動(dòng)態(tài)威脅防御系統(tǒng)對(duì)網(wǎng)絡(luò)中每一個(gè)包進(jìn)行檢測(cè),通過(guò)使用先進(jìn)的檢測(cè)技術(shù)完成行為檢查、完全內(nèi)容重組、深層包檢查、啟發(fā)式掃描和異常檢測(cè)。
啟發(fā)式掃描攻守自如
檢測(cè)未知病毒是通過(guò)復(fù)雜的啟發(fā)式掃描技術(shù)來(lái)進(jìn)行的,這些技術(shù)需要用到文件頭和實(shí)際的包內(nèi)容來(lái)完成。相關(guān)的掃描技術(shù)包括:文件分析、蠕蟲檢測(cè)、文件類型分析、特征檢查和啟發(fā)式檢查。
文件分析模塊用于識(shí)別與HTTP、FTP、POP3等數(shù)據(jù)流有關(guān)的文件類型。
蠕蟲檢查模塊對(duì)文件流進(jìn)行多項(xiàng)檢查。
文件類型分析模塊對(duì)已知的文件類型使用專門的規(guī)則和策略檢測(cè)相關(guān)的已知威脅。
特征檢查模塊以硬件加速的優(yōu)勢(shì),用上萬(wàn)個(gè)已知的特征,用于掃描已知的威脅。
啟發(fā)式檢測(cè)模塊會(huì)對(duì)包頭和可移植可執(zhí)行文件的引入段作進(jìn)一步檢測(cè)。
通過(guò)調(diào)整動(dòng)態(tài)威脅防御系統(tǒng)所有的掃描和檢測(cè)功能,用戶對(duì)已知和未知威脅的攻擊可確保最高的檢測(cè)率。
異常檢測(cè)隨機(jī)應(yīng)變
動(dòng)態(tài)威脅防御系統(tǒng)的入侵檢測(cè)/防御異常檢測(cè)體系結(jié)構(gòu)如圖1所示。異常檢測(cè)技術(shù)是通過(guò)分析整個(gè)數(shù)據(jù)包進(jìn)行的,它遠(yuǎn)比基于特征的IDS更強(qiáng)。通過(guò)分別運(yùn)用6個(gè)完全內(nèi)容重組和關(guān)聯(lián)的檢測(cè)過(guò)程和動(dòng)態(tài)威脅防御系統(tǒng),會(huì)話信息被密切地跟蹤和仔細(xì)的分析,以檢測(cè)出最新冒出的威脅和未知的“零小時(shí)”(zero-hour)攻擊。這些攻擊包括蠕蟲和木馬等。先進(jìn)的入侵檢測(cè)/防御技術(shù)包括:狀態(tài)檢測(cè)、內(nèi)容重組、通信協(xié)議檢測(cè)、應(yīng)用協(xié)議檢測(cè)、內(nèi)容檢測(cè)、行為檢測(cè)。
狀態(tài)檢測(cè)引擎跟蹤每一個(gè)經(jīng)過(guò)Fortinet安全平臺(tái)會(huì)話的所有通信層——包括基于連接和非基于連接的協(xié)議。
內(nèi)容重組模塊重組所有的數(shù)據(jù)包,以保證包能以正確的順序排列。 通信協(xié)議檢測(cè)引擎保證協(xié)議確實(shí)是有效的,包括TCP、UDP、ICMP等。
應(yīng)用協(xié)議檢測(cè)引擎通過(guò)對(duì)協(xié)議頭數(shù)值的有效驗(yàn)證,確保協(xié)議頭符合合法的語(yǔ)法和語(yǔ)義。
內(nèi)容檢測(cè)模塊使用復(fù)雜的評(píng)估系統(tǒng)和會(huì)話行為模板來(lái)進(jìn)行深度包分析。
行為檢測(cè)模塊通過(guò)將雙向會(huì)話信息的關(guān)聯(lián)、數(shù)據(jù)信息、通道信息、控制信息、活動(dòng)會(huì)話和僵尸會(huì)話信息進(jìn)行集中分析,將異常檢測(cè)帶到一個(gè)新的水平。隨著流量信息的積累,系統(tǒng)開發(fā)出正常流量模板知識(shí),當(dāng)有不良和異常流量流經(jīng)Fortinet安全平臺(tái),它們會(huì)很快被識(shí)別并阻擋。
動(dòng)態(tài)威脅防御系統(tǒng)將各種檢測(cè)過(guò)程關(guān)聯(lián)在一起,可以很好的檢測(cè)各種已知和未知的攻擊。
整體聯(lián)動(dòng)解決方案
當(dāng)前安全產(chǎn)品的發(fā)展理念出現(xiàn)兩種不同方向:一種是將多個(gè)廠商的技術(shù)組合在一起構(gòu)成統(tǒng)一威脅管理產(chǎn)品,另一種是融合多種設(shè)備功能于一體,并根據(jù)這一理念創(chuàng)造了網(wǎng)絡(luò)安全平臺(tái)。而后者正為更多的用戶所接受。
為了確保安全平臺(tái)能使用最新的防病毒和攻擊特征、啟發(fā)式掃描和異常檢測(cè)引擎,建立全球防護(hù)服務(wù)網(wǎng)絡(luò)體系,保障及時(shí)自動(dòng)更新升級(jí)也是整體方案的重要組成部分。
2004年,美國(guó)Fortinet (飛塔) 公司被國(guó)際研究機(jī)構(gòu)IDC證實(shí)為統(tǒng)一威脅管理(UTM)安全產(chǎn)品市場(chǎng)的引領(lǐng)者。 其全系列FortiGate安全平臺(tái)具有基于狀態(tài)檢測(cè)的防病毒、間諜軟件、IDS、IPS、反垃圾郵件、Web內(nèi)容過(guò)濾、帶寬管理等技術(shù),配合有日志和報(bào)告系統(tǒng),建有全球服務(wù)網(wǎng)絡(luò)體系,提供了一個(gè)完整的深層次安全解決方案,能對(duì)抗最新社會(huì)工程陷阱和混合型威脅,實(shí)現(xiàn)保障各種規(guī)模的有線和無(wú)線網(wǎng)絡(luò)的安全。
入侵檢測(cè)/防御異常檢測(cè)體系結(jié)構(gòu)
