TippingPoint过滤技术
TippingPoint入侵防御系统(IPS)产品线应用了四个独立而又互补的机制用来侦测和预防威胁:基于漏洞的的过滤包、攻击信号、以及流量和协议异常过滤。同时运用四种技术的能力是建立在TippingPoint特制的威胁抑制引擎专用集成电路的基础上的。
基于漏洞的过滤包能保护操作系统和应用中的漏洞,而且不是为某种系统特地开发的。那些过滤包就像一个基于网络的虚拟软件修复包,用来保护客户机下载流量免遭基于网络的,针对未打补丁的漏洞的攻击。当新的漏洞出现,将被攻击所利用时,漏洞过滤就会被及时创建。这些过滤工作将重新集合的7层信息进行处理,以完全检测应用数据流。过滤规则能够特制,以侦测触动某个应用配置缺陷(比如,异常的缓冲溢出应用)或规约说明(比如RFC异常)。
流量异常过滤用来检测流量模式的变化。那些过滤是自适应的,能够为TippingPoint IPS安置的特定环境学习所规定的“正常”流量模式。一旦流量的基准被定了下来,那些过滤就会根据可调阈值来侦测统计异常。流量异常过滤有效地抑制了分布式拒绝服务攻击、未知的蠕虫病毒、有欺骗性质的应用以及利用零天漏洞进行的攻击。TippingPoint特别重要的流量整形的能力是基于应用的种类、协议或IP地址的。协议异常过滤能够侦测超出常规的网络流量。异常过滤同时能侦测到有可能使攻击成功的情况以及正常流量从来没有碰到过的流量。这些过滤可以侦测多种攻击而没有任何误判。
攻击信号针对并非一定会被利用的漏洞,比如病毒和木马进行防护。那些过滤能够学习某种给定的攻击并以可执行的方式来侦测它们。
- 只有三种防护都启用其优异的安全性能才能体现。
- 零天攻击防御和未知攻击防御是建立在漏洞过滤和异常侦测的基础上的。
- 每种防护可以映射出很多不同的措施,包括:完全保护(阻隔)、速率限制、电子邮件通知、系统记录以及通过我们的SMS或是第三方系统来得到完全的网络管理系统支持。
- 异常防护确保应用能根据TippingPoint管理系统里的安全规则集通过自动使异常流量正常化来正常工作。
- TTippingPoint流量阈值特征是安全规则配置能建立在利用用户定义的时间间隔比如“每分钟”或“每个月”,从特定主机上通过的特定流量、连接和数据包的基础上的。
