网络安全 频道

NetEye IPS的多层应用规则架构

刚才已经介绍了NetEye IPS使用了NEL这种层次性的语言,实际上可以做到将很多事件进行关联,根据攻击的某个具体的特征定义的检测规则,这种规则又叫攻击规则,攻击规则未必能够表现漏洞的本质,因而可能存在漏报问题。如果一个攻击同时符合漏洞规则和攻击规则,NetEye IPS还可以将两者关联起来。这里的一个例子就是在间中发现是一段x86的代码,然后代进一步判断是否符合xe8、x07、x90等特征,如果该规则被检测到地则表明攻击者发起了一次特定的攻击。

  再看一下用户自定义规则,我曾经遇到过一个没有对网站进行任何的防护,只要一个普通的用户就可以在上面进行发布木马或安装木马,虽然这听起来比较低级可笑,但在国内确实这属于很普遍的。那么用户自定义规则,使用NEL定义允许外部访问的文件及路径列表,可以有效地阻止攻击者对于上传木马的访问。这利用了整个网站的环境信息,所以我们一直在强调环境信息是IPS它能够区别于IDS的一个非常重要的点。

  因为今天是电信的一个会议,我再略微讲一下启发式的规则,希望我们构建一种模式使大家都能找一种合理的模式,使得安全问题更进一步。昨天屈先生给我们讲了一个行为安全的问题,以计算机科学发展的水平来看,我觉得要完全的理解一个行为,以及行为的意义还是非常困难的,我做过很长时间人工智能方面的工作,实际上要了解意义要需要很长的时间。模式安全的含义是什么呢,实际启发式规则的理念也有人问什么是启发式规则,我们完全可以用之前、历史的信息来判断当前的流量是否安全。应用安全的复杂性使得我们有时候只能根据以往的用户使用模式,来判断当前用户使用模式是否为攻击,NEL强大的定制能力使得用户可以制定启发式规则,大大提高系统的安全性。用户可以与东软的工程师一起,针对自己的应用环境,开发出定制化的Web异常规则,增强系统的主动防御能力,更好地抵御各类SQL注入、URL攻击等等。启发式规则怎么用呢?经过一段时间的调研我发现一种最好的应用方式,单独的用户,尤其是中国大量的网站并不会因此而买一台IPS,IPS很贵的,我设想的一种模式就是像东软这样的厂商跟电信IDC和用户达成一个三位一体的形式,IPS进行建模,可能面对的是多个用户,但IPS并不需要知道网站各种的细节,所以本质上可以支持非常多的用户,复杂对相对来说是比较小的,我觉得种局面是很好的。

  再讲一下NEL开放式平台,我们希望它能成为应用安全领域的“JAVA”供大家使用,因为只有在使用中大家才会发现它有怎样的好处。NEL是NetEye IPS安全魔方中的的基础性平台。NEL具有很强的描述能力,通过引入事件的概念,并且还是一个过程语言,可以定义变量、结构、甚至还能定义谓词函数。NEL具备带来最大的开发模式上的变化,不像以前的一些程序,这些引擎分析和实践检测部分是捆在一起,每增加一种协议的支持都需要特定的东西。NEL就把这两件事分开,协议这部分带把是由协议分析人员实现的,这样也就会具有很高的效率。我希望基于NEL构造一个产业链NetEye IPS的多层应用规则架构—创新框架、开放平台,这是东软内部的一个开发小组,分成三层,NEL开发团队、NEL协议分析团队、攻击安全团队分别做三件事,技术合作伙伴也可以参与进来,NetEye IPS可以推广给更多的行业人员,NEL并不只适用于IPS,还可以适用于其它的部分。我的演讲就到这里,谢谢大家。

0
相关文章