内容检测加基于网络的安全思路
来源:中国IT实验室 更新时间:2007-09-16

 对于充分保护企业基础架构到底需要哪些防御措施,在IT行业有很多混乱的观点。所以经常会听到这样的声音:“我不需要那东西,我已经安装了防病毒系统了”,但实际上这与真实情况差别很远。其中与事实出入最大的观点就是“网络基础设施可以防止多种形式的攻击”。本文就是针对两种类型的攻击进行说明,并提出了检测和减轻损害的方法。

  基于内容的攻击

  基于内容的攻击就是在网络传输内容当中包含恶意程序(malware),这种类型的攻击包括:

  ● 大家都熟悉的宏攻击——微软OFFICE文件当中的破坏性宏。

  ● 特洛伊程序——某些看起来有用或有趣的程序,但是实际上包含恶意代码。

  ● 基于恶意的Active-X和Java程序的攻击。

  基于内容的攻击可以通过常规的FTP、HTTP、SMTP或点对点网络传播,值得注意的是,这些网络数据流本身并没有任何问题,数据流携带的内容本身完全合法。“内容(有效载荷)”只是数据流本身的一部分,此外,“内容”可能通过成百上千的合法信息传播,为了防止这种基于内容的攻击,就要做到以下几点:

  ● 数据包必须重新组合

  ● 数据流中包含的文件必须重组组合,以正确的顺序复制原始内容。

  ● 对重新组合的内容必须作为一个整体进行检验,确定其中是否包含恶意代码。

  由于执行以上这些操作需要花费大量的CPU时间和占用大量的存储空间,因此根本无法制造一种在线网络设备执行实时的基于内容的检测功能,如果要完成这一类工作,应该采取以下方式:

  ● 设置专用的内容检测计算机专门对邮件或Web流量进行基于内容的检测。

  ● 在每台终端用户中,进行类似病毒扫描一样的操作。

  当然,最简单的办法就是不接收可能传输“内容”的数据流。FTP和点对点协议是传输恶意代码的主要途径,但是你不能禁止SMTP和HTTP协议,所以这种方法只能起到部分作用。

  总而言之,防止基于内容的攻击需要对内容当做整体进行检查,必须部署像防病毒工具之类的邮件扫描网关和基于主机的内容检测工具。

  基于网络的攻击

  基于网络的攻击利用了面向网络的应用程序或操作系统当中存在的弱点。他们与基于内容的攻击不同,这种攻击方式是针对要攻击的机器发送特定的攻击数据包,而不是发送要执行的内容。

  由于这种攻击是针对面向网络的应用或操作系统存在的BUG的,因此其起因与影响都隐藏在受到攻击的机器的内部,能够逃脱内容扫描工具的检测。所以在检测和减轻这种类型的攻击方面,内容扫描技术完全不起作用。利用深度包检测防火墙、入侵检测和入侵预防系统等基于网络的技术才能起作用,而不只是防病毒系统!

  应该怎么做?

  对于用户来说,最重要的就是充分理解这两种类型的攻击,理解采用不同的技术才能充分降低不同类型攻击带来的损失。利用内容检测技术能够减少基于内容的功能带来的损失,而要应对基于网络的攻击,则要采用实时的在线网络安全技术。当然,这两种技术都需要不断更新。

  完整的安全解决方案当中必须包含内容检测技术和基于网络的安全技术。否则系统当中存在的弱点将会成为整个系统的漏洞。