入侵防護(hù)系統(tǒng)ＩＰＳ的研究

[摘要] 入侵防護(hù)系統(tǒng)（IPS）是能夠檢測(cè)到任何攻擊行為，包括已知和未知攻擊，并能有效阻斷攻擊的硬件或軟件系統(tǒng)?；贗PS的不足，本文介紹了其分類(lèi)和原理，討論了它的技術(shù)特點(diǎn)、檢測(cè)機(jī)制及目前存在的問(wèn)題。

[關(guān)鍵詞] 入侵檢測(cè)系統(tǒng) 入侵防護(hù)系統(tǒng) 網(wǎng)絡(luò)安全 主動(dòng)防御

隨著網(wǎng)絡(luò)安全風(fēng)險(xiǎn)系數(shù)不斷提高曾經(jīng)作為最主要安全防范手段的防火墻，已不能滿(mǎn)足人們對(duì)網(wǎng)絡(luò)安全的需求，作為對(duì)防火墻及有益補(bǔ)充，需要引入一種全新的安全防御技術(shù)即IPS。它能完整檢測(cè)所有通過(guò)的數(shù)據(jù)包，實(shí)時(shí)決定準(zhǔn)許訪(fǎng)問(wèn)通過(guò)或阻截。IPS可配置于網(wǎng)絡(luò)邊界，也可配置于內(nèi)部網(wǎng)。IPS就是種既能發(fā)現(xiàn)又能阻止入侵行為的新安全防御技術(shù)。IPS作為一種主動(dòng)積極的入侵防范阻止系統(tǒng)，能自動(dòng)地將攻擊包丟掉或?qū)⒐粼醋钄啵@樣攻擊包將無(wú)法到達(dá)目標(biāo)，從而從根本上避免攻擊行為。

一、從入侵檢測(cè)系統(tǒng)IDS到IPS

IDS是近十多年發(fā)展起來(lái)的一種安全防范技術(shù)，通過(guò)旁路監(jiān)聽(tīng)方式不間斷地從計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集分析信息，來(lái)判斷網(wǎng)絡(luò)或系統(tǒng)中是否存在違反安全策略的行為和被攻擊的跡象。IDS主要完成信息收集，數(shù)據(jù)分析和入侵告警的功能，在攻擊檢測(cè)、安全審計(jì)和監(jiān)控方面發(fā)揮了重要作用，曾被認(rèn)為是防火墻之后的第二道安全閘門(mén)。但其發(fā)展也因其存在一些不足而受到限制。一誤報(bào)和漏報(bào)率居高不下，日志過(guò)大報(bào)警過(guò)多。重要數(shù)據(jù)夾雜在過(guò)多的一般性數(shù)據(jù)中，很容易忽視真正的攻擊。二IDS是并聯(lián)設(shè)備，只能被動(dòng)檢測(cè)保護(hù)目標(biāo)遭到何種攻擊。為阻止進(jìn)一步攻擊行為，它只能通過(guò)響應(yīng)機(jī)制報(bào)告防火墻，由它來(lái)阻斷攻擊。而且由于IDS誤報(bào)率很高，致使任何一種誤報(bào)都將阻斷網(wǎng)絡(luò)，使其處于中斷狀態(tài)。故IDS只能作為一個(gè)監(jiān)聽(tīng)設(shè)備。IPS與IDS不同，它是一種主動(dòng)積極的入侵防范阻止系統(tǒng)。它部署在網(wǎng)絡(luò)的進(jìn)出口處，當(dāng)檢測(cè)到攻擊企圖時(shí)會(huì)自動(dòng)將攻擊包丟掉或?qū)⒐粼醋钄?，有效地?shí)現(xiàn)了主動(dòng)防御，故入侵防護(hù)技術(shù)越來(lái)越受到人們的關(guān)注。

二、入侵防護(hù)系統(tǒng) IPS

1.分類(lèi)?；谥鳈C(jī)的入侵防護(hù)系統(tǒng)HIPS。通過(guò)監(jiān)視主機(jī)資源、網(wǎng)絡(luò)服務(wù)和客戶(hù)端程序來(lái)檢測(cè)和阻斷違反安全策略的行為。它在主機(jī)/ 服務(wù)器上安裝軟件代理程序，防止網(wǎng)絡(luò)攻擊入侵操作系統(tǒng)及應(yīng)用程序，不同平臺(tái)需要不同的軟件代理程序?；诰W(wǎng)絡(luò)的入侵防護(hù)系統(tǒng)NIPS通過(guò)檢測(cè)流經(jīng)系統(tǒng)的網(wǎng)絡(luò)流量，提供對(duì)網(wǎng)絡(luò)系統(tǒng)的安全保護(hù)。它采用在線(xiàn)連接方式，一旦辨識(shí)出入侵行為，就去除整個(gè)相關(guān)的網(wǎng)絡(luò)會(huì)話(huà)，而不僅是復(fù)位會(huì)話(huà)。應(yīng)用入侵防護(hù)系統(tǒng)AIP是把基于主機(jī)的入侵防護(hù)擴(kuò)展成位于應(yīng)用服務(wù)器之前的網(wǎng)絡(luò)設(shè)備。它被設(shè)計(jì)成一種高性能的設(shè)備，配置在應(yīng)用數(shù)據(jù)的網(wǎng)絡(luò)鏈路上，對(duì)具體的應(yīng)用服務(wù)進(jìn)行防護(hù)。

2.工作原理。IPS向受保護(hù)目標(biāo)提供主動(dòng)防御，直接嵌入到網(wǎng)絡(luò)流量中，通過(guò)網(wǎng)絡(luò)端口接收來(lái)自外部的流量，經(jīng)檢查確認(rèn)該流量不包含異?；蚩梢蓛?nèi)容后，再由另一端口傳送到內(nèi)部網(wǎng)絡(luò)系統(tǒng)中，這樣所有有問(wèn)題的數(shù)據(jù)包及來(lái)自同一數(shù)據(jù)流的后續(xù)數(shù)據(jù)包，都能在IPS設(shè)備中被徹底清除。其工作原理如圖。

①根據(jù)報(bào)頭和流信息，對(duì)數(shù)據(jù)包進(jìn)行分類(lèi)。②根據(jù)數(shù)據(jù)包分類(lèi)，相關(guān)過(guò)濾器檢測(cè)數(shù)據(jù)包流狀態(tài)信息。③過(guò)濾器并行使用，如數(shù)據(jù)包符合要求就被標(biāo)命中。④將被命中的數(shù)據(jù)包丟棄，與其相關(guān)的流信息被更新并告知系統(tǒng)丟棄改流中剩余的所有內(nèi)容。

IPS檢測(cè)引擎針對(duì)不同過(guò)濾規(guī)則設(shè)置了眾多的過(guò)濾器，這些規(guī)則定義得廣泛以確保準(zhǔn)確性。當(dāng)新的攻擊手段被發(fā)現(xiàn)后，一個(gè)新的過(guò)濾器會(huì)被創(chuàng)建并添加到檢測(cè)引擎中。IPS引擎是專(zhuān)業(yè)化定制的集成電路，過(guò)濾器集合了流水和大規(guī)模并行處理硬件，并行過(guò)濾處理以保證全部的網(wǎng)絡(luò)數(shù)據(jù)包能不間斷快速通過(guò)系統(tǒng)。所有流經(jīng)IPS的數(shù)據(jù)包都根據(jù)其中的報(bào)頭信息加以分類(lèi)并由過(guò)濾器分析，逐一字節(jié)檢查每個(gè)網(wǎng)絡(luò)數(shù)據(jù)包，通過(guò)檢查的就可以在網(wǎng)絡(luò)中繼續(xù)前進(jìn)，惡意內(nèi)容的就被丟棄，被懷疑的將接受下一步檢查。在對(duì)傳輸內(nèi)容進(jìn)行分類(lèi)時(shí)，過(guò)濾引擎還需參照數(shù)據(jù)包的信息參數(shù)，將其解析至一個(gè)有意義的域中進(jìn)行分析以提高檢測(cè)準(zhǔn)確性。

三、主動(dòng)防御機(jī)制

IPS的功能是實(shí)時(shí)檢測(cè)并識(shí)別入侵信息，主動(dòng)智能地響應(yīng)阻斷功能。一旦發(fā)現(xiàn)有攻擊行為，立即響應(yīng)主動(dòng)切斷連接。在其結(jié)構(gòu)模型中，檢測(cè)引擎是IPS最重要的功能部件，在其內(nèi)部有著大量的并行過(guò)濾器，所有數(shù)據(jù)都須通過(guò)過(guò)濾器檢查后才能決定是否放行，故IPS才能實(shí)現(xiàn)入侵攻擊的實(shí)時(shí)在線(xiàn)阻斷。

四、主要技術(shù)特征

1.嵌入式運(yùn)行模式。采取一進(jìn)一出的在線(xiàn)方式檢測(cè)數(shù)據(jù)包，對(duì)攻擊數(shù)據(jù)包依據(jù)安全策略在第一時(shí)間直接由硬件自動(dòng)處理，同時(shí)維持正常的數(shù)據(jù)包通過(guò)。采用此模式運(yùn)行，根據(jù)需要將其嵌入到路由器等網(wǎng)絡(luò)設(shè)備中。只有以此模式工作在穩(wěn)定可靠的平臺(tái)上，成為網(wǎng)絡(luò)通信線(xiàn)路的一部分的IPS設(shè)備才能夠?qū)崿F(xiàn)實(shí)時(shí)的安全防護(hù)，主動(dòng)攔截所有可能的攻擊網(wǎng)絡(luò)數(shù)據(jù)包。

2.完善的安全策略。為達(dá)到主動(dòng)防御目的，IPS須有完善地安全策略，根據(jù)攻擊類(lèi)型確定哪些流量應(yīng)被攔截及給出相應(yīng)響應(yīng)要求。

3.高質(zhì)量的入侵特征庫(kù)信息系統(tǒng)綜合威脅地不斷發(fā)展，需要多層、深度的防護(hù)才有效，為達(dá)到高效檢測(cè)目的，須建立豐富完備的入侵特征庫(kù)。

4.高效處理數(shù)據(jù)包的能力。鑒于IPS的位置，其運(yùn)行效率對(duì)所要保障的系統(tǒng)有至關(guān)重要的影響，故其都有高效的數(shù)據(jù)包處理能力。IPS采用先進(jìn)的軟件和專(zhuān)用硬件技術(shù)來(lái)提高檢測(cè)效率。

5.強(qiáng)大的響應(yīng)功能。其可分為被動(dòng)和主動(dòng)響應(yīng)兩種。被動(dòng)響應(yīng)主要記錄和報(bào)告檢出的問(wèn)題包括通知報(bào)警等。主動(dòng)響應(yīng)則根據(jù)檢測(cè)結(jié)果阻斷或延時(shí)入侵過(guò)程以降低損失。

五、不足及解決

1.單點(diǎn)失效問(wèn)題。在線(xiàn)安裝雖然對(duì)阻斷攻擊相當(dāng)有效，但若IPS發(fā)生故障，不僅會(huì)影響安全保障能力，更會(huì)將中斷網(wǎng)絡(luò)連接，產(chǎn)生由IPS造成的拒絕服務(wù)問(wèn)題，直接影響受保護(hù)目標(biāo)正常運(yùn)轉(zhuǎn)。 因此一般IPS都具備Fail-open功能，保證在防護(hù)系統(tǒng)出現(xiàn)故障時(shí)網(wǎng)絡(luò)仍正常可用，但此時(shí)可能沒(méi)有檢測(cè)和阻斷的功能。

2.性能瓶頸問(wèn)題。IPS以嵌入式部署，在加載數(shù)量龐大的檢測(cè)特征庫(kù)時(shí)會(huì)給網(wǎng)絡(luò)增加負(fù)荷，給傳輸帶來(lái)延時(shí)。當(dāng)前網(wǎng)絡(luò)流量日益增大，為避免成為網(wǎng)絡(luò)性能的瓶頸，給受保護(hù)目標(biāo)造成損失， IPS須具有高速處理數(shù)據(jù)能力，這取決于它的軟件和專(zhuān)用硬件加速裝置。軟件和算法上，通過(guò)信息融合和主動(dòng)數(shù)據(jù)庫(kù)等來(lái)提高分析速度；硬件上可采用網(wǎng)絡(luò)處理器、專(zhuān)用芯片F(xiàn)PGA編程芯片和專(zhuān)用的ASIC芯片等來(lái)提高其運(yùn)行效率。

3.誤報(bào)和漏報(bào)問(wèn)題。IPS應(yīng)盡可能的過(guò)濾攻擊，但也面臨著誤報(bào)和漏報(bào)問(wèn)題。準(zhǔn)確性方面，一旦IPS做出錯(cuò)誤判斷，它就會(huì)因?yàn)榉胚^(guò)真正的攻擊或阻斷合法的事務(wù)而造成損失。為避免此情況，IPS應(yīng)綜合運(yùn)用多種檢測(cè)方法，如規(guī)則匹配、蜜罐、哄騙檢測(cè)等，全方位識(shí)別網(wǎng)絡(luò)環(huán)境，最大限度的正確判斷已知和未知攻擊，減少錯(cuò)誤告警和錯(cuò)誤阻斷。

4.攻擊阻斷的管理問(wèn)題。主動(dòng)阻斷攻擊是IPS的重要技術(shù)優(yōu)勢(shì)，但若處理不好也會(huì)增加管理負(fù)擔(dān)。另外，攻擊流阻斷的恢復(fù)需要人工解決，因誤警而被阻斷的合法流量需要一定的等待時(shí)間來(lái)發(fā)現(xiàn)及恢復(fù)。故需設(shè)置完善的IPS阻斷功能并加強(qiáng)管理。

六、發(fā)展前景

IPS可以針對(duì)應(yīng)用流量做深度分析與檢測(cè)能力，同時(shí)配合以精心研究的攻擊特征知識(shí)庫(kù)和用戶(hù)規(guī)則，即可有效檢測(cè)并實(shí)時(shí)阻斷隱藏在海量網(wǎng)絡(luò)流量中的病毒、攻擊與濫用行為，也可對(duì)分布在網(wǎng)絡(luò)中各種流量進(jìn)行有效管理，從而達(dá)到對(duì)網(wǎng)絡(luò)應(yīng)用層的保護(hù)。IPS有很大優(yōu)勢(shì)但也面臨很多挑戰(zhàn)主要有：一單點(diǎn)故障，二性能瓶頸，三誤報(bào)和漏報(bào)。設(shè)計(jì)要求IPS必須以嵌入模式工作在網(wǎng)絡(luò)中，而這就可能造成瓶頸問(wèn)題或單點(diǎn)故障。如果IDS出現(xiàn)故障，最壞是造成此攻擊無(wú)法被檢測(cè)到，而嵌入式的IPS設(shè)備出現(xiàn)問(wèn)題，就會(huì)嚴(yán)重影響網(wǎng)絡(luò)的正常運(yùn)轉(zhuǎn)，用戶(hù)就會(huì)面對(duì)一個(gè)由IPS造成的拒絕服務(wù)問(wèn)題，所有客戶(hù)都將無(wú)法訪(fǎng)問(wèn)企業(yè)網(wǎng)絡(luò)提供的應(yīng)用。但I(xiàn)PS的不足并不會(huì)成為阻止人們使用IPS的理由，因?yàn)榘踩δ艿娜诤鲜谴髣?shì)所趨，入侵防御順應(yīng)了這一潮流。

IPS技術(shù)的誕生讓眾多安全廠商看到了安全防御的未來(lái)，同時(shí)也給他們的技術(shù)水平提出了更高層次的要求，IPS未來(lái)的發(fā)展將會(huì)更美好。

參考文獻(xiàn):

[1]楊瑞偉閆懷志李雨飛:從入侵檢測(cè)到入侵防御2005.1 17～19

[2]鄧發(fā)喬:入侵防御系統(tǒng)研究與設(shè)計(jì)實(shí)現(xiàn)[碩士論文]電子科技大學(xué)2004 32～37