科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道破解IPS迷雾

破解IPS迷雾

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

2005年秋,由全球多家系统软件公司进行的一项联合调查表明,超过66%的企业用户认为,“系统渗透”将会成为威胁企业IT安全的首要元凶。

作者:51cto 2007年10月21日

关键字:

  • 评论
  • 分享微博
  • 分享邮件

在本页阅读全文(共6页)

破解二   细看“误报与漏报”
        对于“误报”、“漏报”的问题,用户的看法是,由于IPS会对攻击采取行动,因此误报带来的灾难显然要比IDS产品大。不过TippingPoint中国区业务总监贾泉海表示,各大IPS厂商研发的主要精力都在于此,产品的检测精度在2年内已经有了质的提升。
目前,在Hi-End级IPS厂家中流行的检测技术有两个方向:一种是TippingPoint提出的并行处理检测;另一种是McAfee提出的协议重组分析(Radware、Juniper、ISS等主流厂家皆有类似技术 )。
所谓并行处理检测是指,所有流经IPS的数据包,都要被送入FPGA单元中进行过滤器(逻辑门)匹配。由于常用的过滤器超过2000个,为了提高效率,FPGA采用并行处理的方式,实现在一个时钟周期内,完成对数据包实现所有过滤器遍历。无疑,这样可以极大地提升IPS的处理速度,但必须实现FPGA的并行化。
而协议重组分析是指,所有流经IPS的数据包,首先经过硬件级别的预处理,这个预处理过程主要完成对数据包的重组,以便IPS能够看清楚具体的应用协议。在此基础上,IPS根据不同应用协议的特征与攻击方式,将重组后的包进行筛选,将一些可疑数据包送入专门的特征库进行比对。由于经过了筛选,可疑数据量大大减少,因此可以大幅度减少IPS处理的工作量,同时降低误报率,当然这个预处理的过程将会是重中之重。
McAfee安全顾问陈纲表示,无论采用那种实现方法,获得的效果是类似的。但用户需要关注的是,由于攻击方式的不断增长,过滤器或者特征库会不断增加,因此如果把所有的检测项目都启用,会给IPS性能造成极大挑战,也没有必要。
Juniper技术经理徐洪涛指出,合理的做法是,用户应该根据自己网络的状态,根据系统的寿命,来评估自己日常应用的攻击风险,选择适合自己的检测项目。
对于漏报,TippingPoint网络技术顾问李臻表示目前的主要问题有两点,一是因为过滤器编写粗糙造成的,例如仅仅是简单的根据特征字符串检索,就难以防御变种攻击
二是在某些繁忙时段,大量深度检测造成IPS设备的处理能力濒临极限,易造成系统混乱,形成漏报或误报。
另外,对于用户关心较多的防御DoS攻击的问题,当前主流IPS厂家的做法分为两类(以SYN flood为例):
第一类是采用SYN Proxy(也可以采用SYN Cookie)的方式。在这种方式中,IPS设备中会设置一个SYN Proxy做代理,当外来的TCP SYN需要和企业Web服务器(或者数据库服务器)建立连接的时候,IPS中的SYN Proxy会首先和外来TCP SYN建立连接,同时发送SYN ack帧。如果是真实的外部用户访问,则会回复一个Ack响应帧。当SYN Proxy收到响应后,就会认为三次握手成功,同时把连接中继给企业的Web服务器;但如果是SYN flood攻击的半开连接,由于没有响应回复,就会被TCP Reset。如果攻击者利用大面积僵尸网络发起攻击,则会存在大量的真实连接,这就要求IPS必须分配给SYN Proxy或SYN Cookie功能模块的处理资源足够多(不可能无限大)。
第二类是采用深度学习方式。首先IPS设备在in line使用前,先作为off line状态进行流量学习。学习的目的是统计分析企业网的正常流量、常见外部访问地址等信息,并将这些信息建立一个散列表。此后将IPS设为正常使用,这样即便遇到大量的僵尸网络攻击,IPS也可以根据日常学习的结果,优先保证常见外部地址的访问,缓解攻击的影响。
Radware资深工程师滕昕表示,对于DoS的防御,用户也要根据自己的实际情况作出选择。如果用户面临的威胁很大,甚至是经常遭受团体攻击行为,则用户需要具有大量CPU周期资源和大量内存空间的IPS或防火墙来应对。因为在IPv4阶段,只有凭借大量的SYN IO能力,才能最大程度缓解攻击的影响。
    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章