扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
纵观当前网络安全的局势,可以用两个“日益”来总结,一是攻击日益增多,另一个是手段日益复杂。据统计数据显示,70%以上的攻击行为暴露在应用层,我们称之为深层攻击行为。这种攻击行为有如下特点:
第一:攻击种类出现频率高,攻击手段出现速度快。ANI蠕虫在出现的第一天就产生了5个变种,著名的灰鸽子病毒则有多达10000多个变种;而微软在发布某些漏洞公告时,有人几分钟后就写出了攻击代码。
第二:攻击过程隐蔽。文件捆绑、文件伪装、跨站脚本攻击,看似正常的操作,却使得系统受感染,业务遭损失。此外越来越多的网络应用也增加了攻击判断的难度。
在这种背景下,在线部署,实时分析网络传输数据的入侵防御系统(IPS:Instruction Prevention System)应运而生。作为在线部署的设备,精确的判断攻击并及时阻断是入侵防御系统的必要条件:没有实现对攻击行为的准确判断,误阻断了正常业务或者是没有阻断隐藏的、变形的攻击行为,都将给客户带来巨大的损失。可以说,精确阻断水平是衡量入侵防御系统能力的关键指标。
二、天清IPS以精确阻断领跑业界
启明星辰公司在入侵检测和攻防技术研究方面有着丰富的经验,自主研发并推出了拥有精确检测和阻断技术的天清入侵防御系统。
针对上面提到的深层攻击的特点,天清入侵防御系统是如何应对的呢?
1.专业化组织团队保障对攻击的及时响应和准确识别
不了解攻击技术的最新发展,就谈不上对入侵的有效防范。为了了解黑客活动的前沿状况,把握攻击技术的动态发展,深化对攻击行为的本质分析,预防突然袭击并以最快速度判断最新攻击手段,启明星辰专门建立了积极防御实验室(AD-LAB),在第一时间获得各种信息安全事件,进行漏洞的研究,同时研究利用漏洞入侵的原理和特征,对此特征进行清晰的描述,用于判断攻击行为;对于无法特征化的攻击行为,将由启明星辰的网络安全博士后工作站进行相关研究,实现基于原理的攻击检测算法。
2.动静融合的柔性检测机制扩大了精确阻断的覆盖面
我们知道常用的攻击检测方法有两种,一种方法是通过定义攻击行为的数据特征来实现对已知攻击的检测,其优势是技术上实现简单、易于扩充、可迅速实现对特定新攻击的检测和拦截;但仅能识别已知攻击、抗变种能力弱。另一种方法是通过分析攻击产生原理,定义攻击类型的统一特征,能准确识别基于相同原理的各种攻击、不受攻击变种的影响,但技术门槛高、扩充复杂、应对新攻击速度有限(详见图一)。
启明星辰经过多年研究,将动态检测与静态检测融合,消除各自刚性,形成了一种 “柔性检测”机制。它最大的特点就是基于原理的检测方法与基于特征的检测方法并存,有机组合了两种检测方法的优势。这种融合不仅是一个两种检测方法的大融合,而且细分到对攻击检测防御的每一个过程中,在抗躲避的处理、协议分析、攻击识别等过程中都包含了动态与静态检测的融合(详见图二)。
通过运用柔性检测机制,天清IPS进一步增强了设备的抗躲避能力、精确阻断能力、变形攻击识别能力和对新攻击应变能力,提高了精确检测覆盖面。
3.多种相关技术提升精确识别能力
在天清入侵防御产品中,采用多种专利技术,如VFPR (Venus Fast Protocol Recognition)、基于原理的SQL注入检测等,这使天清IPS的精确阻断能力得到充分体现。
VFPR协议自识别方法采用协议指纹验证方法,对采用非常规端口的协议进行自动识别。
SQL注入检测技术,是针对原理的攻击检测技术,该技术大大提高了对SQL注入攻击的防御能力。
除此以外,天清入侵防御系统还采用任务与虚拟CPU绑定的技术,消除并行处理的等待和切换时间;基于任务特点合理分配、高效利用硬件资源,根据分析任务特征自动选择最优算法,提升匹配效率;其微秒级的分析时延,完全可以适应电信级用户网络环境需求。
在网络应用越来越广泛、各种类型的攻击行为层出不穷的时代,天清入侵防御系统这种深层安全防护产品,将在保护企业网络安全方面起到重要作用。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。