浅谈传统防御技术（上）

网络攻防一直处于一个“道高一尺魔高一丈”的易攻难守的局面。想想为什么会形成这个局势且多年来都没有达到破局的效果呢？原因很简单，就是当前的防御措施太依赖先验知识了。

那么先验知识哪里来呢？先验知识就是被黑客一次次攻破，我们去分析攻击流量和攻击行为，提炼出攻击特征配置到以防火墙为代表的规则防御产品上去。

或者，借助人工智能的东风，将攻击流量作为样本训练一些机器学习模型，比如HMM模型，长短时记忆模型等时序模型，企图通过会话中的报文序列进行攻击判定，可是这么做有一个非常大的问题是什么呢？时序模型需要收集的报文序列达到一定长度才能根据已有的模型给出概率或者判决结果，那么达到规定长度之前的报文你准备怎么处理呢?安全产品缓存起来？代价略高。直接放给服务器，那么防御效果呢？不能保证。往更简单的说，使用决策树模型等基础统计模型去处理多阈值情况下的判决问题，不提效果，光是收集数据就需要很大的代价，毕竟流量数据包的标记和图像等标记的难度和可操作性完全不同。

下面就传统防御技术的几个技术分类来简要介绍一下传统防御技术。

一、静态防御技术

通过外置方式提供安全防护功能，与防护目标本身结构和功能的设计基本是相互独立的。基于先验知识的精确防护思想，可以较好的适应网络系统前期规模化部署与后期增强安全性防护的阶段性建设需要。

典型产品有：防火墙、入侵检测系统、入侵防护系统、防病毒网关、VPN、漏洞扫描和审计取证系统等。

防护墙：通过访问控制策略，对流经的网络流量进行检查，拦截不符合安全策略的数据包。基本功能是对网络传输中的数据包依据安全规则进行接收或丢弃，对外部屏蔽内部网络的信息和运行情况，过滤不良信息并保护内部网络不被非法用户入侵。现有的防火墙产品主要有：包过滤型防火墙、代理型防火墙、状态检测防火墙、深度检测防火墙和WEB应用防火墙等。

入侵检测系统：通过监视网络或系统资源，寻找违反安全策略的行为或攻击迹象并实时发出报警，是防火墙技术合理而有效的补充，被认为是防火墙之后的第二道闸门。同时，入侵检测系统又可以与防火墙通过传递规则进行联动，但是需要两个产品提供统一规则的接口。

入侵检测系统需要收集和分析的数据有：网络行为、安全日志、审计数据、其他网络上可以获得的信息及计算机系统中若干关键节点的信息。通过监视、分析用户及系统活动；系统构造和弱点审计；识别和反映已知攻击活动模型并实时报警；异常行为模式的统计分析；评估重要系统和数据文件的完整性；操作系统的审计跟踪管理，识别用户违反安全策略的行为等方式实现入侵检测。

入侵检测根据检测节点可以分为：基于主机的、基于网络的、基于应用的方法。根据技术方法可以分为：基于协议分析的，基于神经网络的，基于统计分析的，基于专家系统的方法等。

目前比较成熟的利用AI的检测系统有：基于马尔可夫模型的入侵检测系统、基于人工蜂群算法优化支持向量机的入侵检测模型，基于自编码网络的支持向量机入侵检测模型、基于深度学习和半监督学习的入侵检测算法等。

入侵防护系统

通常串联在目标对象与外部网络的链路通道上，通过一个网络端口接收来自外部系统的流量，经过检查确认其中不包含异常活动或可疑内容后，再通过另外一个端口将它传送到内部系统中。其设计宗旨就是要先于目标对象发现入侵活动并对攻击性网络流量实现先期拦截。

入侵防护系统综合了入侵检测系统的检测功能和防火墙的访问控制功能。但是由于入侵防护系统串行部署于网络链路上，所以要着重考虑入侵防护系统的性能问题，所以入侵检测规则必须是轻量级且具有极高的访问及匹配速度。这就造成了一个性能和检测范围上的不可调和的矛盾。

那么有什么办法来缓和这个矛盾呢？就是可以使用入侵防护系统与入侵检测系统联动的方式。通过入侵检测系统向入侵防护系统的规则传递来实现联动，入侵防护系统构建一个优先级规则存储机制，就类似与系统中的大页一样去调度。这样就可以实时更新活跃的规则并进行拦截了。

漏洞扫描技术

基于漏洞库，通过扫描等手段对指定的远程或本地计算机系统的安全脆弱性进行检测的一种网络安全技术。一般采用模拟攻击的形式对网络上的安全脆弱性进行检测的一种网络安全技术。可与上述三种技术进行配合，进一步提高系统的安全性。

主要有网络型安全漏洞扫描器、主机型安全漏洞扫描器、数据库型安全漏洞扫描器等。

二、蜜罐技术

与上述讲述的正面抵御网络攻击的防御方法不同。蜜罐技术通过欺骗攻击者、显著消耗攻击资源来减少网络入侵对目标对象的威胁，以便能先期获取信息、赢得防御部署时间，并通过对诱捕的攻击流量和攻击行为进行分析，得到攻击者使用的攻击方式、攻击工具以及攻击意图等信息，制定更为精确的防御手段。

同时蜜罐技术的分析成果又可以反哺到静态防御产品中，提高防御的精确度并可以减少不活跃规则占用的计算资源和存储资源。实现理想状态下的精确制导。

但是蜜罐技术也有一个矛盾存在。就是如果监控和分析力度较大的系统，虽然可以较为准确的提取攻击信息，但是容易被攻击者发现，从而停止攻击或者实现攻击潜伏，等待该部分虚拟机资源离开隔离区后再激活攻击。反之，如果伪装的和应用运行环境很像甚至直接就是应用运行环境的镜像环境的话，则难于提取攻击特征。

同时，黑客也会根据现网用户的反馈情况，对攻击效果进行衡量。

以上所有攻击防御方式都可以根据需要进行组装，但是目前安全产品领域的各家公司的规则及产品接口都处于各行其是的状态，用户在进行购买的时候，受到通用性的限制，选择范围受限，一般只能选择一个厂家或者联盟的产品进行联动。

如何实现市场上行为规范的统一，还需要大家一起努力。