IPS面临市场考验 精确阻断水平成关键

作者: mxh 出处:51CTO.com　2007-07-05 10:33　   砖    好    评论  条 　进入论坛

阅读提示：在网络应用越来越广泛、各种类型的攻击行为层出不穷的时代，天清入侵防御系统这种深层安全防护产品，必将在确保业务系统的永续运行和保护网络安全方面起到重要的、不可替代的作用。

一、深层防御必须实现精确阻断
纵观当前网络安全的局势，可以用两个“日益”来总结，一是攻击日益增多，另一个是手段日益复杂。据统计数据显示，70%以上的攻击行为暴露在应用层，我们称之为深层攻击行为。这种攻击行为有如下特点：
第一：攻击种类出现频率高，攻击手段出现速度快。最近的ANI蠕虫在出现的第一天就产生了5个变种，著名的灰鸽子病毒则有多达10000多种的变种；而微软在发布某些漏洞公告时，有人几分钟后就写出了攻击代码。
第二：攻击过程隐蔽。文件捆绑、文件伪装、跨站脚本攻击，看似正常的操作，却使得系统受感染，业务遭损失。此外越来越多的网络应用也增加了攻击判断的难度。
在这种背景下，在线部署，实时分析网络传输数据的入侵防御系统（IPS：Instruction Prevention System）应运而生。作为在线部署的设备，精确的判断攻击并及时阻断是入侵防御系统的前提：没有实现对攻击行为的准确判断，误阻断了正常业务或者是没有阻断隐藏的、变形的攻击行为，都将给客户带来巨大的损失。可以说，精确阻断水平是衡量入侵防御系统能力的关键指标。

二、天清IPS以精确阻断领跑业界
启明星辰公司依托多年在入侵检测和攻防技术研究方面积累的丰富经验，自主研发并推出了在精确检测和阻断技术领域具有国际领先水平的天清入侵防御系统。
针对上面提到的深层攻击的特点，天清入侵防御系统是如何应对的呢？
1. 专业化组织团队保障对攻击的及时响应和准确识别
不了解攻击技术的最新发展，就谈不上对入侵的有效防范。为了了解黑客活动的前沿状况，把握攻击技术的动态发展，深化对攻击行为的本质分析，预防突然袭击并以最快速度判断最新攻击手段，启明星辰专门建立了积极防御实验室(AD-LAB)，在第一时间获得各种信息安全事件，进行漏洞的研究，同时研究利用漏洞入侵的原理和特征，对此特征进行清晰的描述，用于判断攻击行为；对于无法特征化的攻击行为，将由启明星辰的网络安全博士后工作站进行相关研究，实现基于原理的攻击检测算法。
2. 动静融合的柔性检测机制扩大了精确阻断的覆盖面
我们知道常用的攻击检测方法有两种，一种方法是通过定义攻击行为的数据特征来实现对已知攻击的检测，其优势是技术上实现简单、易于扩充、可迅速实现对特定新攻击的检测和拦截；但仅能识别已知攻击、抗变种能力弱。另一种方法是通过分析攻击产生原理，定义攻击类型的统一特征，能准确识别基于相同原理的各种攻击、不受攻击变种的影响，但技术门槛高、扩充复杂、应对新攻击速度有限（详见图一）。

启明星辰经过多年潜心研究，将动态检测与静态检测融合，消除各自刚性，形成了一种 “柔性检测”机制。它最大的特点就是基于原理的检测方法与基于特征的检测方法并存，有机组合了两种检测方法的优势。这种融合不仅是一个两种检测方法的大融合，而且细分到对攻击检测防御的每一个过程中，在抗躲避的处理、协议分析、攻击识别等过程中都包含了动态与静态检测的融合（详见图二）。

通过运用柔性检测机制，天清IPS进一步增强了设备的抗躲避能力、精确阻断能力、变形攻击识别能力和对新攻击应变能力，提高了精确检测覆盖面。
3. 多种相关技术提升精确识别能力
在天清入侵防御的产品设计中，启明星辰采用多种拥有专利的高效检测技术，如VFPR (Venus Fast Protocol Recognition)、基于原理的SQL注入检测等，将天清IPS的精确阻断能力提升至国际领先水平。
VFPR协议自识别方法采用协议指纹验证方法，对采用非常规端口的协议进行自动的识别。
SQL注入检测技术，则是启明星辰专业团队通过对SQL注入攻击进行大量研究后实现的针对原理的攻击检测技术，该技术大大提高了对SQL注入攻击的防御能力。
除此以外，天清入侵防御系统还采用任务与虚拟CPU绑定的技术，消除并行处理的等待和切换时间；基于任务特点合理分配、高效利用硬件资源，根据分析任务特征自动选择最优算法，提升匹配效率；其微秒级的分析时延，完全可以适应电信级用户网络环境需求。

在网络应用越来越广泛、各种类型的攻击行为层出不穷的时代，天清入侵防御系统这种深层安全防护产品，必将在确保业务系统的永续运行和保护网络安全方面起到重要的、不可替代的作用。