科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道(IDS)检测与防护共同作用保护网络系统

(IDS)检测与防护共同作用保护网络系统

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

每个过滤器都包含一系列规则,只有满足这些规则的数据包才会被确认为不包含恶意攻击内容。过滤器引擎集合了流水和大规模并行处理硬件,能够同时执行数千次的数据包过滤检查。

作者:中国IT实验室 2007年9月13日

关键字: IDS IPS IDS/IPS 入侵检测 入侵防御

  • 评论
  • 分享微博
  • 分享邮件

随着系统漏洞不断被发现,企业网络面临的安全威胁越来越复杂了。不过尽管这些攻击可以绕过传统的防火墙,设置在网络周边或内部网络中娜肭址阑は低常↖PS)仍然能够有效阻止这些攻击,为那些未添加补丁或配置不当的服务器提供保护。

虽然入侵检测系统(IDS)可以监视网络传输并发出警报,但并不能拦截攻击。而IPS则能够对所有数据包仔细检查,立即确定是否许可或禁止访问。

IPS具有一些过滤器,能够防止系统上各种类型的弱点受到攻击。当新的弱点被发现之后,IPS就会创建一个新的过滤器,并将其纳入自己的管辖之下,试探攻击这些弱点的任何恶意企图都会立即受到拦截。如果有攻击者利用Layer 2 (介质访问控制)至Layer 7(应用)的弱点进行入侵,IPS能够从数据流中检查出这些攻击并加以阻止。传统的防火墙只能对Layer 3或Layer 4进行检查,而不能检测应用层的内容。

  

IPS数据包处理引擎是专业化定制的集成电路,可以检查数据包中的每一个字节。相比之下,防火墙的包过滤技术不会针对每一字节进行检查,因而也就无法发现攻击活动。IPS设备利用过滤器对数据流中的全部内容进行检查。所有数据包都被分类,每种过滤器负责分析对应的数据包。只有通过检查的数据包才可以继续前进。分类的依据是数据包中的报头信息,如源IP地址和目的IP地址、端口号和应用域。

每个过滤器都包含一系列规则,只有满足这些规则的数据包才会被确认为不包含恶意攻击内容。为了确保准确性,这些规则的定义非常广泛。在对传输内容进行分类时,引擎必须参照数据包的信息参数,并将其解析至一个有意义的域进行上下文分析。例如,在对付缓冲溢出攻击时,引擎给出一个应用层中的缓冲参数,然后评估其特性用来探测是否存在攻击行为。为了防止攻击到达攻击目标,在某一数据流被确定为恶意攻击时,属于该数据流的所有数据包都将被丢弃。

探测挖掘系统弱点的不同攻击行为,IPS需要不同的过滤器。一些已知的攻击企图可以通过特征或形式匹配过滤器来检测。而对于其他攻击,如缓冲溢出攻击,IPS需要更为复杂的过滤器。这种复杂的过滤器可以使用协议和应用级的解码器设置规则。针对“网络清扫”和“包溢流”等多流攻击,IPS需要过滤器能够收集统计信息以发现异常。

过滤器引擎集合了流水和大规模并行处理硬件,能够同时执行数千次的数据包过滤检查。并行过滤处理可以确保数据包能够不间断地快速通过系统,不会对速度造成影响。这种硬件加速技术对于IPS具有重要意义,因为传统的软件解决方案必须逐个进行过滤检查,会导致系统性能大打折扣。

  

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章