王麗

【摘要】本文簡述了入侵保護/防御系統(tǒng)（IPS）的概念，入侵保護系統(tǒng)的工作原理、分類，同時與傳統(tǒng)的IDS（入侵檢測系統(tǒng)）進行了對比。并且對比了防火墻、IDS相對于IPS的局限，提出通過部署入侵保護系統(tǒng)來提升網(wǎng)絡安全。在討論網(wǎng)絡安全漏洞的基礎上，對入侵保護系統(tǒng)檢測技術進行了研究。

【關鍵詞】IPS;入侵防御系統(tǒng)：IDS：網(wǎng)絡安全構建

一、入侵防御系統(tǒng)

入侵防御技術能夠對網(wǎng)絡進行主動的防護，保障網(wǎng)絡安全。IPS是一種主動的、智能的入侵檢測和防御系統(tǒng)，可預先對入侵活動和攻擊行為的網(wǎng)絡流量進行攔截，保障網(wǎng)絡安全。IDS是以并聯(lián)的方式部署在不同的服務器和網(wǎng)段上，通過網(wǎng)絡傳感器獲取服務器或網(wǎng)段上的流量，再通過IDS管理控制臺進行分析，當檢查到入侵或攻擊行為，管理器會向管理員發(fā)出警報。而IPS以串聯(lián)的方式部署在網(wǎng)絡的進出口處（核心三層交換機或核心路由器），它可以分析所有流量，檢測到有入侵或攻擊企圖后，IPS會采取相應的措施對攻擊行為（比如自動數(shù)據(jù)丟棄包）阻斷。而IDS是之前一些單位采用的網(wǎng)絡保護方式，但其存在以下幾個顯著缺陷：一是部署過程復雜，費用高;二是誤報、錯報率高;三是防攻擊能力較差;四是被動防攻擊等。而IPS能主動對入侵行為和攻擊數(shù)據(jù)包實行攔截丟棄，再向管理員發(fā)出報警。

二、IPS的分類

（一）基于主機的入侵防御系統(tǒng)（HIPS）

HIPS是為了保護服務器免受外部入侵或攻擊，主要是將代理程序安裝在服務器等主機上以此防止入侵或攻擊。對于緩沖區(qū)溢出、登錄口令、試圖獲得操作系統(tǒng)入侵權等行為，HIPS可以根據(jù)系統(tǒng)內(nèi)置的安全策略和分析學習機制阻斷對主機的入侵，從而保障主機系統(tǒng)的安全。

（二）基于網(wǎng)絡的入侵防護系統(tǒng)（NIPS）

由于NIPS串聯(lián)在網(wǎng)絡主干上，對整個網(wǎng)絡流量起到過濾的作用，即檢測出流量具有危害性，NIPS會直接去除整個網(wǎng)絡會話。但是任何事情都有兩面性，由于IPS是以串聯(lián)的方式接人整個網(wǎng)絡的進出口，那么NIPS性能的好壞，直接影響著整體網(wǎng)絡的性能，這種方式的防護系統(tǒng)有可能成為整個網(wǎng)絡的瓶頸。

（三）應用入侵防護系統(tǒng)（AIPS）

AIPS是應用服務器之前的網(wǎng)絡設備，保護應用服務器安全。AIPS是高性能的設備，部署在特定的網(wǎng)絡鏈路上，并設置好安全策略，用戶遵守這些安全策略，從而保護服務器的安全。

三、基于認知網(wǎng)絡的入侵防御系統(tǒng)構建

（一）入侵防御系統(tǒng)優(yōu)缺點

第一，進行更深層次的檢測。OSI模型的（傳輸、會話、表示、應用層）傳統(tǒng)防火墻系統(tǒng)和入侵檢測系統(tǒng)都無法進行檢測，但是入侵防御系統(tǒng)卻能夠進行檢測。網(wǎng)絡協(xié)議由TCP/IP封裝起來，由于新型攻擊程序的代碼一般都封裝在TCP/IP協(xié)議包中，這樣很難將其檢測出。而入侵防御系統(tǒng)能夠深入OSI模型4～7層，可以對網(wǎng)絡協(xié)議包進行檢測，因此對于這類網(wǎng)絡的漏檢測概率大大降低。第二，在介紹IPS分類時就已經(jīng)提過這種防護是串聯(lián)模式，部署在網(wǎng)絡主干中，對于網(wǎng)絡出現(xiàn)攻擊系統(tǒng)可以快速對網(wǎng)絡攻擊做出反應，制止網(wǎng)絡攻擊。第三，實時檢測網(wǎng)絡系統(tǒng)。由于傳統(tǒng)入侵檢測系統(tǒng)只針對網(wǎng)絡封包的歷史數(shù)據(jù)進行檢測，當發(fā)現(xiàn)一些入侵痕跡時入侵行為已經(jīng)發(fā)生，不能及時處理網(wǎng)絡入侵而是報警給管理員，損失可能已經(jīng)造成，不能及時止損。而IPS系統(tǒng)是實時進行網(wǎng)絡監(jiān)測，實時檢測異常，并對出現(xiàn)攻擊異常做出反應，保障網(wǎng)絡系統(tǒng)的安全性。第四，主動防御能力。IPS系統(tǒng)監(jiān)測到流經(jīng)的流量有問題就對此數(shù)據(jù)進行丟棄，主動防護能力強，是IDS入侵檢測系統(tǒng)和傳統(tǒng)防火墻系統(tǒng)的綜合，而且IPS不需要其他系統(tǒng)配合。IPS具有學習功能，可以把不在系統(tǒng)防御內(nèi)的入侵行為加入規(guī)則比配數(shù)據(jù)庫中。但有些入侵行為防御系統(tǒng)數(shù)據(jù)庫中沒有比配數(shù)據(jù)，就會漏報攻擊行為或入侵行為。為了解決IPS漏報或錯報的問題，IPS的開發(fā)者傾向于采用智能算法自動學習入侵模式，自動動態(tài)更新入侵防御系統(tǒng)數(shù)據(jù)庫，使其能夠在不斷認知學習中進行入侵防御。

（二）基于智能認知的IPS

傳統(tǒng)IPS對網(wǎng)絡數(shù)據(jù)與數(shù)據(jù)庫中的數(shù)據(jù)，按照一定算法進行對比，這種算法的好壞和數(shù)據(jù)庫是否充實都會造成對網(wǎng)絡行為的判斷失誤，漏報、誤報的情況增多。可以通過優(yōu)化算法或及時更新數(shù)據(jù)庫改變這種狀況，但通過智能認知的方式更具有優(yōu)越性。智能認知網(wǎng)絡是通過熟悉周圍網(wǎng)絡環(huán)境，對網(wǎng)絡環(huán)境的變化不斷更新，認知理解網(wǎng)絡環(huán)境，從而動態(tài)調整網(wǎng)絡各種配置，對網(wǎng)絡行為做出相應的決策。在智能認知理論基礎上，讓IPS有較強的自學習能力，分析網(wǎng)絡中的數(shù)據(jù)，對網(wǎng)絡異常數(shù)據(jù)進行過濾以保護整個網(wǎng)絡。智能認知的IPS的自學習能力能主動識別出入侵，不需要安全員參與。這種IPS的數(shù)據(jù)庫不斷自動動態(tài)更新，隨著規(guī)則匹配庫的不斷完善，漏報、誤報率就會相應減小。

（三）智能認知防御系統(tǒng)網(wǎng)絡安全構建

智能IPS相比傳統(tǒng)IPS和IDS都具有很大的優(yōu)勢，構建智能認知IPS主要由以下5個部分組成：

1.嗅探器：掃描流經(jīng)端口及路由的數(shù)據(jù)。

2.狀態(tài)庫：存儲數(shù)據(jù)。

3.知識庫：這是智能IPS的核心部分，對狀態(tài)庫的信息進行分析以及推理，對現(xiàn)有的知識庫進行更新，獲得認知新知識的能力。

4.認知推理：對知識庫的數(shù)據(jù)進行知識推理，對未知網(wǎng)絡推理分析學習知識。

5.決策執(zhí)行：這是入侵行為的決策者。該模塊通過認知結果進行相應的入侵防御。