亚冠

华为NIP签名库默认阻断率达80助力客户业务永续

2019-11-18 21:25:16来源:励志吧0次阅读

IPS产品对威胁的防护能力,很大程度上依赖于产品的签名库质量和签名的开启状态。当签名开启于告警状态时,则检测到攻击时IPS会产生告警日志;当签名处于阻断状态时,被检测到的攻击则会直接阻断并产生告警;当签名没有开启时,则无法匹配攻击,系统不会产生任何告警,更无法拦截攻击行为,企业网络面临被入侵和信息失窃的风险。

目前业界IPS厂商对外宣传的签名数量普遍都在3000以上,但是经过深入分析不难发现,有些厂商的IPS设备,虽然宣传提供3000+的签名库,但默认情况下开启为检测的签名很少,而开启为拦截的签名则更少(默认策略配置中开启为拦截的签名不足20%),这种情况下,其签名库的质量和设备处理性能就让人不得不打上一个大大的问号。

众所周知,签名库只有处于开启拦截的状态下,IPS设备才能真正发挥入侵防御的功能,但是另一方面签名的开启率会大幅消耗设备资源,签名开启率越高,对设备的性能要求就越高。而开启率的高低也直接体现签名的质量,往往默认开启率低的设备,要不是担心产生大量的误报从而导致对正常业务的终端,要么是担心大量的签名开启会明显降低产品的检测性能,。

如果设备产生漏报或者误报,用户的安全管理人员则会疲于奔命,这样的设备不仅不能对攻击有效防范,而且会对用户的正常业务产生严重的影响。对于在线部署的IPS来说,一旦拦截了攻击性数据包,就有可能对该数据包的会话进行阻断,更严格的策略则是对来自这个可疑IP攻击者的所有数据流进行拦截。如果触发了误报警报的流量恰好是某个客户订单的一部分,其结果可想而知,要么是这个客户的订单会话被关闭,或者是该客户所有的会话访问都会被IPS拦截。

只有具备高质量的签名库,确保检测的准确性,才敢于在默认策略配置中将签名置于开启检测和阻断状态。在华为智能网络入侵检测与防御系统(NIP)默认出厂的配置中,总量3500+的签名总数里,有超过85%的签名被激活,可以实时上线即检测;有超过80%的签名默认配置为阻断状态,上线即拦截攻击。华为NIP参加西海岸中国的测试时,签名的开启率高达97.7%,在这样的情况下,检出率达到93.3%,误报率为0,检测性能始终保持稳定。高质量的签名和极高的开启率,实现了高检出率和零误报,极大的保护了用户业务的正常运转。

凭借多年的安全积累,华为组建了一只专业的签名开发团队,致力于编写、优化高效的签名。不同于第三方机构的针对攻击报文开发签名,华为的签名开发团队往往都是基于漏洞的通用性来开发签名,这确保了NIP的签名不仅能防御现有针对该漏洞的攻击报文,而且能防御未来新的针对已知漏洞或者类似漏洞的变种攻击。优秀的签名可以保护更加广泛的攻击和漏洞,同时可以控制签名的数量,使得系统性能免受签名数量激增的冲击。如NIP的一条签名:

20060 - POP3 Generic User Buffer Overflow

该条通用的签名覆盖了如下3个不同的BID漏洞,而第三方机构往往会编写至少3条不同的签名:

RevilloC MailServer Remote Buffer Overflow Vulnerability (BID 16997)

Hexamail POP3 Server Remote Buffer Overflow Vulnerability (BID 25496)

POP3_Proxy_USER_OVERFLOW Vulnerability

更能说明NIP签名高质量的是如下三条签名可以覆盖超过400个BIN漏洞:

23476 - Fake Codec Request Generic

22809 - HTTP Javascript Heap Spray Detection

25938 - HTTP Shellcode Detection

签名的高质量、零误报以及较高的默认开启率和阻截率,可以将管理员从海量日志分析的工作中解放出来,让IPS产品的管理,使用和维护更加简单、轻松。

华为NIP产品签名库高达80%的默认阻断率,有效助力客户业务永续,凭借现网测试中的卓越表现,赢得越来越多用户的赞扬和认可, 2013年连续中标北京邮电大学出口防护项目、中广核安全防护项目等。

湖北哪家专科医院治癫痫病好
六盘水哪有癫痫医院
镇江治疗前列腺增生医院
青岛大学附属医院市北院区预约挂号
广西中医药大学附属瑞康医院预约挂号
分享到: