您好,欢迎来到南京金锟科技有限公司!
技术解析
您当前的位置:首页 > 技术方案 > 技术解析
虚拟软件补丁技术白皮书
编辑:admin 发布时间:2017-09-07 16:16:06

1.      摘要

本文中,我们探讨的是虚拟补丁背后的技术基础,它是高性能的入侵抵御系统(IPS)提供的一个功能虚拟软件补丁是抵御威胁的强大工具,它可以在几分钟内完成部署,保护您的整个网络。虚拟补丁依赖一种特殊类型的过滤器发挥作用,这种过滤器一般称为“漏洞过滤器”或“基于漏洞的过滤器”。漏洞过滤器可以在精确的阻挡针对特殊软件漏洞的攻击的同时,保障非攻击性流量顺利快速的通过。

现在来看一个具体的攻击示例-利用Microsoft RPC DCOM 缓冲溢出漏洞的Blaster蠕虫Nachi 蠕虫。该示例能帮您清楚的了解到过滤器开发者的重要职责,并且让你了解到引擎性能在 IPS 安全保护质量方面扮演了何种重要的角色。RPC DCOM案例和其他漏洞保护一样,在执行过程中会面临三个方面的挑战。首先,过滤器必须专门设计用来避免误报,因为阻挡合法流量会导致拒绝服务。其次,过滤器必须对抗躲避技术,因为未察觉的攻击会导致网络危险。最后,也是最重要的,当在实际网络速度和反应时间下进行线内操作时,必须有足够强大的检测引擎用以满足必要的测试标准。

一般情况下,性能不足的引擎只能使用更简单的针对特定攻击的过滤器或者策略类型的过滤器进行过滤,而不是精确漏洞过滤器。这种简单的过滤器给引擎带来的负荷比较小,但 误报漏报现象大大增加。通常,在假设引擎完全可以支持过滤功能的前提下,由于IPS执行越多的过滤逻辑,引擎的性能就越差,最后只能降低要求,在下列二者之间进行选择: (a) 执行简单过滤并得到可以接受的性能  (b)执行精确过滤但只能得到不可接受的性能。一些厂商用下面的办法避免这种进退两难的情况:他们首先将过滤逻辑设计成能够提高引擎的性能极限,然后根据具体用户网络的情况对IPS

合作伙伴
全国电话热线
025-85358123
E-Mail:sales@jinkun.cn,service@jinkun.cn
公司总部:南京市雨花台区 宁双路80号中和大厦A座1103-1105室
南京金锟科技有限公司 版权所有 Copyright©2003-2016 Nanjing JinKun Technologies Co.,Ltd,All rights reserved 苏ICP备06031613