更新时间:2022-06-23
IPS(Intrusion Prevention System)是一种安全机制,通过分析网络流量检测僵尸、木马、蠕虫等恶意威胁入侵,并通过一定的响应方式,实时地中止入侵行为,保护企业信息系统和网络架构免受侵害。入侵防御实现机制如下:
重组应用数据
数据流量进入IPS模块前,会先对IP分片报文重组和TCP流重组,确保应用层数据的连续性,有效检测逃避入侵检测的攻击行为。
协议识别和协议解析
根据内容识别出多种应用层协议,并根据具体协议进行精细的解码并深入提取报文特征进行入侵检测。
特征匹配
将解析后的报文特征和签名进行匹配,如果命中了签名则进行响应处理。
深信服下一代防火墙基于深度应用识别技术,能够对流经防火墙的数据报文进行深度应用层分析和检测,通过对数据报文进行协议分析和重组,并根据检测结果对数据报文做出响应动作。深信服下一代防火墙产品内置8000+主流IPS特库,正常每两周例行更新,重大事件24小时更新响应。由于IPS攻击检测主要依赖攻击特征匹配,IPS模块检测的精准度依靠规则库的数量和规则库更新的及时性,这种检测方式的劣势是无法针对复杂漏洞、未知漏洞进行防御。深信服自研的IPS反逃逸漏洞防御引擎在漏洞特征库的基础上,增加了行为分析检测技术,基于攻击泛化的漏洞覆盖技术,从漏洞共性攻击与利用方式,泛化出通用漏洞特征,利用最少规则检测更多的安全漏洞的能力。
同时,深信服通过与CNCERT、Google virus total等十余家权威机构的合作来实现共享威胁情报并接收到最全面的信息,实现对新型漏洞威胁的有效防御。
建议使用Chrome浏览器访问!
