从攻击规避检测技术看IPS的安全有效性

（三）URL混淆

URL混淆通常被攻击者用以逃避IPS产品的URL过滤机制，这类规避方式主要包括如下几种：

 采用转义符“%”将字符用16进制表示
 采用转义符“%u”将字符用UNICODE方式表示
 随机插入“//”，“/./”和“\”字符
 随机变换大小写
 用tab符（0x09或0x0b）或回车符（0x0d）做分隔符
 加入干扰字符串

以CVE-1999-0070为例，该漏洞产生原因是NCSA HTTPd和早期的Apache Web Server自带了一个名为“test-cgi”的Shell CGI脚本，通常位于“/cgi-bin”目录，用于测试Web服务的配置是否已经可以正常地使用CGI脚本。test-cgi脚本的实现上存在输入验证漏洞，远程攻击者可能利用此漏洞遍历主机的目录，查看目录下的内容，因此检测该攻击的特征码一般包含“cgi-bin/test-cgi”这个字符串，该攻击概念验证（PoC）如下：

GET /cgi_bin/test-cgi?/* HTTP/1.1

对该PoC的URL进行混淆后可以得到如下所示的URL格式：

 
图3 URL请求混淆示例

不幸的是这些混淆后的形式都是WEB服务器可接受的，显然要避免这种攻击的漏报，IPS就不能在原始URL中进行特征匹配操作，而应先对URL进行恢复和整理后再进行规则检测等操作。

（四）FTP规避攻击

为逃避IPS产品对FTP攻击的识别与拦截，攻击者通常在FTP命令中随机添加一定数量的干扰字符（空格符、Telnet非文本控制符等），这些干扰字符在FTP服务器的处理过程中往往会被过滤掉。

假设攻击者向FTP服务器发送如下命令：

CWD
 /test1/test2/test3/test4/test5/test6

向其添加干扰字符后我们得到如下图所示的FTP请求：

 
图4FTP命令干扰示例

假设参数中包含“test2”的CWD请求会触发FTP服务器的某一漏洞，IPS需要先于FTP服务器正确识别CWD请求命令，并过滤请求参数中是否存在“test2”这个特征，如果IPS不能在正确解析FTP协议的同时，准确的滤除干扰字符，它最终看到的将是“t\xff\xf3est2”进而导致漏报发生。

三、攻击规避技术的应对思路和策略

攻击规避技术往往利用系统的协议处理缺陷，绕开正常的检测机制，使得真正的攻击流量能够渗入企业内网，其危害之大，防范之难，正被用户越来越关注。用户在选择一款优秀的IPS产品时，已经把攻击规避的检测能力，作为一种必备的产品技术要求进行评估。然而，攻击规避技术应用广泛，种类繁多，而且变种、更新速度较快，要想有效地防范这类攻击，将面临三大挑战：

首先，IPS产品需要对相关的网络协议有清晰的理解，具备细粒度协议解析机制和异常处理能力。各种规避技术都遵从相应的协议规范，导致规避攻击成功的原因主要是IPS的协议解码引擎过于简单甚至存在疏漏。

其次，安全厂商需要及时跟进各类攻击规避技术的发展动向。当出现新型的攻击规避技术时，能够及时透析其原理并制定有效的应对方案。

最后，IPS产品应该具备良好的扩展能力。一般而言，产品协议解析层面的结构变化会对整个系统带来较大的影响，牵一发而动全身。具备良好扩展能力的引擎架构，可以降低抗攻击规避模块的维护成本，缩短应急响应时间。

攻击规避技术对于IPS的应用带来了巨大的挑战，为了有效应对此类威胁，IPS产品在设计和开发攻击检测引擎的时候，必须考虑以下几方面的因素：

 具备细粒度协议解析机制和完备的协议异常控制结构，第一时间对非法协议数据及时处理，杜绝安全隐患的蔓延；
 配置高效的IP数据包重组策略，能过同时处理多种模式的分片数据包；
 过滤协议异常数据的同时，积极修正、恢复正确的协议数据，最大限度的保障解码过程的完整性；
 兼顾性能最优化，降低规避处理过程对引擎性能带来的影响；
 尽量控制可能引入的风险，确保系统的稳定性不受影响。

为了验证IPS产品对于攻击规避手段的抵御能力，NSS Labs的安全专家们在“安全有效性”专项测试中，采用了五个测试项目，对IPS的攻击规避检测能力，进行了全面（覆盖IP，TCP，HTTP，DCERPC，SUNRPC等多种协议）且严格的测试。

基于强大且完善的协议解析引擎，以及多年以来在入侵检测/防护领域的深厚技术积淀，绿盟网络入侵防护系统（NSFOCUS NIPS）在NSS Labs的“规避测试”项目中获得100%的通过率，并最终得到NSS Labs在全球范围内的鼎力推荐。在此之前，仅有两家国际顶尖安全厂商的IPS产品获此殊荣。

 
图5 NSFOCUS NIPS攻击规避检测能力（引自NSS Labs测试报告）

四、结束语

应用了规避技术的蓄意隐性攻击，只是IPS面临的众多挑战之一，作为一款优秀的IPS产品，必须具备各类已知和未知风险的识别和控制能力，以确保产品的安全有效性，这也是IPS发展、演变历程中必须遵循的一项基本原则，唯有精确识别各类攻击，并及时做出响应，才有可能最大限度发挥IPS的功效，保障企业信息系统的安全。