思科自动签名检测防零日病毒攻击原理

ZDNet安全频道原创翻译 转载请以文字链形式注明出处

作者：戴维·戴维斯

运行在你的路由器上的思科网际操作系统功能是非常强大的。你可以想象它可以用来作为病毒检测和预防方案的一部分么？非常幸运，答案是肯定的。在文章接下来的部分戴维·戴维斯将告诉你怎样进行相关的操作。
-------------------------------------------------------------------------------------------

今天的大多数防病毒系统都是基于数字签名的。也就是说在它们创建出签名之前，巨大的网络就可能被传染。零日病毒就可以到这一点。因此，为什么不将创建数字签名的过程自动化，以最快的速度隔离病毒，防止零日攻击。

什么是自动签名检测（ASE）？

思科网际操作系统的一个称之为自动签名检测（ASE）的新功能，可以让确认病毒和蠕虫的时间变得更短，这样的话带来的危害就更小，系统也就更安全。在病毒当天就可以传播的今天，原有的签名机制显得过于缓慢了，可能在没有得到签名之前，网络就被传染了。利用思科新的自动签名收集和提取系统，可以大幅缩短发现恶性和恶意软件所花费的时间。

该系统由两个相关的部分组成，思科网际操作系统是其中之一。首先，你的路由器需要支持思科网际操作系统12.4（15）T或更高的版本，只有这样的版本才包含了自动签名检测（ ASE ）的功能。其次，你需要一个自动签名检测收集系统。它应该可以运行在支持自动签名检测收集系统应用的Linux服务器上。你应该联络思科代表，自动签名检测收集系统目前还是属于受限发放的范围。

思科系统的示意图

路由器里的思科自动签名检测软件可以动态提取网络中身份不明的病毒或蠕虫的签名。如果需要了解你使用的路由器里的网际操作系统的情况的话，可以参阅我的文章“思科网际操作系统功能领航员工具简介” 。

自动签名检测系统利用三种方式来跟踪和报告病毒和蠕虫。它们是：

·内容不变性——自动签名检测系统了解，所有的蠕虫有一段大致维持不变的代码，因此，可以对网络中不断增加的不变代码进行搜索。

·内容流行性——自动签名检测系统可以关注经常在网络中出现的数据包。

·地址分散性——自动签名检测系统可以对发送和接受大量数据包的网络地址进行检测。

当自动签名检测系统的传感器提取了病毒，就会将它发送到采用TIDP威胁缓解服务（TMS）的收集系统中。威胁缓解服务将对威胁信息进行迅速的分析，并开始减少或重定向封包。这个过程中最伟大的是，所有的操作都不需要人工干预。理论上，在你忙着做其它事情的时间，就可以收到一份关于相关传输被封锁的报告。下面就让我们看看，如何在思科网际操作系统中设置这项功能。

如何在思科网际操作系统配置自动签名检测功能？

这是一个对综合服务路由器的自动签名检测功能进行配置的例子。只要有了合适版本的思科网际操作系统，对自动签名检测功能的配置基本上都象下面这样：

一旦配置完毕，以下的操作可以让你了解思科网际操作系统自动签名检测功能的运行情况：

--------------------------------------------------------------------------------------------

Router# configure terminal

Router(config)# ase group {TIDP-group-number}

Router(config)# ase collector {ip-address}

Router(config)# ase signature extraction

Router(config)# interface {interface}

Router(config)# ase enable

Once it is configured, here is how you look at your Cisco IOS ASE status and statistics:

Router# show ase

ASE Information:

Collector IP: 10.0.0.1

TIDP Group  : 10

Status      : Online

Packets inspected: 10000

Address Dispersion Threshold: 20

Prevalence Threshold: 10

Sampling set to: 1 in 64

Address Dispersion Inactivity Timer: 3600s

Prevalence Table Refresh Time: 60s

-------------------------------------------------------------------------------------------------------

你可能会发现，有一万个数据包被检查。网络地址离散值（ 20 ）可以被自动签名检测功能用来确定情况是否正常。一般情况下，六十四分之一的抽查发现反常的机会比1/32的情况下要少。

结论

我认为自动签名检测功能可以让你在恶意软件是这样流行的今天从保护网络永无休止的工作中解脱出来。我也相信，利用思科网际操作系统的自动签名检测功能防范零日病毒，可以作到及早发现问题，是一个非常伟大的方法。自动签名检测收集系统在最新版本的思科网际操作系统中，目前属于受限发放。我期待在未来的网络上更经常地看到这样的功能的出现。