攻击规避技术往往利用系统的协议处理缺陷，绕开正常的检测机制，使得真正的攻击流量能够渗入企业内网，其危害之大，防范之难，正被用户越来越关注。用户在选择一款优秀的IPS产品时，已经把攻击规避的检测能力，作为一种必备的产品技术要求进行评估。然而，攻击规避技术应用广泛，种类繁多，而且变种、更新速度较快，要想有效地防范这类攻击，将面临三大挑战：

      首先，IPS产品需要对相关的网络协议有清晰的理解，具备细粒度协议解析机制和异常处理能力。各种规避技术都遵从相应的协议规范，导致规避攻击成功的原因主要是IPS的协议解码引擎过于简单甚至存在疏漏。

      其次，安全厂商需要及时跟进各类攻击规避技术的发展动向。当出现新型的攻击规避技术时，能够及时透析其原理并制定有效的应对方案。

      最后，IPS产品应该具备良好的扩展能力。一般而言，产品协议解析层面的结构变化会对整个系统带来较大的影响，牵一发而动全身。具备良好扩展能力的引擎架构，可以降低抗攻击规避模块的维护成本，缩短应急响应时间。

      攻击规避技术对于IPS的应用带来了巨大的挑战，为了有效应对此类威胁，IPS产品在设计和开发攻击检测引擎的时候，必须考虑以下几方面的因素：

 具备细粒度协议解析机制和完备的协议异常控制结构，第一时间对非法协议数据及时处理，杜绝安全隐患的蔓延；
 配置高效的IP数据包重组策略，能过同时处理多种模式的分片数据包；
 过滤协议异常数据的同时，积极修正、恢复正确的协议数据，最大限度的保障解码过程的完整性；
 兼顾性能最优化，降低规避处理过程对引擎性能带来的影响；
 尽量控制可能引入的风险，确保系统的稳定性不受影响。

为了验证IPS产品对于攻击规避手段的抵御能力，NSS Labs的安全专家们在“安全有效性”专项测试中，采用了五个测试项目，对IPS的攻击规避检测能力，进行了全面（覆盖IP，TCP，HTTP，DCERPC，SUNRPC等多种协议）且严格的测试。

基于强大且完善的协议解析引擎，以及多年以来在入侵检测/防护领域的深厚技术积淀，绿盟网络入侵防护系统（NSFOCUS NIPS）在NSS Labs的“规避测试”项目中获得100%的通过率，并最终得到NSS Labs在全球范围内的鼎力推荐。在此之前，仅有两家国际顶尖安全厂商的IPS产品获此殊荣。

 
图5 NSFOCUS NIPS攻击规避检测能力（引自NSS Labs测试报告）

众所周知，为了提高产品的攻击检测效率，IPS一般采用特征检测、异常检测和关联分析等多种技术手段，以降低产品的误报率和漏报率。特征检测技术主要用于识别和定位各类已知威胁，异常检测方法则通常集成针对协议、应用和统计数据的异常检测技术，能够保护企业信息系统免受未知攻击的侵害，包括新的蠕虫、蓄意的隐性攻击、新环境下的攻击变种，以及分布式D.DoS攻击流量。

攻击规避技术是众多蓄意隐性攻击中应用范围最广，最有效的一类技术。当攻击者发现被攻击目标正受到IPS等产品保护时，攻击者往往会根据攻击目标的协议特性或漏洞，对攻击方式或攻击内容进行精心调整，进而逃避IPS等产品的检测。

应用了规避技术的网络攻击，会给企业带来不容忽视的安全威胁，如果不能对其进行正常、有效的处理，这类攻击会使得IPS产品形同虚设，将用户的网络资源暴露于攻击者面前，从而降低用户网络环境的安全性，增加用户资产遭受损失的风险。

• 上一篇:分析常见的攻击规避技术分析
• 下一篇:趋于融合的下一代安全网关