https://newera17031.activehosted.com/index.php?action=social&chash=ba1b3eba322eab5d895aa3023fe78b9c.2767&nosocial=1
https://newera17031.activehosted.com/index.php?action=social&chash=ba1b3eba322eab5d895aa3023fe78b9c.2767&nosocial=1

觀點

端點安全產品大評比

2008 / 09 / 05
編輯部
端點安全產品大評比
端點安全解決方案不再只擁有存在舊時代的防毒軟體而已。我們實地測試這個激烈成長和變化市場中的七項綜合性套件。

今日的桌面以及可攜式電腦是一套混合過的複雜軟體:辦公室應用程式、特製的商用程式、自製的用戶端應用程式以及複雜的瀏覽器與作業系統。作為一個企業安全專家,在平日的安全運作中如果您的運氣夠好將會擁有至少兩樣代理程式型的安全工具來協助您保護其他的軟體。不過大部分的人都只能使用一種。
桌面安全技術正在快速的發展當中,有主機型入侵防禦系統(host-based intrusion prevention systems; HIPS)、個人防火牆以及其他增強防護力的傳統防毒軟體和反間諜軟體。由於我們企業可以佈署以及管理的主機型安全產品的數量是極其有限,所以主要的安全供應商開始整合出終端點安全解決套件,將一系列的桌面防禦工具整合在一個單一的套件內。
這些終端點安全產品也為我們的產業帶來新的變革,像是防毒軟體廠商就必須增加新的功能來加強產品對抗其他充滿野心的競爭者。為了協助挑出這些產品, Information Security 針對七項企業級端點安全解決方案執行了實地測試。我們針對每一項產品的管理能力、產生報表(reporting)、偵測與阻擋惡意程式的能力、偵側與對抗惡意攻擊及在單一套件內各項桌面安全能力的整合性進行評分。
我們測試的產品有CA Threat Manager 8.1與 Host-Based Intrusion Prevention System 8、eEye Digital Security Blink Enterprise、IBM ISS Proventia Desktop Endpoint Security 9.0、McAfee Total Protection for Enterprise、Sophos Endpoint Security 與 Control 7.0、Symantec Endpoint Protection 11.0、以及Trend Micro OfficeScan 8.0。
在測試過程中我們遭遇到許多的問題,而且有的時候我們必須針對這些產品的更新版進行重新測試,這也反映出了處理這些高度複雜套件試用版的困難度。這也表示我們所測試的這七項解決方案以及這一類型整合性的端點安全產品距離完全成熟還有一段距離。

關於評比
我們測試的解決方案最少必須提供特徵比對型防毒與防垃圾郵件功能、個人防火牆、主機型入侵預防系統以及中央控管與報表的能力。我們混合選擇了傳統防毒軟體的領導廠商以及這個市場的新進公司,最後測試CA、eEye Digital Security、IBM ISS、 McAfee、Sophos、Symantec以及 Trend Micro的終端點安全產品。 (因為空間與資源的限制,我們選擇不檢測Fortinet、 F-Secure、Grisoft 以及 Kaspersky Lab的產品。)
我們的分析測試環境中包含了一個Windows 2000 Server安裝有Service Pack 4用來執行企業管理軟體,負責管理並保護四個Windows XP用戶系統。每一個XP 用戶都沒有安裝任何service pack或者修補程式。為了控制每一個測試,我們設定一個對照組的Windows XP使用相同的組態但是沒有安裝任何端點安全保護。

管理(MANAGEMENT)
這些工具的複雜性是無法想像的龐大,卻也比今日企業內其他分散的系統提供更多的功能。如果某一個產品可以提供真正的安全,但是卻無法透過統一的管理形式橫跨整個企業,那麼它就是無用的。
典型的端點安全套件必須能夠分析數百種類型的檔案以提供防毒與防間諜功能、分析多種的封包類型來提供防火牆與部分入侵預防系統的功能、管理數百個作業系統設定並執行各種程式來偵測惡意行為、以及其他各式各樣的功能。所有的這些功能都運行著數千條以上的設定規則,而這些規則是透過預設的政策範本(policy templates)或是針對特殊企業需求的客製化政策來設定。管理者們透過網路部署這些政策到多個受到管理的工作站與伺服器上,讓這些主機都是即時的被管理。
我們檢視了每一項產品對於組態系統、快速決定安全狀態、以及依據攻擊行為進行設定升級的簡易使用程度。
從大型企業的觀點來看Symantec是頂尖的,它針對政策組態設定以及狀態的確認提供了容易了解的GUI(圖形化使用者介面)。它的整體操作面板可以清楚地辨識出潛藏的感染、特徵資料太舊、受管理的主機關閉功能的問題,並對管理者提供建議如何修復每一個問題。該管理GUI擁有兩個介面:一個全功能的Java-based介面來提供可操作所有功能的管理操作主控台(console),以及一個半功能不提供政策管理的網頁介面來進行狀態檢查與報知。
Sophos也提供了非常完整的管理功能,它的配置架構如同廠商所言的是依照著KISS原則來進行,我們假設這個縮寫是表示 “讓系統管理者簡單使用(Keep It Simple, Sysadmin)”。Sophos的GUI被設計要降低組態與部署產品的時間和精力。當然,您不需要存取太多精細的政策設定,組態可用的整體選項還是很出色的。受管理工作站狀態的檢查很簡易並警示出違反政策的系統。
Trend Micro的管理介面在組態與分析管理系統上做的不錯,特別是對於防毒與反間諜程式這方面。新的產品架構讓Trend Micro包裝新的端點產品擁有空間來容納插入套件(plug-in)進而達成快速的佈署,這個設計決策讓Trend 以及它的客戶都從中取得益處。
然而,沒有在Intrusion Defense Firewall上看到用戶端特徵碼更新這件事令我們感到擔憂,Intrusion Defense Firewall這個元件負責運行防火牆與主機型入侵預防系統的功能。像是網路型入侵預防系統會利用特徵值來檢查網路封包保護主機,這一類的特徵值為主的入侵預防系統特徵值這項資訊是非常重要的。Trend Micro在新架構中第一個插入套件就是透過Third Brigade來提供這項入侵預防功能。
eEye Digital Security提供一個配置良好、直覺式的管理介面。然而,它自己的用戶端GUI卻比企業管理操作終端台來得成熟,而且透過工具可以提供細膩的組態以及產生警訊。
CA的操作主控台有很大的改進。它的最新版和之前的版本相比變得快多了也更有互動性。儘管如此,不同工作站的狀態檢查還是必須在不同的螢幕中轉換,而且在它唯一的網頁圖性化使用者介面中進行組態設定要比其他產品來得困難。
McAfee完全改寫了這個指標性的管理產品成為網頁GUI,讓管理者可以在企業內的任何地方使用瀏覽器進行管理。

防惡意程式掃瞄(ANTIMALWARE SCANNING)
為了測試每一項產品偵測與阻擋各式惡意程式的能力,我們使用反垃圾郵件研究員Bill Stearns個人收集最新的8,114個惡意程式樣本進行三次測試。我們的樣本中包含了各式各樣大量的蠕蟲、bots、後門程式以及病毒。 在每一次的測試中,我們會記錄每次測試時會發生無法被偵測到樣本的百分比。
我們的第一項測試是設計去評估每一項產品即時特徵比對的防禦能力,作法是將一台主機上的惡意程式複製到受保護目標系統的分享目錄中。然後紀錄被複製到目標檔案系統中惡意程式樣本的百分比,以及可以躲避過被該產品即時掃描(real-time scan)功能偵測到的百分比。
我們接下來對所有在第一階段無法被掃瞄到的惡意程式進行手動掃描(on-demand scan),利用結合即時與手動掃描功能來辨識並消滅惡意程式。
最後,我們關閉即時掃描單獨使用手動掃描,將所有的惡意程式複製到目標檔案系統中,並執行對所有的程式進行手動掃描。
Trend Micro、CA 以及eEye都運行的非常好,在整個測試中大約只有百分之八到九的惡意程式是無法被偵測、阻擋或移除。
Symantec稍稍落後,在即時掃描時會遺漏百分之17.6的樣本,但是透過手動掃描就能產生和Trend、CA 與eEye同樣的準確率。
McAfee是下一名,有百分之22.3的樣本可以躲避過即時掃瞄。可是在結合手動掃描之後,該產品卻出現令人驚艷的結果:另外10.7百分比的惡意程式樣本會被偵測出來,不過這些程式完全不會被刪除或者隔離。同樣的,在單純僅使用手動掃描的狀況下,這近乎八千個被掃瞄出來的惡意程式樣本都會存活下來,程式僅僅只會提供警訊通知。這是因為這個McAfee產品手動掃描預設只會發出警訊,這和它的競爭對手與自己早期版本的產品有著很大的不同。
在McAfee支援的幫助下,我們利用McAfee用戶端進行了帶有移除動作的手動掃描,而這個程序則需要進行數個非直覺式的步驟才能得以進行。經過掃瞄之後,有11.6百分比的樣本經過即時掃描配合手動掃描以及單純的手動掃描會躲避過偵測。特別的是由於另一個預設的設定,McAfee會阻擋所有透過網路分享對於.exe檔案的複製。這樣的功能可能會造成需要透過網路進行檔案分享的環境產生問題,而某些企業就會關閉這個功能。
當我們測試Sophos的時候,每一個測試的樣本在初始的複製過程中全都存活下來,因為在預設的條件下Sophos的即時防禦僅會觀察「讀取(read)」行為而不會觀察「寫入(write)」行為。這樣的應用方式,可能是為了增加檔案系統的效率,預防惡意程式的執行,但是卻無法阻止惡意程式感染檔案系統。Sophos有提供選項去改變這個預設行為。最後,不管是即時/手動組合測試與純手動掃描測試會在目標主機上遺漏36.7百分比的樣本。
Sophos的預設行為是進行 “適地(in-place)” 隔離,預防對於該檔案的存取但是會將該檔案保存在原本的地方。其他所有的產品都是將惡意程式搬移到不同的格離目錄或將之移除。Sophos表示這樣的應用方式可以更簡單的將誤判為惡意程式的檔案進行復原。 如果您的防毒工具對合法的檔案做出了錯誤的比對結果,直接在檔案原本的位置恢復它的存取權限會比先移除隔離目錄中的檔案然後再找出檔案原本的目錄來得簡單很多。
IBM ISS在預設狀況下是將特徵型防毒功能給關閉,這也表示該產品是使用其他廠商的防毒解決方案來擴充自己的功能。IBM ISS在它們的終端點解決方案中使用BitDefender的防毒與防間諜程式功能,而在開始測試之前我們也啟動了這些功能。在第一階段的即時掃瞄測試中該工具沒有阻擋任何一個檔案。根據IBM ISS支援人員的說法,透過Windows網路分享的複製行為並不會被掃描,既使寫入(on-write)掃描選項開啟的狀況下也一樣。這樣的運作機制令我們感到非常的疑惑,這樣的機制會導致任意的使用者在沒有任何保護的狀況下可以複製檔案伺服器上受感染的檔案到自己的主機。

攻擊防護 (EXPLOIT PROTECTION)
每一個接受我們測試的廠商都宣稱他們的產品會使用某些形式的主機型入侵預防系統技術來對抗攻擊程式。不同的廠商會使用這個項目中各種不同的防禦技術。不管廠商是使用哪一種的主機型入侵預防系統技術,我們想要檢視每一家廠商是如何在一系列的三種測試下來對抗實際的攻擊。我們關閉了每一項產品的防火牆元件來確保測試的項目是主機型入侵預防系統功能。
首先,我們嘗試去攻擊受保護主機上的用戶端軟體,嘗試透過IE CreateObject弱點(MS06-014)和VML flaw(MS06-055)來攻擊Internet Explorer。我們也會使用Mozilla_CompareTo弱點來攻擊Firefox瀏覽器。
我們的第二項測試是衡量每一項產品在受保護系統中對於防禦等待連線的伺服器的保護有多好,尤其是針對那些和Windows網路有關的服務。我們嘗試利用MSRPC DCOM緩衝區溢位(MS03-026)以及LSASS緩衝區溢位問題(MS04-011)這兩個弱點進行攻擊。為了增加對於網路伺服測試的多樣性,我們會利用帶有執行標準命令列行為與Metasploit Meterpreter命令列(shell)行為的兩種攻擊程式,而Metasploit Meterpreter命令列是包含在攻擊程式中一種比較高技術性並難以被偵測的遠端命令列。我們對於用戶端與伺服器端的測試都是利用Metasploit Framework版本3.0進行,除了對瀏覽器的攻擊不是使用HTTP通訊埠之外全其他都是使用預設的設定,我們將80與8080通訊埠更改為另一個編號來模擬那些會欺騙用戶端去點選假造超連結內通訊埠的駭客。
我們的第三項測試被設計成檢視每一個廠商針對第三方應用程式零時差(zero-day)攻擊防禦的程度。我們自己建立一個帶有緩衝區溢位弱點並會在網路上等待連線的程式,並且撰寫程式碼去攻擊這個服務在目標主機上建立遠端的命令列存取通道。
整體來說,eEye在偵測攻擊程式上的表現最好。它在辨識用戶端攻擊上很明顯的處於領先地位,會對我們所有的測試都會發出警訊,但是在預設狀況下並不會阻擋這些攻擊行為;它只會很簡單的顯示出警訊「應用程式警戒:可疑的系統呼叫(Application Protection: Suspicious System Call)」。這個預設的行為可以被修改為阻擋該攻擊,只要簡單的將規則套用到所有偵測到的可疑的系統呼叫上。雖然阻擋可以是處理的選項,但是考慮到誤判性的問題eEye的預設設定就可以被接受。
eEye成功的停止了所有對於伺服器的攻擊程式。然而,在阻擋MSRPC DCOM攻擊的過程中,它停止了svchost.exe程序,這卻造成我們的主機在六十秒內自我重新開機。一般都認為將被攻擊的程序停止總比執行了攻擊者的程式碼要來的好,但是重新開機卻也可能導致重要資料的遺失。
eEye偵測到並對我們的零時差攻擊發出警訊;當我們將組態設定改為採取 「終結程序(Terminate Process)」的選項,它就可以對該攻擊進行阻擋。
IBM ISS在用戶端方面,偵測並阻擋了VML攻擊。然而,針對IE CreateObject 與Firefox攻擊所發出的警告訊息並未顯示該產品偵測到攻擊行為,只顯示它辨識出有一個Microsoft Windows命令列標題(shell banner)透過網路在傳送。一個小心謹慎的攻擊者可能會發起一個不會帶有標題的攻擊,因此就可以躲避過這一類的偵測。
IBM ISS辨識出並阻擋所有伺服器類型的攻擊,並會帶有警訊說明我們是使用哪一種的攻擊,在整個測試過程中這是這項產品最理想的功能。
它會允許零時差的攻擊,一樣只會顯示偵測到Windows命令列標題的警訊。
Sophos在用戶端測試上表現出可接受的效能,警告我們有兩個攻擊是「緩衝區溢位(Buffer Overflow)」的行為,但是卻遺漏了CreateObject攻擊。預設的採取行動是發出警訊,但是Sophos可以被設定去阻擋攻擊。
所有我們進行的伺服器攻擊都被偵測到,但是預設值下我們還是可以攻擊成功,導致攻擊者可以控制整個系統。Sophos一樣沒有偵測或阻擋到我們的零時差攻擊。
McAfee偵測到並阻擋我們的VML與Firefox攻擊,但是沒有偵測到我們的CreateObject攻擊。McAfee偵測並阻擋了所有我們的伺服器攻擊。針對零時差的防禦,McAfee要求管理者必須在受保護的主機上設定特定的應用程式組。在預設狀況下,除了特定的Windows元件會被保護之外,其他的完全不會被保護,因此我們的零時差攻擊不會被偵測到。為了進行實驗,我們設定McAfee增加對於我們自製含有弱點應用程式的零時差防護。很不幸的,我們的攻擊依然沒有被偵測到。
Trend Micro支援人員指出它們的主機型入侵防禦系統防護是整合自Third Brigade(也就是說該防護功能是由其他廠商所提供的),它預設的狀態下僅會檢視TCP通訊埠80與8080上的瀏覽器攻擊。再一次的,為了驗證我們的給分,我們更改測試來驗證廠商的宣稱,而且Trend Micro確實在這兩個通訊埠上可以偵測到我們的攻擊。管理者可以增加額外的瀏覽器或其他HTTP相關的通訊埠到清單中進行防禦。理想中,一個管理者應該設定終端點安全套件來監視所有在企業防火牆上被開啟的通訊埠來監管HTTP與HTTPS的攻擊,不過很不幸的,被允許開放的聯外通訊埠通常數量都很多且常規律性的被更換,要同時修改網路防火牆與終端點安全工具的設定有點困難。
Trend Micro和Symantec都偵測與阻擋了我們所有的伺服器攻擊,但是也都沒有偵測到我們的零時差攻擊。
CA在預設的安全政策下無法偵測到或阻擋任何用戶端的攻擊。雖然不列入計分的範圍,但是我們嘗試使用它的 「限制性的政策(Restrictive Policy)」,雖然真的可以阻擋所有的攻擊,但是卻造成Firefox無法存取網路。CA 並沒有警示或阻擋我們的伺服器攻擊,就算是我們套用了限制性的政策也是一樣。但是, CA在預設政策下卻可以偵測與阻擋我們的零時差攻擊。

End-to-End端點安全加分項目
某些廠商提供額外的功能對企業環境提供更多有用的幫助。某些組織會非常需要這些功能,而其他的則可能不需要。因為這個理由,我們並沒有將這些功能放進我們整體產品計分中,但是還是下面詳述各項資料讓組織可以自我衡量做為購買決策的依據。
網站名譽分析(Web site reputation analysis) 協助對抗釣魚攻擊、間諜程式下載與相關的惡意行為。該技術會評估瀏覽器所存取的URL來決定是否是惡意或可疑的網站。如果端點安全產品偵測到惡意的網址,不只會禁止瀏覽器去造訪該處,還會顯示警告訊息或者是將瀏覽器轉向到安全的網站。McAfee及Trend Micro佈署了一個 令人欽佩與龐大的監視軟體的基礎架構用來發現惡意網站並更新他們龐大的黑名單。
應用程式執行控制(Application execution control) 可以讓企業使用黑名單來禁止不必要的遊戲與P2P應用程式的執行。同樣的,應用程式控制黑名單可以協助限制快速擴散蠕蟲的爆發或者是在終端系統中阻擋瀏覽器攻擊程式的執行。使用白名單功能,企業可以嚴格的鎖定一台主機僅能執行允許的應用程式。大部分的終端點安全解決方案可以檢視被給定執行檔的檔案名稱、檔案系統位置、及MD5雜湊值來決定該應用程式是否被允許在受保護的主機上執行。。
eEye及Symantec提供最大的彈性,擁有客製化設計(custom-designed)的取決於執行路徑、雜湊、或者正規表示式比對的白名單與黑名單 。CA的黑名單與白名單功能也是令人印象深刻的,增加的灰名單功能可以允許管理者來定義特定程式只能被指定的使用者在指令的時間和日期上執行的規則。Sophos的應用程式控制最少,僅支援黑名單來比對那些會產生特定特徵的應用程式。
USB控制(USB control) 是針對許多企業所關心的,經由員工從USB拇指碟裝置中所攜帶的惡意程式導致引發傷害或者透過USB拇指碟被攜帶出數十億位元的敏感資料。CA、eEye及Symantec都提供裝置控制功能。
eEye的USB控制是一種不是全部就是都沒有(all-or-nothing)的功能在指定的政策群組中所有的使用可以使用所有的USB tokens,或者是所有的使用者都禁止使用裝置。
CA以及Symantec的解決方案擁有更精細的設定,針對各種像是USB、紅外線、FireWire、SCSI以及序列或並列埠的Windows裝置定義允許政策。他們的裝置政策還可以定義特定的檔案種類(例如:Word文件、可執行檔等)才可以被存取或者阻擋特定的裝置。
弱點掃描 (Vulnerability scanners) 會評估所安裝的區域主機來決定它的安全狀態、檢視尚未修補的作業系統元件或者是脆弱的安全設定。尤其是eEye還會在每一台主機上複製一份功能強大的Retina安全掃描器;這項工具是一套強大的套件可以用來找出數百種潛在的安全威脅並提出建議。Trend Micro內含了一套功能有限的掃瞄工具,可以搜尋系統找出入侵預防系統指定應該保護的應用程式。

產生報表(REPORTING)
我們評估了每一項產品的報表功能,使用報表來產生像是長期攻擊與感染趨勢、政策遵循資訊及列出最可疑的主機群組的資訊。當然,我們還會檢視報表功能的綜合性、彈性與容易使用度。
雖然McAfee ePO的報表能力是很傑出的,包含了超過70種可以反應出企業各種狀況的不同報表。它的點選式客製化報表建立工具是令人注目的工具,它可以讓沒有具有資料庫背景的使用者很簡單的找出資訊建立高可用性的報表。
Symantec也是表現不錯的,提供了超過70種擁有令人滿意效能的報表。Symantec的客製化報表功能專注在定義過濾現有的報表來產生有用的新報表。
IBM ISS報表工具會顯示良好的涵蓋範圍、指定的長期趨勢與最常被攻擊和受感染的主機。Trend Micro的報表功能被分散在不同的產品上,Trend Micro Control Manager,而這個工具並沒有內含在管理GUI上,讓使用者必須先花費一番功夫來安裝和使用。從正面的角度來看,這個分散的報表工具可以套用在所有的Trend Micro企業產品上,包括有閘道安全裝置、反垃圾郵件產品等。這個報表系統內含在購得的終端點套件中,並且提供的是完整的報表功能。eEye的內建報表功能是中規中矩的並且提供針對已經公佈的資料庫概要(schema)進行客製化查詢的功能。然而,就算是使用內建的範本,建立自製或產生報表查詢還是一個複雜的程序 。 CA針對防毒與反垃圾郵件的報表是傑出的,擁有超過70種可用的報表。不幸地,CA的主機型入侵預防系統和防火牆功能提供非常少的報表功能,只有一打左右的高階報表導致重要資訊缺乏能見度。

元件整合(INTEGRATION OF COMPONENTS)
端點安全套件應該要整合不同的元件在一起,並能夠管理所有的元件。大部分的廠商都是努力於整合自己不同的解決方案,像是eEye、McAfee、Sophos以及Symantec就是如此。
IBM ISS產品擁有良好的整合性,但是總是讓人感覺這項產品是負責組合其他廠商的防毒與反垃圾郵件產品,而不像是提供一整套的解決方案。沿用這個概念就可以知道該產品是將IBM ISS HIPS功能再加上傳統的防毒/反垃圾郵件產品來增加防禦的層面。IBM ISS是使用BitDefender的防毒/反垃圾郵件技術,但是從管理GUI來看也好像只是將它們全都放在一起而已。
Trend Micro的防毒/反垃圾郵件整合是中規中矩的,但是整合Third Brigade的個人防火牆和主機型入侵預防系統後就需要花費一些功夫。這些元件都是管理GUI內的插入套件,有著不同的組態畫面所以在組態防毒軟體與反垃圾郵件軟體時會有不同的景觀和感覺。而且,從用戶端的角度來看,防毒軟體與反垃圾郵件軟體完全和主機型入侵防禦軟體是不同的程式。
CA的端點安全產品也是將防毒軟體與反垃圾郵件的管理分別呈現在不同的畫面上,不過最少這兩樣應用可以在同一個GUI上被執行。另一方面來說,CA的主機型入侵預防系統是一個被另外購入的產品。它使用自己的GUI進行安裝與管理,而且也會在受保護工作站上安裝不同的用戶套件。

In the End, Take It Slow 避免疊床架屋
Symantec的新產品看起來非常完整,而eEye則是終端點安全市場中可敬的新競爭者。 Trend Micro擁有中規中矩的解決方案並且提供插入套建架構來應付未來的擴充。CA以及Sophos確實取得可接受的得分,但是已經不如以前的輝煌。最後,我們對於McAfee以及IBM ISS錯誤的設計決定、低效能以及其他許多的小毛病感到失望。
不管你選擇的是哪一家廠商,請記得端點安全的市場是相對較不成熟的市場,由於這些產品的複雜性,您應該謹慎的規劃發展策略。我們強烈建議您針對這些產品在自己的測試系統實驗室中利用您的生產環境實驗這些系統,避免發生任何不良的情況。
再次確認預設的政策設定確保這些產品提供足夠的防護,如果沒有,針對您的環境與風險設定來進行調整。最後,在產品上線之前請確保您的支援員工已經很熟悉這些形形色色的管理GUI。

分析主機型入侵預防系統(The HIPS Hydra)
HIPS功能對於不同的廠商而言就是代表著不同的事情。當然,主機型入侵預防系統的目標就是預防端點系統被駭客給入侵成功,但是不同廠商在實作HIPS時運用的技術是非常多樣的。我們採訪了每一家廠商,請它們自己描述用來阻擋攻擊意圖所採用的技術。我們想要專注於緩衝區溢位以及相關程式碼執行攻擊的防禦。基於我們的採訪,我們整理出七個攻擊偵測與防禦的基本要素:
系統呼叫回朔追蹤(System call backtracing) 分析各式各樣的系統API呼叫來確保呼叫位址是已經存在的已知程式碼片段。
擴散阻擋(Spawn blocking) 對於程式執行新程式的限制(例如,阻擋瀏覽器去執行一個新的命令列程序)。
行為檢查(Behavior checking) 監視系統呼叫比對歷史記錄來辨識是否有駭客正在進行任何行為。
DLL載入檢查(DLL loading checking) 檢視是否有異常或非預期的DLL被主機上的應用程式載入。
呼叫驗證(Call verification) 確保目前函數(function)的回傳位址(return address)是直接存在於 “呼叫(call)” 指令之前。
SHE驗證(SEH validation) 透過驗證結構化例外處理器(Structured Exception Handler)表來預防攻擊程式改寫例外處理器。
網路型入侵預防系統(Network-based IPS) 監視網路流量來尋找已知的弱點和攻擊。