閘道端防護網頁威脅的技術有很多種，它們之間的差異是？

網頁威脅間諜程式隱形網頁

ithelp 2008-03-17 12:40:22 ‧ 6971 瀏覽

企業若要防護網頁威脅，單靠使用者的自覺是不太可靠的，因此有些公司願意花錢去採購網路安全閘道設備，檢測從防火牆進出的網路流量。透過閘道端防護網頁威脅的技術，種類也不少，包括防毒、網址分類庫比對過濾、網址名譽服務比對，差異何在？
除了在個人電腦部署防毒軟體以及其他偵測惡意程式的軟體以外，一般企業也會在網路出入口的閘道（Gateway）部署第一層的防禦。以一家擁有五百臺個人電腦的中型企業來說，網管人員管理一臺閘道端的設備，總比同時管理內部500臺的個人電腦來得方便。不管是病毒碼的更新或是允入控制（Access Control List）的設定，在閘道端都比較能快速反應。

在閘道端部署防護網頁威脅的產品，目前也有各種不同的類型。以技術上來說，目前較為流行的有防毒、網址分類庫比對過濾、網址名譽服務比對、及入侵偵測技術等幾種。這些技術以單一形式存在，或是相互地配合，並且實作在閘道端的路由器、防火牆或是單獨的設備。而部署的形式也可粗分為在線（Inline）模式以及被動（Passive）模式。

防毒最耗設備運算能力
以防毒技術來防護網頁威脅是行之有年的作法，目前這個功能常見於防毒閘道設備（Anti-Virus Gateway）以及統一威脅管理設備（Unifier Threat Management）中。簡單地說，就是把防毒軟體放進閘道端的設備裡面，偵測掃描通過受保護網段的檔案。

一般防毒軟體都是以檔案作為介面的，把檔案傳給防毒軟體掃描，防毒軟體就回報是否含有病毒在內，但位於閘道端的設備要如何收集流經此設備的檔案以供進一步的分析呢？兩種最常見的作法，包含：閘道端防毒設備以代理人（Proxy）的方式收集檔案，第二種就是以串流為基礎（Stream-based）的方式收集網路封包。

閘道端設備在代理人模式下，主要攔截從個人電腦發出來的網頁請求，並且以自己的身分向遠端網站發送這個請求，因此遠端網站回傳的檔案會完整地先傳回閘道端設備。有了完整的檔案，閘道端設備就把這些檔案丟給防毒引擎掃描，再依據掃描的結果決定是否讓檔案通過並送回給個人電腦。而以串流為基礎的作法是收集流經設備的網路封包，排序以後，一段一段地丟給防毒引擎掃描。

閘道端設備採用代理人方法的優點在於：一、由於檔案已經完整接收了，因此就算檔案是已經被壓縮過的，還是能解壓縮再掃描；二、將有病毒的檔案移除，並將剩餘無害的網頁回傳給使用者，也可以將病毒隔離保存（Quarantine）。但是缺點在於一、需要完整接收檔案，因此對於檔案的大小就有限制。然而閘道端的設備一般不會處理超過40MB的檔案；二、需要比較強的計算能力，網路處理速度會受到影響。

使用串流法的優點在於：速度快，而且檔案大小無限制，因為設備只會在記憶體內保留一小部分的網路封包。缺點在於：以目前的技術，最好的效能考量也僅能以解開一層的壓縮為主；其次，發現病毒以後，只能採取破壞的方式，沒有辦法隔離保存。因此以串流法來偵測病毒比較常見於價格相對低廉的網路設備中。

整體來說，閘道端防護網頁威脅的技術主要還是在處理檔案，因此可以保護使用者不會收到惡意網頁上面的病毒檔案。但是針對網頁的惡意內容，比如惡意的JavaScript，就比較沒有辦法詳盡地偵測了。以效能來說，在閘道端偵測惡意程式、防毒，仍是目前已知的技術中最消耗計算能力的。

網址分類庫比對效能較好，但較靜態且偵測率有限
嚴格來說，網址分類庫比對過濾並不是為了防護網頁威脅而設計的功能。最早其實是為了達成員工資訊管理（Employee Information Management）而發展出來的產品。由於網路應用的崛起，許多上班族在工作時間利用公司的網路上網閱讀文章、購物、買賣股票、或是觀看色情網站，嚴重影響工作效率，並且占用企業寶貴的網路頻寬。因此網址分類庫比對過濾就是把所有網路上能「撈」到的網址分門別類，再由網管人員決定哪些員工可以在哪些時段瀏覽哪些網站。

發展網址分類庫比對過濾的業者一般先利用網路爬蟲（Web Crawler），將整個網際網路上的網站內容抓下來，然後使用人工智慧引擎針對圖片或是網頁文字做為分類的依據，可能要再佐以人工判斷，就能建立網站分類的資料庫。由於網際網路大大小小的網站實在太多了，因此網站分類資料庫可說是非常珍貴的資源，也跟病毒碼一樣，需要時常更新才能發揮較佳的作用。目前較具規模的資料庫，至少都有一百多種分類、數百萬筆網站資料，網管人員在選擇方案的時候，必須注意廠商規模以及地域性是否會造成差異。

對於防護網頁威脅，網址分類庫比對過濾能發揮什麼作用呢？實作上，網址分類庫比對過濾就是當使用者瀏覽網頁時，將要瀏覽的網頁位址比對資料庫的內容，再依據網管人員的政策作為放行的依據。要是此網址分類庫比對過濾的類別包含惡意網站，就能避免使用者因為瀏覽惡意網站而遭受感染。不過，由於惡意網站的位址不斷地變化，而網址分類庫比對採用的是正面表列：必須百分百確定的惡意網站才會列入，因此做法相對靜態而無法有較高的偵測率。

有了網址分類庫比對，可以藉由較嚴謹的管制而降低員工因瀏覽網站而遭受感染的風險。舉例來說，若是公司員工在上班期間僅能瀏覽與工作相關的知名網站，就少了許多到處亂逛而中毒的危險。只是世事無絕對，許許多多知名的網站其實也可能早被插入惡意的連結（俗稱掛馬）。我們只能說，相對於許多私人架設的分享站臺，瀏覽企業網站被感染的機會比較小。由於網址分類庫比對不需要許多的計算能力，只要資料庫在近端或是延遲（Latency）夠小，一般沒有什麼效能（Throughput）的問題。

網址名譽服務比對兼具效能與準確性
網址名譽服務比對的運作原理與網址分類庫比對很類似，都是將使用者欲瀏覽的網路向一個資料庫查詢、比對，並不掃描偵測網頁的內容，因此有較佳的效能。

不同的是，網址分類庫比對的結果非黑即白，沒列在資料庫中網站一律視為正常的網站，實際上資料庫的涵蓋率卻不高。而網址名譽服務比對則採用一些參數去辨別一個網址的可信任程度：舉例來說，由-10分到+10分，-10分就代表一定是惡意的網站，而+10分則代表是正常的網站，網管人員就可以依據分數來制定政策。至於評分的參數就是各個廠商的技術關鍵了。比較常見的計分規則包含：網站註冊的時間（行之有年的網站比較不容易是惡意網站）、網站登記、註冊人員身分（可以藉由註冊者網站的評分參考）、這個網站在哪些時間被哪些人瀏覽過（可以分辨是正常的使用者瀏覽或是間諜程式的回報「phone home」行為）、這個網站同時有幾個IP Address網路位址，以及這幾個網路位址的可信任度，其他的方法端視廠商部署及監看的方式而定。以上這些方法只能證明一個網站有多可疑，但是對被入侵掛馬的正常網站則無法由這些方法來辨別，仍需要具體掃描過網站內容協助判定。

由於Script Language的特性就是語法很靈活，因此掃描只能找出明顯的惡意程式，想進一步確認還需要使用模擬器來模仿瀏覽器的行為，才能知道一個網頁是否真的含有惡意程式。此外也有廠商會將撈回來的網頁與知名網站作比對，因為釣魚網站通常是會複製知名網站的「長相」（如American Bank以及PayPal.com等）。以網址名譽服務比對來防護網頁威脅的廠商，大致上就是由這些方法來製作他們的資料庫。當然資料庫同樣也必須時常更新，才能提供給使用者較佳的保護。以目前討論過的這三種方法來說，網址名譽服務比對是目前主流方法，可見於各大廠商的解決方案。此外，間諜軟體偷取使用者資料後往往利用HTTP協定或是80埠，避過防火牆的檢查，並將資料傳回駭客手中，而網址名譽服務比對除了能保護使用者存取惡意網站之外，對於被植入間諜軟體的使用者也能提供某種程度的保護。

入侵防禦設備以保護用戶端弱點與網路攻擊為主
除了上述三種方法之外，入侵防禦設備也能防護網頁威脅。因為使用者在瀏覽惡意網站以後，會執行網站上面的惡意程序，並下載惡意的攻擊程式進而遭受感染。前面提到Script Language的特性就是語法很靈活，入侵防禦設備僅能夠阻擋簡單的惡意程序，但是當使用者真正下載了惡意的攻擊程式時，入侵防禦設備就較能準確地阻擋。換句話說，入侵防禦設備是藉由保護用戶端的弱點（Client-side Vulnerability）以防護網頁的威脅。此外，入侵防禦設備的攻擊簽名資料庫（signature database）往往含有間諜程式偷取資料的協定，因此對於被植入間諜軟體的使用者，也能防止他們的資料遭竊。

以上所述的各種防護手段，都有局限性以及保護的範圍。目前許多資安廠商面對這些混合性的網頁攻擊的應對方法，就是結合上述的這些方法﹦而推出較完整的方案。畢竟資訊安全的防線很長，還是要依據使用者的環境，盡可能以多面性的防護來降低使用者瀏覽網頁遭致感染的風險，並且在感染之後縮小損害的範圍。

間諜程式防護方法
關於如何防止被植入間諜程式，使用者能做的，就是盡量不要執行來路不明的軟體，定期用清除間諜程式的工具加以檢測。
然而這規則也有例外。軟體廠商一直在宣導使用正版軟體，的確，我們也願意相信付費所買來的軟體是安全的，但是曾經發生過唱片業者Sony BMG的音樂光碟會對使用者的電腦植入Rootkit（可取得電腦控制權的軟體工具）來防止唱片拷貝的事件，這件事掀起了軒然大波，有興趣的讀者可以參閱參考資料。
這樣看來，使用者的系統安全與隱私當與商業利益衝突的時候，是有可能犧牲掉的，倘若付費所買的產品都居心叵測，那還有什麼好相信的呢？
這是個好問題！如同你花錢，仍然有可能買到黑心食品一樣，可是你還是努力地活著，電腦也是這樣的。我們都要有這樣的觀念：電腦只要一接上網路、安裝了外來的軟體，中毒或入侵與否，就已經不是你這個平凡的老百姓所可以控制的了，就像是人都難免一死一樣，我們能做的只是保養顧惜，希望身體健康多用幾年 :-）文⊙威播科技研發部副理高迦南

勿輕易使用匿名的代理伺服器
臺灣地區對外的網路連線主要透過海底光纜與國外連接，近年曾經發生過幾次因為地震造成海底光纜受損影響網路服務的事件，這段期間，就發生幾起為了在網路服務受影響期間仍能順利使用瀏覽器和即時通訊軟體，使用者因而選用不明人士在網路上公布的代理伺服器，結果造成個人資訊遭竊而造成損失的事件。總而言之，如果逼不得已須使用不明的代理伺服器時，更要避免透過代理伺服器傳遞重要的資訊內容。文⊙威播科技資深工程師梁世璽

隱形網頁帶來危機
擔心不小心誤點了寬度與高度為0的惡意網站而中毒，想研究的人可以用虛擬機器連上Google 輸入"width="0" height="0""當成關鍵字，就可以找到很多跟入侵掛馬相關的資料。如果想找病毒使用掛碼的實例，可以Google "熊貓燒香 iframe"，但是必須先聲明，Google指引到的網站，不一定保證都安全，要注意可能不慎中毒或是遭到入侵。