零日漏洞特征以及防范分析.docVIP

零日漏洞特征以及防范分析 　　摘 要文章首先针对零日漏洞以及对应的零日攻击的概念，和相关传播特征做出了说明和分析，而后进一步在此基础之上，对于面对零日漏洞如何建立起相对有效的防范体系展开了讨论，对于切实加强系统安全水平有着一定的积极价值。 　　【关键词】零日漏洞 零日攻击 防范 安全 　　随着人们对于信息依赖性的逐步增强，数据安全成为越来越重要的问题。保护网络能够免于外部恶意攻击以及病毒的侵害，确保数据的可用性和可靠性，已经成为人们共同关注的焦点问题。但是在对数据安全产生威胁的众多因素之中，零日漏洞不容忽视，其破坏力之强以及在时间方面的紧迫性，都决定了网络数据安全必然要与零日漏洞形成长期的对抗。 　　1 零日漏洞特征分析 　　零日漏洞又称为零时差攻击，是指被发现后立即被恶意利用的安全漏洞，而对应而产生的零日供给，则是指恶意的软件或者人员利用操作系统或应用软件的某些未被开发商知晓的或未及时修补的漏洞发起的攻击。从特征角度看，零日攻击与传统的黑客攻击有极大的相似特征，其区别仅仅在于零日攻击的对象以及渠道，是潜在的未知的，或者是虽然已经公布但尚未来得及修复的系统漏洞。 　　从理论上说，系统越庞大，代码越复杂，虽然对应地能够实现的功能越多，但是安全隐患也会随之增加。Windows系统、Office应用组件等系统，包括操作系统以及应用软件系统，都有有可能存在零日漏洞，从而成为零日攻击的目标。零日漏洞常常被黑客在不同系统的源代码或者协议中所发现，并且进一步将攻击行为进行包装和伪装，送达用户端加以运行，实现对用户端数据的侵袭。这种攻击对于一般的网络用户而言危害相对有限，但是如果攻击对象为企业局域网环境，并且企业网络环境中可能存在敏感信息，那么这种攻击无疑会带来重大损失。 　　通常而言，零日漏洞攻击力度都相对较大且传播迅速，更为重要的问题在于防范相对困难。从攻击力度的角度看，利用零日漏洞而实现的供给具有广泛特征。零日漏洞存在于相关系统或者应用软件中，因此所有该系统或者应用软件的用户都必然会成为攻击的目标，因此零日攻击的范围通常相对较大。而从传播速度的角度看，和同样传播比较迅速的病毒进行对比，可以发现病毒爆发之后几个小时内，相关杀毒和防毒系统就会自行作出判断，将病毒特征码纳入到对比的特征库中，但是对于作为攻击渠道的零日漏洞而言，从攻击爆发一直到相关的补丁出现，至少也需要几天的时间。在这个时间段内，都没有办法对零日攻击展开有效的防范，而如果单纯依靠防火墙或者杀毒软件，又无法做到良好的防范效果。虽然当前一些大型的软件公司从软件发布开始就在不断面向自身展开安全测试，试图实现最大程度上对于零日漏洞的修补，但是仍然不能消除零日攻击的危害和传播优势。目前的攻击从之前相对比较被动的文件以及宏病毒传播，已经演化成为了当前更加主动，以自我传播和电子邮件以及蠕虫等多种形式相融合的攻击，而相对比较新的Warhol 和Flash 威胁传播起来只需要几分钟，在提升攻击效率的同时，也降低了系统的安全水平。 　　2 零日漏洞的攻击防范 　　在信息领域中，必然有很大一部分防范工作是滞后于攻击而存在的。但是鉴于零日漏洞本身修复和防护方面，需要相关系统和应用软件的工作人员投入数天工作才能实现补丁的研发，因此其滞后特征相对于病毒等攻击而言更为显著。在这样的情况之下，网络安全工作必然不能坐以待毙，而应当采取一种积极的态度，搭建起一个相对完善的防范体系，尽最大可能实现对于零日漏洞的抵御。 　　在这个安全体系环境之下，除了需要实时更新各种软件的补丁，修复漏洞，尽量缩短零日漏洞在系统和应用软件中的存在时间，降低数据所面临的风险水平。除此以外，还有如下几个方面的工作应当重点引起重视： 　　2.1 加强网络入侵防御系统（NIPS，NetworkIntrusion Prevention system）建设 　　入侵防御系统本质上是入侵检测系统（IDS，Intrusion Detection Systems）和防火墙的有机结合。对于NIPS而言，在网络环境中的部署应当注意对攻击的防范，同时对于内部网络环境而言，加强数据传输特征的深入检查，力求能够及时发现局域网内部的攻击行为。在网络边界方面，NIPS工作的重点在于执行对于数据流的分析，从传输特征和协议两个方面展开对于传输请求的检查，必要的情况下对网络流量施加限制，便于检测出不正常的网络传输操作，以及Dos攻击。除此以外，还应当加强对于数据签名的检查，考虑到零日病毒完全可以在防毒系统创建出签名之前对网络实现攻击，因此只有不断优化签名检测时间，才能切实将确认攻击的时间缩短，提升网络安全性。与此同时，引入NIPS的重点之一，还在于该系统能够实现持续对于局域网内部环境数据交换和传输特征的侦测，从而发现可能存在而进入到内网的攻