摘要：隨著互聯(lián)網(wǎng)的迅速發(fā)展，網(wǎng)絡(luò)黑客的技術(shù)也不斷的提升，同時(shí)，網(wǎng)絡(luò)上的不良事件也是水漲船高，安全成了政府和人們的重中之重。作為一種新的網(wǎng)絡(luò)安全技術(shù)-入侵防御系統(tǒng)具有一般普通防火墻和入侵檢測所不具有的優(yōu)越性能。文章重點(diǎn)介紹了入侵防御系統(tǒng)的基本工作原理、技術(shù)特點(diǎn)及種類，并分析了入侵防御系統(tǒng) IPS 面臨的 3 個核心問題，最后作者根據(jù)多年的經(jīng)驗(yàn)對本文進(jìn)行了分析和展望。

關(guān)鍵詞：網(wǎng)絡(luò)防御；IPS；技術(shù)研究

中圖分類號：TP393.08 文獻(xiàn)標(biāo)識碼：A 文章編號：1007-9599 （2012） 24-0103-02

1 前言

互聯(lián)網(wǎng)的開放性、交互性和分散性特征為人類供了開放、靈活和快速的信息共享信息交流和信息服務(wù)的理想空間，互聯(lián)網(wǎng)技術(shù)的快速發(fā)展和大量使用，為現(xiàn)代社會的發(fā)展給予了有效的助力。同時(shí)也給人們帶來的困難和煩惱，比方說，資源未授權(quán)侵用、未授權(quán)的信息就呈現(xiàn)了、系統(tǒng)不認(rèn)可信息流和系統(tǒng)的當(dāng)即拒絕等，這都是網(wǎng)聯(lián)網(wǎng)安全的問題所在。在互聯(lián)網(wǎng)安全出現(xiàn)危機(jī)的當(dāng)下，原有的唯一安全防護(hù)技術(shù)已經(jīng)無法供應(yīng)使用者的所需，新型互聯(lián)網(wǎng)安全技術(shù)的出現(xiàn)和實(shí)施迫不及待。原有的互聯(lián)網(wǎng)安全技術(shù)核心在于防火墻、入侵檢測系統(tǒng)IDS、漏洞掃描和蜜罐等，雖然這些功能在一定程度上有了突破，但這些功能也存在不足之處無法單獨(dú)實(shí)現(xiàn)當(dāng)下互聯(lián)網(wǎng)安全的需要。對此，專家給予了入侵防御系統(tǒng)IPS的概念。

2 入侵防御系統(tǒng)（IPS）簡介

入侵防御系統(tǒng)工作原理

入侵防御系統(tǒng)（Intrusion Prevention System，IPS）入侵防御系統(tǒng)是一項(xiàng)常為古老入侵檢測系統(tǒng)快速有效的安全工具，是經(jīng)過快速嵌入到互聯(lián)網(wǎng)流量里，提前對入侵不明行為和攻擊性互聯(lián)網(wǎng)流量來阻擋。即經(jīng)過一個互聯(lián)網(wǎng)接口導(dǎo)入外部系統(tǒng)的流量，通過檢驗(yàn)確定這里面沒有非正常活動或威脅內(nèi)容之后，再經(jīng)過其它的接口將它導(dǎo)入到內(nèi)部系統(tǒng)里。IPS 設(shè)有數(shù)目較多的過濾，可對不同的數(shù)據(jù)包進(jìn)行檢測，全部流經(jīng) IPS 的內(nèi)容統(tǒng)一分開，即經(jīng)過數(shù)據(jù)包中里的報(bào)頭信息，假如源 IP 地址和目的IP地址、接口號和運(yùn)用的區(qū)域。每個過濾器承擔(dān)過濾各自的內(nèi)容，經(jīng)過檢測的內(nèi)容才能方可前行，如果里面有危險(xiǎn)的內(nèi)容就會丟失，發(fā)現(xiàn)不良的內(nèi)容就會進(jìn)行更精準(zhǔn)的檢測。如果有新攻擊手被發(fā)現(xiàn)的時(shí)候，IPS立即構(gòu)建一套新的過濾器。攻擊者利用 Layer 2（介質(zhì)訪問控制）至 Layer 7（應(yīng)用）漏洞出現(xiàn)的全部攻擊，IPS 均可以從數(shù)據(jù)流里檢測出那些攻擊并進(jìn)行防止。1.2 IPS 分類IPS區(qū)分成三種，我們分析如下：

（1）基于主機(jī)的入侵防御系統(tǒng)（Host Intrusion Preve-nt System，HIPS）運(yùn)用由承包過濾、狀況包檢查和實(shí)行入侵檢查組成分批保護(hù)體系。這款體系給予了有效吞吐率的情況下，同時(shí)依照自定義的安全方式及總結(jié)分析體系來阻止對系統(tǒng)出現(xiàn)的不良來侵，盡可能地確保系統(tǒng)的安全。HIPS 方可以軟件方式深入到所用程序?qū)κ褂玫南到y(tǒng)運(yùn)用之中，經(jīng)過阻攔有效使用的系統(tǒng)不良調(diào)用，給予對系統(tǒng)的安全保護(hù)；還可使用變換使用系統(tǒng)內(nèi)核程序的方法，給予比使用系統(tǒng)更有效的安全體系方式。

（2）基于網(wǎng)絡(luò)的入侵防御系統(tǒng)（Network Intrusion Preven-tion System，NIPS）作為互聯(lián)網(wǎng)之間或互聯(lián)網(wǎng)構(gòu)成的這一組之間的唯一設(shè)施，使用隨時(shí)在線服務(wù)方法，一旦發(fā)現(xiàn)不良內(nèi)容，立即關(guān)掉全部網(wǎng)絡(luò)對話，不光是復(fù)位對話。為保證吞吐率，NIPS 務(wù)必基于制定的硬件功能，這項(xiàng)有效的硬件平臺以往是區(qū)分三種：一種是互聯(lián)網(wǎng)處理器；還有一種是專業(yè)的FPGA 編程芯片；這種類是專業(yè)的ASIC芯片。NIPS使用的是有效匹配、檢測觀察和不同尋常檢查等技能，對互聯(lián)網(wǎng)流量的精細(xì)數(shù)據(jù)包檢驗(yàn)和阻止技術(shù)，給予對互聯(lián)網(wǎng)系統(tǒng)的安全防護(hù)。

（3）基于使用的入侵防御系統(tǒng)（Application Intrusion Pre-vention System，AIPS）AIPS 是設(shè)置在使用數(shù)據(jù)鏈接中的一項(xiàng)高質(zhì)量精準(zhǔn)設(shè)施，應(yīng)在保證使用者依照已保護(hù)的安全策略，確保使用空間的全部性。AIP 完全能兌現(xiàn)互聯(lián)網(wǎng)層到使用層的多項(xiàng)立體保護(hù)體制，這里還含有Cookie 篡改、SQL 代碼的存在、參數(shù)篡改、緩沖器溢出、威脅瀏覽、畸形數(shù)據(jù)包、數(shù)據(jù)項(xiàng)目不搭配以及各種錯誤。大量的運(yùn)用大型Web 應(yīng)用，經(jīng)過多項(xiàng)技術(shù)的合成兌現(xiàn)有效的應(yīng)用保護(hù)。

3 系統(tǒng)實(shí)現(xiàn)原理

通過iPtables設(shè)置方式，經(jīng)常的自Ne山lte：鉤子中獲取互聯(lián)網(wǎng)內(nèi)容，經(jīng)過iPJlueue方式和nedink端口，將互聯(lián)網(wǎng)層數(shù)據(jù)包從內(nèi)核態(tài)獲取到使用者的相關(guān)信息。例如信任網(wǎng)段或系統(tǒng)的數(shù)據(jù)包則立即經(jīng)過該檢驗(yàn)系統(tǒng)，降低檢驗(yàn)系統(tǒng)匹配數(shù)量。Ort-in-lire擁有l(wèi)ibiPq端口函數(shù)，經(jīng)過Nedink端口，自里面的Netfilter的QUEUE數(shù)據(jù)里讀取內(nèi)容.來進(jìn)行檢驗(yàn)，使用模式般配和狀況檢查技能來檢驗(yàn)。Snort-i心n e的方式可布置為放棄攻擊數(shù)據(jù)包還有交換數(shù)據(jù)包里的攻擊代碼以設(shè)置不一樣的人侵入的事件。研究部件一經(jīng)般配出現(xiàn)了人侵信息，就使用libipq函數(shù)ipejeoe心et經(jīng)過neuink端口與內(nèi)核Ne卜川te：聯(lián)系，對數(shù)據(jù)包來對應(yīng)治理，這是命令數(shù)據(jù)庫部件記下攻擊事項(xiàng)。假如融合不成立，則依照Ne山lter設(shè)t的方式治理。同時(shí)外接方式翰出部件判斷假如出現(xiàn)系統(tǒng)滲入、大批的回絕事項(xiàng)攻擊、互聯(lián)網(wǎng)姍蟲病毒等普報(bào)，依照入侵來源的地方等信號，構(gòu)成幣妞bles防火墻方式以阻止人俊數(shù)據(jù)通過，降低匹配數(shù)量，減少重新報(bào)替次數(shù)，以確保人侵檢查資源。

4 入侵防御系統(tǒng)面臨的挑戰(zhàn)

當(dāng)下IPS 技能能得到更多的創(chuàng)新，總結(jié)分析出關(guān)鍵的三個方面。

（1）單點(diǎn)問題。在設(shè)置的需求上 IPS務(wù)必是以導(dǎo)入方式工作在互聯(lián)網(wǎng)里，這還會影響單點(diǎn)問題或不同程度困難。例如 IDS 呈現(xiàn)困難，更關(guān)鍵的狀況會構(gòu)成不能檢驗(yàn)到一些攻擊，從而導(dǎo)入式的 IPS 設(shè)施呈現(xiàn)嚴(yán)重的困難時(shí)，會導(dǎo)致互聯(lián)網(wǎng)的運(yùn)轉(zhuǎn)情況。假如因 IPS 呈現(xiàn)出問題被關(guān)上，那使用者將會面臨很多因 IPS 構(gòu)成的回絕服務(wù)困難，所有使用者都不能查看由單位互聯(lián)網(wǎng)給予的應(yīng)用。

（2）性能問題。出于 IPS 務(wù)必和幾千兆或再多容量的互聯(lián)網(wǎng)流量確保統(tǒng)一，重要是在載入了大量的檢驗(yàn)特性庫時(shí)，設(shè)置不規(guī)范的 IPS 導(dǎo)入設(shè)施將不能完成這項(xiàng)響應(yīng)時(shí)間。即使是 IPS 設(shè)施正常運(yùn)轉(zhuǎn)，它還是一個備用在的互聯(lián)網(wǎng)瓶頸，還會減少互聯(lián)網(wǎng)的效率，況且還能加大落后的時(shí)間段，對此，當(dāng)前很多高層次 IPS 物品廠商為提升 IPS 的性能都運(yùn)用了自定義的硬件 （網(wǎng)絡(luò)處理器、FPGA 和 ASIC 芯片）。

（3）誤報(bào)和漏報(bào)。誤報(bào)率和漏報(bào)率會是 IPS 要用心對待的問題。在現(xiàn)代復(fù)雜的互聯(lián)網(wǎng)中，假如按一秒要整理20 條警告內(nèi)容來處理，這 IPS 一個鐘頭最少要整理72000 項(xiàng)警報(bào)，每天要1 728 000 項(xiàng)。警報(bào)如果構(gòu)成，給了很大的機(jī)會，還會構(gòu)成合法流量被正常阻止。如果被阻止了“攻擊性”的數(shù)據(jù)包，同時(shí)會阻止全部來自異常攻擊者的數(shù)據(jù)流。例如驚動了誤報(bào)警報(bào)的流量正好是哪個買家訂單的一項(xiàng)，這個買家的全部對話將都關(guān)上，后果是很嚴(yán)重的，而且此后該使用者全部重來對接至單位互聯(lián)網(wǎng)的正規(guī)查看都將被“盡職盡責(zé)”IPS 阻止。

5 結(jié)束語

依照以上的結(jié)果得出，該原型系統(tǒng)能有效阻止檢測的每項(xiàng)攻擊，都能完成系統(tǒng)是設(shè)置。實(shí)驗(yàn)里還呈現(xiàn)了該原型系統(tǒng)也有一些不足之處：運(yùn)用ip月ueue模塊和netlink端口方法將數(shù)據(jù)包內(nèi)容從核心態(tài)拷貝到用戶態(tài)，延緩了數(shù)據(jù)的整理速度，同時(shí)給系統(tǒng)帶來了不好的狀態(tài)。隨著網(wǎng)絡(luò)攻擊手段不斷多樣化，簡單的采用多種孤立的安全手段已不能滿足用戶的需求。人侵防御系統(tǒng)的出現(xiàn)便是防火墻和人侵檢測系統(tǒng)的下一發(fā)展方向。據(jù)預(yù)測，到2004年底，PS將替代已有IDS部署中的50%，并且占有新的部署中75%的市場份額?？梢娋W(wǎng)絡(luò)IPS系統(tǒng)將有著廣闊的市場前景，將在信息安全領(lǐng)域?qū)⒄加性絹碓街匾牡匚弧?/p>

參考文獻(xiàn)：

[1]鄒峰.基于計(jì)算機(jī)網(wǎng)絡(luò)的入侵檢測與防御研究[J].煤炭技術(shù)，2011（1）：92-94.

[2]查東輝.入侵防御系統(tǒng)技術(shù)[J].信息安全與通信保密，2009（2）：48-50.

[3]武裝，陳佳欣，王克平.一種改進(jìn)的 IPv4/v6 網(wǎng)絡(luò)入侵檢測技術(shù)研究[J].計(jì)算機(jī)科學(xué)，2011（6）：140-141.