久久久18,天天躁夜夜躁狠狠躁婷婷,国产成人三级一区二区在线观看一,最近的2019中文字幕视频 ,最新免费av在线观看

a&s專業(yè)的自動(dòng)化&安全生態(tài)服務(wù)平臺(tái)
公眾號(hào)
安全自動(dòng)化

安全自動(dòng)化

安防知識(shí)網(wǎng)

安防知識(shí)網(wǎng)

手機(jī)站
手機(jī)站

手機(jī)站

大安防供需平臺(tái)
大安防供需平臺(tái)

大安防供需平臺(tái)

資訊頻道橫幅A1
首頁(yè) > 資訊 > 正文

淺析天闐IDS協(xié)議自識(shí)別(VFPR)技術(shù)

        近期,市場(chǎng)上研發(fā)了一種高效的協(xié)議自識(shí)別方法—VFPR方法 (Venus Fast Protocol Recognition)。VFPR方法對(duì)所有網(wǎng)絡(luò)協(xié)議進(jìn)行統(tǒng)計(jì)分析和對(duì)現(xiàn)有協(xié)議自識(shí)別方法進(jìn)行了深入研究,基于協(xié)議指紋匹配和協(xié)議規(guī)則驗(yàn)證技術(shù)實(shí)現(xiàn),能夠在網(wǎng)絡(luò)協(xié)議通信初期根據(jù)前期網(wǎng)絡(luò)報(bào)文特征自動(dòng)識(shí)別所屬協(xié)議類型,具有識(shí)別準(zhǔn)確率高、實(shí)時(shí)性好、通用性強(qiáng),及運(yùn)行效率高等優(yōu)點(diǎn)。

        當(dāng)前主流IDS/IPS產(chǎn)品都廣泛采用應(yīng)用層協(xié)議深層解析技術(shù)來(lái)實(shí)現(xiàn)基于協(xié)議攻擊特征和協(xié)議異常的入侵檢測(cè)。而要真正實(shí)現(xiàn)對(duì)應(yīng)用協(xié)議數(shù)據(jù)流的正確解析,必須首先正確判斷該協(xié)議數(shù)據(jù)流的協(xié)議類型。目前多數(shù)IDS/IPS產(chǎn)品都基于端口映射機(jī)制來(lái)判別應(yīng)用協(xié)議數(shù)據(jù)流所屬協(xié)議類型,比如:如發(fā)現(xiàn)捕獲的網(wǎng)絡(luò)報(bào)文中源或目的端口為80 ,則認(rèn)為它為HTTP協(xié)議相關(guān)報(bào)文,對(duì)這些網(wǎng)絡(luò)報(bào)文進(jìn)行流重組后直接交給HTTP 協(xié)議分析引擎進(jìn)行協(xié)議解碼和入侵檢測(cè)。但隨著各種新型網(wǎng)絡(luò)協(xié)議以及各種惡意軟件的出現(xiàn),這種基于端口映射來(lái)判別網(wǎng)絡(luò)報(bào)文所屬協(xié)議類型的方法正受到嚴(yán)峻挑戰(zhàn):

        1)目前涌現(xiàn)出了一批新型網(wǎng)絡(luò)協(xié)議,包括SIP和P2P協(xié)議等,它們并不采用固定協(xié)議端口,而是在協(xié)議運(yùn)行過(guò)程中動(dòng)態(tài)協(xié)商端口,因此無(wú)法預(yù)先為這些協(xié)議設(shè)置應(yīng)用協(xié)議類型判別端口;

        2)各種木馬、間諜和僵尸等惡意軟件,它們?yōu)槎惚躀DS/IPS產(chǎn)品的入侵檢測(cè)都采用了一些特殊的處理方式,主要表現(xiàn)為:

▲并不使用固定通信端口進(jìn)行通信;

▲采用公知端口(比如80端口)進(jìn)行私有協(xié)議通信;

▲采用隧道技術(shù)進(jìn)行私有協(xié)議通信(比如HTTP隧道技術(shù))。

        3)一些有經(jīng)驗(yàn)的管理員經(jīng)常將一些常見(jiàn)網(wǎng)絡(luò)應(yīng)用服務(wù)移到非周知端口,以降低來(lái)自外部攻擊的風(fēng)險(xiǎn)系數(shù);

        4)有大量的服務(wù)(比如ftp)運(yùn)行在非周知的默認(rèn)端口之上(比如2121),對(duì)于該類型服務(wù)的攻擊,一般的IDS都會(huì)因?yàn)闊o(wú)法判斷通信報(bào)文的協(xié)議歸屬而產(chǎn)生漏報(bào)。

        由此可見(jiàn),網(wǎng)絡(luò)報(bào)文端口將不再是一種可靠的應(yīng)用協(xié)議類型識(shí)別方法,需要一種能夠根據(jù)應(yīng)用協(xié)議數(shù)據(jù)流特征來(lái)智能識(shí)別其所屬協(xié)議類型的協(xié)議自識(shí)別方法,并且該方法的準(zhǔn)確性、實(shí)時(shí)性和算法效率將直接影響到產(chǎn)品誤報(bào)率和漏報(bào)率。為了讓讀者更好地理解協(xié)議自識(shí)別技術(shù)的重要性,先讓我們來(lái)看一個(gè)案例。

典型案例
        A企業(yè)由于業(yè)務(wù)需要,在其業(yè)務(wù)網(wǎng)絡(luò)環(huán)境中部署了一臺(tái)郵件服務(wù)器,并配置標(biāo)準(zhǔn)SMTP端口25作為其對(duì)外服務(wù)端口。同時(shí),出于安全性考慮,A企業(yè)想在其企業(yè)內(nèi)部部署一臺(tái)IDS,以實(shí)現(xiàn)對(duì)該郵件服務(wù)器的重點(diǎn)安全防范。由于B廠家IDS提供了高層協(xié)議SMTP解析功能,A企業(yè)認(rèn)為它可以基本滿足其安全需求,因此就購(gòu)買并部署了B廠家的IDS系統(tǒng)。[nextpage]

        某天,A企業(yè)網(wǎng)絡(luò)管理員發(fā)現(xiàn)該郵件服務(wù)器遭到了來(lái)自外部的遠(yuǎn)程漏洞溢出攻擊。雖然本次攻擊沒(méi)有成功,但考慮到安全性,網(wǎng)絡(luò)安全管理員將在郵件服務(wù)器的開(kāi)放服務(wù)端口從標(biāo)準(zhǔn)STMP25號(hào)端口移動(dòng)到了20000,并作了一些安全加固工作。沒(méi)過(guò)幾天,該服務(wù)器再次遭到外部攻擊,重要郵件全部丟失,但是該廠家IDS沒(méi)有報(bào)警。在與B廠家技術(shù)人員進(jìn)行溝通后得知,該廠家IDS沒(méi)有協(xié)議自識(shí)別功能,它依據(jù)標(biāo)準(zhǔn)25號(hào)端口來(lái)識(shí)別SMTP協(xié)議類型,如果更換SMTP服務(wù)端口,B廠家的IDS無(wú)法正確識(shí)別20000端口上的SMTP服務(wù)報(bào)文,對(duì)于黑客的針對(duì)SMTP郵件服務(wù)器的攻擊滲透毫無(wú)知覺(jué),最后,損失慘重。唉,要是有協(xié)議自識(shí)別就好了!

現(xiàn)有協(xié)議自識(shí)別技術(shù)不足
        目前,市場(chǎng)上僅有少數(shù)幾款I(lǐng)DS/IPS產(chǎn)品具有這種協(xié)議自識(shí)別功能,但是它們存在以下不足:

        1)有些方法單純基于協(xié)議數(shù)據(jù)流所包含的某個(gè)關(guān)鍵字就認(rèn)為識(shí)別出了其所屬協(xié)議類型,比如當(dāng)匹配到”GET”關(guān)鍵字時(shí)就認(rèn)為是HTTP協(xié)議,而沒(méi)有對(duì)本次協(xié)議識(shí)別結(jié)果進(jìn)行驗(yàn)證,缺點(diǎn)是誤報(bào)率高;

        2)有些協(xié)議自識(shí)別方法將整個(gè)協(xié)議數(shù)據(jù)流當(dāng)作一個(gè)文本,采用文本分類和檢索方法來(lái)識(shí)別其所屬協(xié)議類型,因此無(wú)法識(shí)別二進(jìn)制格式的協(xié)議;

        3)有些協(xié)議自識(shí)別方法工作時(shí)需要捕獲未知協(xié)議流的多數(shù)網(wǎng)絡(luò)報(bào)文,存在協(xié)議識(shí)別結(jié)果上的滯后性,無(wú)法滿足實(shí)時(shí)性要求;

        4)現(xiàn)有多數(shù)協(xié)議自識(shí)別方法算法實(shí)現(xiàn)復(fù)雜,并且沒(méi)有采用有效的優(yōu)化措施來(lái)提高協(xié)議自識(shí)別的性能,導(dǎo)致IDS/IPS產(chǎn)品在開(kāi)啟協(xié)議自識(shí)別功能后性能低下,因此默認(rèn)情況下關(guān)閉此功能。

啟明星辰協(xié)議自識(shí)別技術(shù)優(yōu)勢(shì)
        在對(duì)現(xiàn)有協(xié)議自識(shí)別方法進(jìn)行深入研究以及對(duì)目前所有網(wǎng)絡(luò)協(xié)議進(jìn)行統(tǒng)計(jì)分析后,啟明星辰公司成功設(shè)計(jì)了一種高效的協(xié)議自識(shí)別方法——VFPR方法 (Venus Fast Protocol Recognition)。該協(xié)議自識(shí)別方法基于協(xié)議指紋識(shí)別和協(xié)議規(guī)則驗(yàn)證技術(shù)實(shí)現(xiàn),能夠在網(wǎng)絡(luò)協(xié)議通信初期根據(jù)前期網(wǎng)絡(luò)報(bào)文特征自動(dòng)識(shí)別所屬協(xié)議類型,并采用預(yù)先建立的協(xié)議驗(yàn)證規(guī)則進(jìn)一步驗(yàn)證協(xié)議識(shí)別結(jié)果正確性。VFPR方法包括前期協(xié)議樣本特征提取和在線協(xié)議識(shí)別兩個(gè)階段,其中,協(xié)議樣本特征提取階段包括協(xié)議類型樣本的協(xié)議指紋提取和相應(yīng)協(xié)議驗(yàn)證規(guī)則建立過(guò)程,協(xié)議識(shí)別階段包括協(xié)議指紋快速匹配和協(xié)議識(shí)別結(jié)果快速驗(yàn)證等過(guò)程方法。VFPR方法的協(xié)議指紋識(shí)別過(guò)程基于快速哈希表方法實(shí)現(xiàn),而協(xié)議驗(yàn)證規(guī)則執(zhí)行過(guò)程基于高效的專用網(wǎng)絡(luò)報(bào)文處理虛擬機(jī)實(shí)現(xiàn)。

與其它協(xié)議自識(shí)別方法相比較,VFPR方法優(yōu)勢(shì)在于:
        ▲VFPR方法同時(shí)支持對(duì)文本格式和二進(jìn)制格式協(xié)議,功能完備;

        ▲僅依據(jù)協(xié)議流前期報(bào)文就可以識(shí)別協(xié)議類型,可以滿足實(shí)時(shí)性要求;

        ▲一旦識(shí)別成功,可以智能記憶識(shí)別結(jié)果,對(duì)后繼的通信可以起到“協(xié)議導(dǎo)航”的作用,既提高了效率,又避免了因識(shí)別時(shí)機(jī)滯后所帶來(lái)的漏報(bào);

        ▲識(shí)別規(guī)則可以靈活配置,可以像升級(jí)事件特征庫(kù)一樣定期對(duì)協(xié)議指紋庫(kù)進(jìn)行遠(yuǎn)程在線升級(jí),以增加新的協(xié)議識(shí)別規(guī)則;

        ▲VFPR方法效率高,并可基于配置文件在協(xié)議識(shí)別結(jié)果準(zhǔn)確率和算法效率之間進(jìn)行調(diào)整,模塊靈活性和可操作性強(qiáng),可滿足各種應(yīng)用場(chǎng)景。

        目前,VFPR方法已經(jīng)成功應(yīng)用到啟明星辰的天闐IDS產(chǎn)品中,測(cè)試結(jié)果表明,VFPR方法的實(shí)時(shí)性和準(zhǔn)確率高,算法開(kāi)銷較小,在不影響現(xiàn)有IDS檢測(cè)引擎性能的情況下,有效提高了天闐IDS產(chǎn)品的檢測(cè)準(zhǔn)確率。

參與評(píng)論
回復(fù):
0/300
文明上網(wǎng)理性發(fā)言,評(píng)論區(qū)僅供其表達(dá)個(gè)人看法,并不表明a&s觀點(diǎn)。
0
關(guān)于我們

a&s傳媒是全球知名展覽公司法蘭克福展覽集團(tuán)旗下的專業(yè)媒體平臺(tái),自1994年品牌成立以來(lái),一直專注于安全&自動(dòng)化產(chǎn)業(yè)前沿產(chǎn)品、技術(shù)及市場(chǎng)趨勢(shì)的專業(yè)媒體傳播和品牌服務(wù)。從安全管理到產(chǎn)業(yè)數(shù)字化,a&s傳媒擁有首屈一指的國(guó)際行業(yè)展覽會(huì)資源以及豐富的媒體經(jīng)驗(yàn),提供媒體、活動(dòng)、展會(huì)等整合營(yíng)銷服務(wù)。

免責(zé)聲明:本站所使用的字體和圖片文字等素材部分來(lái)源于互聯(lián)網(wǎng)共享平臺(tái)。如使用任何字體和圖片文字有冒犯其版權(quán)所有方的,皆為無(wú)意。如您是字體廠商、圖片文字廠商等版權(quán)方,且不允許本站使用您的字體和圖片文字等素材,請(qǐng)聯(lián)系我們,本站核實(shí)后將立即刪除!任何版權(quán)方從未通知聯(lián)系本站管理者停止使用,并索要賠償或上訴法院的,均視為新型網(wǎng)絡(luò)碰瓷及敲詐勒索,將不予任何的法律和經(jīng)濟(jì)賠償!敬請(qǐng)諒解!
? 2024 - 2030 Messe Frankfurt (Shenzhen) Co., Ltd, All rights reserved.
法蘭克福展覽(深圳)有限公司版權(quán)所有 粵ICP備12072668號(hào) 粵公網(wǎng)安備 44030402000264號(hào)
用戶
反饋