2.1 深层防御
有数据显示,70%以上的攻击行为发生在传输层和应用层之间,我们称这类4-7层上的攻击为深层攻击行为。深层攻击行为有如下特点:
第一:新攻击种类出现频率高,新攻击手段出现速度快。
据美国CERT/CC的统计数据,2006年共收到信息系统漏洞报告8064个,比2005年增长了34.6%,漏洞数量的迅速增长标志着新攻击类型的迅速增长,而在同一份报告中,采用分布式蜜罐技术捕获的新攻击样本数量平均每天有近100个,最多的一天几近700,这意味着平均每天发现100种新的攻击手段,最多的一天发现的新攻击手段可多达700种,这是一个非常惊人的数据。
第二:攻击过程隐蔽。
文件捆绑:打开一份文档,结果执行了一个与文档捆绑的木马程序;文件伪装:可爱的熊猫图片,竟然是蠕虫病毒;跨站脚本攻击:仅仅是访问了一个网站的页面,就被安上了间谍软件。攻击行为正以越来越可以乱真的面貌出现。
除了深层攻击行为这些自身的特点外,越来越多的业务应用,也增加了判断攻击行为的难度:到底是正常的应用还是是违规的应用呢?
如何更好的实现对这些深层攻击的防御,是入侵防御系统需要解决的问题。
深层需要高效和准确,防御则意味着及时的阻断,深层防御需要兼顾两者。
2.2 精确阻断
启明星辰认为:深层防御之道,精确阻断为先。
精确阻断是深层防御的先决条件:没有实现对攻击行为的准确判断,误阻断了正常业务或者是没有阻断那些隐藏的、变形的攻击行为,都将给客户带来巨大的损失。而深层防御也对精确阻断提出了更高的要求:不能对新的攻击行为实现精确的阻断,深层防御就无从谈起。
深层防御、精确阻断,是天清入侵防御系统客户价值的核心。
