UTM檢測技術面臨的難關
面對安全威脅的發展趨勢,傳統的防火墻已經顯得無能為力。它無法檢測出利用正常業務端口展開的惡意威脅與攻擊,也無法檢測和控制占用用戶大量網絡資源的IM、P2P軟件。在這種情況下,融合多種安全能力,能夠針對應用層進行深層檢測、實現立體防御的UTM設備應運而生。
UTM檢測技術面臨的難關
作為新一代的安全網關,UTM與傳統防火墻的一大區別就是具備深層檢測能力。
通過深層檢測,UTM可以識別出傳統防火墻無法應對的威脅和網絡濫用。但是,實現深層檢測有以下三個難點:
第一,全面。深層檢測在部分用戶看來是網關防病毒的同義詞,實際上,其真正目的不僅僅是對病毒的防御,還包括對溢出攻擊、惡意腳本、SQL注入攻擊、P2P應用、網絡游戲等惡意攻擊和網絡濫用行為的檢測及防御。只有實現了“全面”的深層檢測,才能給網關安全帶來足夠的保障。
第二,精確。UTM一般都是在網關處進行部署,在進行深層檢測時必須確保不出現誤判。如果深層檢測出現了誤判,那么依據錯誤檢測所做的防御措施會給用戶的正常業務帶來嚴重影響。無論是對最新的病毒變種還是對傳統的溢出攻擊,UTM的深層檢測都必須確保精確識別。
第三,管理。傳統的深層檢測設備管理起來復雜煩瑣,需要用戶具備較高的技術能力,能夠有針對性地分析檢測結果,并根據分析結果和行業特點對設備進行優化配置,才能取得比較好的效果。簡化配置操作,方便用戶管理,是用戶對深層檢測功能的迫切需求。不過,在了解深層檢測之前,首先要解析下UTM狀態檢測技術。
UTM狀態檢測技術
UTM僅檢查獨立的信息包是不夠的,因為狀態信息(以前的通信和其他應用信息)是控制新的通信連接的最基本的因素。對于某一通信連接,通信狀態(以前的通信信息)和應用狀態(其他的應用信息)是對該連接做控制決定的關鍵因素。因此為了保證高層的安全,UTM必須能夠訪問、分析和利用以下幾種信息:
·通信信息:所有應用層的數據包的信息;
·通信狀態:以前的通信狀態信息;
·來自應用的狀態:其他應用的狀態信息;
·信息處理:基于以上所有元素的靈活的表達式的估算。
狀態檢測技術能在網絡層實現所有需要的UTM訪問控制能力。
UTM上的狀態檢測模塊能訪問和分析從各層次得到的數據,并存儲和更新狀態數據及上下文信息,為跟蹤無連接的協議(比如RPC和基于UDP的應用)提供虛擬的會話信息。UTM根據從傳輸過程和應用狀態所獲得的數據,以及網絡設置和安全規則產生一個合適的操作,或者拒絕、或者允許、或者加密傳輸。但任何安全規則都沒有明確允許的數據包將被丟棄或者產生一個安全警告,并向系統管理員提供整個網絡的狀態。
檢測模塊支持多種協議和應用程序,并可以很容易地實現應用和服務的擴充。與其他安全方案不同,當用戶訪問到達網關的操作系統時,狀態監視器要抽取有關數據進行分析,結合網絡配置和安全規定做出接納、拒絕、鑒定或給該通信加密等決定。一旦某個訪問違反安全規定,安全報警器就會拒絕該訪問,并做記錄,向系統管理器報告網絡狀態。這種UTM無疑是非常堅固的,但它的配置非常復雜,而且會降低網絡的速度。
兩種深層檢測方法
一是通過定義報文特征來實現對已知攻擊及網絡濫用的檢測,其優勢是技術上實現簡單、迅速;但僅能識別已知攻擊和應用。
另一種是通過分析攻擊產生原理,定義攻擊類型的統一特征,能準確識別基于相同原理的各種攻擊、不受攻擊變種的影響,但技術門檻高、擴充復雜、應對新攻擊速度有限。
目前來看,將動態檢測與靜態檢測有機結合,消除各自剛性,可以形成一種“柔性檢測”的機制。在這種機制下,可以有效發揮兩種檢測技術各自的優勢,從而進一步提高檢測的覆蓋面。換句話說,無論是黑客攻擊、P2P軟件還是病毒變種,在柔性檢測機制下都可以做到最大程度的覆蓋。
其實,各種深層檢測技術的初衷都是為了提升安全網關的精確識別能力。在這種思想的指導下,通過VFPR(快速協議識別)、基于原理的SQL注入檢測、基于行為的關聯分析算法等,都可以進一步增強一體化安全網關的精確檢測能力。
另外,一些安全廠商專門建立了面向網絡攻防研究的積極防御實驗室(AD-LAB),這可以在第一時間內獲得各種安全事件信息,并對各類安全事件進行深入研究,從而確保用戶在最短時間內獲得對最新攻擊的精確防御能力。
對付混合攻擊時UTM采用的技術
多層分解檢測技術:一個混合攻擊的病毒有多個模塊比如端口掃描,漏洞掃描之類的,而UTM也有多個模塊來分別應對,各個模塊也各司其職,分別用來對付此類病毒的各個模塊,對于混合攻擊的防范可以通過與IPS的結合來有效應對,所以UTM是檢測混合攻擊最有效的產品。
漏洞利用代碼檢測技術:如今的病毒都喜歡利用漏洞來加以傳播,因此UTM的防毒技術模塊除了采用傳統的檢測方法外,還應該根據漏洞利用代碼的原理來檢測已知或未知的此類病毒或者混合攻擊。
編者按:
UTM中的防病毒除了引用傳統的病毒檢測技術外,還應該配合一些新的技術來提高病毒檢測的效率與性能,如采用流檢測的技術和對未知病毒的檢測方法等等。合眾家之長才能實現安全目標。
