以变制快：网络安全产品技术发展趋势

　　主动面对更迅速的混合式攻击

　　众所周知，目前网络安全防范的主要难点，其一在于攻击的“快速性”:漏洞从被发现到受到第一波攻击，可能只有一天的时间;病毒从某一台电脑到感染全球，也许只需要几个小时。这一切都让被动式防御变得越来越被动，越来越力不从心;其二，安全威胁越来越趋向于“复合性”:这种复合性包含了攻击手段和传播途径两个层面，一方面，我们面对的是包括了病毒、木马、钓鱼、间谍软件、黑客、内部攻击在内的安全威胁，另一方面，这些威胁感染网络的途径也多种多样，包括邮件、网络资源共享、P2P、即时消息……等等。我们需要更先进、更全面化的主动防御技术和产品，才能在攻击面前泰然自若。

　　以防火墙、防病毒软件和IDS为首的安全产品中，越来越多地体现出了主动防御的特性，从而给用户带来了越来越多的信心。

　　安全威胁愈演愈烈，而且入侵手段也越来越隐蔽、狡猾、快速。相应的，安全产品也在不断“进化”，不断完善自己，发展出应对安全威胁的更好的方法。在相互较量的过程中，网络安全产品需要变被动防御为主动出击，以一种更积极的姿态去化解安全危机。
　像防病毒软件、防火墙、反垃圾邮件、反间谍软件、入侵检测系统(IDS)、SSL VPN、统一威胁管理(UTM)等产品都已经找到了自己演进的方向，并正在付诸行动。

　　防病毒软件:主动防御依靠行为识别技术

　　防毒关键在于主动

　　人们长期以来对于计算机病毒只能被动防御的局面必须要改变，才能真正确保网络的安全。趋势科技(中国)有限公司资深技术顾问齐军认为，对于企业来说，面临的最大问题是基于签名的识别技术不能有效防御新病毒，比如蠕虫和特洛伊木马。企业要想有效地制止攻击，行为识别是首选的解决方案。

　　软件采用行为识别和特征识别技术，可非常高效的实现对计算机病毒、蠕虫、木马等恶意攻击行为的主动防御，能较好地解决现有产品或系统以被动防御为主、识别未知攻击行为能力弱的缺陷。基于行为的反防毒保护并不依靠一对一的签名校对来实现恶性代码的识别，而是通过检查病毒及蠕虫的共有特征发现可能的恶性软件。采用这一技术的优势在于:该技术可识别未知的病毒，以抵御“零日”攻击。

　　随着其他设备的网络化，比如打印机与复印机，或者IP语音硬件日益普及，它们也成了攻击目标，或者成为新的攻击手段。这些攻击类型在未来一两年内将变得司空见惯。特别是随着像PDA以及智能手机之类网络电子产品的普及，今后的反病毒技术必将从现有的基于签名的技术，转向下一代基于行为的策略。

　　行为识别技术暂时不能商业化

　　可以说由签名识别技术转移到行为识别技术，是大势所趋。但是，目前的事实是，行为识别技术暂时还没有走向商业化。趋势科技进行了多次市场评估，得出的结论是:1. 由于签名识别技术在网络安全中的应用已经很成熟，因此，不可能一下就停用。用户接纳行为识别技术需要一个过程。2.目前，行为识别技术还不是十分完善，存在一定的弊端。例如，误报率容易对用户产生不良影响、性能消耗大、目前流行配置的PC难以承受，这也是它目前不能走向商业化的一个重要原因。

　两种技术并用

　　综合各方面因素，反病毒软件在接下来的2-4年将会更多地走向签名识别技术和行为识别技术并用的时代。目前，已经有越来越多的厂商投入到行为识别技术的研究当中，并相继推出了新产品。安全专家表示，这两种技术的结合接下来还会有更大的突破。

　　反垃圾邮件产品:行为判别技术成新方向

　　国内外主要的反垃圾邮件系统，普遍采用的是关键字内容过滤技术，采取“截获样本，解析特征，生成规则，规则下发，内容过滤” 这种类似传统杀病毒系统的原理，而这种技术存在着许多难以克服的问题:

　　◆垃圾邮件内容变化快，数量远远大于病毒，任何一家安全公司都很难保证样本采集的数量和及时性，也就很难保证反垃圾邮件的使用效果和效果的持久性;

　　◆必须比对完所有的关键字规则，一封信才能被确信不是垃圾邮件，导致效率低下、资源消耗大、网关系统不稳定，尤其是在遭受巨量邮件攻击时，可能导致系统崩溃;

　　◆依赖关键字规则判别垃圾邮件，导致误判率较高，垃圾邮件识别准确性低，效果差;

　　◆系统自维护能力差，管理员维护大量规则库，工作量大;

　　◆信件必须接收完整才能进行内容过滤，导致国际网络流量费用高;

　　◆通过拆信检查内容的方式进行反垃圾邮件，侵犯了公民电子邮件通信自由权和隐私权，这种内容过滤技术将受到广泛的法律质疑。

　　传统反垃圾邮件技术，只能提升信噪比，以免垃圾邮件淹没正常邮件，但垃圾邮件与病毒邮件仍然占用了大量带宽与存储资源，垃圾邮件的发送仍处于非受控状态。

　　要想从根本上解决反垃圾邮件的技术难题，就要采用主动型垃圾邮件行为模式识别的技术，这样才能做到主动的邮件攻击行为防御、主动的垃圾邮件阻断，从而最大程度地提高垃圾邮件识别率、拦截率，降低资源消耗，真正达到电信级的网关处理速度。

　　行为模式识别模型包含了邮件发送过程中的各类行为要素，例如:时间、频度、发送IP、协议声明特征、发送指纹等。在统计分析中，可以发现在行为特征上，垃圾邮件与正常邮件具有极高的区分度，且不论内容如何均相对为固有特征，特别是对大量的采用动态IP发送的邮件更是如此。垃圾邮件行为模式识别模型在理论计算上有着较高的垃圾邮件区分度(>90%)，在实证分析中也暗合“小偷的行为心理异于常人”的道理，经得起逻辑和哲学理论的推敲。

　　采用垃圾邮件行为模式识别模型不仅大大提高了垃圾邮件辨别的准确率，而且不需要对信件的全部内容进行扫描，所以又可以大大提高计算处理能力，为电信级的邮件过滤打下了坚实的基础。

　　此外，采用垃圾邮件行为模式识别模型识别垃圾邮件，也可以从另一方面给垃圾邮件攻击者以压力，迫使发送者必须按照一定的规范发送邮件。也就是说迫使邮件发送者只能从正常渠道，以正常方式发送邮件，从而使得邮件的发送处于受控状态。

　　垃圾邮件行为模式识别模型是完全不同其他邮件过滤技术或算法的技术，虽说依然是站在巨人的肩膀上，但通过推出这种行为识别技术，可以说是将目前的邮件过滤技术带入到下一代的技术革新中。相信不久的将来，在全球的邮件过滤器上都会应用到行为识别技术
防火墙:多种技术齐头并进

　　作为网络安全领域的旗舰产品，防火墙发挥了重要的网络保护作用。但是随着网络应用的发展，对于各种网络危机的防范，传统的状态检测防火墙显得捉襟见肘。需求产生新的市场，市场促进技术发展，这个规则在网络安全领域同样有效。目前的防火墙已经不仅仅只是进行状态检测，还提供了更多的安全功能，从各个方面对网络安全威胁进行防护，主动扩大战线。

　　新一代NP技术

　　用CPU、ASIC还是NP，一直是大家不断争论的一个问题，其实这个问题非常简单。在能达到同样性能的情况下，优选CPU，其次是NP，然后是ASIC。目前很多厂商使用CPU+特定业务ASIC来实现高速处理，这是比较常见的方式。在性能不能解决的情况下，选择NP是必然的做法。但不管是IBM，还是Intel的NP，一个主要问题是开发成本太高，微码的开发难度和进度都不是普通公司能够短期搞定的，而带来的维护成本和对客户的响应速度都是很大的问题。这两年推出的新一代网络业务NP，通过直接集成多个通用CPU在一个处理器中，既可以保证高性能，又能借助软件的灵活性处理高层业务数据。新一代NP直接支持C语言和标准协议栈，性能高达10G，是期望中的业务网关处理芯片。使用新一代NP技术的防火墙将会获得性能和功能上两全的保障。

　　防火墙深包检测

　　防火墙最初的功能就是进行访问控制、状态检测，以及地址转换功能。通过对报文网络层信息的检测，来实现在网络层上对报文的控制。比如，哪些用户可以访问哪些地址(访问控制)，哪些流量可以从外网进入内网(状态检测)，如何隐藏内部网络的地址(地址转换)。随着网络应用的发展，高层协议得到越来越多的应用，互联网也从多种协议并驾齐驱发展成少数应用协议成为主流。而针对这些协议，用户需要进行控制。比如，需要控制用户不能访问非法网址，带有恶意信息的报文不能进入内网。而这些功能，仅仅依靠传统防火墙技术实现的对网络层信息进行检查和判断，是不能实现的，需要检查报文中的更深层次的内容，于是发展出了深度检测技术。深度检测可以检测报文中的内容信息，从而实现URL过滤、FTP命令过滤、网页中ActiveX控件过滤等功能，达到控制应用内容的目的。集成深包检测的防火墙将会越来越多。通过深包检测对内容进行控制，而不仅仅是对网络层信息进行控制，使防火墙对智能攻击有了主动防护能力。