網(wǎng)絡(luò)安全產(chǎn)品技術(shù)發(fā)展趨勢(shì)

      主動(dòng)面對(duì)更迅速的混合式攻擊

　　眾所周知，目前網(wǎng)絡(luò)安全防范的主要難點(diǎn)，其一在于攻擊的“快速性”：漏洞從被發(fā)現(xiàn)到受到第一波攻擊，可能只有一天的時(shí)間；病毒從某一臺(tái)電腦到感染全球，也許只需要幾個(gè)小時(shí)。這一切都讓被動(dòng)式防御變得越來越被動(dòng)，越來越力不從心；其二，安全威脅越來越趨向于“復(fù)合性”：這種復(fù)合性包含了攻擊手段和傳播途徑兩個(gè)層面，一方面，我們面對(duì)的是包括了病毒、木馬、釣魚、間諜軟件、黑客、內(nèi)部攻擊在內(nèi)的安全威脅，另一方面，這些威脅感染網(wǎng)絡(luò)的途徑也多種多樣，包括郵件、網(wǎng)絡(luò)資源共享、P2P、即時(shí)消息……等等。我們需要更先進(jìn)、更全面化的主動(dòng)防御技術(shù)和產(chǎn)品，才能在攻擊面前泰然自若。

   以防火墻、防病毒軟件和IDS為首的安全產(chǎn)品中，越來越多地體現(xiàn)出了主動(dòng)防御的特性，從而給用戶帶來了越來越多的信心。

　　安全威脅愈演愈烈，而且入侵手段也越來越隱蔽、狡猾、快速。相應(yīng)的，安全產(chǎn)品也在不斷“進(jìn)化”，不斷完善自己，發(fā)展出應(yīng)對(duì)安全威脅的更好的方法。在相互較量的過程中，網(wǎng)絡(luò)安全產(chǎn)品需要變被動(dòng)防御為主動(dòng)出擊，以一種更積極的姿態(tài)去化解安全危機(jī)。

　　像防病毒軟件、防火墻、反垃圾郵件、反間諜軟件、入侵檢測系統(tǒng)（IDS）、SSL VPN、統(tǒng)一威脅管理（UTM）等產(chǎn)品都已經(jīng)找到了自己演進(jìn)的方向，并正在付諸行動(dòng)。

防病毒軟件：主動(dòng)防御依靠行為識(shí)別技術(shù)

　　防毒關(guān)鍵在于主動(dòng)

　　人們長期以來對(duì)于計(jì)算機(jī)病毒只能被動(dòng)防御的局面必須要改變，才能真正確保網(wǎng)絡(luò)的安全。趨勢(shì)科技（中國）有限公司資深技術(shù)顧問齊軍認(rèn)為，對(duì)于企業(yè)來說，面臨的最大問題是基于簽名的識(shí)別技術(shù)不能有效防御新病毒，比如蠕蟲和特洛伊木馬。企業(yè)要想有效地制止攻擊，行為識(shí)別是首選的解決方案。

　　軟件采用行為識(shí)別和特征識(shí)別技術(shù)，可非常高效的實(shí)現(xiàn)對(duì)計(jì)算機(jī)病毒、蠕蟲、木馬等惡意攻擊行為的主動(dòng)防御，能較好地解決現(xiàn)有產(chǎn)品或系統(tǒng)以被動(dòng)防御為主、識(shí)別未知攻擊行為能力弱的缺陷?；谛袨榈姆捶蓝颈Ｗo(hù)并不依靠一對(duì)一的簽名校對(duì)來實(shí)現(xiàn)惡性代碼的識(shí)別，而是通過檢查病毒及蠕蟲的共有特征發(fā)現(xiàn)可能的惡性軟件。采用這一技術(shù)的優(yōu)勢(shì)在于：該技術(shù)可識(shí)別未知的病毒，以抵御“零日”攻擊。

　　隨著其他設(shè)備的網(wǎng)絡(luò)化，比如打印機(jī)與復(fù)印機(jī)，或者IP語音硬件日益普及，它們也成了攻擊目標(biāo)，或者成為新的攻擊手段。這些攻擊類型在未來一兩年內(nèi)將變得司空見慣。特別是隨著像PDA以及智能手機(jī)之類網(wǎng)絡(luò)電子產(chǎn)品的普及，今后的反病毒技術(shù)必將從現(xiàn)有的基于簽名的技術(shù)，轉(zhuǎn)向下一代基于行為的策略。

　　行為識(shí)別技術(shù)暫時(shí)不能商業(yè)化

　　可以說由簽名識(shí)別技術(shù)轉(zhuǎn)移到行為識(shí)別技術(shù)，是大勢(shì)所趨。但是，目前的事實(shí)是，行為識(shí)別技術(shù)暫時(shí)還沒有走向商業(yè)化。趨勢(shì)科技進(jìn)行了多次市場評(píng)估，得出的結(jié)論是：1. 由于簽名識(shí)別技術(shù)在網(wǎng)絡(luò)安全中的應(yīng)用已經(jīng)很成熟，因此，不可能一下就停用。用戶接納行為識(shí)別技術(shù)需要一個(gè)過程。2.目前，行為識(shí)別技術(shù)還不是十分完善，存在一定的弊端。例如，誤報(bào)率容易對(duì)用戶產(chǎn)生不良影響、性能消耗大、目前流行配置的PC難以承受，這也是它目前不能走向商業(yè)化的一個(gè)重要原因。

　　兩種技術(shù)并用

　　綜合各方面因素，反病毒軟件在接下來的2-4年將會(huì)更多地走向簽名識(shí)別技術(shù)和行為識(shí)別技術(shù)并用的時(shí)代。目前，已經(jīng)有越來越多的廠商投入到行為識(shí)別技術(shù)的研究當(dāng)中，并相繼推出了新產(chǎn)品。安全專家表示，這兩種技術(shù)的結(jié)合接下來還會(huì)有更大的突破。

反垃圾郵件產(chǎn)品：行為判別技術(shù)成新方向

　　國內(nèi)外主要的反垃圾郵件系統(tǒng)，普遍采用的是關(guān)鍵字內(nèi)容過濾技術(shù)，采取“截獲樣本，解析特征，生成規(guī)則，規(guī)則下發(fā)，內(nèi)容過濾” 這種類似傳統(tǒng)殺病毒系統(tǒng)的原理，而這種技術(shù)存在著許多難以克服的問題：

　　◆垃圾郵件內(nèi)容變化快，數(shù)量遠(yuǎn)遠(yuǎn)大于病毒，任何一家安全公司都很難保證樣本采集的數(shù)量和及時(shí)性，也就很難保證反垃圾郵件的使用效果和效果的持久性；

　　◆必須比對(duì)完所有的關(guān)鍵字規(guī)則，一封信才能被確信不是垃圾郵件，導(dǎo)致效率低下、資源消耗大、網(wǎng)關(guān)系統(tǒng)不穩(wěn)定，尤其是在遭受巨量郵件攻擊時(shí)，可能導(dǎo)致系統(tǒng)崩潰；

　　◆依賴關(guān)鍵字規(guī)則判別垃圾郵件，導(dǎo)致誤判率較高，垃圾郵件識(shí)別準(zhǔn)確性低，效果差；

　　◆系統(tǒng)自維護(hù)能力差，管理員維護(hù)大量規(guī)則庫，工作量大；

　　◆信件必須接收完整才能進(jìn)行內(nèi)容過濾，導(dǎo)致國際網(wǎng)絡(luò)流量費(fèi)用高；

　　◆通過拆信檢查內(nèi)容的方式進(jìn)行反垃圾郵件，侵犯了公民電子郵件通信自由權(quán)和隱私權(quán)，這種內(nèi)容過濾技術(shù)將受到廣泛的法律質(zhì)疑。

　　傳統(tǒng)反垃圾郵件技術(shù)，只能提升信噪比，以免垃圾郵件淹沒正常郵件，但垃圾郵件與病毒郵件仍然占用了大量帶寬與存儲(chǔ)資源，垃圾郵件的發(fā)送仍處于非受控狀態(tài)。

　　要想從根本上解決反垃圾郵件的技術(shù)難題，就要采用主動(dòng)型垃圾郵件行為模式識(shí)別的技術(shù)，這樣才能做到主動(dòng)的郵件攻擊行為防御、主動(dòng)的垃圾郵件阻斷，從而最大程度地提高垃圾郵件識(shí)別率、攔截率，降低資源消耗，真正達(dá)到電信級(jí)的網(wǎng)關(guān)處理速度。

　　行為模式識(shí)別模型包含了郵件發(fā)送過程中的各類行為要素，例如：時(shí)間、頻度、發(fā)送IP、協(xié)議聲明特征、發(fā)送指紋等。在統(tǒng)計(jì)分析中，可以發(fā)現(xiàn)在行為特征上，垃圾郵件與正常郵件具有極高的區(qū)分度，且不論內(nèi)容如何均相對(duì)為固有特征，特別是對(duì)大量的采用動(dòng)態(tài)IP發(fā)送的郵件更是如此。垃圾郵件行為模式識(shí)別模型在理論計(jì)算上有著較高的垃圾郵件區(qū)分度（>90%），在實(shí)證分析中也暗合“小偷的行為心理異于常人”的道理，經(jīng)得起邏輯和哲學(xué)理論的推敲。

　　采用垃圾郵件行為模式識(shí)別模型不僅大大提高了垃圾郵件辨別的準(zhǔn)確率，而且不需要對(duì)信件的全部內(nèi)容進(jìn)行掃描，所以又可以大大提高計(jì)算處理能力，為電信級(jí)的郵件過濾打下了堅(jiān)實(shí)的基礎(chǔ)。

　　此外，采用垃圾郵件行為模式識(shí)別模型識(shí)別垃圾郵件，也可以從另一方面給垃圾郵件攻擊者以壓力，迫使發(fā)送者必須按照一定的規(guī)范發(fā)送郵件。也就是說迫使郵件發(fā)送者只能從正常渠道，以正常方式發(fā)送郵件，從而使得郵件的發(fā)送處于受控狀態(tài)。

　　垃圾郵件行為模式識(shí)別模型是完全不同其他郵件過濾技術(shù)或算法的技術(shù)，雖說依然是站在巨人的肩膀上，但通過推出這種行為識(shí)別技術(shù)，可以說是將目前的郵件過濾技術(shù)帶入到下一代的技術(shù)革新中。相信不久的將來，在全球的郵件過濾器上都會(huì)應(yīng)用到行為識(shí)別技術(shù)。