圖1
雖然IPS產(chǎn)品需要高性能來(lái)滿足用戶的網(wǎng)絡(luò)數(shù)據(jù)處理要求��,但是同時(shí)也要保證用戶的網(wǎng)絡(luò)不會(huì)受到入侵的攻擊����,這也是IPS產(chǎn)品的在網(wǎng)絡(luò)安全上的價(jià)值所在?��,F(xiàn)有的IPS產(chǎn)品中����,決大部分產(chǎn)品屬于單包過(guò)濾產(chǎn)品���,他們的特點(diǎn)是擁有高性能的處理�����,卻犧牲了攻擊檢測(cè)阻斷的準(zhǔn)確性��。而在當(dāng)前流行的網(wǎng)絡(luò)攻擊方式和種類是逐步向網(wǎng)絡(luò)上層延伸����,攻擊行為常常掩藏在7層應(yīng)用的數(shù)據(jù)流中,大量的攻擊數(shù)據(jù)流都是封裝在標(biāo)準(zhǔn)的應(yīng)用協(xié)議數(shù)據(jù)流中�����,通過(guò)通用的端口�����,進(jìn)行偽裝�,欺騙無(wú)法流重組和協(xié)議分析的IPS產(chǎn)品。而基于單個(gè)數(shù)據(jù)包檢測(cè)的IPS產(chǎn)品更是無(wú)法有效抵御TCP流分段重疊的攻擊�,很多的攻擊行為通過(guò)TCP流分段組合即可輕松穿透這種引擎,在受保護(hù)的目標(biāo)服務(wù)器上形成真正的攻擊�。猶如蒸餾水里混合了自來(lái)水,顏色都一樣���,簡(jiǎn)單的目視色差分析�,并不能真正解決問(wèn)題�。
這就需要IPS產(chǎn)品不僅應(yīng)該在網(wǎng)絡(luò)層和傳輸層上要分析和跟蹤TCP、UDP�����、ICMP��、IP等協(xié)議,通過(guò)對(duì)這些協(xié)議的準(zhǔn)確性校驗(yàn)��,來(lái)判定起始流的封裝����。更重要的是對(duì)HTTP、SMTP��、POP3��、FTP�、TFTP�、SNMP、HTTPS Telnet���、HTTPS�、DNS���、RPC�����、LDAP�����、QQ��、ICQ��、MSN����、Yahoo Messenger等多種常見(jiàn)應(yīng)用層協(xié)議的合法性分析。天融信的TopIDP技術(shù)可以深度感知并檢測(cè)流經(jīng)的數(shù)據(jù)��,對(duì)于TCP流分段重疊進(jìn)行完整和合法性校驗(yàn)��,基于目標(biāo)設(shè)備的操作系統(tǒng)進(jìn)行準(zhǔn)確的的流重組檢測(cè)����。該檢測(cè)引擎首先對(duì)到達(dá)的TCP數(shù)據(jù)包按照其目標(biāo)服務(wù)器主機(jī)的操作系統(tǒng)類型進(jìn)行流重組,然后對(duì)重組后的完整數(shù)據(jù)進(jìn)行攻擊檢測(cè)���,從而從根源上徹底阻斷了TCP流分段重疊攻擊行為����,徹底實(shí)現(xiàn)在應(yīng)用層中將有害流量從正常業(yè)務(wù)中分離����。
圖2
IPS產(chǎn)品無(wú)論采用哪種技術(shù)�,目的都是為了確保提升檢測(cè)的性能和準(zhǔn)確性�,最大程度的保護(hù)用戶的網(wǎng)絡(luò)系統(tǒng)。從目前產(chǎn)品的發(fā)展來(lái)看�����,IPS產(chǎn)品的發(fā)展前景還是很值得期待的�,如果IPS產(chǎn)品能夠突破原來(lái)的一些瓶頸問(wèn)題,應(yīng)該能更好地解決用戶的網(wǎng)絡(luò)安全入侵問(wèn)題�。
(標(biāo)注:作者吳亞飆現(xiàn)為天融信總工程師)
