網絡多層次防護與IPS入侵防御技術的研究

楊玉新

? ? ? ? ? ? ? ? ? ? ?

摘要：多層次網絡防護技術使系統復雜化，只要防護體系中的一個產品或程序出錯就會使所有安全防范體系崩潰，多層防護產品選用沒有標準，網絡遭到攻擊做出的反應的速度落后于攻擊事件出現的速度，為此需要有效防護的技術，入侵防護IPS是一種具有深層防御功能的系統，雖然IPS有不盡完善的魯棒性問題存在，但是如今的技術正在不斷向前發展，更重要的是IPS能有效阻止惡意入侵者的攻擊和確保內網安全，而NIPS是一項理想的內網防護技術。

關鍵詞：網絡;多層防護;IDS;IPS;NIPS

中圖分類號：TP393 ? ? ? ?文獻標識碼：A

文章編號：1009-3044（2019）13-0066-02

1 網絡多層次防護概念

累積式的多層防護技術從根本上說就是要實現一個建立在多層次防護系統基礎上來進行網絡防御的方法，其做法就是在網絡的多個節點上部署網絡防護產品以此增加黑客入侵時所要耗費的成本、資源和時間，增加攻擊所要付出的成本，以此來降低被攻擊的風險，達到實現安全防護內部網絡的目的。

2 5層安全網絡體系。

5層安全網絡體系：操作系統安全;用戶安全;應用程序安全和數據安全。

3 六層網絡安全體系

在Hurwitz Group的五層網絡安全體系之后又更進一步的設計出了六層網絡安全體系，此方案是一種較為完整的安全解決方案，此方案較為全面的考慮到了網絡的物理層、鏈路層、網絡層、信息安全、應用層和用戶安全等都要同時考慮到的問題。

上圖1的層次為6的防護就是要把網絡中的物理安全，鏈路安全，網絡安全等安全因素都要包括在內，這需要從訪問控制、漏洞掃描和入侵檢測等多種防護措施同時都要加于考慮到的安全，而信息安全是非常重要的因素，是信息在傳輸過程和存儲環節的安全，應用層安全即操作系統、數據庫和web服務器的安全，用戶安全就是身份認證，訪問控制和保證密碼的安全，并要求對不同安全等級的用戶能做到分級別管理。

多層防護系統中的任何一道防線即使被攻破后也到達不了目標，多層次顯然就增加了攻擊的關口數量，但是防護的弱點也很明顯，多層次就需要使用多個產品，這就使防護系統復雜化，只要其中的一個產品出現故障就會導致安全防范體系崩潰，維護成本會也可能相應增高，再有就是多層次防護產品之間沒有統一的標準。

4 IPS網絡入侵防護系統

4.1 IPS的出現

IDS對惡意攻擊的處理能力較弱，而多個產品防護又增大了系統的復雜性，這種防護的方法其實質是一種累積防護模塊的方法，但是這種方法是有嚴重缺陷的，因為這種簡單累積的方法會出現只要一個產品或程序發生故障就會使整個防范體系失效，防火墻和檢測設備沒有一個統一的標準，網絡受到攻擊做出響應的時間會落后于攻擊事件的出現。這樣就需要引用IPS防護措施，IPS能夠提供真正的深層次有效防護，不但能夠查找出惡意代碼，并且還能夠主動地阻止或清除惡意代碼。今天網絡受到的入侵攻擊是嚴重而又頻發的，在嚴重的網絡現實中，必須有深層防護才可以確保內部網絡的安全。

4.2 IPS的布置

IPS能夠對網絡進行深層次防護，此防護布置的位置在防火墻和外部網絡的設備之間，目的是檢查進入內網的數據包，通過檢測系統檢測，并通過設置的防護機制來決定是否允許其進入內網，這樣的布置如圖2。

4.3 IPS分類入侵防御系統

這種入侵防護系統的類型有網絡的防護系統NIPS、主機的防護系統HIPS和應用級入侵防護系統-AIPS，而IPS入侵防護系統有三種實現方法：（1）一種是HIPS[主機型防護系統-這種系統部署在主機系統上]。（2）NIPS-基于網絡的入侵防護，軟件或專門的硬件系統，直接接入網段中，保護同一級網段或者是下一級網段的所有系統。（3）應用級[AIPS]防護是由主機系統防護發展而來，其位置放置于應用服務器的前端， HIPS的作用是把防護的功能延展到了服務器的前端，以此來保證服務器的安全，本文鑒于篇幅的限制這里只對NIPS作簡單介紹。

1） NIPS技術

NIPS放置在網絡的主干線上，全部數據包都要經過它。此技術具有檢測、防御和清除病毒的功能，但是這樣的防護需要有兩個網卡，一個網卡連接內網，另一網卡連接外網，數據包經過一個網卡接口時，NIPS就會將它們發送到檢測引擎，當檢測到一個惡意的數據包時，IPS就會引發警報，若有則處理此包，若該特殊TCP會話流的其他數據包到達檢測系統NIPS時，數據包將被丟棄。正常數據包通過另一個接口傳遞到目的主機。

NIPS功能是檢測進入內網的數據包，主要提供對內部網絡的保護。它采用的方式是在線連接方式，所以若判別出具有入侵行為的數據信息，NIPS就能斷開網絡會話，而不只是復位會話。

特別之處在于NIPS吸取了原先的技術，比如異常檢測，分析協議和匹配特征。而采用匹配特征具備準確率高的特點而且速度快，而基于狀態的匹配特征不但能檢測攻擊行為特征，還能檢出當前鏈路的會話狀態，以此防范受到欺騙攻擊，NIPS若有硬件結構，就能很好地實現了千兆級網絡流量的深層次數據包檢測和阻斷功能。如此硬件構成共有三種：一種是網絡處理器，此外是FPGA-編程芯片和ASIC-芯片。

2） IPS的工作原理

IPS具備插入到網絡流量中從而實現實時的深層次防護功能，即通過一個網絡端口接收來自外部系統的流量，經過檢查確認其中不包含異?；顒踊蚩梢蓛热莺?，再通過另外一個端口把它發送到內部系統中，有問題的數據包在IPS設備將被清除。

IPS能夠對數據包做進一步的逐一字節查數，其本工作原理如圖3所示。

根據數據包的源目的地址、源端口以及應用層的一些相關信息，發送到接收端的數據包都會被分類，其協議類型和流量統計的信息會被送到數據流處理模塊那里去分析、審計，依據數據包的分類，相關的過濾器將被調用，以此檢測數據包的流狀態信息，有關的過濾器都進行并行處理，如果任何數據包符合匹配要求，這樣的數據包將被標識為選中，標識為選中的數據包就將被丟棄，其流狀態信息 [stream]將會更新，與次相關聯的數據流信息將被刪除。

5 總結

多層次防護策略有可能出現只需一個層次或程序出問題就導致防范體系形同虛設，層次多，維持成本高。如此防護的多層次產品比此之間的相互配合沒有一個統一標準，在購買產品的時候，還須要想到產品之間的交互問題，這樣就限制了用戶選擇產品的范圍，IPS單個通信控制點通常位于NIPS下面的系統，NIPS探測器[sensor]部署容易，此技術能夠保護成百甚至上千系統。當然IPS也不盡完善，擁塞問題，這就使網絡的運行效率低，特征庫大時就影響硬件配置的網絡安全檢測速度，再有IPS存在報錯率問題，顯然IPS有不盡完善的問題存在，但我們不能因噎廢食，而是在不斷地提高其運行速度，降低誤報率以及提高其防御性能，很明顯選用IPS是明智之舉。

參考文獻：

[1] 楊義先.鈕心忻.網絡安全理論與技術[M].北京：人民郵電出版社，2003.

[2] 胡建偉.網絡對抗原理[M].西安：電子科技大學出版社，2010.

[3] 吳鵬.MATLAB高效編程技巧與應用[M].北京航空航天大學出版社，2010.

[4] 劉化君.網絡安全技術[M].北京：機械工業出版社，2010.

【通聯編輯：代影】