隨著網(wǎng)絡(luò)入侵事件的不斷增加和黑客攻擊水平的不斷提高,一方面企業(yè)網(wǎng)絡(luò)感染病毒����、遭受攻擊的速度日益加快�����,另一方面企業(yè)網(wǎng)絡(luò)受到攻擊作出響應(yīng)的時(shí)間卻越來(lái)越滯后�����。解決這一矛盾�����,傳統(tǒng)的防火墻或入侵檢測(cè)技術(shù)(IDS)顯得力不從心����,這就需要引入一種全新的技術(shù)-入侵防護(hù)(Intrusion Prevention System���,IPS)。
IPS的原理
防火墻是實(shí)施訪問(wèn)控制策略的系統(tǒng)���,對(duì)流經(jīng)的網(wǎng)絡(luò)流量進(jìn)行檢查�,攔截不符合安全策略的數(shù)據(jù)包����。入侵檢測(cè)技術(shù)(IDS)通過(guò)監(jiān)視網(wǎng)絡(luò)或系統(tǒng)資源���,尋找違反安全策略的行為或攻擊跡象,并發(fā)出報(bào)警�。傳統(tǒng)的防火墻旨在拒絕那些明顯可疑的網(wǎng)絡(luò)流量,但仍然允許某些流量通過(guò)�,因此防火墻對(duì)于很多入侵攻擊仍然無(wú)計(jì)可施。絕大多數(shù) IDS 系統(tǒng)都是被動(dòng)的�,而不是主動(dòng)的。也就是說(shuō)���,在攻擊實(shí)際發(fā)生之前�����,它們往往無(wú)法預(yù)先發(fā)出警報(bào)�����。而入侵防護(hù)系統(tǒng) (IPS) 則傾向于提供主動(dòng)防護(hù)����,其設(shè)計(jì)宗旨是預(yù)先對(duì)入侵活動(dòng)和攻擊性網(wǎng)絡(luò)流量進(jìn)行攔截�����,避免其造成損失,而不是簡(jiǎn)單地在惡意流量傳送時(shí)或傳送后才發(fā)出警報(bào)�����。IPS 是通過(guò)直接嵌入到網(wǎng)絡(luò)流量中實(shí)現(xiàn)這一功能的���,即通過(guò)一個(gè)網(wǎng)絡(luò)端口接收來(lái)自外部系統(tǒng)的流量��,經(jīng)過(guò)檢查確認(rèn)其中不包含異�����;顒(dòng)或可疑內(nèi)容后����,再通過(guò)另外一個(gè)端口將它傳送到內(nèi)部系統(tǒng)中����。這樣一來(lái)����,有問(wèn)題的數(shù)據(jù)包��,以及所有來(lái)自同一數(shù)據(jù)流的后續(xù)數(shù)據(jù)包����,都能在 IPS 設(shè)備中被清除掉�����。
IPS實(shí)現(xiàn)實(shí)時(shí)檢查和阻止入侵的原理在于IPS擁有數(shù)目眾多的過(guò)濾器����,能夠防止各種攻擊。當(dāng)新的攻擊手段被發(fā)現(xiàn)之后���,IPS就會(huì)創(chuàng)建一個(gè)新的過(guò)濾器����。IPS數(shù)據(jù)包處理引擎是專業(yè)化定制的集成電路�,可以深層檢查數(shù)據(jù)包的內(nèi)容。如果有攻擊者利用Layer 2 (介質(zhì)訪問(wèn)控制)至Layer 7(應(yīng)用)的漏洞發(fā)起攻擊�,IPS能夠從數(shù)據(jù)流中檢查出這些攻擊并加以阻止。傳統(tǒng)的防火墻只能對(duì)Layer 3或Layer 4進(jìn)行檢查�����,不能檢測(cè)應(yīng)用層的內(nèi)容。防火墻的包過(guò)濾技術(shù)不會(huì)針對(duì)每一字節(jié)進(jìn)行檢查�����,因而也就無(wú)法發(fā)現(xiàn)攻擊活動(dòng)�,而IPS可以做到逐一字節(jié)地檢查數(shù)據(jù)包。所有流經(jīng)IPS的數(shù)據(jù)包都被分類�����,分類的依據(jù)是數(shù)據(jù)包中的報(bào)頭信息�,如源IP地址和目的IP地址、端口號(hào)和應(yīng)用域��。每種過(guò)濾器負(fù)責(zé)分析相對(duì)應(yīng)的數(shù)據(jù)包��。通過(guò)檢查的數(shù)據(jù)包可以繼續(xù)前進(jìn)�,包含惡意內(nèi)容的數(shù)據(jù)包就會(huì)被丟棄,被懷疑的數(shù)據(jù)包需要接受進(jìn)一步的檢查��。
天極軟件專題專區(qū)精選
Windows Vista專區(qū) POPO專區(qū)QQ專區(qū) QQ掛機(jī)注冊(cè)表應(yīng)用專區(qū)
Flash MX 視頻教程Photoshop視頻教程網(wǎng)頁(yè)設(shè)計(jì)視頻教程照片處理數(shù)字暗房
PPT動(dòng)畫演示教程Excel動(dòng)畫教程集Word動(dòng)畫演示教程Google專區(qū)
特洛伊木馬專區(qū)黑客知識(shí)教程專區(qū)防火墻應(yīng)用專區(qū)了解Web2.0
Windows API開(kāi)發(fā)專區(qū)網(wǎng)絡(luò)編程專區(qū)VB數(shù)據(jù)庫(kù)編程專區(qū)圖像處理與多媒體編程
針對(duì)不同的攻擊行為�,IPS需要不同的過(guò)濾器。每種過(guò)濾器都設(shè)有相應(yīng)的過(guò)濾規(guī)則�����,為了確保準(zhǔn)確性����,這些規(guī)則的定義非常廣泛。在對(duì)傳輸內(nèi)容進(jìn)行分類時(shí)�����,過(guò)濾引擎還需要參照數(shù)據(jù)包的信息參數(shù)�,并將其解析至一個(gè)有意義的域中進(jìn)行上下文分析,以提高過(guò)濾準(zhǔn)確性����。
過(guò)濾器引擎集合了流水和大規(guī)模并行處理硬件,能夠同時(shí)執(zhí)行數(shù)千次的數(shù)據(jù)包過(guò)濾檢查����。并行過(guò)濾處理可以確保數(shù)據(jù)包能夠不間斷地快速通過(guò)系統(tǒng),不會(huì)對(duì)速度造成影響�����。這種硬件加速技術(shù)對(duì)于IPS具有重要意義����,因?yàn)閭鹘y(tǒng)的軟件解決方案必須串行進(jìn)行過(guò)濾檢查��,會(huì)導(dǎo)致系統(tǒng)性能大打折扣�����。
IPS的種類
●基于主機(jī)的入侵防護(hù)(HIPS)
HIPS通過(guò)在主機(jī)/服務(wù)器上安裝軟件代理程序���,防止網(wǎng)絡(luò)攻擊入侵操作系統(tǒng)以及應(yīng)用程序�;谥鳈C(jī)的入侵防護(hù)能夠保護(hù)服務(wù)器的安全弱點(diǎn)不被不法分子所利用。Cisco公司的Okena����、NAI公司的McAfee Entercept、冠群金辰的龍淵服務(wù)器核心防護(hù)都屬于這類產(chǎn)品��,因此它們?cè)诜婪都t色代碼和Nimda的攻擊中�,起到了很好的防護(hù)作用�;谥鳈C(jī)的入侵防護(hù)技術(shù)可以根據(jù)自定義的安全策略以及分析學(xué)習(xí)機(jī)制來(lái)阻斷對(duì)服務(wù)器、主機(jī)發(fā)起的惡意入侵�。HIPS可以阻斷緩沖區(qū)溢出、改變登錄口令����、改寫動(dòng)態(tài)鏈接庫(kù)以及其他試圖從操作系統(tǒng)奪取控制權(quán)的入侵行為��,整體提升主機(jī)的安全水平�����。
在技術(shù)上,HIPS采用獨(dú)特的服務(wù)器保護(hù)途徑���,利用由包過(guò)濾���、狀態(tài)包檢測(cè)和實(shí)時(shí)入侵檢測(cè)組成分層防護(hù)體系。這種體系能夠在提供合理吞吐率的前提下�,最大限度地保護(hù)服務(wù)器的敏感內(nèi)容,既可以以軟件形式嵌入到應(yīng)用程序?qū)Σ僮飨到y(tǒng)的調(diào)用當(dāng)中����,通過(guò)攔截針對(duì)操作系統(tǒng)的可疑調(diào)用,提供對(duì)主機(jī)的安全防護(hù);也可以以更改操作系統(tǒng)內(nèi)核程序的方式��,提供比操作系統(tǒng)更加嚴(yán)謹(jǐn)?shù)陌踩刂茩C(jī)制�。
由于HIPS工作在受保護(hù)的主機(jī)/服務(wù)器上,它不但能夠利用特征和行為規(guī)則檢測(cè)����,阻止諸如緩沖區(qū)溢出之類的已知攻擊����,還能夠防范未知攻擊����,防止針對(duì)Web頁(yè)面、應(yīng)用和資源的未授權(quán)的任何非法訪問(wèn)�。HIPS與具體的主機(jī)/服務(wù)器操作系統(tǒng)平臺(tái)緊密相關(guān),不同的平臺(tái)需要不同的軟件代理程序�����。
●基于網(wǎng)絡(luò)的入侵防護(hù)(NIPS)
NIPS通過(guò)檢測(cè)流經(jīng)的網(wǎng)絡(luò)流量��,提供對(duì)網(wǎng)絡(luò)系統(tǒng)的安全保護(hù)��。由于它采用在線連接方式����,所以一旦辨識(shí)出入侵行為,NIPS就可以去除整個(gè)網(wǎng)絡(luò)會(huì)話����,而不僅僅是復(fù)位會(huì)話�����。同樣由于實(shí)時(shí)在線�����,NIPS需要具備很高的性能��,以免成為網(wǎng)絡(luò)的瓶頸,因此NIPS通常被設(shè)計(jì)成類似于交換機(jī)的網(wǎng)絡(luò)設(shè)備��,提供線速吞吐速率以及多個(gè)網(wǎng)絡(luò)端口���。
NIPS必須基于特定的硬件平臺(tái)���,才能實(shí)現(xiàn)千兆級(jí)網(wǎng)絡(luò)流量的深度數(shù)據(jù)包檢測(cè)和阻斷功能。這種特定的硬件平臺(tái)通�?梢苑譃槿悾阂活愂蔷W(wǎng)絡(luò)處理器(網(wǎng)絡(luò)芯片),一類是專用的FPGA編程芯片�,第三類是專用的ASIC芯片。
在技術(shù)上�����,NIPS吸取了目前NIDS所有的成熟技術(shù),包括特征匹配����、協(xié)議分析和異常檢測(cè)。特征匹配是最廣泛應(yīng)用的技術(shù)�,具有準(zhǔn)確率高、速度快的特點(diǎn)�。基于狀態(tài)的特征匹配不但檢測(cè)攻擊行為的特征��,還要檢查當(dāng)前網(wǎng)絡(luò)的會(huì)話狀態(tài)��,避免受到欺騙攻擊���。
協(xié)議分析是一種較新的入侵檢測(cè)技術(shù)�,它充分利用網(wǎng)絡(luò)協(xié)議的高度有序性�,并結(jié)合高速數(shù)據(jù)包捕捉和協(xié)議分析,來(lái)快速檢測(cè)某種攻擊特征����。協(xié)議分析正在逐漸進(jìn)入成熟應(yīng)用階段。協(xié)議分析能夠理解不同協(xié)議的工作原理����,以此分析這些協(xié)議的數(shù)據(jù)包���,來(lái)尋找可疑或不正常的訪問(wèn)行為。協(xié)議分析不僅僅基于協(xié)議標(biāo)準(zhǔn)(如RFC)���,還基于協(xié)議的具體實(shí)現(xiàn)��,這是因?yàn)楹芏鄥f(xié)議的實(shí)現(xiàn)偏離了協(xié)議標(biāo)準(zhǔn)���。通過(guò)協(xié)議分析,IPS能夠針對(duì)插入(Insertion)與規(guī)避(Evasion)攻擊進(jìn)行檢測(cè)����。異常檢測(cè)的誤報(bào)率比較高����,NIPS不將其作為主要技術(shù)。
●應(yīng)用入侵防護(hù)(AIP)
NIPS產(chǎn)品有一個(gè)特例�����,即應(yīng)用入侵防護(hù)(Application Intrusion Prevention �����,AIP),它把基于主機(jī)的入侵防護(hù)擴(kuò)展成為位于應(yīng)用服務(wù)器之前的網(wǎng)絡(luò)設(shè)備�。AIP被設(shè)計(jì)成一種高性能的設(shè)備,配置在應(yīng)用數(shù)據(jù)的網(wǎng)絡(luò)鏈路上��,以確保用戶遵守設(shè)定好的安全策略����,保護(hù)服務(wù)器的安全。NIPS工作在網(wǎng)絡(luò)上���,直接對(duì)數(shù)據(jù)包進(jìn)行檢測(cè)和阻斷�,與具體的主機(jī)/服務(wù)器操作系統(tǒng)平臺(tái)無(wú)關(guān)�。
NIPS的實(shí)時(shí)檢測(cè)與阻斷功能很有可能出現(xiàn)在未來(lái)的交換機(jī)上。隨著處理器性能的提高�,每一層次的交換機(jī)都有可能集成入侵防護(hù)功能。
IPS技術(shù)特征
嵌入式運(yùn)行:只有以嵌入模式運(yùn)行的 IPS 設(shè)備才能夠?qū)崿F(xiàn)實(shí)時(shí)的安全防護(hù)�����,實(shí)時(shí)阻攔所有可疑的數(shù)據(jù)包����,并對(duì)該數(shù)據(jù)流的剩余部分進(jìn)行攔截。
深入分析和控制:IPS必須具有深入分析能力,以確定哪些惡意流量已經(jīng)被攔截����,根據(jù)攻擊類型、策略等來(lái)確定哪些流量應(yīng)該被攔截���。
入侵特征庫(kù):高質(zhì)量的入侵特征庫(kù)是IPS高效運(yùn)行的必要條件���,IPS還應(yīng)該定期升級(jí)入侵特征庫(kù),并快速應(yīng)用到所有傳感器����。
高效處理能力:IPS必須具有高效處理數(shù)據(jù)包的能力,對(duì)整個(gè)網(wǎng)絡(luò)性能的影響保持在最低水平����。
IPS面臨的挑戰(zhàn)
IPS 技術(shù)需要面對(duì)很多挑戰(zhàn),其中主要有三點(diǎn):一是單點(diǎn)故障�����,二是性能瓶頸�,三是誤報(bào)和漏報(bào)�����。設(shè)計(jì)要求IPS必須以嵌入模式工作在網(wǎng)絡(luò)中,而這就可能造成瓶頸問(wèn)題或單點(diǎn)故障�����。如果IDS 出現(xiàn)故障���,最壞的情況也就是造成某些攻擊無(wú)法被檢測(cè)到��,而嵌入式的IPS設(shè)備出現(xiàn)問(wèn)題�����,就會(huì)嚴(yán)重影響網(wǎng)絡(luò)的正常運(yùn)轉(zhuǎn)�。如果IPS出現(xiàn)故障而關(guān)閉�,用戶就會(huì)面對(duì)一個(gè)由IPS造成的拒絕服務(wù)問(wèn)題,所有客戶都將無(wú)法訪問(wèn)企業(yè)網(wǎng)絡(luò)提供的應(yīng)用��。
即使 IPS 設(shè)備不出現(xiàn)故障���,它仍然是一個(gè)潛在的網(wǎng)絡(luò)瓶頸�����,不僅會(huì)增加滯后時(shí)間����,而且會(huì)降低網(wǎng)絡(luò)的效率,IPS必須與數(shù)千兆或者更大容量的網(wǎng)絡(luò)流量保持同步�����,尤其是當(dāng)加載了數(shù)量龐大的檢測(cè)特征庫(kù)時(shí)�����,設(shè)計(jì)不夠完善的 IPS 嵌入設(shè)備無(wú)法支持這種響應(yīng)速度��。絕大多數(shù)高端 IPS 產(chǎn)品供應(yīng)商都通過(guò)使用自定義硬件(FPGA�����、網(wǎng)絡(luò)處理器和ASIC芯片)來(lái)提高IPS的運(yùn)行效率��。
誤報(bào)率和漏報(bào)率也需要IPS認(rèn)真面對(duì)��。在繁忙的網(wǎng)絡(luò)當(dāng)中��,如果以每秒需要處理十條警報(bào)信息來(lái)計(jì)算�����,IPS每小時(shí)至少需要處理 36,000 條警報(bào)�����,一天就是 864,000 條���。一旦生成了警報(bào)����,最基本的要求就是IPS能夠?qū)瘓?bào)進(jìn)行有效處理��。如果入侵特征編寫得不是十分完善����,那么"誤報(bào)"就有了可乘之機(jī),導(dǎo)致合法流量也有可能被意外攔截�。對(duì)于實(shí)時(shí)在線的IPS來(lái)說(shuō),一旦攔截了"攻擊性"數(shù)據(jù)包����,就會(huì)對(duì)來(lái)自可疑攻擊者的所有數(shù)據(jù)流進(jìn)行攔截。如果觸發(fā)了誤報(bào)警報(bào)的流量恰好是某個(gè)客戶訂單的一部分��,其結(jié)果可想而知,這個(gè)客戶整個(gè)會(huì)話就會(huì)被關(guān)閉�,而且此后該客戶所有重新連接到企業(yè)網(wǎng)絡(luò)的合法訪問(wèn)都會(huì)被"盡職盡責(zé)"的IPS攔截。
IPS廠商采用各種方式加以解決����。一是綜合采用多種檢測(cè)技術(shù),二是采用專用硬件加速系統(tǒng)來(lái)提高IPS的運(yùn)行效率��。盡管如此�,為了避免IPS重蹈IDS覆轍,廠商對(duì)IPS的態(tài)度還是十分謹(jǐn)慎的�。例如,NAI提供的基于網(wǎng)絡(luò)的入侵防護(hù)設(shè)備提供多種接入模式�,其中包括旁路接入方式,在這種模式下運(yùn)行的IPS實(shí)際上就是一臺(tái)純粹的IDS設(shè)備�,NAI希望提供可選擇的接入方式來(lái)幫助用戶實(shí)現(xiàn)從旁路監(jiān)聽(tīng)向?qū)崟r(shí)阻止攻擊的自然過(guò)渡。
IPS的不足并不會(huì)成為阻止人們使用IPS的理由�����,因?yàn)榘踩δ艿娜诤鲜谴髣?shì)所趨����,入侵防護(hù)順應(yīng)了這一潮流。對(duì)于用戶而言�,在廠商提供技術(shù)支持的條件下���,有選擇地采用IPS�����,仍不失為一種應(yīng)對(duì)攻擊的理想選擇���。http://m.wz818.com
京公網(wǎng)安備 11010802021094號(hào)