天阗IDS协议自识别(VFPR)技术

　　4) 有大量的服务(比如ftp)运行在非周知的默认端口之上(比如2121)，对于该类型服务的攻击，一般的IDS都会因为无法判断通信报文的协议归属而产生漏报。

　　由此可见，网络报文端口将不再是一种可靠的应用协议类型识别方法，需要一种能够根据应用协议数据流特征来智能识别其所属协议类型的协议自识别方法，并且该方法的准确性、实时性和算法效率将直接影响到产品误报率和漏报率。为了让读者更好地理解协议自识别技术的重要性，先让我们来看一个案例。

　　典型案例

　　A企业由于业务需要，在其业务网络环境中部署了一台邮件服务器，并配置标准SMTP端口25作为其对外服务端口。同时，出于安全性考虑，A企业想在其企业内部部署一台IDS，以实现对该邮件服务器的重点安全防范。由于B厂家IDS提供了高层协议SMTP解析功能，A企业认为它可以基本满足其安全需求，因此就购买并部署了B厂家的IDS系统。

　　某天，A企业网络管理员发现该邮件服务器遭到了来自外部的远程漏洞溢出攻击。虽然本次攻击没有成功，但考虑到安全性，网络安全管理员将在邮件服务器的开放服务端口从标准STMP25号端口移动到了20000，并作了一些安全加固工作。没过几天，该服务器再次遭到外部攻击，重要邮件全部丢失，但是该厂家IDS没有报警。在与B厂家技术人员进行沟通后得知，该厂家IDS没有协议自识别功能，它依据标准25号端口来识别SMTP协议类型，如果更换SMTP服务端口，B厂家的IDS无法正确识别20000端口上的SMTP服务报文，对于黑客的针对SMTP邮件服务器的攻击渗透毫无知觉，最后，损失惨重。唉，要是有协议自识别就好了!

　　现有协议自识别技术不足

　　目前，市场上仅有少数几款IDS/IPS产品具有这种协议自识别功能，但是它们存在以下不足: