回顾:火眼击退多级恶意软件

你看不到一些恶意软件，直到为时已晚。复杂的攻击是支离破碎的，每一次似乎都是良性的。一旦这些高级攻击重新集结，目标就已经被削弱了。

FireEye采用了一种新的方法来检测其NX设备中的恶意软件。正如这个清晰的选择测试所显示的，FireEye设备允许高级恶意软件继续运行——但只能运行在设备内部的虚拟机上。

在我们的测试中，FireEye的电器的表现堪称完美。它检测到的所有，我们在它扔了多级的恶意软件样本，包括一些涉及近零日漏洞。在顶级的线NX 10000跑在在线模式超越4Gbps的速度，以及在比9Gbps分路模式，既没有攻击流量现在更好。

NX线填补了一个专门的利基，补充而不是取代现有的安全设备。它本身并不是一个IDS，尽管该公司正在开发一个IDS模块。即便如此，NX 10000也不会是一种多功能的安全设备。相反，它做了一件非常好的事情:它阻止了最高级形式的恶意软件进入企业。

这种全面的保护并不便宜。我们测试的高端系统的标价约为42万美元，外加服务合同。但这是为10G的互联网连接设计的(这本身是相当昂贵的)，并且它是针对那些保护价值远远超过50万美元资产的企业。相比之下，FireEye的入门级NX 900设备可以在10-Mbit/s的链接上运行，标价为9,600美元。

+也在网络世界足球竞猜app软件免费的防病毒软件，你可以信任+

对威胁的剖析

尽管来自脚本kidd的自动攻击仍然令人讨厌，但更严重的威胁来自复杂的多阶段恶意软件。其中一些所谓的“高级持续威胁”(advanced persistent threat, APT)是由国家发起的;在其他案件中也涉及有组织犯罪。

不管是什么出身，至少有三个阶段。首先，开发阶段使用漏洞放在后期使用一些代码。该漏洞通常隐藏着一个看似良性的文件中，例如在网页中Flash对象或JavaScript。

在这个阶段经常会出现新的攻击，特别是零日漏洞。

其次，利用被感染客户端然后下载真正的恶意软件，但不一定在一块。在“滴”可能出现多件来自多个源，每个遮蔽隐藏它的性质。

第三，被攻击的系统电话联系到执行恶意软件的命令和控制网络。此时，攻击者控制了目标系统;它们有自己的数据和通往内部网络其他部分的通路。

传统的对抗恶意软件的方法在对抗多级恶意软件威胁方面有局限性。基于签名的系统可能会检测到恶意二进制文件的存在，但只有当它被重新组装到目标上时，目标才会受到攻击。较新的沙箱系统会在流量到达目标机器之前停止流量，但它们可能无法组装和分析多阶段攻击的所有组成部分。实际上，在某些开发工具包中，一个关键步骤是在决定是否继续之前“识别”hypervisor、OS、浏览器和插件的版本。

该FireEye的区别

虚拟化是FireEye的的关键区别。它的运行设备的Windows操作系统，浏览器和插件，每个都在它自己的虚拟机的多个版本。恶意软件实际上是妥协的目标（虚拟）机 - 然后才把它的FireEye的软件记录一次成功的攻击。网络管理员可以配置FireEye的设备来阻止这种攻击，防止其蔓延到企业中。

我们测试了NX 10000设备，它是FireEye的速度最高的设备，具有两个10G以太网接口。它特别关注基于web的攻击。该公司还有电子邮件、手机和法医分析的其他产品线，但我们没有对这些产品进行测试。

的NX 10000工作在抽头或串联模式，后者任选地能够阻止攻击。它的内容库每天更新，包括新的漏洞，这是我们验证了最近零日漏洞测试。

FireEye的技术是入侵检测系统(IDS)的补充，而不是取代。与IDS或IPS不同，它没有包含数千个攻击签名的库。相反，它在虚拟机上寻找实际的折衷方案。该公司表示，IDS模块正在测试中，预计将在第二季度末正式发布。

一旦设备识别多级恶意软件，它会触发警报。与传统的IDS / IPS，恶意软件警报可能会说“被检测到的文件trojan.exe。”相反，NX 10000警报显示了恶意软件的每个部件，包括用于接触式命令和控制网络，如下所示回调网址。

FireEye的NX 10000提供了多阶段恶意软件的详细报告，显示了攻击的每个组成部分，包括用于联系命令和控制网络的回调url。

该设备的虚拟机代表了Windows 7和Windows XP的各种服务包级别，以及浏览器、Adobe Flash和微软Silverlight版本的许多组合。FireEye编写了自己的hypervisor，使虚拟机看起来像是在裸机上运行。这对于阻止那些在检测到VMware虚拟机监控程序时跳过机器执行的攻击包非常有用。

我们测试的版本还不支持Mac OS X虚拟机，不过FireEye表示将在第三季度提供Mac支持。

像所有的安全设备一样，NX 10000只检测它能看到的攻击，这对网络设计有影响。将设备放置在网络周边是有意义的。还有一个中心辐射式的设计，它将来自分支机构和远程工作者的互联网流量聚集在一起。采用分散化设计的企业可能会为每个站点考虑更小的设备。

将大型设备放在中心站点上的一个缺点是:NX 10000缺乏内置的高可用性支持，而依赖于负载平衡器等外部系统来避免单点故障。

覆盖测试

我们测试了nx10000的多级恶意软件覆盖率和性能。我们在tap和inline模式下进行了覆盖和性能测试，并在存在攻击流量和不存在攻击流量的情况下进行了性能测试。

为了进行覆盖率测试，我们重放了从2014年1月到4月在野外看到的60个多阶段恶意软件样本。这些经过malware-traffic-analysis.net许可使用的样本，代表了多级恶意软件的许多方面。它们包括不同种类的开发工具包;零日漏洞;使滴下的东西可执行文件;以及对指挥控制网络的回调。我们没有告诉火眼我们将使用哪些样本进行测试。

在所有的60个案例中，FireEye设备正确地识别了每个恶意软件样本的单个组件，包括内联模式和tap模式。

所述FireEye的装置至少一次，每24小时更新其的多级的恶意软件实例库。这是可能的系统将无法检测到一个全新的攻击，但我们没有看到，在测试。事实上，最近在我们的样本中首次发布恶意软件，我们用它在测试前不到24小时，并且更新的FireEye的设备正确识别它。

FireEye的说，它的客户通常会看到一个企图恶意软件利用每三分钟;我们的测试比远远更大的压力。我们重播所有的恶意软件样本连续以接近10G以太网线速率。相反，每个恶意软件样本最初取得秒钟甚至几分钟运行从开始到结束。此外，有一个恶意软件样本的结束和另一个开始之间没有间隙。

性能测试

火眼设备在性能测试中也达到了规定的极限。FireEye声称NX 10000在内联模式下可以转发约4Gbps的流量，在tap模式下可以转发近10Gbps的流量。

我们使用4-7层流量发生器分析器Spirent雪崩评估了这些声明。我们配置了最多40,000个客户机的雪崩HTTP流量，就像在一个大型企业网络中一样。我们测量了内联模式和tap模式下的性能，也测量了系统受到攻击时的性能。

在只有良性网络流量的情况下，FireEye设备在inline和tap模式下转发流量分别为4.224G和9.259Gbps。这两个结果都符合FireEye的性能声明。

然后我们重复这些测试，同时提供多阶段的恶意软件样本(同样，我们以可能的最大速率连续提供这些样本)。这次，NX 10000在inline和tap模式下的转发流量分别为4.207G和9.298Gbps。这些数字实际上与仅在流量良好的情况下进行的测试相同，细微的差异很可能是由多个TCP流之间的带宽争用造成的。

FireEye设备再次识别了内联测试中提供的所有60个恶意软件样本的所有组件。一些恶意软件样本在点击模式测试中没有被识别出来，但我们认为这是由于交换机中的CPU过载导致流量镜像到FireEye设备。开关报告CPU利用率为100%，并且在多次重复的按下模式测试期间变得无响应。虽然错过的报告不应该“充电”到火眼设备，这确实指出了使用tap基础设施能够转发所有流量在10G以太网线速度的重要性。

先进的攻击需要先进的防御。NX 10000代表了一种创新和有效的方法来对抗多级恶意软件。与传统的IPS(或使用其自身的IPS模块，很快就会推出)结合在一起，FireEye设备应该可以帮助大型企业将恶意软件挡在网络之外。

谢谢

足球竞猜app软件网络世界感谢Spirent通信公司的帮助，他们提供了Spirent雪崩C100MP交通设备。Spirent的Michelle Rhines, Ankur Chadda, Angus Robertson和Chris Chapman也支持这个项目。也要感谢malware-traffic-analysis.net，它允许用户使用它的数据包捕获最近的多级恶意软件攻击。dnewman@networktest.com。

纽曼是Network World实验室联盟的成员，也足球竞猜app软件是Network Test的总裁，Network Test是一家独立的测试实验室和工程服务咨询公司。请联系他

我们是如何做到的

我们评估了FireEye的NX 10000的特性、攻击范围和性能。特性测试不需要单独的方法。相反，我们在安全和性能测试过程中发现了该设备支持的功能。

为了覆盖攻击范围，我们从malware-traffic-analysis.net网站获得了60个多级恶意软件包捕获。这些捕获的照片是2014年1月至4月间在野外看到的。捕获包括了利用工具包的示例，掉落(受感染的)文件，以及对命令和控制服务器的回调。

我们使用开源tcpprep和tcprewrite工具准备对我们的测试平台使用这些数据包捕获，重写MAC和IP地址。然后，我们使用开源tcpreplay工具生成的多级恶意软件攻击。我们用装有多端口NIC一个FreeBSD的10.0服务器生成这些攻击。

为了进行性能测试，我们使用了Spirent雪崩，这是一个4-7层流量生成工具，可以提供最多40,000名用户的Web流量。在本例中，雪崩运行在Spirent的C100MP设备上，该设备配备10G以太网接口。

为了进行安全性和性能测试，我们构建了一个包含三个IP子网的路由测试平台。在内联模式下测试时，火眼NX 10000设备位于中间段，并在两个3层交换机之间桥接流量。在tap模式下测试时，第3层交换机直接相互连接，NX 10000使用在一个交换机上配置的镜像端口侦听流量。Spirent和FreeBSD流量生成器驻留在这个测试床的外部子网中，每个设备都有一个接口连接到每个外部子网。

对于覆盖测试，我们配置tcpreplay提供所有60个恶意软件样本以最大速率可能。我们的途中及试验后监测的NX 10000不断，并验证其正确识别每个试图利用。在这种情况下，成功指标包括识别源和目的IP地址，并将其命名的各种攻击包，滴管，和由每个恶意软件样本使用的命令和控制回调的能力。

在性能测试中，我们配置了Spirent雪崩模拟多达40,000个客户端请求的64 KB的Web对象尽可能快地。我们进行了性能测试四种置换：随着交通的良性只，无论是在在线和自来水模式;和良性和恶意流量内嵌和自来水模式同时提供的，一次。