入侵防御系統(tǒng)的研究與應(yīng)用

1、入侵防御系統(tǒng)的研究與應(yīng)用摘要：入侵防御系統(tǒng)是網(wǎng)絡(luò)安全領(lǐng)城為彌補(bǔ)防火墻及入侵檢測(cè)系統(tǒng)（Intrusion Detection system的不足而新發(fā)展起來(lái)的一種計(jì)算機(jī)信息安全技術(shù)。本文首先介紹了入侵防御系統(tǒng)（IPS）工作原理、IPS的分類，并且對(duì)比了防火墻、IDS相對(duì)于IPS的局限，提出通過(guò)部署入侵防御系統(tǒng)（IPS）來(lái)提升 網(wǎng)絡(luò)安全，再就個(gè)人經(jīng)驗(yàn)提出應(yīng)該怎樣在企業(yè)網(wǎng)絡(luò)中部署IPS。最后總結(jié)了 IPS的發(fā)展前景。關(guān)鍵詞：入侵防御系統(tǒng)；IPS；網(wǎng)絡(luò)安全；應(yīng)用引言隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的發(fā)展，通信網(wǎng)絡(luò)的普及，人類社會(huì)對(duì)信 息的依賴程度不斷增加，網(wǎng)絡(luò)給人們帶來(lái)方便的同時(shí)，也給人們帶來(lái) 安全方面的隱患。例如

2、：金融、電信、政府等各大行業(yè)為了保證關(guān)鍵 業(yè)務(wù)系統(tǒng)的穩(wěn)定運(yùn)行，確保各類重要數(shù)據(jù)不被非法人員竊取，因此， 網(wǎng)絡(luò)安全專家采用了各種安全防護(hù)產(chǎn)品和方法對(duì)“網(wǎng)絡(luò)黑客”進(jìn)行防護(hù)。不斷研究新的安全技術(shù)來(lái)防范各種攻擊行為設(shè)備不會(huì)對(duì)網(wǎng)絡(luò)傳輸形成瓶頸，一旦設(shè)備宕機(jī)，不會(huì)中斷網(wǎng)。入侵檢測(cè)系統(tǒng)在某種程度上對(duì)防止系統(tǒng)非法入侵起到了一定作用，但它只能被動(dòng)地檢 測(cè)攻擊，不能主動(dòng)地把變化莫測(cè)的威脅阻止在網(wǎng)絡(luò)之外。入侵防護(hù)系統(tǒng)作為一種主動(dòng)的、積極的入侵防范、阻止系統(tǒng)，能自動(dòng)地將攻擊 包丟掉或與其他安全產(chǎn)品聯(lián)動(dòng)將攻擊源阻斷，這樣攻擊包將無(wú)法到達(dá) 目標(biāo)，從而可以從根本上避免攻擊行為。1.入侵防御系統(tǒng)（IPS）1.1 IPS的發(fā)展

3、在入侵防御系統(tǒng)出現(xiàn)之前，入侵檢測(cè)系統(tǒng)（Intrusion DetectionSystem）曾被廣泛應(yīng)用，它通過(guò)旁路監(jiān)聽的方式不間斷地從計(jì)算機(jī)網(wǎng) 絡(luò)系統(tǒng)中的若干個(gè)關(guān)鍵點(diǎn)收集并分析信息，來(lái)判斷網(wǎng)絡(luò)或系統(tǒng)中是否 存在違反安全策略的行為和被攻擊的跡象。IDS主要完成信息收集，數(shù)據(jù)分析和入侵告警的功能，在攻擊檢測(cè)、安全審計(jì)和監(jiān)控方面都發(fā) 揮了重要作用，曾被認(rèn)為是防火墻之后的第二道安全閘門。但隨著網(wǎng)絡(luò)入侵事件的不斷增加和黑客工具不斷傻瓜化，一方面網(wǎng)絡(luò)感染病毒、遭受攻擊的速度日益加快，另一方面網(wǎng)絡(luò)受到攻 擊作出響應(yīng)時(shí)間卻越來(lái)越滯后。這時(shí)候人們?cè)谑褂肐DS過(guò)程中，發(fā)現(xiàn)它不但不能主動(dòng)過(guò)濾安全風(fēng)險(xiǎn)提高網(wǎng)絡(luò)安全，反

4、而增加管理難度，例 如，IDS的主要缺陷表現(xiàn)如下：1）由于它的誤報(bào)率和漏報(bào)率較高， 用戶往往淹沒在海量的報(bào)警信息中，從而很容易忽略到真正的攻擊。2）隨著網(wǎng)絡(luò)交換頻率的增大，IDS只能監(jiān)視到少量的數(shù)據(jù)流量。因此，必須增加大量的IDS傳感器來(lái)監(jiān)視所有網(wǎng)段上的流量，但對(duì)于一 個(gè)大型網(wǎng)絡(luò)來(lái)說(shuō)，這意味著更大的花銷。由此可見，IDS只能作為一個(gè)監(jiān)聽設(shè)備，防御動(dòng)作也是事后的和被動(dòng)的，不能將威脅切斷在發(fā)生 之前。要解決這一矛盾，傳統(tǒng)的防火墻或IDS顯得力不從心，這時(shí)，IPS作為一個(gè)新興的技術(shù)誕生了。IPS就像智能滅火裝置，發(fā)現(xiàn)火災(zāi)發(fā)生后會(huì)主動(dòng)采取措施滅火，不需要人的干預(yù)。與IDS相比IPS能夠?qū)W(wǎng)絡(luò)起到較好的

5、主動(dòng)防御作用，因此入侵防御相關(guān)技術(shù)越來(lái)越受到人們 的重視。1.2 IPS的概念入侵防御系統(tǒng)是一種主動(dòng)、智能的入侵防范、阻止系統(tǒng)。其目的是能主動(dòng)對(duì)入侵行為進(jìn)行攔截，以免造成任何危害，它不但能檢測(cè)人 侵的發(fā)生，而且能通過(guò)一定的響應(yīng)方式，實(shí)時(shí)地保護(hù)信息系統(tǒng)不受實(shí) 質(zhì)性攻擊，屬于一種智能化的安全產(chǎn)品可以監(jiān)控網(wǎng)絡(luò)傳輸?shù)乃袛?shù)據(jù)，并分析數(shù)據(jù)、安全審計(jì)。2.2 IPS串聯(lián)部署：(1) 針對(duì)所有傳輸數(shù)據(jù)可以實(shí)時(shí)監(jiān)控，并可以立即阻斷各種隱蔽(2) 串聯(lián)的IPS還可以做內(nèi)網(wǎng)管理功能，對(duì)上網(wǎng)行為進(jìn)行管理，女口 下載，禁止或限制在線游戲等。，它也是目前網(wǎng)絡(luò)安全技術(shù)領(lǐng)域中正在興起的一項(xiàng)研究。IPS根據(jù)布署方式也可分為三

6、大類：基于主機(jī)的IPS系統(tǒng)（HIPS）、基于網(wǎng)絡(luò)IPS系統(tǒng)（NIPS）和基于應(yīng)用的入侵防御系統(tǒng) AIP。HIPS通過(guò)在主機(jī)/服務(wù)器上安裝代理軟件的形式，防止網(wǎng)絡(luò)攻擊入侵操作系統(tǒng)以 及應(yīng)用程序，基于主機(jī)的入侵防護(hù)能夠保護(hù)服務(wù)器的安全弱點(diǎn)不被不 法分子所利用。NIPS通過(guò)檢測(cè)流經(jīng)網(wǎng)絡(luò)的流量，提供對(duì)網(wǎng)絡(luò)系統(tǒng)的安 全保護(hù)，由于它采用在線連接方式，所以一旦辨識(shí)出入侵行為，NIPS就可以阻止該網(wǎng)絡(luò)會(huì)話，而不僅僅是復(fù)位會(huì)話。AIPS是部署在應(yīng)用數(shù)據(jù)鏈路中的一種高性能設(shè)備，旨在確保用戶遵守已確立的安全策略， 保護(hù)應(yīng)用環(huán)境的完整性。AIP能夠?qū)崿F(xiàn)網(wǎng)絡(luò)層到應(yīng)用層的多層次立體 防護(hù)體系，其中包括 Cookie篡改、

7、SQL代碼嵌入、參數(shù)篡改、緩沖器 溢出、強(qiáng)制瀏覽、畸形數(shù)據(jù)包、數(shù)據(jù)類型不匹配以及各類漏洞。當(dāng)對(duì) 于面向大型Web應(yīng)用，可通過(guò)多種功能的集成實(shí)現(xiàn)有效的應(yīng)用防護(hù)。1.3 IPS的技術(shù)特征IPS專注于提供前瞻性的防護(hù)，其設(shè)計(jì)目的在于預(yù)先攔截入侵活 動(dòng)和攻擊性網(wǎng)絡(luò)流量。它有如下的主要技術(shù)特征：（1）嵌入式運(yùn)行模式。采取一進(jìn)一出的在線方式檢測(cè)數(shù)據(jù)包， 對(duì)攻擊數(shù)據(jù)包依據(jù)安全策略在第一時(shí)間直接地由硬件自動(dòng)處理，同時(shí)維持正常的數(shù)據(jù)包通過(guò)，保證正常的網(wǎng)絡(luò)流量。IPS采用這種嵌入式模式運(yùn)行，根據(jù)需要將其嵌入到服務(wù)器、關(guān)鍵主機(jī)、路由器、以太網(wǎng) 交換機(jī)等網(wǎng)絡(luò)設(shè)備中。只有以嵌入式模式工作在穩(wěn)定和可靠的平臺(tái) 上，成為網(wǎng)絡(luò)

8、通信線路的一部分的IPS設(shè)備才能夠?qū)崿F(xiàn)實(shí)時(shí)的安全防護(hù)，主動(dòng)攔截所有可能的攻擊網(wǎng)絡(luò)數(shù)據(jù)包。（2） 完善的安全策略。為達(dá)到主動(dòng)防御的目的，IPS必須具備完 善地安全策略，具備深入分析能力，根據(jù)攻擊類型確定哪些流量應(yīng)該 被攔截以及給出相應(yīng)的響應(yīng)要求。（3）高質(zhì)量的入侵特征庫(kù)。信息系統(tǒng)綜合威脅地不斷發(fā)展，需要多層、深度的防護(hù)才能有效，為達(dá)到高效檢測(cè)的目的，IPS必須建立豐富且盡可能完備的入侵特征庫(kù)。（4） 高效處理數(shù)據(jù)包的能力。鑒于IPS部署的位置，它的運(yùn)行效率對(duì)所要保障的系統(tǒng)有著至關(guān)重要的影響，所以IPS 一般都有著高效的數(shù)據(jù)包處理能力。IPS采用各種先進(jìn)的軟件和專用硬件技術(shù)來(lái)提高 檢測(cè)效率。（5）

9、 強(qiáng)大的響應(yīng)功能。IPS強(qiáng)大的響應(yīng)功能是它區(qū)別于 IDS的最 顯著的特點(diǎn)，也是其進(jìn)行主動(dòng)防御的保障。它的響應(yīng)功能可分為被動(dòng) 響應(yīng)和主動(dòng)響應(yīng)兩種。被動(dòng)響應(yīng)主要記錄和報(bào)告檢出的問題，包括通知、報(bào)警等。主動(dòng)響應(yīng)則是根據(jù)檢測(cè)結(jié)果阻斷入侵或延時(shí)入侵過(guò)程以 降低損失。此外，IPS還可以根據(jù)策略配置，分別采取實(shí)時(shí)、近期、 和長(zhǎng)期的響應(yīng)行為。1.4 IPS工作原理IPS通過(guò)監(jiān)視網(wǎng)絡(luò)或系統(tǒng)資源，尋找違反安全策略的行為或攻擊 跡象，向受保護(hù)目標(biāo)提供主動(dòng)防御。直接嵌入到網(wǎng)絡(luò)流量中，通過(guò)網(wǎng) 絡(luò)端口接收來(lái)自外部的流量，經(jīng)檢查確認(rèn)該流量不包含異?；蚩梢蓛?nèi) 容后，再由另一端口傳送到內(nèi)部網(wǎng)絡(luò)系統(tǒng)中，這樣所有有問題的數(shù)據(jù) 包及

10、來(lái)自同一數(shù)據(jù)源的后續(xù)數(shù)據(jù)包，都能在IPS設(shè)備中被徹底清除冋。其設(shè)計(jì)宗旨是預(yù)先對(duì)入侵活動(dòng)和攻擊性網(wǎng)絡(luò)流量進(jìn)行攔截，避免其造 成損失，而不是簡(jiǎn)單地在惡意流量傳送時(shí)或傳送后才發(fā)出警報(bào)。IPS信息安全彳命巾丁 1圖1 IPS的工作原理是通過(guò)直接嵌入到網(wǎng)絡(luò)流量中實(shí)現(xiàn)這一功能的，即通過(guò)一個(gè)網(wǎng)絡(luò)端口 接收來(lái)自外部系統(tǒng)其工作原理如圖。伙伴網(wǎng)絡(luò)的外在威脅：例如 DDoS拒絕服務(wù)攻擊、緩沖區(qū)溢出攻擊、 Web應(yīng)用攻擊、SQL注入攻擊、XSS跨站腳本攻擊和木馬蠕蟲攻擊 等，這些威脅大多來(lái)自于應(yīng)用層，傳統(tǒng)的防火墻等網(wǎng)絡(luò)訪問控制設(shè)備 只能起到部分的防護(hù)作用，迫切需要新的防護(hù)手段。(2)來(lái)自網(wǎng)絡(luò)內(nèi)部的網(wǎng)絡(luò)控制不力：例如

11、P2P軟件濫用網(wǎng)絡(luò)帶寬，即時(shí)通訊軟件導(dǎo)致的 信息泄露，在線炒股、在線游戲嚴(yán)重降低工作效率等，對(duì)于這些影響 業(yè)務(wù)效率內(nèi)部的上網(wǎng)行為的管理，傳統(tǒng)的手段也難以有效控制，迫切 需要新的管理手段。針對(duì)上述需求，利用IPS設(shè)備與原有的防火墻等手段相結(jié)合，內(nèi) 外兼修地為業(yè)務(wù)系統(tǒng)提供了更完善的防護(hù)方案面對(duì)來(lái)自外網(wǎng)的應(yīng)用 層威脅，具體部署如圖 2所示。網(wǎng)絡(luò)管理人員借助IPS的自學(xué)習(xí)DoS/DDoS防范技術(shù)，有效防御拒絕服務(wù)攻擊；借助IPS強(qiáng)大的特征庫(kù)，能效防御應(yīng)用層面攻擊；并能有效阻止防御木馬、蠕蟲攻擊；借助IPS統(tǒng)一檢測(cè)引擎、深度內(nèi)容檢測(cè)和ASIC硬件檢查等技術(shù)，有效防御各種應(yīng)用層的攻擊手段。圖2企業(yè)網(wǎng)絡(luò)IP

12、S部署圖根據(jù)圖1所示，IPS的工作原理主要如下：外網(wǎng)來(lái)的數(shù)據(jù)被拆包 分類檢查，異常數(shù)據(jù)直接丟棄，其他數(shù)據(jù)入網(wǎng)并被轉(zhuǎn)發(fā)送到相應(yīng)的過(guò) 濾器中。(2).根據(jù)過(guò)濾器中的算法和規(guī)則對(duì)數(shù)據(jù)包進(jìn)行匹配，匹配成 功的被標(biāo)為命中。(3).過(guò)濾器并行使用，如數(shù)據(jù)包符合要求就被標(biāo)命 中。(4).將被命中的數(shù)據(jù)包丟棄，與其相關(guān)的流信息被更新并告知系 統(tǒng)丟棄改流中剩余的所有內(nèi)容。IPS檢測(cè)引擎采用了專業(yè)化定制集成電路，能針對(duì)不同過(guò)濾規(guī)則 設(shè)置了眾多的過(guò)濾器，這些規(guī)則定義得廣泛以確保準(zhǔn)確性。當(dāng)新的 攻擊手段被發(fā)現(xiàn)后，一個(gè)新的過(guò)濾器會(huì)自動(dòng)被創(chuàng)建并添加到檢測(cè)弓I 擎中4。2.入侵防御系統(tǒng)(IPS)在企業(yè)的部署在傳統(tǒng)上，由于大

13、部分企業(yè)的業(yè)務(wù)結(jié)構(gòu)相對(duì)封閉，因此多采用 網(wǎng)絡(luò)物理隔離等模式來(lái)進(jìn)行控制。但是，隨著近年來(lái)與外界接口的增 加，特別是與銀行等合作單位中間業(yè)務(wù)的接口，網(wǎng)上服務(wù)、數(shù)據(jù)大集 中，應(yīng)用內(nèi)部各系統(tǒng)間的互聯(lián)互通等需求的發(fā)展，企業(yè)內(nèi)部系統(tǒng)的安 全問題開始跨越網(wǎng)絡(luò)而出現(xiàn)。網(wǎng)絡(luò)內(nèi)外的惡意流量，特別是處于應(yīng)用 層的惡意流量，已經(jīng)成為企業(yè)內(nèi)部系統(tǒng)網(wǎng)絡(luò)不可忽視的威脅來(lái)源。在 最常見的網(wǎng)絡(luò)邊界，Internet出口和合作伙伴網(wǎng)絡(luò)出口上，風(fēng)險(xiǎn)尤其明 顯。3.總結(jié)與展望IPS主要是對(duì)一些重要服務(wù)器的入侵威脅防護(hù)，如用它來(lái)保護(hù)0A系統(tǒng)、ERP系統(tǒng)、數(shù)據(jù)庫(kù)、FTP服務(wù)器、Web網(wǎng)站等等。IPS在部署時(shí) 應(yīng)該首先想到保護(hù)重要設(shè)備，而

14、不是先保護(hù)所有的設(shè)備。當(dāng)然如果是小型辦公網(wǎng)絡(luò)，也可以部署在網(wǎng)絡(luò)出口用它來(lái)保護(hù)你的所有服務(wù)器和辦公終端。IPS入侵防御系統(tǒng)式有兩種部署方式：串聯(lián)與并聯(lián)。2.1 IPS并聯(lián)部署：絡(luò)。攻擊，如SQL注入、傍路注入、腳本攻擊、反向連接木馬、蠕蟲病毒等。禁止QQ、MSN等網(wǎng)上聊天軟件，禁止或限制網(wǎng)上看電影，禁止或限制P2P絡(luò)全通功能，才不會(huì)影響網(wǎng)絡(luò)使用，不會(huì)造成網(wǎng)絡(luò)中斷。企業(yè)業(yè)務(wù)系統(tǒng)所面臨的風(fēng)險(xiǎn)主要來(lái)自于：(1)來(lái)自Internet和合作IPS是基于IDS的、建立在IDS發(fā)展的基礎(chǔ)上的一種新生安全產(chǎn)品，但它絕不是IDS簡(jiǎn)單的功能擴(kuò)展。IPS的發(fā)展是一個(gè)尋求在準(zhǔn)確檢 測(cè)攻擊基礎(chǔ)上防御攻擊的過(guò)程，是 IDS功能由單純審計(jì)跟蹤到審計(jì)跟 蹤結(jié) 合訪問控制的擴(kuò)展，實(shí)現(xiàn)了由被動(dòng)防御過(guò)渡到主動(dòng)防御，并且