3.1 串行防御和免疫防護(hù)
天清入侵防御系統(tǒng)支持串行接入模式,串接在網(wǎng)絡(luò)當(dāng)中,以邊界防護(hù)設(shè)備的形式接入網(wǎng)絡(luò),任何對(duì)受保護(hù)網(wǎng)絡(luò)的訪問(wèn)數(shù)據(jù)都將穿過(guò)天清入侵防御引擎。其標(biāo)準(zhǔn)的接入方式如下圖所示:
![]() |
串接模式的部署 |
和入侵檢測(cè)設(shè)備不同的串接模式,使實(shí)時(shí)防御成為可能。與基于靜態(tài)規(guī)則進(jìn)行邊界防護(hù)的防火墻相比,入侵防御系統(tǒng)可以實(shí)現(xiàn)動(dòng)態(tài)的深層次的防御,具體如下圖:
![]() |
防火墻和IPS的不同阻斷 |
在發(fā)現(xiàn)攻擊行為之后,天清入侵防御系統(tǒng)可以主動(dòng)的阻斷這些攻擊行為,對(duì)內(nèi)部網(wǎng)絡(luò)的系統(tǒng)實(shí)現(xiàn)免疫防護(hù)。即使內(nèi)部系統(tǒng)存在相應(yīng)的風(fēng)險(xiǎn)漏洞也可以由入侵防御引擎來(lái)將實(shí)現(xiàn)先于攻擊達(dá)成的防護(hù)。
3.2 高效的數(shù)據(jù)處理性能
正如很多邊界防護(hù)設(shè)備一樣,串行的接入模式需要面對(duì)的一個(gè)主要問(wèn)題是如何使設(shè)備不成為網(wǎng)絡(luò)傳輸?shù)钠款i。天清入侵防御系統(tǒng)采用了如下先進(jìn)技術(shù)確保其具有高效的傳輸性能:
POLL技術(shù):在通常的系統(tǒng)中,數(shù)據(jù)處理都是采用中斷響應(yīng)機(jī)制來(lái)進(jìn)行的。采用中斷在數(shù)據(jù)包較少的情況下,是一個(gè)比較好的解決方案,但在數(shù)據(jù)量較大的情況下,尤其是在千兆級(jí)環(huán)境下,處理大量中斷所消耗的系統(tǒng)資源是相當(dāng)可觀的,我們?cè)谶@里采用了輪詢方式的POLL技術(shù),CPU一直保持工作狀態(tài),而并且等待喚醒狀態(tài),以節(jié)約在大數(shù)據(jù)量情況下的CPU開銷。在對(duì)數(shù)據(jù)包的轉(zhuǎn)發(fā)中采用POLL技術(shù),可以確保較低的傳輸時(shí)延。
驅(qū)動(dòng)的內(nèi)部無(wú)鎖技術(shù):常見的數(shù)據(jù)結(jié)構(gòu)有這么三種:堆棧、隊(duì)列和樹。在不同的情況下,采用不同的數(shù)據(jù)結(jié)構(gòu),我們對(duì)捕獲后的數(shù)據(jù)的存儲(chǔ)方式采用的是環(huán)狀隊(duì)列,也就是說(shuō),無(wú)需等待中斷,隨時(shí)都可以從存儲(chǔ)空間中實(shí)時(shí)獲得可進(jìn)行分析的數(shù)據(jù),
自適應(yīng)的CPU負(fù)載均衡技術(shù):我們將每一個(gè)實(shí)際的CPU都虛擬成了多個(gè)虛擬的CPU,分別用于處理不同的事務(wù):分別處理中斷、檢測(cè)和通訊等。
以上這三項(xiàng)技術(shù)的協(xié)同應(yīng)用,使得天清入侵防御系統(tǒng)在數(shù)據(jù)包的處理性能方面有著出眾的表現(xiàn)。其微秒級(jí)的分析時(shí)延,完全可以適應(yīng)電信級(jí)用戶網(wǎng)絡(luò)環(huán)境需求。
3.3 權(quán)威性的檢測(cè)特征庫(kù)
啟明星辰認(rèn)為,基于誤用的檢測(cè)方法要達(dá)到精確檢測(cè)其核心之一就是檢測(cè)特征(signature)提取的準(zhǔn)確性,構(gòu)造一個(gè)好的入侵防御系統(tǒng),依賴于能否準(zhǔn)確地提取和描述檢測(cè)特征。特別是在串行環(huán)境下,明晰而精確的檢測(cè)特征將會(huì)是決定保護(hù)措施優(yōu)劣的重要砝碼。
天清入侵防御系統(tǒng)在提煉檢測(cè)特征的時(shí)候采用了如下兩種方式:
方式A:基于漏洞機(jī)理的分析方法。
利用漏洞機(jī)理的方法來(lái)提取和定義特征,可以實(shí)現(xiàn)檢測(cè)和具體攻擊工具的無(wú)關(guān)性,特別對(duì)于防止新型變種的攻擊和攻擊工具改造非常有效。
方式B:基于攻擊過(guò)程的分析方法。
攻擊過(guò)程分析法則是完全站在攻擊者的角度,破析完整的攻擊過(guò)程,可以判斷攻擊是處在攻擊嘗試階段還是已經(jīng)攻擊成功。
另外,天清入侵防御系統(tǒng)中對(duì)檢測(cè)特征的定義都是通過(guò)統(tǒng)一的標(biāo)準(zhǔn)化VT++語(yǔ)言來(lái)描述,VT++語(yǔ)言的使用,不但保證了特征的快速更新,還向用戶提供了便于自行定義檢測(cè)特征的接口,從而擴(kuò)充了檢測(cè)內(nèi)容和范圍。
天清入侵防御系統(tǒng)的檢測(cè)防御規(guī)則庫(kù)全面兼容CVE和CNCVE,對(duì)用戶而言,提供了更詳細(xì)了解網(wǎng)絡(luò)中發(fā)生行為的機(jī)會(huì)。
共3頁(yè): 1 [2] [3] 下一頁(yè) | |||||
|