4000-110-253
企業入侵防禦系統(IPS)的原理(lǐ). 2020-07-07
随着網絡入侵事件的不斷增加和(hé)黑(hēi)客攻擊水(shuǐ)平的不斷提高(gāo),一方面企業網絡感染病毒、遭受攻擊的速度日益加快,另一方面企業網絡受到攻擊作(zuò)出響應的時(shí)間(jiān)卻越來(lái)越滞後。要解決這一矛盾,傳統的防火(huǒ)牆或入侵檢測技(jì)術(shù)(IDS)顯得(de)力不從心,這時(shí)一種新的技(jì)術(shù)出現了,它就是IPS(Intrusion Prevention System,入侵防護系統)。
IPS原理(lǐ)
防火(huǒ)牆是實施訪問控制(zhì)策略的系統,對流經的網絡流量進行(xíng)檢查,攔截不符合安全策略的數(shù)據包。入侵檢測技(jì)術(shù)(IDS)通(tōng)過監視(shì)網絡或系統資源,尋找違反安全策略的行(xíng)為(wèi)或攻擊迹象,并發出報警。傳統的防火(huǒ)牆旨在拒絕那(nà)些(xiē)明(míng)顯可(kě)疑的網絡流量,但(dàn)仍然允許某些(xiē)流量通(tōng)過,因此防火(huǒ)牆對于很(hěn)多(duō)入侵攻擊仍然無計(jì)可(kě)施。絕大(dà)多(duō)數(shù) IDS 系統都是被動的,而不是主動的。也就是說,在攻擊實際發生(shēng)之前,它們往往無法預先發出警報。而IPS則傾向于提供主動防護,其設計(jì)宗旨是預先對入侵活動和(hé)攻擊性網絡流量進行(xíng)攔截,避免其造成損失,而不是簡單地在惡意流量傳送時(shí)或傳送後才發出警報。IPS 是通(tōng)過直接嵌入到網絡流量中實現這一功能的,即通(tōng)過一個(gè)網絡端口接收來(lái)自外部系統的流量,經過檢查确認其中不包含異常活動或可(kě)疑內(nèi)容後,再通(tōng)過另外一個(gè)端口将它傳送到內(nèi)部系統中。這樣一來(lái),有(yǒu)問題的數(shù)據包,以及所有(yǒu)來(lái)自同一數(shù)據流的後續數(shù)據包,都能在IPS設備中被清除掉。
IPS工作(zuò)原理(lǐ)
IPS實現實時(shí)檢查和(hé)阻止入侵的原理(lǐ)在于IPS擁有(yǒu)數(shù)目衆多(duō)的過濾器(qì),能夠防止各種攻擊。當新的攻擊手段被發現之後,IPS就會(huì)創建一個(gè)新的過濾器(qì)。IPS數(shù)據包處理(lǐ)引擎是專業化定制(zhì)的集成電(diàn)路,可(kě)以深層檢查數(shù)據包的內(nèi)容。如果有(yǒu)攻擊者利用Layer 2(介質訪問控制(zhì))至Layer 7(應用)的漏洞發起攻擊,IPS能夠從數(shù)據流中檢查出這些(xiē)攻擊并加以阻止。傳統的防火(huǒ)牆隻能對Layer 3或Layer 4進行(xíng)檢查,不能檢測應用層的內(nèi)容。防火(huǒ)牆的包過濾技(jì)術(shù)不會(huì)針對每一字節進行(xíng)檢查,因而也就無法發現攻擊活動,而IPS可(kě)以做(zuò)到逐一字節地檢查數(shù)據包。所有(yǒu)流經IPS的數(shù)據包都被分類,分類的依據是數(shù)據包中的報頭信息,如源IP地址和(hé)目的IP地址、端口号和(hé)應用域。每種過濾器(qì)負責分析相對應的數(shù)據包。通(tōng)過檢查的數(shù)據包可(kě)以繼續前進,包含惡意內(nèi)容的數(shù)據包就會(huì)被丢棄,被懷疑的數(shù)據包需要接受進一步的檢查。
針對不同的攻擊行(xíng)為(wèi),IPS需要不同的過濾器(qì)。每種過濾器(qì)都設有(yǒu)相應的過濾規則,為(wèi)了确保準确性,這些(xiē)規則的定義非常廣泛。在對傳輸內(nèi)容進行(xíng)分類時(shí),過濾引擎還(hái)需要參照數(shù)據包的信息參數(shù),并将其解析至一個(gè)有(yǒu)意義的域中進行(xíng)上(shàng)下文分析,以提高(gāo)過濾準确性。
過濾器(qì)引擎集合了流水(shuǐ)和(hé)大(dà)規模并行(xíng)處理(lǐ)硬件,能夠同時(shí)執行(xíng)數(shù)千次的數(shù)據包過濾檢查。并行(xíng)過濾處理(lǐ)可(kě)以确保數(shù)據包能夠不間(jiān)斷地快速通(tōng)過系統,不會(huì)對速度造成影(yǐng)響。這種硬件加速技(jì)術(shù)對于IPS具有(yǒu)重要意義,因為(wèi)傳統的軟件解決方案必須串行(xíng)進行(xíng)過濾檢查,會(huì)導緻系統性能大(dà)打折扣。
IPS的種類
* 基于主機的入侵防護(HIPS)
HIPS通(tōng)過在主機/服務器(qì)上(shàng)安裝軟件代理(lǐ)程序,防止網絡攻擊入侵操作(zuò)系統以及應用程序。基于主機的入侵防護能夠保護服務器(qì)的安全弱點不被不法分子所利用。Cisco公司的Okena、NAI公司的McAfee Entercept、冠群金辰的龍淵服務器(qì)核心防護都屬于這類産品,因此它們在防範紅色代碼和(hé)Nimda的攻擊中,起到了很(hěn)好的防護作(zuò)用。基于主機的入侵防護技(jì)術(shù)可(kě)以根據自定義的安全策略以及分析學習機制(zhì)來(lái)阻斷對服務器(qì)、主機發起的惡意入侵。HIPS可(kě)以阻斷緩沖區(qū)溢出、改變登錄口令、改寫動态鏈接庫以及其他試圖從操作(zuò)系統奪取控制(zhì)權的入侵行(xíng)為(wèi),整體(tǐ)提升主機的安全水(shuǐ)平。
在技(jì)術(shù)上(shàng),HIPS采用獨特的服務器(qì)保護途徑,利用由包過濾、狀态包檢測和(hé)實時(shí)入侵檢測組成分層防護體(tǐ)系。這種體(tǐ)系能夠在提供合理(lǐ)吞吐率的前提下,最大(dà)限度地保護服務器(qì)的敏感內(nèi)容,既可(kě)以以軟件形式嵌入到應用程序對操作(zuò)系統的調用當中,通(tōng)過攔截針對操作(zuò)系統的可(kě)疑調用,提供對主機的安全防護;也可(kě)以以更改操作(zuò)系統內(nèi)核程序的方式,提供比操作(zuò)系統更加嚴謹的安全控制(zhì)機制(zhì)。
由于HIPS工作(zuò)在受保護的主機/服務器(qì)上(shàng),它不但(dàn)能夠利用特征和(hé)行(xíng)為(wèi)規則檢測,阻止諸如緩沖區(qū)溢出之類的已知攻擊,還(hái)能夠防範未知攻擊,防止針對Web頁面、應用和(hé)資源的未授權的任何非法訪問。HIPS與具體(tǐ)的主機/服務器(qì)操作(zuò)系統平台緊密相關,不同的平台需要不同的軟件代理(lǐ)程序。
* 基于網絡的入侵防護(NIPS)
NIPS通(tōng)過檢測流經的網絡流量,提供對網絡系統的安全保護。由于它采用在線連接方式,所以一旦辨識出入侵行(xíng)為(wèi),NIPS就可(kě)以去除整個(gè)網絡會(huì)話(huà),而不僅僅是複位會(huì)話(huà)。同樣由于實時(shí)在線,NIPS需要具備很(hěn)高(gāo)的性能,以免成為(wèi)網絡的瓶頸,因此NIPS通(tōng)常被設計(jì)成類似于交換機的網絡設備,提供線速吞吐速率以及多(duō)個(gè)網絡端口。
NIPS必須基于特定的硬件平台,才能實現千兆級網絡流量的深度數(shù)據包檢測和(hé)阻斷功能。這種特定的硬件平台通(tōng)常可(kě)以分為(wèi)三類:一類是網絡處理(lǐ)器(qì)(網絡芯片),一類是專用的FPGA編程芯片,第三類是專用的ASIC芯片。
在技(jì)術(shù)上(shàng),NIPS吸取了目前NIDS所有(yǒu)的成熟技(jì)術(shù),包括特征匹配、協議分析和(hé)異常檢測。特征匹配是最廣泛應用的技(jì)術(shù),具有(yǒu)準确率高(gāo)、速度快的特點。基于狀态的特征匹配不但(dàn)檢測攻擊行(xíng)為(wèi)的特征,還(hái)要檢查當前網絡的會(huì)話(huà)狀态,避免受到欺騙攻擊。
協議分析是一種較新的入侵檢測技(jì)術(shù),它充分利用網絡協議的高(gāo)度有(yǒu)序性,并結合高(gāo)速數(shù)據包捕捉和(hé)協議分析,來(lái)快速檢測某種攻擊特征。協議分析正在逐漸進入成熟應用階段。協議分析能夠理(lǐ)解不同協議的工作(zuò)原理(lǐ),以此分析這些(xiē)協議的數(shù)據包,來(lái)尋找可(kě)疑或不正常的訪問行(xíng)為(wèi)。協議分析不僅僅基于協議标準(如RFC),還(hái)基于協議的具體(tǐ)實現,這是因為(wèi)很(hěn)多(duō)協議的實現偏離了協議标準。通(tōng)過協議分析,IPS能夠針對插入(Insertion)與規避(Evasion)攻擊進行(xíng)檢測。異常檢測的誤報率比較高(gāo),NIPS不将其作(zuò)為(wèi)主要技(jì)術(shù)。
* 應用入侵防護(AIP)
NIPS産品有(yǒu)一個(gè)特例,即應用入侵防護(Application Intrusion Prevention,AIP),它把基于主機的入侵防護擴展成為(wèi)位于應用服務器(qì)之前的網絡設備。AIP被設計(jì)成一種高(gāo)性能的設備,配置在應用數(shù)據的網絡鏈路上(shàng),以确保用戶遵守設定好的安全策略,保護服務器(qì)的安全。NIPS工作(zuò)在網絡上(shàng),直接對數(shù)據包進行(xíng)檢測和(hé)阻斷,與具體(tǐ)的主機/服務器(qì)操作(zuò)系統平台無關。
NIPS的實時(shí)檢測與阻斷功能很(hěn)有(yǒu)可(kě)能出現在未來(lái)的交換機上(shàng)。随着處理(lǐ)器(qì)性能的提高(gāo),每一層次的交換機都有(yǒu)可(kě)能集成入侵防護功能。
IPS技(jì)術(shù)特征
嵌入式運行(xíng):隻有(yǒu)以嵌入模式運行(xíng)的 IPS 設備才能夠實現實時(shí)的安全防護,實時(shí)阻攔所有(yǒu)可(kě)疑的數(shù)據包,并對該數(shù)據流的剩餘部分進行(xíng)攔截。
深入分析和(hé)控制(zhì):IPS必須具有(yǒu)深入分析能力,以确定哪些(xiē)惡意流量已經被攔截,根據攻擊類型、策略等來(lái)确定哪些(xiē)流量應該被攔截。
入侵特征庫:高(gāo)質量的入侵特征庫是IPS高(gāo)效運行(xíng)的必要條件,IPS還(hái)應該定期升級入侵特征庫,并快速應用到所有(yǒu)傳感器(qì)。
高(gāo)效處理(lǐ)能力:IPS必須具有(yǒu)高(gāo)效處理(lǐ)數(shù)據包的能力,對整個(gè)網絡性能的影(yǐng)響保持在最低(dī)水(shuǐ)平。
IPS面臨的挑戰
IPS 技(jì)術(shù)需要面對很(hěn)多(duō)挑戰,其中主要有(yǒu)三點:一是單點故障,二是性能瓶頸,三是誤報和(hé)漏報。設計(jì)要求IPS必須以嵌入模式工作(zuò)在網絡中,而這就可(kě)能造成瓶頸問題或單點故障。如果IDS 出現故障,最壞的情況也就是造成某些(xiē)攻擊無法被檢測到,而嵌入式的IPS設備出現問題,就會(huì)嚴重影(yǐng)響網絡的正常運轉。如果IPS出現故障而關閉,用戶就會(huì)面對一個(gè)由IPS造成的拒絕服務問題,所有(yǒu)客戶都将無法訪問企業網絡提供的應用。
即使 IPS 設備不出現故障,它仍然是一個(gè)潛在的網絡瓶頸,不僅會(huì)增加滞後時(shí)間(jiān),而且會(huì)降低(dī)網絡的效率,IPS必須與數(shù)千兆或者更大(dà)容量的網絡流量保持同步,尤其是當加載了數(shù)量龐大(dà)的檢測特征庫時(shí),設計(jì)不夠完善的 IPS 嵌入設備無法支持這種響應速度。絕大(dà)多(duō)數(shù)高(gāo)端 IPS 産品供應商都通(tōng)過使用自定義硬件(FPGA、網絡處理(lǐ)器(qì)和(hé)ASIC芯片)來(lái)提高(gāo)IPS的運行(xíng)效率。
誤報率和(hé)漏報率也需要IPS認真面對。在繁忙的網絡當中,如果以每秒(miǎo)需要處理(lǐ)十條警報信息來(lái)計(jì)算(suàn),IPS每小(xiǎo)時(shí)至少(shǎo)需要處理(lǐ) 36,000 條警報,一天就是 864,000 條。一旦生(shēng)成了警報,最基本的要求就是IPS能夠對警報進行(xíng)有(yǒu)效處理(lǐ)。如果入侵特征編寫得(de)不是十分完善,那(nà)麽"誤報"就有(yǒu)了可(kě)乘之機,導緻合法流量也有(yǒu)可(kě)能被意外攔截。對于實時(shí)在線的IPS來(lái)說,一旦攔截了"攻擊性"數(shù)據包,就會(huì)對來(lái)自可(kě)疑攻擊者的所有(yǒu)數(shù)據流進行(xíng)攔截。如果觸發了誤報警報的流量恰好是某個(gè)客戶訂單的一部分,其結果可(kě)想而知,這個(gè)客戶整個(gè)會(huì)話(huà)就會(huì)被關閉,而且此後該客戶所有(yǒu)重新連接到企業網絡的合法訪問都會(huì)被"盡職盡責"的IPS攔截。
IPS廠商采用各種方式加以解決。一是綜合采用多(duō)種檢測技(jì)術(shù),二是采用專用硬件加速系統來(lái)提高(gāo)IPS的運行(xíng)效率。盡管如此,為(wèi)了避免IPS重蹈IDS覆轍,廠商對IPS的态度還(hái)是十分謹慎的。例如,NAI提供的基于網絡的入侵防護設備提供多(duō)種接入模式,其中包括旁路接入方式,在這種模式下運行(xíng)的IPS實際上(shàng)就是一台純粹的IDS設備,NAI希望提供可(kě)選擇的接入方式來(lái)幫助用戶實現從旁路監聽(tīng)向實時(shí)阻止攻擊的自然過渡。
IPS的不足并不會(huì)成為(wèi)阻止人(rén)們使用入侵防禦系統的理(lǐ)由,因為(wèi)安全功能的融合是大(dà)勢所趨,入侵防護順應了這一潮流。對于用戶而言,在廠商提供技(jì)術(shù)支持的條件下,有(yǒu)選擇地采用IPS,仍不失為(wèi)一種應對攻擊的理(lǐ)想選擇。
