安全資訊

1

等保2.0關(guān)于入侵防范的規定

等保2.0標準在2019年5月正式發(fā)布，將于2019年12月開(kāi)始實(shí)施。等保2.0標準中對入侵防范做了詳細要求，下面表格中列出了等保2.0對入侵防范的要求，黑色加粗字體表示是針對上一安全級別增強的要求。

等保2.0中主要在安全區域邊界和安全計算環(huán)境中提到入侵防范要求。安全區域邊界中的入侵防范主要指在關(guān)鍵網(wǎng)絡(luò )節點(diǎn)處對從外部或內部發(fā)起的網(wǎng)絡(luò )攻擊進(jìn)行入侵防范，安全計算環(huán)境中的入侵防范主要指遵循安裝程序、開(kāi)放服務(wù)和終端接入的最小化原則，同時(shí)修補已知漏洞。在等保3級中，要求實(shí)現對新型網(wǎng)絡(luò )攻擊行為的分析，并要求檢測到對重要節點(diǎn)進(jìn)行入侵的行為。在等保4級中，對入侵防范的要求和等保3級基本保持一致。

入侵防范是一種可識別潛在的威脅并迅速地做出應對的網(wǎng)絡(luò )安全防范辦法。入侵防范技術(shù)作為一種積極主動(dòng)地安全防護技術(shù)，提供了對外部攻擊、內部攻擊和誤操作的實(shí)時(shí)保護，在網(wǎng)絡(luò )系統受到危害之前攔截和響應入侵。入侵防范被認為是防火墻之后的第二道安全閘門(mén)，在不影響網(wǎng)絡(luò )和主機性能的情況下能對網(wǎng)絡(luò )和主機的入侵行為進(jìn)行監測。

另外，在等保2.0中提到的應用程序最小安裝原則，這也屬于入侵防范的一部分，屬于非自動(dòng)化的入侵防范辦法。本文重點(diǎn)講解自動(dòng)化的入侵防范技術(shù)，關(guān)于非自動(dòng)化的入侵防范辦法不做詳細探討。

2

常用入侵防范技術(shù)

按照檢測數據來(lái)源，將入侵防范技術(shù)分為基于網(wǎng)絡(luò )的入侵防范技術(shù)和基于主機的入侵防范技術(shù)，分別對應等保2.0中的安全區域邊界和安全計算環(huán)境的入侵防范。

2.1.基于網(wǎng)絡(luò )的入侵防范技術(shù)

基于網(wǎng)絡(luò )的入侵防范，主要是通過(guò)分析網(wǎng)絡(luò )流量中的異常攻擊行為并進(jìn)行攔截和響應。當前比較流行的網(wǎng)絡(luò )入侵防范技術(shù)包括：基于特征簽名的入侵防范技術(shù)、基于沙箱的入侵防范技術(shù)、基于網(wǎng)絡(luò )行為白名單的入侵防范技術(shù)和基于威脅情報的入侵防范技術(shù)。

2.1.1. 基于特征簽名的入侵防范技術(shù)

基于特征簽名的入侵防范技術(shù)，需要在網(wǎng)絡(luò )通信報文中匹配特征簽名以查找已知的漏洞攻擊或惡意程序。這種基于特征簽名的檢測引擎，使用了模式匹配算法，可以在現代系統上快速完成，因此對于確定的一套特征簽名來(lái)說(shuō)，進(jìn)行這種檢測所需要的計算能力是最小的。

簽名檢測引擎常用的模式匹配AC算法

基于特征簽名的檢測引擎也有弱點(diǎn)，由于簽名引擎僅檢測已知的攻擊，必須為每種攻擊制作一個(gè)簽名，而且新的攻擊無(wú)法檢測。由于簽名通常是根據正則表達式和字符串設計的，因此，簽名引擎還會(huì )出現較多誤報。

基于特征簽名的檢測引擎對于檢測以固定方式實(shí)施的攻擊很成功，但是對于人工制作的或者具有自我修正行為功能的蠕蟲(chóng)發(fā)起的多種形式的攻擊檢測就有些力不從心。由于必須為每一種攻擊的變體制作一個(gè)新的簽名，而且隨著(zhù)簽名的增加檢測系統的運行速度將減緩，因此，簽名引擎檢測這些變化的攻擊的整體能力將受到影響。

實(shí)際上，基于特征簽名的入侵防范可以歸結為攻擊者和簽名開(kāi)發(fā)商之間的軍備競賽。這場(chǎng)競賽的關(guān)鍵是簽名編寫(xiě)和應用到入侵防范引擎中的速度。

2.1.2. 基于沙箱的入侵防范技術(shù)

基于沙箱的入侵防范技術(shù)，需要在網(wǎng)絡(luò )通信報文中提取傳輸的文件，并將文件在虛擬機上執行，通過(guò)行為特征識別漏洞攻擊或惡意程序。這種基于沙箱的檢測引擎，使用了多個(gè)虛擬機并行運行，會(huì )耗費較多的計算能力。

沙箱技術(shù)的實(shí)踐運用流程是讓疑似病毒文件的可疑行為在虛擬的沙箱里充分表演，沙箱會(huì )記下它的每一個(gè)動(dòng)作；當疑似病毒充分暴露了其病毒屬性后，沙箱就會(huì )執行“回滾”機制，將病毒的痕跡和動(dòng)作抹去，恢復系統到正常狀態(tài)。

沙箱的技術(shù)原理

基于沙箱的入侵防范技術(shù)的優(yōu)點(diǎn)是對于零日漏洞攻擊和APT攻擊的檢測效果較好。沙箱檢測引擎一般支持PE文件、文檔、壓縮包、圖片、網(wǎng)頁(yè)（JS腳本）以及Shell Code的檢測，對惡意文件的檢測能力較好，但是對于基于網(wǎng)絡(luò )流量發(fā)起的零日漏洞攻擊，沒(méi)有太好的辦法。比如MS17-010這種直接針對服務(wù)器端發(fā)起的網(wǎng)絡(luò )流量攻擊，在該漏洞未公開(kāi)前直接基于流量攻擊，沙箱引擎很難檢測。

2.1.3. 基于網(wǎng)絡(luò )行為白名單的入侵防范技術(shù)

基于網(wǎng)絡(luò )行為白名單的入侵防范技術(shù)，需要學(xué)習網(wǎng)絡(luò )通信流量，建立協(xié)議指令白名單模型和網(wǎng)絡(luò )流量基線(xiàn)模型，通過(guò)白名單和流量模型來(lái)識別網(wǎng)絡(luò )攻擊或違規操作。這種基于網(wǎng)絡(luò )行為白名單的檢測引擎，適用于網(wǎng)絡(luò )流量相對簡(jiǎn)單的環(huán)境，比如工業(yè)控制系統網(wǎng)絡(luò )環(huán)境，模型建立前會(huì )耗費較多的計算能力進(jìn)行機器學(xué)習，模型建立后耗費的計算能力較小。

基于網(wǎng)絡(luò )行為白名單的檢測引擎，采用了協(xié)議深層解析技術(shù)，對應用層協(xié)議進(jìn)行深度解析，記錄下協(xié)議指令和操作數據，同時(shí)會(huì )記錄下流量特征，包括地址、端口、連接頻率、連接時(shí)間、應用協(xié)議、帶寬和流量圖等，將上述數據匯總分析后，建立協(xié)議指令白名單模型和網(wǎng)絡(luò )流量基線(xiàn)模型。

黑白名單技術(shù)的對比分析

基于網(wǎng)絡(luò )行為白名單的入侵防范技術(shù)的優(yōu)點(diǎn)是對于基于網(wǎng)絡(luò )流量的零日漏洞攻擊的檢測效果較好。但是要求在建立白名單模型的過(guò)程中，必須在干凈的流量環(huán)境下學(xué)習。該引擎的缺點(diǎn)是無(wú)法精準定位攻擊類(lèi)型。

2.1.4. 基于威脅情報的入侵防范技術(shù)

基于威脅情報的入侵防范技術(shù)，將網(wǎng)絡(luò )通信流量中采集的數據同威脅情報數據匹配來(lái)識別漏洞攻擊或惡意程序。這種基于威脅情報的檢測引擎，需要及時(shí)更新威脅情報數據，適用于開(kāi)放的網(wǎng)絡(luò )環(huán)境，基于威脅情報的檢測耗費的計算能力較小。

威脅信息服務(wù)的三種不同階段

iSight Partners將威脅信息服務(wù)分為三種不同的階段：簽名與信譽(yù)源，威脅數據源和網(wǎng)絡(luò )威脅情報。簽名與信譽(yù)源，一般指的是惡意程序簽名（文件哈希）、URL信譽(yù)數據和入侵指標。威脅數據源，對常見(jiàn)惡意程序和攻擊活動(dòng)的波及范圍、源頭和目標進(jìn)行統計分析。某些安全研究團隊針對特定惡意程序發(fā)布的攻擊解析，或者對高級、多階段攻擊的攻擊順序觀(guān)察，都屬于此類(lèi)。威脅情報包含了前兩者的基礎數據，但同時(shí)在幾個(gè)重點(diǎn)方面作了提升，包括在全球范圍內收集及分析活躍黑客的信息和技術(shù)信息，也就是說(shuō)持續監控黑客團體和地下站點(diǎn)，了解網(wǎng)絡(luò )犯罪者和激進(jìn)黑客共享的信息、技術(shù)、工具和基礎設施。此類(lèi)服務(wù)還要求其團隊擁有多樣化的語(yǔ)言能力和文化背景，以便理解全球各地黑客的動(dòng)機和關(guān)系。另外，威脅情報以對手為重點(diǎn)，具有前瞻性，針對攻擊者及其戰術(shù)、技術(shù)與程序（TTP）提供豐富的上下文數據。數據可能包括不同犯罪者的動(dòng)機與目標，針對的漏洞，使用的域、惡意程序和社工方式，攻擊活動(dòng)的結構及其變化，以及黑客規避現有安全技術(shù)的技巧。

針對攻擊方的威脅情報主要包括：攻擊者身份、攻擊的原因、攻擊目的、具體怎么做的、攻擊者的位置、如何組織情報（包括IP地址、哈希值等可用來(lái)更準確地檢測和標記惡意行為）、如何緩解攻擊。

基于威脅情報的入侵防范技術(shù)的優(yōu)點(diǎn)是可以快速檢測最新型的網(wǎng)絡(luò )攻擊，但是不具備對零日漏洞攻擊的檢測能力，同時(shí)要及時(shí)更新威脅情報庫。

2.2.基于主機的入侵防范技術(shù)

基于主機的入侵防范，主要是通過(guò)分析主機進(jìn)程和文件的異常攻擊行為并進(jìn)行攔截和響應。當前比較流行的主機入侵防范技術(shù)包括：基于特征簽名的入侵防范技術(shù)、基于沙箱的入侵防范技術(shù)、基于基因圖譜的入侵防范技術(shù)、基于主機行為白名單的入侵防范技術(shù)和基于EDR的入侵防范技術(shù)。

其中，前兩種基于主機的入侵防范技術(shù)在檢測原理上同基于網(wǎng)絡(luò )的入侵防范技術(shù)類(lèi)似，它們的區別在于：在主機上特征簽名引擎主要對文件中的特征串和文件的校驗和進(jìn)行模式匹配，沙箱引擎主要對系統中可執行程序的訪(fǎng)問(wèn)資源以及系統賦予的權限建立應用程序的沙箱來(lái)限制惡意代碼的運行。因此，本節主要介紹后三種基于主機的入侵防范技術(shù)。

2.2.1. 基于基因圖譜的入侵防范技術(shù)

基于基因圖譜的入侵防范技術(shù)，通過(guò)結合機器學(xué)習/深度學(xué)習、圖像分析技術(shù)，將惡意代碼映射為灰度圖像，建立卷積神經(jīng)元網(wǎng)絡(luò )CNN深度學(xué)習模型，利用惡意代碼家族灰度圖像集合訓練卷積神經(jīng)元網(wǎng)絡(luò )，并建立檢測模型，利用檢測模型對惡意代碼及其變種進(jìn)行家族檢測。這種基于基因圖譜的檢測引擎，模型建立前會(huì )耗費較多的計算能力進(jìn)行機器學(xué)習，模型建立后耗費的計算能力較小。

惡意代碼家族是有具有明顯特征的惡意代碼種類(lèi)，是由很多擁有共同特性的惡意代碼個(gè)體組成，共同特性通常包括相同的代碼、圖案、應用特征及相似的行為方式。惡意代碼家族中的個(gè)體成員之間差異較小，而且它們的基因結構也比較相近，猶如物種在進(jìn)化過(guò)程中基因變化一樣，如下圖所示，惡意代碼家族Worm.Win32.WBNA（1ef51f0c0ea5094b7424ae72329514eb、777b2c29dc6b0c0ad1cec234876a97df、 1701f09f7348b0a609b8819b076bb4df）中的三個(gè)成員，查看其PE文件紋理變化情況。下圖從上到下分為三層，每層分為三列。第一層從左到右為三個(gè)惡意代碼的紋理圖像，第二層從左到右為第一層三個(gè)紋理圖像的差異（與第一層的第一幅紋理圖像比較），第三層為惡意代碼標識，命名規則為“md5”。

Worm.Win32.WBNA 3個(gè)家族成員內容紋理差異對比

基于基因圖譜的入侵防范技術(shù)的優(yōu)點(diǎn)是對于已知惡意代碼的變種程序檢測效果較好，對于零日漏洞攻擊或新型惡意代碼檢測效果不佳。

2.2.2. 基于主機行為白名單的入侵防范技術(shù)

基于主機行為白名單的入侵防范技術(shù)，通過(guò)機器學(xué)習建立主機進(jìn)程白名單、網(wǎng)絡(luò )白名單、外設白名單、配置策略安全基線(xiàn)和文件強制訪(fǎng)問(wèn)控制模型，利用上述模型檢測并阻止新型的惡意代碼或違規操作。這種基于主機行為白名單的檢測引擎，適用于應用程序相對單一的環(huán)境，比如工業(yè)控制系統計算環(huán)境，模型建立前會(huì )耗費較多的計算能力進(jìn)行機器學(xué)習，模型建立后耗費的計算能力較小。

基于主機行為白名單的入侵防范技術(shù)，很好的滿(mǎn)足了等保2.0中關(guān)于安全計算環(huán)境的入侵防范要求。主機進(jìn)程白名單，對應了應用程序最小運行原則，和應用程序的最小安裝原則相互呼應。網(wǎng)絡(luò )白名單，對應了應用服務(wù)和開(kāi)放端口的最小化原則。外設白名單，對應了外設接入的管控。配置策略安全基線(xiàn)，對應了配置策略的安全核查，從另外一個(gè)方面解決了配置弱點(diǎn)漏洞。文件強制訪(fǎng)問(wèn)控制，加強了對惡意文件的權限管控，可以防文件篡改，保護了系統核心文件的安全。

進(jìn)程白名單可以有效防護新型的惡意代碼攻擊

基于主機行為白名單的入侵防范技術(shù)的優(yōu)點(diǎn)是對于基于零日漏洞的惡意代碼攻擊的檢測效果較好，但是一旦零日漏洞攻擊進(jìn)入Ring 0層并擁有了驅動(dòng)卸載權限后，白名單軟件很難防護?；谥鳈C行為白名單的入侵防范技術(shù)要求在建立白名單模型的過(guò)程中，必須在干凈的系統環(huán)境下學(xué)習。

2.2.3. 基于EDR的入侵防范技術(shù)

基于EDR（Endpoint Detection and Response，終端防護和相應）的入侵防范技術(shù)，通常會(huì )記錄大量終端和網(wǎng)絡(luò )事件（包括用戶(hù)、文件、進(jìn)程、注冊表、內存和網(wǎng)絡(luò )事件），把這些信息保存在終端本地，或者保存在中央數據庫中，然后使用已知的攻擊指示器、行為分析和機器學(xué)習技術(shù)識別攻擊威脅，檢測系統漏洞并對這些威脅風(fēng)險做出快速響應?；贓DR的入侵防范技術(shù)能夠對終端進(jìn)行持續的檢測，發(fā)現異常行為并進(jìn)行實(shí)時(shí)的干預。這種技術(shù)耗費的計算能力較高。

EDR檢測引擎至少要具備四種類(lèi)型的能力，如下圖所示。

EDR需要具備的四種類(lèi)型的能力

1）能夠在安全事件發(fā)生時(shí)進(jìn)行檢測；

2）記錄并響應相關(guān)終端事件；

3）支持對事件的調查分析；

4）為受影響終端提供補救機制。

一個(gè)有效的 EDR 系統首先要求在所有終端上線(xiàn)時(shí)以及以后每次使用時(shí)發(fā)現、分類(lèi)和評估它們?；诮K端發(fā)現，EDR 系統部署實(shí)施有代理或無(wú)代理機制，用于實(shí)現威脅檢測、監控和報告功能，該功能插入特定管理服務(wù)，定期收集跟蹤活動(dòng)、軟件配置、安全狀態(tài)等數據，并存入相應數據庫。同時(shí)先進(jìn)的 EDR 系統可以幫助減少整體攻擊面，限制攻擊的影響，并使用威脅情報和觀(guān)察來(lái)預測攻擊可能發(fā)生的時(shí)間和方式。

基于EDR的入侵防范技術(shù)的優(yōu)點(diǎn)是可以識別并阻斷各類(lèi)已知和未知的攻擊行為，可以對攻擊全流程進(jìn)行溯源追蹤。該技術(shù)基于行為分析，也會(huì )產(chǎn)生一定的誤報。

3

入侵防范技術(shù)對比分析

上面小節論述的入侵防范技術(shù)的對比分析如下表：

基于白名單的入侵防范技術(shù)，在網(wǎng)絡(luò )流量或主機行為簡(jiǎn)單的環(huán)境下適用性較好，比如工業(yè)控制系統環(huán)境。