圖1
雖然IPS產(chǎn)品需要高性能來滿足用戶的網(wǎng)絡(luò)數(shù)據(jù)處理要求����,但是同時(shí)也要保證用戶的網(wǎng)絡(luò)不會受到入侵的攻擊����,這也是IPS產(chǎn)品的在網(wǎng)絡(luò)安全上的價(jià)值所在。現(xiàn)有的IPS產(chǎn)品中�,決大部分產(chǎn)品屬于單包過濾產(chǎn)品,他們的特點(diǎn)是擁有高性能的處理����,卻犧牲了攻擊檢測阻斷的準(zhǔn)確性。而在當(dāng)前流行的網(wǎng)絡(luò)攻擊方式和種類是逐步向網(wǎng)絡(luò)上層延伸�,攻擊行為常常掩藏在7層應(yīng)用的數(shù)據(jù)流中,大量的攻擊數(shù)據(jù)流都是封裝在標(biāo)準(zhǔn)的應(yīng)用協(xié)議數(shù)據(jù)流中�,通過通用的端口,進(jìn)行偽裝���,欺騙無法流重組和協(xié)議分析的IPS產(chǎn)品�����。而基于單個(gè)數(shù)據(jù)包檢測的IPS產(chǎn)品更是無法有效抵御TCP流分段重疊的攻擊���,很多的攻擊行為通過TCP流分段組合即可輕松穿透這種引擎����,在受保護(hù)的目標(biāo)服務(wù)器上形成真正的攻擊����。猶如蒸餾水里混合了自來水��,顏色都一樣�,簡單的目視色差分析,并不能真正解決問題�。
這就需要IPS產(chǎn)品不僅應(yīng)該在網(wǎng)絡(luò)層和傳輸層上要分析和跟蹤TCP、UDP����、ICMP、IP等協(xié)議����,通過對這些協(xié)議的準(zhǔn)確性校驗(yàn),來判定起始流的封裝��。更重要的是對HTTP、SMTP�����、POP3����、FTP、TFTP��、SNMP��、HTTPS Telnet���、HTTPS��、DNS���、RPC、LDAP����、QQ、ICQ���、MSN��、Yahoo Messenger等多種常見應(yīng)用層協(xié)議的合法性分析�。天融信的TopIDP技術(shù)可以深度感知并檢測流經(jīng)的數(shù)據(jù),對于TCP流分段重疊進(jìn)行完整和合法性校驗(yàn)���,基于目標(biāo)設(shè)備的操作系統(tǒng)進(jìn)行準(zhǔn)確的的流重組檢測����。該檢測引擎首先對到達(dá)的TCP數(shù)據(jù)包按照其目標(biāo)服務(wù)器主機(jī)的操作系統(tǒng)類型進(jìn)行流重組�����,然后對重組后的完整數(shù)據(jù)進(jìn)行攻擊檢測��,從而從根源上徹底阻斷了TCP流分段重疊攻擊行為��,徹底實(shí)現(xiàn)在應(yīng)用層中將有害流量從正常業(yè)務(wù)中分離���。
圖2
IPS產(chǎn)品無論采用哪種技術(shù),目的都是為了確保提升檢測的性能和準(zhǔn)確性���,最大程度的保護(hù)用戶的網(wǎng)絡(luò)系統(tǒng)���。從目前產(chǎn)品的發(fā)展來看��,IPS產(chǎn)品的發(fā)展前景還是很值得期待的�����,如果IPS產(chǎn)品能夠突破原來的一些瓶頸問題���,應(yīng)該能更好地解決用戶的網(wǎng)絡(luò)安全入侵問題。
(標(biāo)注:作者吳亞飆現(xiàn)為天融信總工程師)
