“防攻击”技术阻止威胁传播.docxVIP

PAGE 1 PAGE 1 “防攻击”技术阻止威胁传播  随着网络的发展和普及，病毒也越来越猖狂。有的病毒编写者会抢在用户修补系统之前发布攻击漏洞的病毒或蠕虫，使我们难以防范。本文将介绍一种“通用防攻击”技术来阻挡威逼传播。  传统反病毒技术的原理是，研究人员快速获取新出现的病毒或蠕虫，对其进行分析并生成一个病毒或蠕虫特征签名再发给用户。这种反应式的反病毒技术存在一个问题，即假如威逼的传播速度比威逼特征签名的生成速度更快，计算机就会被病毒或蠕虫感染。近两年来，在软件漏洞被披露之后，病毒编写者会抢在用户修补系统之前，快速发布攻击漏洞的病毒或蠕虫，使防病毒厂商和用户来不及做出反应。  提前防范  一种叫作“通用防攻击”的新兴安全技术可以保护存在缺陷的系统不受到攻击的威逼。这一技术被集成到桌面或网关防火墙中，可以帮助人们阻挡病毒传播，而不是在威逼发生之后再采取应对措施。  这一技术通过描述系统漏洞的性质，然后创建能够发觉并阻断全部潜在攻击的签名。与传统反病毒技术一样，这项技术也是通过特征分析来创建签名，但是分析的对象不是病毒而是脆弱软件。分析对象的不同使这项新技术与传统的反病毒技术有了很大不同。这项新技术可以让安全研究人员在攻击漏洞的新病毒或蠕虫出现之前来保护系统。  对这项技术的需求是从2002年7月开始的，当时微软宣布MicrosoftSQLServer服务器数据库存在一个漏洞。攻击者只需向运行SQLServer而未安装补丁的机器的1434端口发送一个包含61个字节或更长字节的数据包，就可以利用这一漏洞发起攻击。假如当时安全厂商能够针对这一漏洞供应“通用防攻击”签名，就可以阻挡这种威逼。  安全软件厂商可以把“通用防攻击”签名发送给防火墙，然后部署在服务器或桌面PC上的防火墙就会利用这一签名对全部进入的数据包进行过滤。假如在漏洞被披露之后马上部署签名，那么MS-SQLSlammer蠕虫从一开始就会被阻断。假如采用了这项技术，过去两年里出现的很多引人注目的漏洞就可以通过类似方式加以保护。在2004年4月13日，微软公布Windows存在LSASS漏洞，假如安全厂商针对这一漏洞向用户推送相应的签名，这种签名可以有效阻挡Sasser和W32.Korgo蠕虫的传播。  这种“通用防攻击”技术能够防止漏洞被恶意利用，能够阻挡大多数网络威逼（包括像Slammer、Blaster和Nimda这样的威逼），适合集成在桌面PC和服务器中，也可以整合到任何过滤网络数据包的设备之中。当数据包从被保护的设备中流过时，相应的软件就会将每种漏洞的“通用防攻击”签名与数据包进行对比，并阻断相匹配的数据包，从而防止威逼入侵。  补充能力  不过，这一技术并不会取代传统的病毒特征签名技术。相反，“通用防攻击”是对传统反病毒技术的有效补充，帮助人们提前保护存在缺陷的系统不受潜在攻击的威逼。  假如这一技术与能够定期供应病毒特征签名的传统防病毒技术结合起来，企业遭受攻击的概率将会大大降低。