1

等保2.0關(guān)于入侵防范的規(guī)定

等保2.0標準在2019年5月正式發(fā)布，將于2019年12月開始實施。等保2.0標準中對入侵防范做了詳細要求，下面表格中列出了等保2.0對入侵防范的要求，黑色加粗字體表示是針對上一安全級別增強的要求。

等保2.0中主要在安全區(qū)域邊界和安全計算環(huán)境中提到入侵防范要求。安全區(qū)域邊界中的入侵防范主要指在關(guān)鍵網(wǎng)絡(luò)節(jié)點處對從外部或內(nèi)部發(fā)起的網(wǎng)絡(luò)攻擊進行入侵防范，安全計算環(huán)境中的入侵防范主要指遵循安裝程序、開放服務(wù)和終端接入的最小化原則，同時修補已知漏洞。在等保3級中，要求實現(xiàn)對新型網(wǎng)絡(luò)攻擊行為的分析，并要求檢測到對重要節(jié)點進行入侵的行為。在等保4級中，對入侵防范的要求和等保3級基本保持一致。

入侵防范是一種可識別潛在的威脅并迅速地做出應(yīng)對的網(wǎng)絡(luò)安全防范辦法。入侵防范技術(shù)作為一種積極主動地安全防護技術(shù)，提供了對外部攻擊、內(nèi)部攻擊和誤操作的實時保護，在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)入侵。入侵防范被認為是防火墻之后的第二道安全閘門，在不影響網(wǎng)絡(luò)和主機性能的情況下能對網(wǎng)絡(luò)和主機的入侵行為進行監(jiān)測。

另外，在等保2.0中提到的應(yīng)用程序最小安裝原則，這也屬于入侵防范的一部分，屬于非自動化的入侵防范辦法。本文重點講解自動化的入侵防范技術(shù)，關(guān)于非自動化的入侵防范辦法不做詳細探討。

2

常用入侵防范技術(shù)

按照檢測數(shù)據(jù)來源，將入侵防范技術(shù)分為基于網(wǎng)絡(luò)的入侵防范技術(shù)和基于主機的入侵防范技術(shù)，分別對應(yīng)等保2.0中的安全區(qū)域邊界和安全計算環(huán)境的入侵防范。

2.1.基于網(wǎng)絡(luò)的入侵防范技術(shù)

基于網(wǎng)絡(luò)的入侵防范，主要是通過分析網(wǎng)絡(luò)流量中的異常攻擊行為并進行攔截和響應(yīng)。當前比較流行的網(wǎng)絡(luò)入侵防范技術(shù)包括：基于特征簽名的入侵防范技術(shù)、基于沙箱的入侵防范技術(shù)、基于網(wǎng)絡(luò)行為白名單的入侵防范技術(shù)和基于威脅情報的入侵防范技術(shù)。

2.1.1. 基于特征簽名的入侵防范技術(shù)

基于特征簽名的入侵防范技術(shù)，需要在網(wǎng)絡(luò)通信報文中匹配特征簽名以查找已知的漏洞攻擊或惡意程序。這種基于特征簽名的檢測引擎，使用了模式匹配算法，可以在現(xiàn)代系統(tǒng)上快速完成，因此對于確定的一套特征簽名來說，進行這種檢測所需要的計算能力是最小的。

簽名檢測引擎常用的模式匹配AC算法

基于特征簽名的檢測引擎也有弱點，由于簽名引擎僅檢測已知的攻擊，必須為每種攻擊制作一個簽名，而且新的攻擊無法檢測。由于簽名通常是根據(jù)正則表達式和字符串設(shè)計的，因此，簽名引擎還會出現(xiàn)較多誤報。

基于特征簽名的檢測引擎對于檢測以固定方式實施的攻擊很成功，但是對于人工制作的或者具有自我修正行為功能的蠕蟲發(fā)起的多種形式的攻擊檢測就有些力不從心。由于必須為每一種攻擊的變體制作一個新的簽名，而且隨著簽名的增加檢測系統(tǒng)的運行速度將減緩，因此，簽名引擎檢測這些變化的攻擊的整體能力將受到影響。

實際上，基于特征簽名的入侵防范可以歸結(jié)為攻擊者和簽名開發(fā)商之間的軍備競賽。這場競賽的關(guān)鍵是簽名編寫和應(yīng)用到入侵防范引擎中的速度。

2.1.2. 基于沙箱的入侵防范技術(shù)

基于沙箱的入侵防范技術(shù)，需要在網(wǎng)絡(luò)通信報文中提取傳輸?shù)奈募?，并將文件在虛擬機上執(zhí)行，通過行為特征識別漏洞攻擊或惡意程序。這種基于沙箱的檢測引擎，使用了多個虛擬機并行運行，會耗費較多的計算能力。

沙箱技術(shù)的實踐運用流程是讓疑似病毒文件的可疑行為在虛擬的沙箱里充分表演，沙箱會記下它的每一個動作；當疑似病毒充分暴露了其病毒屬性后，沙箱就會執(zhí)行“回滾”機制，將病毒的痕跡和動作抹去，恢復系統(tǒng)到正常狀態(tài)。

沙箱的技術(shù)原理

基于沙箱的入侵防范技術(shù)的優(yōu)點是對于零日漏洞攻擊和APT攻擊的檢測效果較好。沙箱檢測引擎一般支持PE文件、文檔、壓縮包、圖片、網(wǎng)頁（JS腳本）以及Shell Code的檢測，對惡意文件的檢測能力較好，但是對于基于網(wǎng)絡(luò)流量發(fā)起的零日漏洞攻擊，沒有太好的辦法。比如MS17-010這種直接針對服務(wù)器端發(fā)起的網(wǎng)絡(luò)流量攻擊，在該漏洞未公開前直接基于流量攻擊，沙箱引擎很難檢測。

2.1.3. 基于網(wǎng)絡(luò)行為白名單的入侵防范技術(shù)

基于網(wǎng)絡(luò)行為白名單的入侵防范技術(shù)，需要學習網(wǎng)絡(luò)通信流量，建立協(xié)議指令白名單模型和網(wǎng)絡(luò)流量基線模型，通過白名單和流量模型來識別網(wǎng)絡(luò)攻擊或違規(guī)操作。這種基于網(wǎng)絡(luò)行為白名單的檢測引擎，適用于網(wǎng)絡(luò)流量相對簡單的環(huán)境，比如工業(yè)控制系統(tǒng)網(wǎng)絡(luò)環(huán)境，模型建立前會耗費較多的計算能力進行機器學習，模型建立后耗費的計算能力較小。

基于網(wǎng)絡(luò)行為白名單的檢測引擎，采用了協(xié)議深層解析技術(shù)，對應(yīng)用層協(xié)議進行深度解析，記錄下協(xié)議指令和操作數(shù)據(jù)，同時會記錄下流量特征，包括地址、端口、連接頻率、連接時間、應(yīng)用協(xié)議、帶寬和流量圖等，將上述數(shù)據(jù)匯總分析后，建立協(xié)議指令白名單模型和網(wǎng)絡(luò)流量基線模型。

黑白名單技術(shù)的對比分析

基于網(wǎng)絡(luò)行為白名單的入侵防范技術(shù)的優(yōu)點是對于基于網(wǎng)絡(luò)流量的零日漏洞攻擊的檢測效果較好。但是要求在建立白名單模型的過程中，必須在干凈的流量環(huán)境下學習。該引擎的缺點是無法精準定位攻擊類型。

2.1.4. 基于威脅情報的入侵防范技術(shù)

基于威脅情報的入侵防范技術(shù)，將網(wǎng)絡(luò)通信流量中采集的數(shù)據(jù)同威脅情報數(shù)據(jù)匹配來識別漏洞攻擊或惡意程序。這種基于威脅情報的檢測引擎，需要及時更新威脅情報數(shù)據(jù)，適用于開放的網(wǎng)絡(luò)環(huán)境，基于威脅情報的檢測耗費的計算能力較小。

威脅信息服務(wù)的三種不同階段

iSight Partners將威脅信息服務(wù)分為三種不同的階段：簽名與信譽源，威脅數(shù)據(jù)源和網(wǎng)絡(luò)威脅情報。簽名與信譽源，一般指的是惡意程序簽名（文件哈希）、URL信譽數(shù)據(jù)和入侵指標。威脅數(shù)據(jù)源，對常見惡意程序和攻擊活動的波及范圍、源頭和目標進行統(tǒng)計分析。某些安全研究團隊針對特定惡意程序發(fā)布的攻擊解析，或者對高級、多階段攻擊的攻擊順序觀察，都屬于此類。威脅情報包含了前兩者的基礎(chǔ)數(shù)據(jù)，但同時在幾個重點方面作了提升，包括在全球范圍內(nèi)收集及分析活躍黑客的信息和技術(shù)信息，也就是說持續(xù)監(jiān)控黑客團體和地下站點，了解網(wǎng)絡(luò)犯罪者和激進黑客共享的信息、技術(shù)、工具和基礎(chǔ)設(shè)施。此類服務(wù)還要求其團隊擁有多樣化的語言能力和文化背景，以便理解全球各地黑客的動機和關(guān)系。另外，威脅情報以對手為重點，具有前瞻性，針對攻擊者及其戰(zhàn)術(shù)、技術(shù)與程序（TTP）提供豐富的上下文數(shù)據(jù)。數(shù)據(jù)可能包括不同犯罪者的動機與目標，針對的漏洞，使用的域、惡意程序和社工方式，攻擊活動的結(jié)構(gòu)及其變化，以及黑客規(guī)避現(xiàn)有安全技術(shù)的技巧。

針對攻擊方的威脅情報主要包括：攻擊者身份、攻擊的原因、攻擊目的、具體怎么做的、攻擊者的位置、如何組織情報（包括IP地址、哈希值等可用來更準確地檢測和標記惡意行為）、如何緩解攻擊。

基于威脅情報的入侵防范技術(shù)的優(yōu)點是可以快速檢測最新型的網(wǎng)絡(luò)攻擊，但是不具備對零日漏洞攻擊的檢測能力，同時要及時更新威脅情報庫。

2.2.基于主機的入侵防范技術(shù)

基于主機的入侵防范，主要是通過分析主機進程和文件的異常攻擊行為并進行攔截和響應(yīng)。當前比較流行的主機入侵防范技術(shù)包括：基于特征簽名的入侵防范技術(shù)、基于沙箱的入侵防范技術(shù)、基于基因圖譜的入侵防范技術(shù)、基于主機行為白名單的入侵防范技術(shù)和基于EDR的入侵防范技術(shù)。

其中，前兩種基于主機的入侵防范技術(shù)在檢測原理上同基于網(wǎng)絡(luò)的入侵防范技術(shù)類似，它們的區(qū)別在于：在主機上特征簽名引擎主要對文件中的特征串和文件的校驗和進行模式匹配，沙箱引擎主要對系統(tǒng)中可執(zhí)行程序的訪問資源以及系統(tǒng)賦予的權(quán)限建立應(yīng)用程序的沙箱來限制惡意代碼的運行。因此，本節(jié)主要介紹后三種基于主機的入侵防范技術(shù)。

2.2.1. 基于基因圖譜的入侵防范技術(shù)

基于基因圖譜的入侵防范技術(shù)，通過結(jié)合機器學習/深度學習、圖像分析技術(shù)，將惡意代碼映射為灰度圖像，建立卷積神經(jīng)元網(wǎng)絡(luò)CNN深度學習模型，利用惡意代碼家族灰度圖像集合訓練卷積神經(jīng)元網(wǎng)絡(luò)，并建立檢測模型，利用檢測模型對惡意代碼及其變種進行家族檢測。這種基于基因圖譜的檢測引擎，模型建立前會耗費較多的計算能力進行機器學習，模型建立后耗費的計算能力較小。

惡意代碼家族是有具有明顯特征的惡意代碼種類，是由很多擁有共同特性的惡意代碼個體組成，共同特性通常包括相同的代碼、圖案、應(yīng)用特征及相似的行為方式。惡意代碼家族中的個體成員之間差異較小，而且它們的基因結(jié)構(gòu)也比較相近，猶如物種在進化過程中基因變化一樣，如下圖所示，惡意代碼家族Worm.Win32.WBNA（1ef51f0c0ea5094b7424ae72329514eb、777b2c29dc6b0c0ad1cec234876a97df、 1701f09f7348b0a609b8819b076bb4df）中的三個成員，查看其PE文件紋理變化情況。下圖從上到下分為三層，每層分為三列。第一層從左到右為三個惡意代碼的紋理圖像，第二層從左到右為第一層三個紋理圖像的差異（與第一層的第一幅紋理圖像比較），第三層為惡意代碼標識，命名規(guī)則為“md5”。

Worm.Win32.WBNA 3個家族成員內(nèi)容紋理差異對比

基于基因圖譜的入侵防范技術(shù)的優(yōu)點是對于已知惡意代碼的變種程序檢測效果較好，對于零日漏洞攻擊或新型惡意代碼檢測效果不佳。

2.2.2. 基于主機行為白名單的入侵防范技術(shù)

基于主機行為白名單的入侵防范技術(shù)，通過機器學習建立主機進程白名單、網(wǎng)絡(luò)白名單、外設(shè)白名單、配置策略安全基線和文件強制訪問控制模型，利用上述模型檢測并阻止新型的惡意代碼或違規(guī)操作。這種基于主機行為白名單的檢測引擎，適用于應(yīng)用程序相對單一的環(huán)境，比如工業(yè)控制系統(tǒng)計算環(huán)境，模型建立前會耗費較多的計算能力進行機器學習，模型建立后耗費的計算能力較小。

基于主機行為白名單的入侵防范技術(shù)，很好的滿足了等保2.0中關(guān)于安全計算環(huán)境的入侵防范要求。主機進程白名單，對應(yīng)了應(yīng)用程序最小運行原則，和應(yīng)用程序的最小安裝原則相互呼應(yīng)。網(wǎng)絡(luò)白名單，對應(yīng)了應(yīng)用服務(wù)和開放端口的最小化原則。外設(shè)白名單，對應(yīng)了外設(shè)接入的管控。配置策略安全基線，對應(yīng)了配置策略的安全核查，從另外一個方面解決了配置弱點漏洞。文件強制訪問控制，加強了對惡意文件的權(quán)限管控，可以防文件篡改，保護了系統(tǒng)核心文件的安全。

進程白名單可以有效防護新型的惡意代碼攻擊

基于主機行為白名單的入侵防范技術(shù)的優(yōu)點是對于基于零日漏洞的惡意代碼攻擊的檢測效果較好，但是一旦零日漏洞攻擊進入Ring 0層并擁有了驅(qū)動卸載權(quán)限后，白名單軟件很難防護?；谥鳈C行為白名單的入侵防范技術(shù)要求在建立白名單模型的過程中，必須在干凈的系統(tǒng)環(huán)境下學習。

2.2.3. 基于EDR的入侵防范技術(shù)

基于EDR（Endpoint Detection and Response，終端防護和相應(yīng)）的入侵防范技術(shù)，通常會記錄大量終端和網(wǎng)絡(luò)事件（包括用戶、文件、進程、注冊表、內(nèi)存和網(wǎng)絡(luò)事件），把這些信息保存在終端本地，或者保存在中央數(shù)據(jù)庫中，然后使用已知的攻擊指示器、行為分析和機器學習技術(shù)識別攻擊威脅，檢測系統(tǒng)漏洞并對這些威脅風險做出快速響應(yīng)。基于EDR的入侵防范技術(shù)能夠?qū)K端進行持續(xù)的檢測，發(fā)現(xiàn)異常行為并進行實時的干預(yù)。這種技術(shù)耗費的計算能力較高。

EDR檢測引擎至少要具備四種類型的能力，如下圖所示。

EDR需要具備的四種類型的能力

1）能夠在安全事件發(fā)生時進行檢測；

2）記錄并響應(yīng)相關(guān)終端事件；

3）支持對事件的調(diào)查分析；

4）為受影響終端提供補救機制。

一個有效的 EDR 系統(tǒng)首先要求在所有終端上線時以及以后每次使用時發(fā)現(xiàn)、分類和評估它們。基于終端發(fā)現(xiàn)，EDR 系統(tǒng)部署實施有代理或無代理機制，用于實現(xiàn)威脅檢測、監(jiān)控和報告功能，該功能插入特定管理服務(wù)，定期收集跟蹤活動、軟件配置、安全狀態(tài)等數(shù)據(jù)，并存入相應(yīng)數(shù)據(jù)庫。同時先進的 EDR 系統(tǒng)可以幫助減少整體攻擊面，限制攻擊的影響，并使用威脅情報和觀察來預(yù)測攻擊可能發(fā)生的時間和方式。

基于EDR的入侵防范技術(shù)的優(yōu)點是可以識別并阻斷各類已知和未知的攻擊行為，可以對攻擊全流程進行溯源追蹤。該技術(shù)基于行為分析，也會產(chǎn)生一定的誤報。

3

入侵防范技術(shù)對比分析

上面小節(jié)論述的入侵防范技術(shù)的對比分析如下表：

基于白名單的入侵防范技術(shù)，在網(wǎng)絡(luò)流量或主機行為簡單的環(huán)境下適用性較好，比如工業(yè)控制系統(tǒng)環(huán)境。