一、深層防御必須實現精確阻斷
縱觀當前網絡安全的局勢,可以用兩個“日益”來總結,一是攻擊日益增多,另一個是手段日益復雜。據統計數據顯示,70%以上的攻擊行為暴露在應用層,我們稱之為深層攻擊行為。這種攻擊行為有如下特點:
第一:攻擊種類出現頻率高,攻擊手段出現速度快。最近的ANI蠕蟲在出現的第一天就產生了5個變種,著名的灰鴿子病毒則有多達10000多種的變種;而微軟在發布某些漏洞公告時,有人幾分鐘后就寫出了攻擊代碼。
第二:攻擊過程隱蔽。文件捆綁、文件偽裝、跨站腳本攻擊,看似正常的操作,卻使得系統受感染,業務遭損失。此外越來越多的網絡應用也增加了攻擊判斷的難度。
在這種背景下,在線部署,實時分析網絡傳輸數據的入侵防御系統(IPS:Instruction Prevention System)應運而生。作為在線部署的設備,精確的判斷攻擊并及時阻斷是入侵防御系統的前提:沒有實現對攻擊行為的準確判斷,誤阻斷了正常業務或者是沒有阻斷隱藏的、變形的攻擊行為,都將給客戶帶來巨大的損失。可以說,精確阻斷水平是衡量入侵防御系統能力的關鍵指標。
二、天清IPS以精確阻斷領跑業界
啟明星辰公司依托多年在入侵檢測和攻防技術研究方面積累的豐富經驗,自主研發并推出了在精確檢測和阻斷技術領域具有國際領先水平的天清入侵防御系統。
針對上面提到的深層攻擊的特點,天清入侵防御系統是如何應對的呢?
1. 專業化組織團隊保障對攻擊的及時響應和準確識別
不了解攻擊技術的最新發展,就談不上對入侵的有效防范。為了了解黑客活動的前沿狀況,把握攻擊技術的動態發展,深化對攻擊行為的本質分析,預防突然襲擊并以最快速度判斷最新攻擊手段,啟明星辰專門建立了積極防御實驗室(AD-LAB),在第一時間獲得各種信息安全事件,進行漏洞的研究,同時研究利用漏洞入侵的原理和特征,對此特征進行清晰的描述,用于判斷攻擊行為;對于無法特征化的攻擊行為,將由啟明星辰的網絡安全博士后工作站進行相關研究,實現基于原理的攻擊檢測算法。
2. 動靜融合的柔性檢測機制擴大了精確阻斷的覆蓋面
我們知道常用的攻擊檢測方法有兩種,一種方法是通過定義攻擊行為的數據特征來實現對已知攻擊的檢測,其優勢是技術上實現簡單、易于擴充、可迅速實現對特定新攻擊的檢測和攔截;但僅能識別已知攻擊、抗變種能力弱。另一種方法是通過分析攻擊產生原理,定義攻擊類型的統一特征,能準確識別基于相同原理的各種攻擊、不受攻擊變種的影響,但技術門檻高、擴充復雜、應對新攻擊速度有限(詳見圖一)。
 |
 |
通過運用柔性檢測機制,天清IPS進一步增強了設備的抗躲避能力、精確阻斷能力、變形攻擊識別能力和對新攻擊應變能力,提高了精確檢測覆蓋面。
3. 多種相關技術提升精確識別能力
在天清入侵防御的產品設計中,啟明星辰采用多種擁有專利的高效檢測技術,如VFPR (Venus Fast Protocol Recognition)、基于原理的SQL注入檢測等,將天清IPS的精確阻斷能力提升至國際領先水平。
VFPR協議自識別方法采用協議指紋驗證方法,對采用非常規端口的協議進行自動的識別。
SQL注入檢測技術,則是啟明星辰專業團隊通過對SQL注入攻擊進行大量研究后實現的針對原理的攻擊檢測技術,該技術大大提高了對SQL注入攻擊的防御能力。
除此以外,天清入侵防御系統還采用任務與虛擬CPU綁定的技術,消除并行處理的等待和切換時間;基于任務特點合理分配、高效利用硬件資源,根據分析任務特征自動選擇最優算法,提升匹配效率;其微秒級的分析時延,完全可以適應電信級用戶網絡環境需求。
在網絡應用越來越廣泛、各種類型的攻擊行為層出不窮的時代,天清入侵防御系統這種深層安全防護產品,必將在確保業務系統的永續運行和保護網絡安全方面起到重要的、不可替代的作用。
