)用層1■■J鼻I.￡TCT層數(shù)據(jù)段.或偽燈數(shù)據(jù)J——IIIIIJIP層敷據(jù)包1這種檢測(cè)技術(shù)最大的弊病在于只有部分的檢測(cè)數(shù)據(jù)流，并且無法判斷高級(jí)逃逸技術(shù)在哪層使用，更不用說能夠移除高級(jí)逃逸技術(shù)攻擊的流量。并且，沒有更好地實(shí)驗(yàn)環(huán)境以及檢測(cè)工具來分析高級(jí)逃逸技術(shù)代碼以及攻擊過程的回放等等措施，只能利用特征指紋來識(shí)別數(shù)據(jù)流當(dāng)中存在的應(yīng)用特征的攻擊。七、Stonesoft提供的解決方案是如何防護(hù)的？stonesoft有一套完整的測(cè)試高級(jí)逃逸技術(shù)的攻防環(huán)境以及測(cè)試工具，并且這個(gè)環(huán)境以及可以跟國(guó)際安全組合比如ICSA以及NSS去共享研究高級(jí)逃逸技術(shù)的發(fā)展。Stonesoft采用了多協(xié)議層合規(guī)檢測(cè)技術(shù)來同時(shí)對(duì)所有協(xié)議層的流量進(jìn)行檢測(cè)并且清洗來達(dá)到去除惡意攻擊代碼。Stonesoft安全產(chǎn)品可以同時(shí)在所有協(xié)議層進(jìn)行解碼和合規(guī)檢測(cè)。騷于數(shù)據(jù)流'全協(xié)徴樁臺(tái)池遵從檢僅和探厘檢測(cè)TCP展或偽鍛鮭Normalize 髙級(jí)逃逸同時(shí)在姜個(gè)數(shù)據(jù)層2準(zhǔn)確的識(shí)別井清除騷于數(shù)據(jù)流'全協(xié)徴樁臺(tái)池遵從檢僅和探厘檢測(cè)TCP展或偽鍛鮭Normalize 髙級(jí)逃逸同時(shí)在姜個(gè)數(shù)據(jù)層2準(zhǔn)確的識(shí)別井清除進(jìn)行有敷的持統(tǒng)的 髙級(jí)逃逸找術(shù)?井臺(tái)法邊從檢査 對(duì)偽裝的咸脅進(jìn)廿識(shí)別,警告和報(bào)表rtRjiSMC^施業(yè)揑高級(jí)透逸檢刪普吿和報(bào)表統(tǒng)汁這種檢測(cè)技術(shù)的好處在于TCP所有層的合規(guī)檢測(cè)，準(zhǔn)確識(shí)別高級(jí)逃逸技術(shù)攻擊代碼并且安全移動(dòng)后發(fā)生告警。St。nesoft提出了動(dòng)態(tài)安全防護(hù)技術(shù)的理念。我們可以提供集中管理平臺(tái)，對(duì)全網(wǎng)的安全設(shè)備管理及告警和日志。通過這個(gè)集中管理平臺(tái)對(duì)全網(wǎng)的安全設(shè)備進(jìn)行軟件升級(jí)去更新所有協(xié)議層的合規(guī)檢測(cè)技術(shù)算法，并且當(dāng)有新的高級(jí)逃逸技術(shù)攻擊發(fā)生的時(shí)候，可以通過及時(shí)升級(jí)產(chǎn)品的引擎來更新防御技術(shù)。Stonesoft可以提供咼性能和咼背板吞吐量的產(chǎn)品來應(yīng)對(duì)檢測(cè)所耗費(fèi)的性能。八、Stonesoft公司介紹Stonesoft來自遙遠(yuǎn)的北歐－芬蘭，那里有冰冷漫長(zhǎng)的冬季，芬蘭人就是在一個(gè)惡劣的自然環(huán)境中世代拼搏，生存。大自然造就了我們的性格：務(wù)實(shí)的完美主義，謙遜，倔強(qiáng)，剛直。這些品德已經(jīng)深埋在我們的DNA里。同樣，在Stonesoft的網(wǎng)絡(luò)安全理念上也充分體現(xiàn)了這些特征。在過去的20多年，我們專注于網(wǎng)絡(luò)安全，積累了豐富的經(jīng)驗(yàn)，對(duì)行業(yè)發(fā)展具有很強(qiáng)的洞察力和前瞻性。我們的產(chǎn)品服務(wù)于聯(lián)合國(guó)，歐洲國(guó)家的軍隊(duì)網(wǎng)絡(luò)，世界90多個(gè)國(guó)家的政府網(wǎng)絡(luò)，以及眾多的企業(yè)網(wǎng)，如電信，金融，電力，物流，醫(yī)療，教育等等。美國(guó)上周提名Stonesoft為政府網(wǎng)絡(luò)安全最佳方案提供商，也是2012年世界最值得關(guān)注的網(wǎng)絡(luò)安全廠商。我們?yōu)樽约核〉玫某煽?jī)而驕傲。但同時(shí)我們謙遜，認(rèn)真聽取用戶的意見，需求。我們執(zhí)著敬業(yè)，帶著對(duì)網(wǎng)絡(luò)安全的激情和熱忱做產(chǎn)品，為用戶服務(wù)。保護(hù)用戶的數(shù)字財(cái)產(chǎn)，為他們防御來自真實(shí)世界的威脅，這就是我們的使命。我們經(jīng)得起真實(shí)世界的終極考驗(yàn)，不是一味追求通過預(yù)設(shè)的商業(yè)實(shí)驗(yàn)室測(cè)試而得出的什么好成績(jī)。我們?yōu)橛脩舭褟?fù)雜的網(wǎng)絡(luò)安全簡(jiǎn)單化，降低他們的總擁有成本TCO。這就是為什么用戶忠愛我們，力薦我們；這就是為什么我們能夠