白皮书-基于协议的ips架构2017.pdfVIP

基于协议的IPS 架构 为威胁检测带来常识 如今，每一个 防御系统 (IPS) 都宣称能够提供协议检测。如果不进行严格 ， 这种说法可能是真的。所有安全厂商都能提供对常用协议的基本分析功能。不过， 特征码术语 事实是主要厂商的基本架构设计和检测流程十多年来始终一成不变，只有一家厂商例 ■  特征码：用于识别已知 外。 的一个 或 集。 ■  规则： 的实际语 Intel Security 基于协议的 IPS 检测方法与其他安全厂商有显著差异。 协议检测 则。 ■  字符串匹配：匹配 以解 作为 IPS 解决方案的基础，并基于这一架构构建了先进的智能功能以提供出色的保护 析流量的过程。 和 IPS 性能。大量第 安全有效性和性能测试 这一点。要了解 有关协议 检测在高效而有效的高级威胁防御中所起的作用的信息，请继续阅读本文。 特征码、无特征码引擎与协议检测 Intel Security 在 IPS 中使用了三种流量检测技术以检测 活动。了解每种技术有助于明确协议检测的 作用。 通过特征码匹配 已知威胁 特征码匹配（模式匹配）会扫描具有已知 特征码的流量以检测以前已被识别并分析过的 。这一 经过实践验证的检测方法被所有 IPS 、 以及防 检测系统所使用。一旦安全研究 确认了恶 意软件 的 并且了解了其行为方式，就会创建并发布特征码，特征码必须被用于所有 。 利用特征码能够识别未来出现的具有相同特征的 软件并加以 。尽管这一方法高效并且强大，但 由于特征码流程仍然会不可避免地导致漏洞防护间隙 — 从研究 检测到 软件、创建特征码到发 布特征码。 特征码匹配会过滤掉已知 的变体。不过，对于检测未知威胁（例如，新的 方法和高级逃避技 术），这种方法并不奏效。此外，特征码的大量使用可能导致较高的检测误报率。特征码匹配对于安全 解决方案一直具有价值，并且仍将起重要作用。大部分的安全厂商高度依赖特征码作为其首要的安全防 线，而 Intel Security 则认为它们只是多层防御战略中的一层。 无特征码引擎 无特征码检测是一种识别并 未知 的创新方法。无特征码检测所基于的理念是这一技术必须能够 通过分析意图或了解行为环境来识别未知威胁。 如今，Intel Security 凭借多种无特征码 软件检测引擎引领整个行业。通过在常规的基于特征码的防 御基础上增加一个包含三种不同分析方法的防御层，这些技术可以高度准确和可靠地识别并 未知恶 简单的字符串匹配不能检测 零日 意软件 ： 缓冲区溢出是一种常见 ， 并且不应当比 IPS 更智能。不 ■  代码分析：这些技术使用轻量级模拟、沙箱分析和高级静态分析，通过直接检查或执行代码来 过，当缓冲区溢出被用于零 评估和 文件及可执行文件的行为。 日 时，主要依赖规则和