隨著網(wǎng)絡入侵事件的不斷增加和黑客攻擊水平的不斷提高,一方面企業(yè)網(wǎng)絡感染病毒�、遭受攻擊的速度日益加快,另一方面企業(yè)網(wǎng)絡受到攻擊作出響應的時間卻越來越滯后����。解決這一矛盾,傳統(tǒng)的防火墻或入侵檢測技術(IDS)顯得力不從心���,這就需要引入一種全新的技術-入侵防護(Intrusion Prevention System�����,IPS)��。
IPS的原理
防火墻是實施訪問控制策略的系統(tǒng)����,對流經(jīng)的網(wǎng)絡流量進行檢查����,攔截不符合安全策略的數(shù)據(jù)包。入侵檢測技術(IDS)通過監(jiān)視網(wǎng)絡或系統(tǒng)資源�,尋找違反安全策略的行為或攻擊跡象�,并發(fā)出報警���。傳統(tǒng)的防火墻旨在拒絕那些明顯可疑的網(wǎng)絡流量���,但仍然允許某些流量通過,因此防火墻對于很多入侵攻擊仍然無計可施���。絕大多數(shù) IDS 系統(tǒng)都是被動的�����,而不是主動的��。也就是說����,在攻擊實際發(fā)生之前��,它們往往無法預先發(fā)出警報���。而入侵防護系統(tǒng) (IPS) 則傾向于提供主動防護����,其設計宗旨是預先對入侵活動和攻擊性網(wǎng)絡流量進行攔截,避免其造成損失��,而不是簡單地在惡意流量傳送時或傳送后才發(fā)出警報�。IPS 是通過直接嵌入到網(wǎng)絡流量中實現(xiàn)這一功能的����,即通過一個網(wǎng)絡端口接收來自外部系統(tǒng)的流量,經(jīng)過檢查確認其中不包含異?;顒踊蚩梢蓛热莺螅偻ㄟ^另外一個端口將它傳送到內部系統(tǒng)中��。這樣一來��,有問題的數(shù)據(jù)包����,以及所有來自同一數(shù)據(jù)流的后續(xù)數(shù)據(jù)包,都能在 IPS 設備中被清除掉��。
IPS實現(xiàn)實時檢查和阻止入侵的原理在于IPS擁有數(shù)目眾多的過濾器����,能夠防止各種攻擊。當新的攻擊手段被發(fā)現(xiàn)之后,IPS就會創(chuàng)建一個新的過濾器��。IPS數(shù)據(jù)包處理引擎是專業(yè)化定制的集成電路���,可以深層檢查數(shù)據(jù)包的內容�����。如果有攻擊者利用Layer 2 (介質訪問控制)至Layer 7(應用)的漏洞發(fā)起攻擊����,IPS能夠從數(shù)據(jù)流中檢查出這些攻擊并加以阻止���。傳統(tǒng)的防火墻只能對Layer 3或Layer 4進行檢查�,不能檢測應用層的內容�����。防火墻的包過濾技術不會針對每一字節(jié)進行檢查���,因而也就無法發(fā)現(xiàn)攻擊活動����,而IPS可以做到逐一字節(jié)地檢查數(shù)據(jù)包。所有流經(jīng)IPS的數(shù)據(jù)包都被分類�����,分類的依據(jù)是數(shù)據(jù)包中的報頭信息���,如源IP地址和目的IP地址�����、端口號和應用域。每種過濾器負責分析相對應的數(shù)據(jù)包���。通過檢查的數(shù)據(jù)包可以繼續(xù)前進�,包含惡意內容的數(shù)據(jù)包就會被丟棄�,被懷疑的數(shù)據(jù)包需要接受進一步的檢查。
針對不同的攻擊行為�����,IPS需要不同的過濾器�����。每種過濾器都設有相應的過濾規(guī)則,為了確保準確性���,這些規(guī)則的定義非常廣泛��。在對傳輸內容進行分類時����,過濾引擎還需要參照數(shù)據(jù)包的信息參數(shù)�,并將其解析至一個有意義的域中進行上下文分析,以提高過濾準確性��。
過濾器引擎集合了流水和大規(guī)模并行處理硬件����,能夠同時執(zhí)行數(shù)千次的數(shù)據(jù)包過濾檢查。并行過濾處理可以確保數(shù)據(jù)包能夠不間斷地快速通過系統(tǒng)�,不會對速度造成影響。這種硬件加速技術對于IPS具有重要意義����,因為傳統(tǒng)的軟件解決方案必須串行進行過濾檢查,會導致系統(tǒng)性能大打折扣���。
IPS的種類
基于主機的入侵防護(HIPS)
HIPS通過在主機/服務器上安裝軟件代理程序�,防止網(wǎng)絡攻擊入侵操作系統(tǒng)以及應用程序?����;谥鳈C的入侵防護能夠保護服務器的安全弱點不被不法分子所利用����。Cisco公司的Okena、NAI公司的McAfee Entercept��、冠群金辰的龍淵服務器核心防護都屬于這類產(chǎn)品���,因此它們在防范紅色代碼和Nimda的攻擊中,起到了很好的防護作用�����?�;谥鳈C的入侵防護技術可以根據(jù)自定義的安全策略以及分析學習機制來阻斷對服務器����、主機發(fā)起的惡意入侵。HIPS可以阻斷緩沖區(qū)溢出���、改變登錄口令��、改寫動態(tài)鏈接庫以及其他試圖從操作系統(tǒng)奪取控制權的入侵行為�,整體提升主機的安全水平。
在技術上��,HIPS采用獨特的服務器保護途徑��,利用由包過濾���、狀態(tài)包檢測和實時入侵檢測組成分層防護體系�。這種體系能夠在提供合理吞吐率的前提下����,最大限度地保護服務器的敏感內容,既可以以軟件形式嵌入到應用程序對操作系統(tǒng)的調用當中���,通過攔截針對操作系統(tǒng)的可疑調用��,提供對主機的安全防護��;也可以以更改操作系統(tǒng)內核程序的方式����,提供比操作系統(tǒng)更加嚴謹?shù)陌踩刂茩C制。
由于HIPS工作在受保護的主機/服務器上����,它不但能夠利用特征和行為規(guī)則檢測,阻止諸如緩沖區(qū)溢出之類的已知攻擊���,還能夠防范未知攻擊��,防止針對Web頁面�����、應用和資源的未授權的任何非法訪問�����。HIPS與具體的主機/服務器操作系統(tǒng)平臺緊密相關,不同的平臺需要不同的軟件代理程序�����。
基于網(wǎng)絡的入侵防護(NIPS)
NIPS通過檢測流經(jīng)的網(wǎng)絡流量�����,提供對網(wǎng)絡系統(tǒng)的安全保護。由于它采用在線連接方式���,所以一旦辨識出入侵行為��,NIPS就可以去除整個網(wǎng)絡會話��,而不僅僅是復位會話�。同樣由于實時在線���,NIPS需要具備很高的性能�,以免成為網(wǎng)絡的瓶頸���,因此NIPS通常被設計成類似于交換機的網(wǎng)絡設備����,提供線速吞吐速率以及多個網(wǎng)絡端口���。
NIPS必須基于特定的硬件平臺���,才能實現(xiàn)千兆級網(wǎng)絡流量的深度數(shù)據(jù)包檢測和阻斷功能。這種特定的硬件平臺通?����?梢苑譃槿悾阂活愂蔷W(wǎng)絡處理器(網(wǎng)絡芯片),一類是專用的FPGA編程芯片�����,第三類是專用的ASIC芯片�����。
在技術上��,NIPS吸取了目前NIDS所有的成熟技術�����,包括特征匹配���、協(xié)議分析和異常檢測�。特征匹配是最廣泛應用的技術��,具有準確率高����、速度快的特點?���;跔顟B(tài)的特征匹配不但檢測攻擊行為的特征,還要檢查當前網(wǎng)絡的會話狀態(tài)���,避免受到欺騙攻擊�。
協(xié)議分析是一種較新的入侵檢測技術�,它充分利用網(wǎng)絡協(xié)議的高度有序性,并結合高速數(shù)據(jù)包捕捉和協(xié)議分析����,來快速檢測某種攻擊特征。協(xié)議分析正在逐漸進入成熟應用階段����。協(xié)議分析能夠理解不同協(xié)議的工作原理,以此分析這些協(xié)議的數(shù)據(jù)包��,來尋找可疑或不正常的訪問行為�。協(xié)議分析不僅僅基于協(xié)議標準(如RFC),還基于協(xié)議的具體實現(xiàn)���,這是因為很多協(xié)議的實現(xiàn)偏離了協(xié)議標準��。通過協(xié)議分析�,IPS能夠針對插入(Insertion)與規(guī)避(Evasion)攻擊進行檢測。異常檢測的誤報率比較高����,NIPS不將其作為主要技術。
應用入侵防護(AIP)
NIPS產(chǎn)品有一個特例����,即應用入侵防護(Application Intrusion Prevention ,AIP)�,它把基于主機的入侵防護擴展成為位于應用服務器之前的網(wǎng)絡設備。AIP被設計成一種高性能的設備�����,配置在應用數(shù)據(jù)的網(wǎng)絡鏈路上��,以確保用戶遵守設定好的安全策略��,保護服務器的安全����。NIPS工作在網(wǎng)絡上���,直接對數(shù)據(jù)包進行檢測和阻斷�,與具體的主機/服務器操作系統(tǒng)平臺無關。
NIPS的實時檢測與阻斷功能很有可能出現(xiàn)在未來的交換機上����。隨著處理器性能的提高,每一層次的交換機都有可能集成入侵防護功能�。
IPS技術特征
嵌入式運行:只有以嵌入模式運行的 IPS 設備才能夠實現(xiàn)實時的安全防護,實時阻攔所有可疑的數(shù)據(jù)包��,并對該數(shù)據(jù)流的剩余部分進行攔截�。
深入分析和控制:IPS必須具有深入分析能力,以確定哪些惡意流量已經(jīng)被攔截�,根據(jù)攻擊類型、策略等來確定哪些流量應該被攔截�����。
入侵特征庫:高質量的入侵特征庫是IPS高效運行的必要條件�,IPS還應該定期升級入侵特征庫,并快速應用到所有傳感器�����。
高效處理能力:IPS必須具有高效處理數(shù)據(jù)包的能力,對整個網(wǎng)絡性能的影響保持在最低水平���。
IPS面臨的挑戰(zhàn)
IPS 技術需要面對很多挑戰(zhàn)�,其中主要有三點:一是單點故障�����,二是性能瓶頸���,三是誤報和漏報�����。設計要求IPS必須以嵌入模式工作在網(wǎng)絡中����,而這就可能造成瓶頸問題或單點故障��。如果IDS 出現(xiàn)故障�,最壞的情況也就是造成某些攻擊無法被檢測到,而嵌入式的IPS設備出現(xiàn)問題�����,就會嚴重影響網(wǎng)絡的正常運轉。如果IPS出現(xiàn)故障而關閉����,用戶就會面對一個由IPS造成的拒絕服務問題,所有客戶都將無法訪問企業(yè)網(wǎng)絡提供的應用��。
即使 IPS 設備不出現(xiàn)故障����,它仍然是一個潛在的網(wǎng)絡瓶頸���,不僅會增加滯后時間�����,而且會降低網(wǎng)絡的效率��,IPS必須與數(shù)千兆或者更大容量的網(wǎng)絡流量保持同步�,尤其是當加載了數(shù)量龐大的檢測特征庫時��,設計不夠完善的 IPS 嵌入設備無法支持這種響應速度�����。絕大多數(shù)高端 IPS 產(chǎn)品供應商都通過使用自定義硬件(FPGA、網(wǎng)絡處理器和ASIC芯片)來提高IPS的運行效率�����。
誤報率和漏報率也需要IPS認真面對����。在繁忙的網(wǎng)絡當中,如果以每秒需要處理十條警報信息來計算����,IPS每小時至少需要處理 36,000 條警報,一天就是 864,000 條�����。一旦生成了警報�,最基本的要求就是IPS能夠對警報進行有效處理。如果入侵特征編寫得不是十分完善�����,那么"誤報"就有了可乘之機���,導致合法流量也有可能被意外攔截���。對于實時在線的IPS來說���,一旦攔截了"攻擊性"數(shù)據(jù)包,就會對來自可疑攻擊者的所有數(shù)據(jù)流進行攔截�。如果觸發(fā)了誤報警報的流量恰好是某個客戶訂單的一部分,其結果可想而知��,這個客戶整個會話就會被關閉��,而且此后該客戶所有重新連接到企業(yè)網(wǎng)絡的合法訪問都會被"盡職盡責"的IPS攔截�����。
IPS廠商采用各種方式加以解決���。一是綜合采用多種檢測技術,二是采用專用硬件加速系統(tǒng)來提高IPS的運行效率����。盡管如此,為了避免IPS重蹈IDS覆轍�,廠商對IPS的態(tài)度還是十分謹慎的。例如����,NAI提供的基于網(wǎng)絡的入侵防護設備提供多種接入模式�����,其中包括旁路接入方式��,在這種模式下運行的IPS實際上就是一臺純粹的IDS設備��,NAI希望提供可選擇的接入方式來幫助用戶實現(xiàn)從旁路監(jiān)聽向實時阻止攻擊的自然過渡��。
IPS的不足并不會成為阻止人們使用IPS的理由�,因為安全功能的融合是大勢所趨�,入侵防護順應了這一潮流。對于用戶而言����,在廠商提供技術支持的條件下,有選擇地采用IPS�����,仍不失為一種應對攻擊的理想選擇����。
關鍵詞標簽:IPS
火絨安全軟件開啟懸浮窗的方法-怎么限制和設置軟件網(wǎng)速
火絨安全軟件怎么攔截廣告-火絨設置廣告攔截的方法
網(wǎng)絡安全管理軟件-PCHunter使用教程