多年來,企業一直依靠狀態檢測防火墻、入侵檢測系統、基于主機的防病毒系統和反垃圾郵件解決方案來保證企業用戶和資源的安全。但是情況在迅速改變,那些傳統的單點防御安全設備面臨新型攻擊已難以勝任。為了檢測出最新的攻擊,安全設備必須提高檢測技術。本文著重介紹針對未知的威脅和有害流量的檢測與防護,在防火墻中多個前沿的檢測技術組合在一起,提供啟發式掃描和異常檢測,增強防病毒、反垃圾郵件和其它相關的功能。
圖2 動態威脅防御系統的體系結構圖
為了使性能達到最佳,所有會話流量首先被每一個安全和檢測引擎使用已知特征進行分析。特征模式結合由硬件加速的精簡模式識別語言是當前識別已知攻擊最快的方法。如果發現了特征的匹配,DTPS按照在行為策略中定義的規則來處理有害流量——丟棄、重置客戶端、重置服務器、中止會話等。安全防護響應網絡可提供病毒庫、IDS/IPS特征以及安全引擎最新版本, 以保持實時更新。這就保證了基于最新特征的威脅會被識別出來,并被快速阻擋。
如果不能找到特征的匹配,系統就會啟動啟發式掃描和異常檢測引擎,會話流量會得到進一步的仔細檢查,以發現異常。通過使用最新的啟發式掃描技術、異常檢測技術和動態威脅防御系統,安全平臺大大提高了對已知和未知威脅的防御能力。
