当网络攻击行为演变为一种大众化的网络方式时,多样的攻击手段被一个操作简单、可任意下载的攻击工具集成,网络攻击的成本和门槛可变得忽略不计的时候,众多企业的信息化资产常常处于任人宰割的危险境地,而真正危险的是,还不知道如何去解决。
IPS产品的出现,为企业信息化安全提供了高效、智能的解决方案。多样化的攻击手段和攻击种类,导致传统的网络安全设备,无法单一应对这些威胁。通俗来讲,如果把防火墙比喻成防盗门、IDS比喻成摄像头,那么IPS应该是扮演保安的角色,拥有更多是主动性和人工智能。
IPS早在2005年就出现在国内市场上,随着IPS产品日益增多,用户的选择余地也越来越多,到底什么样的IPS产品才是用户真正需要的?其实,仔细倾听用户的需求,再回顾网络攻击历史和当前网络攻击的手段,就可以找到答案。
IPS作为网关级产品,必须拥有高效网络数据通信处理性能,保证用户正常业务的带宽,同时对网络流量中的攻击行为、带宽滥用等有害流量进行精准的检测和阻断。简而言之,就是高性能前提下的应用数据流无损化保障。
天融信的TopIDP产品为了突破IPS产品的性能瓶径,采用了先进的RMI 8核32线程处理器的专业硬件平台,将并行多线程微码处理技术成功融入到自主知识产权TOS(Topsec Operating System)系统之中。在物理的多核基础上,虚拟大量的应用协议分析模块,形成先进的并行多线程微码处理架构技术体系,提高了产品的性能
虽然IPS产品需要高性能来满足用户的网络数据处理要求,但是同时也要保证用户的网络不会受到入侵的攻击,这也是IPS产品的在网络安全上的价值所在。现有的IPS产品中,决大部分产品属于单包过滤产品,他们的特点是拥有高性能的处理,却牺牲了攻击检测阻断的准确性。而在当前流行的网络攻击方式和种类是逐步向网络上层延伸,攻击行为常常掩藏在7层应用的数据流中,大量的攻击数据流都是封装在标准的应用协议数据流中,通过通用的端口,进行伪装,欺骗无法流重组和协议分析的IPS产品。而基于单个数据包检测的IPS产品更是无法有效抵御TCP流分段重叠的攻击,很多的攻击行为通过TCP流分段组合即可轻松穿透这种引擎,在受保护的目标服务器上形成真正的攻击。犹如蒸馏水里混合了自来水,颜色都一样,简单的目视色差分析,并不能真正解决问题。
这就需要IPS产品不仅应该在网络层和传输层上要分析和跟踪TCP、UDP、ICMP、IP等协议,通过对这些协议的准确性校验,来判定起始流的封装。更重要的是对HTTP、SMTP、POP3、FTP、TFTP、SNMP、HTTPS Telnet、HTTPS、DNS、RPC、LDAP、QQ、ICQ、MSN、Yahoo Messenger等多种常见应用层协议的合法性分析。天融信的TopIDP技术可以深度感知并检测流经的数据,对于TCP流分段重叠进行完整和合法性校验,基于目标设备的操作系统进行准确的的流重组检测。该检测引擎首先对到达的TCP数据包按照其目标服务器主机的操作系统类型进行流重组,然后对重组后的完整数据进行攻击检测,从而从根源上彻底阻断了TCP流分段重叠攻击行为,彻底实现在应用层中将有害流量从正常业务中分离。
IPS产品无论采用哪种技术,目的都是为了确保提升检测的性能和准确性,最大程度的保护用户的网络系统。从目前产品的发展来看,IPS产品的发展前景还是很值得期待的,如果IPS产品能够突破原来的一些瓶颈问题,应该能更好地解决用户的网络安全入侵问题。
(标注:作者吴亚飙现为天融信总工程师)
未经允许不得转载:DOIT » 使用新技术提升 IPS检测的性能和准确性
