下一代入侵防御技术:攻击中

日期: 2009-03-30 作者:Martin Roesch翻译:陈志辉 来源:TechTarget中国 英文

本系列文章的前几篇讲到充分地分析入侵防御问题需要考虑整个的攻击过程。前面文章将连续的攻击过程分为三个不同的阶段:利用漏洞进行攻击之前、攻击之时和攻击之后,并且随后非常详细地描述了与第一阶段相关的过程和技术。本篇着重分析余下的两个阶段,为进一步讨论下一代入侵防御技术的必要条件打下基础。   攻击的种类是多种多种的,在一定程度上难以准确地界定整个攻击时间线上的这一部分。

有些攻击可能以短时间内(例如,小于1秒)的几个数据包的形式出现,立即就可以识别出。而另一些攻击可能具有间歇活动的特征,跨跃一段很长的时间(例如,几个小时,几天,甚至是几周),甚至,除非收集到大量的事件记录并且进行集中分析才能确认为攻……

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

本系列文章的前几篇讲到充分地分析入侵防御问题需要考虑整个的攻击过程。前面文章将连续的攻击过程分为三个不同的阶段:利用漏洞进行攻击之前、攻击之时和攻击之后,并且随后非常详细地描述了与第一阶段相关的过程和技术。本篇着重分析余下的两个阶段,为进一步讨论下一代入侵防御技术的必要条件打下基础。

  攻击的种类是多种多种的,在一定程度上难以准确地界定整个攻击时间线上的这一部分。有些攻击可能以短时间内(例如,小于1秒)的几个数据包的形式出现,立即就可以识别出。而另一些攻击可能具有间歇活动的特征,跨跃一段很长的时间(例如,几个小时,几天,甚至是几周),甚至,除非收集到大量的事件记录并且进行集中分析才能确认为攻击。所以,尽管每一攻击都有个确定的开始,但当发生攻击时并不总能识别出这一开始时间点。

  为简单起见,从现在开始我们仅仅关注一个攻击刚开始的初始时间和实时系统在攻击开始后识别到攻击的这一段时间,换句话说,真实的时间零点再加上其后的一个很小的时间间隔(例如,小于一两秒钟)。从技术的角度讲,这是当前入侵和防御技术的现状。

  这些技术在过去的几年中已应用到很大的范围中,没有必要用过多笔墨在这一问题上进行详细描述。做为两种先驱产品,入侵检测技术被动地监测业务数据流以发现可疑的行为和与进攻有关的特征。大部分的入侵检测产品依赖于额外的响应机制;相反,典型的入侵防御设备在线安装,主动地参与数据传输,因而可以直接对检测到的攻击做出反应(比如,在本地设备中阻击攻击)。

  当然,实现任何水平的自动应对都需要具有高精度的检测。过多的阻止非攻击性数据流最终都会降低生产率。因而,这一问题是以上两种类型的入侵管理产品共同的发展方向。多种产品中附加的协议异常和基于漏洞的特征检验是这方面的两种常见的例子。然而,在检测精度方面,总是存在改进的余地。

  比如,大多数的产品只关注流经它的数据流。使用这种操作方式,它们忽略了与潜在目标或是在网络环境中的主机相关的信息。恰当的收集并使用这类信息,可以提高自动化处理的水平,在准确性和性能两方面都有一个显著的提高。

  同时,在当今存在不断变化的威胁的环境中,期望一种单一的产品截获所有的攻击是不现实的。然而,并不排除这样的方法,从其他已受过攻击的产品中采集信息,用以支持对未来攻击的自动阻止。

相关推荐

  • 网络入侵防御系统全解

    现在有很多网络入侵防御系统产品,它们主要有三种形式,而本文重点介绍的作为专用硬件和软件产品的IPS,这种IPS直接部署到企业的网络,以及虚拟设备以部署到服务器内虚拟网络。

  • 美政府约4百万数据被盗 EINSTEIN防御系统遭质疑

    FBI正在调查一起政府数据泄露事故,此次事故中,约有四百万数据被盗,FBI疑中国黑客所为。而本次事件的直接后果是:美国政府一向依赖的EINSTEIN防御系统遭到质疑。

  • 绿盟科技四款产品入围电信集采

    在2014年中国电信集团的集采中,绿盟科技4款产品:ADS、IPS、FW、WAF均表现优异,全部入围!这是中国电信集团对绿盟科技产品的认可,也证实了绿盟科技在安全行业领军者的地位。

  • John Pescatore:规避技术助力应对高级针对性攻击

    高级有针对性攻击的快速发展正在推动企业更加关注于快速事件检测和响应,而不是防御,是这样吗?