用來過濾所有已知攻擊流量的IPS,以防禦網路攻擊為主要目的,也因此不少人會將IPS與防禦DDoS攻擊的目的連結在一起,Juniper先進科技部資深技術經理林佶駿表示,IPS可應付的DDoS攻擊仍有網路流量頻寬的限度,超過IPS可承載的網路流量的攻擊行為,往往讓企業鞭長莫及,也迫使IPS必須持續強化硬體規格來因應,「事實上,大規模DDoS應該透過電信網路服務供應商來從骨幹網路防禦,而企業則防禦已知的資安攻擊行為。」
林佶駿進一步表示,IPS可過濾絕大多數已知攻擊行為,然而不須龐大攻擊流量即可達成目的的攻擊方式則有待新的IPS來因應,「這種攻擊主要針對網路應用程式以及DNS服務而來,也就是第七層DDoS防禦需求。」
 |
| ▲Juniper先進科技部資深技術經理林佶駿表示,新的IPS必須設計可防止應用層的DDoS攻擊,來確認連線行為是以特定程式發出或是一般使用者的正常連線使用行為。 |
林佶駿表示,這類新型攻擊不像傳統DDoS以龐大攻擊流量癱瘓企業網路,而是只要針對網路應用程式或DNS發出存取連線行為,即能夠影響既有服務運作。因此新的IPS必須設計可防止應用層的DDoS攻擊,除了要能夠偵測到異常連線行為之外,還要具備拆解封包與通訊協定的能力,來確認連線行為是以特定程式發出或是一般使用者的正常連線使用行為。
此外,許多新的應用程式(尤其是各式各樣的P2P軟體)如雨後春筍般不斷推出,傳統IPS緩不應急而難以偵測,因此新型的IPS也要能夠具備分析加密通訊協定的能力,包括SSL以及特殊加密機制。「透過演算法分析封包的啟發式偵測模式,能夠提供IPS分析與偵測加密封包,提高IPS防禦能力。」
除了可分析偵測更多網路封包之外,林佶駿表示,硬體處理效能以及可提供全球資訊收集能力的資安團隊也都是IPS發揮作用所不可或缺的關鍵,「Juniper除了致力於提昇硬體規格之外,散佈全球的據點以及與全球網路服務供應商合作可收集到龐大的網路資訊,並由專屬資安團隊分析,提供專業資安資訊,提高IPS分析判斷的準確率。」
林佶駿強調,Juniper IPS接下來預計提供App Level DDoS防禦功能、搭配頻寬控管解決方案來依照使用者身份管理應用程式使用權限、或者是App QoS等等,「未來將會持續朝應用層控管能力發展,來因應企業應用層資安防禦與網路控管需求。」