欢迎来到天天文库
浏览记录
ID:37638687
大小:767.30 KB
页数:9页
时间:2019-05-27
《Fortinet-飞塔IPS入侵防御解决方案白皮书》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库。
1、IPS白皮书Fortinet白皮书系统攻击检测白皮书在网关处阻止系统攻击www.fortinet.comIPS白皮书Fortinet白皮书1.系统威胁导言今天各个组织所面临的最大的苦恼是,如何描述所遇到的攻击和购买什么样的技术手段来发防御它们。例如:“应用层”究竟意味着什么,“蠕虫攻击、蠕虫和恶意软件有什么区别”。“应用”或者称为“应用层”是最容易混乱的概念了。例如,谁是“应用层”攻击的制造者?或者说制造商的产品具有“应用层”防护能力,意味着什么?从某种意义上讲,OSI的七层模型仅仅是对网络通讯进行模块化描述(见图1)。换
2、句话说,它仅仅是停留在网络通讯的模型层面上,而对实际通讯(比如电子邮件、web浏览器和SAP)等没有什么实际作用。即使象“SMTP”和“HTTP”这些通常被当作典型“应用层”的,实际上也是要确保高级别层次的应用能够和各种环境进行通讯。但是,更为复杂的是,确实确实有一些“网络层应用”是符合七层协议的,比如说Telnet和FTP。但是这些协议却更加深入地证明了“应用层”这个概念是多么地容易被误解的或错误地使用。OSI的模型从信息安全角度来看这表明什么呢?与该文章相关的关键点在于:在解释“应用层的攻击”和“应用层的防御”的概念
3、时候一定要小心,尤其是在市场材料中使用。目前没有定义好的或通用的概念。OSI的“应用层”确实是和网络层和传输层有所区别的,他们主要体现于网络通讯。例如,攻击对以下应用仍旧是有危害的:各种工具类应用的代码和www.fortinet.comIPS白皮书Fortinet白皮书命令(比如浏览器、web服务器、数据库),各种可以重新封包或修改的软件(比如Word和SAP),以及个人数据(比如个人保健信息等)。最有效和最精确的方法是:面向通讯的攻击和防御方法,面向文件的攻击和防御方法,面向数据的攻击和防御方法。2.攻击的生命周期分
4、析与前面讨论概念不同的是,本章节将清楚地描述攻击工作方式。和澄清“应用层”和“基于网络”的概念一样,讨论攻击的方法和作用对采用什么样的手段阻止它们是非常重要的。我们认为攻击一般是由以下四步组成的:1、传递是指一个攻击如何从源到目标的。本地执行的攻击往往是要靠手工导入和加载执行感染文件的。远程执行的攻击依赖于电子通讯和相关的协议,比如即时通讯、文件共享、邮件和smtp协议,以及TCP/IP或UDP/IP会话。2、渗透是指一个攻击如何最终进入它的目标的。对于本地执行的攻击,渗透这个环节是和传播捆绑在一起的。它涉及到系统控制或简
5、单地利用用户的许可权。对于远程执行的攻击,渗透就涉及到充分地利用了配置错误或代码漏洞。明显的是,与系统通讯服务相关或更高级别应用的漏洞是关键渗透的对象。3、加载是指运行攻击包中数据。这个环节是做破坏工作的,比如盗取信息,覆盖或复制存储的数据,关闭进程等等。它也要加载通讯模块让攻击者远程指挥下载和执行其他的内容。4、繁殖它是可选一个环节,但是非常普遍,是攻击的到处流散的一个重要步骤。例如,某攻击可以扫描地址段以发现其他主机,或者搜索本机中邮件地址本。在某些情况下,自我繁殖往往是某些攻击的唯一目的。后面我们会讨论这种类型。这种
6、以复制自己为目的无害行为很快地销声匿迹了。对攻击的生命周期进行阐述的另外一个目的在于,表明实际上有很多点可以阻断攻击的危害。不同的解决方案针对问题的不同的“层”,但也是问题的不同阶段。作为一个普遍规律,在攻击的进程中,越早阻断它,也就越最大程度上降低其危害。图2攻击的生存周期了解攻击是如何演变是一个最基本的工作。新的漏洞发布和采用该种漏洞的攻击之间的时间差明显地降低了。毋庸置疑的是,这种环境要求解决方案应该是更加主动地。另外,至少需要两个响应的重点,一个是ips另外一个是与之相关www.fortinet.comIPS白皮书
7、Fortinet白皮书的防蠕虫攻击工具。但是,两个关键点需要澄清:第一个问题,IPS和防蠕虫攻击区分是,IPS是主动的,而防蠕虫攻击是响应的。真实的世界中,这些技术的检测能力通常既是“主动”的和又是“响应”的。比如,绝大多数IPS解决方案是包含IDS类似特征值的方法的,优秀的防蠕虫攻击工具同样也具有启发式和基于行为的技术的。第二点需要澄清的是,当前主动模式的防御体系的需求是针对那些历史的漏洞,这些漏洞仅仅是因为新的蠕虫攻击又把这些漏洞给曝光了。这千万不要认为那些其他类型的攻击就没有了,而就减少那些攻击的防御工具。毕竟,攻击
8、一般都是针对性非常强的。确实,当前的恶意软件的发展趋势说明最为简单的文件型感染蠕虫攻击明显地下降,而其他的集成了蠕虫攻击和类似蠕虫攻击的组件的软件却在上升。混合式攻击明显地集成了文件和程序攻击两种方式。例如,Funlove具有蠕虫攻击和蠕虫的双重性质,Bagle.H也同样具有这两个性质。木马以垃圾邮
此文档下载收益归作者所有