2012-01-29 18:44至顶网陈广成

　　Wikipedia有一个关于"入侵监测系统规避技术"的词条：

　　“规避这个术语是用来描述一种能够绕过信息安全设备进行入侵，攻击或植入恶意软件到目标网络或系统而不被发现的技术。”

　　早在1998年就有人提出规避技术，而如今已经过去这么多年了。更重要的是，现在有了AET(Advanced Evasion Technique)。

　　高级规避技术

　　NSS Labs的CEO Rick Moy讲述了讲述的有关AET的内容：

　　“规避技术可以让攻击者在面对安全软硬件产品时伪装或隐藏其攻击行为。AET则是一种复合型的规避技术，更难以被察觉。

　　AET 目前更多的还只是一种销售上的术语，所以在技术领域流传的并不广泛。尽管如此，由AET发动的攻击确实存在。企业应该对此给予足够的重视。

　　NSS 已经对规避技术进行了多年的测试，而今年测试的重点就是AET。”

　　Rick表示 NSS Labs已经做了大量有关AET的测试，而且通过侧面了解，Rick所测试的产品是来自 Stonesoft.com公司的 ，Stoneoft公司专门进行有关AET的研究工作。

　　记者： “规避技术”这个术语并不被经常提起，对于Stonesoft来说，这个术语意味着什么呢?

　　Stonesoft： 从技术上讲，规避技术正如Rick 所说的，是一种方法或手段，它是通过一种特殊的方式将攻击伪装起来，避免被IPS或IDS监测到，同时还能够对特定目标发动特定攻击。

　　更重要的是，规避技术体现出IPS/IDS研究领域的一个巨大疏漏，因为IPS/IDS 更多的是将注意力放在了所谓的“零日攻击”，蠕虫以及其它可以比较简单就被识别的攻击。Stonesoft之所以如此重视规避技术，是因为考虑到黑客的攻击动机(金钱)，要规避IPS的监测并没有那么难。

　　对于黑客来说，与攻击成功后获得的巨大经济利益相比，前期投入一些资金和精力，开发一套自动化的融合多种规避技术，可以有效规避IPS/IDS 监测的工具，是非常值得的。因此Stonesoft愿意花时间和精力来研究规避技术，并将研究成果在技术社区内与大家分享。

　　记者： 您是说IDS和IPS是目前对付主流规避技术的主要手段吗?这些系统有效吗?

　　Stonesoft： 是的。 IPS/IDS设备就是用来防止和预防攻击的。这类设备的职责就是检查流经的数据，并判断其中是否携带了攻击倾向的数据。有些攻击数据在尝试隐藏自身时，会使得数据流看上去不正常，或者有些混乱。

　　在大多数情况下， IPS/IDS设备都能正确的检测出这些异常，只要攻击者所采取的规避技术不会超越传统规避技术太多。但是，如果攻击者采用了多层级的规避技术，那么IPS/IDS设备的检测效果就会大打折扣。

　　记者： 我读到过一份报道，介绍2010年Softstone曾经进行过一项独特的挑战。你们的开发团队决定成为规避技术的专家，从而进行更深入的研究，找出反规避技术的能力。目前这个项目怎么样了?

　　Stonesoft： 我们对我们的发现都感到惊讶。建立一个高级规避系统所需要的工具在每个黑客手里都有，而且，只需要将常见的规避工具简单的组合，就能有效的绕过如今市场上大部分IPS/IDS 系统的检测。

　　这个事实让我们开始研究该如何改进IPS/IDS 设备，以及如何进行规范化的长期发展。我们的研究揭示了当前主流IPS/IDS 设备存在的不足，而这些不足肯定会影响客户的安全预期，应该被立刻加以弥补。因为金钱是一个很强大的动力，因此黑客肯定不会停止对高级规避技术的利用。

　　记者： 听说在研究过程中， Stonesoft的研究人员总共发现了23中所谓的高级规避技术(AET)。那么这些技术之间有什么差别么?

　　Stonesoft： 简单的讲，传统意义上用来绕过IDS/IPS 设备的规避技术所涉及的具体操作都是针对OSI模型中的某一层的。

　　比如在IP层，有一种技术会制造出数据包碎片，通过大量的碎片来影响IPS设备，导致IPS设备无法正常识别混杂在数据包碎片中的攻击数据。好在这种技术，包括其他类似的技术已经被安全防护系统厂商知晓并开发出了应对产品。

　　与之不同，AET同时涉及到多个OSI模型层中的不同规避技术。比如在TCP层分组一个数据包，然后再另一个模型层将接收端能看到的数据顺序进行逆反。

　　当使用一个规避技术时， IPS/IDS 设备能够将其发现并截获。但是当多个规避技术应用在相同的数据包时， IPS/IDS 没有足够的时间对其进行分析辨别，也就是无法对其进行标准化。当一个数据包无法被恰当的标准化，即IPS/IDS无法为其添加头尾标记时，根据IPS/IDS的设计规则，IPS/IDS必须对这个数据包放行，也就是允许恶意数据流通过。如果说防火墙默认设计是拒绝，那么IPS/IDS的默认设计就是通过。

　　方便大家参考，我将OSI模型列出来：

　　· Layer 7： 应用层 (协议举例： HTTP, SMTP)

　　· Layer 6： 表示层 (协议举例： ASCII)

　　· Layer 5： 会话层 (协议举例： MSRPC)

　　· Layer 4： 传输层 (协议举例： TCP)

　　· Layer 3： 网络层 (协议举例： IP)

　　· Layer 2： 数据链路层 (协议举例：ARP)

　　· Layer 1： 物理连接层

　　单独对于任何一个模型层的操作都会被IPS/IDS识别和捕获。而创造性的对多个层进行操作，IPS/IDS就无计可施了。如果攻击者能够创建这样的数据包，使得IPS/IDS没有能力对其进行检测(标准化)，那么他就可以将恶意数据绕过IPS/IDS进行传输。

　　记者： Stonesoft会根据这个研究成果做什么措施呢?安全社团对于你们的研究成果有什么反馈?

　　Stonesoft： 从去年开始，我们就联合CERT，公布我们测试完成的规避技术范例。我们之所以这样做是为了推动安全社团重视到当前IPS/IDS 设备存在的弱点，即多次使用规避技术的数据包无法被IPS/IDS 设备识别这个弱点。

　　而对于我们的研究成果，安全社团主要分两种态度，一种是怀疑，另一种是关心。有些厂商认为AET是难以实现或根本不可能实现的，而另一些厂商认为逻辑上讲，黑客在利益的驱动下，接下来就会大规模的应用这种技术。

　　很多人都曾经问我，现实中AET的利用率是不是很高。我只能说，根据黑客的本性，以及这种机制难以发现的特性，很可能AET已经被部分黑客利用。因此，我们觉得对于这个领域的研究是值得的，并且希望能为行业带来最有效的防护研究成果。

　　总结

　　虽然是头一次听到这个所写，但是不管我们喜不喜欢他，AET确实是存在的。而且，直到IDS/IPS厂商能够解决这个难题之前，我们都要格外留意自己的网络安全。