国产精品一区二区av交换,中文字幕人成无码免费视频,永久免费av无码网站性色av,欧美一道本一区二区三区,樱桃熟了a级毛片

IPS的引擎設(shè)計(jì)的好壞是決定IPS入侵防御效果的核心，誤報(bào)和漏洞是檢驗(yàn)IPS引擎的兩個(gè)關(guān)鍵指標(biāo)。通常的IPS引擎和簽名的設(shè)計(jì)和發(fā)布是慢于威脅和漏洞被發(fā)現(xiàn)的速度，有兩大原因：

原因一：當(dāng)前廠商的IPS引擎和簽名主要還是基于攻擊來設(shè)計(jì);

原因二：漏洞的披露速度大幅提升，很多漏洞因此被稱之為“零日漏洞”，“零時(shí)漏洞”，基于同一漏洞的攻擊種類和攻擊工具也各不相同。

因此通過發(fā)現(xiàn)攻擊的特征來設(shè)計(jì)引擎和簽名，往往讓IPS的誤報(bào)和漏報(bào)率明顯較高，UTM中的IPS功能經(jīng)常應(yīng)為性能等其他的因素，檢測(cè)略往往不被重視。

基于攻擊的引擎 VS基于漏洞的引擎

所謂漏洞是指軟件中的缺陷，這些缺陷可被惡意人員利用，形成攻擊。一般漏洞被發(fā)現(xiàn)以后，會(huì)有一些組織如CVE和Bugtraq對(duì)這些漏洞進(jìn)行編號(hào)跟蹤。而簽名則用于描述檢測(cè)威脅所需要的特征。當(dāng)一種攻擊被發(fā)現(xiàn)以后，簽名研究人員會(huì)對(duì)這個(gè)攻擊進(jìn)行特征的提取，一般有兩種方法：基于具體攻擊的(exploit-based)和基于漏洞(vulnerability-based)的。

所謂基于具體攻擊，就是指一個(gè)攻擊出現(xiàn)后，研究人員專門針對(duì)這個(gè)攻擊的特征來編寫簽名，這類簽名能夠防御的范圍非常狹窄，往往只能防御一種特定的攻擊。要躲開這樣的簽名非常容易，只要把攻擊中的特定字符串修改掉就行了。舉一個(gè)簡(jiǎn)單的例子來說：如果有一個(gè)簽名尋找“FUBAR123”這個(gè)特定字符串，那么只要修改一些大小寫或者數(shù)字，比如“fUBAR124”，原先的簽名就失效了。如果簽名是基于某一種特定的攻擊方法，那么攻擊者只要稍微修改一下這個(gè)模式，就能完全躲開檢測(cè)了。基于具體攻擊的簽名開發(fā)周期非常短，對(duì)研究人員的技能要求也相對(duì)較低，這使得很多廠商能夠在很短時(shí)間內(nèi)響應(yīng)突發(fā)的新型攻擊。