高級逃避技術的研究

(華北電力大學 北京 102200)

一、課題背景及研究的目的和意義

近年來，隨著科技水平的發展和人們對互聯網的不斷熟悉，網絡與人們的聯系更加緊密。特別是伴隨早期互聯網人群逐漸走入工作崗位，更是把互聯網的影響力散播到了工作生活的方方面面。然而，互聯網在給我們帶來便利的同時，也引發了越來越多的問題和隱患[1]。特別是近幾年，大數據技術廣泛應用于各行各業之中，各大互聯網企業爭相收集用戶信息，并試圖以此分析得到精確的用戶偏好，推送給用戶更加感興趣的產品，提高公司收入。這些生活中有意或無意透露出的信息使我們的一切都變得透明，不在有隱私存在。這樣的技術多用于企業根據你在搜索引擎搜索的關鍵字對你進行個性化的產品推送，看起來非常方便，企業不僅能夠創造更大的利潤、用戶能更方便的獲得想要的商品。但是，當我們在享受大數據技術帶來便利的同時，也要注意該技術帶來的安全隱患。在這其中，有關用戶的大量數據的安全性首當其沖，一旦存儲這些數據的服務器遭到黑客攻擊而導致數據泄露，將會造成巨大的影響，尤其是詐騙人員在獲得這些用戶信息之后，受害者更加難以分辨其言語的真偽。因此，檢查系統安全性，確保系統能夠抵御各種形式的惡意攻擊成為保護信息安全的重中之重[2]。

逃避技術是一種可以改變數據流原有特征的技術手段，它能夠通過偽裝或修改網絡攻擊幫助惡意攻擊者實現逃避網絡安全防護設備檢測的目的。這一技術最大的危害是其針對數據流量特征的偽裝，在它的協助下惡意攻擊代碼能夠完全騙過網絡安全防護設備的檢測并進入到信息系統內部[3]。在應用了逃避技術之后，即使是非常陳舊的惡意代碼也能夠對信息系統的安全性帶來嚴重的威脅。逃避技術的引入完全改變了以往攻擊使用的惡意代碼一旦被安全防護設備廠商發現就毫無威脅的局面，給安全防護領域引入了全新的挑戰。高級逃避攻擊技術(AET)是多種原子逃避技術(我們將單一的某種逃避攻擊技術稱為原子逃避技術)的組合。從本質上講，AET是動態的、不符合常規的、沒有數量限制的，因此，傳統檢測手段很難與之抗衡[4]。通過測試可以發現很多Gartner排名靠前的網絡入侵檢測系統(NIDS)設備以及防火墻設備同樣能夠被輕易穿透不留任何痕跡。據統計，近年來互聯網中產生的攻擊數據流中約有40%運用了逃避技術作為偽裝[5]。2014年，由于黑客攻擊所造成的重大損失，世界各國的安全組織為防御高級逃避技術所帶來的威脅就平均投入近100萬美元。以澳大利亞為例，應用了AET的黑客攻擊使得企業信息設備的防御能力平均降低15個百分點，造成的損失多達150萬美元。

高級逃避技術正是在這種情況下獲得了網絡黑客的追捧：一方面，現有的網絡安全設備在0day漏洞被爆出后很快就會將其列入特征庫之中，造成了攻擊者可用漏洞種類銳減；另一方面，高級逃避技術能夠對數據流進行偽裝，能夠較好的掩蓋漏洞攻擊代碼原有的數據特征。有了高級逃避技術這一偽裝利器，一些因為特征被錄入到網絡安全設備而銷聲匿跡的經典漏洞攻擊代碼又恢復了往日的威脅，給現有的網絡安全管理帶來了全新的挑戰。有鑒于此，研究高級逃避攻擊技術的網絡攻擊方式以及如何有效抵御其攻擊具有一定的實際應用意義。

二、高級逃避技術國內外研究現狀

2010年，當Stonesoft的研究實驗室對全球領先的各大安全廠商的安全產品進行逃避技術的測試時，意外的發現了重大的安全隱患。令人難以置信的是，所有的測試設備都無法檢測到應用了高級逃避技術的攻擊[6]。目前為止Stonesoft已經發現了近150種不同的高級逃避技術方法，但AET能夠組合的數量約為2的49次方，還沒有哪一種IPS能夠做到完全識別所有應用了AET的威脅。之所以攻擊與防御之間會存在如此巨大的差距，是由于這些安全應用的工作方式決定的。通常意義上的防火墻采用了預先定義的安全策略規則，可根據源、目標、協議和其他屬性允許和阻止數據包。與防火墻不同，IDS和IPS設備會對所有的數據流量進行檢測，只要沒發現威脅，就會允許所有流量進入網絡。一旦發現惡意軟件試圖進入網絡，IDS和IPS設備就會向管理員發出警告信息或中斷數據連接。

據資料統計顯示，國際網絡安全組織MITRE在其網站上公布多達45000個帶有統一CVE標識安全漏洞，然而目前市面上的網絡安全設備一般只會選擇收錄最為常見的3000-4000種安全漏洞的數據特征，甚至有些網絡安全防護設備廠商基于產品性能等因素限制的原因僅提供最為基本的1000種特征指紋的匹配檢測。由此可見，常見的網絡安全設備檢測存在巨大的盲區，在面對高級逃避技術的攻擊時更加的無力。

而在國內，“高級逃避技術”已經引起了國內安全專家與廠商的重視。但是由于自身軟件架構和硬件架構的設計問題，還不能夠真正實現對AET的防護。通常國內安全產品只能夠防御IP和TCP層部分逃避技術或者通過靜態特征庫的方式來防護AET。進一步加強對AET最新威脅研究，成為國內安全行業首選課題。

很多國內的網絡安全防護設備的檢測技術存在漏洞：其只對部分數據流進行檢測，很多情況下無法判斷高級逃避技術存在的網絡層次，當然也就無法移除應用了高級逃避技術的惡意數據流。另外，國內很多廠商對高級逃避技術不夠重視，產品中缺少專用的處理模塊導致只能利用靜態特征指紋來識別數據流當中存在的高級逃避技術威脅。

三、總結

隨著計算機網絡同我們生活的關系日益密切，網絡安全也得到了越來越多的重視。當今社會中，幾乎所有的團體都會為了確保名下的虛擬數據的安全而購買網絡安全設備，并將其部署在網絡的邊界上，也正因為如此，這些網絡安全設備的性能才格外重要。本文基于以上背景，對“高級逃避技術”這一新興的網絡攻擊輔助進行了研究。對該技術的危害的進行介紹與討論，對比分析了高級逃避技術國外的研究現狀，得出國內現有產品不足的結論。