IPS需意識到高階閃避技術(AET)的危害

　　現在，為了證明這一點，Stonesoft出具了南威爾士大學撰寫的一篇關於《入侵防禦系統中攔截閃避的有效性》的論文。這篇論文總結稱，“在這個試驗中，我們展示過已經安裝的部分IPS，對使用高階閃避技術的攻擊提供了有限的保護。”

　　該試驗包含來自Sourcefire，IBM，PaloAlto，Fortigate，McAfee，Checkpoint，瞻博網路，思科和Stonesoft的裝置;而且使用了兩個老的漏洞(CVE-2008-4250和CVE-2004-1315)，這兩個漏洞應該通過修補好的IPS裝置來結束。確實，所有裝置都可以有效阻止針對這些漏洞的簡單攻擊;但是使用Stonesoft的Evader(專門用來部署基礎閃避技巧的工具)後，結果截然不同。

　　這篇論文描述了一種閃避技術。它解釋稱，IPS裝置在檢測到入侵時可以採取行動——但是當執行惡意攻擊的病毒的有效載荷被分解到多個資料包時，它們可能不能識別出攻擊。在這種情況下，它在通過IPS前都是“不可見的”，而“接收資料包的主機卻會收集有效載荷，然後重組資訊。”這份報告指出“一次不被察覺的閃避為成功的入侵行為創造了絕佳機會，之後，攻擊者利用它偷取資料或將其作為殭屍網路的資源使用。”

　　這個測試本身展示了針對漏洞CVE-2008-4250的2759次攻擊，大部分裝置阻止了98.6%或以上的攻擊。只有Sourcefire的攔截率較低，為93.33%。排名在前兩位的裝置分別是思科(99.9%)和Stonesoft(99.6%)的產品。

　　但是，當閃避技巧被用到漏洞CVE-2004-1315上時，這些裝置的成功率就降低。這一次，排名前兩位的兩個裝置是Stonesoft(面對2638次攻擊，阻止了99.7%)和Fortigate(阻止了99.2%)。儘管如此，剩下的七款裝置中，沒有哪款的攔截率超過66%，McAfee裝置的攔截率最低，為50.1%。

　　南威爾士大學的論文總結稱，“閃避技巧是網路安全中的問題。另一方面，高階閃避技巧被IPS行業的很多人所忽視，而這種忽視導致了很多難以被檢測到的攻擊。”它警告稱，“即便一次單獨閃避的成功也足以讓活躍的有效負載通過，這就讓網路以及裡面包含的資訊處於危險之中。”報告還稱，網路安全社群應該引起重視，IPS系統應該更容易察覺可能被用到的閃避技巧和新舊漏洞的挖掘，並對此作出響應。