1、應用層威脅介紹

今天，各種蠕蟲、間諜軟件、網絡釣魚等應用層威脅和EMAIL、移動代碼結合，形成復合型威脅，使威脅更加危險和難以抵御。這些威脅直接攻擊企業核心服務器和應用，給企業帶來了重大損失；攻擊終端用戶計算機，給用戶帶來信息風險甚至財產損失；對網絡基礎設施進行DoS/DDoS攻擊，造成基礎設施的癱瘓；更有甚者，像電驢、BT等P2P應用和MSN、QQ等即時通信軟件的普及，企業寶貴帶寬資源被業務無關流量浪費，形成巨大的資源損失。面對這些問題，傳統解決方案最大的問題是，防火墻工作在TCP/IP 3~4層上，根本就“看”不到這些威脅的存在，而IDS作為一個旁路設備，對這些威脅又“看而不阻”，因此我們需要一個全新的安全解決方案。

在解決問題之前，我們需要先了解一下應用層威脅的形式和原理。所謂應用層威脅，主要包括入蠕蟲、木馬、間諜軟件、帶寬濫用、DDoS攻擊、網頁篡改等。下面我們重點介紹一下蠕蟲、間諜軟件、帶寬濫用這三個典型的應用層威脅。

蠕蟲

蠕蟲的定義是指“通過計算機網絡進行自我復制的惡意程序，泛濫時可以導致網絡阻塞和癱瘓”。從本質上講，蠕蟲和病毒的最大的區別在于蠕蟲是通過網絡進行主動傳播的，而病毒需要人的手工干預（如各種外部存儲介質的讀寫）。但是時至今日，蠕蟲往往和病毒、木馬和DDoS等各種威脅結合起來，形成混合型蠕蟲。

蠕蟲有多種形式，包括系統漏洞型蠕蟲、群發郵件型蠕蟲、共享型蠕蟲、寄生型蠕蟲和混和型蠕蟲。其中最常見，變種最多的蠕蟲是群發郵件型蠕蟲，它是通過EMAIL進行傳播的，著名的例子包括“求職信”、“網絡天空NetSky”、“雛鷹 BBeagle”等，2005年11月爆發的“Sober”蠕蟲，也是一個非常典型的群發郵件型蠕蟲。群發郵件型蠕蟲的防治主要從郵件病毒過濾和防垃圾郵件上入手。

下面我們重點談談“系統漏洞型蠕蟲”，系統漏洞型蠕蟲利用客戶機或者服務器的操作系統、應用軟件的漏洞進行傳播，成為目前最具有危險性的蠕蟲。以沖擊波蠕蟲為例，它就是利用Microsoft RPC DCOM 緩沖區溢出漏洞進行傳播的。系統漏洞型蠕蟲傳播快，范圍廣、危害大。例如2001年CodeRed的爆發給全球帶來了20億美金的損失，而SQL Slammer只在10分鐘內就攻破了全球。由于系統漏洞型蠕蟲都利用了軟件系統在設計上的缺陷，并且他們的傳播都利用現有的業務端口，因此傳統的防火墻對其幾乎是無能為力。實際上，系統漏洞是滋生蠕蟲的溫床，而網絡使得他們可以恣意妄為。

間諜軟件

網絡安全專家對于什么是“間諜軟件”一直在討論。根據微軟的定義，“間諜軟件是一種泛指執行特定行為，如播放廣告、搜集個人信息、或更改你計算機配置的軟件，這些行為通常未經你同意”。

嚴格說來，間諜軟件是一種協助搜集（追蹤、記錄與回傳）個人或組織信息的程序，通常是在不提示的情況下進行。廣告軟件和間諜軟件很像，它是一種在用戶上網時透過彈出式窗口展示廣告的程序。這兩種軟件手法相當類似，因而通常統稱為間諜軟件。而有些間諜軟件就隱藏在廣告軟件內，透過彈出式廣告窗口入侵到計算機中，使得兩者更難以清楚劃分。

間諜軟件主要通過Active X控件下載安裝、IE瀏覽器漏洞和免費軟件綁定安裝進入用戶的計算機中，間諜軟件的危害主要體現如下：

1、  間諜軟件對企業已形成隱私與安全上的重大威脅。這些入侵性應用程序搜集包括信用卡號碼、密碼、銀行賬戶信息、健康保險記錄、電子郵件和用戶存取數據等敏感和機密的公司信息后，將之傳給不知名的網站而危及公司利益。

2、  而由間諜軟件所產生的大批流量也可能消耗公司網絡帶寬，導致關鍵應用系統出現擁塞、延遲以及丟包的情況。

3、  許多間諜軟件寫得很差，在進入企業網絡后可能產生新的漏洞，或是造成工作站使用時出現性能問題，如屏幕凍結、不定期變慢與通用保護錯誤等等。

由于間諜軟件主要通過80端口進入計算機，也通過80端口向外發起連接，因此傳統的防火墻無法有效抵御，必須通過應用層內容的識別進行采取相關措施。

帶寬濫用

“帶寬濫用”是指對于企業網絡來說，非業務數據流（如P2P文件傳輸與即時通訊等）消耗了大量帶寬，輕則影響企業業務無法正常運作，重則致使企業IT系統癱瘓。所謂P2P，全稱叫做“Peer-to-Peer”，即對等互聯網絡技術，也叫點對點網絡技術，它讓用戶可以直接連接到其它用戶的計算機，進行文件共享與交換。

圖 業務模型從C/S向P2P轉移

P2P改變了傳統的C/S架構模式，使得互聯網資源共享的帶寬不再受制于服務器的網卡的速度，而取決于參與共享的計算機的總的網卡帶寬。例如，英國網絡流量統計公司CacheLogic表示,去年全球有超過一半的文件交換是通過BT進行的，BT占了互聯網總流量的35％，使得瀏覽網頁這些主流應用所占的流量相形見絀。

P2P的典型應用包括兩類：

1、  文件共享型P2P應用，包括BT、eMule、eDonkey等等

2、  IM即時通訊軟件，如QQ、MSN、Skypy等等

帶寬濫用給網絡帶來了新的威脅和問題，甚至影響到企業ＩＴ系統的正常運作，它使用戶的網絡不斷擴容但是還是不能滿足“P2P對帶寬的渴望”，大量的帶寬浪費在與工作無關流量上，造成了投資的浪費和效率的降低。另一方面，P2P使得文件共享和發送更加容易，帶來了潛在的信息安全風險。

2、深度安全保護

面對日益猖獗的應用層威脅，入侵防御系統（IPS，Intrusion Prevention System）應運而生。DPtech系列IPS，具備對2層到7層流量的深度分析與檢測能力，同時配合以精心研究的攻擊特征知識庫、病毒庫和應用協議庫，既可以有效檢測并實時阻斷隱藏在海量網絡流量中的病毒、攻擊與濫用行為，也可以對分布在網絡中的各種流量進行有效管理，從而達到對網絡上應用的保護、網絡基礎設施的保護和網絡性能的保護。

DPtech系列IPS可以被“in-line”地部署到網絡當中去，對所有流經的流量進行深度分析與檢測，從而具備了實時阻斷攻擊的能力，同時對正常流量不產生任何影響?；谄涓咚俸涂蓴U展的硬件平臺，DPtech系列IPS 不斷優化檢測性能，使其能夠達到千兆級的高吞吐量和微秒級低延時，同時可以對所有主要網絡應用進行分析，精確鑒別和阻斷攻擊。DPtech系列IPS的出現使得應用層威脅問題迎刃而解。

在具備高速檢測功能的同時，威脅過濾引擎還提供流量控制和分析功能，可以自動統計和計算正常狀況下網絡內各種應用流量的分布，并且基于該統計形成流量框架模型；當DoS/DDoS攻擊發生，或者短時間內大規模爆發的病毒導致網絡內流量發生異常時，DPtech系列IPS將根據已經建立的流量框架模型限制或者丟棄異常流量，保證關鍵業務的可達性和通暢性。此外，為防止大量的P2P、IM流量侵占帶寬，DPtech系列IPS還支持對100多種P2P/IM應用的限速功能，保證關鍵應用所需的帶寬。