網(wǎng)絡(luò)安全產(chǎn)品技術(shù)發(fā)展趨勢

      主動面對更迅速的混合式攻擊

　　眾所周知，目前網(wǎng)絡(luò)安全防范的主要難點，其一在于攻擊的“快速性”：漏洞從被發(fā)現(xiàn)到受到第一波攻擊，可能只有一天的時間；病毒從某一臺電腦到感染全球，也許只需要幾個小時。這一切都讓被動式防御變得越來越被動，越來越力不從心；其二，安全威脅越來越趨向于“復(fù)合性”：這種復(fù)合性包含了攻擊手段和傳播途徑兩個層面，一方面，我們面對的是包括了病毒、木馬、釣魚、間諜軟件、黑客、內(nèi)部攻擊在內(nèi)的安全威脅，另一方面，這些威脅感染網(wǎng)絡(luò)的途徑也多種多樣，包括郵件、網(wǎng)絡(luò)資源共享、P2P、即時消息……等等。我們需要更先進、更全面化的主動防御技術(shù)和產(chǎn)品，才能在攻擊面前泰然自若。

   以防火墻、防病毒軟件和IDS為首的安全產(chǎn)品中，越來越多地體現(xiàn)出了主動防御的特性，從而給用戶帶來了越來越多的信心。

　　安全威脅愈演愈烈，而且入侵手段也越來越隱蔽、狡猾、快速。相應(yīng)的，安全產(chǎn)品也在不斷“進化”，不斷完善自己，發(fā)展出應(yīng)對安全威脅的更好的方法。在相互較量的過程中，網(wǎng)絡(luò)安全產(chǎn)品需要變被動防御為主動出擊，以一種更積極的姿態(tài)去化解安全危機。

　　像防病毒軟件、防火墻、反垃圾郵件、反間諜軟件、入侵檢測系統(tǒng)（IDS）、SSL VPN、統(tǒng)一威脅管理（UTM）等產(chǎn)品都已經(jīng)找到了自己演進的方向，并正在付諸行動。

防病毒軟件：主動防御依靠行為識別技術(shù)

　　防毒關(guān)鍵在于主動

　　人們長期以來對于計算機病毒只能被動防御的局面必須要改變，才能真正確保網(wǎng)絡(luò)的安全。趨勢科技（中國）有限公司資深技術(shù)顧問齊軍認為，對于企業(yè)來說，面臨的最大問題是基于簽名的識別技術(shù)不能有效防御新病毒，比如蠕蟲和特洛伊木馬。企業(yè)要想有效地制止攻擊，行為識別是首選的解決方案。

　　軟件采用行為識別和特征識別技術(shù)，可非常高效的實現(xiàn)對計算機病毒、蠕蟲、木馬等惡意攻擊行為的主動防御，能較好地解決現(xiàn)有產(chǎn)品或系統(tǒng)以被動防御為主、識別未知攻擊行為能力弱的缺陷?；谛袨榈姆捶蓝颈Ｗo并不依靠一對一的簽名校對來實現(xiàn)惡性代碼的識別，而是通過檢查病毒及蠕蟲的共有特征發(fā)現(xiàn)可能的惡性軟件。采用這一技術(shù)的優(yōu)勢在于：該技術(shù)可識別未知的病毒，以抵御“零日”攻擊。

　　隨著其他設(shè)備的網(wǎng)絡(luò)化，比如打印機與復(fù)印機，或者IP語音硬件日益普及，它們也成了攻擊目標，或者成為新的攻擊手段。這些攻擊類型在未來一兩年內(nèi)將變得司空見慣。特別是隨著像PDA以及智能手機之類網(wǎng)絡(luò)電子產(chǎn)品的普及，今后的反病毒技術(shù)必將從現(xiàn)有的基于簽名的技術(shù)，轉(zhuǎn)向下一代基于行為的策略。

　　行為識別技術(shù)暫時不能商業(yè)化

　　可以說由簽名識別技術(shù)轉(zhuǎn)移到行為識別技術(shù)，是大勢所趨。但是，目前的事實是，行為識別技術(shù)暫時還沒有走向商業(yè)化。趨勢科技進行了多次市場評估，得出的結(jié)論是：1. 由于簽名識別技術(shù)在網(wǎng)絡(luò)安全中的應(yīng)用已經(jīng)很成熟，因此，不可能一下就停用。用戶接納行為識別技術(shù)需要一個過程。2.目前，行為識別技術(shù)還不是十分完善，存在一定的弊端。例如，誤報率容易對用戶產(chǎn)生不良影響、性能消耗大、目前流行配置的PC難以承受，這也是它目前不能走向商業(yè)化的一個重要原因。

　　兩種技術(shù)并用

　　綜合各方面因素，反病毒軟件在接下來的2-4年將會更多地走向簽名識別技術(shù)和行為識別技術(shù)并用的時代。目前，已經(jīng)有越來越多的廠商投入到行為識別技術(shù)的研究當中，并相繼推出了新產(chǎn)品。安全專家表示，這兩種技術(shù)的結(jié)合接下來還會有更大的突破。

反垃圾郵件產(chǎn)品：行為判別技術(shù)成新方向

　　國內(nèi)外主要的反垃圾郵件系統(tǒng)，普遍采用的是關(guān)鍵字內(nèi)容過濾技術(shù)，采取“截獲樣本，解析特征，生成規(guī)則，規(guī)則下發(fā)，內(nèi)容過濾” 這種類似傳統(tǒng)殺病毒系統(tǒng)的原理，而這種技術(shù)存在著許多難以克服的問題：

　　◆垃圾郵件內(nèi)容變化快，數(shù)量遠遠大于病毒，任何一家安全公司都很難保證樣本采集的數(shù)量和及時性，也就很難保證反垃圾郵件的使用效果和效果的持久性；

　　◆必須比對完所有的關(guān)鍵字規(guī)則，一封信才能被確信不是垃圾郵件，導(dǎo)致效率低下、資源消耗大、網(wǎng)關(guān)系統(tǒng)不穩(wěn)定，尤其是在遭受巨量郵件攻擊時，可能導(dǎo)致系統(tǒng)崩潰；

　　◆依賴關(guān)鍵字規(guī)則判別垃圾郵件，導(dǎo)致誤判率較高，垃圾郵件識別準確性低，效果差；

　　◆系統(tǒng)自維護能力差，管理員維護大量規(guī)則庫，工作量大；

　　◆信件必須接收完整才能進行內(nèi)容過濾，導(dǎo)致國際網(wǎng)絡(luò)流量費用高；

　　◆通過拆信檢查內(nèi)容的方式進行反垃圾郵件，侵犯了公民電子郵件通信自由權(quán)和隱私權(quán)，這種內(nèi)容過濾技術(shù)將受到廣泛的法律質(zhì)疑。

　　傳統(tǒng)反垃圾郵件技術(shù)，只能提升信噪比，以免垃圾郵件淹沒正常郵件，但垃圾郵件與病毒郵件仍然占用了大量帶寬與存儲資源，垃圾郵件的發(fā)送仍處于非受控狀態(tài)。

　　要想從根本上解決反垃圾郵件的技術(shù)難題，就要采用主動型垃圾郵件行為模式識別的技術(shù)，這樣才能做到主動的郵件攻擊行為防御、主動的垃圾郵件阻斷，從而最大程度地提高垃圾郵件識別率、攔截率，降低資源消耗，真正達到電信級的網(wǎng)關(guān)處理速度。

　　行為模式識別模型包含了郵件發(fā)送過程中的各類行為要素，例如：時間、頻度、發(fā)送IP、協(xié)議聲明特征、發(fā)送指紋等。在統(tǒng)計分析中，可以發(fā)現(xiàn)在行為特征上，垃圾郵件與正常郵件具有極高的區(qū)分度，且不論內(nèi)容如何均相對為固有特征，特別是對大量的采用動態(tài)IP發(fā)送的郵件更是如此。垃圾郵件行為模式識別模型在理論計算上有著較高的垃圾郵件區(qū)分度（>90%），在實證分析中也暗合“小偷的行為心理異于常人”的道理，經(jīng)得起邏輯和哲學理論的推敲。

　　采用垃圾郵件行為模式識別模型不僅大大提高了垃圾郵件辨別的準確率，而且不需要對信件的全部內(nèi)容進行掃描，所以又可以大大提高計算處理能力，為電信級的郵件過濾打下了堅實的基礎(chǔ)。

　　此外，采用垃圾郵件行為模式識別模型識別垃圾郵件，也可以從另一方面給垃圾郵件攻擊者以壓力，迫使發(fā)送者必須按照一定的規(guī)范發(fā)送郵件。也就是說迫使郵件發(fā)送者只能從正常渠道，以正常方式發(fā)送郵件，從而使得郵件的發(fā)送處于受控狀態(tài)。

　　垃圾郵件行為模式識別模型是完全不同其他郵件過濾技術(shù)或算法的技術(shù)，雖說依然是站在巨人的肩膀上，但通過推出這種行為識別技術(shù)，可以說是將目前的郵件過濾技術(shù)帶入到下一代的技術(shù)革新中。相信不久的將來，在全球的郵件過濾器上都會應(yīng)用到行為識別技術(shù)。