|
知识路径: > 网络安全 > 入侵防护系统 >
|
相关知识点:7个
|
|
|
|
|
(1)在线检查:这种产品被放置到数据流通路上,而不是从switch或其他设备那里获取数据流。在线系统可以分析并确认包和任务,检查出哪些通信是恶意的,并阻挡相关的数据包流。这对于产品的防护能力非常重要。
|
|
|
(2)陈述签名:为了有效处理千兆级的通信量,必须要采用某些稳定的检查方法。对于特定数据包的通信陈述,包括对于所分析数据包的认识能力。这提供了更大的吞吐量以及更短的反应时间,这也是企业应用所需要的。
|
|
|
(3)组合运算法则:没有任何一个运算法则能够单独地在把最多的入侵尝试阻挡在外的同时,并把错误肯定降低到最低的程度。入侵防护系统必须使用多种运算法则的组合。
|
|
|
签名分析是最强大的方法,但是它必须同协议/包异常检测配合使用。
|
|
|
协议/包异常检测关注的是在被认为是有敌意、恶意、不寻常的协议或包中的签名,这些协议或包可能是拒绝服务攻击的工具,可能发送大量的包到目标服务器。使用互联网聊天传递通道来同进行控制的黑客进行通信,该黑客可以指示传递工具开始攻击特定站点。通过采用大量的通信来攻击站点,黑客可以使该站点瘫痪,不能对合法的连接作出响应。
|
|
|
基于行为的技术没有那么精确,但是却能提供有价值的功能。这种技术包含了对已知通信模式的基准分析,然后建立起报警极限,当异常通信模式变化产生的时候就能够发出警告,比如大的数据流量可能意味着拒绝服务攻击。(大流量也可能意味着正常的网络通信。因此,通知可以保持或改变所需要的基础架构改变来满足合法的通信需求。)
|
|
|
(4)阻挡恶意通信:一旦一个恶意的行为被确认了之后,就对它进行阻挡,以此来保护目标服务器或设备。日志和警报是这些设备的功能。
|
|
|