回顾:火眼战斗多阶段的恶意软件

你不能看到一些恶意软件，直到为时已晚。复杂的攻击到达枚，看似良性的。一旦这些先进的攻击重组，目标已经被损害。

FireEye的需要，其NX设备的新方法的恶意软件检测。由于这种明智选择测试显示，FireEye的设备允许先进的恶意软件进行 - 但只有到电器内部运行的虚拟机。

在我们的测试中，FireEye的电器的表现堪称完美。它检测到的所有，我们在它扔了多级的恶意软件样本，包括一些涉及近零日漏洞。在顶级的线NX 10000跑在在线模式超越4Gbps的速度，以及在比9Gbps分路模式，既没有攻击流量现在更好。

该NX线填补了一个专门的利基，并补充而不是现有的安全设备的内容替换。这不是对自己的入侵检测系统，但该公司正在努力的IDS模块上。即便如此，NX 10000不会是一个全功能于一身的安全装置。相反，它做一件事情真的很好：它停止恶意软件的最高级形式，从传递到企业。

这种全面的保护并不便宜。我们测试的高端系统拥有约42万$，加上服务合同标价。但是，这适用于10G网络链接（这本身是相当价格昂贵的），它的目的是在保护企业资产的价值远远超过了50万美元。为了便于比较，10-Mbit / s的链路FireEye的入门级NX 900电器工程和为$ 9,600标价。

+ ALSO ON网有个足球雷竞技app络世界免费杀毒软件，你可以信任+

威胁的剖析

虽然从脚本小子自动攻击仍然是一个麻烦事，一个更为严重的威胁来自于复杂的多级恶意软件。一些所谓的高级持续性威胁（APT）是国家支持的;在其他情况下，有组织犯罪参与。

不管是什么出身，至少有三个阶段。首先，开发阶段使用漏洞放在后期使用一些代码。该漏洞通常隐藏着一个看似良性的文件中，例如在网页中Flash对象或JavaScript。

新的攻击，尤其是零日漏洞，在这一阶段经常被看见。

其次，利用被感染客户端然后下载真正的恶意软件，但不一定在一块。在“滴”可能出现多件来自多个源，每个遮蔽隐藏它的性质。

三，受损系统手机之家到执行恶意命令和控制网络。现在，攻击者控制目标系统;他们有它的数据和途径到内部网络的其余部分。

传统方法战斗的恶意软件在对抗多级恶意软件威胁的局限性。基于签名的系统可能会检测到恶意软件二进制文件的存在，但只有一次，它被重组的目标 - 和那么目标已经被损害。较新的沙盒系统停止交通到达目标机器之前，但他们可能无法收集和分析的多阶段攻击的所有组成部分。事实上，在一些漏洞利用工具包的一个关键步骤是决定是否继续之前的虚拟机管理程序，操作系统，浏览器和插件的“指纹”的版本。

该FireEye的区别

虚拟化是FireEye的的关键区别。它的运行设备的Windows操作系统，浏览器和插件，每个都在它自己的虚拟机的多个版本。恶意软件实际上是妥协的目标（虚拟）机 - 然后才把它的FireEye的软件记录一次成功的攻击。网络管理员可以配置FireEye的设备来阻止这种攻击，防止其蔓延到企业中。

我们测试了NX 10000家电，FireEye的与2个万兆以太网接口最高速度的装置。它特别注重基于网络的攻击。公司拥有电子邮件，移动和法医分析等产品线，但我们并没有测试这些。

的NX 10000工作在抽头或串联模式，后者任选地能够阻止攻击。它的内容库每天更新，包括新的漏洞，这是我们验证了最近零日漏洞测试。

FireEye的的技术补充，而不是替代了入侵检测系统（IDS）。不像IDS或IPS，它没有成千上万的攻击特征库。相反，它会查找其虚拟机实际妥协。该公司说，一个IDS模块处于beta测试阶段，并且由第二季度末定作一般性释放。

一旦设备识别多级恶意软件，它会触发警报。与传统的IDS / IPS，恶意软件警报可能会说“被检测到的文件trojan.exe。”相反，NX 10000警报显示了恶意软件的每个部件，包括用于接触式命令和控制网络，如下所示回调网址。

FireEye的的NX 10000提供详细的关于多级恶意软件报告，示出了攻击的每个部件，包括用于接触式命令和控制网络回调网址。

该设备的虚拟机代表了Windows 7和Windows XP的各种服务包级别，随着浏览器和Adobe Flash和微软的Silverlight版本的多种组合。FireEye的写下了自己的管理程序，使虚拟机出现在裸机上运行。这挫败攻击包上机跳转指令，如果他们发现的VMware虚拟机管理程序是非常有用的。

我们测试的版本尚不支持Mac OS X的虚拟机，但FireEye的说，支持Mac将在今年第三季度上市。

像所有的安全设备，在NX 10000只检测可以看到攻击，并具有网络设计的影响。配售家电在网络边界是有道理的。所以，做一个枢纽 - 轮辐设计，从分支机构和远程聚集互联网流量。更分散的设计企业可能会改为考虑为每个站点小家电。

一个缺点在中心站点具有大的器具：该NX 10000缺少内置高可用性支持，而不是依赖于外部系统诸如负载平衡器，以避免单个故障点。

覆盖测试

我们在多级恶意软件的覆盖范围和性能方面测试的NX 10000。我们跑了踢踏舞和内联模式的覆盖范围和性能测试，既没有攻击流量进行了目前性能测试。

对于覆盖测试，我们重播的一月和2014年4月这些样品之间的野外见到60多级的恶意软件样本收集，使用malware-traffic-analysis.net的许可，代表多级恶意软件的许多方面。它们涉及不同类型的漏洞利用工具包;零日攻击;滴管可执行文件;和回调命令和控制网络。我们没有告诉FireEye的哪些样本，我们会在测试中使用。

在所有60例，该器具FireEye的正确识别的每个恶意软件样本的各个部件，无论是在在线和抽头模式。

所述FireEye的装置至少一次，每24小时更新其的多级的恶意软件实例库。这是可能的系统将无法检测到一个全新的攻击，但我们没有看到，在测试。事实上，最近在我们的样本中首次发布恶意软件，我们用它在测试前不到24小时，并且更新的FireEye的设备正确识别它。

FireEye的说，它的客户通常会看到一个企图恶意软件利用每三分钟;我们的测试比远远更大的压力。我们重播所有的恶意软件样本连续以接近10G以太网线速率。相反，每个恶意软件样本最初取得秒钟甚至几分钟运行从开始到结束。此外，有一个恶意软件样本的结束和另一个开始之间没有间隙。

性能测试

该FireEye的设备还满足在性能测试中其规定的限制。FireEye的声称NX 10000可以在水龙头模式转发周边交通4Gbps的串联模式，并在接近10Gbps的。

我们评估使用思博伦雪崩，4-7层流量发生器分析这些说法。我们配置了雪崩HTTP流量高达40,000客户，如在大型企业网络。我们在内嵌和自来水模式测量的性能，我们还测量性能的同时，该系统受到攻击。

与分别仅良性的网络流量，以串联和抽头模式转发的流量在4.224G和9.259Gbps的FireEye的设备，。这两种结果与FireEye的性能要求一致。

然后，我们重复这些测试，而同时提供多级的恶意软件样本（同样，我们连续提出这些，在最大可能的速度）。此时，分别以串联和抽头模式转发的流量在4.207G和9.298Gbps的NX 10000。这些数字几乎是相同的，只有良性的流量测试，用细微的差别很可能是由带宽争许多TCP中解释流动。

火眼设备再次确认了内联测试中提供的全部60个恶意软件样本的所有组件。一些恶意软件样本在点击模式测试中没有被识别出来，但我们认为这是由于交换机中CPU超载造成的，它将流量镜像到火眼设备。switch报告CPU利用率为100%，并且在tap-mode测试的多次迭代期间变得无响应。虽然错过的报告不应该“充电”到火眼设备，这确实指出了使用tap基础设施的重要性，该基础设施能够以10G以太网网速转发所有流量。

先进的攻击需要先进的防御能力。NX的10000表示创新和有效的办法，以防止多级恶意软件。与传统的IPS结合（或使用自己的IPS模块，即将推出），该FireEye的设备应该可以帮助大型企业保持恶意代码感染他们的网络。

谢谢

有个足球雷竞技app网络世界非常感谢思博伦通信，这提供了思博伦雪崩C100MP交通设备的援助。思博伦的米歇尔Rhines，ANKUR Chadda，安格斯·罗伯逊，和克里斯查普曼也支持这个项目。谢谢，太，到malware-traffic-analysis.net，其中规定要使用的最近多级恶意软件攻击的数据包捕获许可。dnewman@networktest.com。

纽曼是网络世界实验室联盟的成员，网络测试，一个独立的有个足球雷竞技app测试实验室和工程服务咨询公司的总裁。他可以在到达

我们是如何做到的

我们评估了火眼的NX 10000的功能，攻击范围和性能。特性测试不需要单独的方法。相反，我们在安全性和性能测试过程中发现了设备支持的功能。

对于攻击范围，我们从malware-traffic-analysis.net获得了60个多级恶意包。2014年1月至4月期间，人们曾在野外看到过这些照片。捕获的内容包括利用工具包、滴管(受感染的)文件和对命令和控制服务器的回调。

我们使用开源tcpprep和tcprewrite工具准备对我们的测试平台使用这些数据包捕获，重写MAC和IP地址。然后，我们使用开源tcpreplay工具生成的多级恶意软件攻击。我们用装有多端口NIC一个FreeBSD的10.0服务器生成这些攻击。

对于性能测试方面，我们使用了Spirent雪崩，一个4-7层流量生成工具来提供网页流量高达40,000个用户。在这种情况下，雪崩跑配备了10G以太网接口思博伦C100MP设备。

出于安全和性能测试，我们构建了一个路由的测试平台有三个IP子网。当在串联模式下进行试验时，FireEye的NX 10000器具在中间段居住和两个三层交换机之间桥接流量。当在抽头模式测试中，第3层交换机直接连接到彼此，并且NX 10000使用一个开关上配置的镜像端口听取流量。思博伦和FreeBSD流量生成居住在该试验台外的子网，具有从连接到每个外子网中的每个设备中的一个接口。

对于覆盖测试，我们配置tcpreplay提供所有60个恶意软件样本以最大速率可能。我们的途中及试验后监测的NX 10000不断，并验证其正确识别每个试图利用。在这种情况下，成功指标包括识别源和目的IP地址，并将其命名的各种攻击包，滴管，和由每个恶意软件样本使用的命令和控制回调的能力。

在性能测试中，我们配置了Spirent雪崩模拟多达40,000个客户端请求的64 KB的Web对象尽可能快地。我们进行了性能测试四种置换：随着交通的良性只，无论是在在线和自来水模式;和良性和恶意流量内嵌和自来水模式同时提供的，一次。