IPS产品时，已经把攻击规避的检测能力，作为一种必备的产品技术要求进行评估。然而，攻击规避技术应用广泛，种类繁多，而且变种、更新速度较快，要想有效地防范这类攻击，将面临三大挑战：IPS产品需要对相关的网络协议有清晰的理解，具备细粒度协议解析机制和异常处理能力。各种规避技术都遵从相应的协议规范，导致规避攻击成功的原因主要是IPS的协议解码引擎过于简单甚至存在疏漏。IPS产品应该具备良好的扩展能力。一般而言，产品协议解析层面的结构变化会对整个系统带来较大的影响，牵一发而动全身。具备良好扩展能力的引擎架构，可以降低抗攻击规避模块的维护成本，缩短应急响应时间。

    IPS的应用带来了巨大的挑战，为了有效应对此类威胁，IPS产品在设计和开发攻击检测引擎的时候，必须考虑以下几方面的因素：IPS产品对于攻击规避手段的抵御能力，NSS Labs的安全专家们在“安全有效性”专项测试中，采用了五个测试项目，对IPS的攻击规避检测能力，进行了全面（覆盖IP，TCP，HTTP，DCERPC，SUNRPC等多种协议）且严格的测试。IPS）在NSS Labs的“规避测试”项目中获得100%的通过率，并最终得到NSS Labs在全球范围内的鼎力推荐。在此之前，仅有两家国际顶尖安全厂商的IPS产品获此殊荣。IPS攻击规避检测能力（引自NSS Labs测试报告）IPS面临的众多挑战之一，作为一款优秀的IPS产品，必须具备各类已知和未知风险的识别和控制能力，以确保产品的安全有效性，这也是IPS发展、演变历程中必须遵循的一项基本原则，唯有精确识别各类攻击，并及时做出响应，才有可能最大限度发挥IPS的功效，保障企业信息系统的安全。

    本文主要从“安全有效性”角度，以攻击规避流量检测为例，描述

    一、从攻击规避检测技术看

    众所周知，为了提高产品的攻击检测效率，

    攻击规避技术是众多蓄意隐性攻击中应用范围最广，最有效的一类技术。当攻击者发现被攻击目标正受到

    应用了规避技术的网络攻击，会给企业带来不容忽视的安全威胁，如果不能对其进行正常、有效的处理，这类攻击会使得

    二、常见的攻击规避技术分析

    攻击规避一般也叫做攻击逃逸，攻击者通过对攻击数据包的精心定制和伪造，企图绕开

    （一） TCP/IP协议规避技术

    TCP/IP协议的抗规避处理难点主要集中在TCP协议上。TCP协议是端到端的复杂流式可靠传输协议，它的序列号、窗口，以及重传等保障可靠传输的机制，会给

   

    归结起来，针对TCP/IP协议的规避技术，主要包括如下几种实现方式：

通过重传机制发送干扰数据包（TTL、校验和、窗口大小、序列号、标志位、时间戳等异常的数据包）和正常数据包，在正常数据包中嵌入攻击负载，终端的TCP/IP协议栈会丢弃干扰数据包，并将载有攻击的正常数据汇聚起来提交给应用程序。

通过利用TCP协议的序列号或IP协议的片偏移机制，对数据包进行细小划分，并打乱发送顺序（逆序，乱序）。

利用攻击目标的协议栈特性，将数据以前重叠或后重叠的方式发送，例如下图所示，Windows会倾向于先到的数据流分段，而Solaris倾向于后到的数据流分段。

(责任编辑：)