1

等保2.0關(guān)于入侵防范的規(guī)定

等保2.0標(biāo)準(zhǔn)在2019年5月正式發(fā)布，將于2019年12月開(kāi)始實(shí)施。等保2.0標(biāo)準(zhǔn)中對(duì)入侵防范做了詳細(xì)要求，下面表格中列出了等保2.0對(duì)入侵防范的要求，黑色加粗字體表示是針對(duì)上一安全級(jí)別增強(qiáng)的要求。

等保2.0中主要在安全區(qū)域邊界和安全計(jì)算環(huán)境中提到入侵防范要求。安全區(qū)域邊界中的入侵防范主要指在關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)處對(duì)從外部或內(nèi)部發(fā)起的網(wǎng)絡(luò)攻擊進(jìn)行入侵防范，安全計(jì)算環(huán)境中的入侵防范主要指遵循安裝程序、開(kāi)放服務(wù)和終端接入的最小化原則，同時(shí)修補(bǔ)已知漏洞。在等保3級(jí)中，要求實(shí)現(xiàn)對(duì)新型網(wǎng)絡(luò)攻擊行為的分析，并要求檢測(cè)到對(duì)重要節(jié)點(diǎn)進(jìn)行入侵的行為。在等保4級(jí)中，對(duì)入侵防范的要求和等保3級(jí)基本保持一致。

入侵防范是一種可識(shí)別潛在的威脅并迅速地做出應(yīng)對(duì)的網(wǎng)絡(luò)安全防范辦法。入侵防范技術(shù)作為一種積極主動(dòng)地安全防護(hù)技術(shù)，提供了對(duì)外部攻擊、內(nèi)部攻擊和誤操作的實(shí)時(shí)保護(hù)，在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)入侵。入侵防范被認(rèn)為是防火墻之后的第二道安全閘門(mén)，在不影響網(wǎng)絡(luò)和主機(jī)性能的情況下能對(duì)網(wǎng)絡(luò)和主機(jī)的入侵行為進(jìn)行監(jiān)測(cè)。

另外，在等保2.0中提到的應(yīng)用程序最小安裝原則，這也屬于入侵防范的一部分，屬于非自動(dòng)化的入侵防范辦法。本文重點(diǎn)講解自動(dòng)化的入侵防范技術(shù)，關(guān)于非自動(dòng)化的入侵防范辦法不做詳細(xì)探討。

2

常用入侵防范技術(shù)

按照檢測(cè)數(shù)據(jù)來(lái)源，將入侵防范技術(shù)分為基于網(wǎng)絡(luò)的入侵防范技術(shù)和基于主機(jī)的入侵防范技術(shù)，分別對(duì)應(yīng)等保2.0中的安全區(qū)域邊界和安全計(jì)算環(huán)境的入侵防范。

2.1.基于網(wǎng)絡(luò)的入侵防范技術(shù)

基于網(wǎng)絡(luò)的入侵防范，主要是通過(guò)分析網(wǎng)絡(luò)流量中的異常攻擊行為并進(jìn)行攔截和響應(yīng)。當(dāng)前比較流行的網(wǎng)絡(luò)入侵防范技術(shù)包括：基于特征簽名的入侵防范技術(shù)、基于沙箱的入侵防范技術(shù)、基于網(wǎng)絡(luò)行為白名單的入侵防范技術(shù)和基于威脅情報(bào)的入侵防范技術(shù)。

2.1.1. 基于特征簽名的入侵防范技術(shù)

基于特征簽名的入侵防范技術(shù)，需要在網(wǎng)絡(luò)通信報(bào)文中匹配特征簽名以查找已知的漏洞攻擊或惡意程序。這種基于特征簽名的檢測(cè)引擎，使用了模式匹配算法，可以在現(xiàn)代系統(tǒng)上快速完成，因此對(duì)于確定的一套特征簽名來(lái)說(shuō)，進(jìn)行這種檢測(cè)所需要的計(jì)算能力是最小的。

簽名檢測(cè)引擎常用的模式匹配AC算法

基于特征簽名的檢測(cè)引擎也有弱點(diǎn)，由于簽名引擎僅檢測(cè)已知的攻擊，必須為每種攻擊制作一個(gè)簽名，而且新的攻擊無(wú)法檢測(cè)。由于簽名通常是根據(jù)正則表達(dá)式和字符串設(shè)計(jì)的，因此，簽名引擎還會(huì)出現(xiàn)較多誤報(bào)。

基于特征簽名的檢測(cè)引擎對(duì)于檢測(cè)以固定方式實(shí)施的攻擊很成功，但是對(duì)于人工制作的或者具有自我修正行為功能的蠕蟲(chóng)發(fā)起的多種形式的攻擊檢測(cè)就有些力不從心。由于必須為每一種攻擊的變體制作一個(gè)新的簽名，而且隨著簽名的增加檢測(cè)系統(tǒng)的運(yùn)行速度將減緩，因此，簽名引擎檢測(cè)這些變化的攻擊的整體能力將受到影響。

實(shí)際上，基于特征簽名的入侵防范可以歸結(jié)為攻擊者和簽名開(kāi)發(fā)商之間的軍備競(jìng)賽。這場(chǎng)競(jìng)賽的關(guān)鍵是簽名編寫(xiě)和應(yīng)用到入侵防范引擎中的速度。

2.1.2. 基于沙箱的入侵防范技術(shù)

基于沙箱的入侵防范技術(shù)，需要在網(wǎng)絡(luò)通信報(bào)文中提取傳輸?shù)奈募?，并將文件在虛擬機(jī)上執(zhí)行，通過(guò)行為特征識(shí)別漏洞攻擊或惡意程序。這種基于沙箱的檢測(cè)引擎，使用了多個(gè)虛擬機(jī)并行運(yùn)行，會(huì)耗費(fèi)較多的計(jì)算能力。

沙箱技術(shù)的實(shí)踐運(yùn)用流程是讓疑似病毒文件的可疑行為在虛擬的沙箱里充分表演，沙箱會(huì)記下它的每一個(gè)動(dòng)作；當(dāng)疑似病毒充分暴露了其病毒屬性后，沙箱就會(huì)執(zhí)行“回滾”機(jī)制，將病毒的痕跡和動(dòng)作抹去，恢復(fù)系統(tǒng)到正常狀態(tài)。

沙箱的技術(shù)原理

基于沙箱的入侵防范技術(shù)的優(yōu)點(diǎn)是對(duì)于零日漏洞攻擊和APT攻擊的檢測(cè)效果較好。沙箱檢測(cè)引擎一般支持PE文件、文檔、壓縮包、圖片、網(wǎng)頁(yè)（JS腳本）以及Shell Code的檢測(cè)，對(duì)惡意文件的檢測(cè)能力較好，但是對(duì)于基于網(wǎng)絡(luò)流量發(fā)起的零日漏洞攻擊，沒(méi)有太好的辦法。比如MS17-010這種直接針對(duì)服務(wù)器端發(fā)起的網(wǎng)絡(luò)流量攻擊，在該漏洞未公開(kāi)前直接基于流量攻擊，沙箱引擎很難檢測(cè)。

2.1.3. 基于網(wǎng)絡(luò)行為白名單的入侵防范技術(shù)

基于網(wǎng)絡(luò)行為白名單的入侵防范技術(shù)，需要學(xué)習(xí)網(wǎng)絡(luò)通信流量，建立協(xié)議指令白名單模型和網(wǎng)絡(luò)流量基線模型，通過(guò)白名單和流量模型來(lái)識(shí)別網(wǎng)絡(luò)攻擊或違規(guī)操作。這種基于網(wǎng)絡(luò)行為白名單的檢測(cè)引擎，適用于網(wǎng)絡(luò)流量相對(duì)簡(jiǎn)單的環(huán)境，比如工業(yè)控制系統(tǒng)網(wǎng)絡(luò)環(huán)境，模型建立前會(huì)耗費(fèi)較多的計(jì)算能力進(jìn)行機(jī)器學(xué)習(xí)，模型建立后耗費(fèi)的計(jì)算能力較小。

基于網(wǎng)絡(luò)行為白名單的檢測(cè)引擎，采用了協(xié)議深層解析技術(shù)，對(duì)應(yīng)用層協(xié)議進(jìn)行深度解析，記錄下協(xié)議指令和操作數(shù)據(jù)，同時(shí)會(huì)記錄下流量特征，包括地址、端口、連接頻率、連接時(shí)間、應(yīng)用協(xié)議、帶寬和流量圖等，將上述數(shù)據(jù)匯總分析后，建立協(xié)議指令白名單模型和網(wǎng)絡(luò)流量基線模型。

黑白名單技術(shù)的對(duì)比分析

基于網(wǎng)絡(luò)行為白名單的入侵防范技術(shù)的優(yōu)點(diǎn)是對(duì)于基于網(wǎng)絡(luò)流量的零日漏洞攻擊的檢測(cè)效果較好。但是要求在建立白名單模型的過(guò)程中，必須在干凈的流量環(huán)境下學(xué)習(xí)。該引擎的缺點(diǎn)是無(wú)法精準(zhǔn)定位攻擊類(lèi)型。

2.1.4. 基于威脅情報(bào)的入侵防范技術(shù)

基于威脅情報(bào)的入侵防范技術(shù)，將網(wǎng)絡(luò)通信流量中采集的數(shù)據(jù)同威脅情報(bào)數(shù)據(jù)匹配來(lái)識(shí)別漏洞攻擊或惡意程序。這種基于威脅情報(bào)的檢測(cè)引擎，需要及時(shí)更新威脅情報(bào)數(shù)據(jù)，適用于開(kāi)放的網(wǎng)絡(luò)環(huán)境，基于威脅情報(bào)的檢測(cè)耗費(fèi)的計(jì)算能力較小。

威脅信息服務(wù)的三種不同階段

iSight Partners將威脅信息服務(wù)分為三種不同的階段：簽名與信譽(yù)源，威脅數(shù)據(jù)源和網(wǎng)絡(luò)威脅情報(bào)。簽名與信譽(yù)源，一般指的是惡意程序簽名（文件哈希）、URL信譽(yù)數(shù)據(jù)和入侵指標(biāo)。威脅數(shù)據(jù)源，對(duì)常見(jiàn)惡意程序和攻擊活動(dòng)的波及范圍、源頭和目標(biāo)進(jìn)行統(tǒng)計(jì)分析。某些安全研究團(tuán)隊(duì)針對(duì)特定惡意程序發(fā)布的攻擊解析，或者對(duì)高級(jí)、多階段攻擊的攻擊順序觀察，都屬于此類(lèi)。威脅情報(bào)包含了前兩者的基礎(chǔ)數(shù)據(jù)，但同時(shí)在幾個(gè)重點(diǎn)方面作了提升，包括在全球范圍內(nèi)收集及分析活躍黑客的信息和技術(shù)信息，也就是說(shuō)持續(xù)監(jiān)控黑客團(tuán)體和地下站點(diǎn)，了解網(wǎng)絡(luò)犯罪者和激進(jìn)黑客共享的信息、技術(shù)、工具和基礎(chǔ)設(shè)施。此類(lèi)服務(wù)還要求其團(tuán)隊(duì)擁有多樣化的語(yǔ)言能力和文化背景，以便理解全球各地黑客的動(dòng)機(jī)和關(guān)系。另外，威脅情報(bào)以對(duì)手為重點(diǎn)，具有前瞻性，針對(duì)攻擊者及其戰(zhàn)術(shù)、技術(shù)與程序（TTP）提供豐富的上下文數(shù)據(jù)。數(shù)據(jù)可能包括不同犯罪者的動(dòng)機(jī)與目標(biāo)，針對(duì)的漏洞，使用的域、惡意程序和社工方式，攻擊活動(dòng)的結(jié)構(gòu)及其變化，以及黑客規(guī)避現(xiàn)有安全技術(shù)的技巧。

針對(duì)攻擊方的威脅情報(bào)主要包括：攻擊者身份、攻擊的原因、攻擊目的、具體怎么做的、攻擊者的位置、如何組織情報(bào)（包括IP地址、哈希值等可用來(lái)更準(zhǔn)確地檢測(cè)和標(biāo)記惡意行為）、如何緩解攻擊。

基于威脅情報(bào)的入侵防范技術(shù)的優(yōu)點(diǎn)是可以快速檢測(cè)最新型的網(wǎng)絡(luò)攻擊，但是不具備對(duì)零日漏洞攻擊的檢測(cè)能力，同時(shí)要及時(shí)更新威脅情報(bào)庫(kù)。

2.2.基于主機(jī)的入侵防范技術(shù)

基于主機(jī)的入侵防范，主要是通過(guò)分析主機(jī)進(jìn)程和文件的異常攻擊行為并進(jìn)行攔截和響應(yīng)。當(dāng)前比較流行的主機(jī)入侵防范技術(shù)包括：基于特征簽名的入侵防范技術(shù)、基于沙箱的入侵防范技術(shù)、基于基因圖譜的入侵防范技術(shù)、基于主機(jī)行為白名單的入侵防范技術(shù)和基于EDR的入侵防范技術(shù)。

其中，前兩種基于主機(jī)的入侵防范技術(shù)在檢測(cè)原理上同基于網(wǎng)絡(luò)的入侵防范技術(shù)類(lèi)似，它們的區(qū)別在于：在主機(jī)上特征簽名引擎主要對(duì)文件中的特征串和文件的校驗(yàn)和進(jìn)行模式匹配，沙箱引擎主要對(duì)系統(tǒng)中可執(zhí)行程序的訪問(wèn)資源以及系統(tǒng)賦予的權(quán)限建立應(yīng)用程序的沙箱來(lái)限制惡意代碼的運(yùn)行。因此，本節(jié)主要介紹后三種基于主機(jī)的入侵防范技術(shù)。

2.2.1. 基于基因圖譜的入侵防范技術(shù)

基于基因圖譜的入侵防范技術(shù)，通過(guò)結(jié)合機(jī)器學(xué)習(xí)/深度學(xué)習(xí)、圖像分析技術(shù)，將惡意代碼映射為灰度圖像，建立卷積神經(jīng)元網(wǎng)絡(luò)CNN深度學(xué)習(xí)模型，利用惡意代碼家族灰度圖像集合訓(xùn)練卷積神經(jīng)元網(wǎng)絡(luò)，并建立檢測(cè)模型，利用檢測(cè)模型對(duì)惡意代碼及其變種進(jìn)行家族檢測(cè)。這種基于基因圖譜的檢測(cè)引擎，模型建立前會(huì)耗費(fèi)較多的計(jì)算能力進(jìn)行機(jī)器學(xué)習(xí)，模型建立后耗費(fèi)的計(jì)算能力較小。

惡意代碼家族是有具有明顯特征的惡意代碼種類(lèi)，是由很多擁有共同特性的惡意代碼個(gè)體組成，共同特性通常包括相同的代碼、圖案、應(yīng)用特征及相似的行為方式。惡意代碼家族中的個(gè)體成員之間差異較小，而且它們的基因結(jié)構(gòu)也比較相近，猶如物種在進(jìn)化過(guò)程中基因變化一樣，如下圖所示，惡意代碼家族Worm.Win32.WBNA（1ef51f0c0ea5094b7424ae72329514eb、777b2c29dc6b0c0ad1cec234876a97df、 1701f09f7348b0a609b8819b076bb4df）中的三個(gè)成員，查看其PE文件紋理變化情況。下圖從上到下分為三層，每層分為三列。第一層從左到右為三個(gè)惡意代碼的紋理圖像，第二層從左到右為第一層三個(gè)紋理圖像的差異（與第一層的第一幅紋理圖像比較），第三層為惡意代碼標(biāo)識(shí)，命名規(guī)則為“md5”。

Worm.Win32.WBNA 3個(gè)家族成員內(nèi)容紋理差異對(duì)比

基于基因圖譜的入侵防范技術(shù)的優(yōu)點(diǎn)是對(duì)于已知惡意代碼的變種程序檢測(cè)效果較好，對(duì)于零日漏洞攻擊或新型惡意代碼檢測(cè)效果不佳。

2.2.2. 基于主機(jī)行為白名單的入侵防范技術(shù)

基于主機(jī)行為白名單的入侵防范技術(shù)，通過(guò)機(jī)器學(xué)習(xí)建立主機(jī)進(jìn)程白名單、網(wǎng)絡(luò)白名單、外設(shè)白名單、配置策略安全基線和文件強(qiáng)制訪問(wèn)控制模型，利用上述模型檢測(cè)并阻止新型的惡意代碼或違規(guī)操作。這種基于主機(jī)行為白名單的檢測(cè)引擎，適用于應(yīng)用程序相對(duì)單一的環(huán)境，比如工業(yè)控制系統(tǒng)計(jì)算環(huán)境，模型建立前會(huì)耗費(fèi)較多的計(jì)算能力進(jìn)行機(jī)器學(xué)習(xí)，模型建立后耗費(fèi)的計(jì)算能力較小。

基于主機(jī)行為白名單的入侵防范技術(shù)，很好的滿足了等保2.0中關(guān)于安全計(jì)算環(huán)境的入侵防范要求。主機(jī)進(jìn)程白名單，對(duì)應(yīng)了應(yīng)用程序最小運(yùn)行原則，和應(yīng)用程序的最小安裝原則相互呼應(yīng)。網(wǎng)絡(luò)白名單，對(duì)應(yīng)了應(yīng)用服務(wù)和開(kāi)放端口的最小化原則。外設(shè)白名單，對(duì)應(yīng)了外設(shè)接入的管控。配置策略安全基線，對(duì)應(yīng)了配置策略的安全核查，從另外一個(gè)方面解決了配置弱點(diǎn)漏洞。文件強(qiáng)制訪問(wèn)控制，加強(qiáng)了對(duì)惡意文件的權(quán)限管控，可以防文件篡改，保護(hù)了系統(tǒng)核心文件的安全。

進(jìn)程白名單可以有效防護(hù)新型的惡意代碼攻擊

基于主機(jī)行為白名單的入侵防范技術(shù)的優(yōu)點(diǎn)是對(duì)于基于零日漏洞的惡意代碼攻擊的檢測(cè)效果較好，但是一旦零日漏洞攻擊進(jìn)入Ring 0層并擁有了驅(qū)動(dòng)卸載權(quán)限后，白名單軟件很難防護(hù)?；谥鳈C(jī)行為白名單的入侵防范技術(shù)要求在建立白名單模型的過(guò)程中，必須在干凈的系統(tǒng)環(huán)境下學(xué)習(xí)。

2.2.3. 基于EDR的入侵防范技術(shù)

基于EDR（Endpoint Detection and Response，終端防護(hù)和相應(yīng)）的入侵防范技術(shù)，通常會(huì)記錄大量終端和網(wǎng)絡(luò)事件（包括用戶、文件、進(jìn)程、注冊(cè)表、內(nèi)存和網(wǎng)絡(luò)事件），把這些信息保存在終端本地，或者保存在中央數(shù)據(jù)庫(kù)中，然后使用已知的攻擊指示器、行為分析和機(jī)器學(xué)習(xí)技術(shù)識(shí)別攻擊威脅，檢測(cè)系統(tǒng)漏洞并對(duì)這些威脅風(fēng)險(xiǎn)做出快速響應(yīng)?；贓DR的入侵防范技術(shù)能夠?qū)K端進(jìn)行持續(xù)的檢測(cè)，發(fā)現(xiàn)異常行為并進(jìn)行實(shí)時(shí)的干預(yù)。這種技術(shù)耗費(fèi)的計(jì)算能力較高。

EDR檢測(cè)引擎至少要具備四種類(lèi)型的能力，如下圖所示。

EDR需要具備的四種類(lèi)型的能力

1）能夠在安全事件發(fā)生時(shí)進(jìn)行檢測(cè)；

2）記錄并響應(yīng)相關(guān)終端事件；

3）支持對(duì)事件的調(diào)查分析；

4）為受影響終端提供補(bǔ)救機(jī)制。

一個(gè)有效的 EDR 系統(tǒng)首先要求在所有終端上線時(shí)以及以后每次使用時(shí)發(fā)現(xiàn)、分類(lèi)和評(píng)估它們?；诮K端發(fā)現(xiàn)，EDR 系統(tǒng)部署實(shí)施有代理或無(wú)代理機(jī)制，用于實(shí)現(xiàn)威脅檢測(cè)、監(jiān)控和報(bào)告功能，該功能插入特定管理服務(wù)，定期收集跟蹤活動(dòng)、軟件配置、安全狀態(tài)等數(shù)據(jù)，并存入相應(yīng)數(shù)據(jù)庫(kù)。同時(shí)先進(jìn)的 EDR 系統(tǒng)可以幫助減少整體攻擊面，限制攻擊的影響，并使用威脅情報(bào)和觀察來(lái)預(yù)測(cè)攻擊可能發(fā)生的時(shí)間和方式。

基于EDR的入侵防范技術(shù)的優(yōu)點(diǎn)是可以識(shí)別并阻斷各類(lèi)已知和未知的攻擊行為，可以對(duì)攻擊全流程進(jìn)行溯源追蹤。該技術(shù)基于行為分析，也會(huì)產(chǎn)生一定的誤報(bào)。

3

入侵防范技術(shù)對(duì)比分析

上面小節(jié)論述的入侵防范技術(shù)的對(duì)比分析如下表：

基于白名單的入侵防范技術(shù)，在網(wǎng)絡(luò)流量或主機(jī)行為簡(jiǎn)單的環(huán)境下適用性較好，比如工業(yè)控制系統(tǒng)環(huán)境。