Zero Day Protection 11月 28, 2005
Posted by wansion in 技术.trackback
标 题: Zero Day Protection 市场噱头还是名副其实
发信站: 辛巴达 (Sun Dec 26 14:20:42 2004)
by stardust
NIDS/NIPS产品本身和相关技术总是能引起大大小的争议,最近有厂商声称自己的NIPS产品有
Zero Day Protection的功能,有人不解其意,跑到focus-ids邮件列表上来问,一些大牛按
自己的理解作答,基本上有以下几种想当然:
1. 指提取某些栈溢出、堆溢出、格式串溢出攻击的共同特征,通过检测这些与具体漏洞无关
的特征来实现对于利用未知漏洞的溢出类攻击,不需要已知漏洞或攻击代码就可能检测到未
知的溢出类攻击。
这种技术无疑是比较先进的,但从现在主流的NIPS/NIDS产品来看,比较完美实现这类技术的
基本没有,大多号称实现的也就是结合协议异常所做的shellcode特征深入分析,比如NIPS/
NIDS通过协议分析发现FTP协议某个命令所带的参数超长,然后发现参数串里有大量的0x90(
x86架构类CPU的NOP指令),以此认定这是一个溢出攻击企图,即便如此由于网络数据的复杂
性、攻击数据的可变性也只能处理那些常见的情况,对于ADMmute之类的变形则可用性大大降
低,因为可能引起的误报太多。要真正实现有用的检测,对溢出攻击普遍特征的分析是要加
强一方面,另一个方面则是提高NIPS/NIDS的计算处理能力,个人认为如果NIPS/NIDS硬件的
计算能力有很大幅度的提高,实现比较准确地对于未知溢出攻击的检测还是有可能的,但现
在就以此号称zero day protection显然是不合适的。
2. 指NIPS/NIPS实现类似一些先进病毒检测引擎的启发式、基于行为、协议异常、统计的分
析能力,以此来实现对于某些未知攻击和网络异常情况的检测。比如基于漏洞利用类蠕虫传
播的网络特征,统计同一源IP指向同一目地端口的相同payload数据包的数量,一旦出现了突
然大量此类流量则极有可能是某个已知或未知蠕虫的爆发,这也可以说是一个基于行为的分
析,发现某些未知的攻击。
目前号称的基于异常检测的NIPS/NIDS基本就是综合使用了上面所说的技术,这些技术往深里
做可能直接与人工智能的研究成果相关,而在那方面在近些年几乎没有突破性进展,传说中
的数据挖掘和神经网络也还只是论文里打转转,实用的工业级别的设备远未作为主要的检测
技术采用,完全基于异常检测的NIPS/NIDS产品必然存在误报高的问题。应该说基于异常和行
为的分析是NIDS/NIPS产品技术上的发展方向,但这一切有赖于理论上取得重大突破,不知道
这样的时候什么才能到来,我本人是持悲观态度的。还有就是永恒的性能问题,NIDS/NIPS与
运行于单机上的防病毒产品很大不同的地方在于,单机上的防毒产品只需要处理本身的文件
和内存,性能上的负担和实时性压力不是太大,从而允许其使用一些相对比较复杂的诸发启
发式的扫描分析,可NIDS/NIPS每秒可能需要处理上G的流量,做很深入的分析必定会极大的
影响吞吐率,厂商必须在性能和高级特性之间做出妥协。
3. 指在漏洞公布以后攻击代码出现以前,厂商根据自己对于漏洞的研究和分析在NIDS/NIPS
产品中加入利用此漏洞进行攻击的特征检测,如果厂商对漏洞的研究够深入,实现从原理上
的检测,那么以后出现的所有利用此漏洞的攻击都可以被检测到。比如前阵子被发现的Serv
-U FTP服务器带畸形参数的MDTM命令溢出漏洞,厂商在了解了漏洞的细节以后,可以加入检
测带有一定特征的超长参数的MDTM命令的规则,这样基本上可以检测到利用此漏洞的所有攻
击。
这种方式只能非常勉强地算作是zero day protection,因为漏洞公布先于攻击代码这点是很
难保证的,有些时候甚至是攻击代码先于漏洞被发现,某些黑客团体发现了可利用的严重漏
洞不公布,利用这些漏洞进行入侵活动,直到他们的活动被Honeypot所捕获或入侵响应人员
分析出系统被攻击时所利用的漏洞,到那时公众才意识到漏洞的存在,以前的WebDAV溢出漏
洞就是这样一个例子,我们是先看到了攻击发生,之后才发现存在的漏洞。即使漏洞先于攻
击代码公布,这里也有一个时间窗口的问题,NIDS/NIPS厂商分析的漏洞速度是不是就一定赶
得上攻击者,这其实就是一场时间上的赛跑,黑客团体的技术水平日渐提高,一个规模不大
的NIDS/NIPS厂商漏洞跟踪能力上极有可能赶不上数量巨大的黑帽子们,所以,由此方式实现
的所谓zero day protection实不足信。
综合如上的分析,个人感觉zero day protection基本上就是个市场噱头、宣传手段,因为从
当前主流的NIDS/NIPS实现攻击检测的方法来看,都没有相对比较成熟的检测未知攻击、异常
事件的能力,NIDS/NIPS要真正实现还有很长的路要走。
I HAVE A DREAM 
评论»
No comments yet — be the first.