网络安全 频道

东软视点:应用层检测需要看“三度”

  谈到对应用层的深度检测能力,虽然目前市场上有不少类似的技术,东软与其比较点就在于更快的速度、更细的粒度、更好的精确度至关重要,能够更细致的对QQ、MSN、H.323、SIP等应用协议进行控制。

  新的趋势

  近年来,来自互联网的攻击,已经逐渐从网络层转向应用层,WEB恶意代码、蠕虫病毒、间谍软件、垃圾邮件、木马在互联网上屡见不鲜,日益增多的应用层攻击,正成为威胁用户安全新的挑战。

  企业应用的发展必然要求数据的开放。但是,数据开放的另一面就可能造成信息的泄露,或者遭遇黑客的攻击,遗失密码等重要的数据。传统上,银行、电信、电力等大型行业用户的数据中心通常部署着数十台甚至数百台网络服务器,分属于数十个不同的业务部门。这些服务器都有安全防护的需求。

  为此,东软推出NISG集成安全解决方案,集成网关首要的目标是面向应用的深层防护。总的来看,东软NISG集成了一个标准的包括防火墙,VPN、防垃圾邮件网关、IPS、Web网站的安全防护、高端的动态路由以及 Netflow的支持、上网行为管控的系统。

  第一度:关注应用协议

  NISG中引以为傲的,就是东软的NEL应用层检测技术。据介绍,源于东软专利应用协议的NEL技术是一种成熟的、先进的检测技术,与传统检测技术相比较,该技术能够大幅提升对攻击检测的命中率和科学性。

  NEL是东软NISG产品的核心专利技术,该技术可将引擎、协议分析和攻击检测数据通过NEL快速融合。NEL增加了检测技术的兼容性,检测粒度非常精细,从而提高检测的效率、提高快速防御功能、提升用户的网站安全性,所以能够更加准确的判断网络工具行为。

  需要指出的是,目前NEL在协议深度控制方面,有超强的安全检测功能,国内目前没有其他企业能够支持。

  第二度:完善的协议支持

  东软NISG通过NEL实现了全面的高级动态路由协议支持,包括RIPV1、V2,OSPF和BGP。以上协议均能实现完整的协议配置及效果,已达到通信行业标准接入能力,完全可替代以太网接入的边界路由器。

  目前,通过NEL技术,东软NISG安全网关能够识别BitTorrent,DC,eDonkey (eMule),Gnutella,KaZaA、AIM,MSN Messenger,Yahoo! Messenger,Skype,ICQ,IRC,QQ 等P2P、IM协议,设备可以对其进行控制与管理

  此外,NISG可在网路中部署为透明模式、路由模式、混合模式及虚拟混合模式,方便安全产品实施;并且VPN模块也能完全在以上模式中部署,更加增强了网络安全的VPN扩展。

  第三度:抓住内容安全命脉

  NISG的防病毒功能采用了多层次的高速特征匹配检测及恶意代码行为的未知检测相融合的先进检测机制,能够对木马、病毒、蠕虫等十余类恶意代码进行多层次扫描和高速匹配检测。同时它还支持对多种协议内的恶意代码检测和基于恶意代码而衍生的恶意行为检测。在检查数量方面可检测恶意代码数量级已超过百万种千万级,并仍持续增加。

  对病毒的采集和分析方面,在前端由蜜罐、诱饵信箱、人工采集、第三方样本上报(交换)等方式组成了庞大恶意代码捕获网络;在后端采用专业的病毒分析流水线的方式对捕获样本进行全面系统的分析和处理。通过以上方式能够对Internet中的各种新老病毒做到快速准确响应。同时,后台专业的恶意代码工程师团队也能确保为客户提供优质的支持服务。

  另外,通过对NEL的采用,东软NISG的防垃圾邮件实现了自动扫描和手动配置过滤功能,全面满足不同用户的不同需求。自动扫描功能采用了业界领先的服务器加端的整体架构,服务器端会将来自全球的邮件来源历史和最新的发件人信誉数据进行汇总分析。

  此外,NEL技术的使用确保了东软安全设备对URL过滤功能的支持。据悉,NISG中采用了独特的“数据云”基础结构。通过云端每天对全球网络进行数十亿次的数据源分析,形成更新及时、分类明确且具有海量数据的“数据云”。通过与云端的配合,用户可以通过对设备的简单配置完成对不同类URL地址的放行或阻止。同时,灵活的手动配置功能也允许用户自定义任意URL地址的黑白名单。

0
相关文章