(华北电力大学 北京 102200)

一、课题背景及研究的目的和意义

近年来，随着科技水平的发展和人们对互联网的不断熟悉，网络与人们的联系更加紧密。特别是伴随早期互联网人群逐渐走入工作岗位，更是把互联网的影响力散播到了工作生活的方方面面。然而，互联网在给我们带来便利的同时，也引发了越来越多的问题和隐患[1]。特别是近几年，大数据技术广泛应用于各行各业之中，各大互联网企业争相收集用户信息，并试图以此分析得到精确的用户偏好，推送给用户更加感兴趣的产品，提高公司收入。这些生活中有意或无意透露出的信息使我们的一切都变得透明，不在有隐私存在。这样的技术多用于企业根据你在搜索引擎搜索的关键字对你进行个性化的产品推送，看起来非常方便，企业不仅能够创造更大的利润、用户能更方便的获得想要的商品。但是，当我们在享受大数据技术带来便利的同时，也要注意该技术带来的安全隐患。在这其中，有关用户的大量数据的安全性首当其冲，一旦存储这些数据的服务器遭到黑客攻击而导致数据泄露，将会造成巨大的影响，尤其是诈骗人员在获得这些用户信息之后，受害者更加难以分辨其言语的真伪。因此，检查系统安全性，确保系统能够抵御各种形式的恶意攻击成为保护信息安全的重中之重[2]。

逃避技术是一种可以改变数据流原有特征的技术手段，它能够通过伪装或修改网络攻击帮助恶意攻击者实现逃避网络安全防护设备检测的目的。这一技术最大的危害是其针对数据流量特征的伪装，在它的协助下恶意攻击代码能够完全骗过网络安全防护设备的检测并进入到信息系统内部[3]。在应用了逃避技术之后，即使是非常陈旧的恶意代码也能够对信息系统的安全性带来严重的威胁。逃避技术的引入完全改变了以往攻击使用的恶意代码一旦被安全防护设备厂商发现就毫无威胁的局面，给安全防护领域引入了全新的挑战。高级逃避攻击技术(AET)是多种原子逃避技术(我们将单一的某种逃避攻击技术称为原子逃避技术)的组合。从本质上讲，AET是动态的、不符合常规的、没有数量限制的，因此，传统检测手段很难与之抗衡[4]。通过测试可以发现很多Gartner排名靠前的网络入侵检测系统(NIDS)设备以及防火墙设备同样能够被轻易穿透不留任何痕迹。据统计，近年来互联网中产生的攻击数据流中约有40%运用了逃避技术作为伪装[5]。2014年，由于黑客攻击所造成的重大损失，世界各国的安全组织为防御高级逃避技术所带来的威胁就平均投入近100万美元。以澳大利亚为例，应用了AET的黑客攻击使得企业信息设备的防御能力平均降低15个百分点，造成的损失多达150万美元。

高级逃避技术正是在这种情况下获得了网络黑客的追捧：一方面，现有的网络安全设备在0day漏洞被爆出后很快就会将其列入特征库之中，造成了攻击者可用漏洞种类锐减；另一方面，高级逃避技术能够对数据流进行伪装，能够较好的掩盖漏洞攻击代码原有的数据特征。有了高级逃避技术这一伪装利器，一些因为特征被录入到网络安全设备而销声匿迹的经典漏洞攻击代码又恢复了往日的威胁，给现有的网络安全管理带来了全新的挑战。有鉴于此，研究高级逃避攻击技术的网络攻击方式以及如何有效抵御其攻击具有一定的实际应用意义。

二、高级逃避技术国内外研究现状

2010年，当Stonesoft的研究实验室对全球领先的各大安全厂商的安全产品进行逃避技术的测试时，意外的发现了重大的安全隐患。令人难以置信的是，所有的测试设备都无法检测到应用了高级逃避技术的攻击[6]。目前为止Stonesoft已经发现了近150种不同的高级逃避技术方法，但AET能够组合的数量约为2的49次方，还没有哪一种IPS能够做到完全识别所有应用了AET的威胁。之所以攻击与防御之间会存在如此巨大的差距，是由于这些安全应用的工作方式决定的。通常意义上的防火墙采用了预先定义的安全策略规则，可根据源、目标、协议和其他属性允许和阻止数据包。与防火墙不同，IDS和IPS设备会对所有的数据流量进行检测，只要没发现威胁，就会允许所有流量进入网络。一旦发现恶意软件试图进入网络，IDS和IPS设备就会向管理员发出警告信息或中断数据连接。

据资料统计显示，国际网络安全组织MITRE在其网站上公布多达45000个带有统一CVE标识安全漏洞，然而目前市面上的网络安全设备一般只会选择收录最为常见的3000-4000种安全漏洞的数据特征，甚至有些网络安全防护设备厂商基于产品性能等因素限制的原因仅提供最为基本的1000种特征指纹的匹配检测。由此可见，常见的网络安全设备检测存在巨大的盲区，在面对高级逃避技术的攻击时更加的无力。

而在国内，“高级逃避技术”已经引起了国内安全专家与厂商的重视。但是由于自身软件架构和硬件架构的设计问题，还不能够真正实现对AET的防护。通常国内安全产品只能够防御IP和TCP层部分逃避技术或者通过静态特征库的方式来防护AET。进一步加强对AET最新威胁研究，成为国内安全行业首选课题。

很多国内的网络安全防护设备的检测技术存在漏洞：其只对部分数据流进行检测，很多情况下无法判断高级逃避技术存在的网络层次，当然也就无法移除应用了高级逃避技术的恶意数据流。另外，国内很多厂商对高级逃避技术不够重视，产品中缺少专用的处理模块导致只能利用静态特征指纹来识别数据流当中存在的高级逃避技术威胁。

三、总结

随着计算机网络同我们生活的关系日益密切，网络安全也得到了越来越多的重视。当今社会中，几乎所有的团体都会为了确保名下的虚拟数据的安全而购买网络安全设备，并将其部署在网络的边界上，也正因为如此，这些网络安全设备的性能才格外重要。本文基于以上背景，对“高级逃避技术”这一新兴的网络攻击辅助进行了研究。对该技术的危害的进行介绍与讨论，对比分析了高级逃避技术国外的研究现状，得出国内现有产品不足的结论。