网络安全产品

思科安全代理关联机制简介

总体而言,思科安全代理的工作原理非常简单。它的任务就是拦截应用和操作系统之间的系统调用,对其进行关联,针对一组行为规则比较所关联的系统调用,再根据比较结果制定“允许”或者“拒绝”决策。这个流程被称为INCORE -- 即拦截、关联、规则引擎。关联是INCORE流程中最重要的一个步骤,也最难以理解。

图1 INCORE的结构图

INCORE的结构图

什么是关联?

关联指的是在事件、事务或者 -- 对于思科安全代理而言 -- 系统调用之间建立联系。思科安全代理的关联机制可以描述为将系统调用和应用活动的能力保持在某个“状态”的能力。例如,如果终端上的某个应用需要向磁盘写入一个文件,思科安全代理就可以“记住”这项操作,并依据对于系统保护的回应做出调整。

具体而言,代理可以利用关联将它的一些规则与应用的行为 -- 而不是应用的名称 -- 结合到一起。Windows通用安全模块就是一个典型的例子。这个模块中的规则之一可以防止对于注册表键值的修改—其经常会成为病毒攻击目标。这种规则并不是针对特殊名称的进程 -- 如iexplorer.exe、svchost.exe和outlook.exe,而是针对表现出一组行为的进程。在这种情况下,如果系统中的任何进程收到某个主动发出的TCP或者UDP网络连接,思科安全代理就会记住它,将该进程视为一个“服务器”应用,再动态应用规则。

图2 存在隐患的进程无权写入危险的注册表键值

存在隐患的进程无权写入危险的注册表键值

怎样使用关联?

首先,关联的作用是让思科安全代理更加有效。终端安全的挑战之一是如何确定哪些应用或者服务可能成为下一次大规模攻击的目标。思科安全代理并不会强迫用户猜测什么会成为目标,而是会让管理员根据应用种类动态分配规则。

攻击通常会通过用一个命令解释程序(Command Shell)发出命令来控制终端,因此存在隐患的应用应当无权调用命令解释程序。这个想法听起来很简单,但是确定哪些进程可能存在隐患和对其分类可不是一件容易的事。关联让思科安全代理可以防止一些存在风险的应用类别(例如“服务器”、“由服务器创建的进程”或者“执行不可靠内容的进程”等)调用命令解释程序。思科安全代理会根据以前观察到的活动自动地划分这些类别。

图3 存在隐患的进程无权调用命令解释程序

存在隐患的进程无权调用命令解释程序

关联还可以被形容为内置的深层防御。例如,当MyDoom蠕虫通过电子邮件进入系统时,它会通过更改系统启动程序自动安装,再通过将自己转发到受感染系统的地址簿中的所有对象,感染其他系统。在运行思科安全代理的系统中,代理规则可以阻止蠕虫的进入和安装活动。关联功能可以在蠕虫生命周期的每个阶段加以跟踪,记住它的行为,并采取相应的对策,从而为思科安全代理添加第三层防线。


图4 网络蠕虫传播规则生成的询问界面

网络蠕虫传播规则生成的询问界面

关联还可以提高互操作性。尽管完全阻止命令解释程序的运行看来更加简便或者安全,但是很多合法应用也需要使用这些程序 -- 完全阻止它们将会导致应用的中断,生成帮助台呼叫,进而降低生产率。

思科安全代理关联可以自动创建和动态保持一个不太容易遭受威胁的应用的“白名单”。这些应用将有权调用命令解释程序。尽管存在一些例外,但是其中的大部分应用都可以正常调用命令解释程序 -- 直到它们出现隐患。关联功能也可以将应用从名单中移除,因此当某个进程不再存在危险时,它就可以再次运行命令。

最后,关联还可以被用于提高思科安全代理规则和策略的准确性。思科安全代理可以关联多种活动,提高正确判断危险行为的能力。网络蠕虫传播规则是一个典型的例子:

  1. 任何正在运行的、充当网络服务的客户端或者服务器的进程都会获得网络应用“标签”
  2. 网络应用所写入的文件被视为下载内容
  3. 已经读取下载内容的应用所写入的文件也被附上标签
  4. 访问下载内容的应用被划入较不安全的类别中。
  5. 当较不安全类别中的某个应用试图访问特定对象(例如邮件COM对象、mail.dll文件,邮件程序使用的文件,IRC客户端,或者TCP SMTP端口)时,网络蠕虫传播规则就将启用。

关联可以大大提高网络蠕虫传播检测的准确度 -- 在规则启用之前,必须符合五个规则中的四个。上面列出的活动中的任何一个就其本身而言并不构成威胁,但是当它们发生在特定的环境中,就意味着存在某种不正常的行为。如果没有关联,思科安全代理可能将不得不把每个活动标为可能存在危险,从而产生大量的误报。

思科安全代理关联的优势

  • 思科安全代理比其他产品更为安全 -- 思科安全代理可以根据以前观察的行为,自动地判断哪些应用更容易遭受攻击。不需要预测哪些应用可能遭受攻击,对其分类,编制清单,或者从产品供应商那里下载升级的清单。
  • 思科安全代理更加便于部署和管理 -- 它可以减少对那些不太危险的应用的限制。它还会通过在采取措施之前将可能存在危险的活动放到特定环境之中减少误报。
  • 思科安全代理更加强大 -- 思科安全代理不仅拥有在攻击周期的每个阶段阻止恶意行为的缺省规则,还可以跟踪攻击活动,根据一组行为建立最后的防线。

为思科客户提供的资源

如需了解思科安全代理的产品信息,请访问:http://www.cisco.com/go/securityagent

联系我们