【IT168 专稿】随着企业网络的不断扩张，网络应用也变得越来越复杂。殊不知，即便是添加一台服务器，或是一台计算机，都会给威胁造成可乘之机。当今的威胁已经不是单纯蠕虫病毒或是漏洞攻击这样直接，攻击开始变得多样化，比如震荡波、冲击波，还有QQ病毒，这些攻击既包括病毒攻击，也包括隐含通道、拒绝服务攻击，还可能包括口令攻击、路由攻击、中继攻击等多种攻击模式。而UTM作为一体化安全网关是有能力保卫企业安全的，下面让我们来看下UTM具体功能应用！

    UTM状态检测技术

    UTM为了提供可靠的安全性，必须跟踪流经它的所有通信信息。为了达到控制所有类型数据流的目的，UTM首先必须获得所有层次和与应用相关的信息，然后存储这些信息，还要能够重新获得以及控制这些信息。

    UTM仅检查独立的信息包是不够的，因为状态信息（以前的通信和其他应用信息）是控制新的通信连接的最基本的因素。对于某一通信连接，通信状态（以前的通信信息）和应用状态（其他的应用信息）是对该连接做控制决定的关键因素。

    因此为了保证高层的安全，UTM必须能够访问、分析和利用以下几种信息：

    ·通信信息：所有应用层的数据包的信息；
    ·通信状态：以前的通信状态信息；
    ·来自应用的状态：其他应用的状态信息；
    ·信息处理：基于以上所有元素的灵活的表达式的估算。
    状态检测技术能在网络层实现所有需要的UTM访问控制能力。

    UTM上的状态检测模块能访问和分析从各层次得到的数据，并存储和更新状态数据及上下文信息，为跟踪无连接的协议（比如RPC和基于UDP的应用）提供虚拟的会话信息。

    UTM根据从传输过程和应用状态所获得的数据，以及网络设置和安全规则产生一个合适的操作，或者拒绝、或者允许、或者加密传输。但任何安全规则都没有明确允许的数据包将被丢弃或者产生一个安全警告，并向系统管理员提供整个网络的状态。

    这种UTM的安全特性非常之好，它采用了一个在网关上执行网络安全策略的软件引擎，称之为检测模块。检测模块在不影响网络正常工作的前提下，采用抽取相关数据的方法对网络通信的各层实施监测，抽取部分数据，即状态信息，并动态地保存起来作为以后制定安全决策的参考。

图一

    检测模块支持多种协议和应用程序，并可以很容易地实现应用和服务的扩充。与其他安全方案不同，当用户访问到达网关的操作系统时，状态监视器要抽取有关数据进行分析，结合网络配置和安全规定做出接纳、拒绝、鉴定或给该通信加密等决定。一旦某个访问违反安全规定，安全报警器就会拒绝该访问，并做记录，向系统管理器报告网络状态。这种UTM无疑是非常坚固的，但它的配置非常复杂，而且会降低网络的速度。

    UTM的状态检测有如下的优点：

    1．高安全性

    UTM的状态检测工作在数据链路层和网络层之间，从这里截取数据包，因为数据链路层是网卡工作的真正位置，网络层是协议栈的第一层，这样UTM确保了截取和检查所有通过网络的原始数据包。UTM截取到数据包就处理它们，首先根据安全策略从数据包中提取有用信息，保存在内存中；然后将相关信息组合起来，进行一些逻辑或数学运算，获得相应的结论，进行相应的操作，如允许数据包通过、拒绝数据包、认证连接和加密数据等。UTM的状态检测结合其他安全模块，可以对数据包进行详细而全面的检测，大大提高了安全性。

    2．高效性

    UTM的状态检测工作在协议栈的较低层，通过UTM的所有数据包都在低层处理，而不需要协议栈的上层处理任何数据包，这样减少了高层协议栈的开销，提高了执行效率。另外，在UTM中一旦建立一个连接，就不用再对这个连接做更多工作，系统可以去处理别的连接，明显提高了执行效率。

    3．可伸缩性和易扩展性

    UTM的状态检测不区分每个具体的应用，只是根据从数据包中提取的信息、对应的安全策略及过滤规则处理数据包。当有一个新的应用时，它能动态地产生新应用的新规则，而不用另外写代码，所以具有很好的伸缩性和扩展性。

    4．应用范围广

    UTM的状态检测不仅支持基于TCP的应用，并支持基于无连接协议的应用，如RPC和基于UDP的应用（DNS、WAIS和NFS等）。而对于无连接的协议，包过滤和应用代理对此类应用要么不支持、要么开放一个大范围的UDP端口，这样暴露了内部网络，降低了安全性。

    UTM的状态检测对基于UDP应用安全的实现是通过在UDP通信之上保持一个虚拟连接来实现的。UTM保存通过网关的每一个连接的状态信息，允许记录穿过UTM的UDP请求包，当UDP包在相反方向上通过时，依据连接状态表确定该UDP包是否被授权，若已被授权，则通过，否则拒绝。如果在指定的一段时间内响应数据包没有到达，连接超时，则该连接被阻塞，这样所有的攻击都被阻塞，UDP应用安全就可以实现。

    UTM的状态检测也支持RPC，因为对于RPC服务来说，其端口号是不固定的，因此简单地跟踪端口号是不能实现这种服务安全的。UTM的状态检测通过动态端口映射图记录端口号，为了验证该连接还保存连接状态、程序号等，故通过动态端口映射图可实现此类应用的安全。

    UTM混合攻击检测技术

    UTM中的防病毒除了引用传统的病毒检测技术外，还应该采用一些新的技术来提高病毒检测的效率与性能，如采用流检测的技术、混合攻击的检测技术和对未知病毒的检测方法。

图二

    混合攻击检测技术：

    通常的黑客攻击采取以下步骤：

    1）判断入侵对象的操作系统；
    2）扫描端口，判断开放了哪些服务（这两步有可能同时进行）；
    3）根据操作系统和所开放的服务选择入侵方法，通常有“溢出”和“弱口猜测”等方法；
    4）获得系统的最高权力；
    5）安放后门等病毒、清除日志等。

    如今的病毒技术趋于复杂化与多样化，有些病毒能完全模拟以上的黑客攻击行为。所以如今的病毒不是单一的个体在战斗，而是一组在战斗，每一个个体有不同的功能与特性。它们包括端口扫描、漏洞扫描、漏洞利用、获得权限、种植木马后门，蠕虫病毒形成各种攻击与危害等。这就是混合攻击。

    2．现状

    对于混合攻击，单一的主机防毒软件或者网关防毒软件是不能有效解决问题的；尤其是对此类未知病毒的混合攻击，更是无能为力。这是因为目前的防毒软件基本上都是基于补丁式的升级方式，是滞后于病毒的。也许对于已知病毒的混合攻击，桌面的或者网关的防毒墙还能有效地对付混合攻击中真正起到病毒作用的那个个体，但对未知的病毒攻击也只能望洋兴叹。

    3．检测技术

    在对付混合攻击时UTM可以采取以下的技术。

    1）多层分解检测技术

    一个混合攻击的病毒有多个模块比如端口扫描，漏洞扫描之类的，而UTM也有多个模块来分别应对，各个模块也各司其职，分别用来对付此类病毒的各个模块，对于混合攻击的防范可以通过与IPS的结合来有效应对，所以UTM是检测混合攻击最有效的产品。

    2）漏洞利用代码检测技术

    如今的病毒都喜欢利用漏洞来加以传播，因此UTM的防毒技术模块除了采用传统的检测方法外，还应该根据漏洞利用代码的原理来检测已知或未知的此类病毒或者混合攻击。

    UTM流检测技术

    众所周知，网关防毒在防毒领域占有很重要的位置，但是传统的完整流（文件）层次的病毒检测会让网络变得相当缓慢、影响网络的使用，从而让用户对防毒网关也有拒而远之的感觉。在这样的情况下，有些安全厂商初步提出并基本实现了基于流的病毒检测方案。

    一．流检测技术 定义

基于流的病毒检测是一种完全不同于传统的基于文件扫描的病毒检测方法，它是指不经过重组还原，直接由防毒引擎对TCP流进行扫描，然后再进行相应的处理。

    二．流检测技术 原理

    基于流的病毒检测由于数据的长度不大，因此对于特征的长度提出了要求。如果特征的长度太小可能引起很大的误报率，从而最终的结果会使这样的防毒网关形同虚设。因此，基于流的病毒检测对TCP流的数据长度是有要求的，就是不能太小，但以下的两个论据说明，大部分的TCP流是不太小的，而且特别小的TCP流含有病毒特征的可能性是不大的。

图三

    1．一些有关TCP通信量的研究如[Caceres et al. 1991]发现，如果按照分组数量计算，约有一半的TCP报文段包含成块数据（如FTP、电子邮件和Usenet新闻），另一半则包含交互数据（如Telnet和Rlogin）。如果按字节计算，则成块数据与交互数据的比例约为90%和10%。这是因为成块数据的报文段基本上都是满长度（full-sized）的（通常为512字节的用户数据），而交互数据则小得多（上述研究表明，Telnet和Rlogin分组中通常约90%的用户数据小于10个字节）。

    2．4.2 BSD默认设置发送和接受缓冲区的大小为2048个字节。在4.3BSD中双方增加为4096个字节。SunOS 4.1.3、BSD/386和SVR4仍然使用4 0 9 6字节的默认大小。其他的系统，如Solaris 2.2、4. 4 BSD和AIX3.2则使用更大的默认缓存大小，如8192或16384等。

    3．扫描引擎的位置

    可以把AV病毒检测引擎放到运输层，直接对TCP流缓冲中的数据进行病毒检测。

    4．流检测技术 优点

    对于基于流的病毒检测的最大好处是提高网关检测病毒的速度与性能。

    5．流检测技术 缺点

    对部分病毒不能检测，因为文件格式不完全，不能进行脱壳、解压缩、宏和脚本分离等病毒处理方法，所以从原理上来说基于流的病毒检测能力也是不完善的。

    UTM病毒检测技术

    通常的UTM，从调用角度来说，防病毒在UTM所有模块中的位置是置于防火墙、IPS之后的，数据包经过IPS的协议解析、文件还原、调用防病毒引擎，对所要检测的流文件进行病毒检测。

    病毒检测技术主要有下列五种方法：特征码检测、校验和计算、行为检测、启发式扫描以及虚拟机技术。

图四

    1）特征码检测

    这是当今应用得最多也最广的杀毒检测方式，通过分析受感染文件，可以总结出病毒特征、记录所得病毒的特征码并保存在病毒库中。这些特征码通常是从一种病毒代码中提取的连续不含空格的字符串，并依次作为此类病毒的特征记录。

    2）校验和计算

    根据正常文件的信息（包括文件名称、大小、时间、日期及内容），计算其校验和，将校验和写入文件中或写入其他文件中保存。在文件使用过程中和定期地或每次使用文件前，检查文件现有信息算出的校验和与原来保存的文件校验和是否一致，可以发现文件是否已被感染。校验和法既能发现已知病毒又能发现未知病毒，但是它不能识别病毒种类、而且对隐蔽性的病毒无效。另外，病毒也并非是文件内容改变的唯一特征，所以校验和检测常常误报，而且此法会影响文件的运行速度。

    3）行为检测

    最近在国内外大量宣传的行为检测，其实并不是什么新的技术。这是一种利用病毒的特有行为特征检测病毒的方法，也称为人工智能陷阱。通过对病毒多年的观察、研究，研究者发现病毒的一些行为是病毒的共同行为，而且比较特殊。
在正常程序中，这些行为比较罕见。当程序运行时，监视其行为；如果发现了特征行为，则立即报警或阻塞可疑程序。用于检测病毒的行为特征主要有以下几点：盗用截流系统中断、修改内存总量和内存控制块、对可执行文件做写入操作、引导扇区或执行格式化磁盘等可疑动作、病毒程序与宿主程序切换和搜索API函数地址。

    4）启发式扫描

    启发式扫描源于人工智能技术，是基于给定的判断规则和定义的扫描技术。若发现被扫描程序中存在可疑的程序功能指令，则做出存在病毒的预警或判断。启发式代码分析扫描技术是传统的特征码扫描技术的改进。在特征码扫描技术的基础上，利用对病毒代码的分析，获得一些统计的、静态的启发知识，形成一种静态的启发式扫描分析技术。

    在具体实现上，启发式扫描技术是相当复杂的。通常这类病毒检测软件要能够识别并探测许多可疑程序代码指令序列，并按照安全和可疑的等级进行排序，根据病毒可能使用和具备的特点而授以不同的加权值。如果一个程序的加权值的总和超过一个事先定义的阀值，那么病毒检测程序就可以称为发现病毒。为了避免“狼来了”的误报行为，病毒检测程序常把多种可疑操作同时并发的情况定为发现病毒的报警标准。因此启发式扫描技术是一种概率方法。

    5）虚拟机技术

    虚拟机技术是动态特征码扫描技术的关键，在与多态病毒进行对抗中发挥了巨大的作用。虚拟机（Virtual Machine）是一种软件仿真器或软件分析器，通过软件虚拟化、硬件虚拟化，让程序在一个虚拟/仿真环境中运行。

    实现虚拟技术的关键在于软件虚拟化和硬件虚拟化，其实不光是防病毒领域，经常遇到的虚拟机有很多，如GWBasic、Java虚拟机等。虚拟机的主要作用是能够运行一定规则的描述语言，它有两方面的含义，一个含义是运行一定规则的描述语言的机器并不一定是一台真实的以该语言为机器码的计算机（如Java虚拟机）；另外一个含义是运行对应规则描述语言的机器并不是描述语言的原设计机器，称为仿真环境（如MS-DOS）。

    在防病毒行业中，虚拟机被称为通用解密器。虚拟机技术在实际设计中难度很大，其需要模拟的元素过多且行为分析需要人工智能理论。通常在杀毒软件中提到的虚拟机，严格地说，是不能称为虚拟机的，定义为虚拟CPU或者通用解密器更为合适。杀毒虚拟机是一个软件模拟的CPU，可以进行取指令、编译、执行，可以模拟一段代码在CPU上的运行结果。

    虚拟机首先从文件中确定并读取病毒入口代码，然后解释执行病毒头部的解密段，最后在执行完的机构中查找病毒的特征码。也可以这样认为，这里的虚拟，并非是创建了一个虚拟环境，而是指染毒文件并没有实际执行，只是虚拟机模拟了其真实执行时的效果，这就是虚拟机查毒的基本原理。

    当然，UTM中的防病毒除了引用传统的病毒检测技术外，还应该采用一些新的技术来提高病毒检测的效率与性能，如采用流检测的技术、混合攻击的检测技术和对未知病毒的检测方法。

    UTM未知病毒检测技术

    通常的UTM，从调用角度来说，防病毒在UTM所有模块中的位置是置于防火墙、IPS之后的，数据包经过IPS的协议解析、文件还原、调用防病毒引擎，对所要检测的流文件进行病毒检测。

    病毒检测技术主要有下列五种方法：特征码检测、校验和计算、行为检测、启发式扫描以及虚拟机技术。

    UTM中的防病毒除了引用传统的病毒检测技术外，还应该采用一些新的技术来提高病毒检测的效率与性能，如采用流检测的技术、混合攻击的检测技术和对未知病毒的检测方法。

图五

    对未知病毒的检测

    除去固有的特征字或关键字外，每一个攻击或威胁都会有一系列的动作，例如修改系统注册表、终止进程、修改图标等，对于每一种操作系统，都会存在成千上万个类似的动作。

    通过对这些行为特征跟踪、分析、提炼，能够寻找出一定的规律，用于对未知病毒或威胁的检测，根据这个原理，可以通过基于行为分析的合法性检查技术，用于对未知病毒的检测和判断。

    具体可以从如下四个方面入手：

    1．从病毒的行为入手

    对操作系统病毒的主要行为进行统计，并对主要行为进行相应的监控和报警。例如修改Browser特性时必定要改注册表或者相关文件，所以可以通过对注册表进行监视和报警；对于很多网页木马之类的病毒必定有一个下载文件的过程，同时会有一个相应的处理方式，可以对此类行为进行监视和报警；对于键盘操作进行记录的病毒必定会有一个对键盘进行消息处理进行监视的行为，我们也可以据此进行监视，看哪些软件进行此类处理，进而分析报警。

    2．从采用行为统计阀值技术入手

    把各类病毒的各种行为进行一个统计，给每种行为一种权值，当一个软件的行为的权值之和达到一个给定的阀值就认为是一个病毒。

    3．从训练人工智能的方法入手

    对于前面所给的权值有可能不太准确，可以利用人工神经网络中的学习算法让它调整权值，从而达到一个准确的权值，进而正确地识别一个病毒。基于行为分析的合法性检查技术如图5-3所示，每一种病毒进程都可以分解出若干个有威胁的动作，在确定其是一种病毒的前提下将这些动作对应的权重进行调整。在通过数万次的训练后，这些行为动作的权重达到了一种相对准确的状态。

    4．从对未知病毒进行判断入手

    当一个软件进入时，可以对其行为进行跟踪分解，并将其动作行为与知识库中的相应条目对比，得出每个行为动作的权重，将所有动作的权重相加，权值之和若达到一个给定的阀值就认为是一个病毒，否则就判断为正确数据。

    基于行为分析的合法性检查技术给出了一种相对准确的对于未知病毒的检测方法，对于“0-Day”攻击具有很好的防范作用，是解决网络边界安全的重要技术创新。

    UTM部署网络安全的优势

    UTM由硬件、软件和网络技术组成的具有专门用途的设备，它主要提供多项安全功能，将多种安全特性集成于一个硬设备里, 构成一个标准的统一管理平台，实现防火墙、防病毒、IDP、反垃圾邮件、VPN、内容过滤等等，一大堆的安全应用功能。

    据2004年IDC的一项调查显示，UTM的这一市场占有率从2003年的6.6%一直稳步增长，预计到2008年有将会超过传统防火墙产品所占的市场份额。IDC在报告中称：未来五年里，UTM产品的销售量将会超过标准防火墙/VPN网络安全产品。

    UTM分布在一个网络安全市场金字塔模型中部，最上头是大型企业采用的更高级和更复杂的安全机制，最下层是一般普通传统硬件防火墙或软件防火墙的防护，因此UTM是面向中小企业用户而提出来的新一代网络安全防护概念。

图六

    原先大多数中小企业装备的防火墙主要基于网络层的防护，虽然部分厂商在防火墙中融合了对应用层防护机制，但这些产品在性能效率、功能协同方面，已经难以应对当今网络安全。因为防火墙无法对蠕虫木马、间谍程序、病毒、垃圾邮件等数据驱动式攻击而提供有效防御，也无法防止利用TCP/IP协议漏洞或缺陷发起的攻击。为了防范普通防火墙无法应对的网络安全威胁，除了防火墙，企业原先的方案可能还同时装备IDS/IPS、防病毒网关、防垃圾邮件设备等，这不仅增加了投资，还增加系统复杂性、管理复杂性，而且整体效率水平较低。

    UTM提供了一个一体化的架构，可通过单个操作系统和管理接口满足多种安全需求，从而解决了管理多个功能单一的网络安全产品的难题。这使员工无需再花费大量时间去学习新系统。UTM还能提供全面的管理、报告和日志平台，用户可以统一地管理全部安全特性，包括特征库更新和日志报告等，提高了IT人员阻止攻击的效率。企业可以使用较低的成本同时拥有多种网络安全模块，大大降低了企业在网络安全方面的总体花费。