從1988年開始，位于美國(guó)卡內(nèi)基梅隆大學(xué)的CERT CC(計(jì)算機(jī)緊急響應(yīng)小組協(xié)調(diào)中心)就開始調(diào)查入侵者的活動(dòng)。CERT CC給出一些關(guān)于最新入侵者攻擊方式的趨勢(shì)。

　　趨勢(shì)一：攻擊過程的自動(dòng)化與攻擊工具的快速更新

　　攻擊工具的自動(dòng)化程度繼續(xù)不斷增強(qiáng)。自動(dòng)化攻擊涉及到的四個(gè)階段都發(fā)生了變化。  

　　1.掃描潛在的受害者。從1997年起開始出現(xiàn)大量的掃描活動(dòng)。目前，新的掃描工具利用更先進(jìn)的掃描技術(shù)，變得更加有威力，并且提高了速度。

　　2.入侵具有漏洞的系統(tǒng)。以前，對(duì)具有漏洞的系統(tǒng)的攻擊是發(fā)生在大范圍的掃描之后的。現(xiàn)在，攻擊工具已經(jīng)將對(duì)漏洞的入侵設(shè)計(jì)成為掃描活動(dòng)的一部分，這樣大大加快了入侵的速度。

　　3.攻擊擴(kuò)散。2000年之前，攻擊工具需要一個(gè)人來發(fā)起其余的攻擊過程?，F(xiàn)在，攻擊工具能夠自動(dòng)發(fā)起新的攻擊過程。例如紅色代碼和Nimda病毒這些工具就在18個(gè)小時(shí)之內(nèi)傳遍了全球。

　　4.攻擊工具的協(xié)同管理。自從1999年起，隨著分布式攻擊工具的產(chǎn)生，攻擊者能夠?qū)Υ罅糠植荚贗nternet之上的攻擊工具發(fā)起攻擊?，F(xiàn)在，攻擊者能夠更加有效地發(fā)起一個(gè)分布式拒絕服務(wù)攻擊。協(xié)同功能利用了大量大眾化的協(xié)議如IRC(Internet Relay Chat)、IR(Instant Message)等的功能。

　　趨勢(shì)二：攻擊工具的不斷復(fù)雜化

　　攻擊工具的編寫者采用了比以前更加先進(jìn)的技術(shù)。攻擊工具的特征碼越來越難以通過分析來發(fā)現(xiàn)，并且越來越難以通過基于特征碼的檢測(cè)系統(tǒng)發(fā)現(xiàn)，例如防病毒軟件和入侵檢測(cè)系統(tǒng)。當(dāng)今攻擊工具的三個(gè)重要特點(diǎn)是反檢測(cè)功能，動(dòng)態(tài)行為特點(diǎn)以及攻擊工具的模塊化。

　　1.反檢測(cè)。攻擊者采用了能夠隱藏攻擊工具的技術(shù)。這使得安全專家想要通過各種分析方法來判斷新的攻擊的過程變得更加困難和耗時(shí)。

　　2.動(dòng)態(tài)行為。以前的攻擊工具按照預(yù)定的單一步驟發(fā)起進(jìn)攻?，F(xiàn)在的自動(dòng)攻擊工具能夠按照不同的方法更改它們的特征，如隨機(jī)選擇、預(yù)定的決策路徑或者通過入侵者直接的控制。

　　3.攻擊工具的模塊化。和以前攻擊工具僅僅實(shí)現(xiàn)一種攻擊相比，新的攻擊工具能夠通過升級(jí)或者對(duì)部分模塊的替換完成快速更改。而且，攻擊工具能夠在越來越多的平臺(tái)上運(yùn)行。例如，許多攻擊工具采用了標(biāo)準(zhǔn)的協(xié)議如IRC和HTTP進(jìn)行數(shù)據(jù)和命令的傳輸，這樣，想要從正常的網(wǎng)絡(luò)流量中分析出攻擊特征就更加困難了。

　　趨勢(shì)三：漏洞發(fā)現(xiàn)得更快

　　每一年報(bào)告給CERT/CC的漏洞數(shù)量都成倍增長(zhǎng)。CERT/CC公布的漏洞數(shù)據(jù)2000年為1090個(gè)，2001年為2437個(gè)，2002年已經(jīng)增加至4129個(gè)，就是說每天都有十幾個(gè)新的漏洞被發(fā)現(xiàn)?？梢韵胂?，對(duì)于管理員來說想要跟上補(bǔ)丁的步伐是很困難的。而且，入侵者往往能夠在軟件廠商修補(bǔ)這些漏洞之前首先發(fā)現(xiàn)這些漏洞。隨著發(fā)現(xiàn)漏洞的工具的自動(dòng)化趨勢(shì)，留給用戶打補(bǔ)丁的時(shí)間越來越短。尤其是緩沖區(qū)溢出類型的漏洞，其危害性非常大而又無處不在，是計(jì)算機(jī)安全的最大的威脅。在CERT和其它國(guó)際性網(wǎng)絡(luò)安全機(jī)構(gòu)的調(diào)查中，這種類型的漏洞是對(duì)服務(wù)器造成后果最嚴(yán)重的。

　　趨勢(shì)四：滲透防火墻

　　我們常常依賴防火墻提供一個(gè)安全的主要邊界保護(hù)。但是情況是：

　　* 已經(jīng)存在一些繞過典型防火墻配置的技術(shù)，如IPP(the Internet Printing Protocol)和WebDAV(Web-based Distributed Authoring and Versioning)

　　* 一些標(biāo)榜是“防火墻適用”的協(xié)議實(shí)際上設(shè)計(jì)為能夠繞過典型防火墻的配置。

　　特定特征的“移動(dòng)代碼”(如ActiveX控件，Java和JavaScript)使得保護(hù)存在漏洞的系統(tǒng)以及發(fā)現(xiàn)惡意的軟件更加困難。

　　另外，隨著Internet網(wǎng)絡(luò)上計(jì)算機(jī)的不斷增長(zhǎng)，所有計(jì)算機(jī)之間存在很強(qiáng)的依存性。一旦某些計(jì)算機(jī)遭到了入侵，它就有可能成為入侵者的棲息地和跳板，作為進(jìn)一步攻擊的工具。對(duì)于網(wǎng)絡(luò)基礎(chǔ)架構(gòu)如DNS系統(tǒng)、路由器的攻擊也越來越成為嚴(yán)重的安全威脅。

　　采用主動(dòng)防御措施應(yīng)對(duì)新一代網(wǎng)絡(luò)攻擊

　　“紅色代碼”蠕蟲病毒在因特網(wǎng)上傳播的最初九小時(shí)內(nèi)就感染了超過250，000個(gè)計(jì)算機(jī)系統(tǒng)。該感染導(dǎo)致的代價(jià)以每天2億美元飛速增長(zhǎng)，最終損失高達(dá)26億美元?！凹t色代碼” ，“紅色代碼II”，及“尼姆達(dá)”、“求職信”快速傳播的威脅顯示出現(xiàn)有的網(wǎng)絡(luò)防御的嚴(yán)重的局限性。市場(chǎng)上大多數(shù)的入侵檢測(cè)系統(tǒng)是簡(jiǎn)單的，對(duì)網(wǎng)絡(luò)中新出現(xiàn)的、未知的、通常稱做“瞬時(shí)攻擊：Zero-day Attack”的威脅沒有足夠防御手段。

　　黑客的“機(jī)會(huì)之窗”

　　目前大多數(shù)的入侵檢測(cè)系統(tǒng)是有局限性的，因?yàn)樗鼈兪褂锰卣鞔a去進(jìn)行辨別是否存在攻擊行為。這些系統(tǒng)采用這種方式對(duì)特定的攻擊模式進(jìn)行監(jiān)視。它們基于貯存在其數(shù)據(jù)庫(kù)里的識(shí)別信息：類似于防病毒軟件檢查已知病毒的方式。這意味著這些系統(tǒng)只能檢測(cè)他們已經(jīng)編入識(shí)別程序的特定的攻擊。因?yàn)椤八矔r(shí)攻擊”是新出現(xiàn)的，尚未被廣泛認(rèn)識(shí)，所以在新的特征碼被開發(fā)出來，并且進(jìn)行安裝和配置等這些過程之前，它們就能繞過這些安全系統(tǒng)。實(shí)際上，僅僅需要對(duì)已知的攻擊方式進(jìn)行稍微的修改，這些系統(tǒng)就不會(huì)認(rèn)識(shí)這些攻擊方式了，從而給入侵者提供了避開基于特征碼的防御系統(tǒng)的手段。

　　從新的攻擊的發(fā)動(dòng)到開發(fā)新的特征碼的這段時(shí)間，是一個(gè)危險(xiǎn)的“機(jī)會(huì)之窗”，許多的網(wǎng)絡(luò)會(huì)被攻破。這時(shí)候許多快速的入侵工具會(huì)被設(shè)計(jì)開發(fā)出來，網(wǎng)絡(luò)很容易受到攻擊。下圖舉例說明了為什么大多數(shù)的安全產(chǎn)品在該時(shí)期內(nèi)實(shí)際上是無效的。CERT組織研制的這個(gè)圖表說明了一個(gè)網(wǎng)絡(luò)攻擊的典型的生命周期。該曲線的波峰就在攻擊的首次襲擊之后，這是大多數(shù)安全產(chǎn)品最終開始提供保護(hù)的時(shí)候。然而“瞬時(shí)攻擊”是那些最老練的黑客在最早期階段重點(diǎn)展開的。

　　同時(shí)，現(xiàn)在那些快速進(jìn)行的攻擊利用了廣泛使用的計(jì)算機(jī)軟件中的安全漏洞來造成分布更廣的破壞。僅僅使用幾行代碼，他們就能編寫一個(gè)蠕蟲滲透到計(jì)算機(jī)網(wǎng)絡(luò)中，通過共享賬號(hào)克隆自己，然后開始攻擊你的同伴和用戶的網(wǎng)絡(luò)。使用這種方式，在廠商開發(fā)出特征碼并將其分發(fā)到用戶的這段時(shí)間內(nèi)，“尼姆達(dá)蠕蟲”僅僅在美國(guó)就傳播到了超過100,000的網(wǎng)絡(luò)站點(diǎn)。這些分發(fā)機(jī)制使“瞬間攻擊”像SirCam和Love Bug兩種病毒分別席卷了230萬和4000萬的計(jì)算機(jī)，而不需要多少人為干預(yù)。其中有些攻擊甚至還通過安裝一個(gè)后門來為以后的破壞建立基礎(chǔ)，該后門允許對(duì)手、黑客和其他未獲授權(quán)的用戶訪問一個(gè)組織重要的數(shù)據(jù)和網(wǎng)絡(luò)資源。