入侵防御系统IPS,苹果熟了吗?
2008-09-10 13:24:24 来源:WEB开发网McAfee 公司北亚区技术总监陈联认为,目前严重的安全事件大多数是由缓冲区溢出所导致,所以McAfee 在自己的实验里加强了对溢出型漏洞的研究和跟踪,并且把针对溢出型攻击的相应防范手段推送到IPS 设备的策略库中。这项缓冲区溢出分析技术使得M c A f e e 的 I P S 设备能够检测七层的数据包,实现对应用的主动保护。
赛门铁克在IPS设备中采用了漏洞阻截技术。通过研究漏洞特征,将其加入到漏洞签名库中,IPS 就可以发现符合漏洞特征的所有攻击流量。冲击波及其变种都利用了RPC(微软操作系统的一个漏洞)漏洞。赛门铁克通过研究并提取RPC 漏洞的特征,组成特征签名并将其推送给 IPS 设备。在公布漏洞和病毒爆发的一段间隔里,用户只需将漏洞特征签名自动下载,就可以在冲击波及其变种大规模爆发时,直接将其阻断,从而赢得打补丁的关键时间。
主动防御是安全根本
绝大多数IDS 系统都是被动的,而不是主动性的。在攻击实际发生之前,IDS 往往无法预先发出警报。IPS则倾向于提供主动性的防护,其设计旨在预先对入侵活动和攻击性网络流量进行拦截,避免其造成任何损失,而不是简单地在恶意流量传送时或传送后才发出警报。IPS是通过直接嵌入到网络流量中而实现这一功能的,即通过一个网络端口接收来自外部系统的流量,经过检查确认其中不包含异常活动或可疑内容后,再通过另外一个端口将它传送到内部系统中。这样一来,有问题的数据包,以及所有来自同一数据流的后续数据包,都能够在IPS设备中被清除掉。
现在谈主动防御的很多,这也是IPS 市场启动的根源。但是有专家认为,入侵防护应该是由多种安全设备组成的安全体系共同来实现,而不是由IPS这种设备单独来完成,IPS 只是主动防护的一部分,而不是主动防护的全部。主动防护系统还需要加入应用级防火墙与应用级IDS,应用级的IDS 产品能够重组信息流,跟踪应用会话过程,并准确描述和识别攻击,而应用级的防火墙能够阻断向应用层发起的攻击,保护Web 应用。
更多精彩
赞助商链接