IDP解决方案.doc

某某公司服务器安全解决方案
应用层保护系统应该具备的技术和条件
根据网站应用层保护系统(或俗称应用层防火墙)需要实现的目标,无论从功能上或技术上,应用层保护系统应该具备以下一些条件:
可以解读、分析网络层和应用层形态的网络流量数据包,使之具备检查应用层数据的基本能力,同时也可以分析网络层数据;
针对应用层数据报特征的多种检测技术——多重检测技术:
数据包状态签名技术和及时的更新提供
应用层协议异常检查技术
网络数据流量异常检查技术
后门检测技术
网络蜜罐引诱(反侦察)技术
网络哄骗检测技术
第二层攻击检测技术
同步泛洪检测技术
混合式攻击检测技术
(3)可以不断更新和数量足够多的应用数据匹配特征库,并且提供客户化的匹配特征用户定制能力;
(4)优化的策略设置功能,强大的事件跟踪和记录功能,为使用者提供完善的分析数据和报告。
IDP入侵检测和防护系统-攻击检测
当前,复杂的攻击以不同的方式出现在不同的客户环境中。Juniper网络公司IDP先进的攻击防护和定制功能有助于准确地检测攻击,并阻止其攻击网络,以避免产生损失。Juniper网络公司IDP 先进的攻击防护功能具有以下特点:
多种检测方法,包括复合签名、状态签名、协议异常以及后门检测。
开放式签名格式允许管理员查看攻击字符串如何匹配攻击签名,并根据需求对签名进行编辑。这种理解和定制级别允许管理员定制攻击签名,以满足独特的攻击要求。
全面的签名定制通过提供更高的控制能力,以适应签名的特定要求,从而增强检测独特攻击的能力。

多重方法攻击检测
Juniper网络公司的多重方法检测技术(MMD™) 将多种检测机制结合到单一产品中,以实现全面的检测。由于不同的攻击类型要求采用不同的识别方法,因此,仅使用几种检测方法的产品不能检测出所有类型的攻击。Juniper网络公司IDP采用多重方法检测技术能够最大限度地检测出各种攻击类型,确保不会遗漏关键的威胁。MMD 中采用的检测方法包括:
机制
说明
状态签名
仅检测相关流量中的已知攻击模式
协议异常
检测未知或经过修改的攻击方式。
后门检测
检测未经授权的交互式后门流量。
流量异常
检测包含多个会话和连接的攻击。
网络陷阱
检测模仿网络资源并跟踪对其进行攻击的攻击者。
第2层检测
检测第2层(ARP) 攻击。
DOS 检测
检测特定的拒绝服务攻击。
欺骗检测
检测IP欺骗攻击。
复合签名
将状态签名和协议异常结合在一起,检测单个会话中的复杂攻击。
状态签名检测
某些攻击可以采用攻击签名进行识别,在网络流量中可以发现这种攻击模式。状态签名设计用于大幅度提高检测性能,并减少目前市场上基于签名的入侵检测系统的错误告警。Juniper网络公司IDP跟踪连接状态,并且仅在可能发生攻击的相关流量部分来查找攻击模式。传统的基于签名的入侵检测系统在流量流的任意部分寻找攻击模式,从而导致较高的错误告警几率。
例如,要确定某人是否尝试以根用户身份登录服务器,传统的基于签名的IDS会在传输中出现"根"字样时随时发送告警,导致错误告警的产生。Juniper网络公司IDP采用状态签名检测方法,仅在登录序列中查找字符串"根",这种方法可准确地检测出攻击。
Juniper网络公司IDP的所有签