1. 應用層威脅介紹

2000年以前，當我們談及網絡安全的時候，還主要指防火墻，因為那時候的安全還主要以網絡層的訪問控制為主。的確，防火墻就像一個防盜門，給了我們基本的安全防護。但是，就像今天最好的防盜門也不能阻止“禽流感”病毒傳播一樣，防火墻也不能阻擋今天的網絡威脅的傳播。今天的網絡安全現狀和2000年以前相比，已經發生了很大的改變，我們已經進入了一個“應用層威脅”泛濫的時代。
今天，各種蠕蟲、間諜軟件、網絡釣魚等應用層威脅和EMAIL、移動代碼結合，形成復合型威脅，使威脅更加危險和難以抵御。這些威脅直接攻擊企業核心服務器和應用，給企業帶來了重大損失；攻擊終端用戶計算機，給用戶帶來信息風險甚至財產損失；對網絡基礎設施進行DoS/DDoS攻擊，造成基礎設施的癱瘓；更有甚者，像電驢、BT等P2P應用和MSN、QQ等即時通信軟件的普及，企業寶貴帶寬資源被業務無關流量浪費，形成巨大的資源損失。面對這些問題，傳統解決方案最大的問題是，防火墻工作在TCP/IP 3～4層上，根本就“看”不到這些威脅的存在，而IDS作為一個旁路設備，對這些威脅又“看而不阻”，因此我們需要一個全新的安全解決方案。
在解決問題之前，我們需要先了解一下應用層威脅的形式和原理。所謂應用層威脅，主要包括下面幾種形式：

因為篇幅的限制，在本文中我們重點介紹一下蠕蟲、間諜軟件、帶寬濫用這三個典型的應用層威脅。

1.1.   蠕蟲

蠕蟲的定義是指“通過計算機網絡進行自我復制的惡意程序，泛濫時可以導致網絡阻塞和癱瘓”。從本質上講，蠕蟲和病毒的最大的區別在于蠕蟲是通過網絡進行主動傳播的，而病毒需要人的手工干預（如各種外部存儲介質的讀寫）。但是時至今日，蠕蟲往往和病毒、木馬和DDoS等各種威脅結合起來，形成混合型蠕蟲。
蠕蟲有多種形式，包括系統漏洞型蠕蟲、群發郵件型蠕蟲、共享型蠕蟲、寄生型蠕蟲和混和型蠕蟲。其中最常見，變種最多的蠕蟲是群發郵件型蠕蟲，它是通過EMAIL進行傳播的，著名的例子包括“求職信”、“網絡天空NetSky”、“雛鷹 BBeagle”等，2005年11月爆發的“Sober”蠕蟲，也是一個非常典型的群發郵件型蠕蟲。群發郵件型蠕蟲的防治主要從郵件病毒過濾和防垃圾郵件上入手。
下面我們重點談談“系統漏洞型蠕蟲”，系統漏洞型蠕蟲利用客戶機或者服務器的操作系統、應用軟件的漏洞進行傳播，成為目前最具有危險性的蠕蟲。以沖擊波蠕蟲為例，它就是利用Microsoft RPC DCOM 緩沖區溢出漏洞進行傳播的。系統漏洞型蠕蟲傳播快，范圍廣、危害大。例如2001年CodeRed的爆發給全球帶來了20億美金的損失，而SQL Slammer只在10分鐘內就攻破了全球！下面是近5年來針對微軟操作系統漏洞的5個最著名的蠕蟲：
t      紅色代碼(CodeRed)：
MS01-033，微軟索引服務器緩沖區溢出漏洞，利用TCP 80傳播
t      SQL SLAMMER：
MS02-039，SQL服務器漏洞，利用UDP 1434進行傳播
t      沖擊波(Blaster)
MS03-026，RPC DCOM服務漏洞，利用TCP 135 139等等進行傳播
t      震蕩波(Sasser)：
MS04-011，LSASS本地安全認證子系統服務漏洞，利用TCP 445等端口進行傳播
t      Zobot
MS05-39，windows PnP服務漏洞，利用TCP 445端口進行傳播
上述5個蠕蟲都是臭名昭著的蠕蟲，其中Zobot到2005年12月還在網絡上肆虐著它的余威。由于系統漏洞型蠕蟲都利用了軟件系統在設計上的缺陷，并且他們的傳播都利用現有的業務端口，因此傳統的防火墻對其幾乎是無能為力。實際上，系統漏洞是滋生蠕蟲的溫床，而網絡使得他們可以恣意妄為。