入侵防御技術(shù)原理分析

摘要：隨著互聯(lián)網(wǎng)的普及和網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，網(wǎng)絡(luò)安全漏洞不斷被發(fā)現(xiàn)，黑客的入侵技巧和破壞能力不斷提高，網(wǎng)絡(luò)受到越來(lái)越多的攻擊，怎樣防止入侵，保護(hù)網(wǎng)絡(luò)安全問(wèn)題也成了大家關(guān)注社會(huì)問(wèn)題。本文首先分析了常規(guī)的網(wǎng)絡(luò)入侵方法，然后詳細(xì)闡述了入侵防御技術(shù)的原理，并結(jié)合實(shí)際的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)對(duì)近年來(lái)的一種新技術(shù)——入侵防護(hù)系統(tǒng)進(jìn)行了分析。

關(guān)鍵詞：網(wǎng)絡(luò)安全；入侵檢測(cè)；入侵防御

中圖分類(lèi)號(hào)：TP393文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：1009-3044(2008)06-1pppp-0c

1 引言

隨著社會(huì)對(duì)互聯(lián)網(wǎng)依賴性的增強(qiáng)，計(jì)算機(jī)網(wǎng)絡(luò)安全問(wèn)題也逐漸成為人們普遍關(guān)注的重要問(wèn)題之一。當(dāng)前，計(jì)算機(jī)網(wǎng)絡(luò)的安全已成為一個(gè)社會(huì)化、國(guó)際化的問(wèn)題。近年來(lái)，大量的網(wǎng)站和服務(wù)器被入侵，大規(guī)模網(wǎng)絡(luò)攻擊的不斷出現(xiàn)，充分說(shuō)明了我們?cè)诩由顚?duì)互聯(lián)網(wǎng)的依賴程度的同時(shí)，互聯(lián)網(wǎng)也變得更加的不安全了。

入侵防御是一種新的計(jì)算機(jī)安全技術(shù)，它與只檢測(cè)和報(bào)告已經(jīng)發(fā)生攻擊行為的入侵檢測(cè)技術(shù)不同，它采取積極主動(dòng)的措施阻止從外部對(duì)IT資源的攻擊，將損失降到最小。由于現(xiàn)存安全技術(shù)有各種各樣的局限性，入侵防御技術(shù)越來(lái)越受到政府部門(mén)和企事業(yè)單位的重視。入侵防御技術(shù)在邏輯上可以看成是基于特征匹配的安全技術(shù)（如入侵檢測(cè)和病毒防治）與源于網(wǎng)絡(luò)的保護(hù)方案（如防火墻技術(shù)）的總和。

2 常規(guī)網(wǎng)絡(luò)入侵方法介紹

(1)DoS（Denial of Service）入侵

拒絕服務(wù)攻擊（DoS攻擊）是目前為人所熟知的一種攻擊。拒絕服務(wù)攻擊從根本上可以分為兩種類(lèi)型：一是使系統(tǒng)崩潰或癱瘓，使目標(biāo)系統(tǒng)重啟，以至于不能夠提供相應(yīng)的服務(wù)；二是通過(guò)要目標(biāo)系統(tǒng)發(fā)送大量的無(wú)效的數(shù)據(jù)包耗盡系統(tǒng)資源，以至于系統(tǒng)不能夠響應(yīng)正常的請(qǐng)求，從而實(shí)現(xiàn)拒絕服務(wù)攻擊。

(2)特洛伊木馬入侵

在目標(biāo)計(jì)算機(jī)機(jī)中種植特洛伊木馬也是當(dāng)今流行的一種網(wǎng)絡(luò)入侵方式。一些木馬程序會(huì)通過(guò)覆蓋系統(tǒng)中已經(jīng)存在的文件的方式存在于系統(tǒng)之中，同時(shí)它可以攜帶惡意代碼，還有一些木馬會(huì)以一個(gè)軟件的身份出現(xiàn)（例如：一個(gè)可供下載的游戲），但它實(shí)際上是一個(gè)竊取密碼的工具。木馬通常不容易被發(fā)現(xiàn)，因?yàn)樗话闶且砸粋€(gè)正常的應(yīng)用程序的身份在系統(tǒng)中運(yùn)行的。

(3)蠕蟲(chóng)入侵

一個(gè)蠕蟲(chóng)通常具備三個(gè)基本功能：傳播、隱藏和目標(biāo)執(zhí)行。傳播功能使得其可以在很短的時(shí)間內(nèi)通過(guò)網(wǎng)絡(luò)迅速繁殖，隱藏功能則使得蠕蟲(chóng)在侵入目標(biāo)系統(tǒng)后能夠不被發(fā)現(xiàn)，例如從系統(tǒng)進(jìn)程列表上隱藏自己，或更名為操作系統(tǒng)某個(gè)系統(tǒng)進(jìn)程的名稱等等。執(zhí)行功能可以使其實(shí)現(xiàn)對(duì)主機(jī)的惡意控制操作。

(4)WEB欺騙

Web欺騙也是近年來(lái)較為流行的一種網(wǎng)絡(luò)供給手段，其基本原理是通過(guò)假冒人們所信任的Web站點(diǎn)，使得用戶訪問(wèn)其假冒站點(diǎn)，從而達(dá)到監(jiān)聽(tīng)用戶通訊，非法獲取敏感信息的目的。

(5)局域網(wǎng)ARP欺騙

ARP(Address Resolution Protocol)地址解析協(xié)議是局域網(wǎng)通信的基礎(chǔ)協(xié)議。ARP欺騙利用了ARP協(xié)議的存在的安全缺陷，即接收ARP計(jì)算機(jī)不需要發(fā)出ARP請(qǐng)求。

3 入侵防御原理

由于網(wǎng)絡(luò)入侵事件的不斷增加和黑客攻擊水平的不斷提高，一方面網(wǎng)絡(luò)感染病毒、遭受攻擊的速度日益加快，另一方面網(wǎng)絡(luò)受到攻擊做出響應(yīng)的時(shí)間卻越來(lái)越滯后。要解決這一矛盾，傳統(tǒng)的防火墻或入侵檢測(cè)技術(shù)顯得力不從心，被動(dòng)防御技術(shù)對(duì)新的攻擊方法往往不能正確識(shí)別，從而陷入被動(dòng)的地位，這就需要引入一種全新的技術(shù)——入侵防護(hù)系統(tǒng)(Intrusion Prevention System，IPS)。

IPS是一種主動(dòng)的、積極的入侵防范、阻止系統(tǒng)遭受攻擊的軟件系統(tǒng)。它不僅具備偵測(cè)與預(yù)防的能力，更重要的是有響應(yīng)與管理的能力。它部署在網(wǎng)絡(luò)的進(jìn)出口處，當(dāng)它檢測(cè)到攻擊企圖后，它會(huì)自動(dòng)地將攻擊包丟掉或采取措施將攻擊源阻斷。但是它只能串聯(lián)在網(wǎng)絡(luò)上，對(duì)防火墻所不能過(guò)濾的攻擊進(jìn)行過(guò)濾，最大程度地保證系統(tǒng)的安全。IPS是通過(guò)直接嵌入到網(wǎng)絡(luò)流量中來(lái)實(shí)現(xiàn)這一功能的，即通過(guò)一個(gè)端口接收來(lái)自外部系統(tǒng)的流量，經(jīng)過(guò)檢查確認(rèn)其中不包含異常活動(dòng)或可疑內(nèi)容后，再通過(guò)另外一個(gè)端口將它傳送到內(nèi)部系統(tǒng)中。這樣有問(wèn)題的數(shù)據(jù)包，以及所有來(lái)自同一數(shù)據(jù)流的后續(xù)數(shù)據(jù)包，都能在IPS設(shè)備中被清除掉。網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖1。

圖1 入侵檢測(cè)系統(tǒng)網(wǎng)絡(luò)拓?fù)?/p>

從圖1可以看出入侵檢測(cè)系統(tǒng)在網(wǎng)絡(luò)拓?fù)渲校瑪?shù)據(jù)包到達(dá)目標(biāo)地址前必須經(jīng)過(guò)入侵檢測(cè)系統(tǒng)的檢測(cè)，當(dāng)檢測(cè)到攻擊時(shí)，入侵檢測(cè)系統(tǒng)將攻擊數(shù)據(jù)包丟棄，從而阻止入侵。入侵檢測(cè)系統(tǒng)與路由器的協(xié)同工作方式如下：首先，要求路由器的訪問(wèn)控制列表應(yīng)該對(duì)所傳輸IP數(shù)據(jù)包的目的地址和源地址同時(shí)進(jìn)行檢測(cè)，若發(fā)現(xiàn)應(yīng)該禁止通信的數(shù)據(jù)流則截?cái)嗤ㄐ牛栽鰪?qiáng)對(duì)訪問(wèn)的控制功能。當(dāng)入侵檢測(cè)系統(tǒng)發(fā)現(xiàn)本網(wǎng)主機(jī)或網(wǎng)絡(luò)設(shè)備遭到拒絕服務(wù)等攻擊行為時(shí)，入侵檢測(cè)模塊通過(guò)入侵發(fā)現(xiàn)報(bào)文迅速通知入侵響應(yīng)子系統(tǒng)，入侵響應(yīng)子系統(tǒng)根據(jù)知識(shí)庫(kù)的規(guī)則，構(gòu)造出針對(duì)性的主動(dòng)響應(yīng)報(bào)文，主動(dòng)響應(yīng)報(bào)文首先發(fā)送到本地主動(dòng)節(jié)點(diǎn)（本網(wǎng)的路由器），通過(guò)網(wǎng)絡(luò)管理系統(tǒng)和安全策略庫(kù)，有針對(duì)性地動(dòng)態(tài)調(diào)整本地路由器的安全策略（如設(shè)置訪間控制列表等），抑制對(duì)本地服務(wù)的攻擊。然后本網(wǎng)的路由器可向傳送此類(lèi)數(shù)據(jù)包的相鄰路由器進(jìn)行預(yù)警通告，請(qǐng)求截?cái)啻祟?lèi)數(shù)據(jù)包，并通過(guò)回溯方式向上一級(jí)路由器進(jìn)行通告，直至入浸源的接入路由器。這樣就可以將分散的攻擊源化整為零，從攻擊源點(diǎn)逐個(gè)抑制，瓦解拒絕服務(wù)等攻擊，保護(hù)關(guān)鍵系統(tǒng)服務(wù)和通信網(wǎng)絡(luò)的帶寬資源。

如果有攻擊者利用Lyaer2(數(shù)據(jù)鏈路層)至Lyaer7(應(yīng)用層)的漏洞發(fā)起攻擊，IPS能夠從數(shù)據(jù)流中檢查出這些攻擊并加以阻止，傳統(tǒng)的防火墻只能對(duì)Lyaer3(網(wǎng)絡(luò)層)或Lyaer4(傳輸控制層)進(jìn)行檢查，不能檢測(cè)應(yīng)用層的內(nèi)容。防火墻的包過(guò)濾技術(shù)不會(huì)針對(duì)每一個(gè)字節(jié)進(jìn)行檢查，因而也就無(wú)法發(fā)現(xiàn)攻擊活動(dòng)，而IPS可以做到逐一字節(jié)的檢查數(shù)據(jù)包。所有流經(jīng)IPS的數(shù)據(jù)包都被分類(lèi)，分類(lèi)的依據(jù)是數(shù)據(jù)包中的報(bào)頭信息，如源PI地址和目的PI地址、端口號(hào)和應(yīng)用域。每種過(guò)濾器負(fù)責(zé)分析相對(duì)應(yīng)的數(shù)據(jù)包。通過(guò)檢查的數(shù)據(jù)包可以繼續(xù)前進(jìn)，包含惡意內(nèi)容的數(shù)據(jù)包就會(huì)被丟棄，被懷疑的數(shù)據(jù)包則需要接受進(jìn)一步的檢查。IPS的基本工作原理如圖2所示。工作過(guò)程如下：

圖2 IPS的基本工作原理

(1)根據(jù)數(shù)據(jù)包頭和流信息，如源目的地址，源目的端口和應(yīng)用層關(guān)鍵的信息，每個(gè)數(shù)據(jù)包都會(huì)被分類(lèi)，同時(shí)協(xié)議類(lèi)型和流量統(tǒng)計(jì)等信息都送到流處理模塊分析、審計(jì)。

(2)根據(jù)數(shù)據(jù)報(bào)的分類(lèi)，相關(guān)的過(guò)濾器將被調(diào)用，用于檢查數(shù)據(jù)包的流狀態(tài)信息。

(3)所有相關(guān)過(guò)濾器都是并行使用，如果任何數(shù)據(jù)報(bào)符合過(guò)濾規(guī)則，則數(shù)據(jù)包中的match位置1.macth位置1的數(shù)據(jù)報(bào)將被丟棄，與之相關(guān)的流信息將更新，指示系統(tǒng)刪除關(guān)于該數(shù)據(jù)流的信息。

針對(duì)不同的攻擊行為，IPS需要不同的過(guò)濾器。每種過(guò)濾器都設(shè)有相應(yīng)的過(guò)濾規(guī)則，為了確保準(zhǔn)確性，這些規(guī)則的定義非常廣泛。在對(duì)傳輸內(nèi)容進(jìn)行分類(lèi)時(shí)，過(guò)濾引擎還需要參照數(shù)據(jù)包的信息參數(shù)，并將其解析至一個(gè)有意義的域中進(jìn)行上下文分析，以提高過(guò)濾準(zhǔn)確性。過(guò)濾器引擎集合了流水和大規(guī)模并行處理硬件，能夠同時(shí)執(zhí)行數(shù)千次的數(shù)據(jù)包過(guò)濾檢查。并行過(guò)濾處理可以確保數(shù)據(jù)包能夠不間斷地快速通過(guò)系統(tǒng)，不會(huì)對(duì)速度造成影響。

如果在網(wǎng)絡(luò)邊界檢查到攻擊包的同時(shí)將其直接拋棄，則攻擊包將無(wú)法到達(dá)目標(biāo)，從而可以從根本上避免黑客的攻擊。這樣，在新漏洞出現(xiàn)后，只需要撰寫(xiě)一個(gè)過(guò)濾規(guī)則，就可以防止此類(lèi)攻擊的威脅了。

入侵防御技術(shù)具有防御反應(yīng)快不易受欺騙攻擊影響等優(yōu)點(diǎn)，但要在實(shí)際網(wǎng)絡(luò)環(huán)境下配置使用，還要解決以下的問(wèn)題：

(1)誤報(bào)問(wèn)題一直是入侵檢測(cè)的難題，由于IPS檢測(cè)到攻擊后會(huì)丟棄數(shù)據(jù)包，因此發(fā)生誤報(bào)的直接后果是合法的數(shù)據(jù)包被丟棄，會(huì)給門(mén)常的網(wǎng)絡(luò)應(yīng)用帶來(lái)比較嚴(yán)重的影響要在實(shí)際環(huán)境中應(yīng)用IPS系統(tǒng)，必須提高IPS的檢測(cè)準(zhǔn)確率，減少誤報(bào)到一個(gè)可容忍的范圍內(nèi)。

(2)由于IPS處于數(shù)據(jù)包的轉(zhuǎn)發(fā)通道內(nèi)，對(duì)數(shù)據(jù)包的檢測(cè)處理會(huì)加大數(shù)據(jù)包轉(zhuǎn)發(fā)的延遲，這種延遲的影響在需要對(duì)多個(gè)數(shù)據(jù)包進(jìn)行重組或進(jìn)行協(xié)議分析時(shí)會(huì)變得更加明顯因此，還必須提高IPS的處理能力及檢測(cè)效率，將數(shù)據(jù)包轉(zhuǎn)發(fā)延遲減小到用戶能夠接受的大小。

(3)由于調(diào)整了在網(wǎng)絡(luò)拓?fù)鋬?nèi)的位置，IPS系統(tǒng)無(wú)法監(jiān)測(cè)到所監(jiān)控網(wǎng)絡(luò)內(nèi)部的部分流量，因此不能檢測(cè)及防御在網(wǎng)絡(luò)內(nèi)部發(fā)生的入侵攻擊。

4 總結(jié)

本文對(duì)入侵防御技術(shù)的原理進(jìn)行了詳細(xì)的討論，入侵防御技術(shù)提供的實(shí)時(shí)、主動(dòng)的防護(hù)能力，能夠有效的阻斷攻擊，保證合法流量的正常傳輸，這對(duì)于保障系統(tǒng)的運(yùn)行連續(xù)性和完整性有著極為重要的意義。最后文章結(jié)合實(shí)際網(wǎng)絡(luò)環(huán)境下的使用情況，指出了入侵防御技術(shù)的一些問(wèn)題，有待于進(jìn)一步解決。

參考文獻(xiàn)：

[1]Intrusion Prevention Systems(IPS).http://www.nss.co.uk/.

[2]DeerkAktins.網(wǎng)絡(luò)安全專(zhuān)業(yè)參考手冊(cè)[M].北京:機(jī)械工業(yè)出版社，1998.

[3]龔檢，王倩.計(jì)算機(jī)網(wǎng)絡(luò)安全導(dǎo)論[M].南京:東南大學(xué)出版社，2000.

[4](美)Eric Maiwald，著.天宏工作室，譯.網(wǎng)絡(luò)安全實(shí)用指南.清華大學(xué)出版社，2003，第1版.

收稿日期：2008-01-08