本文对当今信息网络安全应用中的攻防热点问题作了较为深入的分析，首先分析了当前网络环境下的主要威胁趋势，重点阐述了新网络时代下主要的网络安全攻击方式，进而从安全博弈的角度探讨了漏洞挖掘的新发展方向，最后阐述了近期主要的安全技术发展趋势和技术热点问题。 

1. 信息网络安全威胁的主要方式 

1.1 信息网络威胁的趋势分析 

当今的信息化发展及演变已极大改变了人类的社会生活，伴之信息化快速发展的信息网络安全形势愈加严峻。信息安全攻击手段向简单化综合化演变，而攻击形式却向多样化复杂化发展，病毒、蠕虫、垃圾邮件、僵尸网络等攻击持续增长，各种软硬件安全漏洞被利用并进行攻击的综合成本越来越低，而内部人员的蓄意攻击也防不胜防，以经济利益为目标的黑色产业链已向全球一体化演进。表1总结了国内外主要公司及媒体对2009年信息网络安全威胁的趋势分析。 

本文主要基于近期安全威胁的主要发展趋势，探讨当前信息网络时代下主要的安全攻击种类及演进模式，分析了目前影响最为常见木马、僵尸网络、蠕虫等恶意软件，无线智能终端、P2P及数据泄露等内部攻击。 

1.2 新时期下的安全攻击方式 

1.2.1 恶意软件的演变 

随着黑色地下产业链的诞生，木马、蠕虫、僵尸网络等恶意软件对用户的影响早已超过传统病毒的影响，针对Web的攻击成为这些恶意软件新的热点，新时期下这些恶意软件攻击方式也有了很多的演进： 

木马攻击技术的演进。网页挂马成为攻击者快速植入木马到用户机器中的最常用手段，也成为目前对网络安全影响最大的攻击方式。同时，木马制造者也在不断发展新的技术，例如增加多线程保护功能，并通过木马分片及多级切换摆脱杀毒工具的查杀。 

蠕虫攻击技术的演进。除了传统的网络蠕虫，针对Mail、IM、SNS等应用性业务的蠕虫越来越多，技术上有了很多新演进，例如通过采用多层加壳模式提升了其隐蔽性，此外采用类似P2P传染模式的蠕虫技术使得其传播破坏范围快速扩大。 

僵尸网络技术的演进。在命令与控制机制上由IRC协议向HTTP协议和各种P2P协议转移，不断增强僵尸网络的隐蔽性和鲁棒性，并通过采取低频和共享发作模式，使得僵尸传播更加隐蔽；通过增强认证和信道加密机制，对僵尸程序进行多态化和变形混淆，使得对僵尸网络的检测、跟踪和分析更加困难。 

1.2.2 P2P应用引发新的安全问题 

P2P技术的发展给互联网带来了极大的促进，BT、eDonkey等P2P软件获得了广泛的应用，但这种技术在给用户带来便利的同时也给网络应用带来了一些隐患。版权合法问题已成为众多P2P提供商和用户面临的首要问题，而P2P技术对带宽的最大限度占用使得网络带宽将面临严峻挑战。目前在正常时段，在整个互联网的骨干网中，P2P流量占整个网络流量高达40%以上，这不仅造成了带宽的紧张，也影响了其他互联网业务应用的正常使用，业务的安全可靠使用受到影响。对于基于时间或流量提供带宽服务的运营商而言，如何正确的优化带宽并合理使用P2P技术将成为其面临的主要挑战。 

除此之外，P2P软件本身现在也成为众多安全攻击者的目标，主流P2P软件的去中心化和开放性使得P2P节点自身很容易成为脆弱点，利用P2P传播蠕虫或者隐藏木马成为一种新的攻击趋势。 

1.2.3 新兴无线终端攻击 

无线终端用户数目已超过固网用户数目达到了几十亿，随着3G、Wimax、LTE等多种无线宽带技术的快速发展并推广应用，PDA、无线数据卡、智能手机等各种形式的移动终端成为黑客攻击的主要目标。针对无线终端的攻击除了传统针对PC机和互联网的攻击手段外，也有其自身的特殊性，包括：针对手机操作系统的病毒攻击，针对无线业务的木马攻击、恶意广播的垃圾电话、基于彩信应用的蠕虫、垃圾短信彩信、手机信息被窃取、SIM卡复制以及针对无线传输协议的黑客攻击等。这些新兴的无线终端攻击方式也给今后无线终端的广泛应用带来严峻挑战。 

1.2.4 数据泄露的新形势 

数据泄漏已逐步成为企业最为关注的安全问题，随着新介质、电子邮件、社区等各种新型信息传播工具的应用，数据泄露攻击也显现了很多新的形势：通过U盘、USB口、移动硬盘、红外、蓝牙等传输模式携带或外传重要敏感信息，导致重要数据泄露；通过针对电子设备（例如PC）重构电磁波信息，实时获取重要信息；通过植入木马盗取主机介质或者外设上的重要信息数据；通过截获在公网传播的EMAIL信息或无线传播的数据信息，获取敏感信息。针对信息获取的数据泄漏攻击方式已成为攻击者的重点。 

1.2.5 安全攻击的新方向 

除了上述的一些安全攻击方式外，随着新的信息技术应用，也产生了很多其他新型安全攻击方法。例如针对虚拟化技术应用产生的安全问题、针对安全专用软硬件的攻击、针对网络设备无线设备等通信设备的攻击、各种规模的分布式DDOS攻击、形形色色的Web应用攻击等。 

在新的信息网络应用环境中，针对新的安全风险，必须要有创新的信息安全技术对抗威胁发展模式，需要认真对待这些新攻击动向和威胁趋势。 

2. 漏洞挖掘的演进方向 

产生安全攻击的根源在于网络、系统、设备或主机（甚至管理）中存在各种安全漏洞，漏洞挖掘技术成为上游攻击者必备的技能，早期漏洞挖掘主要集中在操作系统、数据库软件和传输协议。随着原厂商对于安全性的重视，针对传统系统的漏洞挖掘已变得越来越困难。 

今天的漏洞研究爱好者在研究方向上发生了很大的变化，如下分析了当前漏洞挖掘技术研究的主流发展方向： 

1、基于ActiveX的漏洞挖掘 

ActiveX插件已在网络广泛应用并易于开发，挖掘ActiveX插件上的漏洞，并开发攻击代码对于攻击者更加简单，使得当前基于ActiveX的漏洞挖掘非常风行。 

2、反病毒软件的漏洞挖掘 

安全爱好者制作了各种傻瓜工具方便用户来发掘主流反病毒软件的漏洞，近几年反病毒软件漏洞都在戏剧性地增长，今后有更多的反病毒软件漏洞被应用于对现实世界的攻击。 

3、基于即时通讯的漏洞挖掘 

随着QQ、MSN等即时通讯软件的流行，针对这些软件/协议的漏洞挖掘成为安全爱好者更加关注的目标，针对网络通信的图象、文字、音频和视频处理单元的漏洞都将出现。 

4、基于虚拟技术的漏洞挖掘 

虚拟机已成为在IT应用中普通使用的工具，随着虚拟技术在计算机软硬件中的广泛应用，安全攻击者在关注虚拟化技术应用的同时，也在关注针对虚拟化软件的漏洞挖掘。 

5、基于设备硬件驱动的漏洞挖掘 

针对防火墙、路由器以及无线设备的底层驱动的漏洞挖掘技术得到了越来越多的安全研究者关注，由于这些设备都部署在通信网络中，针对设备的漏洞挖掘和攻击将会对整个网络带来极大的影响。 

6、基于移动应用的漏洞挖掘 

移动设备的用户已成为最为大众的用户，安全爱好者也把他们更多的关注投向移动安全性。针对Symbian、Linux、WinCE的漏洞早已成为热点，而针对于移动增值业务/移动应用协议的漏洞挖掘也层出不穷，相信不久针对移动数据应用软件的漏洞挖掘会有新的高潮。 

安全攻击者在安全漏洞研究的多样化也是目前攻击者能够不断寻找到新的攻击方式的根源，因此设计安全的体系架构，并实现各种软硬件/协议的安全确认性是杜绝漏洞挖掘技术生效乃至减少安全攻击发生的基础。 

3. 信息网络安全技术的演进 

信息安全技术是发展最快的信息技术之一，正所谓“道高一尺，魔高一丈”，随着攻击技术的不断发展，信息安全技术也在不断演进，从传统的杀毒软件、入侵检测、防火墙、UTM技术向着可信技术、云安全技术、深度包检测、终端安全管控以及Web安全技术等新型信息安全技术发展，今天的信息网络安全技术得到了长足的进步，如下我们重点对近期人们关注的主要信息网络安全技术进行分析和研究。 

3.1 可信技术 

可信技术的目的是提供从终端及网络系统的整体安全可信环境，是一个系统工程，包含可信计算技术、可信对象技术和可信网络技术。 

可信计算的思路是通过在终端硬件平台上引入可信架构，提升终端系统的安全性，PC、服务器、移动终端等都是可信计算的实体。可信对象则通过识别网络上所有有效实体对象的信誉度，确定是否需要提供网络服务，以便有效控制不可信对象的传播，IP地址、电子邮件、Web页面、Web地址等等都是可信对象的实体。可信网络通过把安全能力融合到网络能力中，并进行安全网络体系结构设计保障整体网络的安全能力，各种网络设备和网元是可信网络的实体。 

3.1.1 可信计算技术 

可信计算平台是以可信计算模块（TPM）为核心，把CPU、操作系统、应用软件和网络基础设备融合为一体的完整体系结构。图1为典型的可信计算平台的体系结构，主机平台上的体系结构主要可以分为三层：TPM 、可信软件栈（TSS）和应用软件，其中应用软件是被TSS和TPM保护的对象。 

TPM是可信计算平台的核心，是包含密码运算模块和存储模块的小型SoC片上系统，通过提供密钥管理和配置等特性，完成计算平台上各种应用实体的完整性认证、身份识别和数字签名等功能。TSS是提供可信计算平台安全支持的软件，其设计目标是为使用TPM功能的应用软件提供唯一入口，同时提供对TPM的同步访问。 

3.1.2 可信对象技术 

可信对象技术是通过建立一个度的信誉评估中心，对需要在网络中传播的对象进行可信度标准评估，以获得该对象的可信度并确定是否可以在网络传播。 

在可信对象技术中，构建正确可信的信誉评估体系是关键要素，由于不同对象的评估因素和评估准测相差比较大，目前针对不同对象的信誉评估体系通常是单独建设的，现有最常用的信誉评估体系是如下两种： 

1、邮件信誉评估体系。针对电子邮件建立的邮件评估体系，重点评估是否为垃圾邮件，评估要素通常包括：邮件发送频度、重复次数、群发数量、邮件发送/接收质量、邮件路径以及邮件发送方法等，由于全球每天有几十亿封邮件发送，好的邮件信誉评估体系在精确度及处理能力上存在很大的挑战。 

2、Web信誉评估体系。重点针对目前Web应用尤其是URL地址进行评估的Web信誉评估体系，评估要素通常包括：域名存活时间、DNS稳定性、域名历史记录以及域名相似关联性等。 

在信誉评估体系中重点强调对象的可信度，如果认可对象的可信度，则该对象许可放在网络中传播，如果可信度不足，此时将开展更进一步的分析。 

3.1.3 可信网络技术 

可信网络的目标是构建全网的安全性、可生存性和可控性，在可信网络模型中，各对象之间建立起相互依存、相互控制的信任关系，任何对象的可信度不是绝对可靠的，但可以作为其他个体对象交互行为的依据。典型的可信网络模型有如下几种： 

1、集中式的可信网络模型。在这类模型中，网络中存在几个中心节点，中心节点负责监督控制整个网络及节点，并负责通告节点的生存状况和可信状况，中心节点的合法性通过可信CA 证书加以保证。这类系统由于是中心依赖型的，具有可扩展性、单点失效等问题。 

2、分布式的可信网络模型。在这类模型中，每个网络节点既是中心节点也是边缘节点，节点可信度是通过邻居节点及相关节点之间相互信任度的迭代，节点之间既是相互监控、也是相互依存，通过确保每一个节点在全网的可信度来构建可信网络。 

3、局部推荐的可信网络模型。在这类模型中，节点通过询问有限的其他节点以获取某个节点的可信度，节点之间的监控和依赖是局部的。在这类系统中，往往采取简单的局部广播手段，其获取的节点可信度也往往是局部的和片面的。 

应用可信技术，保证了所有的操作是经过授权和认证的，所有的网元、设备以及需要传播的对象是可信的，确保了整个网络系统内部各元素之间严密的互相信任。并有效解决终端用户的身份认证和网元身份认证、恶意代码的入侵和驻留、软硬件配置的恶意更改以及网络对象的欺骗，可对用户终端细粒度的网络接入控制。 

3.2 云安全技术 

“云”安全技术是一项正在兴起中的技术，它将使得用户现有以桌面/边界设备为核心的安全处理能力转移到以网络/数据中心为核心的安全处理能力，并充分利用集中化调度的优势，极大的提高用户在享受安全服务的简易性、方便性以及高效性。当前关于“云”安全技术的应用主要分为两大类：云计算带来的安全能力演进；基于虚拟化的云安全技术。 

3.2.1 云计算的安全能力演进 

云计算通过把网络计算能力的集中化、虚拟化，使得计算能力获得极大提升。这种能力将对长期在安全和效率之间平衡发展的安全技术带来极大的变革，尤其是对于新的安全技术的发展更是带来了性的变化。基于云计算的安全能力演进主要体现如下： 

1、对于综合安全网关（UTM）技术的影响。目前解决UTM技术最大的难题就是如何使得应用层的安全能力效率可以提升到网络层的安全能力效率，通过充分利用云计算模式，可以把形成瓶颈的应用处理内容交到云计算模块处理，使得在单设备中长的处理时间转变为短的传输时间，从而极大提升UTM效率，尤其是当UTM作为局端集中式设备提供服务时，这种优势将更为明显。 

2、对于信誉评估体系的影响。无论是邮件信誉评估体系还是Web信誉评估体系等，每天每时数以亿记的对象数量使得真正的信誉评估体系处理效率大打折扣，或者是简化处理或者是降低效率，云计算在信誉评估体系的应用将极大解决这一问题，不仅可以提升效率也可以充分提升精确度。 

3、对于其他安全技术的影响。例如在线杀毒、信息安全评估中心SOC、分布式IPS等安全技术，对于这些综合需要大量历史信息，大量数据库以及分布式处理的信息安全技术而言，一旦云计算技术能被合理应用，将真正给信息安全技术带来革新。 

因此，基于云计算整合的安全能力将极大促进安全应用服务的演进。 

3.2.2 基于虚拟化的云安全技术演进 

云安全的另一个核心就是安全技术虚拟化，通过云端和客户端的结合提供一种新型的信息网络安全防御能力。从技术上来看，云安全虚拟化不仅仅不是某款产品，也不是解决方案，而是一种安全服务能力的提供模式。 

基于虚拟化的云安全服务模式是将安全能力放在 “云”端，通过云端按需提供给客户端需要的安全能力，整个安全核心能力的提供完全由云安全中心来负责，目前主要有两种云安全模式： 

1、基于网关安全的云安全模式。典型的如虚拟防火墙、虚拟VPN、虚拟UTM技术提供的云安全服务，通过在局端部署具有虚拟技术的防火墙、VPN以及UTM等等安全设备，客户端可以动态申请设备的安全服务，局端也可以根据客户端的请求，动态分配终端不同的安全能力。 

2、基于主机安全的云安全模式。基于云的主机安全不再需要客户端保留病毒库或其他安全特征库信息，所有的特征信息都存放于互联网的云端。云终端用户通过互联网与云端的特征库服务器实时联络，由云端对异常行为或病毒进行集中分析和处理，云端可以根据客户端的需求按需配置安全能力。 

基于如上的云安全技术，当“云”在网络上发现不安全链接或者安全攻击时，可以直接形成判断，阻止其进入内网节点或者主机，从根本上保护用户的安全。 

当“云”安全时代来临时，原来主流的主机安全软件（如AV软件）或者边界安全网关（如防火墙），在整体网络安全发挥的作用将越来越小，而基于云中心的安全能力将极大提升，也可能使得安全领域近20年固有的产业链和商业模式被改写。 

3.3 深度包检测技术（DPI技术） 

互联网已经进入丰富Web应用时代，对传统提供网络带宽的网络运营商而言，除了铺设网络通道，他们也开始探索网络业务的应用。深度包检测技术（DPI技术）越来越受到各种网络运营商的青睐，除了对报头的五元组信息进行检测分析，DPI技术还可对报文净荷及报文关联性等因素进行监测，实现报文的深度识别。由于DPI技术可以高效识别出网络上的各种业务应用，使得运营商在理解网络带宽基础上又能理解应用业务。 

DPI技术的应用不仅可以使得网络运营商可以更加优化的分配网络带宽资源，进一步的对于网络攻击的深度安全防范以及网络业务的精细化运营都会带来积极促进作用。 

3.3.1 基于DPI技术的深度攻击防范 

传统的网络安全检测通常是在IP协议的2~4层进行检测方法，DPI 技术实现了业务应用流中的报文内容探测，而且可以探查数据源的整个路径，因此安全技术中结合DPI技术将极大提升安全能力。 

1、可以深入分析异常流量。目前的DDOS攻击除了常用的SYN FLOOD等类型的网络层洪攻击外，已有更多的应用层洪攻击，基于DPI技术不仅可以检测到应用层的关联攻击，而且可以实现基于异常行为的检测，结合DPI检测技术的异常流量技术将更加有效。 

2、可以深入探查僵尸网络的根源和目标。基于DPI技术的路径追踪可以很容易地探查到僵尸网络的控制服务器，进一步的能直接探查到每个被控制的僵尸主机。尤其对于一些隐蔽性强的僵尸网络将更为有效。 

3、实现深度异常行为检测。由于DPI技术可以有效分析特定客户群的行为特征，而一些黑客共用的特性经常可以被提取，基于DPI的异常行为分析将使得入侵检测和防御的能力更加强大。 

除此之外，DPI技术在针对蠕虫、木马、病毒等方面也将带来积极辅助防范作用。 

3.3.2 基于DPI技术的业务精细化管理 

基于下载型和流媒体型P2P应用对网络带宽带来的压力，使得运营商必须有效理解P2P技术，而目前在无线及固定宽带网上对多业务综合承载的需求，使得运营商必须考虑对数据网络实施精细化运营，DPI技术的应用适应了这种需求。 

DPI技术能够高效识别网络中的各种业务，并对应用业务流量进行监测、采集、分析、统计等。通过采用DPI技术，运营商可以提供基于用户/业务不同应用提供差异化服务能力，并提供基于流量、带宽、市场等度的精细化计费模式，这样不仅可保障关键业务和可信任流量等服务质量，也能对一些如P2P等大的流量进行有效疏导，最大程度的实现业务带宽优化管理，从而有效实现业务的精细化管理。除此之外，针对运营支撑的相关数据（如业务流向、用户行为等）进行数据挖掘，可以为产品营销和客户群细分策略提供有力支撑。 

3.4 Web应用安全技术 

地下黑客产业链的生存发展，也使得攻击者越来越聚焦于针对Web应用程序的攻击，WEB应用的安全问题正成为信息网络安全技术领域的一个热点。典型的WEB应用安全技术主要有如下几类。 

3.4.1 Web防火墙 

网页是网站的主要数据来源和用户操作的接口，Web防火墙建立了基于网页安全访问控制的安全机制，通过对网页访问者的访问和合法性检查增强网页系统的安全性。实现方式有基于Web服务器的软件防火墙和基于网关的Web硬件防火墙。 

3.4.2 URL过滤 

互联网在提供丰富应用的同时，也成为传播不良信息的平台。黄色网站、暴力网站以及恐怖力量网站等等都会给社会带来不稳定的影响。URL过滤功能实现对不良网络资源URL进行管理并过滤，互联网上不良网站数量庞大且每天都在不断变化，过滤器的URL 类库完备性以及URL高效的匹配算法是URL过滤的关键要求。 

3.4.3 反垃圾邮件（SPAM） 

电子邮件已经成为最被滥用的网络工具，反垃圾邮件技术早已被大家所重视，除了传统的白名单、黑名单、基于规则过滤邮件以及源头认证技术外，内容指纹分析技术、邮件信誉评估技术等新技术也在应用，此外针对不良图片的图片垃圾邮件、针对广告话音的语音邮件垃圾技术也逐步得到了应用。 

3.4.4 网页挂马防范 

网页挂马已成为非常流行的一种木马传播方式，而且也是危害极大的一种新型木马。目前在很多Web安全网关或反病毒软件中提供查杀网页挂马或控制访问挂马网页的能力。除了使用网络安全工具，更新系统补丁、卸载不安全插件、禁用脚本和ActiveX 控件运行、实施Web信誉评估等模式可以提升对网页挂马的防范。 

除此之外，其他也有针对Web病毒、钓鱼网站、间谍软件等等不同的Web攻击防范技术。 

3.5 终端安全管控技术 

随着企业对安全的重视，传统的防火墙、入侵检测、防病毒等安全设备在一定程度上解决了信息系统的外部安全问题，而内部的数据泄露和人为攻击已成为现阶段主要的安全风险。内部安全风险控制的核心在于终端行为管控，如何确保终端不成为安全攻击或信息泄露的突破口，成为关注的问题，目前常用的终端安全管控技术包含如下三类： 

3.5.1 终端接入控制技术 

终端接入控制技术是对终端的安全状态进行检查，确保接入到网络的设备达到企业要求的安全状态，避免不安全的终端危害整个网络的健康，并通过提供安全修复能力，对不健康终端进行修复。 

终端接入控制技术的出发点是控制攻击的传播从而保护网络，提供基于用户身份的安全状态检查，实现细粒度的网络访问权限控制。对无线终端的接入控制，对远程接入设备的控制， 细化控制粒度以及利用现有网络设备实现全网统一的安全控制是接入控制技术发展的趋势。 

3.5.2 终端行为管控技术 

PC用户会自觉或不自觉的违反企业信息安全管理策略，如在工作时间上网炒股、玩游戏或使用即时通信，也可能将企业的机密信息通过USB接口或网络发送出去。 

行为管控技术可以检查终端应用软件安装情况，监控终端上运行的进程和服务，控制终端上的USB/红外/蓝牙等接口和外设，控制应用程序对网络的合理访问，并记录终端上的文件操作情况。通过行为管控技术，可以让企业制定的信息安全策略被终端用户了解并在终端上落实，避免终端成为网络攻击的弱点和信息泄露的途径。 

3.5.3 文档安全技术 

企业的信息资产越来越多以电子文档形式存在，方便传播的同时也更容易造成泄密。 文档安全技术能够有效防止信息泄露。文档安全技术的实现有两种方式： 

1、驱动层加密。驱动层加密技术实现文件的过滤驱动，对特定的文件进行加/解密，提供给对应文件编辑/阅读工具的仍然是明文，可以实现对任意文件类型的保护。 

2、应用层加密。应用层加密技术处理特定的文件格式(如office、wordpro)，不需要开发文件驱动。两种技术均可以通过编辑器提供的接口实现对特定文件类型的读/写/修改/打印等权限控制。 

4. 结束语 

本文描述了新时期下信息安全威胁的发展和演进趋势，分析了主要的攻击模式及演进方式，并对威胁根源的漏洞挖掘技术演进方向做了阐述。在此基础上介绍了可信技术、云安全、深度包检测、Web安全技术以及终端安全管控等新型的信息网络安全应用技术。 

互联网及IT技术的应用在改变人类生活的同时，也滋生了各种各样的新问题，其中信息网络安全问题将成为其面对的最重要问题之一。下载本文