【驭龙技术帖又来了-第二弹】暗藏五年，终见天日，Dynamic GAPA引擎的秘密

驭龙

三年多以前我写过这样的一篇帖子：当年Morro时代传说中的云隧道，真的仅仅是一个传说么？MSE 3.0能否融入此项云技术？之后，MSE 直接跳到4.0版本，架构大变，然而MSE 4.1的时候，NIS真的被重写了，也就是直到现在还在不断提升的NRI BM 网络行为实时监控技术，这看上去跟我三年多之前的预测有一点相似，大家只是觉得没有传说中的云隧道，是吧？可云隧道的真相是什么？为什么到现在也没有？如果真的没有云隧道，那为何有这样的传言？难道仅仅是空穴来风？

今天我来把云隧道也就是Microsoft暗藏五年以上的秘密揭开，事情说来话长，我们慢慢说。

先说MSE 2.0时候增加的Network Inspection System，微软当时只是说网络检查系统是防御漏洞入侵的，打补丁以后就没有什么用了，没错那时候确实是这样，这不是重点，重点是网络检查系统的背后秘密，这件事我也是刚刚才知道没多久的，MSE 2.0刚发布的时候，我就发现相比MSE 1.0多了一个Dynamic GAPA Engine，那时候是菜鸟的我，还误以为是另一个功能Behavior Monitoring的引擎呢。

正因为网络检查系统是防漏洞的，很长一段时间，我都没有关注，即使是变身成为网络行为实时监控功能以后，我也很少关注，直到前几天，我才发现了被Microsoft暗藏五年多的秘密，也就是GAPA的真实面目，这家伙的工作原理真的几乎跟当年的云隧道相差无几，只是MSE 4.1之前，仅用来防漏洞，真的是好可惜啊，真的是白瞎GAPA引擎和架构了。


关于GAPA架构是九年前的事情了（唉，瞧瞧Microsoft的理念，真的是超乎想象），微软研究院研发了监控网络和数据的概念性技术，名称为通用应用级协议分析，英文名Generic Application-level Protocol Analyzer 也就是GAPA引擎技术，以及GAPA语言，想通过这种语言来编写以后监控网络的程序，如网络防火墙和入侵检测系统等，不过后期好像没有人用这种技术，而都用Windows Filtering Platform了（不清楚WFP与GAPA的关系，但GAPA依托于WFP）。


现在我来简单和不完整的说一下GAPA的工作原理，GAPA会创建一个缓冲池，利用NetVM Status Machine（微软称呼为网络状态机）技术，把网络协议层数据在Buffer中快速分析，如果跟之前的网络检查系统特征库定义匹配，就会拦截或者阻止，而且Buffer的大小是有限制的，2000字节以内的URL算正常，但是利用漏洞入侵的数据将远远大于Buffer（微软原话大概是这个意思，我英语太差），GAPA会采取相应措施，或许这就是之后2009年MSE发布之前传言的云隧道雏形吧。

GAPA还不仅如此，它还拥有动态分析协议和流媒体的能力，同时具有强大的网络监控能力，因为在Forefront TMG 2010上网络检查系统是作为Intrusion Prevention System（入侵检测系统，应该翻译为入侵预防系统）组件存在的，实际上网络检查系统就是一种特殊的入侵预防系统，也就是IPS哦。

我只是奇怪，GAPA架构原理非常强大和特别，Microsoft为什么只是说使用GAPA引擎的网络检查系统是防漏洞的呢？实际上GAPA功能不仅如此，或许GAPA某些功能并没有公开，不过现在的GAPA已经拥有网络行为实时监控功能和之前防漏洞功能，我相信以后的GAPA引擎一定会更强大，也许现在它就正在默默地为我们防御入侵也说不定。

该说重点了，GAPA的状态机实际上也会与Microsoft保持通信的，微软会跟GAPA状态机进行Intrusion Prevention System数据交互，也就是Signature，内部链接忽略详细地址.com/IPSSignaturesSn和.com/IPSSignatureSnapshot，好像GAPA也会跟Microsoft服务器通讯URL，难道GAPA真的是全自动化的云隧道？即使是我们访问威胁URL，在不影响我们正常访问的情况下，默默地过滤威胁？这个真的不得而知了，但这真的是跟当年传言的云隧道，非常非常的相似。

真心期待着GAPA变得越来越强大，关于现在的网络行为实时监控的相关内容，可以看我一年前的帖子：NIS网络检查系统的全新解析，独特的网络实时行为监控

以上内容仅是我个人根据某些Microsoft公布的数据分析，仅供参考，不代表是正确的，仅仅是个人点评，大神勿喷，如有错误，请见谅！

独孤无语

2014年的9年前是2005年，想想当时的反恶意软件技术还分为2个类别：一个病毒一个木马，很难想象微软研发的这个GAPA是为了抵御安全威胁。我认为微软这个技术真的前瞻过头以至于很难相信。
===================================================
如果是基于抵御网络传播型恶意程式的考虑，这个倒是可以想通，如何在正常使用网络的过程中避免此类威胁的骚扰攻击，确实是比较好的一个课题。毕竟应用层协议从很早以前就已经敲定使用，都很难变动（就如同我们摆脱不了XP一样），继续改进协议本身的安全性的成本也非常不划算，推广也是个问题。（当然也有例外的TSL等）。需要GAPA来控制主机的网络确实是必须的。想想诺顿的IPS好像也是2009版才有？（我最先用的版本）

白露为霜

哇？塞，龙大真厉害，。微软杀毒到底是底层的

c68111c

選微軟就對了

畢竟源碼都掌握在自己手上

不折騰

目前市佔最高的就是ma家族了

zandalong

c68111c 发表于 2014-10-1 19:45
選微軟就對了

畢竟源碼都掌握在自己手上

你当大多数人全都升级WIN8.1了？

目前市佔最高的就是ma家族了

以后这种“王婆卖瓜”的话就不要再说了。

Miostartos

zandalong 发表于 2014-10-2 00:15
你当大多数人全都升级WIN8.1了？
以后这种“王婆卖瓜”的话就不要再说了。

MA又不是只有WD
另外国内这种盗版满天飞的也不能作为普遍参考
在北美那边MA还就是市占率最高的

c68111c

zandalong 发表于 2014-10-2 00:15
你当大多数人全都升级WIN8.1了？
以后这种“王婆卖瓜”的话就不要再说了。

我實話實說而已

很多人沒特別裝防毒or把筆電預裝防毒刪掉

就wd單奔

驭龙

zandalong 发表于 2014-10-2 00:15
你当大多数人全都升级WIN8.1了？
以后这种“王婆卖瓜”的话就不要再说了。

什么叫王婆卖瓜？全世界上MA家族占有率世界第一，你有异议？
不要把国内情况当成全世界的情况

清道夫900

支持大龙的探索精神！

zandalong

STCn1000 发表于 2014-10-2 08:50
MA又不是只有WD
另外国内这种盗版满天飞的也不能作为普遍参考
在北美那边MA还就是市占率最高的

MA企业版占用率少的可怜，也只有有强迫症的个人用户才会使用MA企业版。
美国占有率第一的不是麦咖啡么。

zandalong

c68111c 发表于 2014-10-2 08:54
我實話實說而已

很多人沒特別裝防毒or把筆電預裝防毒刪掉

不是单奔，而是有些人都不知道WIN8以后集成了杀软，对于他们而言，那叫“裸奔”。