首页 > 范文大全 > 正文

IPS需要高可靠性和体系支撑

开篇:润墨网以专业的文秘视角,为您筛选了一篇IPS需要高可靠性和体系支撑范文,如需获取更多写作素材,在线客服老师一对一协助。欢迎您的阅读与分享!

(吴凡)入侵防御系统(ips)作为一种串接在网络当中、对所保护网络提供深层攻击防御的安全产品,已经得到了越来越广泛的应用。但要完全实现IPS的能力,需要产品本身的高可靠性以及一套体系支撑

在线部署要求更高可靠性

由于IPS的在线式部署方式,用户对IPS设备提出了更高的系统可靠性需求,这使得入侵防御系统厂商不得不将注意力集中在如何提高系统的稳定性和可靠性上。

对IPS来说,可靠性有两个方面的含义。

第一,要确保设备自身的可靠性,自身的宕机、系统崩溃等都将造成网络的不可用。

第二,由于入侵防御系统检测和防御的对象是网络实时数据流,如果对攻击的判断不准确,将正常的业务数据误判作攻击行为,将使得网络资源不可用。

硬件的架构设计和软件系统的优化都将影响到设备的可靠性,这就要求生产厂商在硬件安全产品方面有较为丰富的经验,特别是在那些需要长期稳定运行的硬件安全产品。从目前可提供入侵防御产品的厂商名录中来看,基本都能符合这一要求。

而攻击事件判断则是保证入侵防御产品可靠性的一个重要因素。从标准的CIDF(Common Intrusion Detection Framework,公共入侵检测框架结构)模型(如图1所示)中来看,事件分析单元是判断事件的关键组件,它包括两个方面的关键因素,一个是分析算法,另一个就是事件匹配库。

分析算法一是用来提高分析效率和性能,二是用来针对一些特殊的攻击行为,需要有专门的算法才能准确和全面地判断,如SQL注入攻击,本身并没有统一的数据特征,没有办法通过事件匹配规则的定义来实现对这类攻击的全面检测,这就需要用到专门的分析算法。

除了分析算法外,事件匹配库是决定入侵防御系统攻击判断准确性的最关键因素,任何攻击行为都有着一定的行为模式,如何通过定义特征,来准确而全面地涵盖这些行为模式,是事件匹配库需要关心的内容(这里可能还需要事件分析算法的配合),同样,这也是所有入侵防御系统厂商所最关心的内容:能准确判断和防御攻击行为决定了入侵防御系统的可持续发展。

虽然CIDF模型是入侵检测系统的模型,但从对入侵行为的检测过程来看,也同样适用于入侵防御系统的事件检测部分。

支撑体系保证

IPS可持续发展

一般来说,及时、准确地发现最新漏洞,并对网络提供保护,是用户对入侵防御系统的一项基本要求。特别是对“0-day”攻击的防御。随着网络技术的发展,互联网已显得越来越“小”,任何网络都有可能成为攻击者的“试验田”,在没有官方补丁出现之前,只能依靠如入侵防御系统这样的安全产品来对网络提供防御。

而及时、准确判断和防御攻击行为主要从两个方面来体现,即新漏洞的检测和抗躲避技术/算法,以及新攻击的检测和抗躲避技术/算法,这需要厂商有强有力的支持体系,能及时提供最新的漏洞,并能及时检测新攻击,才能保证IPS的长期可持续发展。

因此,各提供IPS厂商在IPS的支撑体系方面都开始发力。以启明星辰公司为例,其建立的ADLAB(积极防御试验室),可以独立发现漏洞。截至2006年年底,ADLAB已发现重要安全漏洞上百个,获得CVE认可的漏洞数达30余个;它是国内惟一一家授权查看微软源码的以入侵检测技术为核心的安全公司,可以在代码层面分析攻击原理,定义相应的事件规则。此外,启明星辰作为CVE的成员,有着超过5000个的客户资源,并且有远程监控服务试验室,因此有广泛的事件、漏洞信息来源。

强大、完善的事件检测业务支持架构,可提供更多种类和数量的准确攻击行为判断,决定了入侵防御系统的可持续发展。(本文作者为启明星辰信息技术有限公司技术专家)