【賽迪網-IT技術報道】當網絡攻擊行為演變為一種大眾化的網絡方式時,多樣的攻擊手段被一個操作簡單、可任意下載的攻擊工具集成,網絡攻擊的成本和門檻可變得忽略不計的時候,眾多企業的信息化資產常常處於任人宰割的危險境地,而真正危險的是,還不知道如何去解決。
IPS產品的出現,為企業信息化安全提供了高效、智能的解決方案。多樣化的攻擊手段和攻擊種類,導致傳統的網絡安全設備,無法單一應對這些威脅。通俗來講,如果把防火牆比喻成防盜門、IDS比喻成攝像頭,那麼IPS應該是扮演保安的角色,擁有更多是主動性和人工智能。
IPS早在2005年就出現在國內市場上,隨著IPS產品日益增多,用戶的選擇餘地也越來越多,到底什麼樣的IPS產品才是用戶真正需要的?其實,仔細傾聽用戶的需求,再回顧網絡攻擊歷史和當前網絡攻擊的手段,就可以找到答案。
IPS作為網關級產品,必須擁有高效網絡資料通信處理性能,保證用戶正常業務的帶寬,同時對網絡流量中的攻擊行為、帶寬濫用等有害流量進行精準的檢測和阻斷。簡而言之,就是高性能前提下的應用資料流無損化保障。
天融信的TopIDP產品為了突破IPS產品的性能瓶徑,採用了先進的RMI 8核32線程處理器的專業硬體平台,將並行多線程微碼處理技術成功融入到自主知識產權TOS(Topsec Operating System)系統之中。在物理的多核基礎上,虛擬大量的應用協議分析模塊,形成先進的並行多線程微碼處理架構技術體系,提高了產品的性能
雖然IPS產品需要高性能來滿足用戶的網絡資料處理要求,但是同時也要保證用戶的網絡不會受到入侵的攻擊,這也是IPS產品的在網絡安全上的價值所在。現有的IPS產品中,決大部分產品屬於單包過濾產品,他們的特點是擁有高性能的處理,卻犧牲了攻擊檢測阻斷的準確性。而在當前流行的網絡攻擊方式和種類是逐步向網絡上層延伸,攻擊行為常常掩藏在7層應用的資料流中,大量的攻擊資料流都是封裝在標準的應用協議資料流中,通過通用的端口,進行偽裝,欺騙無法流重組和協議分析的IPS產品。而基於單個資料包檢測的IPS產品更是無法有效抵禦TCP流分段重疊的攻擊,很多的攻擊行為通過TCP流分段組合即可輕鬆穿透這種引擎,在受保護的目標伺服器上形成真正的攻擊。猶如蒸餾水裡混合了自來水,顏色都一樣,簡單的目視色差分析,並不能真正解決問題。
這就需要IPS產品不僅應該在網絡層和傳輸層上要分析和跟蹤TCP、UDP、ICMP、IP等協議,通過對這些協議的準確性校驗,來判定起始流的封裝。更重要的是對HTTP、SMTP、POP3、FTP、TFTP、SNMP、HTTPS Telnet、HTTPS、DNS、RPC、LDAP、QQ、ICQ、MSN、Yahoo Messenger等多種常見應用層協議的合法性分析。天融信的TopIDP技術可以深度感知並檢測流經的資料,對於TCP流分段重疊進行完整和合法性校驗,基於目標設備的操作系統進行準確的的流重組檢測。該檢測引擎首先對到達的TCP資料包按照其目標伺服器主機的操作系統類型進行流重組,然後對重組後的完整資料進行攻擊檢測,從而從根源上徹底阻斷了TCP流分段重疊攻擊行為,徹底實現在應用層中將有害流量從正常業務中分離。
IPS產品無論採用哪種技術,目的都是為了確保提升檢測的性能和準確性,最大程度的保護用戶的網絡系統。從目前產品的發展來看,IPS產品的發展前景還是很值得期待的,如果IPS產品能夠突破原來的一些瓶頸問題,應該能更好地解決用戶的網絡安全入侵問題。
(標註:作者吳亞飆現為天融信總工程師)
(