入侵防御系統(tǒng)的實(shí)現(xiàn)與核心技術(shù)淺析

王嬋瓊，高 青

國網(wǎng)山西省電力公司長治供電公司，山西長治 046000

入侵防御系統(tǒng)的實(shí)現(xiàn)與核心技術(shù)淺析

王嬋瓊，高 青

國網(wǎng)山西省電力公司長治供電公司，山西長治 046000

文章首先對防火墻和入侵檢測系統(tǒng)的特征進(jìn)行必要說明，而后在此基礎(chǔ)上指出，二者融合而成的入侵防御系統(tǒng)，是未來發(fā)展的重點(diǎn)方向，并且結(jié)合實(shí)際技術(shù)成熟特征，就入侵防御系統(tǒng)的核心技術(shù)要點(diǎn)進(jìn)行了深入討論。對于切實(shí)加深入侵防御系統(tǒng)的技術(shù)認(rèn)識有著一定的積極價值。

IPS；入侵防御系統(tǒng)；技術(shù)；發(fā)展

在當(dāng)前信息環(huán)境之下，數(shù)據(jù)安全是共同關(guān)注的重點(diǎn)。與之對應(yīng)的諸多安全技術(shù)，雖然經(jīng)過多年的發(fā)展已經(jīng)日趨成熟，但是從根本上看，不同種類的技術(shù)都會存在一定的薄弱環(huán)節(jié)，因此多種技術(shù)的交叉融合，對于當(dāng)前網(wǎng)絡(luò)而言就顯得至關(guān)重要。

1 入侵檢測系統(tǒng)的形成與架構(gòu)

在多技術(shù)邊緣融合的領(lǐng)域中，防火墻和入侵檢測技術(shù)作為兩種常見且行之有效的安全手段，其融合價值不容忽視。

首先從技術(shù)特征的角度看，防火墻是設(shè)置在網(wǎng)絡(luò)安全區(qū)域外圍的一系列組件集合，能夠依據(jù)網(wǎng)絡(luò)管理工作人員的設(shè)定執(zhí)行相應(yīng)的安全策略，并且對出入安全網(wǎng)絡(luò)環(huán)境中的數(shù)據(jù)進(jìn)行監(jiān)控。雖然工作方式相對而言較為被動，但是對于外部攻擊有著較強(qiáng)的抵御能力。作為網(wǎng)絡(luò)環(huán)境中重要的隔離設(shè)備，其被動特征仍然決定了它在某些方面的表現(xiàn)不足。例如防火墻無法有效處理來源于網(wǎng)絡(luò)安全區(qū)域內(nèi)部的攻擊發(fā)生，并且性能方面的限制決定了防火墻難以實(shí)現(xiàn)面向內(nèi)部網(wǎng)絡(luò)環(huán)境的實(shí)時監(jiān)控。而另一個不容忽視的方面在于，入侵者完全可以偽造數(shù)據(jù)繞過防火墻或者找到防火墻中可能敞開的后門。

而入侵檢測系統(tǒng)（IDS，Intrusion Detection Systems），本質(zhì)上是依照一定的安全策略，通過軟、硬件，對網(wǎng)絡(luò)、系統(tǒng)的運(yùn)行狀況進(jìn)行監(jiān)視，盡可能發(fā)現(xiàn)各種攻擊企圖、攻擊行為或者攻擊結(jié)果，以保證網(wǎng)絡(luò)系統(tǒng)資源的機(jī)密性、完整性和可用性。但是面對實(shí)際的網(wǎng)絡(luò)環(huán)境，IDS同樣存在一定的不足，雖然其工作特征具有一定的主動性，但是其面向網(wǎng)絡(luò)環(huán)境中的傳輸行為展開分析的過程中，作為依據(jù)和判斷準(zhǔn)則的模型有效性成為IDS的核心問題，而對于相關(guān)模型的建設(shè)，則成為IDS系統(tǒng)進(jìn)步的瓶頸問題。

在這樣的背景之下，將防火墻與IDS系統(tǒng)相融合形成更具針對性的入侵防御系統(tǒng)（IPS，Intrusion Prevention System）就成為了當(dāng)前網(wǎng)絡(luò)安全技術(shù)的突出發(fā)展特征。IPS在IDS的基礎(chǔ)上發(fā)展而來，但是在網(wǎng)絡(luò)部署方面存在較大差異，IPS系統(tǒng)更多會以在線形式安裝在被保護(hù)網(wǎng)絡(luò)的入口上，在實(shí)現(xiàn)對于網(wǎng)絡(luò)邊界監(jiān)控的同時，不放松面向網(wǎng)絡(luò)環(huán)境內(nèi)部的數(shù)據(jù)傳輸行為監(jiān)測。通常而言，IPS以嵌入式方式實(shí)現(xiàn)，能夠?qū)崟r實(shí)現(xiàn)對于可疑數(shù)據(jù)包的阻斷，并對該數(shù)據(jù)流的剩余部分進(jìn)行攔截；在此基礎(chǔ)之上具有一定的分析能力，可以依據(jù)數(shù)據(jù)包特征展開深入分析，判斷攻擊類型和對應(yīng)的安全策略，并且實(shí)現(xiàn)對于自身模型的優(yōu)化。與此同時，一個工作狀態(tài)良好的IPS系統(tǒng)，還應(yīng)當(dāng)具備高效的處理能力，確保能夠在網(wǎng)絡(luò)邊界環(huán)境上保持一定的運(yùn)行效率，避免發(fā)生包括數(shù)據(jù)擁堵等在內(nèi)的網(wǎng)絡(luò)效率下降等問題。

2 IPS系統(tǒng)核心技術(shù)淺析

對于IPS的發(fā)展而言，由于其本身的嵌入串聯(lián)特征，決定了其自身極有可能成為網(wǎng)絡(luò)效率環(huán)境中的瓶頸所在。網(wǎng)絡(luò)技術(shù)的日漸發(fā)達(dá)以及從應(yīng)用層面的不斷成熟，都對IPS的應(yīng)用提出了更高的要求，當(dāng)前的問題已經(jīng)不僅僅是如何有效檢出入侵威脅，還必須的保證效率的基礎(chǔ)之上確保對于安全威脅檢測的準(zhǔn)確性，這幾個方面的工作特征，直接關(guān)系到IPS系統(tǒng)的效率，并且進(jìn)一步影響到網(wǎng)絡(luò)的整體工作特征。

基于這樣的需求考慮，當(dāng)前在IPS發(fā)展領(lǐng)域，有三個方面的技術(shù)得到了廣泛的關(guān)注，并且成為進(jìn)一步影響IPS系統(tǒng)深入發(fā)展的核心問題。

2.1 千兆處理能力

千兆處理能力本身對于IPS系統(tǒng)而言，意味著更為高速高效的入侵判斷，更少的數(shù)據(jù)擁塞故障發(fā)生。從根本上看，就是IPS擁有的線速處理能力體現(xiàn)，這不僅僅是要求IPS系統(tǒng)能夠?qū)崿F(xiàn)與千兆位網(wǎng)絡(luò)的兼容，能夠?qū)崿F(xiàn)有效接入，更加重要的問題在于，IPS系統(tǒng)需要在千兆位網(wǎng)絡(luò)環(huán)境下實(shí)現(xiàn)良好的數(shù)據(jù)過濾功能，配合千兆位網(wǎng)絡(luò)實(shí)現(xiàn)同步工作。當(dāng)前的網(wǎng)絡(luò)入侵檢測以及防御系統(tǒng)多基于x86架構(gòu)，但是從根本上看，x86架構(gòu)本身并不能達(dá)到千兆處理能力，因此必然會形成對于IPS發(fā)展的瓶頸。具體而言，CPU處理能力以及，I/O、系統(tǒng)總線和內(nèi)存的速度和協(xié)議開銷等方面，都會成為x86架構(gòu)對于IPS系統(tǒng)的瓶頸。尤其是CPU的處理能力方面，由于其本身只是為了通用的功能而設(shè)計，因此在IPS系統(tǒng)中并不存在任何優(yōu)勢，常常會在實(shí)現(xiàn)IPS系統(tǒng)工作的時候?qū)е聝?nèi)存和總線的訪問沖突，從而造成整體性能下降的狀況發(fā)生?；诖朔N狀況，當(dāng)前在IPS領(lǐng)域的研究工作突出體現(xiàn)在網(wǎng)絡(luò)處理器NPU的研發(fā)方面，其核心價值在于面向網(wǎng)絡(luò)數(shù)據(jù)轉(zhuǎn)發(fā)功能實(shí)現(xiàn)優(yōu)化，包括專用的指令集、高速的存儲和硬件查表等方面，同時應(yīng)當(dāng)重點(diǎn)考慮NPU在流重組和高層協(xié)議的處理方面存在的不足。因此雖然應(yīng)當(dāng)保持IPS朝向NPU方向的發(fā)展，但是仍然不能單純以NPU作為未來發(fā)展的唯一落腳點(diǎn)，而應(yīng)當(dāng)實(shí)現(xiàn)突破，找到新的解決方案。

2.2 數(shù)據(jù)包處理技術(shù)以及模式匹配算法

數(shù)據(jù)包處理主要指的是從網(wǎng)絡(luò)上接收到幀，經(jīng)過協(xié)議分析、IP碎片重組、流重組等一系列處理后而形成應(yīng)用層數(shù)據(jù)流的過程，在這個工作過程中，IP碎片重組和TCP 流重組是IPS系統(tǒng)發(fā)展的瓶頸所在。通常來說，數(shù)據(jù)包處理的相關(guān)工作都在目的主機(jī)上加以實(shí)現(xiàn)，但是IPS系統(tǒng)為了實(shí)現(xiàn)更深一層的安全監(jiān)測，必然需要關(guān)注這一方面的問題。無論是IP碎片重組還是TCP 流重組，都從客觀上對于存儲空間和數(shù)據(jù)交換帶寬提出較高要求，因此x86體系必然無法實(shí)現(xiàn)有效支持?；诖朔N考慮，構(gòu)建更為完善的硬件平臺來對相關(guān)功能和任務(wù)實(shí)現(xiàn)良好支持，就成為IPS系統(tǒng)發(fā)展需要關(guān)注的重點(diǎn)。

進(jìn)一步從模式匹配算法的角度看，其作為判斷供給行為的判斷標(biāo)準(zhǔn)建立與對比執(zhí)行工作環(huán)節(jié)，與IPS工作的有效性直接保持密切關(guān)系，是確保IPS系統(tǒng)學(xué)習(xí)特征的重要基礎(chǔ)和基本保障。對于當(dāng)前大容量數(shù)據(jù)傳輸?shù)木W(wǎng)絡(luò)環(huán)境而言，如何從大量的數(shù)據(jù)包環(huán)境中提取出對應(yīng)的供給特征并且加以判斷，在合理的情況下將對應(yīng)特征納入到模式庫中，是這一方面問題的發(fā)展重點(diǎn)。隨著入侵檢測的規(guī)則數(shù)增多和入侵行為的復(fù)雜化，不斷優(yōu)化匹配算法以及對于攻擊特征的識別，是未來研究工作的重點(diǎn)所在。

3 結(jié)論

入侵防御系統(tǒng)作為未來網(wǎng)絡(luò)安全防范的重要技術(shù)之一，融合了入侵檢測系統(tǒng)和防火墻兩個方面的優(yōu)勢，具有典型的技術(shù)先進(jìn)性。隨著網(wǎng)絡(luò)發(fā)展的進(jìn)一步擴(kuò)展，供給工具和技術(shù)必然也在不斷成熟，對應(yīng)的IPS系統(tǒng)，也唯有保持警惕和進(jìn)步，才能成為網(wǎng)絡(luò)安全可以依賴的可靠力量。

[1]潘常春.主機(jī)網(wǎng)絡(luò)安全及其關(guān)鍵技術(shù)研究[J].廣西教育學(xué)院學(xué)報，2005（4）.

[2]徐峰.一種深度入侵防御模型研究[D].江蘇：南京師范大學(xué)，2004.

TP3

A

1674-6708（2015）145-0119-01