思科安全代理关联机制简介

总体而言，思科安全代理的工作原理非常简单。它的任务就是拦截应用和操作系统之间的系统调用，对其进行关联，针对一组行为规则比较所关联的系统调用，再根据比较结果制定“允许”或者“拒绝”决策。这个流程被称为INCORE -- 即拦截、关联、规则引擎。关联是INCORE流程中最重要的一个步骤，也最难以理解。

图1 INCORE的结构图

什么是关联？

关联指的是在事件、事务或者 -- 对于思科安全代理而言 -- 系统调用之间建立联系。思科安全代理的关联机制可以描述为将系统调用和应用活动的能力保持在某个“状态”的能力。例如，如果终端上的某个应用需要向磁盘写入一个文件，思科安全代理就可以“记住”这项操作，并依据对于系统保护的回应做出调整。

具体而言，代理可以利用关联将它的一些规则与应用的行为 -- 而不是应用的名称 -- 结合到一起。Windows通用安全模块就是一个典型的例子。这个模块中的规则之一可以防止对于注册表键值的修改—其经常会成为病毒攻击目标。这种规则并不是针对特殊名称的进程 -- 如iexplorer.exe、svchost.exe和outlook.exe，而是针对表现出一组行为的进程。在这种情况下，如果系统中的任何进程收到某个主动发出的TCP或者UDP网络连接，思科安全代理就会记住它，将该进程视为一个“服务器”应用，再动态应用规则。

图2 存在隐患的进程无权写入危险的注册表键值

怎样使用关联？

首先，关联的作用是让思科安全代理更加有效。终端安全的挑战之一是如何确定哪些应用或者服务可能成为下一次大规模攻击的目标。思科安全代理并不会强迫用户猜测什么会成为目标，而是会让管理员根据应用种类动态分配规则。

攻击通常会通过用一个命令解释程序(Command Shell)发出命令来控制终端，因此存在隐患的应用应当无权调用命令解释程序。这个想法听起来很简单，但是确定哪些进程可能存在隐患和对其分类可不是一件容易的事。关联让思科安全代理可以防止一些存在风险的应用类别（例如“服务器”、“由服务器创建的进程”或者“执行不可靠内容的进程”等）调用命令解释程序。思科安全代理会根据以前观察到的活动自动地划分这些类别。

图3 存在隐患的进程无权调用命令解释程序