|
使用新技术提升 IPS检测的性能和准确性当网络攻击行为演变为一种大众化的网络方式时,多样的攻击手段被一个操作简单、可任意下载的攻击工具集成,网络攻击的成本和门槛可变得忽略不计的时候,众多企业的信息化资产常常处于任人宰割的危险境地,而真正危险的是,还不知道如何去解决。 IPS产品的出现,为企业信息化安全提供了高效、智能的解决方案。多样化的攻击手段和攻击种类,导致传统的网络安全设备,无法单一应对这些威胁。通俗来讲,如果把防火墙比喻成防盗门、IDS比喻成摄像头,那么IPS应该是扮演保安的角色,拥有更多是主动性和人工智能。 IPS早在2005年就出现在国内市场上,随着IPS产品日益增多,用户的选择余地也越来越多,到底什么样的IPS产品才是用户真正需要的?其实,仔细倾听用户的需求,再回顾网络攻击历史和当前网络攻击的手段,就可以找到答案。 IPS作为网关级产品,必须拥有高效网络数据通信处理性能,保证用户正常业务的带宽,同时对网络流量中的攻击行为、带宽滥用等有害流量进行精准的检测和阻断。简而言之,就是高性能前提下的应用数据流无损化保障。 天融信的TopIDP产品为了突破IPS产品的性能瓶径,采用了先进的RMI 8核32线程处理器的专业硬件平台,将并行多线程微码处理技术成功融入到自主知识产权TOS(Topsec Operating System)系统之中。在物理的多核基础上,虚拟大量的应用协议分析模块,形成先进的并行多线程微码处理架构技术体系,提高了产品的性能
图1 虽然IPS产品需要高性能来满足用户的网络数据处理要求,但是同时也要保证用户的网络不会受到入侵的攻击,这也是IPS产品的在网络安全上的价值所在。现有的IPS产品中,决大部分产品属于单包过滤产品,他们的特点是拥有高性能的处理,却牺牲了攻击检测阻断的准确性。而在当前流行的网络攻击方式和种类是逐步向网络上层延伸,攻击行为常常掩藏在7层应用的数据流中,大量的攻击数据流都是封装在标准的应用协议数据流中,通过通用的端口,进行伪装,欺骗无法流重组和协议分析的IPS产品。而基于单个数据包检测的IPS产品更是无法有效抵御TCP流分段重叠的攻击,很多的攻击行为通过TCP流分段组合即可轻松穿透这种引擎,在受保护的目标服务器上形成真正的攻击。犹如蒸馏水里混合了自来水,颜色都一样,简单的目视色差分析,并不能真正解决问题。 这就需要IPS产品不仅应该在网络层和传输层上要分析和跟踪TCP、UDP、ICMP、IP等协议,通过对这些协议的准确性校验,来判定起始流的封装。更重要的是对HTTP、SMTP、POP3、FTP、TFTP、SNMP、HTTPS Telnet、HTTPS、DNS、RPC、LDAP、QQ、ICQ、MSN、Yahoo Messenger等多种常见应用层协议的合法性分析。天融信的TopIDP技术可以深度感知并检测流经的数据,对于TCP流分段重叠进行完整和合法性校验,基于目标设备的操作系统进行准确的的流重组检测。该检测引擎首先对到达的TCP数据包按照其目标服务器主机的操作系统类型进行流重组,然后对重组后的完整数据进行攻击检测,从而从根源上彻底阻断了TCP流分段重叠攻击行为,彻底实现在应用层中将有害流量从正常业务中分离。
图2 IPS产品无论采用哪种技术,目的都是为了确保提升检测的性能和准确性,最大程度的保护用户的网络系统。从目前产品的发展来看,IPS产品的发展前景还是很值得期待的,如果IPS产品能够突破原来的一些瓶颈问题,应该能更好地解决用户的网络安全入侵问题。 (标注:作者吴亚飙现为天融信总工程师) 责编: 微信扫一扫实时了解行业动态 微信扫一扫分享本文给好友 著作权声明:畅享网文章著作权分属畅享网、网友和合作伙伴,部分非原创文章作者信息可能有所缺失,如需补充或修改请与我们联系,工作人员会在1个工作日内配合处理。 |
最新专题 |
|