噜噜噜综合,又色又爽又高潮免费观看,综合无码一区二区三区四区五区,中文字幕无码人妻aaa片,四虎成人精品永久网站

IPS的引擎設(shè)計的好壞是決定IPS入侵防御效果的核心，誤報和漏洞是檢驗IPS引擎的兩個關(guān)鍵指標(biāo)。通常的IPS引擎和簽名的設(shè)計和發(fā)布是慢于威脅和漏洞被發(fā)現(xiàn)的速度，有兩大原因：

原因一：當(dāng)前廠商的IPS引擎和簽名主要還是基于攻擊來設(shè)計;

原因二：漏洞的披露速度大幅提升，很多漏洞因此被稱之為“零日漏洞”，“零時漏洞”，基于同一漏洞的攻擊種類和攻擊工具也各不相同。

因此通過發(fā)現(xiàn)攻擊的特征來設(shè)計引擎和簽名，往往讓IPS的誤報和漏報率明顯較高，UTM中的IPS功能經(jīng)常應(yīng)為性能等其他的因素，檢測略往往不被重視。

基于攻擊的引擎 VS基于漏洞的引擎

所謂漏洞是指軟件中的缺陷，這些缺陷可被惡意人員利用，形成攻擊。一般漏洞被發(fā)現(xiàn)以后，會有一些組織如CVE和Bugtraq對這些漏洞進(jìn)行編號跟蹤。而簽名則用于描述檢測威脅所需要的特征。當(dāng)一種攻擊被發(fā)現(xiàn)以后，簽名研究人員會對這個攻擊進(jìn)行特征的提取，一般有兩種方法：基于具體攻擊的(exploit-based)和基于漏洞(vulnerability-based)的。

所謂基于具體攻擊，就是指一個攻擊出現(xiàn)后，研究人員專門針對這個攻擊的特征來編寫簽名，這類簽名能夠防御的范圍非常狹窄，往往只能防御一種特定的攻擊。要躲開這樣的簽名非常容易，只要把攻擊中的特定字符串修改掉就行了。舉一個簡單的例子來說：如果有一個簽名尋找“FUBAR123”這個特定字符串，那么只要修改一些大小寫或者數(shù)字，比如“fUBAR124”，原先的簽名就失效了。如果簽名是基于某一種特定的攻擊方法，那么攻擊者只要稍微修改一下這個模式，就能完全躲開檢測了。基于具體攻擊的簽名開發(fā)周期非常短，對研究人員的技能要求也相對較低，這使得很多廠商能夠在很短時間內(nèi)響應(yīng)突發(fā)的新型攻擊。