入侵保護系統IPs

王麗

【摘要】本文簡述了入侵保護/防御系統（IPS）的概念，入侵保護系統的工作原理、分類，同時與傳統的IDS（入侵檢測系統）進行了對比。并且對比了防火墻、IDS相對于IPS的局限，提出通過部署入侵保護系統來提升網絡安全。在討論網絡安全漏洞的基礎上，對入侵保護系統檢測技術進行了研究。

【關鍵詞】IPS;入侵防御系統：IDS：網絡安全構建

一、入侵防御系統

入侵防御技術能夠對網絡進行主動的防護，保障網絡安全。IPS是一種主動的、智能的入侵檢測和防御系統，可預先對入侵活動和攻擊行為的網絡流量進行攔截，保障網絡安全。IDS是以并聯的方式部署在不同的服務器和網段上，通過網絡傳感器獲取服務器或網段上的流量，再通過IDS管理控制臺進行分析，當檢查到入侵或攻擊行為，管理器會向管理員發出警報。而IPS以串聯的方式部署在網絡的進出口處（核心三層交換機或核心路由器），它可以分析所有流量，檢測到有入侵或攻擊企圖后，IPS會采取相應的措施對攻擊行為（比如自動數據丟棄包）阻斷。而IDS是之前一些單位采用的網絡保護方式，但其存在以下幾個顯著缺陷：一是部署過程復雜，費用高;二是誤報、錯報率高;三是防攻擊能力較差;四是被動防攻擊等。而IPS能主動對入侵行為和攻擊數據包實行攔截丟棄，再向管理員發出報警。

二、IPS的分類

（一）基于主機的入侵防御系統（HIPS）

HIPS是為了保護服務器免受外部入侵或攻擊，主要是將代理程序安裝在服務器等主機上以此防止入侵或攻擊。對于緩沖區溢出、登錄口令、試圖獲得操作系統入侵權等行為，HIPS可以根據系統內置的安全策略和分析學習機制阻斷對主機的入侵，從而保障主機系統的安全。

（二）基于網絡的入侵防護系統（NIPS）

由于NIPS串聯在網絡主干上，對整個網絡流量起到過濾的作用，即檢測出流量具有危害性，NIPS會直接去除整個網絡會話。但是任何事情都有兩面性，由于IPS是以串聯的方式接人整個網絡的進出口，那么NIPS性能的好壞，直接影響著整體網絡的性能，這種方式的防護系統有可能成為整個網絡的瓶頸。

（三）應用入侵防護系統（AIPS）

AIPS是應用服務器之前的網絡設備，保護應用服務器安全。AIPS是高性能的設備，部署在特定的網絡鏈路上，并設置好安全策略，用戶遵守這些安全策略，從而保護服務器的安全。

三、基于認知網絡的入侵防御系統構建

（一）入侵防御系統優缺點

第一，進行更深層次的檢測。OSI模型的（傳輸、會話、表示、應用層）傳統防火墻系統和入侵檢測系統都無法進行檢測，但是入侵防御系統卻能夠進行檢測。網絡協議由TCP/IP封裝起來，由于新型攻擊程序的代碼一般都封裝在TCP/IP協議包中，這樣很難將其檢測出。而入侵防御系統能夠深入OSI模型4～7層，可以對網絡協議包進行檢測，因此對于這類網絡的漏檢測概率大大降低。第二，在介紹IPS分類時就已經提過這種防護是串聯模式，部署在網絡主干中，對于網絡出現攻擊系統可以快速對網絡攻擊做出反應，制止網絡攻擊。第三，實時檢測網絡系統。由于傳統入侵檢測系統只針對網絡封包的歷史數據進行檢測，當發現一些入侵痕跡時入侵行為已經發生，不能及時處理網絡入侵而是報警給管理員，損失可能已經造成，不能及時止損。而IPS系統是實時進行網絡監測，實時檢測異常，并對出現攻擊異常做出反應，保障網絡系統的安全性。第四，主動防御能力。IPS系統監測到流經的流量有問題就對此數據進行丟棄，主動防護能力強，是IDS入侵檢測系統和傳統防火墻系統的綜合，而且IPS不需要其他系統配合。IPS具有學習功能，可以把不在系統防御內的入侵行為加入規則比配數據庫中。但有些入侵行為防御系統數據庫中沒有比配數據，就會漏報攻擊行為或入侵行為。為了解決IPS漏報或錯報的問題，IPS的開發者傾向于采用智能算法自動學習入侵模式，自動動態更新入侵防御系統數據庫，使其能夠在不斷認知學習中進行入侵防御。

（二）基于智能認知的IPS

傳統IPS對網絡數據與數據庫中的數據，按照一定算法進行對比，這種算法的好壞和數據庫是否充實都會造成對網絡行為的判斷失誤，漏報、誤報的情況增多。可以通過優化算法或及時更新數據庫改變這種狀況，但通過智能認知的方式更具有優越性。智能認知網絡是通過熟悉周圍網絡環境，對網絡環境的變化不斷更新，認知理解網絡環境，從而動態調整網絡各種配置，對網絡行為做出相應的決策。在智能認知理論基礎上，讓IPS有較強的自學習能力，分析網絡中的數據，對網絡異常數據進行過濾以保護整個網絡。智能認知的IPS的自學習能力能主動識別出入侵，不需要安全員參與。這種IPS的數據庫不斷自動動態更新，隨著規則匹配庫的不斷完善，漏報、誤報率就會相應減小。

（三）智能認知防御系統網絡安全構建

智能IPS相比傳統IPS和IDS都具有很大的優勢，構建智能認知IPS主要由以下5個部分組成：

1.嗅探器：掃描流經端口及路由的數據。

2.狀態庫：存儲數據。

3.知識庫：這是智能IPS的核心部分，對狀態庫的信息進行分析以及推理，對現有的知識庫進行更新，獲得認知新知識的能力。

4.認知推理：對知識庫的數據進行知識推理，對未知網絡推理分析學習知識。

5.決策執行：這是入侵行為的決策者。該模塊通過認知結果進行相應的入侵防御。