[摘要] 入侵防護系統(tǒng)（IPS）是能夠檢測到任何攻擊行為，包括已知和未知攻擊，并能有效阻斷攻擊的硬件或軟件系統(tǒng)?；贗PS的不足，本文介紹了其分類和原理，討論了它的技術(shù)特點、檢測機制及目前存在的問題。

[關(guān)鍵詞] 入侵檢測系統(tǒng) 入侵防護系統(tǒng) 網(wǎng)絡(luò)安全 主動防御

隨著網(wǎng)絡(luò)安全風(fēng)險系數(shù)不斷提高曾經(jīng)作為最主要安全防范手段的防火墻，已不能滿足人們對網(wǎng)絡(luò)安全的需求，作為對防火墻及有益補充，需要引入一種全新的安全防御技術(shù)即IPS。它能完整檢測所有通過的數(shù)據(jù)包，實時決定準(zhǔn)許訪問通過或阻截。IPS可配置于網(wǎng)絡(luò)邊界，也可配置于內(nèi)部網(wǎng)。IPS就是種既能發(fā)現(xiàn)又能阻止入侵行為的新安全防御技術(shù)。IPS作為一種主動積極的入侵防范阻止系統(tǒng)，能自動地將攻擊包丟掉或?qū)⒐粼醋钄?，這樣攻擊包將無法到達目標(biāo)，從而從根本上避免攻擊行為。

一、從入侵檢測系統(tǒng)IDS到IPS

IDS是近十多年發(fā)展起來的一種安全防范技術(shù)，通過旁路監(jiān)聽方式不間斷地從計算機網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點收集分析信息，來判斷網(wǎng)絡(luò)或系統(tǒng)中是否存在違反安全策略的行為和被攻擊的跡象。IDS主要完成信息收集，數(shù)據(jù)分析和入侵告警的功能，在攻擊檢測、安全審計和監(jiān)控方面發(fā)揮了重要作用，曾被認(rèn)為是防火墻之后的第二道安全閘門。但其發(fā)展也因其存在一些不足而受到限制。一誤報和漏報率居高不下，日志過大報警過多。重要數(shù)據(jù)夾雜在過多的一般性數(shù)據(jù)中，很容易忽視真正的攻擊。二IDS是并聯(lián)設(shè)備，只能被動檢測保護目標(biāo)遭到何種攻擊。為阻止進一步攻擊行為，它只能通過響應(yīng)機制報告防火墻，由它來阻斷攻擊。而且由于IDS誤報率很高，致使任何一種誤報都將阻斷網(wǎng)絡(luò)，使其處于中斷狀態(tài)。故IDS只能作為一個監(jiān)聽設(shè)備。IPS與IDS不同，它是一種主動積極的入侵防范阻止系統(tǒng)。它部署在網(wǎng)絡(luò)的進出口處，當(dāng)檢測到攻擊企圖時會自動將攻擊包丟掉或?qū)⒐粼醋钄啵行У貙崿F(xiàn)了主動防御，故入侵防護技術(shù)越來越受到人們的關(guān)注。

二、入侵防護系統(tǒng) IPS

1.分類?；谥鳈C的入侵防護系統(tǒng)HIPS。通過監(jiān)視主機資源、網(wǎng)絡(luò)服務(wù)和客戶端程序來檢測和阻斷違反安全策略的行為。它在主機/ 服務(wù)器上安裝軟件代理程序，防止網(wǎng)絡(luò)攻擊入侵操作系統(tǒng)及應(yīng)用程序，不同平臺需要不同的軟件代理程序?；诰W(wǎng)絡(luò)的入侵防護系統(tǒng)NIPS通過檢測流經(jīng)系統(tǒng)的網(wǎng)絡(luò)流量，提供對網(wǎng)絡(luò)系統(tǒng)的安全保護。它采用在線連接方式，一旦辨識出入侵行為，就去除整個相關(guān)的網(wǎng)絡(luò)會話，而不僅是復(fù)位會話。應(yīng)用入侵防護系統(tǒng)AIP是把基于主機的入侵防護擴展成位于應(yīng)用服務(wù)器之前的網(wǎng)絡(luò)設(shè)備。它被設(shè)計成一種高性能的設(shè)備，配置在應(yīng)用數(shù)據(jù)的網(wǎng)絡(luò)鏈路上，對具體的應(yīng)用服務(wù)進行防護。

2.工作原理。IPS向受保護目標(biāo)提供主動防御，直接嵌入到網(wǎng)絡(luò)流量中，通過網(wǎng)絡(luò)端口接收來自外部的流量，經(jīng)檢查確認(rèn)該流量不包含異?；蚩梢蓛?nèi)容后，再由另一端口傳送到內(nèi)部網(wǎng)絡(luò)系統(tǒng)中，這樣所有有問題的數(shù)據(jù)包及來自同一數(shù)據(jù)流的后續(xù)數(shù)據(jù)包，都能在IPS設(shè)備中被徹底清除。其工作原理如圖。

①根據(jù)報頭和流信息，對數(shù)據(jù)包進行分類。②根據(jù)數(shù)據(jù)包分類，相關(guān)過濾器檢測數(shù)據(jù)包流狀態(tài)信息。③過濾器并行使用，如數(shù)據(jù)包符合要求就被標(biāo)命中。④將被命中的數(shù)據(jù)包丟棄，與其相關(guān)的流信息被更新并告知系統(tǒng)丟棄改流中剩余的所有內(nèi)容。

IPS檢測引擎針對不同過濾規(guī)則設(shè)置了眾多的過濾器，這些規(guī)則定義得廣泛以確保準(zhǔn)確性。當(dāng)新的攻擊手段被發(fā)現(xiàn)后，一個新的過濾器會被創(chuàng)建并添加到檢測引擎中。IPS引擎是專業(yè)化定制的集成電路，過濾器集合了流水和大規(guī)模并行處理硬件，并行過濾處理以保證全部的網(wǎng)絡(luò)數(shù)據(jù)包能不間斷快速通過系統(tǒng)。所有流經(jīng)IPS的數(shù)據(jù)包都根據(jù)其中的報頭信息加以分類并由過濾器分析，逐一字節(jié)檢查每個網(wǎng)絡(luò)數(shù)據(jù)包，通過檢查的就可以在網(wǎng)絡(luò)中繼續(xù)前進，惡意內(nèi)容的就被丟棄，被懷疑的將接受下一步檢查。在對傳輸內(nèi)容進行分類時，過濾引擎還需參照數(shù)據(jù)包的信息參數(shù)，將其解析至一個有意義的域中進行分析以提高檢測準(zhǔn)確性。

三、主動防御機制

IPS的功能是實時檢測并識別入侵信息，主動智能地響應(yīng)阻斷功能。一旦發(fā)現(xiàn)有攻擊行為，立即響應(yīng)主動切斷連接。在其結(jié)構(gòu)模型中，檢測引擎是IPS最重要的功能部件，在其內(nèi)部有著大量的并行過濾器，所有數(shù)據(jù)都須通過過濾器檢查后才能決定是否放行，故IPS才能實現(xiàn)入侵攻擊的實時在線阻斷。

四、主要技術(shù)特征

1.嵌入式運行模式。采取一進一出的在線方式檢測數(shù)據(jù)包，對攻擊數(shù)據(jù)包依據(jù)安全策略在第一時間直接由硬件自動處理，同時維持正常的數(shù)據(jù)包通過。采用此模式運行，根據(jù)需要將其嵌入到路由器等網(wǎng)絡(luò)設(shè)備中。只有以此模式工作在穩(wěn)定可靠的平臺上，成為網(wǎng)絡(luò)通信線路的一部分的IPS設(shè)備才能夠?qū)崿F(xiàn)實時的安全防護，主動攔截所有可能的攻擊網(wǎng)絡(luò)數(shù)據(jù)包。

2.完善的安全策略。為達到主動防御目的，IPS須有完善地安全策略，根據(jù)攻擊類型確定哪些流量應(yīng)被攔截及給出相應(yīng)響應(yīng)要求。

3.高質(zhì)量的入侵特征庫信息系統(tǒng)綜合威脅地不斷發(fā)展，需要多層、深度的防護才有效，為達到高效檢測目的，須建立豐富完備的入侵特征庫。

4.高效處理數(shù)據(jù)包的能力。鑒于IPS的位置，其運行效率對所要保障的系統(tǒng)有至關(guān)重要的影響，故其都有高效的數(shù)據(jù)包處理能力。IPS采用先進的軟件和專用硬件技術(shù)來提高檢測效率。

5.強大的響應(yīng)功能。其可分為被動和主動響應(yīng)兩種。被動響應(yīng)主要記錄和報告檢出的問題包括通知報警等。主動響應(yīng)則根據(jù)檢測結(jié)果阻斷或延時入侵過程以降低損失。

五、不足及解決

1.單點失效問題。在線安裝雖然對阻斷攻擊相當(dāng)有效，但若IPS發(fā)生故障，不僅會影響安全保障能力，更會將中斷網(wǎng)絡(luò)連接，產(chǎn)生由IPS造成的拒絕服務(wù)問題，直接影響受保護目標(biāo)正常運轉(zhuǎn)。 因此一般IPS都具備Fail-open功能，保證在防護系統(tǒng)出現(xiàn)故障時網(wǎng)絡(luò)仍正?？捎茫藭r可能沒有檢測和阻斷的功能。

2.性能瓶頸問題。IPS以嵌入式部署，在加載數(shù)量龐大的檢測特征庫時會給網(wǎng)絡(luò)增加負(fù)荷，給傳輸帶來延時。當(dāng)前網(wǎng)絡(luò)流量日益增大，為避免成為網(wǎng)絡(luò)性能的瓶頸，給受保護目標(biāo)造成損失， IPS須具有高速處理數(shù)據(jù)能力，這取決于它的軟件和專用硬件加速裝置。軟件和算法上，通過信息融合和主動數(shù)據(jù)庫等來提高分析速度；硬件上可采用網(wǎng)絡(luò)處理器、專用芯片F(xiàn)PGA編程芯片和專用的ASIC芯片等來提高其運行效率。

3.誤報和漏報問題。IPS應(yīng)盡可能的過濾攻擊，但也面臨著誤報和漏報問題。準(zhǔn)確性方面，一旦IPS做出錯誤判斷，它就會因為放過真正的攻擊或阻斷合法的事務(wù)而造成損失。為避免此情況，IPS應(yīng)綜合運用多種檢測方法，如規(guī)則匹配、蜜罐、哄騙檢測等，全方位識別網(wǎng)絡(luò)環(huán)境，最大限度的正確判斷已知和未知攻擊，減少錯誤告警和錯誤阻斷。

4.攻擊阻斷的管理問題。主動阻斷攻擊是IPS的重要技術(shù)優(yōu)勢，但若處理不好也會增加管理負(fù)擔(dān)。另外，攻擊流阻斷的恢復(fù)需要人工解決，因誤警而被阻斷的合法流量需要一定的等待時間來發(fā)現(xiàn)及恢復(fù)。故需設(shè)置完善的IPS阻斷功能并加強管理。

六、發(fā)展前景

IPS可以針對應(yīng)用流量做深度分析與檢測能力，同時配合以精心研究的攻擊特征知識庫和用戶規(guī)則，即可有效檢測并實時阻斷隱藏在海量網(wǎng)絡(luò)流量中的病毒、攻擊與濫用行為，也可對分布在網(wǎng)絡(luò)中各種流量進行有效管理，從而達到對網(wǎng)絡(luò)應(yīng)用層的保護。IPS有很大優(yōu)勢但也面臨很多挑戰(zhàn)主要有：一單點故障，二性能瓶頸，三誤報和漏報。設(shè)計要求IPS必須以嵌入模式工作在網(wǎng)絡(luò)中，而這就可能造成瓶頸問題或單點故障。如果IDS出現(xiàn)故障，最壞是造成此攻擊無法被檢測到，而嵌入式的IPS設(shè)備出現(xiàn)問題，就會嚴(yán)重影響網(wǎng)絡(luò)的正常運轉(zhuǎn)，用戶就會面對一個由IPS造成的拒絕服務(wù)問題，所有客戶都將無法訪問企業(yè)網(wǎng)絡(luò)提供的應(yīng)用。但IPS的不足并不會成為阻止人們使用IPS的理由，因為安全功能的融合是大勢所趨，入侵防御順應(yīng)了這一潮流。

IPS技術(shù)的誕生讓眾多安全廠商看到了安全防御的未來，同時也給他們的技術(shù)水平提出了更高層次的要求，IPS未來的發(fā)展將會更美好。

參考文獻:

[1]楊瑞偉閆懷志李雨飛:從入侵檢測到入侵防御2005.1 17～19

[2]鄧發(fā)喬:入侵防御系統(tǒng)研究與設(shè)計實現(xiàn)[碩士論文]電子科技大學(xué)2004 32～37