三、 攻击规避技术的应对思路和策略

　　攻击规避技术往往利用系统的协议处理缺陷，绕开正常的检测机制，使得真正的攻击流量能够渗入企业内网，其危害之大，防范之难，正被用户越来越关注。用户在选择一款优秀的IPS产品时，已经把攻击规避的检测能力，作为一种必备的产品技术要求进行评估。然而，攻击规避技术应用广泛，种类繁多，而且变种、更新速度较快，要想有效地防范这类攻击，将面临三大挑战：

　　首先，IPS产品需要对相关的网络协议有清晰的理解，具备细粒度协议解析机制和异常处理能力。各种规避技术都遵从相应的协议规范，导致规避攻击成功的原因主要是IPS的协议解码引擎过于简单甚至存在疏漏。

　　其次，安全厂商需要及时跟进各类攻击规避技术的发展动向。当出现新型的攻击规避技术时，能够及时透析其原理并制定有效的应对方案。

　　最后，IPS产品应该具备良好的扩展能力。一般而言，产品协议解析层面的结构变化会对整个系统带来较大的影响，牵一发而动全身。具备良好扩展能力的引擎架构，可以降低抗攻击规避模块的维护成本，缩短应急响应时间。

　　攻击规避技术对于IPS的应用带来了巨大的挑战，为了有效应对此类威胁，IPS产品在设计和开发攻击检测引擎的时候，必须考虑以下几方面的因素：

　　n 具备细粒度协议解析机制和完备的协议异常控制结构，第一时间对非法协议数据及时处理，杜绝安全隐患的蔓延;

　　n 配置高效的IP数据包重组策略，能过同时处理多种模式的分片数据包;

　　n 过滤协议异常数据的同时，积极修正、恢复正确的协议数据，最大限度的保障解码过程的完整性;

　　n 兼顾性能卓越化，降低规避处理过程对引擎性能带来的影响;

　　n 尽量控制可能引入的风险，确保系统的稳定性不受影响。

　　为了验证IPS产品对于攻击规避手段的抵御能力，NSS Labs的安全专家们在“安全有效性”专项测试中，采用了五个测试项目，对IPS的攻击规避检测能力，进行了全面(覆盖IP，TCP，HTTP，DCERPC，SUNRPC等多种协议)且严格的测试。

　　基于强大且完善的协议解析引擎，以及多年以来在入侵检测/防护领域的深厚技术积淀，绿盟网络入侵防护系统(NSFOCUS NIPS)在NSS Labs的“规避测试”项目中获得100%的通过率，并最终得到NSS Labs在全球范围内的鼎力推荐。在此之前，仅有两家国际顶尖安全厂商的IPS产品获此殊荣。

　　图5 NSFOCUS NIPS攻击规避检测能力(引自NSS Labs测试报告)

　　四、 结束语

　　应用了规避技术的蓄意隐性攻击，只是IPS面临的众多挑战之一，作为一款优秀的IPS产品，必须具备各类已知和未知风险的识别和控制能力，以确保产品的安全有效性，这也是IPS发展、演变历程中必须遵循的一项基本原则，唯有精确识别各类攻击，并及时做出响应，才有可能最大限度发挥IPS的功效，保障企业信息系统的安全。