2013-12-03 15:01:04 来源:CIO时代网
IPS产品对威胁的防护能力,很大程度上依赖于产品的签名库质量和签名的开启状态。当签名开启于告警状态时,则检测到攻击时IPS会产生告警日志;当签名处于阻断状态时,被检测到的攻击则会直接阻断并产生告警;当签名没有开启时,则无法匹配攻击,系统不会产生任何告警,更无法拦截攻击行为,企业网络面临被入侵和信息失窃的风险。
目前业界IPS厂商对外宣传的签名数量普遍都在3000以上,但是经过深入分析不难发现,有些厂商的IPS设备,虽然宣传提供3000+的签名库,但默认情况下开启为检测的签名很少,而开启为拦截的签名则更少(默认策略配置中开启为拦截的签名不足20%),这种情况下,其签名库的质量和设备处理性能就让人不得不打上一个大大的问号。
众所周知,签名库只有处于开启拦截的状态下,IPS设备才能真正发挥入侵防御的功能,但是另一方面签名的开启率会大幅消耗设备资源,签名开启率越高,对设备的性能要求就越高。而开启率的高低也直接体现签名的质量,往往默认开启率低的设备,要不是担心产生大量的误报从而导致对正常业务的终端,要么是担心大量的签名开启会明显降低产品的检测性能,。
如果设备产生漏报或者误报,用户的安全管理人员则会疲于奔命,这样的设备不仅不能对攻击有效防范,而且会对用户的正常业务产生严重的影响。对于在线部署的IPS来说,一旦拦截了攻击性数据包,就有可能对该数据包的会话进行阻断,更严格的策略则是对来自这个可疑IP攻击者的所有数据流进行拦截。如果触发了误报警报的流量恰好是某个客户订单的一部分,其结果可想而知,要么是这个客户的订单会话被关闭,或者是该客户所有的会话访问都会被IPS拦截。
只有具备高质量的签名库,确保检测的准确性,才敢于在默认策略配置中将签名置于开启检测和阻断状态。在华为智能网络入侵检测与防御系统(NIP)默认出厂的配置中,总量3500+的签名总数里,有超过85%的签名被激活,可以实时上线即检测;有超过80%的签名默认配置为阻断状态,上线即拦截攻击。华为NIP参加西海岸中国的测试时,签名的开启率高达97.7%,在这样的情况下,检出率达到93.3%,误报率为0,检测性能始终保持稳定。高质量的签名和极高的开启率,实现了高检出率和零误报,极大的保护了用户业务的正常运转。
凭借多年的安全积累,华为组建了一只专业的签名开发团队,致力于编写、优化高效的签名。不同于第三方机构的针对攻击报文开发签名,华为的签名开发团队往往都是基于漏洞的通用性来开发签名,这确保了NIP的签名不仅能防御现有针对该漏洞的攻击报文,而且能防御未来新的针对已知漏洞或者类似漏洞的变种攻击。优秀的签名可以保护更加广泛的攻击和漏洞,同时可以控制签名的数量,使得系统性能免受签名数量激增的冲击。如NIP的一条签名:
20060 - POP3 Generic User Buffer Overflow
该条通用的签名覆盖了如下3个不同的BID漏洞,而第三方机构往往会编写至少3条不同的签名:
RevilloC MailServer Remote Buffer Overflow Vulnerability (BID 16997)
Hexamail POP3 Server Remote Buffer Overflow Vulnerability (BID 25496)
POP3_Proxy_USER_OVERFLOW Vulnerability
更能说明NIP签名高质量的是如下三条签名可以覆盖超过400个BIN漏洞:
23476 - Fake Codec Request Generic
22809 - HTTP Javascript Heap Spray Detection
25938 - HTTP Shellcode Detection
签名的高质量、零误报以及较高的默认开启率和阻截率,可以将管理员从海量日志分析的工作中解放出来,让IPS产品的管理,使用和维护更加简单、轻松。
华为NIP产品签名库高达80%的默认阻断率,有效助力客户业务永续,凭借现网测试中的卓越表现,赢得越来越多用户的赞扬和认可, 2013年连续中标北京邮电大学出口防护项目、中广核安全防护项目等。
免责声明:本网站(http://www.ciotimes.com/)内容主要来自原创、合作媒体供稿和第三方投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。
本网站刊载的所有内容(包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等)版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时,请及时通知本站,予以删除。
抢沙发
