湖南晨宇安全检测技术服务有限公司 走近网络安全检测技术

　　多年来，企业一直依靠状态检测防火墙、入侵检测系统、基于主机的防病毒系统和反垃圾邮件解决方案来保证企业用户和资源的安全。但是面临新型网络攻击，传统的单点防御安全设备已难以胜任。为了及时检测出最新的攻击，安全技术有待提高。
　　随着网络安全需求的增长，当前安全技术的发展趋势似乎有以下三方面的表现：增加基于网络的安全，关注深度安全检测技术，和开发动态威胁防御系统。
　　
　　增加基于网络的安全
　　
　　相比于基于主机的安全，基于网络的安全需求愈加突出。能够部署在现有的安全体系中来提高检测率，并在有害流量进入公司网络之前进行拦截。基于网络的安全设备“在线式(inline)”部署，阻挡攻击的能力要比传统的依靠镜像流量的“旁路式(bypass)”安全设备强得多。基于网络的安全设备的例子，包括入侵防御系统(IPS)、防病毒网关、反垃圾邮件网关和统一威胁管理(UTM)设备。
　　现今为了成功地保护企业网络，安全防御必须部署在网络的各个层面，并采用更新的检测和防护机制。作为一个设计优良的安全检测系统范例，它可以提供全面的检测功能，包括：集成关键安全组件的状态检测防火墙；可实时更新病毒和攻击特征的网关防病毒；IDS和IPS预置数千个攻击特征，并提供用户定制特征的机制等等。开发动态威胁防御系统
　　动态威胁防御系统(DTPS)是超越传统防火墙、针对已知和未知威胁、提升检测能力的新技术。它将防病毒、IDS、IPS和防火墙模块中的有关攻击的信息进行关联，并将各种安全模块无缝地集成在一起。
　　由于在每一个安全功能组件之间可以互相通信，并关联共享“威胁索引”信息，以识别可疑的恶意流量，而这些流量可能还未被提取攻击特征。通过跟踪每一安全组件的检测活动，实现降低误报率，以提高整个系统的检测精确度。相比之下，有些安全方案是由多个不同厂商的安全部件(防病毒、IDS、IPS、防火墙)组合起来的，则相对缺乏协调检测工作的能力。下图为美国Fortinet公司FortiGate安全平台的体系结构图，它通过集成的方式，采用动态威胁防御技术和高级启发式异常扫描引擎，实现实时安全防护。
　　动态威胁防御系统(DTPS)的原理可以简述如下。所有会话流量首先被每一个安全和检测引擎使用已知特征来进行分析。在特征模式的基础上，结合由硬件加速的精简模式识别语言，是当前识别已知攻击的有效方法。如果发现了特征的匹配，DTPS按照在行为策略中定义的规则来处理有害流量――丢弃、重置客户端、重置服务器、中止会话等。另一方面，安全防护响应网络可提供病毒库、IDS／IPS特征以及安全引擎最新版本，以保持实时更新。这就保证了基于最新特征的威胁会被识别出来，并被快速阻挡。
　　如果不能找到特征的匹配，系统就会启动启发式扫描和异常检测引擎，会话流量会得到进一步的仔细检查，以发现异常。通过使用最新的启发式扫描技术、异常检测技术和动态威胁防御系统，安全平台大大提高了对已知和未知威胁的防御能力，也利于使性能达到最佳。