天清IPS主打胶片.ppt

深层防御面临的挑战 深层防御之道，精确阻断为先 为什么是精确阻断为先 精确阻断是保障业务正常的前提，错误的阻断必定影响正常业务 深层防御，没有精确阻断作为前提，高效和及时都无价值 作好深层防御，需围绕精确阻断为核心来强化及时、高效 解读深层防御，分析关键要素 深层分析：精确＋高效； 在线防御：阻断＋及时 精确、及时都依赖专业安全研究 天清入侵防御系统在深层防御方面的表现 天清入侵防御系统架构设计完善可应对多类复杂攻击 天清入侵防御系统精确阻断能力达到国际领先水平 天清入侵防御系统最短时间优先，软硬件高效运行 天清入侵防御系统专业安全研究团队保障防御的及时性 第一， “积极防御技术实验室”（ADLABTM） 国内建立最早、最健全的攻防研究、事件分析团队 第一，信息安全博士后工作站在启明星辰 包括研究精确识别各类攻击的原始算法…… 第一，被授权察看微软源代码的信息安全厂家 第一，获得国内各种安全事件信息 第一，中国入侵检测、专业安全服务市场占有率第一 更多第一， …… 单一检测机制过于刚性，精确阻断能力有限 天清入侵防御系统动、静融合的“柔性检测”是精确阻断之髓 天清入侵防御系统保障精确阻断，柔性检测已深入每个环节 天清入侵防御系统精确阻断水平持续领先的组织保障 天清入侵防御系统 天清入侵防御产品系列 功能特性概述 在线部署，对原有网络和业务无影响 在线部署，内置双ByPass，不增加故障点 综合管理，易用、易查－策略配置管理 综合管理，易用、易查－报表分析 天清入侵防御系统-在线更新，防御最新攻击 典型应用环境-单级部署 典型部署环境-多级部署 多级部署，分权管理 谢谢 * 深层防御、精确阻断 深层防御之道 精确阻断之髓 天清入侵防御系统 典型组网模式 - 天清入侵防御系统 及时、精确、高效，作好深层防御，应何以为先？ 漏洞公布频率高 攻击变化速度快 攻击过程隐蔽 应用系统多样化 新漏洞攻击不识别，防御不及 攻击的变化未还原，防御不准 误把攻击当业务，防御失效 误把业务当攻击，防御失误 深层威胁 VS 深层防御 脚本 SQL 攻击类型多元化 单一算法、串行处理，效率低 22/天 96/天 需及时 需要精确 需精确 需高效 评价深层防御能力， IPS的精确阻断水平是关键 深 层 防 御 高效 及时 精确 阻断 精确阻断隐藏攻击 精确阻断变形攻击 保障业务正常 精确阻断新攻击 持续研究攻击原理 自主开发识别算法 软硬件技术成熟 不存在研究方向 优化算法 优化处理引擎 优化硬件资源利用 需要专业安全事件分析能力 精确 阻断 高效 及时 深层 防御 深层防御的关键要素，需要专业安全研究团队满足 深 层 防 御 高效 及时 精确 阻断 精确：架构设计完善，精确阻断能力达到国际领先水平 高效：硬件可平滑升级，软件从多维度优化 及时：专业攻防研究、事件分析团队保障及时性 公开协议/非公开协议 最详细的协议变量 上千种应用 碎片重组会话重组 精确事件定义 复杂攻击 多途径传播 多漏洞利用 多步骤攻击 完整的协议分析 无缝关联分析 多变形 变形拟态识别 关联分析方法 完善的攻击描述语言 对攻击和漏洞的研究 拟态识别 精确阻断 违规行为 自动攻击 手动攻击 攻击准备/事前 攻击/事中 攻击利用/事后 木马后门 溢出攻击 即时通讯行为 SQL注入攻击 间谍软件 P2P/网络游戏 流行蠕虫攻击 僵尸程序 异常协议行为 数据库漏洞攻击 恶意代码 脆弱口令行为 系统漏洞攻击 扫描探测 广告软件 溢出攻击 SQL注入 病毒变种 深层攻击 正常访问 最短时间优先，选择最优算法 内置多种匹配算法，根据网络流量特点自动选择效率最高的算法 最短时间优先，零等待并行处理 采用CPU绑定技术，减少串行处理带来的等待和切换时间 最短时间优先，充分利用硬件资源 自动检测硬件资源，并根据任务特点进行充分合理的分配 物尽其用，最大限度利用各种资源 TM 优势 能识别同原理的未知攻击 不受变形攻击的影响 检测面广，每个原理应对攻击数多 能精确识别特征不唯一的攻击 劣势 由于技术门槛高、扩充复杂、应对新攻击速度有限 特点 特征变，检测方法不用变 优势 简单、扩充迅捷，对各类新攻击的应变速度更快 劣势 仅能识别已知的攻击 检测面窄，每个特征应对的攻击数少 动攻击特征不唯一，不易精确识别 抗变种能力弱 特点 特征变，检测方法就要变 基于特征的检测机制 基于原理的检测机制 动态的检测 以变应变 精确阻断不全面 威胁/攻击 静态的检测 以不变应万变 精确阻断扩充复杂 充分提升精确阻断能力，需要消除刚性，走向融合 变形或未知攻击识别能力 扩充能力 精确检测覆盖面 对新攻击的应变能力 抗躲避能力 基于原理检测 （静态检测）