来自 DDOS 2021-11-03 16:00 的文章

服务器高防_高防免备案服务器_原理

在处理应用程序智能时保持会话完整性今天的网络安全产业面临着几个挑战。在宏观层面上，工业化网络犯罪的增长，以及网络犯罪人数的大量增长，正在导致组织受到网络事件的轰炸。在组织层面，在大海捞针时需要筛选的数据量的大量增长，以及运行在组织基础架构上的各种应用程序的爆炸式增长，dubbo防御ddos，使安全解决方案越来越难以扩展和应对网络攻击数量的增长。为了应对这种增长，有必要系统地、迅速地剥离草堆，以便寻找众所周知的针。在可视性行业，这是通过过滤流和会话，以及通过重复数据消除、SSL解密等特殊功能来实现的，等等，目标是从与特定类型的安全解决方案无关的干草堆流量中剥离出来，或者将非常特定类型的流量流发送到特定的安全解决方案，从而减少这些安全解决方案的处理开销。例如，电子邮件安全解决方案可能对查看数据库事务不感兴趣。此外，当负载过重时，同样的解决方案可能希望优先处理或只查看包含附件或超链接的电子邮件，而不是纯文本电子邮件。作为另一个例子，ddos攻击的防御方法，当处理能力耗尽时，IDS类型的解决方案可能希望放弃查看某些类型的流量，例如，流式视频流量，例如NetFlix或Youtube，而关注其他应用程序流。为了减轻安全工具的负担，过滤数据流有两个方面。过滤"入"或转发特定类型的流量并丢弃其余流量（即基本上是默认的丢弃策略），过滤"出"或丢弃特定类型的流量，并将其余流量转发到特定的安全工具（即，基本上是默认转发策略）。这两种技术都被广泛用于减轻和减少安全解决方案的处理开销。传统上，过滤通常是基于L2-L4信息来完成的，这些信息通常存在于所有数据包中，因此整个流/会话都可以基于该信息进行过滤。然而，随着协议中应用程序隧道和封装的日益增多，基于L7指标识别应用程序的能力已经成为过滤应用程序的关键要求。许多被隧道或封装在其他协议中的应用程序可以使用深度包检测（DPI）技术进行识别。为了识别应用程序，这些技术深入到包内，也深入到包流中。在许多情况下，应用程序标识可以在初始TCP会话设置之后快速完成，ddos服务器防御软件，但是在某些情况下，包括一些自定义应用程序，它可能会发生在应用程序流的更深处。因此，当考虑从安全解决方案中卸载应用程序流的处理时，只有在应用程序被明确标识之后，才可能在将应用程序会话过滤入或过滤出应用程序会话的实际决策中发生许多包。这就带来了一个两难的问题——如何处理决策点之前的数据包？在默认转发策略的情况下，这些数据包可能被转发到安全工具，而在默认丢弃策略的情况下，这些数据包可能根本无法发送到安全工具。这实际上是安全专业人员非常头疼的问题，因为它可能导致安全解决方案看到部分会话。许多安全解决方案依赖于查看完整的应用程序会话，其中包括会话设置、删除和所有控制消息。错过了建立的TCP会话，然后在应用程序被积极识别和过滤"进入"时突然获得一堆数据包，这可能导致安全工具由于数据流不完整而产生误报，从而使安全分析员和事件响应团队的生活变得困难。当最初的TCP会话和少量的数据包被转发到安全工具时，也可能发生同样的情况，但是一旦应用程序识别完成，应用程序中的其余数据包就会突然被过滤掉。这种类型的非确定性流/会话行为虽然试图实际协助和减轻安全工具的处理负担，但实际上可能会对安全分析、取证和行为分析造成重大损害，因为它会给信息安全人员带来更多困惑。然而，关闭cc手机防御级别调，当一些测试和度量解决方案被用于应用程序安全性时，它似乎表现出一种行为。一个真正的应用程序会话过滤引擎应该能够转发或卸载整个应用程序流，从最初的TCP会话设置到会话结束，包括所有控制消息、ack等，服务器ddos防御怎么弄，即使应用程序标识发生在流中的几个包也是如此。应用程序智能引擎在保持会话完整性的同时，还应该能够使用正则表达式、模式和其他技术来识别自定义应用程序。在Gigamon，我们的应用程序会话过滤（ASF）引擎从一开始就被设计成在过滤整个应用程序会话时保持会话完整性，即使应用程序标识发生在应用程序会话的深处。ASF允许安全专业人员定义自定义的基于正则表达式的模式匹配，然后卸载整个应用程序会话，同时保持整个应用程序会话的完整性，从而将控制权恢复给安全专业人员。这项正在申请专利的技术以及其他一些基础技术是我们GigaSECURE安全交付平台不可或缺的一部分。有关此主题的最新客户案例研究，请参阅：https://www.gigamon.com/sites/default/files/resources/case-study-use-case/cs-george-washington-university-improves-security-3177.pdf查看我们的"可见性：将事实与虚构分开"系列的其他博客：第一部分应用程序智能应用程序会话筛选ASF公司网络攻击重复数据删除重复数据消除深包检验新闻部过滤千兆安全ID入侵检测系统安全安全交付平台会话完整性SSL解密能见度能见度织物可见性：将事实与虚构分开