【文章內(nèi)容簡介】 器應(yīng)用程序代碼中分離特征也使得特征編寫人員能夠?qū)⒕性谔卣骶帉懙摹百|(zhì)量”上，而無需考慮如何將特征構(gòu)建為應(yīng)用程序更新補丁。2) 全面的狀態(tài)特征檢測引擎NSP 體系結(jié)構(gòu)的特征檢測引擎引入了強大的上下文敏感檢測技術(shù)，在數(shù)據(jù)包中充分利用了狀態(tài)信息，它通過使用多個令牌匹配來檢測超越了數(shù)據(jù)包界限的攻擊特征，或超出序列范圍的數(shù)據(jù)包流。3) 用戶自定義網(wǎng)絡(luò)攻擊特征NSP 使得網(wǎng)絡(luò)安全工程師能夠通過一個創(chuàng)新性的圖形用戶界面（GUI）來編寫自定義簽名，該界面能夠使用通過系統(tǒng)的協(xié)議分析功能所獲取的字段和數(shù)據(jù)，或者通過 NSP 的分析機制收集的狀態(tài)信息。4) 實時特征更新NSP 提供的創(chuàng)新性實時特征更新極大地提升了管理軟件的性能，由 IntruVert 更新服務(wù)器提供的全新特征可以通過策略控制自動發(fā)送到整個網(wǎng)絡(luò)，從而確保了新的特征一經(jīng)創(chuàng)建，網(wǎng)絡(luò)即可獲得最新的防護功能。NSP 體系結(jié)構(gòu)還允許網(wǎng)絡(luò)工程師決定何時，以及是否在整個網(wǎng)絡(luò)中部署最新的簽名。NSP 系統(tǒng)無需重新設(shè)置或重新啟動任何硬件以便激活新的簽名，因此，它們能夠自動地、實時地進行部署。 異常檢測異常檢測技術(shù)為 NSP 體系全面的簽名檢測過程提供了完美的補充，異常檢測技術(shù)使得網(wǎng)絡(luò)工程師能夠?qū)ν话l(fā)威脅或首次攻擊進行攔截，并創(chuàng)建出一套完整的“異常檔案”，從而保護網(wǎng)絡(luò)免受當前威脅和未來攻擊的騷擾。NSP 體系結(jié)構(gòu)提供了業(yè)界最為先進、最為全面的異常檢測方法 — 集成了針對統(tǒng)計數(shù)據(jù)、協(xié)議及應(yīng)用程序的異常檢測技術(shù)。異常/未知攻擊的例子包括新的蠕蟲、蓄意的隱性攻擊、以及現(xiàn)有攻擊在新環(huán)境下的變種。異常檢測技術(shù)也有助于攔截拒絕服務(wù)攻擊（觀察服務(wù)質(zhì)量的變動）和分布式 DoS 攻擊（NSP 系統(tǒng)利用流量樣式變動（例如 TCP 控制數(shù)據(jù)包的統(tǒng)計數(shù)據(jù)）來決定是否即將發(fā)生海量的數(shù)據(jù)流）。我們將在下面的部分具體討論拒絕服務(wù)攻擊。NSP 體系結(jié)構(gòu)的異常檢測技術(shù)還能夠針對其它威脅提供保護，這包括：緩沖區(qū)溢出攻擊、由木馬程序或內(nèi)部人員安裝的“后門”或惡意攻擊、利用低頻率進行的隱性掃描攻擊、通過網(wǎng)絡(luò)中的多個發(fā)送點傳送表面正常的數(shù)據(jù)包、以及內(nèi)部人員違反安全策略（例如，在網(wǎng)絡(luò)中安裝游戲服務(wù)器或音樂存檔）。 DoS/DDoS攻擊防御NSP 檢測體系結(jié)構(gòu)的第三根“支柱”就是它完善的拒絕服務(wù)防護技術(shù)。1) 自動記憶以及基于閥值的檢測NSP 體系結(jié)構(gòu)綜合利用了基于閥值的檢測技術(shù)和獲得專利的、具有自動記憶功能的基于配置文件的檢測技術(shù)，從而使拒絕服務(wù)檢測更具智能化。借助基于閥值的檢測功能，網(wǎng)絡(luò)安全管理員就能夠使用預(yù)先編寫的數(shù)據(jù)流量限制來確保服務(wù)器不會因負載過重而宕機。同時，自動記憶功能使得 NSP 體系結(jié)構(gòu)能夠分析網(wǎng)絡(luò)使用方法和流量的模式，了解合法網(wǎng)絡(luò)操作中發(fā)生的多種合法，但不常見的使用模式。兩種技術(shù)的結(jié)合確保了對各種 DoS 攻擊的最高檢測準確率 — 包括分布式拒絕服務(wù)攻擊（即惡意程序員為了進攻企業(yè)或政府網(wǎng)絡(luò)，同時對上百個，甚至上千個服務(wù)器發(fā)起攻擊）。NSP 準確的 DoS 檢測技術(shù)具有非常重要的意義，因為很多網(wǎng)站和網(wǎng)絡(luò)都曾經(jīng)歷過合法的（有時是意外的）、極具吸引力的新程序、服務(wù)或應(yīng)用程序的流量沖擊。2) 檢測技術(shù)的關(guān)聯(lián)性正如我們所看到的，NSP 體系結(jié)構(gòu)提供了多種操作模式，使得系統(tǒng)能夠捕捉惡意流量、提供全面的攻擊分析方法、實施完整的智能化簽名檢測、異常檢測以及拒絕服務(wù)防護技術(shù)。NSP 體系結(jié)構(gòu)的檢測關(guān)聯(lián)層連接著系統(tǒng)的簽名檢測、異常檢測以及拒絕服務(wù)檢測功能 — 這種相互關(guān)聯(lián)性以及對可疑流量的交叉檢查功能確保了攻擊檢測的高度準確性。單一NSP 系統(tǒng)能夠?qū)Ψ阑饓Φ墓簿W(wǎng)段、專用網(wǎng)段以及 DMZ 網(wǎng)段進行全面的保護，并提供這些網(wǎng)段之間的相互關(guān)聯(lián)性，從而能夠針對被攔截的網(wǎng)絡(luò)攻擊或者進入專用網(wǎng)絡(luò)的網(wǎng)絡(luò)攻擊提供準確的詳細信息。 入侵防護功能NSP 體系結(jié)構(gòu)提供了業(yè)界最準確的攻擊檢測功能，構(gòu)造了系統(tǒng)攻擊響應(yīng)機制的堅實基礎(chǔ)。沒有足夠響應(yīng)能力的 IDS 產(chǎn)品只能為網(wǎng)絡(luò)安全管理員提供有限的功能?，F(xiàn)代的 IDS 產(chǎn)品必須能夠檢測出攻擊，并提供偏轉(zhuǎn)和攔截惡意流量的方法。NSP 體系結(jié)構(gòu)為網(wǎng)絡(luò)安全管理員提供了一整套手動的和自動的響應(yīng)措施，并以此構(gòu)建起企業(yè)或政府機構(gòu)信息技術(shù)安全策略的基礎(chǔ)。NSP的入侵響應(yīng)機制就攻擊檢測來說，NSP 體系結(jié)構(gòu)使系統(tǒng)可以實現(xiàn)以下功能：1) 攔截攻擊NSP 體系結(jié)構(gòu)允許 IDS 以嵌入模式工作，因此，它能夠?qū)崟r地在攻擊源和目標之間攔截單一數(shù)據(jù)包、單一會話或數(shù)據(jù)流量，從而在進程中攔截攻擊，而不會影響任何其它流量。2) 終止會話NSP 體系結(jié)構(gòu)允許針對目標系統(tǒng)、攻擊者（或二者同時）重新設(shè)置并初始化 TCP。網(wǎng)絡(luò)安全工程師可以對發(fā)送給源和/或目標 IP 地址的重新設(shè)置數(shù)據(jù)包進行配置。3) 修改防火墻策略NSP 體系結(jié)構(gòu)允許用戶在發(fā)生攻擊時重新配置網(wǎng)絡(luò)防火墻，方法是臨時改變用戶指定的訪問控制協(xié)議，同時向安全管理員發(fā)出警報。4) 實時警報當網(wǎng)絡(luò)流量違反了安全策略時，NSP 體系結(jié)構(gòu)能夠?qū)崟r生成一個警報信息，并發(fā)送給管理系統(tǒng)。合理的警報配置是保持有效防護的關(guān)鍵所在。惡性攻擊（例如緩沖區(qū)溢出以及拒絕服務(wù)）往往需要做出實時響應(yīng)，而對掃描和探測則可以通過日志進行記錄，并通過進一步的研究確定其潛在的危害和攻擊源。網(wǎng)絡(luò)安全工程師能夠獲得有關(guān)電子郵件、尋呼程序以及腳步警告的通知，該通知基于預(yù)先配置的嚴重性水平或特定的攻擊類型，例如拒絕服務(wù)攻擊?；谀_步的警告允許對復(fù)雜的通知過程進行配置，從而能夠針對系統(tǒng)面臨的攻擊向特定團體或個人發(fā)出通知。NSP 體系結(jié)構(gòu)還提供了一個“警報過濾器”，它允許網(wǎng)絡(luò)安全工程師根據(jù)安全事件的來源或目標進行篩選。例如，當 IT 部門通過一個自有 IP 地址執(zhí)行漏洞掃描時，從該地址生成的事件就可以被過濾掉。