高級逃逸技術(shù)(AET)的分析

高級逃逸技術(shù)（AET的分析一、當今的網(wǎng)絡安全現(xiàn)狀當前，信息科技的發(fā)展使得計算機的應用范圍已經(jīng)遍及世界各個角落。眾多的企業(yè)都紛紛依靠IT技術(shù)構(gòu)建企業(yè)自身的信息系統(tǒng)和業(yè)務運營平臺。IT網(wǎng)絡的使用極大地提升了企業(yè)的核心競爭力，使企業(yè)能在信息資訊時代脫穎而出。企業(yè)利用通信網(wǎng)絡把孤立的單機系統(tǒng)連接起來，相互通信和共享資源。但由于計算機信息的共享及互聯(lián)網(wǎng)的特有的開放性，使得企業(yè)的信息安全問題日益嚴重。在企業(yè)對于信息化系統(tǒng)嚴重依賴的情況下，如何有效地增強企業(yè)安全防范能力以及有效的控制安全風險是企業(yè)迫切需要解決的問題。同時中小企業(yè)在獨特的領(lǐng)域開展競爭，面對競爭壓力，他們必須有效地管理成本和資源，同時維護業(yè)務完整性和網(wǎng)絡安全性。企業(yè)網(wǎng)絡中可能存在的問題：外部安全隨著互聯(lián)網(wǎng)的發(fā)展，網(wǎng)絡安全事件層出不窮。近年來，計算機病毒傳播、蠕蟲攻擊、垃圾郵件泛濫、敏感信息泄漏等已成為影響最為廣泛的安全威脅。對于企業(yè)級用戶，每當遭遇這些威脅時，往往會造成數(shù)據(jù)破壞、系統(tǒng)異常、網(wǎng)絡癱瘓、信息失竊，工作效率下降，直接或間接的經(jīng)濟損失都很大。內(nèi)部安全據(jù)最新調(diào)查顯示，在受調(diào)查的企業(yè)中，60%以上的員工利用網(wǎng)絡處理私人事務。對網(wǎng)絡的不正當使用，降低了生產(chǎn)率，阻礙了電腦網(wǎng)絡，消耗了企業(yè)網(wǎng)絡資源，并引入了病毒和間諜程序，或者使得不法員工可以通過網(wǎng)絡泄漏企業(yè)機密，導致企業(yè)的損失。企業(yè)業(yè)務服務器不僅需要來自互聯(lián)網(wǎng)的安全防護，對于內(nèi)網(wǎng)頻發(fā)的內(nèi)部非正常訪問及病毒威脅，同樣需要進行網(wǎng)絡及應用層的安全防護。內(nèi)部網(wǎng)絡之間、內(nèi)外網(wǎng)絡之間的連接安全隨著企業(yè)的發(fā)展壯大及移動辦公的普及，逐漸形成了企業(yè)總部、各地分支機構(gòu)、移動辦公人員這樣的新型互動運營模式。怎么處理總部與分支機構(gòu)、移動辦公人員的信息共享安全，既要保證信息的及時共享，又要防止機密的泄漏已經(jīng)成為企業(yè)成長過程中不得不考慮的問題。各地機構(gòu)與總部之間的網(wǎng)絡連接安全性直接影響企業(yè)的高效運作。上網(wǎng)行為和帶寬的管理需求計算機網(wǎng)絡已經(jīng)成了支撐企業(yè)業(yè)務的重要環(huán)節(jié)，同時也成為了企業(yè)員工日常不可缺少的工作及休閑的一部分。員工們習慣了早上打開電腦訪問新聞網(wǎng)站，到淘寶網(wǎng)上去購買商品，到開心網(wǎng)去停車、偷菜，通過炒股軟件觀覽大盤走勢、在線交易，甚至下載和在線觀看電影視頻、玩網(wǎng)絡游戲??…企業(yè)連接網(wǎng)絡的初衷是加快業(yè)務效率、提高生產(chǎn)力，而原本用來收發(fā)郵件、查詢信息、視頻會議等用途的網(wǎng)絡變?yōu)閵蕵饭ぞ邥r，企業(yè)管理者定然是無法接受的，而如何管理網(wǎng)絡，讓網(wǎng)絡流量健康、提高工作效率、限制或禁止上班時間的非工作行為，則是企業(yè)網(wǎng)絡管理者最為頭疼的事了。當然，最重要的還是如何使得企業(yè)的核心資產(chǎn)以及核心應用不受到外界的攻擊破壞而帶來的經(jīng)濟損失以及名譽的損失。如今，復雜的網(wǎng)絡環(huán)境給信息安全系統(tǒng)管理構(gòu)成了嚴峻的挑戰(zhàn)。入侵檢測(IDS)和防御系統(tǒng)(IPS)可以幫助企業(yè)，尤其是那些本身存有漏洞的系統(tǒng)，實現(xiàn)對外部攻擊的防御，因為PS的更新是隨著惡意風險的出現(xiàn)而進行的。既然出現(xiàn)了IPS技術(shù)，同樣，就會有人試圖逃逸這類系統(tǒng)的檢測。在這種情況下如何更好地有效地防御這種逃逸類型帶來的攻擊給我們的企業(yè)以及T管理人員提出了更高的要求和更高的技術(shù)手段。二、逃逸技術(shù)產(chǎn)生的歷史背景由于TCP/IP是互聯(lián)網(wǎng)和大多數(shù)計算機網(wǎng)絡使用的協(xié)議集，是根據(jù)981年發(fā)布的RFC791標準的要求編寫的。其中，RFC提到，"一般而言，設備必須在發(fā)送行為上保守一點，在接收行為上寬松一點。也就是說，設備在發(fā)送符合語法的數(shù)據(jù)報時必須謹慎一些，同時接收一切能夠翻譯的數(shù)據(jù)報(例如，不反對技術(shù)性錯誤，只要意思表達清楚、完整)”(1981年出版的Postel，23頁)。這就意味著，編寫信息的方式多種多樣，而且，接收主機還能一字不差地翻譯這些信息。這種寬松的方式原本是為了提高系統(tǒng)間互操作性的可靠性，但它同時也為大量攻擊和方式提供了隱蔽的渠道來逃逸檢測。由于不同操作系統(tǒng)和應用程序接收數(shù)據(jù)包時的表現(xiàn)形式各有千秋，因此，目標主機的應用程序所看見的內(nèi)容可能與網(wǎng)絡流量中的內(nèi)容完全不一樣。同樣，檢測系統(tǒng)與主機之間的網(wǎng)絡本身可能也會改變流量。在許多情況下，如果能夠謹慎利用這些不同之處，要以看似正常和安全的方式創(chuàng)建數(shù)據(jù)包是完全有可能的，但當終端主機翻譯時，則會形成一個可攻擊終端系統(tǒng)的漏洞利用程序。這類技術(shù)就是所謂的逃逸技術(shù)。逃逸技術(shù)研究始于1990年末。在1998年發(fā)表的論文中，Newsham和PtaceS紹了大量可有效躲避檢測系統(tǒng)的技術(shù)。自那時起，該領(lǐng)域的新研究一直很少，感興趣的也僅限于安全解決方案提供商或黑客社區(qū)的競爭對手oNewsham和Ptacek介紹的基礎(chǔ)逃逸技術(shù)之一集中于IP碎片帶來的挑戰(zhàn)。IP碎片在RFC791標準中也有所說明，用于確保系統(tǒng)之間的互操作性以及處理系統(tǒng)間的不同網(wǎng)絡拓撲1981年出版的Postel）o采用IP碎片逃逸技術(shù)，攻擊者會充分利用無序拼湊碎片，或通過大量碎片來淹沒PS。他們警告說：“無法妥善處理無序碎片的DS是很容易受到攻擊的；攻擊者會刻意混亂拼湊碎片流以躲避IDS的檢測”（Newsham和Ptacek于1998年發(fā)表的論文）。此外，由于必須在片段流重組到完整的P數(shù)據(jù)報前存儲接收到的碎片'，這也會給IDS系統(tǒng)帶來一定程度上的挑戰(zhàn)（Newsham和Ptacek于1998年發(fā)表的論文）。他們最后得出結(jié)論，IDS和IPS架構(gòu)必須能有效處理目標系統(tǒng)可能采用的所有碎片重組方式，也就是說PS必須能應對所有的可能性。如果IPS不能在應用簽名前對碎片進行足夠的緩沖，或確定可能出現(xiàn)的重新排序，那么，它不再會有恰當?shù)纳舷挛沫h(huán)境，從而可在DS上重寫數(shù)據(jù)流”（Newsham和Ptacek于1998年發(fā)表的論文）。我們將IPS和目標系統(tǒng)之間的上下文環(huán)境變化稱之為狀態(tài)同步破壞”。1998年發(fā)表的論文中提到的其他逃逸技術(shù)包括各種涉及P選項、TCP選項和TCP序列的技術(shù)。論文中詳細介紹了這些技術(shù)，此處提及是為了提供有關(guān)逃逸技術(shù)時代的更多背景信息。1998年發(fā)表的論文中提到的許多逃逸技術(shù)仍然可有效避開現(xiàn)有的PS系統(tǒng)。這一'驚人的事實應該會讓您對安全解決方案提供商對逃逸技術(shù)的興趣和關(guān)注程度有所了解。許多從事安全設備認證測試的實驗室，如CSA實驗室，在IPS測試套件中納入了大量逃逸技術(shù)。然而，由于新型漏洞和漏洞利用程序增長速度勢不可擋，攻擊者的收獲也是極為豐盛的。這就出現(xiàn)了這樣一種情況：他們更愿意繼續(xù)使用最新的漏洞利用程序，而不愿意利用逃逸技術(shù)配合攻擊，來避開網(wǎng)絡安全保護設備。

比較主流的逃逸技術(shù)攻擊的類型有以下幾類:分片逃逸攻擊-HTTP"-」SYNSEQ=10,000ACK=10T001ACKSEQ=10.0Q1Segment:ZSEQ=10,009-HTTP"-」SYNSEQ=10,000ACK=10T001ACKSEQ=10.0Q1Segment:ZSEQ=10,009■printerSEQ攻擊者把完整的數(shù)據(jù)流GET/bob.printer_HTTP/1.分成了3個段分別傳輸給接收目標，然后在第三段上的數(shù)據(jù)故意沒有傳輸完整，只有:HTTP/1.這個時候如何安全檢測設備不能有效地重組這個完整的數(shù)據(jù)流的話并且檢測出第三個段的數(shù)據(jù)部完整的，這個時候目標接收方就存在被攻擊的風險，因為沒有傳輸完整的數(shù)據(jù)有可能攜帶了惡意攻擊代碼讓你去執(zhí)行這個接收到的數(shù)據(jù)。重疊逃逸攻擊SYNACK10,001Segmenit1SEGt=10,007SEQ=10t013SYNACK10,001Segmenit1SEGt=10,007SEQ=10t013nterHT攻擊者利用分段的數(shù)據(jù)流在第二個分段上故意多加了一個”。”的字符。如果安全檢測設備不能識別到這個多加的字符'?！保⑶野褦?shù)據(jù)重組完整后傳給目標接收者的話，那么目標接收很可能就存在被攻擊的風險，只有目標接收執(zhí)行這個接收到的數(shù)據(jù)就有可能執(zhí)行了惡意攻擊代碼。

加入多余或者無用字節(jié)逃逸攻擊SEQ=104001SEQ=10,000SYNACK=10,001SYN+ACKPSH+ACK5EQ=9997?工￥￡占加入多余或者無用字節(jié)逃逸攻擊SEQ=104001SEQ=10,000SYNACK=10,001SYN+ACKPSH+ACK5EQ=9997?工￥￡占GETZbob.prkitErHTTP?*1」PacketLegend:DataPresequenceChaffAttackerVictimAbsoluteSequenceHumber "59S7 10PMG 10,0961 1 丄GET.bab.prlnt?rHTTP/1.1L■4 0 252Header攻擊者在完整的數(shù)據(jù)流前面加入任何字符或者無效字符，這個時候如何安全設備不能檢測然后去掉這個多于的比如4個字節(jié)的多于字符的話，那么接收到的數(shù)據(jù)有可能就是多余的4個字節(jié)存在惡意攻擊代碼。三、高級逃逸技術(shù)產(chǎn)生的背景在發(fā)現(xiàn)高級逃逸技術(shù)產(chǎn)生之前，我們發(fā)現(xiàn)近幾年在全球發(fā)生的一些重大安全事件無法來解釋清楚，也都懷疑跟逃逸技術(shù)攻擊相關(guān)。比如說2010年，納斯達克屢遭黑客攻擊2010年，紐約納斯達克證券交易所電腦系統(tǒng)數(shù)次遭黑客攻擊。這一事件引發(fā)了交易機構(gòu)的擔心：如何保持電腦交易的穩(wěn)定性和可靠性，如何確保投資者對交易系統(tǒng)充滿信心。證券交易機構(gòu)知道，它們已經(jīng)成為黑客的頻繁攻擊目標。2011年3月，RSA遭黑客攻擊，信息泄露黑客成功入侵安全公司RSA的網(wǎng)絡，并竊取了有關(guān)RSA的SecurlD雙因數(shù)驗證產(chǎn)品的相關(guān)信息。2011年，索尼公司被黑客竊取用戶信息這是最新的黑客攻擊和安全漏洞事件。網(wǎng)絡入侵始于4月19日，公司當天開始調(diào)查并發(fā)現(xiàn)PlayStationNetwork存在極大的安全漏洞，這一網(wǎng)絡攻擊事件造成1億多名用戶的個人信息泄露。2011年，美國數(shù)字證書機構(gòu)Comodo安全漏洞美國數(shù)字證書機構(gòu)Comodo承認，公司旗下的兩家注冊機構(gòu)遭到黑客入侵。此次事件似乎不是3月初披露的所謂的伊朗黑客所為，月初的攻擊行動導致至少5個用戶受損。2011年4月，梭子魚公司（Barracuda）經(jīng)過幾小時的自動探測，黑客發(fā)現(xiàn)并利用Barracuda公司網(wǎng)站的一個SQL入侵漏洞，對不同的數(shù)據(jù)庫發(fā)起了攻擊，竊取了該公司的合作伙伴、客戶的聯(lián)系人信息以及公司員工的個人信息。2011年5月，洛克希德?馬丁公司（LockheedmartinCorp）不知名黑客入侵了全球最大的國防承包商洛克希德馬丁公司的安全網(wǎng)絡。2011年，L-3通信公司遭黑客攻擊國防承包商L-3通信公司遭到黑客攻擊，攻擊的目的是為了竊取公司的機密信息。L-3并未透露攻擊是否成功等相關(guān)信息。2011年5月，花旗銀行遭黑客攻擊花旗銀行北美的20多萬名持卡人個人信息（包括姓名、電子郵箱等聯(lián)系信息）和賬戶信息全部泄露。2011年6月，國際貨幣基金組織（IMF）遭黑客攻擊國際貨幣基金組織是一家監(jiān)管全球金融系統(tǒng)的國際政府間組織，現(xiàn)有187個成員國。該組織已經(jīng)成為網(wǎng)絡攻擊的最新目標，一些敏感信息可能已被黑客竊取。2011年10月，日本富士重工網(wǎng)絡遭受黑客攻擊富士重工是日本的軍工企業(yè)，它正在考慮重新評估自己企業(yè)的網(wǎng)絡安全體系Stonesoft公司從1997年開始研究逃逸技術(shù)，一直到2010年8月份我們向全球宣布發(fā)現(xiàn)了一種新型的高級逃避技術(shù)SET），這種技術(shù)會給全球范圍內(nèi)的現(xiàn)有網(wǎng)絡安全系統(tǒng)構(gòu)成嚴重的威脅。AET威脅的發(fā)現(xiàn)擴展了現(xiàn)有的逃避技術(shù)知識。出于協(xié)調(diào)目的，Stonesoft已將此次重大發(fā)現(xiàn)詳細報告給CERT芬蘭，并且，ICSA實驗室已對其進行了證實。Stonesoft在位于芬蘭赫爾辛基的研究實驗室內(nèi)發(fā)現(xiàn)了AET攻擊，并將這一發(fā)現(xiàn)上報給了計算機網(wǎng)絡安全事件應急小組CERT芬蘭以及ICSA實驗室（這是VerizonBusiness公司的一個獨立部門，主要為安全產(chǎn)品和聯(lián)網(wǎng)設備提供第三方測試和認證），并發(fā)送了部分AET樣本。為協(xié)調(diào)全球網(wǎng)絡安全技術(shù)提供商對已知漏洞進行修復,CERT芬蘭于10月4日發(fā)布了一份有關(guān)高級逃避技術(shù)的漏洞聲明，并計劃于10月18日進行更新?！癝tonesoft發(fā)現(xiàn)的攻擊涉及了一系列內(nèi)容檢測技術(shù)。CERT芬蘭、Stonesoft和其他網(wǎng)絡安全技術(shù)提供商的持續(xù)合作對于修復這一新發(fā)現(xiàn)的攻擊至關(guān)重要。CERT芬蘭將致力于推動合作進程，"CERT芬蘭漏洞協(xié)調(diào)部經(jīng)理JussiEronen說。Stonesoft首席運營官JuhaKivikoski說：“我們有理由相信，我們現(xiàn)在所看到的只是冰山的一角。高級逃避技術(shù)的動態(tài)性和不可檢測性絕對有可能直接影響整個網(wǎng)絡安全行業(yè)。行業(yè)將面臨一場與高級威脅的無休止的對抗，我們相信只有動態(tài)解決方案才能修復此漏洞。”ICSA實驗室入侵檢測和防御項目經(jīng)理JackWalsh說："Stonesoft發(fā)現(xiàn)了AET躲避網(wǎng)絡安全系統(tǒng)的新方式。我們對Stonesoft的研究進行了驗證，相信這些高級逃避技術(shù)會導致企業(yè)資產(chǎn)丟失，給被攻擊的企業(yè)帶來極為嚴重的后果?！盨tonesoft專家在測試StoneGate網(wǎng)絡安全解決方案對最新的、最先進的威脅的防御能力時發(fā)現(xiàn)了這些新型威脅?，F(xiàn)場測試和實驗數(shù)據(jù)表明，現(xiàn)有的許多網(wǎng)絡安全解決方案都無法檢測出AET，因此無法有效阻止攻擊。Stonesoft警告說，針對高度先進的、有目標性的攻擊，全球范圍內(nèi)的黑客很可能已經(jīng)在使用AET。僅有部分安全防護產(chǎn)品的企業(yè)必須立刻行動起來，保護企業(yè)的系統(tǒng)安全。抵御動態(tài)的、不斷升級的AET攻擊的最佳方式是采用靈活的、基于軟件的安全系統(tǒng)，且系統(tǒng)必須具備遠程更新和集中化管理能力，如StonesoftStoneGate網(wǎng)絡安全解決方案。對于新型的動態(tài)威脅如AET，這些系統(tǒng)有著難以匹敵的優(yōu)勢。然而，如今大多數(shù)企業(yè)都使用的是靜態(tài)的、基于硬件的安全解決方案，很難甚至不可能針對快速升級的、動態(tài)的威脅作出更新。四、什么是高級逃逸技術(shù)攻擊以及它帶來的危害？Stonesoft在201（年10月份發(fā)現(xiàn)了在TCP/IP7層中有一系列新型逃逸技術(shù)來避開目前所有主流的IPS設備的檢測從而攜帶攻擊代碼進入針對目標服務器協(xié)議的漏洞進行攻擊，我們統(tǒng)稱這一系列新型逃逸技術(shù)叫做高級逃逸技術(shù)。同時，被CSA以及NSS證明這一系列新型逃逸技術(shù)確實不能被主流PS設備所檢測出來。這種攻擊技術(shù)可按任何順序改變或重新組合，從而避開安全系統(tǒng)的檢測。從本質(zhì)上講，高級逃逸技術(shù)是動態(tài)的、不合常規(guī)的，沒有數(shù)量限制，傳統(tǒng)檢測手段無法檢測。高級逃逸技術(shù)可在任何級別的TCP/IP棧上運行，可穿越多種協(xié)議或協(xié)議組合。新型高級逃逸技術(shù)的數(shù)量將呈爆炸式增長，將對信息安全行業(yè)和全球企業(yè)構(gòu)成無止境的、充滿變數(shù)的挑戰(zhàn)。。由于可避開現(xiàn)有的網(wǎng)絡安全系統(tǒng)，AET為當今網(wǎng)絡罪犯入侵任何帶有漏洞的系統(tǒng)如ERP和CRM應用提供了一把萬能鑰匙。如此一來，公司則會面臨數(shù)據(jù)泄露帶來的嚴重威脅，包括企業(yè)機密信息丟失。此外，有組織的罪犯和黑客還會利用這些AET進行非法的、破壞性的活動。五、高級逃逸技術(shù)的原理闡述大多數(shù)情況下，互聯(lián)網(wǎng)協(xié)議部署都是開放的、不安全的。因此，大多數(shù)企業(yè)采用了先進的IT安全設備和系統(tǒng)軟件來保護企業(yè)數(shù)字資產(chǎn)的安全。通常，這類安全防護平臺都采用各種各樣的入侵檢測系統(tǒng)（IDS）和/或入侵防御系統(tǒng)（IPS）架構(gòu)作為基礎(chǔ)組件但IP標準（尤其是報頭和數(shù)據(jù)包本身的結(jié)構(gòu)）固有的不安全性意味著畸形報頭和/或數(shù)據(jù)包組合會破壞大多數(shù)IDS/IPS防御系統(tǒng)的檢測方法，盡管IDS/IPS平臺多么先進或富有經(jīng)驗。原因是IP數(shù)據(jù)包結(jié)構(gòu)是現(xiàn)代網(wǎng)絡體系的基礎(chǔ)，安全系統(tǒng)很難檢測到不在已知結(jié)構(gòu)范疇內(nèi)的任何攻擊矢量。如果將IP結(jié)構(gòu)看作鐵路線，歐洲的標準軌距為4英尺8.5英寸（即1.435米，根據(jù)所在地區(qū)的度量標準而定），因為火車在軌道上，所以自動信令系統(tǒng)可輕松檢測出火車的重量和速度。通過這些數(shù)據(jù)，信令系統(tǒng)精確地判斷出火車的類型、時刻表和目的地，這大大簡化了信號控制人員的工作。如果一臺定制維護車進入軌道，為了對脫軌軌道附近進行修理，維護車車輪可以伸縮，橡膠輪胎可以擴充，在這樣的情況下，會出現(xiàn)什么樣的問題呢？此時，信令系

統(tǒng)無法采集相關(guān)的數(shù)據(jù)來檢測車輛的類型，更不用說目的地了。事實上，就信令系統(tǒng)掌握的參數(shù)，它甚至無法檢測出車輛的存在。因此，使用畸形報頭和數(shù)據(jù)流以及迷惑性代碼調(diào)用的AET攻擊的原理也是如此。常規(guī)IPS/IDS安全平臺也無法檢測出AET攻擊的存在，因此，攻擊代碼可悄悄滲透到IT資源。這些新型的高級逃逸技術(shù)還不知道什么時候是最后一個：IPrandomoptionsTCPTIME_WAITTCPurgentpointerSMBwrite/readpaddingSMBtransactionmethodfragmentationSMBsessionmixingMSRPCaltercontextMSRPCobjectreferenceMSRPCendianmanipulation以及這些高級逃逸技術(shù)還可以任意的組合町進行

逃逸的逃逸技術(shù)可以組合的理論數(shù)值町進行

逃逸的TOP10無法及時提供安全補丁廠商:無法修復的高危漏洞比例:Percentcd2010HIDivaDBumwithNoRaichFeiccntofCrilical&Hi^h2010HIDisclosureswithNo-PatchAJIV^iidas-peri□H1?13feSunMicroaoft&3%11%Manila馬能Apple13%cmIBM1碼25%Google-日匪3^3■眈Linux2?苑Oracle-7?42WS|HPClBCO6^Noudl岳盹￥09&Adobe?3M2H

靜態(tài)防護和動態(tài)防護所產(chǎn)生的一個差距:jfi靜息防柑■辭眾方瀬崔供葉倨護型別崢恿/動懸陽護Timp2D10-2OJL報適的逃謹和際護蛻別提升預測（動態(tài)與靜慫〕AET靜態(tài)防護和動態(tài)防護所產(chǎn)生的一個差距:jfi靜息防柑■辭眾方瀬崔供葉倨護型別崢恿/動懸陽護Timp2D10-2OJL報適的逃謹和際護蛻別提升預測（動態(tài)與靜慫〕AET的擔現(xiàn)已翌適的建謎技求的總數(shù)量t傳麵的加上髙勰的）避軌術(shù)數(shù)謹六、為什么傳統(tǒng)的安全防護解決方案不能檢測并防護？一大部分的逃逸技術(shù)僅僅基于協(xié)議的正常功能，而且這些功能在正常的通信中被廣泛的使用著。比如IPfragmentation,TCPsegmentation,MSRPCFragmentation,TCPTIME_WAITIPrandomoptions,TCPurgentpointer—般的，這些逃逸不會和任何RFC有沖突,這是為什么協(xié)議檢查也無法發(fā)現(xiàn)這些逃逸技術(shù)。在國際組織列出了多達45,000CVE標識，而傳統(tǒng)的IPS一般只覆蓋了3000F000種的特征指紋，并且有些IPS產(chǎn)品出于性能考慮的原因默認僅有L000種特征指紋被檢查。所以，常規(guī)的特征指紋檢測是無法完全覆蓋高級逃逸技術(shù)的攻擊，并且在檢測方法上沒有行之有效的手段，他們都是利用這種垂直的檢測技術(shù)。

應用層1■■J鼻I.￡TCT層數(shù)據(jù)段.或偽燈數(shù)據(jù)J——IIIIIJIP層敷據(jù)包1這種檢測技術(shù)最大的弊病在于只有部分的檢測數(shù)據(jù)流，并且無法判斷高級逃逸技術(shù)在哪層使用，更不用說能夠移除高級逃逸技術(shù)攻擊的流量。并且，沒有更好地實驗環(huán)境以及檢測工具來分析高級逃逸技術(shù)代碼以及攻擊過程的回放等等措施，只能利用特征指紋來識別數(shù)據(jù)流當中存在的應用特征的攻擊。七、Stonesoft提供的解決方案是如何防護的？stonesoft有一套完整的測試高級逃逸技術(shù)的攻防環(huán)境以及測試工具，并且這個環(huán)境以及可以跟國際安全組合比如ICSA以及NSS去共享研究高級逃逸技術(shù)的發(fā)展。Stonesoft采用了多協(xié)議層合規(guī)檢測技術(shù)來同時對所有協(xié)議層的流量進行檢測并且清洗來達到去除惡意攻擊代碼。Stonesoft安全產(chǎn)品可以同時在所有協(xié)議層進行解碼和合規(guī)檢測。騷于數(shù)據(jù)流'全協(xié)徴樁臺池遵從檢僅和探厘檢測TCP展或偽鍛鮭Normalize 髙級逃逸同時在姜個數(shù)據(jù)層2準確的識別井清除騷于數(shù)據(jù)流'全協(xié)徴樁臺池遵從檢僅和探厘檢測TCP展或偽鍛鮭Normalize 髙級逃逸同時在姜個數(shù)據(jù)層2準確的識別井清除進行有敷的持統(tǒng)的 髙級逃逸找術(shù)?井臺法邊從檢査 對偽裝的咸脅進廿識別,警告和報表rtRjiSMC^施業(yè)揑高級透逸檢刪普吿和報表統(tǒng)汁這種檢測技術(shù)的好處在于TCP所有層的合規(guī)檢測，準確識別高級逃逸技術(shù)攻擊代碼并且安全移動后發(fā)生告警。St。nesoft提出了動態(tài)安全防護技術(shù)的理念。我們可以提供集中管理平臺，對全網(wǎng)的安全設備管理及告警和日志。通過這個集中管理平臺對全網(wǎng)的安全設備進行軟件升級去更新所有協(xié)議層的合規(guī)檢測技術(shù)算法，并且當有新的高級逃逸技術(shù)攻擊發(fā)生的時候，可以通過及時升級產(chǎn)品的引擎來更新防御技術(shù)。Stonesoft可以提供咼性能和咼背板吞吐量的產(chǎn)品來應對檢測所耗費的性能。八、Stonesoft公司介紹Stonesoft來自遙遠的北歐－芬蘭，那里有冰冷漫長的冬季，芬蘭人就是在一個惡劣的自然環(huán)境中世代拼搏，生存。大自然造就了我們的性格：務實的完美主義，謙遜，倔強，剛直。這些品德已經(jīng)深埋在我們的DNA里。同樣，在Stonesoft的網(wǎng)絡安全理念上也充分體現(xiàn)了這些特征。在過去的20多年，我們專注于網(wǎng)絡安全，積累了豐富的經(jīng)驗，對行業(yè)發(fā)展具有很強的洞察力和前瞻性。我們的產(chǎn)品服務于聯(lián)合國，歐洲國家的軍隊網(wǎng)絡，世界90多個國家的政府網(wǎng)絡，以及眾多的企業(yè)網(wǎng)，如電信，金融，電力，物流，醫(yī)療，教育等等。美國上周提名Stonesoft為政府網(wǎng)絡安全最佳方案提供商，也是2012年世界最值得關(guān)注的網(wǎng)絡安全廠商。我們?yōu)樽约核〉玫某煽兌湴?。但同時我們謙遜，認真聽取用戶的意見，需求。我們執(zhí)著敬業(yè)，帶著對網(wǎng)絡安全的激情和熱忱做產(chǎn)品，為用戶服務。保護用戶的數(shù)字財產(chǎn)，為他們防御來自真實世界的威脅，這就是我們的使命。我們經(jīng)得起真實世界的終極考驗，不是一味追求通過預設的商業(yè)實驗室測試而得出的什么好成績。我們?yōu)橛脩舭褟碗s的網(wǎng)絡安全簡單化，降低他們的總擁有成本TCO。這就是為什么用戶忠愛我們，力薦我們；這就是為什么我們能夠