| 摘要:IPS的引擎设计的好坏是决定IPS入侵防御效果的核心,误报和漏洞是检验IPS引擎的两个关键指标。 |
签名数量VS签名质量
签名数量一直以来被认为是判断IPS能力的重要指标。签名的数量越多,表明能覆盖的攻击越多,也表示厂商在该领域拥有更多的积累和研究。其实,夸大入侵防护(IPS)功能里的签名数量是太容易的事,很多厂商就在玩以这些数字为中心的市场宣传游戏;但实际上,和生活中的很多事情一样,IPS签名的质量远远比数量要重要得多。在某些场合下,一个可以支持签名数量最少的厂商恰恰是最好的选择。而那些使用基于具体攻击的、容易出误报的签名的IPS方案往往在签名整体数量上很好看,但是性能和有效性却不高。换句话说,IPS签名数量并不是衡量IPS产品好坏的有效指标。
华为赛门铁克深知IPS签名质量和相应速度的重要性,因此以更加全面和宽阔的视角来开发IPS签名。华赛的目标是通过关注和研究每个漏洞的潜在演进,坚持开发基于漏洞的签名,以让用户最少操心的方式,最迅速地将最新的保护能力提供给用户。编写签名采用的方法越是具备通用性,编写出来的签名越有可能不仅能保护现存的攻击,而且能保护未来新出现的针对已知漏洞或类似漏洞的变种攻击。
当应对一种新型威胁的响应时间非常重要的时候,我们也会选择编写一些基于攻击的签名。因为这确实是一个最容易的方法:既能快速推出对应的签名,又具备较低的现网误报风险。但是一旦有时间,这些基于具体攻击的签名就会被重新审视提炼,来确认是否能够优化,即以更加通用的方法来重写,使其能够防御更加广泛的攻击。
即使某些签名原本已经是基于漏洞的签名,华赛也会重新审视,看是否可以再次优化和合并,使其覆盖更多的漏洞。
华为赛门铁克UTM+提升业务价值
华为赛门铁克联合赛门铁克,一方面在全球范围内关注最新的病毒和威胁的发展动态,以保证拥有最快速的特征更新能力,及时防护已知的攻击;另一方面采用基于漏洞的攻击和威胁的检测技术,保证了不仅能够识别已知的攻击类型,也能对未知的攻击做出及时有效的响应;高质量的签名则保证了IPS的低误报。对于客户而言,在降低安全风险的同时,也因较低的误报率带来了良好的业务体验。
华为赛门铁克UTM+中的网络威胁防护技术,与传统IPS相比具有主动防御的能力:不仅能发现已知的威胁,也能发现未知的威胁,且在这些威胁进入网络之前就能有效拦截。
与反病毒被动响应保护机制不同的是,华为赛门铁克UTM+的网络威胁防护能够提供真正的主动防御保护,主要拥有以下四大特性:
第一,通过有效检测网络流量识别与基于漏洞特征的攻击,能抵御未修补的和零日漏洞。
第二,能有效防御基于Web2.0和浏览器插件类型的攻击,还能拦击偷渡式下载,也能保护通用的Web应用程序的漏洞,如PDF reader。
第三,通过网络流量分析,能识别社会工程学型的攻击,如仿冒的恶意软件扫描页面、伪造的影视频解码组件和安装包,或者隐藏的执行文件等。
第四,可帮助识别并隔离已经受感染的系统,通过分析主机与网络中的僵尸网络的活动性,拦截主机到外部未知的恶意网站。
责任编辑:Lily
评论表单加载中...
