CloudEngine12800交换机IPS安全插板技术白皮书.docx

《CloudEngine12800交换机IPS安全插板技术白皮书.docx》由会员分享，可在线阅读，更多相关《CloudEngine12800交换机IPS安全插板技术白皮书.docx（17页珍藏版）》请在课桌文档上搜索。

1、IPS安全插板技术白皮书文档版本V1.0发布日期2015-05-271. 互联网安全趋势31.1. 更多的安全威胁31.2. 常用的入侵手段32. 华为IPS插板技术原理52.1. 总体架构52.2. 基础系统漏洞防护52.3. 客户端防护62.4. 已感染系统的活动防护72.5. 协议异常检潴72.6. 协议识别82.7. DDOS攻击防护82.8. 特征库升级93. 华为IPS插板的技术亮点113.1. 先进的基于漏洞的签名113.2. 高阶防躲避技术133.3. 可视化应用感知技术143.4. 多层DDOS防护技术153.5. IPv6检测能力163.6. 全球安全能力中心164. 部署

2、方式174.1. 插板IPS部署方式174.2. 插板IDS部署方式171 .互联网安全趋势1.1. 更多的安全威胁随着互联网飞速的发展，用户面临的威胁也日益严重。首先，服务器上安全的软件系统的规模越来越大，复杂度越来越高，软件不可能是百分之百的无缺陷和无漏洞的，然而，这些漏洞和缺陷恰恰是黑客进行攻击的首选目标，曾经出现过的黑客攻入网络内部的事件，大部分就是因为安全措施不完善所招致的苦果。同时网络上信息资源的丰富使得普通人很容易就能够掌握各种计算机技术，迅速找到各种软件的漏洞。其次，而由于互联网新兴应用的增长，比如社交网络，在线视频，微博等，使得互联网用户充分暴露在互联网环境下，使得攻击者有了

3、新的机会，大量的客户端漏洞被暴露，大量的攻击都开始瞄准用户。恶意的攻击者们受利益的驱使，通过攻击普通用户，得到如信用卡，帐号等隐私信息。再者，计算机安全知识涉及的面太广，一般客户难于采取有效的措施对网络进行安全防护。这几个因素使得安全威胁飞速增长，尤其是混合威胁所带来的风险。黑客攻击、蠕虫病毒、木马后门、间谍软件等威胁泛滥，机密数据被盗窃，重要数据被篡改、破坏，使客户遭受严重的经济损失。当网络安全设备还在以七层网络分层来讨论安全问题的时候，我们看到，现在的网络威胁已经聚焦在第七层即应用层，我们甚至可以亳不夸张的说，我们要面对的新兴的威胁，很多都已经渗透到“第八层”即内容层。新的网络威胁需要更先

4、进的网络安全产品，用户需要一种产品，不仅可以充分感知二层到七层来,甚至更需要深入到内容层来发现潜藏的新威胁。1.2. 常用的入侵手段黑客主要通过系统入侵和远程入侵渗透到网络中，常用的入侵手段可以概括为：入侵手段描述口令破解攻击者可通过获取口令文件，然后运用口令破解工具获得口令，也可通过猜测或窃听等方式获取口令连接盗用在合法的通信连接建立后，攻击者可通过阻塞或摧毁通信的一方来接管已经过认证建立起来的连接，从而假冒被接管方与对方通信第3页,服务拒绝攻击者可直接发动攻击，也可通过控制其它主机发起攻击使目标瘫痪，如发送大量的数据洪流阻塞目标网络窃听网络的开放性使攻击者可通过直接或间接窃听获取所需信息数

5、据篡改攻击者可通过截获并修改数据或重放数据等方式破坏数据的完整性地址欺骗攻击者可通过伪装成被信任的IP地址等方式来骗取目标的信任社会工程攻击者可通过各种社交渠道获得有关目标的结构、使用情况、安全防范措施等有用信息，从而提高攻击成功率恶意扫描攻击者可编制或使用现有扫描工具发现目标的漏洞，进而发起攻击基础设施破坏攻击者可通过破坏域名服务器或路由信息等基础设施使目标陷于孤立数据驱动攻击攻击者可通过施防病毒、特洛伊木马、数据炸弹等方式破坏或遥控目标第4页,2 .华为IPS插板技术原理2.1. 总体架构知识库入侵日志数据库 控制台用户界面系统总体框架IPS插板核心架构如上图所示。网络抓包引擎模块。网络抓

6、包引擎模块可以捕获监听网络中的原始数据包，做为入侵防御系统分析的数据来源。预处理模块。预处理模块主要是对数据报文进行协议解析以及标准化的过程。包括IP碎片重组、TCP流重组、HTTP、Unicode.RPC、Telrlet解码等功能。经过预处理模块处理之后提取相关信息,并将处理后的报文交给规则匹配模块处理。规则匹配模块。规则匹配模块对协议解码模块提交的数据，运用匹配算法和规则库中的规则进行比较分析，从而判断是否有入侵行为。控制台是引擎和外借明令交互的窗口，主要接受外部的明令执行相关操作。入侵日志数据库的作用是用来存储网络数据引擎模块捕获的原始数据、分析模块产生的分析结果和入侵相应模块日志等。提

7、供大量的日志存储以及为威胁报表生成提供依据。用户界面是用户和入侵防御系统互动的直接窗口，界面提供可视化的威胁分析、系统状态显示、用户指令输入接口等功能，以WEB方式提供给客户使用。2.2. 基础系统漏洞防护华为IPS插板支持对各种威胁类型的安全防护，并且紧跟互联网的最新威胁趋势，提供最新的最顶尖的防护能力。超越一般入侵防护系统所能防护范围。其中，通过阻挡针对系统漏洞的攻击，达到“虚拟补丁”的效果。漏洞指的是软件设计的缺陷或者错误。这些漏洞一旦被公布或被黑客挖掘出来就可能被利用来进行入侵攻击。这些被利用的漏洞可能导致以下安全威胁的出现，运行黑客下发的程序，自动从网络上下载文档，执行本地程序，损坏

8、应用程序。基础系统漏洞主要指的是操作系统的基本服务或者主流服务器软件的漏洞。这类漏洞往往是服务器安全性的大敌。其中尤以能够被远程利用的漏洞更为严重，尽管随着技术进步，现在的操作系统和服务器软件都会及时安装安全补丁，使得这类问题已经不再像过去那样严重。但无论如何，对于这类威胁的方式，始终是作为入侵防护产品所必需的基础功能，我们通过通用漏洞防护的技术（即基于漏洞的签名技术）来封堵最常被攻击者利用的漏洞。这类漏洞最常于微软的操作系统和软件，如LSASS和MS-RPCDCOM组件。有很多蠕虫和恶意软件都利用了这类漏洞来进行传播和攻击，如W32.Downadup和Confickero2.3. 客户端防护

9、偷渡式下载防护偷渡式下载防护是一种最为诡秘的入侵方式。在正常上网的情况下，计算机就自动下载了可执行的数据内容到用户终端上。这是在用户没有任何知悉的情况下发生的，这使得问题变得更加严重，统计显示，这己经是目前网络中最严重的入侵活动之一。主流网站往往成为这类“驱动下载”攻击的源点。IPS通过虚拟补丁的技术，充分保护浏览器和插件的漏洞不被利用，使得偷渡式下载无法实施。由于偷渡式下载利用的技术比较高级，其攻击内容又可以经过非常精心设计，并加入很多混淆技术，IPS网络智能防护会采用高级的反躲避技术来确保检测这些攻击。欺骗类应用软件防护黑客除了利用操作系统及其他应用软件的漏洞进行入侵之外，还有许多其他可利

10、用的手段，如利用社会工程学进行欺骗。通过一些欺骗手段使得用户执行了一些他们根本不希望的操作。这种基于社会工程学的欺骗攻击行为主要包括那些被统称为“误导应用”或“流氓软件”的攻击行为。华为IPS支持检测及防护“误导应用”的网络签名规则。以下是一些常见的网络“误导应用”：虚假编解码器第6页,目前网络上存在着数十种的语音及视频文件格式，而且大部分需要特定的播放器软件或版本才能进行播放。正因为这样，大部分的网络用户都了解，有时候为了播放某个格式的视频或语音文件他们必须下载或更新播放软件，以解码二进制文件并播放。恶意软件编写者一般会把成人网站或者视频教材等相关视频、语音文件作为欺骗手段的一部分，先显示相

11、关视频介绍及播放点击按钮，当用户点击按钮查看视频内容时则提示用户需要下载及安装编解码器。当用户点击下载时，实际下载及安装的却不是编解码器而是恶意软件。虚假安全扫描网站现网上存在着多种多样的虚假安全扫描网站的广告。欺骗者架设好虚假的安全网站，受骗用户访问该网站时会自动弹出告警窗口，告知访问者他们的主机存在安全威胁或已被入侵，要求用户下载安装他们的威胁清除软件等。华为检测到大量利用这种恐吓策略欺骗用户的所谓安全站点。间谍/广告软件检测间谍及广告软件继续成为企业的安全威胁。为缓解这种威胁，IPS支持对间谍/广告软件的检测。间谍/广告软件也许不会在网络内主机间传播，但却是非常需要关注的问题。入侵防护系

12、统是否能够对间谍/广告软件的检测能力可以成为企业决定是否允许应用这类软件的决策依据。2.4. 已感染系统的活动防护各种多形态的病毒变形不断快速出现，对常规的防病毒软件带来了很大的挑战。网络IPS是一个很好的病毒辅助检测设备。当被感染主机的病毒程序通过网络进行通信，企图更新自身版本或下载其他恶意程序以进一步控制被入侵主机时，基于相关签名，IPS能够检测到这类通讯报文，报告已被感染了的主机。当IPS检测到相关主机受病毒感染的警报时，需要使用最新的杀毒软件对受感染主机进行全面的安全扫描及病毒清除操作。2.5. 协议异常检测协议异常检测是一种非常基本的入侵检测手段。黑客通常利用网络上很多应用服务器在设

13、计中并不完善，对协议中的异常情况考虑不足的弱点对服务器加以攻击。通过向服务器发送非标准或者缓冲区溢出的通讯数据，进而夺取服务器控制权或者造成服务器宕机。IPS插板支持对多种协议进行异常检测，通过深度协议分析，对于那些违背RFC规定的行为，或者对于明显过长的字段，明显不合理的协议交互顺序，异常的应用协议的各个参数等等，根据危害程度，识别潜在的针对应用服务器和客户端的入侵行为。第7页,协议异常检测覆盖的协议有：HTTP,SMTP,FTP,POP3,IMAP4,MSRPC,NETBIOS,SMB,MS_SQL,TELNET,IRC,DNS等等，覆盖常用的30多种协议。2.6. 协议识别传统的协议识别

14、是通过端口来识别协议，比如80端口就是HTTP协议，21端口是FTP协议，但是协议并不等于端口，SA协议分析技术引入了基于应用特征的深度识别，不是简单地通过知名端口来定义协议，可以根据协议特征进行智能识别，那么通过高级的协议识别技术，可以有效地降低IPS的误报率，系统不会因为HTTP运行在3128端口而漏过HTTP协议上的攻击。网络智能防护系统根据威胁检测需要，支持多种协议和文件类型的分析和识别。SA(ServiceAWareneSS)技术以流为单位，按报文顺序逐个检测IP报文报文载荷的内容，从而识别出流对应的协议，识别后通过解析内容的方式提取更详细的信息。即SA技术包含SA识别和SA解析两种

15、技术。特征跨多个报文连接状志/交互俏息L3: IP PacketL7 MessageSOUreC PortPProtocol多层次特征L4: TCP儿DP PacketSourceIPAddr IP AddrSA示意图AnplicatioilHTTPFPSMTP.SA识别技术能够深度分析数据包所携带的L3L7L7+的消息内容、连接的状态/交互信息(例如连接协商的内容和结果状态，交互消息的顺序等)等信息，从而识别出详细的应用程序信息(例如协议和应用的名称等)。SA解析技术是在SA识别出报文的协议之后，为了获取更详细报文内容，对被识别为指定协议的报文进行解析，获取报文中指定的字段的内容。例如解析H

16、TTP消息获取HTTP访问的URL等。2.7. DDOS攻击防护拒绝服务攻击也就是DoS(DenialofService)攻击，其目的是通过攻击使计算机或网络无法提供正常的服务。DOS攻击的特点有难于防范、破坏力强、易于发动、追查困难、危害面广。第8页,当攻击者控制了大量傀儡主机，利用这些分布在不同网络中的主机，同时发起一种或者多种拒绝服务攻击，则升级为危害更大的攻击手段：分布式拒绝服务攻击（DDoS,DistributedDenialofService）oDDOS指借助于客户/服务器技术，将多个计算机联合起来作为攻击平台，对一个或多个目标发动DoS攻击，从而成倍地提高拒绝服务攻击的威力。通常

17、，攻击者使用一个偷窃的账号将DDOS主控程序安装在一个计算机上，在一个设定的时间主控程序将与大量代理程序通讯，代理程序已经被安装在Intemet上的许多计算机上，当代理程序收到指令时就发动攻击。利用客户/服务器技术，主控程序能在几秒钟内激活成百上千个代理程序的运行。畸形包攻击Smurf攻击、LAND攻击、FRAGGLE攻击、IP分片攻击、PingOfDeath攻击、TearDrop（碎片）攻击、WinNUke攻击、LargelCMP攻击、TCPFIag攻击、IPSPoOfing攻击、ICMP重定向控制报文、ICMP不可达控制报文、IP地址扫描攻击、IP端口扫描攻击、IP源站选路控制报文、IP路

18、由记录选项控制报文、TraCert控制报文等。风暴（泛洪）型SYNFlood攻击、TCPFlood攻击、UDPFlood攻击、UDPFragmentFlood攻击、ICMPFlood攻击。应用层DDoS类HTTPGET/POSTFlood攻击、DNSQueryFlood攻击、DNSReplyFlood攻击、SIPFlood攻击、ConnectionFlood攻击、HTTPSFlood.2.8. 特征库升级IPS插板通过持续的升级最新的特征库，来获得最新的检测能力，给用户提供最新的保护。主要升级方式有：在线升级所谓在线升级，即IPS插板直接通过网络和华为的升级服务器连接，并下载最新的升级包。在线

19、升级有两种方式，手动和自动。手动升级即由用户自行在Web界面触发在线升级的操作，这种情况一般是有经验的网络管理员,他们希望自己来管理设备去尝试升级的时间，而不希望设备自动去连接升级服务器。第9页,自动升级是指用户指定一个时间，设备会在这个时间自动去尝试下载和升级最新的签名库。时间的设定可以是每天的特定时间或者每周某一天的一个特定时间。如果开启了自动在线升级，无需用户的干预，设备将时时刻刻具备最新的防护能力。木地升级当用户的网络不允许IPS插板直接连接升级服务器的时候，或者网络管理员不希望IPS插板主动连接外部服务器的时候，可以采用本地升级。本地升级的实质是人工从升级网站下载最新的特征库文件，然

20、后将这个文件导入到设备并加载的过程。3 .华为IPS插板的技术亮点3.1. 先进的基于漏洞的签名现今，要夸大IPS的签名数并作为一个亮点来做市场宣传是非常容易的事，很多厂商也确实在这么做，但实际上签名和生活中的很多事情一样，质量远远比数量要重要得多。在某些场合下，很可能一个拥有最少签名数量的厂商恰恰是最好的选择；更加普遍的情况是，一个充斥着基于特定攻击的，马马虎虎编写的，容易误报的和低效率的签名的入侵防护方案往往签名数量会很多。一个好的入侵防护引擎，其签名必定是基于漏洞来开发的。很多厂商选择编写大量的基于攻击(explokbased)的签名而很少写基于漏洞(VUlnerabiMybased)的

21、签名。这往往是由于引擎能力约束，或者威胁研究能力的限制引起的，不排除甚至仅仅是为了提升签名数来使得其宣传手册更加好看而已。下面是一条Snort的规则，属于典型的基于攻击的签名，用于匹配一种非常特定的模式。# -inboundExploit,inbound:133of7981,from01/06to06/13alerttcp$EXTERNAL_NETany-$HoME_NET135:139,445,1025(msg:,E2rbSHELLCODEx860x90unicodeNOOP,;content:1900090009000900090001;classtype:shel1code-detect

22、;sid:299906;rev:l;)这条签名的有效性不高，主要原因是因为它的目标非常狭窄，它是针对一个非常特定的攻击行为中的一个特定模式而编写的。用这种方法，每一种攻击的变种都需要一个新的签名来对应，如果有10,000个不同的攻击行为，你就需要10,000条不同的签名。不幸的是，拥有IoQOo条基于攻击的签名看上去很强大，但实际上，这类签名不但效率不高，且极其容易被绕开。躲避基于攻击的签名很容易基于攻击的签名检测狭窄，非常容易绕开，只需要我们稍微修改一两个字符就行，利用很多自动化的攻击工具很容易就能做这个事情。用一个简单的例子来说，如果有一个签名寻找“FUBAR123”这个特定字符串，那么你

23、只要修改一些大小写或者数字，比如“fUBAR124”，这样原先的签名就失效了。类似的，如果签名是基于某一种特定的攻击方法，那么攻击者只要稍微修改一下这个模式，就能完全躲开检测了。签名数量也会冲击性能网络IPS产品通过扫描网络数据流来检测是否有符合预置条件式的成分。每多一个条件和状态，都有可能对性能产生一定的影响。如果你用IOQoO条签名用来寻找HTTP或SMB数据流中的不同模式和条件，那么扫描的性能很可能会明显下降。测试机构已经不再扑!签名数作为指标第11页.第三方测试实验室和咨询机构已经意识到签名数量作为衡量IPS好坏的指标，他们评价那些依赖Snort的方案是“高度基于攻击的”。举例说，Ga

24、rtner在其最近的IPS魔术象限报告中对StrataGuard引擎做的评价：它基于Snort,大部分签名来自于第三方，比如来自Snort-variants,这些签名是高度基于攻击的。虽然这样可以降低成本，但是在需要最优秀的签名的场合这种方式就不怎么样了。这份报告同时称：当企业比较IPS产品的时候，签名质量维持着很大的权重。很多厂商雇佣外部威胁研究机构来作为他们签名的输入。Gartner注意到各厂商的签名库质量的差距在不断扩大。我们的方法我们的研究团队使用更加全面的视角来看待签名的创作。我们的目标是通过关注和研究每个漏洞的潜在演进(即一个漏洞很可能衍生出很多种不同的攻击方法)，以让用户最少操心

25、的方式，最迅速的将最新的保护能力提供给用户。编写签名采用的方法越是具备通用性，那么编写出来的签名越有可能不仅能保护现存的攻击，而且能保护未来新冒出来的针对已知漏洞或者类似漏洞的变种攻击。当应对一种威胁的响应时间非常重要的时候，我们也会编写一个基于攻击的签名，这确实是一个最容易的方法：既能够快速推出对应的签名，又具备较低的现网误报风险。但是马上，这些签名会被我们的安全团队重新审视提炼，来确认是否能够再次优化，即以更加通用的方法来重写，使得其能够保护更加广泛的攻击和漏洞。我们看看下面这些例子：# 1-20060-POP3GenericUserBufferOverflow这是一条能够检测通过POP3

26、协议进行缓冲区溢出攻击的签名，我们没有选择写3条不同的签名，而是用一条通用的签名覆盖了如下3个不同的BID漏洞。ReviIIoCMaiIServerRemoteBufferOverflowVulnerability(BID16997)HexamailPOP3ServerRemoteBufferOverflowVulnerability(BID25496)POP3_Proxy_USER_OVERFLOWVulnerability# 2-20903FTPCommandOverflow这条新签名用于检测FTP命令通道内的任何缓冲区溢出攻击。单单这条签名就能覆盖100个BID漏洞。我们可以选择针对每个

27、BID漏洞，逐个编写签名，但是我们使用了一个更加通用的方法来编写仅仅一条签名，该签名可以在我们的入侵防护产品中找到。我们拿这个签名和某个入侵防护产品厂商的签名比较一下，我们可以从其他厂商的签名库中看到,他们使用了8条签名来覆盖8个BID漏洞，而我们的一条签名却覆盖了100多个BID漏洞。此处提到的其他厂商覆盖的8个BID漏洞编号列表为：747,2124,5427,9675,9751,11772,12155,20076o#3-3条非常强大的签名，覆盖超过400个BlD漏洞这3条签名非常通用，能够覆盖超过400个BlD漏洞，其他厂商没有类似的签名。23476-FakeCodecRequestGen

28、eric22809-HTTPJavaScriptHeapSprayDetection21709-HTTPShellcodeDetection3.2. 高阶防躲避技术为了防范攻击者使用技术手段躲避检测，华为IPS插板基于技术积累，提供了多种防躲避技术，可以支持以下防躲避手段，包括：IP报文分片，TCP流分段RPC报文分片URL混淆FTP命令躲避但是，随着互联网威胁大量聚焦在新兴HTTP应用方面，攻击者很容易使用新的方法来绕开检测。比如：URL的混淆技术，如使用%和%u转义及符号进行URL混淆，请看以下HTTP请求头,一般用户和一般的检测程序无法从这个URL里看到真正连接的地址。http7(g)%

29、32%32%30%2E%36%38%2E%32%31%34%2E%32%31%33页面内容的混淆技术，请参看如下脚本内容，如果没有深度的解析程序，根本无法识别其真实的内容。%6E%75%6AS%6C%29-S%3C%73%63%72%69%7OJ%74-%2O%69-d%3D-%22%2B%69%2B%22a-%2O%73r%63-%2F%22+!ai!+%63p%3F*-%2B*n!avi%67%61S%74%6D%72%2E%614%7OpAN%63!m%61.%63h!a%72*%41%71(!%3O%29%2BS%22S%3E!%3O三%5C%5C%2FS%73%63%72%69%70

30、%74%3E-%5C)%3C%5C%2F%73%63ri-t%3E)n7#/%3C(%2Fdi%76%3E).replace(/#|&|!l-|NI$/g.,)：varwebhits-1：script一般的，HTTP/HTML防混淆技术的入侵防御产品，遇到这类经过精心构造的内容时，就无能为力。而华为IPS插板的核心引擎能够解码多种高级的编码/压缩混淆技术，从而将真正的恶意内容识别出来并阻拦。以下是一些常见的HTTP/HTML协议框架下的编码/压缩方法，IPS能够完全防御采用这些技术的混淆攻击。Base64encodingUTFEncodingURLEncodingCrosspacketdete

31、ctionChunkedcontentGzipencodingFragmentedcontent所以，华为IPS插板除了能够防范传统的躲避技术，还使用了高阶技术应对新型的内容层的防躲避技术，包括：URL高级混淆技术，HTTPBASE64编码，HTML随机占位符插入，JaVaSCriPt混淆，HTTPChUnked传输，HTTP内容压缩，HTTPheader混淆等等。3.3. 可视化应用感知技术华为IPS插板提供了灵活的应用流量控制手段，管理员可以精细设定什么人可以在什么时间使用怎样的应用。通过这个功能，网络管理员可以获得最大的网络流量可视化。应用流量控制方式支持阻断和限流，用户可以在策略中设定

32、是否允许某类应用的使用，也可以设定某类应用占用的网络带宽上限。通过这种方式，用户可以禁止(阻断)员工使用在线视频等影响工作效率的应用，也可以通过限制员工使用某类应用带宽上限，来确保企业关键业务的带宽不受损失。协议识别支持17个大类(P2P、VoIP、IM、WebBrowsingFileAccessProtocokVideoStOCk、Game、ProXy、AttaCk、EmaiI、NetWOrkAdministrationRemoteConneCtivity、NeWSGroups、Other),800多种协议/应用。并且，协议特征库支持自动在线升级。在使用华为IPS插板的时候，网络上的绝大部分

33、流量都可以被识别，并分类，因此能够给管理用提供最佳的可视化管理体验。3.4. 多层DDoS防护技术华为IPS插板是基于4层协议、7层应用层协议、行为分析的高级DDoS防护技术。基于4层协议的源验证核心思想是向访问防护目标的源IP发送带有CoOkie的探测报文，如果该源真实存在，则会对探测报文回应，且回应报文携带Cookie。IPS插板统通过校验CoOkie,即可确认该源IP是否真实存在。采用该技术可有效防御虚假源发起的SYNFlood.SYN-ACKFloodsACKFlood攻击。以SYNFlood防御为例，简单来说就是客户端发出一个SYN报文，IPS会拦截该报文并替代服务器用携带cooki

34、e的SYN-ACK报文响应该SYN报文，如果SYN报文来自真实源，该源IP主机会接收到SYN-ACK报文，并对SYN-ACK报文回应相应的ACK报文，那么在接收到ACK报文后对其进行合法性校验，如果确认ACK报文是此前发出的SYN-ACK报文的正确回应，则会将该源IP加入白名单，其后续TCP报文允许通过。相反如果SYN报文来自虚假源，那么该源不会对SYN-ACK报文产生正确回应，其后续报文会被IPS插板直接丢弃。当前DDoS攻击以基于应用层攻击为多，对于TCP类应用层攻击而言，僵尸主机和服务器会建立会话，因此对于这类攻击，一般的基于四层协议的源验证失效。以对WEB服务器发起的HTTPFlood

35、攻击为例，一般僵尸主机在建立会话后会以较高速率向WEB服务器发起URL请求。IPS通过深度解码HTTP协议来验证源是否是应用的真实客户端。如果是，建立白名单，允许其后续WEB访问流量通过；如果是僵尸工具发起的访问，则其和IPS插板之间建立起会话后继续尝试不停地发送URL请求，不会对IPS插板的反向探测报文进行回应，因此无法通过IPS系统的源验证，其后续访问流量会被直接丢弃，无法透到后端服务器。僵尸网络的攻击行为和正常用户的访问行为存在很大差别，主要表现在正常用户的访问具有突发性及无序性，而僵尸网络的攻击属于机器人攻击，频率恒定，或者访问的资源基本保持不变，或者攻击报文负载不变，可采用指纹学习或

36、访问频率行为学习防范该类攻击。利用行为分析可有效防范CC攻击、慢速攻击。35IPv6检测能力近年来，随着互联网的飞速发展，互联网上的主机数量以几何级数增加，而且新的业务也在不断的涌现，也正是这种高速的增长，使得当前的互联网陷入了前所未有的困境。虽然使用分配临时IPv4地址或网络地址翻译（NAT）等地址使用技术，在一定程度上对IPv4地址不足的状况有所缓解，但仍然无法回避IPv4地址即将被分配殆尽的问题。IPv6协议，彻底解决了IPv4地址不足的难题，并且在地址容量、安全性、网络管理以及服务质量等方面有明显的改进，是下一代互联网络协议采用的核心标准之一。华为IPS插板可以同时支持IPv6IPv4

37、双栈的漏洞防护，能够对流量进行识别并且解析出内层报文进行检测，从而适应各种复杂的网络。3.6. 全球安全能力中心华为IPS插板的背后，有华为自身的全球响应中心，提供强有力的响应能力。华为安全能力中心全球智能网络监视着互联网上的最新威胁变化。得益于这样一个庞大的智能网络，才能使我们始终保持着非常高的检测率，同时保持着极其低的误报率。这个网络是当前最大最复杂的智能网络，可以实现每年365天，每周7天,每天24小时的全球威胁响应。同时，我们的安全团队和许多软件供应商保持密切的联系。我们和这些软件供应商一起工作，使得我们能够在第一时间获得软件漏洞的信息，一个具体的例子是，华为是微软MAPP的官方合作伙

38、伴,微软在每个月的第二个周二发布安全公告，公开新发现的漏洞和对应的补丁。而我们IPS插板背后的安全团队，得益于和微软密切的合作关系，能够在这个时间之前，就从微软获得这些信息。所以我们能够在每个月微软发布安全公告的同时或者之前，发布对应的签名更新，真正实现零日防御。4 .部署方式4.1. 插板IPS部署方式客户主要面临的威胁和痛点是： 服务器被入侵，重要数据被偷窃，服务器停止服务甚至宕机； 浏览器、文件漏洞感染PC,隐私、身份数据的丢失。IPS插板的方式部署到华为核心交换机里面，逻辑上相当于“串联”在核心设备之间。IPS业务板工作在接口对（虚拟线）模式下，与交换机互联的两个接口固定从一个接口进从

39、另一个接口出，IPS不参与MAC地址学习转发。IPS插板提供的强大的虚拟补丁和DDoS保护能力，米最大程度提升服务器对外来威胁的抵御能力。通过文件病毒扫描和防护功能可以对邮件、Internet下载文件以及Web服务器上传文件进行病毒扫描，防止内网的服务器和PC感染病毒。4.2. 插板IDS部署方式华为IPS插板同时提供IDS部署的能力。在IDS部署场景下，客户可以将交换机流量镜像给IDS设备，设备对网络的安全进行风险分析和评估，通知管理员防范相关安全风险。IDS组网，即通过交换机镜像报文进入IDS进行检测，只进不出。说明：IPS插板工作在IDS模式下时，由交换机配置镜像，将需要做IDS检查的流量通过内联接口镜像到IPS插板，插板做完IDS的检测后就直接丢包；相应的检测结果通过日志的形式发往日志服务器。备注：此种场景下，因为是镜像过来的流量，检测完后是直接丢包，可靠性方面，IDS的失效本身不会对可靠性造成影响。