| 操作系统 办公 实用知识 设计 开发 WEB开发 移动开发 数据库 软件工程 网管 安全 管理 信息化 答疑 渠道 |
从国内首款IPS产品问世 谈实时阻断网络威胁国产IPS问世及IPS的发展简述 2005年9月绿盟科技推出了国内安全厂商的第一款具有自主知识产权的IPS产品——冰之眼网络入侵保护系统ICEYE NIPS,一举打破了目前国内IPS市场由国外产品垄断的局面,此举将会在国内安全市场上掀起一个新的IPS研发、应用高潮。 入侵保护系统IPS是由入侵检测系统IDS发展起来的,Network ICE公司在2000年最早提出这个概念,并且在2000年9月18日,推出了业界第一款IPS产品-BlackICE Guard,它第一次把基于旁路检测的IDS技术用于在线模式,直接分析网络流量,并把恶意包丢弃。 入侵保护系统IPS的产品最早出现于2000年,但真正开始发展是在近两年,当时随着产品的不断发展和市场的认可,欧美国家一些安全大公司通过收购小公司的方式获得IPS技术,推出自己的IPS产品。比如ISS公司收购Network ICE公司,发布了Proventia;NetScreen公司收购OneSecure公司,推出NetScreen-IDP;NAI公司收购Intruvert公司,推出IntruShield。其他厂商,如思科、赛门铁克、TippingPoint公司等都发布了IPS产品,可以说国际IPS市场百花齐放,但国内市场由于客户认可程度还不高,仍然以IDS产品为主。 2003年8月份,著名的咨询机构gartner出了一个研究报告,认为“IDS is dead”,提出用IPS系统代替IDS系统。这一报告引起了业界的轩然大波。一时间安全业界争论不断,但同时也促进了IPS市场的发展。目前也有一些集成网关厂商集成了防范部分攻击的功能号称推出IPS产品,但是从功能、性能和定位上看还都不是真正意义上的IPS系统。 安全市场需要IPS 网络没及时安装新发布的安全补丁,结果服务器宕机,网络中断; 蠕虫病毒爆发,造成网络瘫痪,无法网上办公,邮件收不了,网页打不开; 员工使用BT、电驴等P2P软件下载电影或MP3,造成上网速度奇慢无比,严重影响工作效率; 员工沉迷在QQ或MSN上聊天,或者玩网络游戏、看在线视频,工作效率低下; 由于内部电脑被植入间谍软件,公司机密资料被窃; …… 上述这些网络问题在现在的网络应用中出现的越来越频繁,给单位造成的损失也越来越大,但是让很多网络管理员为难的是,尽管单位对安全建设的投入很大,但是传统的安全手段如防火墙和IDS产品都不能很有效的解决这些问题。 防火墙的局限在于:防火墙作为访问控制设备,无法检测或拦截嵌入到普通流量中的恶意攻击代码,比如针对WEB服务的Code Red蠕虫等;有些主动或被动的攻击行为是来自防火墙内部的,防火墙无法发现内部网络中的攻击行为。 做为网络管理的“眼睛”,IDS产品也有其无法避免的缺点:IDS旁路在网络上,当它检测出黑客入侵攻击时,攻击已到达目标造成损失。蠕虫、病毒、DDoS攻击、垃圾邮件等混合威胁越来越多,传播速度加快,留给人们响应的时间越来越短,使用户来不及对入侵做出响应,往往造成企业网络瘫痪,IDS无法把攻击防御在企业网络之外。 基于严峻的网络安全形势,入侵保护系统IPS(Intrusion Prevention System)作为新一代的安全防护手段应运而生。 入侵保护系统IPS 提供一种主动的、实时的防护,其设计旨在对常规网络流量中的恶意数据包进行检测,阻止入侵活动,预先对攻击性的流量进行自动拦截,使它们无法造成损失,而不是简单地在检测到恶意流量的同时或之后发出警报。IPS 是通过直接串联到网络链路中而实现这一功能的,即IPS接收到外部数据流量时,如果检测到攻击企图,就会自动地将攻击包丢掉或采取措施将攻击源阻断,而不把攻击流量放进内部网络。 从IPS的工作原理来看,IPS有几个主要的特点: IPS为企业网络提供“虚拟补丁” IPS预先、自动拦截黑客攻击、蠕虫、网络病毒、DDoS等恶意流量,使攻击无法到达目的主机,这样即使没有及时安装最新的安全补丁,企业网络仍然不会受到损失。IPS给企业提供了时间缓冲,在厂商就新漏洞提供补丁和更新之前确保企业的安全。 IPS提供“流量净化” 目前企业网络遭受越来越多的流量消耗类型的攻击方式,比如蠕虫、病毒造成网络瘫痪、BT、电驴等P2P下载造成网络带宽资源严重占用等。IPS过滤正常流量中的恶意流量,为网络加速,还企业一个干净、可用的网络环境。 IPS提供“反间谍”能力 企业机密数据被窃取,个人信息甚至银行账户被盗,令许多企业和个人蒙受重大损失。IPS发现并阻断间谍软件的活动,保护企业机密。 入侵保护系统IPS的设计侧重访问控制,注重主动防御,而不仅仅是检测和日志记录,解决了入侵检测系统IDS的不足,为企业提供了一个全新的入侵保护解决方案。 从具体工作方式上看,入侵保护系统IPS主要分为主机型和网络型两种类型: 1、基于主机的入侵防护(HIPS): 基于主机的入侵防护是一种软件,部署在服务器上,能够保护服务器的安全弱点不被不法分子所利用。这种技术可以采用基于事先确定的规则或者自学习的行为分析策略,来阻挡恶意行为,阻止攻击者进行缓存溢出攻击、修改注册表,改写动态链接库或者通过其他方法获得操作系统的控制权。 2、基于网络的入侵防护(NIPS): 作为一种主动、积极的入侵阻断系统,网络型IPS部署在网络的进出口,预先对入侵活动和攻击性流量进行拦截,避免其造成任何损失。网络型IPS是通过直接嵌入到网络流量中而实现这一功能的,即通过一个网络端口接收来自外部系统的流量,经过检查确认其中不包含异常活动或可疑内容后,再通过另外一个端口将网络流量传送到内部系统中。这样一来,有问题的数据包以及所有来自同一数据流的后续数据包,都能够在网络型IPS设备中被清除掉。由于网络型IPS能够在线实时去除恶意流量,同时不需要设立IP地址就可以透明地连接到网络上,不会对用户网络和系统造成影响,因而受到用户的青睐。 绿盟科技冰之眼入侵保护系统 绿盟科技针对目前流行的蠕虫、病毒、间谍软件、垃圾邮件、DDoS和黑客攻击,包括未知的攻击形式,提供了完善的安全防护方案。冰之眼网络入侵保护系统(ICEYE NIPS)是绿盟科技入侵保护解决方案的核心,作为拥有自主知识产权的新一代安全产品,冰之眼的体系架构中集成了先进的入侵保护技术,包括以全面深入的协议分析技术为基础,以协议识别、协议异常检测、关联分析为核心的新一代入侵保护引擎,实时拦截数据流量中各种类型的恶意攻击流量,把攻击防御在企业网络之外,保护企业的信息资产。 冰之眼网络入侵保护系统能够协助客户: 阻止来自外部或内部的蠕虫、病毒和黑客等的威胁,确保企业信息资产的安全。 阻止间谍软件的威胁,保护企业机密。 阻止企业员工因为各种IM即时通讯软件、网络在线游戏、P2P下载、在线视频导致的企业网络资源滥用而影响正常工作,净化流量,为网络加速。 实时保障企业网络系统7x24不间断运行,提高企业整体的网络安全水平。 智能、自动化的安全防御,降低企业整体的安全费用以及对于网络安全领域人才的需求。 高效、全面的流量分析、事件统计,能迅速定位网络故障,提高网络稳定运行时间。 通过新型的入侵保护技术,绿盟科技的产品和技术能够有效的阻断攻击,保证合法流量的正常传输,对于保障业务系统的运行连续性和完整性有着极为重要的意义。 关于绿盟科技 绿盟科技(NSFOCUS Co., Ltd.)是中国网络安全领域的领导企业,致力于网络和系统安全问题的研究、高端网络安全产品的研发、销售与网络安全服务,在入侵检测/保护、远程评估、DDoS攻击防护等方面提供具有国际竞争能力的先进产品,是国内最具安全服务经验的专业公司。
今日推荐
|
重点推荐
领军企业技术文库
+更多领军技术文库
最新专题
电子杂志订阅
| ||||||||