IPS入侵逃逸技术分析与防御-杨永清
1.概述
IPS也就是业界所说的入侵防御系统(Intrusion Prevention System);而它的作用就是能在线防御防火墙所不能防御的深层入侵威胁;而它的作用也决定了它将被布置在用户网络的入口位置,对输入和输出的数据流进行入侵检测与防御。在网络的入侵防御技术中,入侵逃逸是其中一个不可规避的问题,也是IPS必须要面对和解决的问题。
首先简单了解一下入侵逃逸技术的分类。入侵逃逸是相对与入侵防御技术而言的,在实际中两者也是攻防关系。由于两者都是通过技术手段来实现的。所以两者的技术也是在入侵攻防中不断发展的;入侵逃逸按技术方式分类,可以分为分片报文、拒绝服务、SQL 注入等。其中分片报文是早期比较常见的,拒绝服务和SQL注入攻击是最近几年最常见到的。这也是近几年网络大发展所引发的安全问题。
下来我们通过两部分对几种入侵逃逸及IPS如何防御逃逸进行分析说明:
2.几种逃逸攻击的简单分析
2.1分片报文逃逸
分片报文攻击一般是利用协议漏洞或一些网络基础软件的漏洞进行攻击。
IP分片是在网络通讯中传输IP报文时采用的一种技术,可这种技术就存在一些安全隐患。最典型的就是通过IP分片技术进行拒绝服务攻击,当然还可用于躲避防火墙或者网络中IP分片重组能力欠缺设备。为了传送一个大的IP报文,IP协议栈根据链路接口的MTU对该IP报文进行分片,通过填充适当的IP头中的分片指示字段,接收计算机可以很容易地把这些IP分片报文重组起来。而目标计算机在处理这些分片报文的时候,会把先到的分片报文缓存起来,然后一直等待后续的分片报文(这个过程会消耗掉一部分内存,以及一些IP协议栈的数据结构)。如果攻击者给目标计算机中发送一片分片报文,而不发送所有的分片报文,这样目标计算机便会一直等待(直到一个内部计时器结束),如果攻击者发送了足够多的分片报文,就会消耗掉目标计算机的所有资源,而导致不能接收正常的IP报文。
分片报文组合一般是用于进行缓冲区攻击的一种。很早的微软漏洞MS03-026缓冲区溢出攻击就是利用TCP携带的三个数据包来实施攻击的。正常的三次握手后,第一个由客户机发送的首个数据包,是“BIND”信息。第二个和第三个数据包携带的是“REQUEST”信息。第二个数据包携带“REQUEST”包头,它会指定OPNUM和大部分的参数数据。由于第二个包放不下所有的参数数据,因此第三个数据包会携带其余的参数数据。因此,当目标服务器接收完所有三个数据包后,攻击就成功了。而对于网络中那些对数据重组功能欠缺的设备将无从检测与防御。
2.2拒绝服务逃逸
DOS(Denial of Service)攻击是一种基于网络的、想办法阻止用户正常访问网络服务的攻击。DOS攻击一般是通过发起足够的网络请求连接,使服务器或运行在服务器上的程序耗尽服务器资源,从而使服务器无法正常响应甚至崩溃死机。
DOS攻击可以是对服务器的单一数据包攻击,也可以是通过多台主机联合对被攻击服务器发起洪水般的数据包请求攻击。在单一数据包攻击中,攻击者通过精心构造一个利用操作系统或应用程序漏洞的攻击包。而网络中的入侵防御设备都具有对单个包的分析检测能力,所以,越来越多的黑客更偏向于采用一种更复杂的DDOS的攻击方法。在DDOS攻击中,攻击者用多台机器来攻击一个目标。将洪水般的数据由多台机器通过网络传给目标服务器,达到目标服务器的网络阻塞,无法正常访问。还是就利用特别设计的数据包耗尽服务器资源(如SYN Flood),达到拒绝服务的目的。
DDOS由DOS攻击演变而来,这种攻击是攻击者利用在已经入侵并已经控制的机器(所谓的“傀儡机”)上安装DOS服务程序,它们等待来自攻击者的控制命令。攻击者在攻击时启动全体受控主机的DOS服务进程,让它们对一个目标服务器发送尽可能多的网络访问请求,形成一股DOS洪流冲击目标系统,猛烈的DOS 攻击同一网站。在没有防御策略下目标网站会很快失去反应而不能及进处理正常的的访问甚至系统瘫痪崩溃。因为这种攻击来源于安装在网络中的多台机器上,这种攻击方式很难被攻击对象察觉,直到攻击者发出攻击命令,这些机器才同时发起进攻。由于此类攻击是通过组织遍布于广大网络上的大量计算机所发联合发起的攻击,因此采用简单的辨别和隔离技术是不能阻挡它们的。大部分情况下,很难将合法流量和非法流量区别开来。
DOS/DDOS攻击从实现手法来看,主要表现为两种,一种是利用漏洞实现DOS的攻击,如Teardrop,Ping of Death等,另外一种是通过模拟大量的实际应用流量达到消耗目标主机的资源,从而达到DOS/DDOS攻击的目的,通常DOS/DDOS攻击伴随着源IP地址欺骗。从DOS/DDOS攻击的对应的协议层次来看,主要有以
下几种:
a)二层相关的攻击,如ARP Flood;
b)半连接相关的攻击,如TCP SYN Flood, UDP Flood, ICMP Flood;
c)全连接相关的攻击,如TCP Connention攻击,和TCP空连接攻击;
d)应用层相关的攻击,如HTTP Get Flood, DNS query Flood等,其利用客户端流量与服务器端流量不均衡的特点,采用小流量的请求包,消耗服务器的处理资源或者产生大流量的响应,从而达到DDOS/DOS 攻击的目的。
例如:SYN Flood可算是最常见的一种DOS/DDOS攻击方法。攻击者可以从单一或多个机器发动选购,结果会导致目标服务器无法被访问。此类攻击主要利用的是TCP建立连接的机制,每个TCP连接的建立都必需要完成“三次握手”(three-way handshake)后才能传送数据:
1)连接请求(Connection Request)第1个数据包是请求者向服务器发送的同步请求数据包(SYN),这也是TCP开始“三次握手”过程的第一步。
2)请求确认(Request Acknowledgement)第2个数据包是服务器传送给请求者的确认数据包(SYN+ACK)。也就是服务器的响应包。
3)建立连接(Connection complete)第3个数据包是请求者向服务器发磅的确认数据(ACK)完成“三次握手”。
SYN Flood攻击由大量包含伪造源IP地址的无效SYN包组成的,伪造的源IP地址使得目标服务器向未知或不存在的源主机发送对SYN的回应包SYN-ACK。然后目标服务器就会长期等待来自伪源机器的确认ACK数据包以便完成联机动作。但伪源机器确认ACK数据包肯定是永远不会来到的,这此无法完成的无效的联机请求一直占据在插口连接表中,这样服务器的连接表会在很短时间内塞满无效的请求,并且因此耗尽所有的可用资源,使目标服务器无法为合法的请求服务,导致目标服务器拒绝服务。
SYN攻击最大的特点是每个请求单独来看都是良性的,很难区分哪个是无效请求,哪个是合法请求。
2.3SQL注入逃逸分析
SQL注入攻击是指利用Web网页程序对用户的网页输入数据缺少必要的合法性判断的程序设计漏洞,攻击者通过提交一段数据库查询代码,根据程序返回的结果,获得某些他想得知的数据;我们常听说的网页篡改事件有一部分就是通过SQL注入攻击完成的。
SQL注入攻击就是攻击者通过构造巧妙的SQL语句,同网页提交的内容结合起来进行注入攻击。比较常用的手段有使用注释符号(’)、恒等式(如1=1)、使用union语句进行联合查询(select)、使用insert 或update语句插入或修改数据等,此外还可以利用一些内置函数辅助攻击。
通过SQL注入漏洞攻击网站的步骤一般如下:
第一步:探测网站是否存在SQL注入漏洞。
第二步:探测后台数据库的类型。
第三步:根据后台数据库的类型,探测系统表的信息。
第四步:探测存在的表信息。
第五步:探测表中存在的列信息。
第六步:探测表中的数据信息。
例如:某网站的PHP代码如下:
$SQL = “SELECT *FROM user WHERE username = ‘$username’ AND pwd = ‘$password’;
$result = MYSQL_QUERY($SQL);
IE中正常的URL如下:
http://xxx.xxxx.xxx/user.php?username=doudou&&pwd=testtest
构造如下的URL:
http://xxx.xxxx.xxx/user.php?usernam e=doudou’ /*
实际插入的SQL语句变为:
SELECT *FROM user WHERE username = ‘isis’/*’ AND pwd = ‘’
一旦这样的SQL语句被执行,后台将会执行攻击者所希望的结果,最终暴露用户信息,使攻击得逞。
2.4入侵逃逸技术分析小结
通过几种攻击技术的分析可以看出,逃逸技术所利用的都是原有固定特征库检测方
不足之处,而有针对性的出现的典型攻击类型。
下面是几种不同逃逸的分析图表:
攻击方式识别范围精确度规则复杂度特征
静态攻击网络层高低协议+端口号
SQL注入应用层高中数据特征
分片报文网络层-应用层高高数据流特征(数据特征+状态)
拒绝服务应用层低高流量分析
针对以上不同的逃逸技术分析,我们将对IPS进行处理逃逸的模型规划。
3.IPS系统解决入侵逃逸的分析
入侵行为的实质就是利用了目标系统设计或编码中存在的问题而形成的漏洞。攻击者通过特定的攻击报文(攻击报文或在内容结构上、或在出现的时序上、或在流量的大小上进行精心构造),然后通过目标系统的漏洞,使目标系统或应用处于无法正确处理的状态,从而达到攻击目的。基于这种攻击原理,IPS系统可以提取出这种利用漏洞的各种攻击报文在内容结构上、出现时序上等等的特征,并对网络数据流进行检测匹配,从而阻断攻击报文。通过以上的逃逸分析可以认为,IPS的逃逸检测主要从以下三点来完成:1)检测引擎的实现机制(是否可以分析数据流的各种复杂的报文内结构、能否分析各种报文的时序关系、能否有一定机制的流量分析防范技术等等);
2)编写出能够准确描述漏洞或攻击的特征的规则(只有将特征准确完备地在规则中描述出来,并利
用检测引擎进行检测,才能确保入侵逃逸的检测率和检测的准确性);
3)设备整体性能(IPS设备的性能高低直接影响到检测精度;当然设备性能不仅仅包括硬件,还包括检测引擎的设计机制);
3.1针对分片报文逃逸的IPS防御技术分析
分片报文逃逸有多种方式,相应的IPS防御方式也各不一样。
针对网络协议漏洞的分片报文攻击,IPS防御最有效的方法就是通过协议代理的方式来实现,即不让攻击协议报文的请求到达目标主机上,而是先经过IPS防御系统的确认,这样可以通过报文检测和阀值的最大并发连接数据控制的方式进行防护。首先就是通过判断目的端口号来进行防御。如果通过恶意分片后使目的端口号位于第二个分片中,那么IPS的包过滤模块可以通过判断第一个分片中是否包含端口信息,如果未包含端口信息则可以直接丢弃。
对于流报文,如TCP流,若IPS只是对一个个的单独报文作特征检测,就会产生漏报。如果攻击者对攻击流中的报文作分段处理,就完全可以绕过IPS设备进行有效的地逃逸攻击当IPS通过数据流重组及流状态的特征检测技术,就能够有效地防御此类攻击。例如:语音流报文、视频流报文等等,若不进行识别,直接使用攻击特检测,很可能导致误报。如果通过流状态的特征检测技术,就能够准确地识别出这类流报文,而不必攻击特征检测,同时也更有效地减少了误报的情况。
数据分片中一般数据包都会按顺序逐个到达,也就是说,BIND会首先到达。IPS通过规则匹配,没有触发攻击,这样BIND会被继续发送,但引擎会从这数据名中提取的状态数据将存储在内存中。接着,“request”的第一部分会随后到达,这些数据会与刚才保存的数据合并起来再进行滤器匹配检查。还是没有匹配到一个完整的攻击特征。然后,存储的状态数据会更新,该数据包被发送。最后,“REQUEST”的第二部分到达了,当这此数据与保存的数据合并后,就会匹配到一个完整的攻击规则,引擎就会把这个数据包并丢弃,相应的TCP流也会在引擎中被标记为“blocked”。同时引擎就会自动丢弃该连接中任何一个方向接收到的数据包。这样,攻击者与目标计算机的连接被切断,对目标计算机的攻击也将无法完成,因此入侵也被IPS有效的防御了。如果数据包不是顺序到达,那引擎就会根据序列号重新为TCP段排序,一般情况下第一个被阻挡的数据包永远是检测到的攻击分片中最后一块分片。例如:在针对RPC DCOM漏洞的攻击中,通常两个“REQUEST”会无次序到达,因此REQUEST第二部分会先于第一部分到达。这种无次序的数据可以通过数据重组技术进行匹配检测,当引擎匹配到一条攻击规则后,系统就会丢弃此链接中的所有数
据包进行阻断防御。同要IPS的IP碎片重组功能将解决数据在IP层被切割分片发送的入侵逃逸问题。这也说明通过数据重组功能就可以解决数据我分段、切割分片逃逸的问题。
3.2针对拒绝服务逃逸的IPS防御技术分析
根据对网络流量进行分析和建模,在系统中形成不同的流量检测和学习模板。在统计分析阶段,根据流量检测模板进行流量学习和分析;在行为分析阶段,则通过自动生成的动态过江规则对异常流量进行过滤处理。动态或者静态过滤规则部分根据不同的业务进行分别的处理,如针对HTTP进行HTTP redirection; 针对DNS进行DNSredirection;针对IP则进行TTL认证等动作。上述过程是一个闭环的循环动态的一个调整过程,系统中通过不断的学习、调整和判断以适应网络的情况并做出适当的动作。
7.对DDOS的逃逸检测的防御分析:
针对DDOS的逃逸检测应行从引擎让构建一种策略,也就是通过学习模板进行不同业务的和正常情况进行学习,从而得到攻击流量类型的流量统计数据并加入到所构建的策略中;
经过不断的调整测试,使策略可以准确的对攻击流量进行检测,当然调整测试是一个不断反复的过程;最后通过策略检测对网络中的异常流量进行判断检测和验证,如对源IP的合法性进行检测,如果异常就进行丢弃等。
以SYN Flood攻击为例。就需要把IPS做为一个代理服务器(Proxy),生成SYN/ACK数据包并将它作为应答传给请求者,并等候请求者返回的ACK数据包。当IPS从请求者处接收到ACK数据包后,IPS系统就会将这三次的握手过程“回放”给接收端。完整的攻击与响应过程如下:
1)攻击者发送SNY 数据包给目标服务器,IPS设备拦截到SYN数据后,开始判断目标是否受到保护。
2)如果目标服务器是在保护之中,则IPS设备就代表目标服务器产生SNY-ACK响应数据包。
3)一但IPS收到“三次握手”过程中最后的ACK,IPS就会利用最先进的算法验证这个ACK 数据包是不是对IPS产生的SYN-ACK数据包的确认应答。若是,则入侵防御系统会与目标服务
器建立这个TCP连接。
4)一旦建立连接,IPS就会进入数据监视和连接,确保流量安全。如果是一个攻击发起的请求则不会完成TCP的“三次握手”,就不会有数据包传向目标服务器,IPS也就不必对连接状
态进行维护。
3.3针对SQL注入逃逸的IPS防御技术分析
通过上面对SQL注入逃逸的分析了解到,SQL注入就是通过网站对后台数据库进行注入的行为,而HTTP URL是基于网页攻击的主要协议实体之一,但是它不适用通过协议异常检测的方法来防御。攻击者可以在不违反任何协议规范的情况下通过向CGI程序发送一个恶意请求来对网页服务器进行攻击。针对SQL注入攻击,IPS入侵防御应从分析网站通信的每一个HTTP请求,根据常见的HTTP请求进行攻击特征匹配,可以将攻击报文实时阻断。
常见的SQL注入方式又分为:数字型注入(如:HTTP://xxx.xxx.xxx/abc.asp?p=YY and 1=2, abc.asp)、字符型注入-(如单引号:HTTP://xxx.xxx.xxx/abc.asp?p=YY’)、搜索型注入(如like:SELECT * from sqltest where names like'%{0}%'",TextBox1.Text)、句语连接型注入。通过对SQL注入的大概分析,防范SQL注入实际上是从HTTP请求的输入参数检查开始的。所以,防御SQL注入攻击,需要从以下两个方面入手:对SQL关键字的过滤和限定URL的传递参数据类型、数量、范围;而IPS防御SQL 注入逃逸攻击第一是对URL的解码,比如可以对各种编码的字符进行解码(%61=a,随机变化大小写,或随机加入“//”等等)。第二就是通过对URL中各种SQL注入攻击关键字的匹配与过滤。
在字符逃逸攻击中,还有一种攻击不是SQL注入;如访问攻击中的逃逸攻击(非文本字符逃逸,r\xffoot=root;roo\xf3t=root;\xFF 代表IAC是作为命令来解释的,\xF1 代表无操作(noop)。在Netbios、SMB 和MS RPC 等协议中可以很轻易地设计类似的逃避技术);IPS防御此类逃逸攻击则需要对的协议进行解析,然后通过协议解析对非字符进行过滤处理再匹配攻击的关键字进行判断。
4.总结
经过上述对逃逸攻击的分析和IPS防御逃逸的分析,我认为IPS通过对引擎的功能完善,(如:协议重组、数据重组和解码功能等)再辅以规则的完整性和特征定位的准确性就可以解决好入侵逃逸的防御。然而新的入侵逃逸技术也会根据入侵攻击技术的发展不断的出现,对已知的各种逃逸攻击的过滤和防御也是IPS必须要解决的一个方面,而对未知的一些逃逸技术的研究也是IPS解决入侵逃逸所必修之课。只有对已知和未知两个方面的分析与研究,才能保证IPS的安全有效性,只有通过准确的识别出各种攻击,才
能发挥出IPS作为网络入侵防御设备所赋于的功效。
入侵防御TOPIDP之IPS产品分析 学院:计算机科学与工程学院 年级:大三 学号: 姓名: 专业:信息安全 2013.11.15
摘要 本文介绍了天融信公司开发的入侵防御系统I P S的产品特点、功能、特性以及应用等,使读者对I P S有一个简要的概念。 关键词:特点;特性:功能;
目录 摘要..............................一产品厂家 二产品概述 三产品特点 四产品功能 4、1 入侵防护 4、2 DoS/DDoS防护 4、3 应用管控 4、4 网络病毒检测 4、5 URL过滤 五产品特性 六产品应用 6、1 典型部署 6、2 内网部署 七结论
一、产品厂家 北京天融信网络安全技术有限公司1995年成立于中国信息产业摇篮的北京,十八年来天融信人凭借勇于创新、积极进取、和谐发展的精神,成功打造中国信息安全产业著名品牌——TOPSEC。 天融信是中国领先的信息安全产品与服务解决方案提供商。基于创新的“可信网络架构”以及业界领先的信息安全产品与服务,天融信致力于改善用户网络与应用的可视性、可用性、可控性和安全性,降低安全风险,创造业务价值。 ●构建可信网络安全世界 ●中国安全硬件市场领导者 ●快速成长的安全管理业务 ●互联网安全云服务的开拓者 ●实现安全的业务交付 ●安全研究与前沿探索 ●技术创新引领发展 ●国家安全企业责任 二、产品概述 天融信公司的网络卫士入侵防御系统(以下简称TopIDP产品)采用在线部署方式,能够实时检测和阻断包括溢出攻击、RPC攻击、WEBCGI攻击、拒绝服务、木马、蠕虫、系统漏洞等在内的11大类超过3500种网络攻击行为,有效保护用户网络IT服务资源,使其免受各种外部攻击侵扰。TopIDP产品能够阻断或限制p2p下载、网络视频、网络游戏等各种网络带宽滥用行为,确保网络业务通畅。TopIDP产品还提供了详尽的攻击事件记录、各种统计报表,并以可视化方式动态展示,实现实时的全网威胁分析。 TopIDP产品全系列采用多核处理器硬件平台,基于先进的新一代并行处理技术架构,内置处理器动态负载均衡专利技术,实现了对网络数据流的高性能实时检测和防御。TopIDP产品采用基于目标主机的流检测引擎,可即时处理IP分片和TCP流重组,有效阻断各种逃逸检测的攻击手段。天融信公司内部的攻防专业实验室通过与厂商和国家权威机构的合作,不断跟踪、挖掘和分析新出现的各种漏洞信息,并将研究成果直接应用于产品,保障了TopIDP产品检测的全面、准确和及时有效。
入侵防御系统的功能是:简单来说,它能够监视网络或网络设备的网络资料传输行为的计算机网络完全设备,能够即时的中断、调整或隔离一些不正常或是具有伤害性的网络资料传输行。选择入侵防御系统很重要,一定要找专业从事网络安全与服务的高科技公司。入侵防御系统的功能下面就详细介绍一下,这里以铱迅品牌的入侵防御系统做案例: 铱迅入侵防御系统(英文:Yxlink Intrusion Prevention System,简称:Yxlink IPS),是铱迅信息结合多年在应用安全理论与新一代动态检测防御实践经验积累的基础上,自主研发的一款应用级入侵防御系统,它可以在线地检测网络和系统资源,发现攻击后能够实施有效的阻断,防止攻击到达目标网络或主机。可给您网络中的各网络单元提供2-7层的全方位的保护,为网络提供深层次的、有效的安全防护。 铱迅入侵防御系统致力于解决黑客攻击、蠕虫、网络病毒、后门木马等恶意流量带来的信息系统侵害,广泛适用于“政府、金融、运营商、公安、能源、工商、社保、交通、卫生、教育、电子商务”等所有涉及网络应用的各个行业。部署铱迅入侵防御系统产品,可以帮助客户主动防护网络、主机系统,为用户的信息安全提供最大的保障。 万兆高并发与请求速率处理技术 铱迅入侵防御系统,通过对网络协议底层的深层次的优化,可以达到百万级别的并发连接。
庞大内置特征库 特征库主要用于检测各类已知攻击,对网络中传输的数据包进行高速匹配,确保能够准确、快速地检测到此类攻击。 铱迅入侵防御系统装载权威的专家知识库,提供总数超过10000条的规则库进行支持与匹配,提供高品质的攻击特征介绍和分析,基于高速、智能模式匹配方法,能够精确识别各种已知攻击,包括病毒、特洛伊木马、P2P应用、即时通讯等,并通过不断升级攻击特征,保证第一时间检测到攻击行为。 攻击碎片重组技术 通过铱迅入侵防御系统独有的碎片包重组技术,可以有效的防止黑客通过发送碎片的数据包来绕过检测引擎的检测。
入侵防御系统是位于防火墙和网络之间的设备,一般用于数据包传输的检测过滤,保护企业网络文件传输的安全性,以防被盗取或者有非法入侵的文件。为了企业的正常运营入侵防御系统是十分重要的,那么铱迅的入侵防御系统有哪些功能呢?下面简单的来了解一下吧。 产品功能 强大的攻击防御能力: 铱迅入侵防御系统提供一种主动的、实时的防护,其设计旨在对常规网络流量中的恶意数据包进行检测,阻止入侵活动,预先对攻击性的流量进行自动拦截,使它们无法造成损失,而不是简单地在监测到恶意流量的同时或之后发出警报。 铱迅入侵防御系统是网络拓扑的一部分,而不仅是一个被动的旁路设备,它在线决定数据包的命运,进出被保护网络的数据包都要经过入侵防御系统的深层检查,综合采用多种检测技术,包括特征检测、异常检测、DoS/DDoS检测等,提高入侵检测的准确性,一旦发现入侵,立刻阻断攻击者对攻击目标的访问,从而达到防御攻击的目的。 病毒过滤: 铱迅入侵防御系统具备效率高、灵活的防病毒能力,实现针对HTTP、SMTP、POP3、IMAP、FTP、IM等多种协议的病毒流量监测和控制,及时完成对木马病毒、蠕虫病毒、宏病毒,以及脚本病毒的查杀,控制或消除上述威胁对系统的危害。 “铱迅入侵防御系统”系列产品能够识别和检测2-7层网络攻击行为,有效的防范黑客攻击、蠕虫、网络病毒、后门木马、D.o.S 、Shellcode等恶意流量,保护企业信息系统和网络架构免受侵害,防止操作系统和应用程序损坏或宕机。同时用户也可以通过自定义特征码进行防护。 准确的网络流量分析技术:
“铱迅入侵防御系统”系列产品可辨识超过各种网络及应用程序与数据包协议,完全遵循RFC规定,支持IP 破碎数据包辨识与重组。 流量控制: 阻断一切非授权用户流量,管理合法网络资源的利用,有效保证关键应用全天候畅通无阻,通过保护关键应用带宽来不断提升企业IT 产出率和收益率。 异常行为与检测: “铱迅入侵防御系统”产品针对应用层协议提供了细粒度的协议限制功能和协议异常检测功能, 支持的协议包括:HTTP、SMTP、POP3、IMAP和DNS等。”铱迅入侵防御系统”支持对应用级别协议进行异常检测,通过拒绝异常数据包来阻止这些非法的数据包,较大化保障网络安全。 上网行为管理: “铱迅入侵防御系统”能够有效的综合分析应用软件特征和数据内容,能够智能识别各种主流的P2P 下载、QQ即时通信、在线视频、网络游戏和在线炒股等用户上网行为,从而更好地协助企业了解当前的网络应用状况,发现非授权网络流量后进行及时限制或阻断: 1)检测/封锁来自IM/P2P软件的行为及威胁 2)封锁网络游戏程序 3)封锁远端控制软件 4)范围涵盖一般及特殊定制的应用软件 5)可利用子网络群组分别管理和控制
您现在的位置:IT专家网> 安全子站> 评论分析 入侵防御系统的过去、现在和未来 作者: CC, 出处:IT专家网,责任编辑: 张帅, 2007-12-10 10:33 入侵防御系统IPS如今被越来越多的用户所采用,就在几年前著名的市场调查机构Gartner还发表过IDS is dead,然如今一切仍在继续,本文将介绍入侵防御系统IPS的过去、现在和未来…… 入侵防御系统(Intrusion Prevention System,IPS)是这段时间网络安全业内比较热门的一个词,这种既能及时发现又能实时阻断各种入侵行为的安全产品,自面世那天起,就受到各大安全厂商和用户的广泛关注。 有人认为,入侵防御系统(IPS)就是入侵检测系统(Intrusion Detection System,IDS)的升级产品,有了IPS,就可以替代以前的IDS系统,这也正是Gartner 在2003年发表那篇著名的“IDS is dead” 的理由。 从入侵防御系统的起源来看,这个“升级说”似乎有些道理:Network ICE公司在2000年首次提出了IPS这个概念,并于同年的9月18日推出了BlackICE Guard,这是一个串行部署的IDS,直接分析网络数据并实时对恶意数据进行丢弃处理。 但这种概念一直受到质疑,自2002年IPS概念传入国内起,IPS这个新型的产品形态就不断地受到挑战,而且各大安全厂商、客户都没有表现出对IPS的兴趣,普遍的一个观点是:在IDS基础上发展起来的IPS产品,在没能解决IDS固有问题的前提下,是无法得到推广应用的。 这个固有问题就是“误报”和“滥报”,IDS的用户常常会有这种苦恼:IDS界面上充斥着大量的报警信息,经过安全专家分析后,被告知这是误警。但在IDS旁路检测的部署形式下,这些误警对正常业务不会造成影响,仅需要花费资源去做人工分析。而串行部署的IPS 就完全不一样了,一旦出现了误报或滥报,触发了主动的阻断响应,用户的正常业务就有可能受到影响,这是所有用户都不愿意看到和接受的。正是这个原因,导致了IPS概念在05年之前的国内市场表现平淡。 随着时间的推进,自2006年起,大量的国外厂商的IPS产品进入国内市场,各本土厂商和用户都开始重新关注起IPS这一并不新鲜的“新”概念。 IPS到底是什么? “IPS可以阻断攻击,这正是IDS所做不了的,所以IPS是IDS的升级,是IDS的替代品”,可能很多人都会有这种看法。 我们先来看IPS的产生原因: A:串行部署的防火墙可以拦截低层攻击行为,但对应用层的深层攻击行为无能为力。
入侵防御系统技术要求一、设备清单 二、参数要求
三、项目实施要求 3.1.项目实施周期要求 中标方需在合同签订后2个月内,完成设备采购、安装调试,并且配合完成所有应用系统的联调测试。 3.2.项目实施工作要求 3.2.1.供货 中标人须在不迟于合同签订后的10个工作日内完成所有招标设备到指定地点的供货。 投标人应确保其技术建议以及所提供的软硬件设备的完整性、实用性,保证全部系统及时投入正常运行。若出现因投标人提供的软硬件设备不满足要求、不合理,或者其所提供的技术支持和服务不全面,而导致系统无法实现或不能完全实现的状况,投标人负全部责任。 3.2.2.安装调试
中标单位必须提供安装、配线以及软硬件的测试和调整,实施过程由专业的系统集成人员进行安装、检测和排除故障。 3.2.3.验收 设备到货后,用户单位与中标单位共同配合有关部门对所有设备进行开箱检查,出现损坏、数量不全或产品不对等问题时,由中标单位负责解决。 根据标书要求对本次所有采购设备的型号、规格、数量、外型、外观、包装及资料、文件(如装箱单、保修单、随箱介质等)进行验收。 设备安装完成,由中标单位制定测试方案并经用户确认后,对产品的性能和配置进行测试检查,并形成测试报告。 测试过程中出现设备产品性能指标或功能上不符合标书要求时,用户有拒收的权利。 3.2. 4.特别工具 中标单位必须提供用于系统安装与配置的介质(光盘、磁盘或其他)。如果必须提供特殊工具来维护硬件和软件,投标人必须列出特殊工具的清单、价格、名称和数量,但不包括在总价格中。 3.2.5.文档要求 验收完成后,中标单位必须如数提供完整的系统软硬件安装、操作、使用、测试、控制和维护手册。手册必须包括下列内容: 系统和操作手册必须包括(但不局限于): 系统安装与配置手册 系统维护,包括:诊断手册、故障排除指南。 用户手册包括(但不局限): 系统竣工文档
第1章概述 1.1 关于天清 天清入侵防御系统(Intrusion Prevention System)是启明星辰信息技术有限公司自行研制开发的入侵防御类网络安全产品。 天清入侵防御系统围绕深层防御、精确阻断这个核心,通过对网络中深层攻击行为进行准确的分析判断,在判定为攻击行为后立即予以阻断,主动而有效的保护网络的安全。 启明星辰坚信,不了解黑客技术的最新发展,就谈不上对黑客入侵的有效防范。为了了解黑客活动的前沿状况,把握黑客技术的动态发展,深化对黑客行为的本质分析,预防黑客的突然袭击并以最快速度判断黑客的最新攻击手段,启明星辰专门建立了积极防御实验室(V-AD-LAB),通过持续不断地研究、实践和积累,逐渐建立起一系列数据、信息和知识库作为公司产品、解决方案和专业服务的技术支撑,如攻击特征库、系统漏洞库、系统补丁库和IP定位数据库等。 启明星辰在入侵检测技术领域的成就受到了国家权威部门的肯定和认可,成为国家计算机网络应急技术处理协调中心(CNCERT)和CNCVE的承建单位. 启明星辰对国内外最新的网络系统安全漏洞与应用软件漏洞一直进行着最及时和最紧密的跟踪,对重大安全问题成立专项研究小组进行技术攻关,并将发现的漏洞及时呈报给国际CVE(Common Vulnerabilities and Exposures)组织。目前已有多个漏洞的命名被国际CVE 组织采用,获得了该组织机构唯一的标识号。 天清入侵防御系统强大的功能、简单的操作、友好的用户界面、全面的技术支持解除了您的后顾之忧,是您值得信赖的网络安全产品。 1.2 入侵防御 首先我们来探讨一个问题:入侵攻击行为包括哪些?什么样的行为可以称为入侵攻击行为?我们来看对入侵行为的标准定义:入侵是指在非授权的情况下,试图存取信息、处理信息或破坏系统以使系统不可靠,不可用的故意行为。 通常提到对入侵行为的防御,大家都会想到防火墙。防火墙作为企业级安全保障体系的
什么是IPS(入侵防御系统) 摘要:目前有很多种IPS系统,它们使用的技术都不相同。但是,一般来说,IPS系统都依靠对数据包的检测。IPS将检查入网的数据包,确定这种数据包的真正用途,然后决定是否允许这种数据包进入你的网络。 IPS(Intrusion Prevention System 入侵防御系统)对于初始者来说,IPS位于防火墙和网络的设备之间。这样,如果检测到攻击,IPS 会在这种攻击扩散到网络的其它地方之前阻止这个恶意的通信。IDS 只是存在于你的网络之外起到报警的作用,而不是在你的网络前面起到防御的作用。 目前有很多种IPS系统,它们使用的技术都不相同。但是,一般来说,IPS系统都依靠对数据包的检测。IPS将检查入网的数据包,确定这种数据包的真正用途,然后决定是否允许这种数据包进入你的网络。 IPS 的关键技术成份包括所合并的全球和本地主机访问控制、IDS、全球和本地安全策略、风险管理软件和支持全球访问并用于管理IPS 的控制台。如同IDS 中一样,IPS 中也需要降低假阳性或假阴性,它通常使用更为先进的侵入检测技术,如试探式扫描、内容检查、状态和行为分析,同时还结合常规的侵入检测技术如基于签名的检测和异常检测。
同侵入检测系统(IDS)一样,IPS 系统分为基于主机和网络两种类型。 基于主机的IPS 基于主机的IPS 依靠在被保护的系统中所直接安装的代理。它与操作系统内核和服务紧密地捆绑在一起,监视并截取对内核或API 的系统调用,以便达到阻止并记录攻击的作用。它也可以监视数据流和特定应用的环境(如网页服务器的文件位置和注册条目),以便能够保护该应用程序使之能够避免那些还不存在签名的、普通的攻击。基于网络的IPS 基于网络的IPS 综合了标准IDS 的功能,IDS 是IPS 与防火墙的混合体,并可被称为嵌入式IDS 或网关IDS(GIDS)。基于网络的IPS 设备只能阻止通过该设备的恶意信息流。为了提高IPS 设备的使用效率,必须采用强迫信息流通过该设备的方式。更为具体的来说,受保护的信息流必须代表着向联网计算机系统或从中发出的数据,且在其中:指定的网络领域中,需要高度的安全和保护。 该网络领域中存在极可能发生的内部爆发配置地址 能够有效地将网络划分成最小的保护区域,并能够提供最大范围的有效覆盖率。
入侵检测系统(IDS)与入侵防御系统(IPS) 的区别 1.入侵检测系统(IDS) IDS是英文“Intrusion Detection Systems”的缩写,中文意思是“入侵检测系统”。专业上讲就是依照一定的安全策略,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。 我们做一个比喻——假如防火墙是一幢大厦的门锁,那么IDS就是这幢大厦里的监视系统。一旦小偷进入了大厦,或内部人员有越界行为,只有实时监视系统才能发现情况并发出警告。 与防火墙不同的是,IDS入侵检测系统是一个旁路监听设备,没有也不需要跨接在任何链路上,无须网络流量流经它便可以工作。因此,对IDS的部署的唯一要求是:IDS应当挂接在所有所关注的流量都必须流经的链路上。在这里,“所关注流量”指的是来自高危网络区域的访问流量和需要进行统计、监视的网络报文。 IDS在交换式网络中的位置一般选择为:尽可能靠近攻击源、尽可能靠近受保护资源。 这些位置通常是: ●服务器区域的交换机上; ●Internet接入路由器之后的第一台交换机上;
重点保护网段的局域网交换机上。 2.入侵防御系统(IPS) IPS是英文“Intrusion Prevention System”的缩写,中文意思是入侵防御系统。 随着网络攻击技术的不断提高和网络安全漏洞的不断发现,传统防火墙技术加传统IDS的技术,已经无法应对一些安全威胁。在这种情况下,IPS技术应运而生,IPS技术可以深度感知并检测流经的数据流量,对恶意报文进行丢弃以阻断攻击,对滥用报文进行限流以保护网络带宽资源。 对于部署在数据转发路径上的IPS,可以根据预先设定的安全策略,对流经的每个报文进行深度检测(协议分析跟踪、特征匹配、流量统计分析、事件关联分析等),如果一旦发现隐藏于其中网络攻击,可以根据该攻击的威胁级别立即采取抵御措施,这些措施包括(按照处理力度):向管理中心告警;丢弃该报文;切断此次应用会话;切断此次TCP连接。 进行了以上分析以后,我们可以得出结论,办公网中,至少需要在以下区域部署IPS,即办公网与外部网络的连接部位(入口/出口);重要服务器集群前端;办公网内部接入层。至于其它区域,可以根据实际情况与重要程度,酌情部署。 3.IPS与IDS的区别、选择 IPS对于初始者来说,是位于防火墙和网络的设备之间的设备。这样,如果检测到攻击,IPS会在这种攻击扩散到网络的其它地方之前阻止这个恶意的通信。而IDS只是存在于你的网络之外起到报警的作用,而不是在你的网络前面起到防御的作用。 IPS检测攻击的方法也与IDS不同。一般来说,IPS系统都依靠对数据包的检测。IPS将检查入网的数据包,确定这种数据包的真正用途,然后决定是否允许这种数据包进入你的网络。 目前无论是从业于信息安全行业的专业人士还是普通用户,都认为入侵检测系统和入侵防御系统是两类产品,并不存在入侵防御系统要替代入侵检测系统的可能。但由于入侵防御产品的出现,给用户带来新的困惑:到底什么情况下该选择入侵检测产品,什么时候该选择入侵防御产品呢? 从产品价值角度讲:入侵检测系统注重的是网络安全状况的监管。入侵防御系统关注的是对入侵行为的控制。与防火墙类产品、入侵检测产品可以实施的安全策略不同,入侵防御系统可以实施深层防御安全策略,即可以在应用层检测出攻击并予以阻断,这是防火墙所做不到的,当然也是入侵检测产品所做不到的。 从产品应用角度来讲:为了达到可以全面检测网络安全状况的目的,入侵检测系统需要部署在网络内部的中心点,需要能够观察到所有网络数据。如果信息系统中包含了多个逻辑隔离的子网,则需要在整个信息系统中实施分布部署,即每子网部署一个入侵检测分析引擎,并统一进行引擎的策略管理以及事件分析,以达到掌控整个信息系统安全状况的目的。
1产品概述 东华入侵防御系统(以下简称DHIPS)采用在线部署方式,能够实时检测和阻断包括溢出攻击、RPC攻击、WEBCGI攻击、拒绝服务、木马、蠕虫、系统漏洞等在内的11大类超过3500种网络攻击行为,有效保护用户网络IT服务资源,使其免受各种外部攻击侵扰。DHIPS能够阻断或限制p2p下载、网络视频、网络游戏等各种网络带宽滥用行为,确保网络业务通畅。DHIPS还提供了详尽的攻击事件记录、各种统计报表,并以可视化方式动态展示,实现实时的全网威胁分析。 2产品架构 DHIPS包括三个主要组件:入侵防御引擎、集中管理器和升级站点 3产品功能 东华入侵防御系统全系列采用多核处理器硬件平台,基于先进的新一代并行处理技术架构,实现了对网络数据流的高性能实时检测和防御。 4产品特点
多核并行处理架构示意图?多核并行处理架构 ?强大的攻击检测能力 ?精准的应用协议识别能力 ?实用的网络病毒检测功能 ?智能的上网行为监控和管理 ?立体的Web安全防护 ?先进的无线攻击防御能力 ?精确的QOS流量控制能力 ?灵活的自定义规则能力 ?丰富的网络部署方式 ?高可靠的业务保障能力
?可视化的实时报表功能 5部署方案 面对复杂多变的网络环境,对于特定的业务系统,企业需要有针对性的重点防护,同时还需要规范办公区域终端的网络行为,阻止攻击在内部网络的传播,从而达到对整个网络的全面防护。东华入侵防御系统DHIPS可提丰富的接入方式,无需改动用户的网络结构,支持透明、路由、旁路等多种模式。 ?典型部署
?内网部署 企业将防火墙部署网络出口,做NAT或访问控制;DHIPS可以配置成交换模式或者路由模式,形成一对多的配置方式,节省用户的网络设备投入。 ?IDP.VS.IDS混合部署
入侵检测系统和入侵防御技术 黄鑫1341901201 (江苏科技大学计算机科学与工程学院,江苏镇江) 摘要入侵检测与防御技术作为新一代的网络信息安全保障技术,它主动地对网络信息系统中的恶意入侵行为进行识别和响应,不仅检测和防御来自外部网络的入侵行为,同时也监视和防止内部用户的未授权活动和误操作行为。本文从入侵检测/入侵防范的概念入手,对两者的技术特点,原理进行了详细的分析,进而讨论了入侵检测和入侵防范之间的关系。 关键字:入侵检测系统、入侵防范系统、安全 Abstract The technique of intrusion detection and intrusion prevention has become the new generation information security technique. It actively identifies the malicious usage behavior of information system and actively responses to it. The IDS(Intrusion Detection System) and IPS(Intrusion Prevention System) not only detect and prevent the exterior network s intrusion behavior, but also keep watching and preventing Internal users of unauthorized activities and misuse behavior.Starting from the concept of Intrusion Detection and Intrusion Protection, this article presents a detailed analysis of their technological characteristics and principles, and then discusses their relationships. Key Words Intrusion Detection System Intrusion Prevention System Security 1.引言 网络信息系统的安全问题是一个十分复杂的问题,涉及到技术、管理、使用等许多方面。传统的网络安全防范工具是防火墙,它是一种用来加强网络之间访问控制的特殊网络互联设备,通过对两个或多个网络之间传输的数据包和链接方式按照一定的安全策略进行检查,来决定网络之间的通信是否被允许。在这个需求背景下,入侵检测技术乃至入侵防范便应运而生,可以弥补防火墙的不足,为网络提供实时的监控,并结合其他的网络安全产品,在网络系统受到威胁之前对入侵行为做出实时反应。本文就目前各种网络入侵检测和防御技术进行综合性描
入侵检测系统与入侵防御系统的区别 2008-09-04 15:38:12 作者:未知来源:CNET中国 关键字:入侵防御系统入侵检测系统IPS特征匹配IDS攻击安全策略用户网络部署 1. 入侵检测系统(IDS) IDS是英文“Intrusion Detection Systems”的缩写,中文意思是“入侵检测系统”。专业上讲就是依照一定的安全策略,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。 我们做一个比喻——假如防火墙是一幢大厦的门锁,那么IDS就是这幢大厦里的监视系统。一旦小偷进入了大厦,或内部人员有越界行为,只有实时监视系统才能发现情况并发出警告。 与防火墙不同的是,IDS入侵检测系统是一个旁路监听设备,没有也不需要跨接在任何链路上,无须网络流量流经它便可以工作。因此,对IDS的部署的唯一要求是:IDS应当挂接在所有所关注的流量都必须流经的链路上。在这里,“所关注流量”指的是来自高危网络区域的访问流量和需要进行统计、监视的网络报文。 IDS在交换式网络中的位置一般选择为:尽可能靠近攻击源、尽可能靠近受保护资源。
这些位置通常是: 服务器区域的交换机上; Internet接入路由器之后的第一台交换机上; 重点保护网段的局域网交换机上。 2. 入侵防御系统(IPS) IPS是英文“Intrusion Prevention System”的缩写,中文意思是入侵防御系统。 随着网络攻击技术的不断提高和网络安全漏洞的不断发现,传统防火墙技术加传统IDS 的技术,已经无法应对一些安全威胁。在这种情况下,IPS技术应运而生,IPS技术可以深度感知并检测流经的数据流量,对恶意报文进行丢弃以阻断攻击,对滥用报文进行限流以保护网络带宽资源。 对于部署在数据转发路径上的IPS,可以根据预先设定的安全策略,对流经的每个报文进行深度检测(协议分析跟踪、特征匹配、流量统计分析、事件关联分析等),如果一旦发现隐藏于其中网络攻击,可以根据该攻击的威胁级别立即采取抵御措施,这些措施包括(按照处理力度):向管理中心告警;丢弃该报文;切断此次应用会话;切断此次TCP连接。 进行了以上分析以后,我们可以得出结论,办公网中,至少需要在以下区域部署IPS,即办公网与外部网络的连接部位(入口/出口);重要服务器集群前端;办公网内部接入层。至于其它区域,可以根据实际情况与重要程度,酌情部署。 3. IPS与IDS的区别、选择 IPS对于初始者来说,是位于防火墙和网络的设备之间的设备。这样,如果检测到攻击,IPS会在这种攻击扩散到网络的其它地方之前阻止这个恶意的通信。而IDS只是存在于你的网络之外起到报警的作用,而不是在你的网络前面起到防御的作用。 IPS检测攻击的方法也与IDS不同。一般来说,IPS系统都依靠对数据包的检测。IPS 将检查入网的数据包,确定这种数据包的真正用途,然后决定是否允许这种数据包进入你的网络。 目前无论是从业于信息安全行业的专业人士还是普通用户,都认为入侵检测系统和入侵防御系统是两类产品,并不存在入侵防御系统要替代入侵检测系统的可能。但由于入侵防御产品的出现,给用户带来新的困惑:到底什么情况下该选择入侵检测产品,什么时候该选择入侵防御产品呢? 从产品价值角度讲:入侵检测系统注重的是网络安全状况的监管。入侵防御系统关注的是对入侵行为的控制。与防火墙类产品、入侵检测产品可以实施的安全策略不同,入侵防御
防火墙与入侵防御系统 1、下列关于H3C SecPath UTM设备功能说法正确的是_______。ABCD A、一般部署在网络出口,对用户上网行为进行监管,典型的部署方式一般是在线部署 B、用户上网行为审计结果通过UTM的集中管理平台UTM Managemen进行展示 C、UTM Manager对审计的结果进行分析和整理,通过图形和表格等多种方式展示给管 理员 D、通过UTM Manager所有行为监管数据的综合分析,可以获得包括网络TOP排名、网 络访问趋势等一些列的相关信息,以减轻管理员的维护压力 2、在企业的内部信息平台中,存在的信息泄漏的途径包括________。ABCD A、可移动存储介质 B、打印机 C、内部网络共享 D、公司对外的FTP服务器 3、下列网络应用程序中,可能会造成带宽被大量占用的应用包括________。ABC A、迅雷 B、PPlive C、BitTorrent D、MSN 4、现在各种P2P应用软件层出不穷,P2P流量的识别也必须采用多种方法协作进行。以上 说法是_______。A A、正确 B、错误 5、下列哪个病毒的出现,标志着Internet病毒成为病毒新的增长点?B A、爱虫病毒 B、Happy99病毒 C、冲击波病毒 D、熊猫烧香病毒 6、宏病毒是由以下哪种语言编写的?D A、C语言 B、C# C、C++ D、类Basic 7、2007年熊猫烧香….。请问熊猫烧香病毒属于哪种类型的病毒?D A、引导型病毒 B、宏病毒 C、后门程序
D、蠕虫病毒 8、以下哪个病毒可以破坏计算机硬件?A A、CIH病毒 B、宏病毒 C、冲击波病毒 D、熊猫烧香病毒 9、下列哪个病毒是通过电子邮件进行传播的?D A、CIH病毒 B、Happy99病毒 C、冲击波病毒 D、梅丽莎病毒 10、文件型病毒可以通过以下哪些途径传播?AB A、文件交换 B、邮件 C、网络 D、系统引导 11、蠕虫、特洛伊木马和病毒其实是一回事。以上说法是______的。B A、正确 B、错误 12、计算机病毒通常是指?D A、计算机里的寄生的非细胞生物 B、一段设计不规范的代码 C、消耗计算机软硬资源的程序 D、破坏计算机数据并影响计算正常工作的一组指令集或程序代码 13、红色代码、尼姆达病毒、口令蠕虫可以造成网络蠕虫。以上说法是_____。A A、正确 B、错误 14、木马程序常用的激活方式有_____。ABCD A、修改注册表中的HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion 下所有以“run”开头的键值。 B、修改Win.ini中的Windows字段中有启动命令“load=”和“run=”; C、修改文件关联 D、修改System.ini中的启动项 15、TCP/IP协议定义了一个对等的开放性网络,针对该网络可能的攻击和破坏包括____ABCD A、对物理传输线路的破坏 B、对网络层、应用层协议的破坏
什么是入侵防御系统?是计算机网络安全设施,它能够即时的中断、调整或隔离一些不正常或是具有伤害性的网络资料传输行为。一些大型的企业都会涉及入侵防御系统的应用,便于保护公司内部文件资料的安全。对于一些科研,开发技术的行业更是十分必要的,除此之外还可以抵御外界的病毒入侵,保护电脑的正常运行。 入侵防御系统的品牌众多,下面介绍的是目前市面上口碑较好且在用户中比较普及的入侵防御系统品牌: 新一代入侵防御系统──全面解决信息系统侵害 铱迅入侵防御系统是铱迅信息结合多年在应用安全理论与新一代动态检测防御实践经验积累的基础上,自主研发的一款应用级入侵防御系统,它可以在线地检测网络和系统资源,发现攻击后能够实施有效的阻断,防止攻击到达目标网络或主机。可给您网络中的各网络单元提供2-7层的系统的保护,为网络提供深层次的、有效的安全防护。 该产品致力于解决黑客攻击、蠕虫、网络病毒、后门木马等恶意流量带来的信息系统侵害,广泛适用于“政府、金融、运营商、公安、能源、工商、社保、交通、卫生、教育、电子商务”等所有涉及网络应用的各个行业。部署铱迅入侵防御系统产品,可以帮助客户主动防护网络、主机系统,为用户的信息安全提供保障。 万兆高并发与请求速率处理技术: 铱迅入侵防御系统,通过对网络协议底层的深层次的优化,可以达到百万级别的并发连接。 庞大内置特征库: 特征库主要用于检测各类已知攻击,对网络中传输的数据包进行高速匹配,确保能够准确、快速地检测到此类攻击。 铱迅入侵防御系统装载权威的专家知识库,提供总数超过10000条的规则库进行支持与匹配,提供高品质的攻击特征介绍和分析,基于高速、智能模式匹配方法,能够准确识
入侵防御系统有哪些品牌好?大家肯定会知道华为、H3C这些大品牌,但是其实有很多品牌其他品牌的也蛮不错的,比如铱迅的入侵防御系统,是铱迅信息结合多年在应用安全理论与新一代动态检测防御实践经验积累的基础上,自主研发的一款应用级入侵防御系统,下面带大家了解一下铱迅入侵防御系统的功能以及主要部署方式。 强大的攻击防御能力 铱迅入侵防御系统提供一种主动的、实时的防护,其设计旨在对常规网络流量中的恶意数据包进行检测,阻止入侵活动,预先对攻击性的流量进行自动拦截,使它们无法造成损失,而不是简单地在监测到恶意流量的同时或之后发出警报。 铱迅入侵防御系统是网络拓扑的一部分,而不仅是一个被动的旁路设备,它在线决定数据包的命运,进出被保护网络的数据包都要经过入侵防御系统的深层检查,综合采用多种检测技术,包括特征检测、异常检测、DoS/DDoS检测等,提高入侵检测的准确性,一旦发现入侵,立刻阻断攻击者对攻击目标的访问,从而达到防御攻击的目的。 异常行为与检测 铱迅入侵防御系统产品针对应用层协议提供了细粒度的协议限制功能和协议异常检测功能,支持的协议包括:HTTP、SMTP、POP3、IMAP和DNS等。铱迅入侵防御系统支持对应用级别协议进行异常检测,通过拒绝常数据包来阻止这些非法的数据包,较大化保障网络安全。 病毒过滤 铱迅入侵防御系统具备高效、灵活的防病毒能力,实现针对HTTP、SMTP、POP3、IMAP、FTP、IM等多种协议的病毒流量监测和控制,及时完成对木马病毒、蠕虫病毒、宏病毒,以及脚本病毒的查杀,控制或消除上述威胁对系统的危害。 “铱迅入侵防御系统”系列产品能够识别和检测2-7层网络攻击行为,有效的防范黑客攻击、蠕虫、网络病毒、后门木马、D.o.S 、Shellcode等恶意流量,保护企业信息系