安全大讲堂之UTM 混合攻击检测技术

　　1.定义

　　通常的黑客攻击采取以下步骤：

　　1)判断入侵对象的操作系统;

　　2)扫描端口，判断开放了哪些服务(这两步有可能同时进行);

　　3)根据操作系统和所开放的服务选择入侵方法，通常有“溢出”和“弱口猜测”等方法;

　　4)获得系统的最高权力;

　　5)安放后门等病毒、清除日志等。

　　如今的病毒技术趋于复杂化与多样化，有些病毒能完全模拟以上的黑客攻击行为。所以如今的病毒不是单一的个体在战斗，而是一组在战斗，每一个个体有不同的功能与特性。它们包括端口扫描、漏洞扫描、漏洞利用、获得权限、种植木马后门，蠕虫病毒形成各种攻击与危害等。这就是混合攻击。

　　2.现状

　　对于混合攻击，单一的主机防毒软件或者网关防毒软件是不能有效解决问题的;尤其是对此类未知病毒的混合攻击，更是无能为力。这是因为目前的防毒软件基本上都是基于补丁式的升级方式，是滞后于病毒的。也许对于已知病毒的混合攻击，桌面的或者网关的防毒墙还能有效地对付混合攻击中真正起到病毒作用的那个个体，但对未知的病毒攻击也只能望洋兴叹。

　　3.检测技术

　　在对付混合攻击时UTM可以采取以下的技术。

　　1)多层分解检测技术

　　一个混合攻击的病毒有多个模块比如端口扫描，漏洞扫描之类的，而UTM也有多个模块来分别应对，各个模块也各司其职，分别用来对付此类病毒的各个模块，对于混合攻击的防范可以通过与IPS的结合来有效应对，所以UTM是检测混合攻击最有效的产品。

　　2)漏洞利用代码检测技术

　　如今的病毒都喜欢利用漏洞来加以传播，因此UTM的防毒技术模块除了采用传统的检测方法外，还应该根据漏洞利用代码的原理来检测已知或未知的此类病毒或者混合攻击。