譚方勇　周　莉　張　燕　顧才東

摘要：入侵防御系統(tǒng)(IPS)是繼防火墻和入侵檢測系統(tǒng)(IDS)之后一種新的網(wǎng)絡(luò)安全技術(shù)。它彌補了IDS處于旁路模式，只能檢測網(wǎng)絡(luò)攻擊，而不能直接阻止這些威脅的弱點，采用了串聯(lián)模式的主動防御技術(shù)，能實時阻斷網(wǎng)絡(luò)的攻擊行為?；诓煌夹g(shù)的IPS從不同的方面增強了網(wǎng)絡(luò)安全的防御能力，但也存在著一些共同的缺點，需要在硬件、軟件結(jié)構(gòu)以及算法上進一步改進。文章分析了基于不同技術(shù)的網(wǎng)絡(luò)入侵防御系統(tǒng)，提出了其存在的共同缺陷，同時也提出了網(wǎng)絡(luò)入侵防御系統(tǒng)今后的發(fā)展方向。

關(guān)鍵詞：IDS；IPS；安全策略；主動防御

0引言

防火墻和入侵檢測系統(tǒng)(Intrusion Detection System，IDS)一直作為計算機網(wǎng)絡(luò)安全中的主要工具，但是，它們并不能完全滿足對網(wǎng)絡(luò)攻擊的檢測和防御的要求。其中，防火墻是提供粗粒度訪問控制的設(shè)備，它只能根據(jù)事先沒定的規(guī)則，對進出網(wǎng)絡(luò)的數(shù)據(jù)包進行過濾，而對于應(yīng)用級的攻擊不具有防御能力。事實證明，很多攻擊行為可以繞過防火墻來實現(xiàn)對網(wǎng)絡(luò)的攻擊，同時造成巨大的損失。入侵檢測系統(tǒng)主要的目的是檢測網(wǎng)絡(luò)中的攻擊行為，及時發(fā)現(xiàn)網(wǎng)絡(luò)中存在的安全威脅，進而采取相關(guān)措施來阻止攻擊的再次發(fā)生。但是，它一個致命的缺點就是只能夠檢測到攻擊而不能采取任何主動的防御行為，只適合在某些需要流量監(jiān)控、分析與回放的情況下部署。另外，誤報率也相對較高。

防火墻和IDS基本都是被動的，在攻擊發(fā)生之前無法預(yù)先發(fā)出警報。而入侵防御系統(tǒng)(Intrusion Prevention System，IPS)則提供了主動性防護，它對入侵活動和攻擊性網(wǎng)絡(luò)流量進行攔截，避免造成任何損失。

1網(wǎng)絡(luò)入侵防御的工作原理

入侵防御系統(tǒng)(IPS)是指具有檢測并阻止已知或未知攻擊的內(nèi)嵌硬件設(shè)備或軟件系統(tǒng)，它分為網(wǎng)絡(luò)入侵防御系統(tǒng)(Network Intrusion Prevention System，NIPS)和主機入侵防御系統(tǒng)(Host Intrusion Prevention System，HIPS)。NIPS一般部署于網(wǎng)絡(luò)的進出口處，即在數(shù)據(jù)轉(zhuǎn)發(fā)的路徑上，可以根據(jù)預(yù)先設(shè)定的安全策略，對經(jīng)過的每個數(shù)據(jù)包進行深度檢測，如協(xié)議分析跟蹤，流量統(tǒng)計分析、特征匹配、事件關(guān)聯(lián)分析等，一旦發(fā)現(xiàn)隱藏于其中的攻擊行為，則可以根據(jù)該攻擊的危險級別立即采取相應(yīng)的防御措施，如丟棄報文、切斷應(yīng)用會話、切斷TCP連接、向管理中心報警等。其一般的工作原理如圖1所示。

NIPS檢測引擎中根據(jù)不同的過濾規(guī)則設(shè)置了很多過濾器，且規(guī)則的定義非常全面，確保檢測的準確性。如果發(fā)現(xiàn)新的攻擊手段，則在檢測引擎中將創(chuàng)建并添加一個新的過濾器。

NIPS的設(shè)計是基于一種全新的思想和體系結(jié)構(gòu)，工作于內(nèi)嵌方式，采用專用集成電路(Application Specific IntegratedCircuits，ASIC)等硬件設(shè)計技術(shù)實現(xiàn)網(wǎng)絡(luò)數(shù)據(jù)流的捕獲。

2基于不同技術(shù)的網(wǎng)絡(luò)入侵防御系統(tǒng)分析

目前，入侵防御技術(shù)的系統(tǒng)模型有很多，每一種都有自己的特點，下面主要針對幾種較為常見的模型來進行分析。

2.1基于策略的入侵防御系統(tǒng)(Policy-based Intrusion Pre-vention System)

基于策略的入侵防御系統(tǒng)主要由入侵檢測部分和安全管理部分組成。其中，入侵檢測部分主要負責(zé)數(shù)據(jù)的收集和分析，記錄日志信息，發(fā)現(xiàn)入侵行為及時報警，如需要，則將報警信息存入其數(shù)據(jù)庫，并啟動另一個動態(tài)規(guī)則；而安全管理部分則主要接收和處理告警信息，根據(jù)告警的類型及當前網(wǎng)絡(luò)的安全狀態(tài)給出解決方案和需要采取的措施，同時更新相關(guān)設(shè)備的規(guī)則庫。

此系統(tǒng)的核心是檢測分析引擎，負責(zé)數(shù)據(jù)包的解碼、預(yù)處理、規(guī)則解析和數(shù)據(jù)檢測等主要任務(wù)。它對經(jīng)過的數(shù)據(jù)包中的高層協(xié)議進行解碼，然后經(jīng)過預(yù)處理模塊來檢查數(shù)據(jù)包是否需要注意，接著通過規(guī)則庫中的不同規(guī)則來對每個數(shù)據(jù)包進行詳細的匹配檢測，從而決定是否需要采取防御措施。而安全管理部分主要獲取入侵檢測端得到的日志信息以及每個設(shè)備的MB庫中的信息，并對此進行分析和決策，更新入侵檢測端的規(guī)則庫以及某些設(shè)備的配置。同時也可以通過郵件等方式通知管理員。

2.2基于聯(lián)動機制的入侵防御(Linkage Mechanism-BasedIntrusion Prevention System)

基于聯(lián)動機制的入侵防御系統(tǒng)主要是使得入侵防御系統(tǒng)和防火墻相互協(xié)同工作，利用相互之間傳遞的策略規(guī)則來達到防御的目的。入侵防御系統(tǒng)將自身阻塞率較高的安全事件及其相關(guān)規(guī)則傳給網(wǎng)絡(luò)防火墻，使其能夠阻止此類安全事件。防火墻的規(guī)則根據(jù)入侵防御系統(tǒng)的情況而動態(tài)改變且有一定的時效性，過期則規(guī)則自動失效。因此防火墻在使用動態(tài)開啟的端口協(xié)議時，必須發(fā)送相關(guān)的規(guī)則給入侵防御系統(tǒng)，使得該通信流量能夠正常地通過。這樣的整體聯(lián)動防御使得入侵防御系統(tǒng)和防火墻的壓力得到減輕。

但是，入侵防御系統(tǒng)和防火墻的聯(lián)動也存在安全防御機制不相同的問題，即不能直接把防火墻的規(guī)則套用到入侵防御系統(tǒng)中，只能通過較為抽象的規(guī)則語言來解決此問題。

2.3基于行為的入侵防御(Behavior-Based Intrusion Pre-vention System)

基于行為的入侵防御系統(tǒng)是一種利用異常檢測方法進行實時監(jiān)測并防御的技術(shù)，對于網(wǎng)絡(luò)中的攻擊源以及被攻擊的目標都會發(fā)生一些異常行為或異常反應(yīng)，如數(shù)據(jù)包的定義不符合RFC的標準、包的長度超過限制、指向不存在的信息資源的包等。如果能夠利用這些異常的行為來提前做出反應(yīng)并進行防御，那就可以有效地阻斷攻擊，從而降低甚至避免攻擊造成的損失。

此系統(tǒng)的核心是“行為分析”，它依靠相應(yīng)算法實現(xiàn)，因此算法的好壞也決定了其是否能夠進行有效的入侵防御。

2.4基于數(shù)據(jù)挖掘的入侵防御(data mining-based Intru-sion Prevention System)

基于數(shù)據(jù)挖掘的入侵防御系統(tǒng)一般應(yīng)用于內(nèi)部具有多局域網(wǎng)結(jié)構(gòu)并連接到Internet的企業(yè)網(wǎng)絡(luò)之中，多個支干的局域網(wǎng)通過骨干網(wǎng)連接，在每個支干中的本地安全策略服務(wù)器(Local Policy Server,LPS)后都配置一個IPS，且每個IPS都有一個數(shù)據(jù)庫，用來存放其收集到的警報日志。此外，在主干網(wǎng)絡(luò)中還配備一個全局安全策略服務(wù)器(Global Policy Server，GPS)，用來監(jiān)測和控制支干上的IPS。它也具有一個全局數(shù)據(jù)庫，用來存放所有從支干的IPS上產(chǎn)生的日志信息。GPS上具有安全信息管理模塊(Secufity Information Model,StM)，負責(zé)通過數(shù)據(jù)挖掘技術(shù)來分析這些收集到的日志，如果發(fā)現(xiàn)攻擊或

異常，則發(fā)送命令來控制各支干上的LPS來調(diào)用本支干的IPS來清除掉這些攻擊包。

在這種系統(tǒng)中，GPS是其核心部分，而SIM又是GPS的核心部件，它由在線檢測階段和離線訓(xùn)練階段組成。當在線數(shù)據(jù)挖掘器檢測到攻擊時，其警報管理器會將警報通知管理員，并在每次通知一個警報時請求一個確認響應(yīng)，其中包括3種類型：正常、入侵和可疑事件。得到響應(yīng)后將該響應(yīng)記錄存放到數(shù)據(jù)庫，然后調(diào)用機器學(xué)習(xí)方法來分析和了解這些響應(yīng)。而離線訓(xùn)練階段則負責(zé)對全局數(shù)據(jù)庫中的攻擊數(shù)據(jù)流進行分類，并將其交給在線數(shù)據(jù)挖掘器。

該系統(tǒng)對檢測的準確率有較好的提升，但是其結(jié)構(gòu)較為復(fù)雜，代價也較高。

2.5基于免疫原理的入侵防御(Immune Principle-Based In-trusion Prevention System)

基于免疫原理的入侵防御系統(tǒng)主要是模擬人體的免疫系統(tǒng)，即基于人工免疫系統(tǒng)(Artificial Immune System,AIS)來設(shè)計的，它的主要功能是識別體內(nèi)細胞，并將其分為“自我”和“非我”兩類，并通過觸發(fā)適當?shù)姆烙鶛C制來去除“非我”。其中，“自我”對應(yīng)于機體內(nèi)自身的組織，“非我”對應(yīng)于外來的病源或體內(nèi)的病變組織。因此，如何識別“自我”和去除“非我”是免疫系統(tǒng)的核心功能。具體通過免疫來進行防御的主要過程是免疫識別、免疫學(xué)習(xí)、免疫記憶和克隆選擇。其中典型的算法有陰性選擇算法，用于監(jiān)測數(shù)據(jù)改變；克隆選擇算法，其核心是比例復(fù)制和比例變異算子，主要解決模式識別等復(fù)雜機器學(xué)習(xí)任務(wù)；免疫遺傳算法，主要是通過抗體之間的相互激勵作用提高抗體的多樣性，動態(tài)調(diào)整群體收斂性和種群的多樣性之間的平衡，使免疫系統(tǒng)能夠通過學(xué)習(xí)，知道哪些抗體對抗原的識別有幫助。

3網(wǎng)絡(luò)入侵防御系統(tǒng)存在的問題及發(fā)展

3.1存在的問題

上文介紹了幾種基于不同技術(shù)的入侵防御系統(tǒng)，它們都在某—個方面具有明顯的特點和優(yōu)勢，但是還存在以下幾個方面的不足，且目前其技術(shù)標準還不統(tǒng)一，技術(shù)上也還沒有完全成熟。

(1)單點失效問題。IPS是串接在網(wǎng)絡(luò)中的主動防御系統(tǒng)，產(chǎn)生誤報后將直接影響網(wǎng)絡(luò)的正常工作。這樣安全產(chǎn)品就變成網(wǎng)絡(luò)的故障點了。

(2)性能瓶頸問題。串接在網(wǎng)絡(luò)上的IPS設(shè)備，如何在不影響檢測效率的基礎(chǔ)上做到高性能的轉(zhuǎn)發(fā)是一個需要解決的問題。

(3)誤報和漏報問題。與IDS一樣，IPS依然存在誤報和漏報的問題，一旦發(fā)生誤判，IPS就會放過真正的攻擊而阻斷合法的事務(wù)處理，從而造成損失。

(4)攻擊阻塞的管理問題。主動防御是IPS的重要技術(shù)特點，但是如果處理不妥當，則反而會增加管理的負擔(dān)，如IPS在與防火墻的聯(lián)動中會更改防火墻的訪問控制策略，但這種更改可能并不被允許或者不能被及時發(fā)現(xiàn)，從而給管理帶來不便。

3.2發(fā)展方向

目前網(wǎng)絡(luò)安全狀況非常復(fù)雜，單靠上述一些基于單一技術(shù)的入侵防御系統(tǒng)很難全面地保障網(wǎng)絡(luò)的安全，因此，新的入侵防御技術(shù)有以下幾個發(fā)展方向：

(1)綜合應(yīng)用各種防御技術(shù)的優(yōu)點，能對網(wǎng)絡(luò)中的特征、流量和協(xié)議等異常行為進行分析，取長補短，盡可能地減少誤報和漏報，增強其檢測、防御和免疫能力。

(2)針對性能瓶頸問題，首先應(yīng)對現(xiàn)有的軟件結(jié)構(gòu)和算法進行重新設(shè)計，使之能夠適應(yīng)高速網(wǎng)絡(luò)的環(huán)境，同時開發(fā)設(shè)計專用的硬件結(jié)構(gòu)，配合設(shè)計專用的軟件來解決這一問題。

(3)為了避免單點故障導(dǎo)致整個網(wǎng)絡(luò)的無法訪問，IPS需要采用冗余的體系結(jié)構(gòu)，增強其可靠性。

(4)為了更有效地應(yīng)對未來更大規(guī)模的網(wǎng)絡(luò)安全事件，提供主動防御的入侵防御系統(tǒng)還應(yīng)該向更具良好可視化、可控制性和可管理性的入侵管理系統(tǒng)(IMS)發(fā)展。

4結(jié)束語

不管是基于策略的、基于聯(lián)動機制的、基于行為的、基于數(shù)據(jù)挖掘的，還是基于免疫原理的入侵防御系統(tǒng)，其目的只有一個，那就是如何去實時、正確地防御網(wǎng)絡(luò)攻擊；而這些基于不同技術(shù)的IPS只有不斷進步才能適應(yīng)越來越復(fù)雜的網(wǎng)絡(luò)環(huán)境、越來越高的網(wǎng)絡(luò)速度、越來越多的網(wǎng)絡(luò)信息，成為真正的網(wǎng)絡(luò)安全屏障。