資源描述:
《入侵防御系統(tǒng)的過(guò)去�、現(xiàn)在和未來(lái)》由會(huì)員上傳分享��,免費(fèi)在線閱讀����,更多相關(guān)內(nèi)容在工程資料-天天文庫(kù)。
1���、入侵防御系統(tǒng)的過(guò)去、現(xiàn)在和未來(lái)~教育資源庫(kù) 入侵防御系統(tǒng)(IntrusionPreventionSystem��,IPS)是這段時(shí)間網(wǎng)絡(luò)安全業(yè)內(nèi)比較熱門(mén)的一個(gè)詞�����,這種既能及時(shí)發(fā)現(xiàn)又能實(shí)時(shí)阻斷各種入侵行為的安全產(chǎn)品,自面世那天起�,就受到各大安全廠商和用戶的廣泛關(guān)注?��! ∮腥苏J(rèn)為�����,入侵防御系統(tǒng)(IPS)就是入侵檢測(cè)系統(tǒng)(IntrusionDetectionSystem����,IDS)的升級(jí)產(chǎn)品�,有了IPS,就可以替代以前的IDS系統(tǒng)�����,這也正是Gartner在2003年發(fā)表那篇著名的IDSisdead的理由�����?���! 娜肭址烙到y(tǒng)的起源來(lái)看����,這個(gè)升級(jí)說(shuō)似乎有些道理:Netda
2���、sh;精確阻斷����,即精確判斷各種深層的攻擊行為����,并實(shí)現(xiàn)實(shí)時(shí)的阻斷?! 【_阻斷解決了自IPS概念出現(xiàn)以來(lái)用戶和廠商的最大困惑:如何確保IPS無(wú)誤報(bào)和濫報(bào),使得串接設(shè)備不會(huì)形成新的網(wǎng)絡(luò)故障點(diǎn)? 而作為一款防御入侵攻擊的設(shè)備��,毫無(wú)疑問(wèn)�,防御各種深層入侵行為是第二個(gè)重點(diǎn),這也是IPS系統(tǒng)區(qū)別于其他安全產(chǎn)品的本質(zhì)特點(diǎn);這也給精確阻斷加上了一個(gè)修飾語(yǔ):保障深層防御情況下的精確阻斷���,即在確保精確阻斷的基礎(chǔ)上���,盡量多地發(fā)現(xiàn)攻擊行為(如SQL注入攻擊、緩沖區(qū)溢出攻擊�����、惡意代碼攻擊����、后門(mén)、木馬����、間諜軟件),這才是IPS發(fā)展的主線功能��?����! ∪绾未_保對(duì)深層入侵行為的準(zhǔn)確判斷?剛剛
3��、推出天清入侵防御系統(tǒng)的專業(yè)安全廠商啟明星辰有著自己獨(dú)特的技術(shù)和專利�。啟明星辰的技術(shù)專家介紹說(shuō),依托多年以來(lái)在入侵檢測(cè)技術(shù)方面的深厚積累����,啟明星辰獨(dú)創(chuàng)性地建立了柔性化檢測(cè)機(jī)制����,在確保精確判定攻擊行為的基礎(chǔ)上�����,涵蓋了各種攻擊手法類型���?����! ∥覀冎莱S玫墓魴z測(cè)方法有兩種��,一種方法是通過(guò)定義攻擊行為的數(shù)據(jù)特征來(lái)實(shí)現(xiàn)對(duì)已知攻擊的檢測(cè)�,其優(yōu)勢(shì)是技術(shù)上實(shí)現(xiàn)簡(jiǎn)單�����、易于擴(kuò)充�、可迅速實(shí)現(xiàn)對(duì)特定新攻擊的檢測(cè)和攔截;但僅能識(shí)別已知攻擊、抗變種能力弱�。另一種方法是通過(guò)分析攻擊產(chǎn)生原理,定義攻擊類型的統(tǒng)一特征,能準(zhǔn)確識(shí)別基于相同原理的各種攻擊�����、不受攻擊變種的影響���,但技術(shù)門(mén)檻高、擴(kuò)充復(fù)
4���、雜���、應(yīng)對(duì)新攻擊速度有限。兩種檢測(cè)機(jī)制如圖2所示����。 圖2基于特征和原理的檢測(cè)機(jī)制12下一頁(yè)友情提醒:��,特別�!對(duì)比 融合基于特征的檢測(cè)機(jī)制和基于原理的檢測(cè)機(jī)制形成的柔性檢測(cè)機(jī)制,它最大的特點(diǎn)就是基于原理的檢測(cè)方法與基于特征的檢測(cè)方法并存�����,有機(jī)組合了兩種檢測(cè)方法的優(yōu)勢(shì)。這種融合不僅是一個(gè)兩種檢測(cè)方法的大融合�,而且細(xì)分到對(duì)攻擊檢測(cè)防御的每一個(gè)過(guò)程中,在抗躲避的處理�����、協(xié)議分析�、攻擊識(shí)別等過(guò)程中都包含了動(dòng)態(tài)與靜態(tài)檢測(cè)的融合。如圖3所示��?���! D3啟明星辰柔性檢測(cè)機(jī)制原理 通過(guò)運(yùn)用柔性檢測(cè)機(jī)制,天清入侵防御系統(tǒng)進(jìn)一步增強(qiáng)了設(shè)備的抗躲避能力�、精確阻斷能力、變形攻擊識(shí)別能
5����、力和對(duì)新攻擊應(yīng)變能力,提高了精確檢測(cè)的覆蓋面�����?���! ‘?dāng)然��,前面提到的擴(kuò)展功能和高性能��,也是入侵防御系統(tǒng)所必需關(guān)注的內(nèi)容����,但也要符合產(chǎn)品的主線功能發(fā)展趨勢(shì)��。如針對(duì)P2P的限制:P2P作為一種新興的下載手段����,得到了極為廣泛的運(yùn)用����,但由無(wú)限制的P2P應(yīng)用會(huì)影響網(wǎng)絡(luò)的帶寬消耗,并且還隨此帶來(lái)知識(shí)產(chǎn)權(quán)����、病毒等多種相關(guān)問(wèn)題。而實(shí)現(xiàn)對(duì)P2P的控制和限制�,需要較為深入的應(yīng)用層分析,交給IPS來(lái)限制�����、防范,是一個(gè)比較恰當(dāng)?shù)倪x擇���。而ACL控制����、路由��、NAT等���,這些都是防火墻可以完成的工作���,在IPS上來(lái)實(shí)現(xiàn)這些功能,就有畫(huà)蛇添足之嫌了�。 性能表現(xiàn)是IPS的又一重要指標(biāo)����,但這里的性
6、能應(yīng)該是更廣泛含義上的性能:包括了最大的參數(shù)表現(xiàn)和異常狀況下的穩(wěn)定保障�。也就是說(shuō),性能除了需要關(guān)注諸如吞吐率多大��?,轉(zhuǎn)發(fā)時(shí)延多長(zhǎng)��?�����,一定背景流下檢測(cè)率如何��?等性能參數(shù)表現(xiàn)外����,還需要關(guān)注:如果出現(xiàn)了意外情況,怎樣/多快能恢復(fù)網(wǎng)絡(luò)的正常通訊��?�����,這個(gè)問(wèn)題也是IPS出現(xiàn)之初被質(zhì)疑的一個(gè)重點(diǎn)��。串接設(shè)備出現(xiàn)故障和旁路設(shè)備不一樣�����,是會(huì)影響到正常業(yè)務(wù)運(yùn)營(yíng)的���,而做深層分析的串接設(shè)備更加如此����,在長(zhǎng)時(shí)間做大量數(shù)據(jù)深度分析的情況下��,如何確保通訊的順暢���?如何確保出現(xiàn)異常情況后通訊的順暢��? 天清入侵防御系統(tǒng)通過(guò)內(nèi)置硬件Watchdog�����、軟件監(jiān)控進(jìn)程����,對(duì)系統(tǒng)的異常實(shí)時(shí)監(jiān)控和處理��,實(shí)現(xiàn)了
7�、軟件和硬件的雙BYPASS功能,在各種異常情況下確保了網(wǎng)絡(luò)的通暢�����,部署后不增加網(wǎng)絡(luò)故障點(diǎn)。天清IPS始終遵循最短時(shí)間優(yōu)先原則���,調(diào)度任務(wù)�����、算法和CPU時(shí)間����,具體如圖4所示��?! PS的未來(lái)發(fā)展方向是什么? 明確了IPS的主線功能是深層防御、精確阻斷后���,IPS未來(lái)發(fā)展趨勢(shì)也就明朗化了:不斷豐富和完善IPS可以精確阻斷的攻擊種類和類型���,并在此基礎(chǔ)之上提升IPS產(chǎn)品的設(shè)備處理性能�。 而在提升性能方面存在的一個(gè)悖論就是:需提升性能�����,除了在軟件處理方式上優(yōu)化外,硬件架構(gòu)的設(shè)計(jì)也是一個(gè)非常重要的方面����,目前的ASIC/NP等高性能硬件,都是采用嵌入式指令+專用語(yǔ)言開(kāi)發(fā)���,
8��、將已知攻擊行為的特征固化在電子固件上����,雖然能提升匹配
