IPS如何實現深度檢測和入侵抵禦

2021-04-06 14:29:56 字數 2414 閱讀 1196

基於策略的安全防禦

隨著網路攻擊技術的不斷提高和網路安全漏洞的不斷發現,傳統防火牆技術加傳統ids的技術,已經無法應對一些安全威脅。在這種情況下,ips技術應運而生,ips技術可以深度感知並檢測流經的資料流量,對惡意報文進行丟棄以阻斷攻擊,對濫用報文進行限流以保護網路頻寬資源。

ips如何實現深度檢測和入侵抵禦

對於部署在資料**路徑上的ips,可以根據預先設定的安全策略,對流經的每個報文進行深度檢測(協議分析跟蹤、特徵匹配、流量統計分析、事件關聯分析等),如果一旦發現隱藏於其中網路攻擊,可以根據該攻擊的威脅級別立即採取抵禦措施,這些措施包括(按照處理力度):向管理中心告警;丟棄該報文;切斷此次應用會話;切斷此次tcp連線。

在**部署

進行了以上分析以後,我們可以得出結論,辦公網中,至少需要在以下區域部署ips,即辦公網與外部網路的連線部位(入口/出口);重要伺服器集群前端;辦公網內部接入層。至於其它區域,可以根據實際情況與重要程度,酌情部署。

如何部署

在以下案例中,我們可以看到以ips為核心的多種網路深度檢測/實時抵禦的方案;不同的方案,在不同的應用場景當中,可以適當地擴充或簡化。

一、 基於策略的安全防禦

1. 位於辦公網入口的ips通過應用層協議分析跟蹤和特徵匹配,發現目的地為業務伺服器a的http資料流中隱藏有針對windows作業系統的dcom漏洞的惡意利用;

2. ips將此安全事件上報至管理中心;

3. 管理中心獲取伺服器a的基本資訊;

4. 管理中心根據獲取的a的資訊,判斷該訪問是否會造成危害,如果a不執行windows作業系統或者a確實執行windows但是已經打了針對dcom漏洞的補丁,則a是安全的;

5. 根據情況,管理中心向ips下發制定的安全策略;

6. ips執行安全策略,放行或者阻斷此次連線請求。

事實上,在這裡我們描述的是需要管理中心介入的情況,在一些相對簡單的情況下,如果我們事先可以確認伺服器集群所執行的作業系統(在90%的情況下這是可能的),那麼抵禦該網路攻擊的規則可以直接施加在ips上,不再需要與管理中心的互動,從而降低部署的複雜度、提高效率。

二、應用感知的智慧型防禦

1. 辦公網使用者訪問internet上的www伺服器;

2. ips檢測到該請求,判斷該請求符合事先設定的安全策略,放行;

3. 該使用者與外部伺服器的連線建立;

4. 該使用者試圖通過已經建立的連線,利用二次**,發起對某非法或不良**的訪問請求;

5. 根據對應用層協議的深度分析和內容識別,ips檢測到該企圖,阻斷該次http連線;

6. 上報該安全事件到管理中心備查;

7. ips可以根據管理中下發的策略,對該使用者進行一定時間的懲罰(拒絕該使用者後續的上網請求)。

三、行為分析的智慧型防禦,阻止病毒、蠕蟲氾濫

1. 某辦公網使用者通過公共區域網路訪問業務伺服器集群;

2. 正常連線建立後,位於伺服器集群前端的ips檢測到來自該使用者的通訊流量中隱藏有某種病毒的行為特徵,立即阻斷該使用者的此次訪問,並且上報該安全事件給管理中心;

3. 管理中心分析該安全事件,根據報文資訊定位到該使用者,並且制定新的安全策略;

4. 接入管理更改該使用者的安全等級,下發更新的安全策略給相關網路裝置;

5. 更新了安全策略的網路裝置將該使用者隔離至某特定區域,避免該病毒感染其他網路使用者,並採取後續行動。

ips深度檢測與入侵抵禦的關鍵技術

高效能、高可靠性的硬體平台

依賴於對網路裝置體系架構的深刻理解和強大的設計開發能力,華為3com為ips產品設計了專用的高效能硬體平台。該平台徹底拋棄了目前市面上常見的工控機架構。

協議分析與跟蹤技術

通過前面的分析,我們可以看到協議分析與跟蹤對ips裝置的重要性。與傳統防火牆不同的是,ips不但要分析和跟蹤ip、icmp、udp、tcp這幾種網路層、傳輸層的協議,而且,還要對http、https、ftp、tftp、snmp、telnet、**tp、pop、dns、rpc、ldap、icq、msn、yahoo messenger等眾多的應用層協議進行分析、跟蹤。沒有對網路協議和作業系統的深刻理解,要完成這件工作是不可能的。華為3com已經具備了在作業系統的核心級別對應用協議進行全面跟蹤、深度分析的實力;而且,在引入網路處理器後,所有的邏輯檢測和協議分析、跟蹤都要下移到網路處理器中,採用微碼實現,進一步提高系統效能。

特徵匹配的效能

從海量的資料中去尋找一定的特徵,在計算領域,這歷來是乙個高計算量、高複雜度的問題;而ips的報文內容識別,恰恰要基於此工作。那麼,如何解決這個cpu殺手和提高裝置效能之間的矛盾呢?

華為3com採用專用的硬體加速卡來解決這個問題。基於專門的內容查詢晶元設計的硬體加速卡在系統中與cpu、網路處理器協同工作,在需要對報文進行內容搜尋的情況下,為cpu和網路處理器解除安裝負擔,使得cpu和網路處理器可以專注於報文處理和邏輯檢測,從而將內容搜尋對系統效率的影響降至最低。目前華為3com設計的硬體加速卡,可以在千兆的環境下線速地處理流量。

IPS如何實現深度檢測和入侵抵禦

基於策略的安全防禦 隨著網路攻擊技術的不斷提高和網路安全漏洞的不斷發現,傳統防火牆技術加傳統ids的技術,已經無法應對一些安全威脅。在這種情況下,ips技術應運而生,ips技術可以深度感知並檢測流經的資料流量,對惡意報文進行丟棄以阻斷攻擊,對濫用報文進行限流以保護網路頻寬資源。ips如何實現深度檢測...

單目深度估計 人臉檢測實現

單目深度估計是我很感興趣的方向,但沒有太多時間去學,就跑了一下開源的兩個比較好的程式。再結合人臉識別,看能不能制定識別第幾個人,抱著這樣的想法,借用別人單目深度的實現以及基於dlib的人臉檢測,實現效果如下。以下為 deeper depth prediction with fully convolu...

iOS APP如何實現版本檢測更新

原理 拿到蘋果伺服器我們產品資訊 包含版本號version和buile 還有產品的所有資訊 跟當前安裝的產品的版本進行比較。2 根據上面的位址請求需要的資訊 檢測更新 responseobject是個字典 有兩個key 具體實現為 nsarray arr responseobject objectf...