入侵防御系统的研究与应用

1、入侵防御系统的研究与应用摘要：入侵防御系统是网络安全领城为弥补防火墙及入侵检测系统（Intrusion Detection system的不足而新发展起来的一种计算机信息安全技术。本文首先介绍了入侵防御系统（IPS）工作原理、IPS的分类，并且对比了防火墙、IDS相对于IPS的局限，提出通过部署入侵防御系统（IPS）来提升 网络安全，再就个人经验提出应该怎样在企业网络中部署IPS。最后总结了 IPS的发展前景。关键词：入侵防御系统；IPS；网络安全；应用引言随着计算机网络技术的发展，通信网络的普及，人类社会对信 息的依赖程度不断增加，网络给人们带来方便的同时，也给人们带来 安全方面的隐患。例如

2、：金融、电信、政府等各大行业为了保证关键 业务系统的稳定运行，确保各类重要数据不被非法人员窃取，因此， 网络安全专家采用了各种安全防护产品和方法对“网络黑客”进行防护。不断研究新的安全技术来防范各种攻击行为设备不会对网络传输形成瓶颈，一旦设备宕机，不会中断网。入侵检测系统在某种程度上对防止系统非法入侵起到了一定作用，但它只能被动地检 测攻击，不能主动地把变化莫测的威胁阻止在网络之外。入侵防护系统作为一种主动的、积极的入侵防范、阻止系统，能自动地将攻击 包丢掉或与其他安全产品联动将攻击源阻断，这样攻击包将无法到达 目标，从而可以从根本上避免攻击行为。1.入侵防御系统（IPS）1.1 IPS的发展

3、在入侵防御系统出现之前，入侵检测系统（Intrusion DetectionSystem）曾被广泛应用，它通过旁路监听的方式不间断地从计算机网 络系统中的若干个关键点收集并分析信息，来判断网络或系统中是否 存在违反安全策略的行为和被攻击的迹象。IDS主要完成信息收集，数据分析和入侵告警的功能，在攻击检测、安全审计和监控方面都发 挥了重要作用，曾被认为是防火墙之后的第二道安全闸门。但随着网络入侵事件的不断增加和黑客工具不断傻瓜化，一方面网络感染病毒、遭受攻击的速度日益加快，另一方面网络受到攻 击作出响应时间却越来越滞后。这时候人们在使用IDS过程中，发现它不但不能主动过滤安全风险提高网络安全，反

4、而增加管理难度，例 如，IDS的主要缺陷表现如下：1）由于它的误报率和漏报率较高， 用户往往淹没在海量的报警信息中，从而很容易忽略到真正的攻击。2）随着网络交换频率的增大，IDS只能监视到少量的数据流量。因此，必须增加大量的IDS传感器来监视所有网段上的流量，但对于一 个大型网络来说，这意味着更大的花销。由此可见，IDS只能作为一个监听设备，防御动作也是事后的和被动的，不能将威胁切断在发生 之前。要解决这一矛盾，传统的防火墙或IDS显得力不从心，这时，IPS作为一个新兴的技术诞生了。IPS就像智能灭火装置，发现火灾发生后会主动采取措施灭火，不需要人的干预。与IDS相比IPS能够对网络起到较好的

5、主动防御作用，因此入侵防御相关技术越来越受到人们 的重视。1.2 IPS的概念入侵防御系统是一种主动、智能的入侵防范、阻止系统。其目的是能主动对入侵行为进行拦截，以免造成任何危害，它不但能检测人 侵的发生，而且能通过一定的响应方式，实时地保护信息系统不受实 质性攻击，属于一种智能化的安全产品可以监控网络传输的所有数据，并分析数据、安全审计。2.2 IPS串联部署：(1) 针对所有传输数据可以实时监控，并可以立即阻断各种隐蔽(2) 串联的IPS还可以做内网管理功能，对上网行为进行管理，女口 下载，禁止或限制在线游戏等。，它也是目前网络安全技术领域中正在兴起的一项研究。IPS根据布署方式也可分为三

6、大类：基于主机的IPS系统（HIPS）、基于网络IPS系统（NIPS）和基于应用的入侵防御系统 AIP。HIPS通过在主机/服务器上安装代理软件的形式，防止网络攻击入侵操作系统以 及应用程序，基于主机的入侵防护能够保护服务器的安全弱点不被不 法分子所利用。NIPS通过检测流经网络的流量，提供对网络系统的安 全保护，由于它采用在线连接方式，所以一旦辨识出入侵行为，NIPS就可以阻止该网络会话，而不仅仅是复位会话。AIPS是部署在应用数据链路中的一种高性能设备，旨在确保用户遵守已确立的安全策略， 保护应用环境的完整性。AIP能够实现网络层到应用层的多层次立体 防护体系，其中包括 Cookie篡改、

7、SQL代码嵌入、参数篡改、缓冲器 溢出、强制浏览、畸形数据包、数据类型不匹配以及各类漏洞。当对 于面向大型Web应用，可通过多种功能的集成实现有效的应用防护。1.3 IPS的技术特征IPS专注于提供前瞻性的防护，其设计目的在于预先拦截入侵活 动和攻击性网络流量。它有如下的主要技术特征：（1）嵌入式运行模式。采取一进一出的在线方式检测数据包， 对攻击数据包依据安全策略在第一时间直接地由硬件自动处理，同时维持正常的数据包通过，保证正常的网络流量。IPS采用这种嵌入式模式运行，根据需要将其嵌入到服务器、关键主机、路由器、以太网 交换机等网络设备中。只有以嵌入式模式工作在稳定和可靠的平台 上，成为网络

8、通信线路的一部分的IPS设备才能够实现实时的安全防护，主动拦截所有可能的攻击网络数据包。（2） 完善的安全策略。为达到主动防御的目的，IPS必须具备完 善地安全策略，具备深入分析能力，根据攻击类型确定哪些流量应该 被拦截以及给出相应的响应要求。（3）高质量的入侵特征库。信息系统综合威胁地不断发展，需要多层、深度的防护才能有效，为达到高效检测的目的，IPS必须建立丰富且尽可能完备的入侵特征库。（4） 高效处理数据包的能力。鉴于IPS部署的位置，它的运行效率对所要保障的系统有着至关重要的影响，所以IPS 一般都有着高效的数据包处理能力。IPS采用各种先进的软件和专用硬件技术来提高 检测效率。（5）

9、 强大的响应功能。IPS强大的响应功能是它区别于 IDS的最 显著的特点，也是其进行主动防御的保障。它的响应功能可分为被动 响应和主动响应两种。被动响应主要记录和报告检出的问题，包括通知、报警等。主动响应则是根据检测结果阻断入侵或延时入侵过程以 降低损失。此外，IPS还可以根据策略配置，分别采取实时、近期、 和长期的响应行为。1.4 IPS工作原理IPS通过监视网络或系统资源，寻找违反安全策略的行为或攻击 迹象，向受保护目标提供主动防御。直接嵌入到网络流量中，通过网 络端口接收来自外部的流量，经检查确认该流量不包含异常或可疑内 容后，再由另一端口传送到内部网络系统中，这样所有有问题的数据 包及

10、来自同一数据源的后续数据包，都能在IPS设备中被彻底清除冋。其设计宗旨是预先对入侵活动和攻击性网络流量进行拦截，避免其造 成损失，而不是简单地在恶意流量传送时或传送后才发出警报。IPS信息安全彳命巾丁 1图1 IPS的工作原理是通过直接嵌入到网络流量中实现这一功能的，即通过一个网络端口 接收来自外部系统其工作原理如图。伙伴网络的外在威胁：例如 DDoS拒绝服务攻击、缓冲区溢出攻击、 Web应用攻击、SQL注入攻击、XSS跨站脚本攻击和木马蠕虫攻击 等，这些威胁大多来自于应用层，传统的防火墙等网络访问控制设备 只能起到部分的防护作用，迫切需要新的防护手段。(2)来自网络内部的网络控制不力：例如

11、P2P软件滥用网络带宽，即时通讯软件导致的 信息泄露，在线炒股、在线游戏严重降低工作效率等，对于这些影响 业务效率内部的上网行为的管理，传统的手段也难以有效控制，迫切 需要新的管理手段。针对上述需求，利用IPS设备与原有的防火墙等手段相结合，内 外兼修地为业务系统提供了更完善的防护方案面对来自外网的应用 层威胁，具体部署如图 2所示。网络管理人员借助IPS的自学习DoS/DDoS防范技术，有效防御拒绝服务攻击；借助IPS强大的特征库，能效防御应用层面攻击；并能有效阻止防御木马、蠕虫攻击；借助IPS统一检测引擎、深度内容检测和ASIC硬件检查等技术，有效防御各种应用层的攻击手段。图2企业网络IP

12、S部署图根据图1所示，IPS的工作原理主要如下：外网来的数据被拆包 分类检查，异常数据直接丢弃，其他数据入网并被转发送到相应的过 滤器中。(2).根据过滤器中的算法和规则对数据包进行匹配，匹配成 功的被标为命中。(3).过滤器并行使用，如数据包符合要求就被标命 中。(4).将被命中的数据包丢弃，与其相关的流信息被更新并告知系 统丢弃改流中剩余的所有内容。IPS检测引擎采用了专业化定制集成电路，能针对不同过滤规则 设置了众多的过滤器，这些规则定义得广泛以确保准确性。当新的 攻击手段被发现后，一个新的过滤器会自动被创建并添加到检测弓I 擎中4。2.入侵防御系统(IPS)在企业的部署在传统上，由于大

13、部分企业的业务结构相对封闭，因此多采用 网络物理隔离等模式来进行控制。但是，随着近年来与外界接口的增 加，特别是与银行等合作单位中间业务的接口，网上服务、数据大集 中，应用内部各系统间的互联互通等需求的发展，企业内部系统的安 全问题开始跨越网络而出现。网络内外的恶意流量，特别是处于应用 层的恶意流量，已经成为企业内部系统网络不可忽视的威胁来源。在 最常见的网络边界，Internet出口和合作伙伴网络出口上，风险尤其明 显。3.总结与展望IPS主要是对一些重要服务器的入侵威胁防护，如用它来保护0A系统、ERP系统、数据库、FTP服务器、Web网站等等。IPS在部署时 应该首先想到保护重要设备，而

14、不是先保护所有的设备。当然如果是小型办公网络，也可以部署在网络出口用它来保护你的所有服务器和办公终端。IPS入侵防御系统式有两种部署方式：串联与并联。2.1 IPS并联部署：络。攻击，如SQL注入、傍路注入、脚本攻击、反向连接木马、蠕虫病毒等。禁止QQ、MSN等网上聊天软件，禁止或限制网上看电影，禁止或限制P2P络全通功能，才不会影响网络使用，不会造成网络中断。企业业务系统所面临的风险主要来自于：(1)来自Internet和合作IPS是基于IDS的、建立在IDS发展的基础上的一种新生安全产品，但它绝不是IDS简单的功能扩展。IPS的发展是一个寻求在准确检 测攻击基础上防御攻击的过程，是 IDS功能由单纯审计跟踪到审计跟 踪结 合访问控制的扩展，实现了由被动防御过渡到主动防御，并且