一、深層防御必須實(shí)現(xiàn)精確阻斷
縱觀當(dāng)前網(wǎng)絡(luò)安全的局勢(shì),可以用兩個(gè)“日益”來(lái)總結(jié),一是攻擊日益增多,另一個(gè)是手段日益復(fù)雜。據(jù)統(tǒng)計(jì)數(shù)據(jù)顯示,70%以上的攻擊行為暴露在應(yīng)用層,我們稱之為深層攻擊行為。這種攻擊行為有如下特點(diǎn):
第一:攻擊種類出現(xiàn)頻率高,攻擊手段出現(xiàn)速度快。最近的ANI蠕蟲(chóng)在出現(xiàn)的第一天就產(chǎn)生了5個(gè)變種,著名的灰鴿子病毒則有多達(dá)10000多種的變種;而微軟在發(fā)布某些漏洞公告時(shí),有人幾分鐘后就寫(xiě)出了攻擊代碼。
第二:攻擊過(guò)程隱蔽。文件捆綁、文件偽裝、跨站腳本攻擊,看似正常的操作,卻使得系統(tǒng)受感染,業(yè)務(wù)遭損失。此外越來(lái)越多的網(wǎng)絡(luò)應(yīng)用也增加了攻擊判斷的難度。
在這種背景下,在線部署,實(shí)時(shí)分析網(wǎng)絡(luò)傳輸數(shù)據(jù)的入侵防御系統(tǒng)(IPS:Instruction Prevention System)應(yīng)運(yùn)而生。作為在線部署的設(shè)備,精確的判斷攻擊并及時(shí)阻斷是入侵防御系統(tǒng)的前提:沒(méi)有實(shí)現(xiàn)對(duì)攻擊行為的準(zhǔn)確判斷,誤阻斷了正常業(yè)務(wù)或者是沒(méi)有阻斷隱藏的、變形的攻擊行為,都將給客戶帶來(lái)巨大的損失。可以說(shuō),精確阻斷水平是衡量入侵防御系統(tǒng)能力的關(guān)鍵指標(biāo)。
二、天清IPS以精確阻斷領(lǐng)跑業(yè)界
啟明星辰公司依托多年在入侵檢測(cè)和攻防技術(shù)研究方面積累的豐富經(jīng)驗(yàn),自主研發(fā)并推出了在精確檢測(cè)和阻斷技術(shù)領(lǐng)域具有國(guó)際領(lǐng)先水平的天清入侵防御系統(tǒng)。
針對(duì)上面提到的深層攻擊的特點(diǎn),天清入侵防御系統(tǒng)是如何應(yīng)對(duì)的呢?
1. 專業(yè)化組織團(tuán)隊(duì)保障對(duì)攻擊的及時(shí)響應(yīng)和準(zhǔn)確識(shí)別
不了解攻擊技術(shù)的最新發(fā)展,就談不上對(duì)入侵的有效防范。為了了解黑客活動(dòng)的前沿狀況,把握攻擊技術(shù)的動(dòng)態(tài)發(fā)展,深化對(duì)攻擊行為的本質(zhì)分析,預(yù)防突然襲擊并以最快速度判斷最新攻擊手段,啟明星辰專門(mén)建立了積極防御實(shí)驗(yàn)室(AD-LAB),在第一時(shí)間獲得各種信息安全事件,進(jìn)行漏洞的研究,同時(shí)研究利用漏洞入侵的原理和特征,對(duì)此特征進(jìn)行清晰的描述,用于判斷攻擊行為;對(duì)于無(wú)法特征化的攻擊行為,將由啟明星辰的網(wǎng)絡(luò)安全博士后工作站進(jìn)行相關(guān)研究,實(shí)現(xiàn)基于原理的攻擊檢測(cè)算法。
2. 動(dòng)靜融合的柔性檢測(cè)機(jī)制擴(kuò)大了精確阻斷的覆蓋面
我們知道常用的攻擊檢測(cè)方法有兩種,一種方法是通過(guò)定義攻擊行為的數(shù)據(jù)特征來(lái)實(shí)現(xiàn)對(duì)已知攻擊的檢測(cè),其優(yōu)勢(shì)是技術(shù)上實(shí)現(xiàn)簡(jiǎn)單、易于擴(kuò)充、可迅速實(shí)現(xiàn)對(duì)特定新攻擊的檢測(cè)和攔截;但僅能識(shí)別已知攻擊、抗變種能力弱。另一種方法是通過(guò)分析攻擊產(chǎn)生原理,定義攻擊類型的統(tǒng)一特征,能準(zhǔn)確識(shí)別基于相同原理的各種攻擊、不受攻擊變種的影響,但技術(shù)門(mén)檻高、擴(kuò)充復(fù)雜、應(yīng)對(duì)新攻擊速度有限(詳見(jiàn)圖一)。
 |
 |
通過(guò)運(yùn)用柔性檢測(cè)機(jī)制,天清IPS進(jìn)一步增強(qiáng)了設(shè)備的抗躲避能力、精確阻斷能力、變形攻擊識(shí)別能力和對(duì)新攻擊應(yīng)變能力,提高了精確檢測(cè)覆蓋面。
3. 多種相關(guān)技術(shù)提升精確識(shí)別能力
在天清入侵防御的產(chǎn)品設(shè)計(jì)中,啟明星辰采用多種擁有專利的高效檢測(cè)技術(shù),如VFPR (Venus Fast Protocol Recognition)、基于原理的SQL注入檢測(cè)等,將天清IPS的精確阻斷能力提升至國(guó)際領(lǐng)先水平。
VFPR協(xié)議自識(shí)別方法采用協(xié)議指紋驗(yàn)證方法,對(duì)采用非常規(guī)端口的協(xié)議進(jìn)行自動(dòng)的識(shí)別。
SQL注入檢測(cè)技術(shù),則是啟明星辰專業(yè)團(tuán)隊(duì)通過(guò)對(duì)SQL注入攻擊進(jìn)行大量研究后實(shí)現(xiàn)的針對(duì)原理的攻擊檢測(cè)技術(shù),該技術(shù)大大提高了對(duì)SQL注入攻擊的防御能力。
除此以外,天清入侵防御系統(tǒng)還采用任務(wù)與虛擬CPU綁定的技術(shù),消除并行處理的等待和切換時(shí)間;基于任務(wù)特點(diǎn)合理分配、高效利用硬件資源,根據(jù)分析任務(wù)特征自動(dòng)選擇最優(yōu)算法,提升匹配效率;其微秒級(jí)的分析時(shí)延,完全可以適應(yīng)電信級(jí)用戶網(wǎng)絡(luò)環(huán)境需求。
在網(wǎng)絡(luò)應(yīng)用越來(lái)越廣泛、各種類型的攻擊行為層出不窮的時(shí)代,天清入侵防御系統(tǒng)這種深層安全防護(hù)產(chǎn)品,必將在確保業(yè)務(wù)系統(tǒng)的永續(xù)運(yùn)行和保護(hù)網(wǎng)絡(luò)安全方面起到重要的、不可替代的作用。
