摘要:該文介紹入侵防護(hù)系統(tǒng)(IPS)的技術(shù)與原理，在局域網(wǎng)中的入侵防護(hù)系統(tǒng)的部署與實(shí)施方式及其使用效果，入侵防御系統(tǒng)的發(fā)展趨勢(shì)。

關(guān)鍵詞:安全檢測(cè)與監(jiān)控技術(shù);入侵防護(hù)系統(tǒng);部署;發(fā)展趨勢(shì)

中圖分類號(hào):TP393 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1009-3044(2009)15-3899-02

Intrusion Prevention System in the Local Area Network Security System

WU Zhao-xiong， LIANG Shen-qing， ZHU Xuan

(Guang Dong Province Meteorological Information Center， Guangzhou 510080， China)

Abstract: This article introduce the technic and principle of the Intrusion Prevention Systems(IPS)，how to deploy and actualize the IPS in the local area network and it’s effect，the Development trends of the IPS.

Key words: security detection and monitoring technology; Intrusion Prevention Systems; deployment; development trends

1 引言

20世紀(jì)90 年代以來，網(wǎng)絡(luò)技術(shù)高速發(fā)展，同時(shí)帶來了日益嚴(yán)重的安全問題。網(wǎng)絡(luò)安全事件的發(fā)生頻率呈擴(kuò)大趨勢(shì)，大規(guī)模的網(wǎng)絡(luò)蠕蟲和DOS、DDOS 等暴力類型攻擊逐漸成為Internet上的主要攻擊手段。此外，隨著黑客入侵水平的提高，入侵行為也不再是單一的行為，應(yīng)對(duì)、協(xié)同式、集成式攻擊的入侵行為時(shí)，龐大的網(wǎng)絡(luò)數(shù)據(jù)超出了服務(wù)器的處理能力，單個(gè)的安全組件設(shè)備就顯得十分力單勢(shì)薄。而且這些組件只能針對(duì)獨(dú)立的入侵行為，難以防范大規(guī)模的、有組織的協(xié)同入侵行為和集成式攻擊。在大規(guī)模系統(tǒng)中，各安全組件缺乏協(xié)同工作和互動(dòng)的防御機(jī)制。所以構(gòu)建一種高性能的、能緊密聯(lián)合各項(xiàng)安全組件和安全技術(shù)如防火墻技術(shù)、入侵檢測(cè)技術(shù)、內(nèi)容過濾技術(shù)、反病毒技術(shù)等，能夠?qū)Π踩录M(jìn)行動(dòng)態(tài)響應(yīng)的網(wǎng)絡(luò)安全框架結(jié)構(gòu)是當(dāng)前的迫切需要。因此，本文提出一種新型的入侵防御系統(tǒng)正是解決以上不足之處的有效途徑。

2 入侵防御系統(tǒng)IPS介紹

2.1 入侵防護(hù)系統(tǒng)(IPS)

IPS[1]是英文“Intrusion Prevention System”的縮寫，中文意思是入侵防護(hù)系統(tǒng)。隨著網(wǎng)絡(luò)攻擊技術(shù)的不斷提高和網(wǎng)絡(luò)安全漏洞的不斷發(fā)現(xiàn)，傳統(tǒng)防火墻技術(shù)加IDS的技術(shù)，已

經(jīng)無法應(yīng)對(duì)一些安全威脅。在這種情況下，IPS技術(shù)應(yīng)運(yùn)而生，IPS技術(shù)可以深度感知并檢測(cè)流經(jīng)的數(shù)據(jù)流量，對(duì)惡意報(bào)文進(jìn)行丟棄以阻斷攻擊，對(duì)濫用報(bào)文進(jìn)行限流以保護(hù)網(wǎng)絡(luò)帶寬資源。

與入侵檢測(cè)系統(tǒng)不同，前者的產(chǎn)品目標(biāo)是實(shí)時(shí)發(fā)現(xiàn)并準(zhǔn)確判斷網(wǎng)絡(luò)中存在的攻擊，并及時(shí)予以阻斷，而后者的產(chǎn)品目標(biāo)是全面檢測(cè)網(wǎng)絡(luò)中的實(shí)時(shí)網(wǎng)絡(luò)數(shù)據(jù)，及時(shí)發(fā)現(xiàn)入侵和異常，并將事件的詳細(xì)信息和處理建議以報(bào)警方式呈現(xiàn)給管理員。

2.2 入侵防護(hù)系統(tǒng)基本原理

IPS實(shí)現(xiàn)實(shí)時(shí)檢查和阻止入侵的原理在于IPS擁有數(shù)目眾多的過濾器[2]，能夠防止各種攻擊。當(dāng)新的攻擊手段被發(fā)現(xiàn)之后，IPS就會(huì)創(chuàng)建一個(gè)新的過濾器。

IPS數(shù)據(jù)包處理引擎是專業(yè)化定制的集成電路，可以深層檢查數(shù)據(jù)包的內(nèi)容。如果有攻擊者利用Layer2(介質(zhì)訪問控制)至Layer7(應(yīng)用)的漏洞發(fā)起攻擊，IPS能夠從數(shù)據(jù)流中檢查出這些攻擊并加以阻止。傳統(tǒng)的防火墻只能對(duì)Layer3或Layer4進(jìn)行檢查，不能檢測(cè)應(yīng)用層的內(nèi)容。防火墻的包過濾技術(shù)不會(huì)針對(duì)每一字節(jié)進(jìn)行檢查，因而也就無法發(fā)現(xiàn)攻擊活動(dòng)，而IPS可以做到逐一字節(jié)地檢查數(shù)據(jù)包。所有流經(jīng)IPS的數(shù)據(jù)包都被分類，分類的依據(jù)是數(shù)據(jù)包中的報(bào)頭信息，如源IP地址和目的IP地址、端口號(hào)和應(yīng)用域。每種過濾器負(fù)責(zé)分析相對(duì)應(yīng)的數(shù)據(jù)包。通過檢查的數(shù)據(jù)包可以繼續(xù)前進(jìn)，包含惡意內(nèi)容的數(shù)據(jù)包就會(huì)被丟棄，被懷疑的數(shù)據(jù)包需要接受進(jìn)一步的檢查。針對(duì)不同的攻擊行為，IPS需要不同的過濾器。每種過濾器都設(shè)有相應(yīng)的過濾規(guī)則，為了確保準(zhǔn)確性，這些規(guī)則的定義非常廣泛。在對(duì)傳輸內(nèi)容進(jìn)行分類時(shí)，過濾引擎還需要參照數(shù)據(jù)包的信息參數(shù)，并將其解析至一個(gè)有意義的域中進(jìn)行上下文分析，以提高過濾準(zhǔn)確性。過濾器引擎集合了流水和大規(guī)模并行處理硬件，能夠同時(shí)執(zhí)行數(shù)千次的數(shù)據(jù)包過濾檢查。并行過濾處理可以確保數(shù)據(jù)包能夠不間斷地快速通過系統(tǒng)，不會(huì)對(duì)速度造成影響。

3 IPS在局域網(wǎng)安全系統(tǒng)建設(shè)中的部署和實(shí)施

3.1 入侵防護(hù)系統(tǒng)的部署和實(shí)施

在部署入侵防御系統(tǒng)的時(shí)候，將IPS放置于 FireWall 與內(nèi)網(wǎng)之間，部署結(jié)構(gòu)如圖1，可以防御來自于外網(wǎng)針對(duì)防火墻和內(nèi)網(wǎng)的攻擊。防火墻往往是攻擊的對(duì)象重點(diǎn)，一旦防火墻遭到攻擊后，將會(huì)有很大的機(jī)會(huì)造成網(wǎng)絡(luò)中斷。且防火墻僅具有四層封包解析[3-4]的功能，對(duì)于利用七層的黑客攻擊手法或是利用合法掩護(hù)非法的網(wǎng)絡(luò)行為便無法有效管控。透過 IPS 的保護(hù)，除了對(duì)于來自外網(wǎng)針對(duì)內(nèi)網(wǎng)或防火墻的暴力攻擊能夠有效阻擋之外，對(duì)于所有進(jìn)出的封包均進(jìn)行詳細(xì)的七層分析，黑客利用合法方式進(jìn)行非法存取的攻擊將無所遁形。

部署IPS，同時(shí)可以防御來自于內(nèi)網(wǎng)的攻擊，同時(shí)可針對(duì)于內(nèi)網(wǎng)對(duì)于外網(wǎng)的存取應(yīng)用進(jìn)行管理。通過使用入侵防御系統(tǒng)，可辨識(shí)多種類別如 IM / VoIP / P2P / FTP [5] 等已知的網(wǎng)路應(yīng)用軟件，進(jìn)而根據(jù)多種條件如 IP群組、VLAN ID等范圍條件制訂各種不同的管理策略。除了開放與禁止的網(wǎng)絡(luò)行為管理之外還可針對(duì)不同的應(yīng)用予以不同的帶寬使用以及傳輸總量限制，可讓企業(yè)網(wǎng)路實(shí)施彈性管理，也不會(huì)因?yàn)榉乐咕W(wǎng)路攻擊而影響到正常的網(wǎng)路訪問，讓省局的網(wǎng)路帶寬得到最有效的利用。

部署在網(wǎng)絡(luò)系統(tǒng)中的入侵防御產(chǎn)品包括兩個(gè)組成部分:硬件形態(tài)的入侵防御引擎[6]和軟件形態(tài)的入侵防御控制臺(tái)，其具體組成形式如圖2所示。入侵防御引擎串行接入到網(wǎng)絡(luò)中，對(duì)所有穿透引擎的數(shù)據(jù)進(jìn)行分析和作出響應(yīng)。入侵防御控制臺(tái)包括四個(gè)可獨(dú)立部署也可以組合部署的部分:管理控制臺(tái)負(fù)責(zé)向入侵防御引擎下發(fā)策略以及接收引擎上報(bào)事件，這些上報(bào)的事件依據(jù)響應(yīng)策略實(shí)時(shí)顯示在報(bào)警監(jiān)控臺(tái)和存儲(chǔ)在日志數(shù)據(jù)庫中，存儲(chǔ)在日志數(shù)據(jù)庫中的歷史信息可以通過報(bào)表分析組件進(jìn)行報(bào)告的生成和查詢。

入侵防御產(chǎn)品提供了對(duì)各種入侵威脅行為的防御，通過下發(fā)內(nèi)置默認(rèn)策略，可以實(shí)現(xiàn)對(duì)如下攻擊行為的精確阻斷:溢出攻擊、木馬后門、即時(shí)通訊行為、SQL注入攻擊[7]、間諜軟件、網(wǎng)絡(luò)游戲行為、流行蠕蟲攻擊、僵尸程序、異常協(xié)議行為、數(shù)據(jù)庫漏洞攻擊、惡意代碼、脆弱口令行為、操作系統(tǒng)漏洞攻擊、掃描探測(cè)行為、廣告軟件行為。

4 入侵檢測(cè)系統(tǒng)發(fā)展趨勢(shì)

信息安全產(chǎn)品的發(fā)展趨勢(shì)是不斷地走向融合，走向集中管理。入侵防御系統(tǒng)(IPS)具有檢測(cè)入侵和對(duì)入侵做出反應(yīng)兩項(xiàng)功能，可以說是將防火墻、IDS系統(tǒng)[8]、防病毒和脆弱性評(píng)估等技術(shù)的優(yōu)點(diǎn)與自動(dòng)阻止攻擊的功能融為一體。入侵預(yù)防之所以有著重大優(yōu)勢(shì)，正是因?yàn)樗鼫p輕了網(wǎng)絡(luò)內(nèi)部安全管理的負(fù)擔(dān)。不同于傳統(tǒng)入侵檢測(cè)產(chǎn)品，入侵預(yù)防實(shí)際上通過下列方式來保護(hù)內(nèi)部資源免受來自網(wǎng)絡(luò)內(nèi)部的攻擊:限制可能具有破壞性的代碼的行為又不妨礙內(nèi)部相互訪問、提供攻擊記錄以及一旦擊退攻擊就通知網(wǎng)絡(luò)安全管理人員。此外，高性能級(jí)別入侵預(yù)防技術(shù)能夠擊退基于網(wǎng)絡(luò)的攻擊，譬如拒絕服務(wù)、探測(cè)、畸形數(shù)據(jù)包及敵意連接攻擊。因?yàn)榘踩δ艿娜诤鲜谴髣?shì)所趨，入侵防護(hù)順應(yīng)了這一潮流。所以在不久的將來，它必將會(huì)得到更廣泛的應(yīng)用。

參考文獻(xiàn):

[1] 梁琳，拾以娟，鐵玲.基于策略的安全智能聯(lián)動(dòng)模型[J].信息安全與通信保密，2004(2):35-37.

[2] 戴英俠，連一峰，王航.系統(tǒng)安全與入侵檢測(cè)[M].北京:清華大學(xué)出版社，2002:56-57.

[3] Intrusion Prevention System (IPS)[EB/OL].(2004-02).http://www.nss.co.uk.

[4] 陳曉宇，王曉明，孫鵬.淺談廣東省氣象局網(wǎng)絡(luò)安全防護(hù)體系的部署[J].廣東氣象，2004，26(3):37-39.

[5] 張龍.IPS入侵預(yù)防系統(tǒng)研究與設(shè)計(jì)[D].山東大學(xué)碩士學(xué)位論文，2006:49-50.

[6] Zhang X Y.Intrusion Prevention System Design[J].Computer and Information Technology，2004.

[7] 李蒙.氣象信息網(wǎng)站安全隱患及防范[J].廣西氣象，2007，28(S2):153-155.

[8] 網(wǎng)絡(luò)入侵檢測(cè)防御技術(shù)綜述[EB/OL].(2007-10-30).http://www.soft6.com/tech/9/95466.html.