msn: [email protected]
ips(intrusion protect system,入侵保護系統)和utm(unified threat management,統一威脅管理)是這兩年來安全界的新名詞,似乎再提防火牆、ids什麼的已經過時了,似乎有了ips、utm之後原來防火牆、 ids的常見問題就都解決了,象防火牆的內容級檢測,ids的誤報、漏報等,可實際情況是這樣麼?
ips和utm的基本思想都差不多,更主要的是對網路資料報的內容部分進行更多的檢測來保證安全,utm相對來說可能針對的處理物件更廣泛一些,但本質兩者我看是沒什麼太大區別。現在防火牆都能做到對內容級資料進行檢測,如果現在的防火牆不能對內容進行檢測,估計這種防火牆也沒有什麼市場的;說ids誤報、漏報率高,可是ips/utm所用的判斷規則也是以ids規則基礎發展來的上,如果說ips/utm用的規則就能完全消除誤報漏報率,將這些規則應用到ids上不也就能消除誤報漏報麼?所以僅僅從功能來說,ips、utm所能作的,防火牆和ids都能作到,ips、utm所炒的並不是什麼新技術。
ips/utm所強調的更多的是內容級的檢測處理,所以如果還是普通x86架構的裝置,所有處理都由**cpu來處理,在十/百兆級別或許還能跟得上(可能百兆都有點懸),但到千兆級別那肯定是力不從心了,所以通常的解決方式是用專用硬體來進行實現內容級檢測,只有這點可能才是ips、utm的特殊之處,也就是說,對於x86架構,作防火牆、ids也許屬於湊合能用,但對ips、utm遠遠不夠,所以如果市場上某種ips、utm是x86架構的,完全可以b4它;只有確實是在硬體級別進行的資料檢測的ips、utm才是合格的,所以說功能不是製造ips、utm的門檻,硬體才是真正門檻,對於國內廠商,缺的就是硬體方面的技術能力,因為所需硬體不是其自己能設計生產的,而且即使是目前國內比較熱的np平台,作內容級處理也不是很合適,如 intel的np系統ixp2400,微引擎只能作簡單的查表,所有內容處理還得傳到xscale進行處理,而xscale處理能力比p4都差很多,只相當於乙個普通p3而已,所以其實際本質還是只適合作路由器,不適合作防火牆,更不適合作ips、utm,所以還是需要找另外一種硬體平台。
結論:ips/utm就是防火牆+ids,本質功能上並沒有能超出防火牆和ids的新的特點,只不過是硬體上的要求更高一些,但同樣的硬體也可以用來製作高階防火牆和ids,所以ips、utm只是防火牆和ids的一種表現形式,但本質還是相同的,炒這個概念還是新瓶裝舊酒而已。
Code Inject的新技術
inject的一般方法是 createremotethread 今天在rootkit上看到乙個新的方法,讓我想起1年前我看到過的類似方法,大家一起看看這種方法吧 1 1年前我所看到的方法 dword dwresult handle hthread handle hprocess char szdll...
Code Inject的新技術
inject的一般方法是 createremotethread 今天在rootkit上看到乙個新的方法,讓我想起1年前我看到過的類似方法,大家一起看看這種方法吧 1 1年前我所看到的方法 dword dwresult handle hthread handle hprocess char szdll...
技術人員如何看待新技術?
最近參加了新平台專案的技術評審,看到專案組演示iphone上的客戶端版本,看上去還很炫的樣子。做得挺好的,技術人員也是新招的乙個高手。說實話,作為技術人員出生的我,對於新興的技術,只能遠觀,而不可以褻玩焉,真是有點不是滋味。為什麼我沒有成為這方面的專家?為什麼別人可以,我卻不可以?就感覺是乙個武林人...