快讯
- 游泳也需音乐相伴!韶音OpenSwim Pro评测
- 又一款轻量化电竞
- 元气满满的充电之旅!铂陆帝商超活动嗨翻周末
- 雷柏机甲编码主题系列警戒线S-07图赏:以机械美感诠释潮流新理念桌搭!
- 更适合新手体质的枪战游戏,《无畏契约》开战!
- 现代与传统的融合之旅:贝尔金笔记本扩展坞体验
- 航天品质下的极速充电体验——航嘉G65 GaN快速充电器评测
- 有颜有实力的外设谁能不爱?来看雷柏商超巡演
- 新潮外设引爆全场!雷柏联合PC打造潮品酷玩趴
- 幻彩绚丽,玩趣十足!雷柏V700DIY键盘图赏
- U皇就该配板皇,超频玩家现身说法教你选主板
- 13代酷睿的超频利器,有好板才有好性能
- 全新升级,雷柏V20S RGB光学游戏鼠标2023版详解
- 马斯克30亿放“烟花”,民航故事为何值钱?
- 让露营生活更精致!铂陆帝户外电源AC180评测
- 惠威音响体验:音响中的艺术品,拥有好听的灵魂
- HiFi级音响用料 仙籁 N8音响专用交换机售2980元
- 高品质听音 仙籁 M1T 纯数字音乐播放器促销5000元
- 高质量音源 仙籁 B2网络数字音乐播放器促销3480元
- 纯白雅致的羽量级旗舰游戏外设—雷柏VT9白色版
- 游泳也需要音乐相伴!韶音新一代游泳耳机OpenSwim Pro评测12日
- 又一款轻量化电竞"神鼠"来袭!玄熊猫3395游戏鼠标今晚首发149元10日
- 元气满满的充电之旅!铂陆帝商超活动嗨翻周末27日
- 雷柏机甲编码主题系列警戒线S-07图赏:以机械美感诠释潮流新理念桌搭!24日
- 更适合新手体质的枪战游戏,《无畏契约》国服正式开战!20日
- 玩物近话论:现代科技与甘南秘境的融合之旅 贝尔金笔记本扩展坞体验14日
- 航天品质下的极速充电体验——航嘉G65 GaN快速充电器评测12日
- 有颜有实力的外设好物谁能不爱?雷柏点燃PCGROUP潮品商超巡演15日
- 新潮外设好物引爆全场!雷柏联合PCGROUP打造潮品酷玩趴15日
- 幻彩绚丽,玩趣十足!雷柏V700DIY热插拔机械键盘图赏10日
- U皇就该配板皇,超频玩家现身说法教你选主板26日
- 13代酷睿的超频利器,有好板才有好性能25日
- 全新升级 经典复刻 雷柏V20S RGB光学游戏鼠标2023版详解25日
- 马斯克30亿放“烟花”,民航故事为何值钱?23日
- 告别电量焦虑,让露营生活多一分精致!铂陆帝户外电源AC180开箱评测17日
- 惠威音响体验:音响中的艺术品,拥有好听的灵魂04日
- HiFi级音响用料 仙籁 N8音响专用交换机售2980元27日
- 高品质听音 仙籁 M1T 纯数字音乐播放器促销5000元27日
- 高质量音源 仙籁 B2网络数字音乐播放器促销3480元27日
- 纯白雅致的羽量级旗舰游戏外设——雷柏VT9双模无线游戏鼠标白色版上市23日
主动威胁防御 让网络更安全
2011-06-09 10:14 出处:PConline原创 作者:厂商稿 责任编辑:pcdongguan01
IPS的引擎设计的好坏是决定IPS入侵防御效果的核心,误报和漏洞是检验IPS引擎的两个关键指标。通常的IPS引擎和签名的设计和发布是慢于威胁和漏洞被发现的速度,有两大原因: 原因一:当前厂商的IPS引擎和签名主要还是基于攻击来设计; 原因二:漏洞的披露速度大幅提升,很多漏洞因此被称之为“零日漏洞”,“零时漏洞”,基于同一漏洞的攻击种类和攻击工具也各不相同。 因此通过发现攻击的特征来设计引擎和签名,往往让IPS的误报和漏报率明显较高,UTM中的IPS功能经常应为性能等其他的因素,检测略往往不被重视。 基于攻击的引擎 VS基于漏洞的引擎 所谓漏洞是指软件中的缺陷,这些缺陷可被恶意人员利用,形成攻击。一般漏洞被发现以后,会有一些组织如CVE和Bugtraq对这些漏洞进行编号跟踪。而签名则用于描述检测威胁所需要的特征。当一种攻击被发现以后,签名研究人员会对这个攻击进行特征的提取,一般有两种方法:基于具体攻击的(exploit-based)和基于漏洞(vulnerability-based)的。 所谓基于具体攻击,就是指一个攻击出现后,研究人员专门针对这个攻击的特征来编写签名,这类签名能够防御的范围非常狭窄,往往只能防御一种特定的攻击。要躲开这样的签名非常容易,只要把攻击中的特定字符串修改掉就行了。举一个简单的例子来说:如果有一个签名寻找“FUBAR123”这个特定字符串,那么只要修改一些大小写或者数字,比如“fUBAR124”,原先的签名就失效了。如果签名是基于某一种特定的攻击方法,那么攻击者只要稍微修改一下这个模式,就能完全躲开检测了。基于具体攻击的签名开发周期非常短,对研究人员的技能要求也相对较低,这使得很多厂商能够在很短时间内响应突发的新型攻击。 华为赛门铁克UTM+产品采用的是基于漏洞的签名技术。在这种方式下,研究人员同样也需要提取特征来编写签名,但是和基于具体攻击不一样的是——研究人员需要充分理解和掌握对应的漏洞的各种技术信息,并分析对应的已知和未知的攻击方式,然后才能提取出具备普遍性的特征。通过这种方式开发的签名,能够防御针对该漏洞的未知攻击,真正做到零日攻击防御。采用这种方式开发的签名还有一个优点,即可以让签名库整体规模在不损失检测能力的情况下保持在一个非常小的水平,从而降低引擎工作压力。基于漏洞的签名开发需要厂商具备非常资深的漏洞分析能力,目前只有少数厂商才具备该能力。 如何保护那些没有打过补丁的漏洞呢?主要思路其实很简单:就像一把钥匙开一把锁一样,只有特定特征的蠕虫才能攻陷一个漏洞。通过对攻击特征的分析提取出漏洞的特征,把这个特征作为标准模式对网络流量进行扫描,一旦发现网络流量中的攻击符合这个特征的内容,就对这个攻击进行拦截。基于漏洞的攻击关注的是漏洞的特征而不是蠕虫本身的特征,所以当一个新的蠕虫出现的时候,只要它是攻击某个漏洞的,我们就能够立刻阻挡它而不需要关注蠕虫的特征,因此基于漏洞的特征能有效抵御已知和未知的攻击。 通常情况下基于攻击的引擎,往往衡量IPS的核心指标是签名的数量,那么在基于漏洞引擎的设计下,它还是否是一个决定性的指标呢? 签名数量VS签名质量 签名数量一直以来被认为是判断IPS能力的重要指标。签名的数量越多,表明能覆盖的攻击越多,也表示厂商在该领域拥有更多的积累和研究。其实,夸大入侵防护(IPS)功能里的签名数量是太容易的事,很多厂商就在玩以这些数字为中心的市场宣传游戏;但实际上,和生活中的很多事情一样,IPS签名的质量远远比数量要重要得多。在某些场合下,一个可以支持签名数量最少的厂商恰恰是最好的选择。而那些使用基于具体攻击的、容易出误报的签名的IPS方案往往在签名整体数量上很好看,但是性能和有效性却不高。换句话说,IPS签名数量并不是衡量IPS产品好坏的有效指标。 华为赛门铁克深知IPS签名质量和相应速度的重要性,因此以更加全面和宽阔的视角来开发IPS签名。华赛的目标是通过关注和研究每个漏洞的潜在演进,坚持开发基于漏洞的签名,以让用户最少操心的方式,最迅速地将最新的保护能力提供给用户。编写签名采用的方法越是具备通用性,编写出来的签名越有可能不仅能保护现存的攻击,而且能保护未来新出现的针对已知漏洞或类似漏洞的变种攻击。 当应对一种新型威胁的响应时间非常重要的时候,我们也会选择编写一些基于攻击的签名。因为这确实是一个最容易的方法:既能快速推出对应的签名,又具备较低的现网误报风险。但是一旦有时间,这些基于具体攻击的签名就会被重新审视提炼,来确认是否能够优化,即以更加通用的方法来重写,使其能够防御更加广泛的攻击。 即使某些签名原本已经是基于漏洞的签名,华赛也会重新审视,看是否可以再次优化和合并,使其覆盖更多的漏洞。 华为赛门铁克UTM+提升业务价值 华为赛门铁克联合赛门铁克,一方面在全球范围内关注最新的病毒和威胁的发展动态,以保证拥有最快速的特征更新能力,及时防护已知的攻击;另一方面采用基于漏洞的攻击和威胁的检测技术,保证了不仅能够识别已知的攻击类型,也能对未知的攻击做出及时有效的响应;高质量的签名则保证了IPS的低误报。对于客户而言,在降低安全风险的同时,也因较低的误报率带来了良好的业务体验。 华为赛门铁克UTM+中的网络威胁防护技术,与传统IPS相比具有主动防御的能力:不仅能发现已知的威胁,也能发现未知的威胁,且在这些威胁进入网络之前就能有效拦截。 与反病毒被动响应保护机制不同的是,华为赛门铁克UTM+的网络威胁防护能够提供真正的主动防御保护,主要拥有以下四大特性: 第一,通过有效检测网络流量识别与基于漏洞特征的攻击,能抵御未修补的和零日漏洞。 第二,能有效防御基于Web 2.0和浏览器插件类型的攻击,还能拦击偷渡式下载,也能保护通用的Web应用程序的漏洞,如PDF reader。 第三,通过网络流量分析,能识别社会工程学型的攻击,如仿冒的恶意软件扫描页面、伪造的影视频解码组件和安装包,或者隐藏的执行文件等。 第四,可帮助识别并隔离已经受感染的系统,通过分析主机与网络中的僵尸网络的活动性,拦截主机到外部未知的恶意网站。 |
东莞行情
东莞活动
IT热词搜索
来源:360新闻
推广内容
汽车资讯
- 迅雷游戏中大冲锋提示主动防御失败怎么办
- UTM安全网关是什么
- iPhone Xs爆料简史 2天后多少传言被打脸?
- ofo开启割韭菜模式?小心退押金的这些坑
- 小编冒险实探“凶宅” 租房平台背后隐藏了什么
- 抖音神助攻追逃 警局的盒饭已给戏精逃犯热好
- 摩拜我劝你善良 被扣费的这些“坑”你掉过吗?
- 滴滴打车惊现计费外挂!你的钱都被安排上了
- 电信用户才能幸免?这漏洞能让你一夜倾家荡产
- 让肥宅无延迟见血小板 B站“强拆”了进度条
- 买个路由器就能躺着赚钱?这些坑别急着跳
- 苹果内部维修视频遭泄露:官修这么贵,有理?
- 微信被“莫名”扣费近千元 罪魁祸首是它
- 一首凉凉送给美国网民 他们快交不起网费了!
- 不务正业!你所熟知的互联网大佬还有另一面
- macOS Mojave实测:开挂!效率提升300%
最热搜索
OPPO Find 5 HTC官网 魅族mx四核智能手机 索尼L36h 华为Ascend D2 iPhone 5 HTC One 诺基亚920 三星I9250 三星S4 MWC HTC 8S 联想K860i 三星I9300 苹果iPhone5 三星I9100 三星I9220 华为U9508 华为C8813 HTC One X 摩托罗拉MT788 索尼LT26i 华为U8950D 中兴U950 nubia Z5 HTC One S LG Optimus G Pro idf P&E 摩托罗拉刀锋 e71白色 诺基亚n81最新报价 aura xt910白色 索尼Xperia ZR 华为荣耀3 wwdc2013