• 暂无更多图片。

入侵防护系统

更新:2021/2/20 10:00:00点击:
  • 产品品牌Mcafee
  • 产品型号
  • 在线订购
产品介绍

1.1 网络攻击特征检测

为了实现高性能的网络攻击特征检测,IntruShield 体系结构不仅采用了创新的专利技术,而且集成了全面的状态检测引擎、完善的特征规范语言、“用户自定义特征”以及实时特征更新,确保了 IntruShield 能够提供并维护业界最为全面、更新最及时的攻击签名数据库。

特征规范语言

IntruShield以专用的高水平特征规范语言为强大支持。IntruShield 能够从应用程序软件中分离出攻击模式特征,在这个独特的体系结构中,将特征简单地转换为表单项,从而可以通过直观的用户界面实现实时更新,并可被特征引擎立即使用。

目前的 IDS 产品往往通过软件“补丁程序”来提供新的特征,这不仅降低了部署速度(必须根据整个 IDS 软件应用程序进行质量保证),而且也不利于安装(必须重新启动系统)。而 IntruShield 通过从传感器软件中分离攻击模式特征,从而确保了高质量的全新特征可以快速部署(无需重新启动系统)。同时,从传感器应用程序代码中分离特征也使得特征编写人员能够将精力集中在特征编写的“质量”上,而无需考虑如何将特征构建为应用程序更新补丁。

全面的状态特征检测引擎

IntruShield 体系结构的特征检测引擎引入了强大的上下文敏感检测技术,在数据包中充分利用了状态信息,它通过使用多个令牌匹配来检测超越了数据包界限的攻击特征,或超出序列范围的数据包流。

用户自定义网络攻击特征

IntruShield 使得网络安全工程师能够通过一个创新性的图形用户界面(GUI)来编写自定义签名,该界面能够使用通过系统的协议分析功能所获取的字段和数据,或者通过 IntruShield 的分析机制收集的状态信息。

实时特征更新

IntruShield 提供的创新性实时特征更新极大地提升了管理软件的性能,由 IntruVert 更新服务器提供的全新特征可以通过策略控制自动发送到整个网络,从而确保了新的特征一经创建,网络即可获得最新的防护功能。IntruShield 体系结构还允许网络工程师决定何时,以及是否在整个网络中部署最新的签名。IntruShield 系统无需重新设置或重新启动任何硬件以便激活新的签名,因此,它们能够自动地、实时地进行部署。

1.2 异常检测

异常检测技术为 IntruShield 体系结构全面的签名检测过程提供了完美的补充,异常检测技术使得网络工程师能够对突发威胁或首次攻击进行拦截,并创建出一套完整的“异常档案”,从而保护网络免受当前威胁和未来攻击的骚扰。

IntruShield 体系结构提供了业界最为先进、最为全面的异常检测方法 — 集成了针对统计数据、协议及应用程序的异常检测技术。异常/未知攻击的例子包括新的蠕虫、蓄意的隐性攻击、以及现有攻击在新环境下的变种。异常检测技术也有助于拦截拒绝服务攻击(观察服务质量的变动)和分布式 DoS 攻击(IntruShield 系统利用流量样式变动(例如 TCP 控制数据包的统计数据)来决定是否即将发生海量的数据流)。我们将在下面的部分具体讨论拒绝服务攻击。

IntruShield 体系结构的异常检测技术还能够针对其它威胁提供保护,这包括:缓冲区溢出攻击、由木马程序或内部人员安装的“后门”或恶意攻击、利用低频率进行的隐性扫描攻击、通过网络中的多个发送点传送表面正常的数据包、以及内部人员违反安全策略(例如,在网络中安装游戏服务器或音乐存档)。

1.3 拒绝服务检测

IntruShield 检测体系结构的第三根“支柱”就是它完善的拒绝服务防护技术。

自动记忆以及基于阀值的检测

IntruShield 体系结构综合利用了基于阀值的检测技术和获得专利的、具有自动记忆功能的基于配置文件的检测技术,从而使拒绝服务检测更具智能化。借助基于阀值的检测功能,网络安全管理员就能够使用预先编写的数据流量限制来确保服务器不会因负载过重而宕机。

同时,自动记忆功能使得 IntruShield 体系结构能够分析网络使用方法和流量的模式,了解合法网络操作中发生的多种合法,但不常见的使用模式。

两种技术的结合确保了对各种 DoS 攻击的最高检测准确率 — 包括分布式拒绝服务攻击(即恶意程序员为了进攻企业或政府网络,同时对上百个,甚至上千个服务器发起攻击)。

IntruShield 准确的 DoS 检测技术具有非常重要的意义,因为很多网站和网络都曾经历过合法的(有时是意外的)、极具吸引力的新程序、服务或应用程序的流量冲击。

检测技术的关联性

正如我们所看到的,IntruShield 体系结构提供了多种操作模式,使得系统能够捕捉恶意流量、提供全面的攻击分析方法、实施完整的智能化签名检测、异常检测以及拒绝服务防护技术。

IntruShield 体系结构的检测关联层连接着系统的签名检测、异常检测以及拒绝服务检测功能 — 这种相互关联性以及对可疑流量的交叉检查功能确保了攻击检测的高度准确性。

单一 IntruShield 系统能够对防火墙的公共网段、专用网段以及 DMZ 网段进行全面的保护,并提供这些网段之间的相互关联性,从而能够针对被拦截的网络攻击或者进入专用网络的网络攻击提供准确的详细信息。

1.4 入侵防护

IntruShield 体系结构提供了业界最准确的攻击检测功能,构造了系统攻击响应机制的坚实基础。没有足够响应能力的 IDS 产品只能为网络安全管理员提供有限的功能。现代的 IDS 产品必须能够检测出攻击,并提供偏转和拦截恶意流量的方法。

IntruShield 体系结构为网络安全管理员提供了一整套手动的和自动的响应措施,并以此构建起企业或政府机构信息技术安全策略的基础。

就攻击检测来说,IntruShield 体系结构使系统可以实现以下功能:

A. 拦截攻击

IntruShield 体系结构允许 IDS 以嵌入模式工作,因此,它能够实时地在攻击源和目标之间拦截单一数据包、单一会话或数据流量,从而在进程中拦截攻击,而不会影响任何其它流量。

B. 终止会话

IntruShield 体系结构允许针对目标系统、攻击者(或二者同时)重新设置并初始化 TCP。网络安全工程师可以对发送给源和/或目标 IP 地址的重新设置数据包进行配置。

C. 修改防火墙策略

IntruShield 体系结构允许用户在发生攻击时重新配置网络防火墙,方法是临时改变用户指定的访问控制协议,同时向安全管理员发出警报。

D. 实时警报

当网络流量违反了安全策略时,IntruShield 体系结构能够实时生成一个警报信息,并发送给管理系统。合理的警报配置是保持有效防护的关键所在。恶性攻击(例如缓冲区溢出以及拒绝服务)往往需要做出实时响应,而对扫描和探测则可以通过日志进行记录,并通过进一步的研究确定其潜在的危害和攻击源。网络安全工程师能够获得有关电子邮件、寻呼程序以及脚步警告的通知,该通知基于预先配置的严重性水平或特定的攻击类型,例如拒绝服务攻击。基于脚步的警告允许对复杂的通知过程进行配置,从而能够针对系统面临的攻击向特定团体或个人发出通知。

IntruShield 体系结构还提供了一个“警报过滤器”,它允许网络安全工程师根据安全事件的来源或目标进行筛选。例如,当 IT 部门通过一个自有 IP 地址执行漏洞扫描时,从该地址生成的事件就可以被过滤掉。

E. 对数据包进行日志记录

在攻击发生时,或攻击发生之后,基于 IntruShield 体系结构的系统能够首先捕获数据包,并对数据包进行日志记录,然后将该流量重新定向到一个空闲的系统端口,以便进行详细的合法性分析。这个数据包信息就是对触发攻击的实际网络流量的记录。数据被查看后,将转换为 libpcap 格式,以便进行演示和说明。类似于 Ethereal(运行于 UNIX  Windows 平台的一款网络协议分析工具)的多种工具可以用来检验数据包日志数据,以便对检测到的事件进行更为详细的分析。

IntruShield 体系结构的响应机制提供了该产品平台的基础,安全管理员需要在此基础上开发出响应措施、警报以及日志系统,以便为复杂的现代网络提供最佳的防护。

1.5 实时过滤蠕虫病毒和Spyware间谍程序

IntruShieldSignature中包含了蠕虫病毒、Spyware间谍程序、“特洛伊木马”、后门程序的Signature,当IntruShield采用In-Line方式部署时,能过过滤掉流经IntruShield的这些恶意程序。

而且IntruShield的邮件未知蠕虫Signature可以探测邮件中夹带的未知蠕虫病毒,并且将其丢弃,从而使得IntruShield可以对抗新的、将来出现的蠕虫病毒。

1.6 虚拟IPS

IntruShield 传感器支持全新的、功能强大的虚拟 IPS (VIPS(TM))。 虚拟 IPS 能够将 IntruShield 传感器划分为多个虚拟传感器,这些虚拟传感器可以按照细化的安全策略(包括自定义的攻击选择及相关响应措施)进行全面的自定义。 VIPS 可以根据一组 IP 地址、一个或多个 VLAN 标记来定义,也可以通过传感器上的特定端口来定义。

虚拟IPS可以为内部的不同部门、不同地理位置的机构或职能部门分别设置虚拟 IPS 域,从而可以为每一个虚拟 IPS 设置各自的安全策略。这种方法为现代组织提供了极大的便利,使它们能够高效地管理分散的网络用户。

IntruShield 1400支持32个虚拟IPSIntruShield 3000支持1000个虚拟IPS

IntruShield 体系结构的虚拟 IPS 功能可以通过三种方法来实施。第一,将虚拟局域网 (VLAN) 标志分配给一组网络资源;第二,使用无类别域内路由 (CIDR) 标志来保护一组 IP 地址;第三,将 IntruShield 系统接口专门用于保护特定部门、地区机构或组织职能部门的网络资源。

基于 CIDR 的 VIPS 实施能够使用 /32 掩码具体到单一主机的水平。例如,可以使用单一主机的特有策略来识别 DoS 攻击,并做出响应。

1.7 灵活的部署方式

IntruShield支持完全实时攻击阻断的嵌入(In-Line)模式,也支持传统的SPANHUB监控接入方式、TAP接入和端口群集接入模式。

嵌入模式:IntruShield 系统位于数据路径上,活动的流量必须通过它们。IntruShield 系统通过实时拦截恶意流量来防止网络攻击。用户可以全面自定义预防措施,例如自动拦截针对特定 Web 服务器的 DoS 流量。高速的防护以及高度可用的操作使得 IntruShield 系统能够部署在任务关键型环境中。

交换端口分析器(SPAN)与集线器监控:一台或多台网络交换机的集线器端口或 SPAN 端口都可以连接到 IntruShield 系统的检测端口。传感器可以使用同一端口来激活响应措施,例如重新设置某个 TCP 连接。

TAP模式:可对全双工以太网链接的网络通信进行双向监控。通过完全捕获某个链接上的所有流量,可以更清楚的了解某个网络攻击的来源和本质  并提供所需的详细信息,以便能够对未来的攻击进行拦截。这种全双工监控能力使得 IntruShield 系统能够维护完整的状态信息。响应措施包括防火墙重新配置,以及通过专用响应端口来重新设置并初始化 TCP

端口群集使得单一 IntruShield 系统通过多个端口监控的流量能够“聚合”成一个流量流,以便进行状态分析和入侵分析。该功能对于非对称路由环境尤其有用,因为这种环境下,请求数据包和响应数据包可能会通过不同的链接进行传送。单一的 IntruShield 系统就能够监控多个链接,同时可以维护准确的、完整的状态信息。

更多产品