譚方勇　周　莉　張　燕　顧才東

摘要：入侵防御系統(tǒng)(IPS)是繼防火墻和入侵檢測(cè)系統(tǒng)(IDS)之后一種新的網(wǎng)絡(luò)安全技術(shù)。它彌補(bǔ)了IDS處于旁路模式，只能檢測(cè)網(wǎng)絡(luò)攻擊，而不能直接阻止這些威脅的弱點(diǎn)，采用了串聯(lián)模式的主動(dòng)防御技術(shù)，能實(shí)時(shí)阻斷網(wǎng)絡(luò)的攻擊行為。基于不同技術(shù)的IPS從不同的方面增強(qiáng)了網(wǎng)絡(luò)安全的防御能力，但也存在著一些共同的缺點(diǎn)，需要在硬件、軟件結(jié)構(gòu)以及算法上進(jìn)一步改進(jìn)。文章分析了基于不同技術(shù)的網(wǎng)絡(luò)入侵防御系統(tǒng)，提出了其存在的共同缺陷，同時(shí)也提出了網(wǎng)絡(luò)入侵防御系統(tǒng)今后的發(fā)展方向。

關(guān)鍵詞：IDS；IPS；安全策略；主動(dòng)防御

0引言

防火墻和入侵檢測(cè)系統(tǒng)(Intrusion Detection System，IDS)一直作為計(jì)算機(jī)網(wǎng)絡(luò)安全中的主要工具，但是，它們并不能完全滿(mǎn)足對(duì)網(wǎng)絡(luò)攻擊的檢測(cè)和防御的要求。其中，防火墻是提供粗粒度訪(fǎng)問(wèn)控制的設(shè)備，它只能根據(jù)事先沒(méi)定的規(guī)則，對(duì)進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)包進(jìn)行過(guò)濾，而對(duì)于應(yīng)用級(jí)的攻擊不具有防御能力。事實(shí)證明，很多攻擊行為可以繞過(guò)防火墻來(lái)實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)的攻擊，同時(shí)造成巨大的損失。入侵檢測(cè)系統(tǒng)主要的目的是檢測(cè)網(wǎng)絡(luò)中的攻擊行為，及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)中存在的安全威脅，進(jìn)而采取相關(guān)措施來(lái)阻止攻擊的再次發(fā)生。但是，它一個(gè)致命的缺點(diǎn)就是只能夠檢測(cè)到攻擊而不能采取任何主動(dòng)的防御行為，只適合在某些需要流量監(jiān)控、分析與回放的情況下部署。另外，誤報(bào)率也相對(duì)較高。

防火墻和IDS基本都是被動(dòng)的，在攻擊發(fā)生之前無(wú)法預(yù)先發(fā)出警報(bào)。而入侵防御系統(tǒng)(Intrusion Prevention System，IPS)則提供了主動(dòng)性防護(hù)，它對(duì)入侵活動(dòng)和攻擊性網(wǎng)絡(luò)流量進(jìn)行攔截，避免造成任何損失。

1網(wǎng)絡(luò)入侵防御的工作原理

入侵防御系統(tǒng)(IPS)是指具有檢測(cè)并阻止已知或未知攻擊的內(nèi)嵌硬件設(shè)備或軟件系統(tǒng)，它分為網(wǎng)絡(luò)入侵防御系統(tǒng)(Network Intrusion Prevention System，NIPS)和主機(jī)入侵防御系統(tǒng)(Host Intrusion Prevention System，HIPS)。NIPS一般部署于網(wǎng)絡(luò)的進(jìn)出口處，即在數(shù)據(jù)轉(zhuǎn)發(fā)的路徑上，可以根據(jù)預(yù)先設(shè)定的安全策略，對(duì)經(jīng)過(guò)的每個(gè)數(shù)據(jù)包進(jìn)行深度檢測(cè)，如協(xié)議分析跟蹤，流量統(tǒng)計(jì)分析、特征匹配、事件關(guān)聯(lián)分析等，一旦發(fā)現(xiàn)隱藏于其中的攻擊行為，則可以根據(jù)該攻擊的危險(xiǎn)級(jí)別立即采取相應(yīng)的防御措施，如丟棄報(bào)文、切斷應(yīng)用會(huì)話(huà)、切斷TCP連接、向管理中心報(bào)警等。其一般的工作原理如圖1所示。

NIPS檢測(cè)引擎中根據(jù)不同的過(guò)濾規(guī)則設(shè)置了很多過(guò)濾器，且規(guī)則的定義非常全面，確保檢測(cè)的準(zhǔn)確性。如果發(fā)現(xiàn)新的攻擊手段，則在檢測(cè)引擎中將創(chuàng)建并添加一個(gè)新的過(guò)濾器。

NIPS的設(shè)計(jì)是基于一種全新的思想和體系結(jié)構(gòu)，工作于內(nèi)嵌方式，采用專(zhuān)用集成電路(Application Specific IntegratedCircuits，ASIC)等硬件設(shè)計(jì)技術(shù)實(shí)現(xiàn)網(wǎng)絡(luò)數(shù)據(jù)流的捕獲。

2基于不同技術(shù)的網(wǎng)絡(luò)入侵防御系統(tǒng)分析

目前，入侵防御技術(shù)的系統(tǒng)模型有很多，每一種都有自己的特點(diǎn)，下面主要針對(duì)幾種較為常見(jiàn)的模型來(lái)進(jìn)行分析。

2.1基于策略的入侵防御系統(tǒng)(Policy-based Intrusion Pre-vention System)

基于策略的入侵防御系統(tǒng)主要由入侵檢測(cè)部分和安全管理部分組成。其中，入侵檢測(cè)部分主要負(fù)責(zé)數(shù)據(jù)的收集和分析，記錄日志信息，發(fā)現(xiàn)入侵行為及時(shí)報(bào)警，如需要，則將報(bào)警信息存入其數(shù)據(jù)庫(kù)，并啟動(dòng)另一個(gè)動(dòng)態(tài)規(guī)則；而安全管理部分則主要接收和處理告警信息，根據(jù)告警的類(lèi)型及當(dāng)前網(wǎng)絡(luò)的安全狀態(tài)給出解決方案和需要采取的措施，同時(shí)更新相關(guān)設(shè)備的規(guī)則庫(kù)。

此系統(tǒng)的核心是檢測(cè)分析引擎，負(fù)責(zé)數(shù)據(jù)包的解碼、預(yù)處理、規(guī)則解析和數(shù)據(jù)檢測(cè)等主要任務(wù)。它對(duì)經(jīng)過(guò)的數(shù)據(jù)包中的高層協(xié)議進(jìn)行解碼，然后經(jīng)過(guò)預(yù)處理模塊來(lái)檢查數(shù)據(jù)包是否需要注意，接著通過(guò)規(guī)則庫(kù)中的不同規(guī)則來(lái)對(duì)每個(gè)數(shù)據(jù)包進(jìn)行詳細(xì)的匹配檢測(cè)，從而決定是否需要采取防御措施。而安全管理部分主要獲取入侵檢測(cè)端得到的日志信息以及每個(gè)設(shè)備的MB庫(kù)中的信息，并對(duì)此進(jìn)行分析和決策，更新入侵檢測(cè)端的規(guī)則庫(kù)以及某些設(shè)備的配置。同時(shí)也可以通過(guò)郵件等方式通知管理員。

2.2基于聯(lián)動(dòng)機(jī)制的入侵防御(Linkage Mechanism-BasedIntrusion Prevention System)

基于聯(lián)動(dòng)機(jī)制的入侵防御系統(tǒng)主要是使得入侵防御系統(tǒng)和防火墻相互協(xié)同工作，利用相互之間傳遞的策略規(guī)則來(lái)達(dá)到防御的目的。入侵防御系統(tǒng)將自身阻塞率較高的安全事件及其相關(guān)規(guī)則傳給網(wǎng)絡(luò)防火墻，使其能夠阻止此類(lèi)安全事件。防火墻的規(guī)則根據(jù)入侵防御系統(tǒng)的情況而動(dòng)態(tài)改變且有一定的時(shí)效性，過(guò)期則規(guī)則自動(dòng)失效。因此防火墻在使用動(dòng)態(tài)開(kāi)啟的端口協(xié)議時(shí)，必須發(fā)送相關(guān)的規(guī)則給入侵防御系統(tǒng)，使得該通信流量能夠正常地通過(guò)。這樣的整體聯(lián)動(dòng)防御使得入侵防御系統(tǒng)和防火墻的壓力得到減輕。

但是，入侵防御系統(tǒng)和防火墻的聯(lián)動(dòng)也存在安全防御機(jī)制不相同的問(wèn)題，即不能直接把防火墻的規(guī)則套用到入侵防御系統(tǒng)中，只能通過(guò)較為抽象的規(guī)則語(yǔ)言來(lái)解決此問(wèn)題。

2.3基于行為的入侵防御(Behavior-Based Intrusion Pre-vention System)

基于行為的入侵防御系統(tǒng)是一種利用異常檢測(cè)方法進(jìn)行實(shí)時(shí)監(jiān)測(cè)并防御的技術(shù)，對(duì)于網(wǎng)絡(luò)中的攻擊源以及被攻擊的目標(biāo)都會(huì)發(fā)生一些異常行為或異常反應(yīng)，如數(shù)據(jù)包的定義不符合RFC的標(biāo)準(zhǔn)、包的長(zhǎng)度超過(guò)限制、指向不存在的信息資源的包等。如果能夠利用這些異常的行為來(lái)提前做出反應(yīng)并進(jìn)行防御，那就可以有效地阻斷攻擊，從而降低甚至避免攻擊造成的損失。

此系統(tǒng)的核心是“行為分析”，它依靠相應(yīng)算法實(shí)現(xiàn)，因此算法的好壞也決定了其是否能夠進(jìn)行有效的入侵防御。

2.4基于數(shù)據(jù)挖掘的入侵防御(data mining-based Intru-sion Prevention System)

基于數(shù)據(jù)挖掘的入侵防御系統(tǒng)一般應(yīng)用于內(nèi)部具有多局域網(wǎng)結(jié)構(gòu)并連接到Internet的企業(yè)網(wǎng)絡(luò)之中，多個(gè)支干的局域網(wǎng)通過(guò)骨干網(wǎng)連接，在每個(gè)支干中的本地安全策略服務(wù)器(Local Policy Server,LPS)后都配置一個(gè)IPS，且每個(gè)IPS都有一個(gè)數(shù)據(jù)庫(kù)，用來(lái)存放其收集到的警報(bào)日志。此外，在主干網(wǎng)絡(luò)中還配備一個(gè)全局安全策略服務(wù)器(Global Policy Server，GPS)，用來(lái)監(jiān)測(cè)和控制支干上的IPS。它也具有一個(gè)全局?jǐn)?shù)據(jù)庫(kù)，用來(lái)存放所有從支干的IPS上產(chǎn)生的日志信息。GPS上具有安全信息管理模塊(Secufity Information Model,StM)，負(fù)責(zé)通過(guò)數(shù)據(jù)挖掘技術(shù)來(lái)分析這些收集到的日志，如果發(fā)現(xiàn)攻擊或

異常，則發(fā)送命令來(lái)控制各支干上的LPS來(lái)調(diào)用本支干的IPS來(lái)清除掉這些攻擊包。

在這種系統(tǒng)中，GPS是其核心部分，而SIM又是GPS的核心部件，它由在線(xiàn)檢測(cè)階段和離線(xiàn)訓(xùn)練階段組成。當(dāng)在線(xiàn)數(shù)據(jù)挖掘器檢測(cè)到攻擊時(shí)，其警報(bào)管理器會(huì)將警報(bào)通知管理員，并在每次通知一個(gè)警報(bào)時(shí)請(qǐng)求一個(gè)確認(rèn)響應(yīng)，其中包括3種類(lèi)型：正常、入侵和可疑事件。得到響應(yīng)后將該響應(yīng)記錄存放到數(shù)據(jù)庫(kù)，然后調(diào)用機(jī)器學(xué)習(xí)方法來(lái)分析和了解這些響應(yīng)。而離線(xiàn)訓(xùn)練階段則負(fù)責(zé)對(duì)全局?jǐn)?shù)據(jù)庫(kù)中的攻擊數(shù)據(jù)流進(jìn)行分類(lèi)，并將其交給在線(xiàn)數(shù)據(jù)挖掘器。

該系統(tǒng)對(duì)檢測(cè)的準(zhǔn)確率有較好的提升，但是其結(jié)構(gòu)較為復(fù)雜，代價(jià)也較高。

2.5基于免疫原理的入侵防御(Immune Principle-Based In-trusion Prevention System)

基于免疫原理的入侵防御系統(tǒng)主要是模擬人體的免疫系統(tǒng)，即基于人工免疫系統(tǒng)(Artificial Immune System,AIS)來(lái)設(shè)計(jì)的，它的主要功能是識(shí)別體內(nèi)細(xì)胞，并將其分為“自我”和“非我”兩類(lèi)，并通過(guò)觸發(fā)適當(dāng)?shù)姆烙鶛C(jī)制來(lái)去除“非我”。其中，“自我”對(duì)應(yīng)于機(jī)體內(nèi)自身的組織，“非我”對(duì)應(yīng)于外來(lái)的病源或體內(nèi)的病變組織。因此，如何識(shí)別“自我”和去除“非我”是免疫系統(tǒng)的核心功能。具體通過(guò)免疫來(lái)進(jìn)行防御的主要過(guò)程是免疫識(shí)別、免疫學(xué)習(xí)、免疫記憶和克隆選擇。其中典型的算法有陰性選擇算法，用于監(jiān)測(cè)數(shù)據(jù)改變；克隆選擇算法，其核心是比例復(fù)制和比例變異算子，主要解決模式識(shí)別等復(fù)雜機(jī)器學(xué)習(xí)任務(wù)；免疫遺傳算法，主要是通過(guò)抗體之間的相互激勵(lì)作用提高抗體的多樣性，動(dòng)態(tài)調(diào)整群體收斂性和種群的多樣性之間的平衡，使免疫系統(tǒng)能夠通過(guò)學(xué)習(xí)，知道哪些抗體對(duì)抗原的識(shí)別有幫助。

3網(wǎng)絡(luò)入侵防御系統(tǒng)存在的問(wèn)題及發(fā)展

3.1存在的問(wèn)題

上文介紹了幾種基于不同技術(shù)的入侵防御系統(tǒng)，它們都在某—個(gè)方面具有明顯的特點(diǎn)和優(yōu)勢(shì)，但是還存在以下幾個(gè)方面的不足，且目前其技術(shù)標(biāo)準(zhǔn)還不統(tǒng)一，技術(shù)上也還沒(méi)有完全成熟。

(1)單點(diǎn)失效問(wèn)題。IPS是串接在網(wǎng)絡(luò)中的主動(dòng)防御系統(tǒng)，產(chǎn)生誤報(bào)后將直接影響網(wǎng)絡(luò)的正常工作。這樣安全產(chǎn)品就變成網(wǎng)絡(luò)的故障點(diǎn)了。

(2)性能瓶頸問(wèn)題。串接在網(wǎng)絡(luò)上的IPS設(shè)備，如何在不影響檢測(cè)效率的基礎(chǔ)上做到高性能的轉(zhuǎn)發(fā)是一個(gè)需要解決的問(wèn)題。

(3)誤報(bào)和漏報(bào)問(wèn)題。與IDS一樣，IPS依然存在誤報(bào)和漏報(bào)的問(wèn)題，一旦發(fā)生誤判，IPS就會(huì)放過(guò)真正的攻擊而阻斷合法的事務(wù)處理，從而造成損失。

(4)攻擊阻塞的管理問(wèn)題。主動(dòng)防御是IPS的重要技術(shù)特點(diǎn)，但是如果處理不妥當(dāng)，則反而會(huì)增加管理的負(fù)擔(dān)，如IPS在與防火墻的聯(lián)動(dòng)中會(huì)更改防火墻的訪(fǎng)問(wèn)控制策略，但這種更改可能并不被允許或者不能被及時(shí)發(fā)現(xiàn)，從而給管理帶來(lái)不便。

3.2發(fā)展方向

目前網(wǎng)絡(luò)安全狀況非常復(fù)雜，單靠上述一些基于單一技術(shù)的入侵防御系統(tǒng)很難全面地保障網(wǎng)絡(luò)的安全，因此，新的入侵防御技術(shù)有以下幾個(gè)發(fā)展方向：

(1)綜合應(yīng)用各種防御技術(shù)的優(yōu)點(diǎn)，能對(duì)網(wǎng)絡(luò)中的特征、流量和協(xié)議等異常行為進(jìn)行分析，取長(zhǎng)補(bǔ)短，盡可能地減少誤報(bào)和漏報(bào)，增強(qiáng)其檢測(cè)、防御和免疫能力。

(2)針對(duì)性能瓶頸問(wèn)題，首先應(yīng)對(duì)現(xiàn)有的軟件結(jié)構(gòu)和算法進(jìn)行重新設(shè)計(jì)，使之能夠適應(yīng)高速網(wǎng)絡(luò)的環(huán)境，同時(shí)開(kāi)發(fā)設(shè)計(jì)專(zhuān)用的硬件結(jié)構(gòu)，配合設(shè)計(jì)專(zhuān)用的軟件來(lái)解決這一問(wèn)題。

(3)為了避免單點(diǎn)故障導(dǎo)致整個(gè)網(wǎng)絡(luò)的無(wú)法訪(fǎng)問(wèn)，IPS需要采用冗余的體系結(jié)構(gòu)，增強(qiáng)其可靠性。

(4)為了更有效地應(yīng)對(duì)未來(lái)更大規(guī)模的網(wǎng)絡(luò)安全事件，提供主動(dòng)防御的入侵防御系統(tǒng)還應(yīng)該向更具良好可視化、可控制性和可管理性的入侵管理系統(tǒng)(IMS)發(fā)展。

4結(jié)束語(yǔ)

不管是基于策略的、基于聯(lián)動(dòng)機(jī)制的、基于行為的、基于數(shù)據(jù)挖掘的，還是基于免疫原理的入侵防御系統(tǒng)，其目的只有一個(gè)，那就是如何去實(shí)時(shí)、正確地防御網(wǎng)絡(luò)攻擊；而這些基于不同技術(shù)的IPS只有不斷進(jìn)步才能適應(yīng)越來(lái)越復(fù)雜的網(wǎng)絡(luò)環(huán)境、越來(lái)越高的網(wǎng)絡(luò)速度、越來(lái)越多的網(wǎng)絡(luò)信息，成為真正的網(wǎng)絡(luò)安全屏障。