面对安全威胁的发展趋势,传统的防火墙已经显得无能为力。它无法检测出利用正常业务端口展开的恶意威胁与攻击,也无法检测和控制占用用户大量网络资源的IM、P2P软件。在这种情况下,融合多种安全能力,能够针对应用层进行深层检测、实现立体防御的UTM设备应运而生。
UTM检测技术面临的难关
作为新一代的安全网关,UTM与传统防火墙的一大区别就是具备深层检测能力。
通过深层检测,UTM可以识别出传统防火墙无法应对的威胁和网络滥用。但是,实现深层检测有以下三个难点:
第一,全面。深层检测在部分用户看来是网关防病毒的同义词,实际上,其真正目的不仅仅是对病毒的防御,还包括对溢出攻击、恶意脚本、SQL注入攻击、P2P应用、网络游戏等恶意攻击和网络滥用行为的检测及防御。只有实现了“全面”的深层检测,才能给网关安全带来足够的保障。
第二,精确。UTM一般都是在网关处进行部署,在进行深层检测时必须确保不出现误判。如果深层检测出现了误判,那么依据错误检测所做的防御措施会给用户的正常业务带来严重影响。无论是对最新的病毒变种还是对传统的溢出攻击,UTM的深层检测都必须确保精确识别。
第三,管理。传统的深层检测设备管理起来复杂烦琐,需要用户具备较高的技术能力,能够有针对性地分析检测结果,并根据分析结果和行业特点对设备进行优化配置,才能取得比较好的效果。简化配置操作,方便用户管理,是用户对深层检测功能的迫切需求。不过,在了解深层检测之前,首先要解析下UTM状态检测技术。
UTM状态检测技术
UTM仅检查独立的信息包是不够的,因为状态信息(以前的通信和其他应用信息)是控制新的通信连接的最基本的因素。对于某一通信连接,通信状态(以前的通信信息)和应用状态(其他的应用信息)是对该连接做控制决定的关键因素。因此为了保证高层的安全,UTM必须能够访问、分析和利用以下几种信息:
·通信信息:所有应用层的数据包的信息;
·通信状态:以前的通信状态信息;
·来自应用的状态:其他应用的状态信息;
·信息处理:基于以上所有元素的灵活的表达式的估算。
状态检测技术能在网络层实现所有需要的UTM访问控制能力。
UTM上的状态检测模块能访问和分析从各层次得到的数据,并存储和更新状态数据及上下文信息,为跟踪无连接的协议(比如RPC和基于UDP的应用)提供虚拟的会话信息。UTM根据从传输过程和应用状态所获得的数据,以及网络设置和安全规则产生一个合适的操作,或者拒绝、或者允许、或者加密传输。但任何安全规则都没有明确允许的数据包将被丢弃或者产生一个安全警告,并向系统管理员提供整个网络的状态。
检测模块支持多种协议和应用程序,并可以很容易地实现应用和服务的扩充。与其他安全方案不同,当用户访问到达网关的操作系统时,状态监视器要抽取有关数据进行分析,结合网络配置和安全规定做出接纳、拒绝、鉴定或给该通信加密等决定。一旦某个访问违反安全规定,安全报警器就会拒绝该访问,并做记录,向系统管理器报告网络状态。这种UTM无疑是非常坚固的,但它的配置非常复杂,而且会降低网络的速度。
两种深层检测方法
一是通过定义报文特征来实现对已知攻击及网络滥用的检测,其优势是技术上实现简单、迅速;但仅能识别已知攻击和应用。
另一种是通过分析攻击产生原理,定义攻击类型的统一特征,能准确识别基于相同原理的各种攻击、不受攻击变种的影响,但技术门槛高、扩充复杂、应对新攻击速度有限。
目前来看,将动态检测与静态检测有机结合,消除各自刚性,可以形成一种“柔性检测”的机制。在这种机制下,可以有效发挥两种检测技术各自的优势,从而进一步提高检测的覆盖面。换句话说,无论是黑客攻击、P2P软件还是病毒变种,在柔性检测机制下都可以做到最大程度的覆盖。
其实,各种深层检测技术的初衷都是为了提升安全网关的精确识别能力。在这种思想的指导下,通过VFPR(快速协议识别)、基于原理的SQL注入检测、基于行为的关联分析算法等,都可以进一步增强一体化安全网关的精确检测能力。
另外,一些安全厂商专门建立了面向网络攻防研究的积极防御实验室(AD-LAB),这可以在第一时间内获得各种安全事件信息,并对各类安全事件进行深入研究,从而确保用户在最短时间内获得对最新攻击的精确防御能力。
对付混合攻击时UTM采用的技术
多层分解检测技术:一个混合攻击的病毒有多个模块比如端口扫描,漏洞扫描之类的,而UTM也有多个模块来分别应对,各个模块也各司其职,分别用来对付此类病毒的各个模块,对于混合攻击的防范可以通过与IPS的结合来有效应对,所以UTM是检测混合攻击最有效的产品。
漏洞利用代码检测技术:如今的病毒都喜欢利用漏洞来加以传播,因此UTM的防毒技术模块除了采用传统的检测方法外,还应该根据漏洞利用代码的原理来检测已知或未知的此类病毒或者混合攻击。
编者按:
UTM中的防病毒除了引用传统的病毒检测技术外,还应该配合一些新的技术来提高病毒检测的效率与性能,如采用流检测的技术和对未知病毒的检测方法等等。合众家之长才能实现安全目标。