面對傳統(tǒng)防護(hù)系統(tǒng)不足以應(yīng)對當(dāng)前網(wǎng)絡(luò)威脅的情況，IPS的出現(xiàn)使得問題得到了緩解。就在各大企業(yè)爭相從IDS涌向IPS技術(shù)的同時，我們應(yīng)該冷靜一些，不要盲目的購進(jìn)新的防護(hù)系統(tǒng)。這樣不僅使得企業(yè)的開支加大，并且不一定能夠取得更好的防護(hù)效果。首先企業(yè)應(yīng)當(dāng)了解IPS原理及IPS的分類形式。認(rèn)清此點之后，再根據(jù)企業(yè)的情況結(jié)果IPS原理選擇適合自身企業(yè)的防護(hù)產(chǎn)品。

IPS原理

防火墻是實施訪問控制策略的系統(tǒng)，對流經(jīng)的網(wǎng)絡(luò)流量進(jìn)行檢查，攔截不符合安全策略的數(shù)據(jù)包。入侵檢測技術(shù)(IDS)通過監(jiān)視網(wǎng)絡(luò)或系統(tǒng)資源，尋找違反安全策略的行為或攻擊跡象，并發(fā)出報警。傳統(tǒng)的防火墻旨在拒絕那些明顯可疑的網(wǎng)絡(luò)流量，但仍然允許某些流量通過，因此防火墻對于很多入侵攻擊仍然無計可施。絕大多數(shù) IDS 系統(tǒng)都是被動的，而不是主動的。也就是說，在攻擊實際發(fā)生之前，它們往往無法預(yù)先發(fā)出警報。而入侵防護(hù)系統(tǒng) (IPS) 則傾向于提供主動防護(hù)，其設(shè)計宗旨是預(yù)先對入侵活動和攻擊性網(wǎng)絡(luò)流量進(jìn)行攔截，避免其造成損失，而不是簡單地在惡意流量傳送時或傳送后才發(fā)出警報。IPS 是通過直接嵌入到網(wǎng)絡(luò)流量中實現(xiàn)這一功能的，即通過一個網(wǎng)絡(luò)端口接收來自外部系統(tǒng)的流量，經(jīng)過檢查確認(rèn)其中不包含異?；顒踊蚩梢蓛?nèi)容后，再通過另外一個端口將它傳送到內(nèi)部系統(tǒng)中。這樣一來，有問題的數(shù)據(jù)包，以及所有來自同一數(shù)據(jù)流的后續(xù)數(shù)據(jù)包，都能在 IPS 設(shè)備中被清除掉。

IPS實現(xiàn)實時檢查和阻止入侵的原理在于IPS擁有數(shù)目眾多的過濾器，能夠防止各種攻擊。當(dāng)新的攻擊手段被發(fā)現(xiàn)之后，IPS就會創(chuàng)建一個新的過濾器。IPS數(shù)據(jù)包處理引擎是專業(yè)化定制的集成電路，可以深層檢查數(shù)據(jù)包的內(nèi)容。如果有攻擊者利用Layer 2 (介質(zhì)訪問控制)至Layer 7(應(yīng)用)的漏洞發(fā)起攻擊，IPS能夠從數(shù)據(jù)流中檢查出這些攻擊并加以阻止。傳統(tǒng)的防火墻只能對Layer 3或Layer 4進(jìn)行檢查，不能檢測應(yīng)用層的內(nèi)容。防火墻的包過濾技術(shù)不會針對每一字節(jié)進(jìn)行檢查，因而也就無法發(fā)現(xiàn)攻擊活動，而IPS可以做到逐一字節(jié)地檢查數(shù)據(jù)包。所有流經(jīng)IPS的數(shù)據(jù)包都被分類，分類的依據(jù)是數(shù)據(jù)包中的報頭信息，如源IP地址和目的IP地址、端口號和應(yīng)用域。每種過濾器負(fù)責(zé)分析相對應(yīng)的數(shù)據(jù)包。通過檢查的數(shù)據(jù)包可以繼續(xù)前進(jìn)，包含惡意內(nèi)容的數(shù)據(jù)包就會被丟棄，被懷疑的數(shù)據(jù)包需要接受進(jìn)一步的檢查。

針對不同的攻擊行為，IPS需要不同的過濾器。每種過濾器都設(shè)有相應(yīng)的過濾規(guī)則，為了確保準(zhǔn)確性，這些規(guī)則的定義非常廣泛。在對傳輸內(nèi)容進(jìn)行分類時，過濾引擎還需要參照數(shù)據(jù)包的信息參數(shù)，并將其解析至一個有意義的域中進(jìn)行上下文分析，以提高過濾準(zhǔn)確性。

過濾器引擎集合了流水和大規(guī)模并行處理硬件，能夠同時執(zhí)行數(shù)千次的數(shù)據(jù)包過濾檢查。并行過濾處理可以確保數(shù)據(jù)包能夠不間斷地快速通過系統(tǒng)，不會對速度造成影響。這種硬件加速技術(shù)對于IPS具有重要意義，因為傳統(tǒng)的軟件解決方案必須串行進(jìn)行過濾檢查，會導(dǎo)致系統(tǒng)性能大打折扣。

初步了解了IPS原理之后，我們在看看IPS根據(jù)介質(zhì)不錯所分成的三類產(chǎn)品形式。

IPS的種類

●基于主機(jī)的入侵防護(hù)(HIPS)

HIPS通過在主機(jī)/服務(wù)器上安裝軟件代理程序，防止網(wǎng)絡(luò)攻擊入侵操作系統(tǒng)以及應(yīng)用程序?；谥鳈C(jī)的入侵防護(hù)能夠保護(hù)服務(wù)器的安全弱點不被不法分子所利用?；谥鳈C(jī)的入侵防護(hù)技術(shù)可以根據(jù)自定義的安全策略以及分析學(xué)習(xí)機(jī)制來阻斷對服務(wù)器、主機(jī)發(fā)起的惡意入侵。HIPS可以阻斷緩沖區(qū)溢出、改變登錄口令、改寫動態(tài)鏈接庫以及其他試圖從操作系統(tǒng)奪取控制權(quán)的入侵行為，整體提升主機(jī)的安全水平。

在技術(shù)上，HIPS采用獨特的服務(wù)器保護(hù)途徑，利用由包過濾、狀態(tài)包檢測和實時入侵檢測組成分層防護(hù)體系。這種體系能夠在提供合理吞吐率的前提下，最大限度地保護(hù)服務(wù)器的敏感內(nèi)容，既可以以軟件形式嵌入到應(yīng)用程序?qū)Σ僮飨到y(tǒng)的調(diào)用當(dāng)中，通過攔截針對操作系統(tǒng)的可疑調(diào)用，提供對主機(jī)的安全防護(hù);也可以以更改操作系統(tǒng)內(nèi)核程序的方式，提供比操作系統(tǒng)更加嚴(yán)謹(jǐn)?shù)陌踩刂茩C(jī)制。

由于HIPS工作在受保護(hù)的主機(jī)/服務(wù)器上，它不但能夠利用特征和行為規(guī)則檢測，阻止諸如緩沖區(qū)溢出之類的已知攻擊，還能夠防范未知攻擊，防止針對Web頁面、應(yīng)用和資源的未授權(quán)的任何非法訪問。HIPS與具體的主機(jī)/服務(wù)器操作系統(tǒng)平臺緊密相關(guān)，不同的平臺需要不同的軟件代理程序。

●基于網(wǎng)絡(luò)的入侵防護(hù)(NIPS)

NIPS通過檢測流經(jīng)的網(wǎng)絡(luò)流量，提供對網(wǎng)絡(luò)系統(tǒng)的安全保護(hù)。由于它采用在線連接方式，所以一旦辨識出入侵行為，NIPS就可以去除整個網(wǎng)絡(luò)會話，而不僅僅是復(fù)位會話。同樣由于實時在線，NIPS需要具備很高的性能，以免成為網(wǎng)絡(luò)的瓶頸，因此NIPS通常被設(shè)計成類似于交換機(jī)的網(wǎng)絡(luò)設(shè)備，提供線速吞吐速率以及多個網(wǎng)絡(luò)端口。

NIPS必須基于特定的硬件平臺，才能實現(xiàn)千兆級網(wǎng)絡(luò)流量的深度數(shù)據(jù)包檢測和阻斷功能。這種特定的硬件平臺通常可以分為三類：一類是網(wǎng)絡(luò)處理器(網(wǎng)絡(luò)芯片)，一類是專用的FPGA編程芯片，第三類是專用的ASIC芯片。

在技術(shù)上，NIPS吸取了目前NIDS所有的成熟技術(shù)，包括特征匹配、協(xié)議分析和異常檢測。特征匹配是最廣泛應(yīng)用的技術(shù)，具有準(zhǔn)確率高、速度快的特點。基于狀態(tài)的特征匹配不但檢測攻擊行為的特征，還要檢查當(dāng)前網(wǎng)絡(luò)的會話狀態(tài)，避免受到欺騙攻擊。

協(xié)議分析是一種較新的入侵檢測技術(shù)，它充分利用網(wǎng)絡(luò)協(xié)議的高度有序性，并結(jié)合高速數(shù)據(jù)包捕捉和協(xié)議分析，來快速檢測某種攻擊特征。協(xié)議分析正在逐漸進(jìn)入成熟應(yīng)用階段。協(xié)議分析能夠理解不同協(xié)議的工作原理，以此分析這些協(xié)議的數(shù)據(jù)包，來尋找可疑或不正常的訪問行為。協(xié)議分析不僅僅基于協(xié)議標(biāo)準(zhǔn)(如RFC)，還基于協(xié)議的具體實現(xiàn)，這是因為很多協(xié)議的實現(xiàn)偏離了協(xié)議標(biāo)準(zhǔn)。通過協(xié)議分析，IPS能夠針對插入(Insertion)與規(guī)避(Evasion)攻擊進(jìn)行檢測。異常檢測的誤報率比較高，NIPS不將其作為主要技術(shù)。

●應(yīng)用入侵防護(hù)(AIP)

NIPS產(chǎn)品有一個特例，即應(yīng)用入侵防護(hù)(Application Intrusion Prevention ，AIP)，它把基于主機(jī)的入侵防護(hù)擴(kuò)展成為位于應(yīng)用服務(wù)器之前的網(wǎng)絡(luò)設(shè)備。AIP被設(shè)計成一種高性能的設(shè)備，配置在應(yīng)用數(shù)據(jù)的網(wǎng)絡(luò)鏈路上，以確保用戶遵守設(shè)定好的安全策略，保護(hù)服務(wù)器的安全。NIPS工作在網(wǎng)絡(luò)上，直接對數(shù)據(jù)包進(jìn)行檢測和阻斷，與具體的主機(jī)/服務(wù)器操作系統(tǒng)平臺無關(guān)。

NIPS的實時檢測與阻斷功能很有可能出現(xiàn)在未來的交換機(jī)上。隨著處理器性能的提高，每一層次的交換機(jī)都有可能集成入侵防護(hù)功能。
 

【編輯推薦】

1. 如何構(gòu)建入門級IDS
2. IDS漏洞分析與黑客入侵手法
3. 測試評估IDS的性能指標(biāo)
4. 正確評估IDS性能的標(biāo)準(zhǔn)與步驟
5. 企業(yè)測試IDS的四條重要標(biāo)準(zhǔn)