1、應(yīng)用層威脅介紹

今天，各種蠕蟲(chóng)、間諜軟件、網(wǎng)絡(luò)釣魚(yú)等應(yīng)用層威脅和EMAIL、移動(dòng)代碼結(jié)合，形成復(fù)合型威脅，使威脅更加危險(xiǎn)和難以抵御。這些威脅直接攻擊企業(yè)核心服務(wù)器和應(yīng)用，給企業(yè)帶來(lái)了重大損失；攻擊終端用戶計(jì)算機(jī)，給用戶帶來(lái)信息風(fēng)險(xiǎn)甚至財(cái)產(chǎn)損失；對(duì)網(wǎng)絡(luò)基礎(chǔ)設(shè)施進(jìn)行DoS/DDoS攻擊，造成基礎(chǔ)設(shè)施的癱瘓；更有甚者，像電驢、BT等P2P應(yīng)用和MSN、QQ等即時(shí)通信軟件的普及，企業(yè)寶貴帶寬資源被業(yè)務(wù)無(wú)關(guān)流量浪費(fèi)，形成巨大的資源損失。面對(duì)這些問(wèn)題，傳統(tǒng)解決方案最大的問(wèn)題是，防火墻工作在TCP/IP 3~4層上，根本就“看”不到這些威脅的存在，而IDS作為一個(gè)旁路設(shè)備，對(duì)這些威脅又“看而不阻”，因此我們需要一個(gè)全新的安全解決方案。

在解決問(wèn)題之前，我們需要先了解一下應(yīng)用層威脅的形式和原理。所謂應(yīng)用層威脅，主要包括入蠕蟲(chóng)、木馬、間諜軟件、帶寬濫用、DDoS攻擊、網(wǎng)頁(yè)篡改等。下面我們重點(diǎn)介紹一下蠕蟲(chóng)、間諜軟件、帶寬濫用這三個(gè)典型的應(yīng)用層威脅。

蠕蟲(chóng)

蠕蟲(chóng)的定義是指“通過(guò)計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)行自我復(fù)制的惡意程序，泛濫時(shí)可以導(dǎo)致網(wǎng)絡(luò)阻塞和癱瘓”。從本質(zhì)上講，蠕蟲(chóng)和病毒的最大的區(qū)別在于蠕蟲(chóng)是通過(guò)網(wǎng)絡(luò)進(jìn)行主動(dòng)傳播的，而病毒需要人的手工干預(yù)（如各種外部存儲(chǔ)介質(zhì)的讀寫(xiě)）。但是時(shí)至今日，蠕蟲(chóng)往往和病毒、木馬和DDoS等各種威脅結(jié)合起來(lái)，形成混合型蠕蟲(chóng)。

蠕蟲(chóng)有多種形式，包括系統(tǒng)漏洞型蠕蟲(chóng)、群發(fā)郵件型蠕蟲(chóng)、共享型蠕蟲(chóng)、寄生型蠕蟲(chóng)和混和型蠕蟲(chóng)。其中最常見(jiàn)，變種最多的蠕蟲(chóng)是群發(fā)郵件型蠕蟲(chóng)，它是通過(guò)EMAIL進(jìn)行傳播的，著名的例子包括“求職信”、“網(wǎng)絡(luò)天空NetSky”、“雛鷹 BBeagle”等，2005年11月爆發(fā)的“Sober”蠕蟲(chóng)，也是一個(gè)非常典型的群發(fā)郵件型蠕蟲(chóng)。群發(fā)郵件型蠕蟲(chóng)的防治主要從郵件病毒過(guò)濾和防垃圾郵件上入手。

下面我們重點(diǎn)談?wù)?ldquo;系統(tǒng)漏洞型蠕蟲(chóng)”，系統(tǒng)漏洞型蠕蟲(chóng)利用客戶機(jī)或者服務(wù)器的操作系統(tǒng)、應(yīng)用軟件的漏洞進(jìn)行傳播，成為目前最具有危險(xiǎn)性的蠕蟲(chóng)。以沖擊波蠕蟲(chóng)為例，它就是利用Microsoft RPC DCOM 緩沖區(qū)溢出漏洞進(jìn)行傳播的。系統(tǒng)漏洞型蠕蟲(chóng)傳播快，范圍廣、危害大。例如2001年CodeRed的爆發(fā)給全球帶來(lái)了20億美金的損失，而SQL Slammer只在10分鐘內(nèi)就攻破了全球。由于系統(tǒng)漏洞型蠕蟲(chóng)都利用了軟件系統(tǒng)在設(shè)計(jì)上的缺陷，并且他們的傳播都利用現(xiàn)有的業(yè)務(wù)端口，因此傳統(tǒng)的防火墻對(duì)其幾乎是無(wú)能為力。實(shí)際上，系統(tǒng)漏洞是滋生蠕蟲(chóng)的溫床，而網(wǎng)絡(luò)使得他們可以恣意妄為。

間諜軟件

網(wǎng)絡(luò)安全專家對(duì)于什么是“間諜軟件”一直在討論。根據(jù)微軟的定義，“間諜軟件是一種泛指執(zhí)行特定行為，如播放廣告、搜集個(gè)人信息、或更改你計(jì)算機(jī)配置的軟件，這些行為通常未經(jīng)你同意”。

嚴(yán)格說(shuō)來(lái)，間諜軟件是一種協(xié)助搜集（追蹤、記錄與回傳）個(gè)人或組織信息的程序，通常是在不提示的情況下進(jìn)行。廣告軟件和間諜軟件很像，它是一種在用戶上網(wǎng)時(shí)透過(guò)彈出式窗口展示廣告的程序。這兩種軟件手法相當(dāng)類似，因而通常統(tǒng)稱為間諜軟件。而有些間諜軟件就隱藏在廣告軟件內(nèi)，透過(guò)彈出式廣告窗口入侵到計(jì)算機(jī)中，使得兩者更難以清楚劃分。

間諜軟件主要通過(guò)Active X控件下載安裝、IE瀏覽器漏洞和免費(fèi)軟件綁定安裝進(jìn)入用戶的計(jì)算機(jī)中，間諜軟件的危害主要體現(xiàn)如下：

1、  間諜軟件對(duì)企業(yè)已形成隱私與安全上的重大威脅。這些入侵性應(yīng)用程序搜集包括信用卡號(hào)碼、密碼、銀行賬戶信息、健康保險(xiǎn)記錄、電子郵件和用戶存取數(shù)據(jù)等敏感和機(jī)密的公司信息后，將之傳給不知名的網(wǎng)站而危及公司利益。

2、  而由間諜軟件所產(chǎn)生的大批流量也可能消耗公司網(wǎng)絡(luò)帶寬，導(dǎo)致關(guān)鍵應(yīng)用系統(tǒng)出現(xiàn)擁塞、延遲以及丟包的情況。

3、  許多間諜軟件寫(xiě)得很差，在進(jìn)入企業(yè)網(wǎng)絡(luò)后可能產(chǎn)生新的漏洞，或是造成工作站使用時(shí)出現(xiàn)性能問(wèn)題，如屏幕凍結(jié)、不定期變慢與通用保護(hù)錯(cuò)誤等等。

由于間諜軟件主要通過(guò)80端口進(jìn)入計(jì)算機(jī)，也通過(guò)80端口向外發(fā)起連接，因此傳統(tǒng)的防火墻無(wú)法有效抵御，必須通過(guò)應(yīng)用層內(nèi)容的識(shí)別進(jìn)行采取相關(guān)措施。

帶寬濫用

“帶寬濫用”是指對(duì)于企業(yè)網(wǎng)絡(luò)來(lái)說(shuō)，非業(yè)務(wù)數(shù)據(jù)流（如P2P文件傳輸與即時(shí)通訊等）消耗了大量帶寬，輕則影響企業(yè)業(yè)務(wù)無(wú)法正常運(yùn)作，重則致使企業(yè)IT系統(tǒng)癱瘓。所謂P2P，全稱叫做“Peer-to-Peer”，即對(duì)等互聯(lián)網(wǎng)絡(luò)技術(shù)，也叫點(diǎn)對(duì)點(diǎn)網(wǎng)絡(luò)技術(shù)，它讓用戶可以直接連接到其它用戶的計(jì)算機(jī)，進(jìn)行文件共享與交換。

圖 業(yè)務(wù)模型從C/S向P2P轉(zhuǎn)移

P2P改變了傳統(tǒng)的C/S架構(gòu)模式，使得互聯(lián)網(wǎng)資源共享的帶寬不再受制于服務(wù)器的網(wǎng)卡的速度，而取決于參與共享的計(jì)算機(jī)的總的網(wǎng)卡帶寬。例如，英國(guó)網(wǎng)絡(luò)流量統(tǒng)計(jì)公司CacheLogic表示,去年全球有超過(guò)一半的文件交換是通過(guò)BT進(jìn)行的，BT占了互聯(lián)網(wǎng)總流量的35％，使得瀏覽網(wǎng)頁(yè)這些主流應(yīng)用所占的流量相形見(jiàn)絀。

P2P的典型應(yīng)用包括兩類：

1、  文件共享型P2P應(yīng)用，包括BT、eMule、eDonkey等等

2、  IM即時(shí)通訊軟件，如QQ、MSN、Skypy等等

帶寬濫用給網(wǎng)絡(luò)帶來(lái)了新的威脅和問(wèn)題，甚至影響到企業(yè)ＩＴ系統(tǒng)的正常運(yùn)作，它使用戶的網(wǎng)絡(luò)不斷擴(kuò)容但是還是不能滿足“P2P對(duì)帶寬的渴望”，大量的帶寬浪費(fèi)在與工作無(wú)關(guān)流量上，造成了投資的浪費(fèi)和效率的降低。另一方面，P2P使得文件共享和發(fā)送更加容易，帶來(lái)了潛在的信息安全風(fēng)險(xiǎn)。

2、深度安全保護(hù)

面對(duì)日益猖獗的應(yīng)用層威脅，入侵防御系統(tǒng)（IPS，Intrusion Prevention System）應(yīng)運(yùn)而生。DPtech系列IPS，具備對(duì)2層到7層流量的深度分析與檢測(cè)能力，同時(shí)配合以精心研究的攻擊特征知識(shí)庫(kù)、病毒庫(kù)和應(yīng)用協(xié)議庫(kù)，既可以有效檢測(cè)并實(shí)時(shí)阻斷隱藏在海量網(wǎng)絡(luò)流量中的病毒、攻擊與濫用行為，也可以對(duì)分布在網(wǎng)絡(luò)中的各種流量進(jìn)行有效管理，從而達(dá)到對(duì)網(wǎng)絡(luò)上應(yīng)用的保護(hù)、網(wǎng)絡(luò)基礎(chǔ)設(shè)施的保護(hù)和網(wǎng)絡(luò)性能的保護(hù)。

DPtech系列IPS可以被“in-line”地部署到網(wǎng)絡(luò)當(dāng)中去，對(duì)所有流經(jīng)的流量進(jìn)行深度分析與檢測(cè)，從而具備了實(shí)時(shí)阻斷攻擊的能力，同時(shí)對(duì)正常流量不產(chǎn)生任何影響。基于其高速和可擴(kuò)展的硬件平臺(tái)，DPtech系列IPS 不斷優(yōu)化檢測(cè)性能，使其能夠達(dá)到千兆級(jí)的高吞吐量和微秒級(jí)低延時(shí)，同時(shí)可以對(duì)所有主要網(wǎng)絡(luò)應(yīng)用進(jìn)行分析，精確鑒別和阻斷攻擊。DPtech系列IPS的出現(xiàn)使得應(yīng)用層威脅問(wèn)題迎刃而解。

在具備高速檢測(cè)功能的同時(shí)，威脅過(guò)濾引擎還提供流量控制和分析功能，可以自動(dòng)統(tǒng)計(jì)和計(jì)算正常狀況下網(wǎng)絡(luò)內(nèi)各種應(yīng)用流量的分布，并且基于該統(tǒng)計(jì)形成流量框架模型；當(dāng)DoS/DDoS攻擊發(fā)生，或者短時(shí)間內(nèi)大規(guī)模爆發(fā)的病毒導(dǎo)致網(wǎng)絡(luò)內(nèi)流量發(fā)生異常時(shí)，DPtech系列IPS將根據(jù)已經(jīng)建立的流量框架模型限制或者丟棄異常流量，保證關(guān)鍵業(yè)務(wù)的可達(dá)性和通暢性。此外，為防止大量的P2P、IM流量侵占帶寬，DPtech系列IPS還支持對(duì)100多種P2P/IM應(yīng)用的限速功能，保證關(guān)鍵應(yīng)用所需的帶寬。