圖1
雖然IPS產(chǎn)品需要高性能來滿足用戶的網(wǎng)絡(luò)數(shù)據(jù)處理要求��,但是同時也要保證用戶的網(wǎng)絡(luò)不會受到入侵的攻擊�����,這也是IPS產(chǎn)品的在網(wǎng)絡(luò)安全上的價值所在?��,F(xiàn)有的IPS產(chǎn)品中����,決大部分產(chǎn)品屬于單包過濾產(chǎn)品����,他們的特點是擁有高性能的處理,卻犧牲了攻擊檢測阻斷的準確性���。而在當前流行的網(wǎng)絡(luò)攻擊方式和種類是逐步向網(wǎng)絡(luò)上層延伸�����,攻擊行為常常掩藏在7層應(yīng)用的數(shù)據(jù)流中��,大量的攻擊數(shù)據(jù)流都是封裝在標準的應(yīng)用協(xié)議數(shù)據(jù)流中����,通過通用的端口�,進行偽裝,欺騙無法流重組和協(xié)議分析的IPS產(chǎn)品����。而基于單個數(shù)據(jù)包檢測的IPS產(chǎn)品更是無法有效抵御TCP流分段重疊的攻擊,很多的攻擊行為通過TCP流分段組合即可輕松穿透這種引擎��,在受保護的目標服務(wù)器上形成真正的攻擊���。猶如蒸餾水里混合了自來水�,顏色都一樣�����,簡單的目視色差分析����,并不能真正解決問題���。
這就需要IPS產(chǎn)品不僅應(yīng)該在網(wǎng)絡(luò)層和傳輸層上要分析和跟蹤TCP、UDP��、ICMP����、IP等協(xié)議,通過對這些協(xié)議的準確性校驗���,來判定起始流的封裝����。更重要的是對HTTP�����、SMTP����、POP3、FTP����、TFTP�、SNMP���、HTTPS Telnet�、HTTPS�、DNS、RPC����、LDAP���、QQ�����、ICQ�、MSN�、Yahoo Messenger等多種常見應(yīng)用層協(xié)議的合法性分析。天融信的TopIDP技術(shù)可以深度感知并檢測流經(jīng)的數(shù)據(jù)��,對于TCP流分段重疊進行完整和合法性校驗�,基于目標設(shè)備的操作系統(tǒng)進行準確的的流重組檢測。該檢測引擎首先對到達的TCP數(shù)據(jù)包按照其目標服務(wù)器主機的操作系統(tǒng)類型進行流重組,然后對重組后的完整數(shù)據(jù)進行攻擊檢測��,從而從根源上徹底阻斷了TCP流分段重疊攻擊行為�,徹底實現(xiàn)在應(yīng)用層中將有害流量從正常業(yè)務(wù)中分離。
圖2
IPS產(chǎn)品無論采用哪種技術(shù)�����,目的都是為了確保提升檢測的性能和準確性���,最大程度的保護用戶的網(wǎng)絡(luò)系統(tǒng)�。從目前產(chǎn)品的發(fā)展來看���,IPS產(chǎn)品的發(fā)展前景還是很值得期待的�����,如果IPS產(chǎn)品能夠突破原來的一些瓶頸問題����,應(yīng)該能更好地解決用戶的網(wǎng)絡(luò)安全入侵問題�。
(標注:作者吳亞飆現(xiàn)為天融信總工程師)
