物联网信息安全 课件 第2章 7入侵防御技术

物联网信息安全入侵防御技术江苏科技大学计算机学院入侵防御系统IPS入侵防御系统的设计思想以及其应该具备的特征入侵防御系统的设计入侵防御系统的应用部署1、入侵防御系统IPS面对形势严峻的网络与信息安全问题，需要有更好更强大的技术来缓解这个局面，常见的网络安全技术有防火墙技术和入侵检测系统(IDS)等，虽然使得网络安全性得到进一步提高，但技术本身总会存在或多或少的缺陷，这就导致让黑客有可乘之隙。网络攻击者可以利用这些漏洞，轻易避开防御措施来窃取或破坏信息资源。在这种情况下，入侵防御系统(IntrusionPreventionSystem，IPS)应运而王。1、入侵防御系统IPSIPS是一种新型的智能化安全技术，它不仅能检测入侵行为的发生，而且能操控防火墙和其他响应方式，对入侵行为进行及时的阻断，保证信息结构尽量不受攻击。ISP串联在网络上，通过某个网络端口监视外网的流量，当发生入侵活动和攻击性网络流量的时候，会自动产生防护机制，对其采取相关的拦截和阻断。1、入侵防御系统IPSIPS是入侵检测系统和防火墙的补充，与防火墙相比，尽管它的功能还是比较的单一，但由于它是串联在网络的接口处，对于防火墙所不能检测到的数据能够进行过滤。与入侵检测系统相比，IPS在检测到攻击后会及时响应并对其采取相关的阻断攻击，可以说IPS是新一代的网络安全产品。然而随着入侵防御技术的不断发展，问题也逐渐暴露出来，主要体现在单点故障、性能瓶颈、误报和漏报三大方面。因此，研究入侵防御技术对于目前网络安全状况的改善有一定的作用。1、入侵防御系统IPS防火墙与IPS的相互补充示意图1、入侵防御系统IPS作为防火墙与IDS联动模式的替代者，相比之前的安全产品，IPS被认为具有很大的优势，目前在国内外都得到广泛应用，在许多方面己经完全取代了传统IDS和防火墙的部分应用。1、入侵防御系统IPS

防火墙是粒度比较粗的访问控制产品，在基于TCP/IP协议的过滤方面表现出色；IPS的功能比较单一，它只能串联在网络上，对防火墙所不能过滤的攻击进行过滤。所以防火墙和IPS构成了一个两级的过滤模式，可以最大限度地保证系统的安全。1、入侵防御系统IPSIPS的工作原理图2、入侵防御系统的设计思想以及其应该具备的特征

入侵防御系统不但能检测异常行为的发生，而且能通过主动响应阻止入侵的发生，实时地保护信息系统不受实质性攻击，由此可以看出，入侵防御系统应该包括入侵检测和对入侵行为做出响应的功能。在入侵检测系统设计时，应将防火墙、入侵检测以及主动阻止入侵行为的功能融合考虑进去，避免以上安全产品之间相互孤立，缺乏有效联动，节省分别部署造成的资源和空间的浪费。理想的入侵防御系统应该具备的特征：（1）嵌入式运行模式入侵防御系统采用嵌入式允许模式才能实现实时的检测并阻断入侵行为。可以根据实际情况将入侵防御系统嵌入到服务器、路由器、关键主机、交换机等网络设备中，实现信息系统高强度实时积极防护。理想的入侵防御系统应该具备的特征：（2）高效的处理能力入侵防御系统必须具备高效的数据包处理能力和精确的检测能力，使入侵防御系统对整个网络的性能的影响保持在较低的水平，不能使入侵防御系统成为网络速率的瓶颈。理想的入侵防御系统应该具备的特征：（3）深入分析能力入侵防御系统必须具备深入的分析能力，实现对恶意数据包的深层分析，发现并控制恶意的攻击行为。理想的入侵防御系统应该具备的特征：（4）高可靠性入侵防御系统串联在网络或系统中，一旦入侵防御系统发生故障将重影响网络的正常运转，甚至会造成网络的中断。入侵防御系统必须具备高可靠性才能保证信息及时可靠的发布。理想的入侵防御系统应该具备的特征：（5）可升级与可扩展性入侵防御系统可以根据网络形式的发展变化而升级，以满足用户的需求，并能够通过更新检测模块和规则库来应对不断出现的新攻击。3、入侵防御系统的设计入侵防御系统的应用部署3.1事件的分类网络事件来源可以是网络数据包、日志文件以及应用程序活动状态等，网络事件经过过滤器处理后可分为三类：正常（Normal）、可疑（Suspicious)和入浸（Intrusion)。其中,入侵事件是违反安全策略的行为；可疑事件是不确定的异常事件，只满足安全策略；正常事件则是合法的，遵循安全策略的事件。3.2系统体系结构入侵防御系统结构图3.2系统体系结构一般入侵防御系统按照功能的不同可分为五个部分：数据包捕获模块、入侵检测携块、响应模块、曰志管理模块以及管理控制模块*系统结构如图所示，这五个模块相互协作实现入侵防御系统的功能。3.2系统体系结构（1）数据捕获模块数据包的捕获是入侵防御系统工作的第一步，数据包捕获模块从网卡处捕获流经网络的数据包(日志、网络数据包以及其他相关信息)、网络关键主机的log佶总以及安全部件的告警信息等，并对这些数据做简单的过滤处理，为整个防御系统提供数据源。理想的入侵防御系统应该具备的特征：（2）入侵检测模块入侵检测模块从控制管理模块处获取数据包，对数据进行预处理后，以入侵检测算法为基础对数据进行检测，将数据分为正常和异常两大类，同时将检测结果反馈给管理控制模块。理想的入侵防御系统应该具备的特征：（3）响应模块响应模块主要是对管理控制模块传输来的异常数据进行防御响应，根据少件危出程度的岛低进行分级处理，包括记录、报瞥、阻断等。3.2系统体系结构响应模型理想的入侵防御系统应该具备的特征：（4）日志管理模块日志管理模块的主要任务是对异常事件发生的时间、主体和客体等关键信息进行记录和审计。日志管理模块收集防火墙和入侵检测系统以及响应系统的信息，并将这些信息组装成事件记录到数据库中，为管理控制模块制定安全策略提供有效的分析数据。理想的入侵防御系统应该具备的特征：（5）管理控制模块管理控制模块时刻保持与其他模块进行数据交互，负责整个系统的逻辑控制，定时更新并维护入侵检测特征库，遇到入侵数据时与防火墙联动阻断恶意数据包流入网络。管理控制模块对整个入侵防御系统起着至关重要的作用。4、入侵防御系统的应用部署随着计算机网络技术的发展，无论是个人或是企业都与网络密不可分，面对新的安全威胁的不断涌现，网络安全显得尤为重要。网络安全设备的实际应用不仅需要实时的检测与防御能力，而且还需要一种全面、高效的部署方式。入侵防御的应用部署如图下所示。4、入侵防御系统的应用部署入侵防御的应用部署4、入侵防御系统的应用部署图中，防火墙位于内网和外网的交界处，对内网和外网之间的访问流量进行控制，是内网的第一道安全屏障。入侵防御系统串联在防火墙后面，对防火墙不能阻断的攻击进行第二次检测与阻断。用户区和服务器区与内网串联部位同时部署入侵防御系统，以保障内网不受来自内网的攻击。由此可见，该入侵防御的部署方式能够有效地防止来自外网的攻击，实时有效地保护网络中的重要设备与资源。5、应用TippingPoint三大入侵防御功能:(1)应用程序防护-UnityOne(2)网络架构防护(3)性能保护5.1、应用程序防护-UnityOne

提供扩展至用户端、服务器、及第二至第七层的网络型攻击防护，如：病毒、蠕虫与木马程序。利用深层检测应用层数据包的技术，UnityOne可以分辨出合法与有害的封包内容。最新型的攻击可以透过伪装成合法应用的技术，轻易的穿透防火墙。而UnityOne运用重组TCP流量以检视应用层数据包内容的方式，以辨识合法与恶意的数据流。大部分的入侵防御系统都是针对已知的攻击进行防御，然而UnityOne运用漏洞基础的过滤机制，可以防范所有已知与未知形式的攻击。5.2、网络架构防护

路由器、交换器、DNS服务器以及防火墙都是有可能被攻击的网络设备，如果这些网络设备被攻击导致停机，那么所有企业中的关键应用程序也会随之停摆。而UnityOne的网络架构防护机制提供了一系列的网络漏洞过滤器以保护网络设备免于遭受攻击。此外，UnityOne也提供异常流量统计机制的过滤器，对于超过”基准线”的正常网络流量，可以针对其通讯协议或应用程序特性来进行警示、限制流量或阻绝流量等行动。如此一来可以预防DDoS及其它溢出式流量攻击所造成的网络断线或阻塞。5.3、性能保护

是用来保护网络带宽及主机性能，免于被非法的应用程序占用正常的网络性能。如果网络链路壅塞，那么重要的应用程序数据将无法在网络上传输。非商用的应用程序，如点对点文档共享(P2P)应用或实时通讯软件(IM)将会快速的耗尽网络的带宽，因此Un