動態威脅防御系統對網絡中每一個包進行檢測,通過使用先進的檢測技術完成行為檢查、完全內容重組、深層包檢查、啟發式掃描和異常檢測。
啟發式掃描攻守自如
檢測未知病毒是通過復雜的啟發式掃描技術來進行的,這些技術需要用到文件頭和實際的包內容來完成。相關的掃描技術包括:文件分析、蠕蟲檢測、文件類型分析、特征檢查和啟發式檢查。
文件分析模塊用于識別與HTTP、FTP、POP3等數據流有關的文件類型。
蠕蟲檢查模塊對文件流進行多項檢查。
文件類型分析模塊對已知的文件類型使用專門的規則和策略檢測相關的已知威脅。
特征檢查模塊以硬件加速的優勢,用上萬個已知的特征,用于掃描已知的威脅。
啟發式檢測模塊會對包頭和可移植可執行文件的引入段作進一步檢測。
通過調整動態威脅防御系統所有的掃描和檢測功能,用戶對已知和未知威脅的攻擊可確保最高的檢測率。
異常檢測隨機應變
動態威脅防御系統的入侵檢測/防御異常檢測體系結構如圖1所示。異常檢測技術是通過分析整個數據包進行的,它遠比基于特征的IDS更強。通過分別運用6個完全內容重組和關聯的檢測過程和動態威脅防御系統,會話信息被密切地跟蹤和仔細的分析,以檢測出最新冒出的威脅和未知的“零小時”(zero-hour)攻擊。這些攻擊包括蠕蟲和木馬等。先進的入侵檢測/防御技術包括:狀態檢測、內容重組、通信協議檢測、應用協議檢測、內容檢測、行為檢測。
狀態檢測引擎跟蹤每一個經過Fortinet安全平臺會話的所有通信層——包括基于連接和非基于連接的協議。
內容重組模塊重組所有的數據包,以保證包能以正確的順序排列。 通信協議檢測引擎保證協議確實是有效的,包括TCP、UDP、ICMP等。
應用協議檢測引擎通過對協議頭數值的有效驗證,確保協議頭符合合法的語法和語義。
內容檢測模塊使用復雜的評估系統和會話行為模板來進行深度包分析。
行為檢測模塊通過將雙向會話信息的關聯、數據信息、通道信息、控制信息、活動會話和僵尸會話信息進行集中分析,將異常檢測帶到一個新的水平。隨著流量信息的積累,系統開發出正常流量模板知識,當有不良和異常流量流經Fortinet安全平臺,它們會很快被識別并阻擋。
動態威脅防御系統將各種檢測過程關聯在一起,可以很好的檢測各種已知和未知的攻擊。
整體聯動解決方案
當前安全產品的發展理念出現兩種不同方向:一種是將多個廠商的技術組合在一起構成統一威脅管理產品,另一種是融合多種設備功能于一體,并根據這一理念創造了網絡安全平臺。而后者正為更多的用戶所接受。
為了確保安全平臺能使用最新的防病毒和攻擊特征、啟發式掃描和異常檢測引擎,建立全球防護服務網絡體系,保障及時自動更新升級也是整體方案的重要組成部分。
2004年,美國Fortinet (飛塔) 公司被國際研究機構IDC證實為統一威脅管理(UTM)安全產品市場的引領者。 其全系列FortiGate安全平臺具有基于狀態檢測的防病毒、間諜軟件、IDS、IPS、反垃圾郵件、Web內容過濾、帶寬管理等技術,配合有日志和報告系統,建有全球服務網絡體系,提供了一個完整的深層次安全解決方案,能對抗最新社會工程陷阱和混合型威脅,實現保障各種規模的有線和無線網絡的安全。
入侵檢測/防御異常檢測體系結構
