道高一尺魔高一丈:安全防御的动感魅力
安全威胁变得越发狡猾和隐蔽,一系列新的算法和检测技术应运而生。为了更有效地检测与防护未知和已知的威胁,往往需要将多个前沿的检测技术组合成一个系统,提供启发式扫描和异常检测功能。
动态威胁防御系统对网络中每一个包进行检测,通过使用先进的检测技术完成行为检查、完全内容重组、深层包检查、启发式扫描和异常检测。
启发式扫描攻守自如
检测未知病毒是通过复杂的启发式扫描技术来进行的,这些技术需要用到文件头和实际的包内容来完成。相关的扫描技术包括:文件分析、蠕虫检测、文件类型分析、特征检查和启发式检查。
文件分析模块用于识别与HTTP、FTP、POP3等数据流有关的文件类型。
蠕虫检查模块对文件流进行多项检查。
文件类型分析模块对已知的文件类型使用专门的规则和策略检测相关的已知威胁。
特征检查模块以硬件加速的优势,用上万个已知的特征,用于扫描已知的威胁。
启发式检测模块会对包头和可移植可执行文件的引入段作进一步检测。
通过调整动态威胁防御系统所有的扫描和检测功能,用户对已知和未知威胁的攻击可确保最高的检测率。
异常检测随机应变
动态威胁防御系统的入侵检测/防御异常检测体系结构如图1所示。异常检测技术是通过分析整个数据包进行的,它远比基于特征的IDS更强。通过分别运用6个完全内容重组和关联的检测过程和动态威胁防御系统,会话信息被密切地跟踪和仔细的分析,以检测出最新冒出的威胁和未知的“零小时”(zero-hour)攻击。这些攻击包括蠕虫和木马等。先进的入侵检测/防御技术包括:状态检测、内容重组、通信协议检测、应用协议检测、内容检测、行为检测。
状态检测引擎跟踪每一个经过Fortinet安全平台会话的所有通信层——包括基于连接和非基于连接的协议。
内容重组模块重组所有的数据包,以保证包能以正确的顺序排列。
通信协议检测引擎保证协议确实是有效的,包括TCP、UDP、ICMP等。
应用协议检测引擎通过对协议头数值的有效验证,确保协议头符合合法的语法和语义。
内容检测模块使用复杂的评估系统和会话行为模板来进行深度包分析。
行为检测模块通过将双向会话信息的关联、数据信息、通道信息、控制信息、活动会话和僵尸会话信息进行集中分析,将异常检测带到一个新的水平。随着流量信息的积累,系统开发出正常流量模板知识,当有不良和异常流量流经Fortinet安全平台,它们会很快被识别并阻挡。
动态威胁防御系统将各种检测过程关联在一起,可以很好的检测各种已知和未知的攻击。
整体联动解决方案
当前安全产品的发展理念出现两种不同方向:一种是将多个厂商的技术组合在一起构成统一威胁管理产品,另一种是融合多种设备功能于一体,并根据这一理念创造了网络安全平台。而后者正为更多的用户所接受。
为了确保安全平台能使用最新的防病毒和攻击特征、启发式扫描和异常检测引擎,建立全球防护服务网络体系,保障及时自动更新升级也是整体方案的重要组成部分。
2004年,美国Fortinet (飞塔)公司被国际研究机构IDC证实为统一威胁管理(UTM)安全产品市场的引领者。其全系列FortiGate安全平台具有基于状态检测的防病毒、间谍软件、IDS、IPS、反垃圾邮件、Web内容过滤、带宽管理等技术,配合有日志和报告系统,建有全球服务网络体系,提供了一个完整的深层次安全解决方案,能对抗最新社会工程陷阱和混合型威胁,实现保障各种规模的有线和无线网络的安全。