关于MSE中的NIS功能背后隐藏的内涵部分解释

DearJohn

备受瞩目的MSE2.0版本中，在针对Win7系统多了一个网络检查系统的功能，即NisSrv.exe进程，那么，对于NIS（Network Inspection System，可不是诺顿安全套装）究竟有什么作用呢？

此功能通过检查网络流量以便及时阻止利用已知的基于网络的漏洞，从而增强实时保护

攻击者在软件供应商开发和分发安全更新之前，会针对已公开的漏洞逐渐展开网络攻击。 漏洞研究表明，从初始攻击报告发布之日起，可能需要一个月或更长时间才能开发、测试和发布一个适合的安全更新。 保护措施的空缺使许多计算机在很长一段时间内都易受到攻击和利用。 网络检查系统使用实时保护极大地缩短漏洞发现和更新部署之间的时间间隔（从几周缩短到几个小时），从而更好地帮助您抵御网络攻击。

随着科技的不断发展，我们在网络中呢，也面临着各种风险，传统反病毒软件的特征码已经开始有些吃不消了，于是呢，基因、启发、动态虚拟机、云、社区、主防等技术应运而生。尤其是针对反泄露部分，已经显得尤为重要——作为终端用户的我们常常通过使用浏览器等各种应用程序发起出站连接来浏览页面，从而面临着各种恶意软件的攻击。
从这一点上来说，IPS（即Intrusion Prevention System,不要说不知道啥是IPS说HIPS你就知道了，IPS是更为广义的入侵防御系统）的保护就很重要。我们常常使用HTTP、HTTPS协议，或者其他协议，诸如RPC、SMB或者其他邮件协议等等。而正是在这样的局面下，作为IPS的一部分组件，NIS就与TMG（Threat Manager Gateway）集成，成为了2.0版本中的网络检查系统。由于各种基于应用层协议的威胁日益严重，微软研究院（Microsoft Reaserch，即MRS）采用了一个通用架构的应用层分析仪GAPA（即Generic Application-level Protocol Analyzer），该分析仪使用GAPAL协议规范语言和分析引擎来监测跟踪网络流量。

在TMG中，基于GAPA的NIS网络检查系统则可看为基于Signature（关于Signature，从以前的表述来看，似乎就是特征码，可是，随着对MSE的不断研究，却又不仅仅局限于特征码，它也包含了对处理威胁所需的其他信息）的入侵防御系统。正如我们所看到的在应用层与网络层的0-day攻击，NIS的应运而生正是一种策略来保护通过漏洞攻击的主机和网络。可是，还有一个更为重要的问题，即，攻击者在软件供应商开发和分发安全更新之前，会针对已公开的漏洞逐渐展开网络攻击。而NIS的目的则在于极大地缩短漏洞发现和更新部署之间的时间间隔（从几周缩短到几个小时），从而更好地帮助用户抵御网络攻击。

NIS main differentiator is Signature Quality (minimum False Positive and False Negative) on Microsoft focused vulnerabilities.NIS vulnerability signatures (versus exploit based) cover all flavors of exploit attacks leveraging vulnerability in contrast to exploit specific detections which are susceptible to evasion.

简而言之，你只要明白NIS是基于网络协议对于已知漏洞而导致的各种攻击和威胁的一种监控，哪怕你没有全打补丁或者使用微软已经不支持的操作系统等，同时对于0-day漏洞也有很好的抵御作用即可。

下面找了两个相关网站门户，大家可以参考一下：
· http://www.microsoft.com/securit ... C-DNS-RCE-2007-1748
· http://www.microsoft.com/securit ... Trans-RCE-2008-4835

简而关于上面所说的GAPA分析仪，我也找到了其工作原理的部分论文，分享一下：


最后，我想说，对于普通用户而言，杀软除了设置上，确实没有什么研究的。如果你需要更高阶的认识，可能从防火墙（传统）------>入侵检测系统IDS------->入侵防御系统IPS（基于主机的IPS即HIPS）,以及更高阶。事实上，Windows本身的安全机制已经很强大了，只是往往用户依赖于使用各种可视化的工具和软件，反而忽视了这些，比如组策略，本地权限等等。

所以，为什么有人总是有杀软综合症呢？就算你把全世界的杀软都装上了，姑且不开监控，安全性可能仅仅提高2%。而你将“安全”分布在杀软，防火墙，IDS，IPS，NTFS权限，组策略，这才是最立体的防御，尤其你有一颗聪慧的头脑！

3533534

...................消灭0回复

帅就是帅

希望大家都能看看，除了对NIS的理解外，本帖的价值还在于最后一部分的建议，理解它并落实，人人都会是高手
另外：两个链接似乎失效了。。。。

wyf280437341

支持下，其实和诺顿，金山网盾，AVG，瑞星的那种防挂马方式相同吧，不是依靠特征码的防护

神游懒猪

被我挖出来了

在没有发布补丁的情况下，扫描数据流一样也算个特征而已。

在这方面，趋势尤为强大

这个你不能这么伤害我啊，你给的网站怎么这副德性.....
The page cannot be displayed because an internal server error has occurred.

微微的笑

帅就是帅 发表于 2010-12-28 18:07
希望大家都能看看，除了对NIS的理解外，本帖的价值还在于最后一部分的建议，理解它并落实，人人都会是高手[ ...

假公济私支持！！

tydc1990

支持 支持。

Johnkay.Young

不错的文。

钢系

进来学习 MSE区越来越有系统安全区的意味

帅就是帅

回复 9楼 钢系 的帖子

嗯，也是我目前打算的方向吧，mse本身就把安全分布在整个操作系统中。。。所以。。。。。加上mse本身该讨论的也都讨论了。。。。。