網絡入侵防御相關技術探究

摘要：入侵防御系統(IPS)是繼防火墻和入侵檢測系統(IDS)之后一種新的網絡安全技術。它彌補了IDS處于旁路模式，只能檢測網絡攻擊，而不能直接阻止這些威脅的弱點，采用了串聯模式的主動防御技術，能實時阻斷網絡的攻擊行為。基于不同技術的IPS從不同的方面增強了網絡安全的防御能力，但也存在著一些共同的缺點，需要在硬件、軟件結構以及算法上進一步改進。文章分析了基于不同技術的網絡入侵防御系統，提出了其存在的共同缺陷，同時也提出了網絡入侵防御系統今后的發展方向。

關鍵詞：IDS；IPS；安全策略；主動防御

0 引言

防火墻和入侵檢測系統(Intrusion Detection System，IDS)一直作為計算機網絡安全中的主要工具，但是，它們并不能完全滿足對網絡攻擊的檢測和防御的要求。其中，防火墻是提供粗粒度訪問控制的設備，它只能根據事先沒定的規則，對進出網絡的數據包進行過濾，而對于應用級的攻擊不具有防御能力。事實證明，很多攻擊行為可以繞過防火墻來實現對網絡的攻擊，同時造成巨大的損失。入侵檢測系統主要的目的是檢測網絡中的攻擊行為，及時發現網絡中存在的安全威脅，進而采取相關措施來阻止攻擊的再次發生。但是，它一個致命的缺點就是只能夠檢測到攻擊而不能采取任何主動的防御行為，只適合在某些需要流量監控、分析與回放的情況下部署。另外，誤報率也相對較高。

防火墻和IDS基本都是被動的，在攻擊發生之前無法預先發出警報。而入侵防御系統(Intrusion Prevention System，IPS)則提供了主動性防護，它對入侵活動和攻擊性網絡流量進行攔截，避免造成任何損失。

1 網絡入侵防御的工作原理

入侵防御系統(IPS)是指具有檢測并阻止已知或未知攻擊的內嵌硬件設備或軟件系統，它分為網絡入侵防御系統(Network Intrusion Prevention System，NIPS)和主機入侵防御系統(Host Intrusion Prevention System，HIPS)。NIPS一般部署于網絡的進出口處，即在數據轉發的路徑上，可以根據預先設定的安全策略，對經過的每個數據包進行深度檢測，如協議分析跟蹤，流量統計分析、特征匹配、事件關聯分析等，一旦發現隱藏于其中的攻擊行為，則可以根據該攻擊的危險級別立即采取相應的防御措施，如丟棄報文、切斷應用會話、切斷TCP連接、向管理中心報警等。其一般的工作原理如圖1所示。

NIPS檢測引擎中根據不同的過濾規則設置了很多過濾器，且規則的定義非常全面，確保檢測的準確性。如果發現新的攻擊手段，則在檢測引擎中將創建并添加一個新的過濾器。

NIPS的設計是基于一種全新的思想和體系結構，工作于內嵌方式，采用專用集成電路(Application Specific IntegratedCircuits，ASIC)等硬件設計技術實現網絡數據流的捕獲。

2 基于不同技術的網絡入侵防御系統分析

目前，入侵防御技術的系統模型有很多，每一種都有自己的特點，下面主要針對幾種較為常見的模型來進行分析。

2.1 基于策略的入侵防御系統(Policy-based Intrusion Pre-vention System)

基于策略的入侵防御系統主要由入侵檢測部分和安全管理部分組成。其中，入侵檢測部分主要負責數據的收集和分析，記錄日志信息，發現入侵行為及時報警，如需要，則將報警信息存入其數據庫，并啟動另一個動態規則；而安全管理部分則主要接收和處理告警信息，根據告警的類型及當前網絡的安全狀態給出解決方案和需要采取的措施，同時更新相關設備的規則庫。

此系統的核心是檢測分析引擎，負責數據包的解碼、預處理、規則解析和數據檢測等主要任務。它對經過的數據包中的高層協議進行解碼，然后經過預處理模塊來檢查數據包是否需要注意，接著通過規則庫中的不同規則來對每個數據包進行詳細的匹配檢測，從而決定是否需要采取防御措施。而安全管理部分主要獲取入侵檢測端得到的日志信息以及每個設備的MB庫中的信息，并對此進行分析和決策，更新入侵檢測端的規則庫以及某些設備的配置。同時也可以通過郵件等方式通知管理員。

2.2 基于聯動機制的入侵防御(Linkage Mechanism-BasedIntrusion Prevention System)

基于聯動機制的入侵防御系統主要是使得入侵防御系統和防火墻相互協同工作，利用相互之間傳遞的策略規則來達到防御的目的。入侵防御系統將自身阻塞率較高的安全事件及其相關規則傳給網絡防火墻，使其能夠阻止此類安全事件。防火墻的規則根據入侵防御系統的情況而動態改變且有一定的時效性，過期則規則自動失效。因此防火墻在使用動態開啟的端口協議時，必須發送相關的規則給入侵防御系統，使得該通信流量能夠正常地通過。這樣的整體聯動防御使得入侵防御系統和防火墻的壓力得到減輕。

但是，入侵防御系統和防火墻的聯動也存在安全防御機制不相同的問題，即不能直接把防火墻的規則套用到入侵防御系統中，只能通過較為抽象的規則語言來解決此問題。

2.3 基于行為的入侵防御(Behavior-Based Intrusion Pre-vention System)

基于行為的入侵防御系統是一種利用異常檢測方法進行實時監測并防御的技術，對于網絡中的攻擊源以及被攻擊的目標都會發生一些異常行為或異常反應，如數據包的定義不符合RFC的標準、包的長度超過限制、指向不存在的信息資源的包等。如果能夠利用這些異常的行為來提前做出反應并進行防御，那就可以有效地阻斷攻擊，從而降低甚至避免攻擊造成的損失。

此系統的核心是“行為分析”，它依靠相應算法實現，因此算法的好壞也決定了其是否能夠進行有效的入侵防御。

2.4 基于數據挖掘的入侵防御(data mining-based Intru-sion Prevention System)

基于數據挖掘的入侵防御系統一般應用于內部具有多局域網結構并連接到Internet的企業網絡之中，多個支干的局域網通過骨干網連接，在每個支干中的本地安全策略服務器(Local Policy Server，LPS)后都配置一個IPS，且每個IPS都有一個數據庫，用來存放其收集到的警報日志。此外，在主干網絡中還配備一個全局安全策略服務器(Global Policy Server，GPS)，用來監測和控制支干上的IPS。它也具有一個全局數據庫，用來存放所有從支干的IPS上產生的日志信息。GPS上具有安全信息管理模塊(Secufity Information Model，StM)，負責通過數據挖掘技術來分析這些收集到的日志，如果發現攻擊或異常，則發送命令來控制各支干上的LPS來調用本支干的IPS來清除掉這些攻擊包。

在這種系統中，GPS是其核心部分，而SIM又是GPS的核心部件，它由在線檢測階段和離線訓練階段組成。當在線數據挖掘器檢測到攻擊時，其警報管理器會將警報通知管理員，并在每次通知一個警報時請求一個確認響應，其中包括3種類型：正常、入侵和可疑事件。得到響應后將該響應記錄存放到數據庫，然后調用機器學習方法來分析和了解這些響應。而離線訓練階段則負責對全局數據庫中的攻擊數據流進行分類，并將其交給在線數據挖掘器。

該系統對檢測的準確率有較好的提升，但是其結構較為復雜，代價也較高。

2.5 基于免疫原理的入侵防御(Immune Principle-Based In-trusion Prevention System)

基于免疫原理的入侵防御系統主要是模擬人體的免疫系統，即基于人工免疫系統(Artificial Immune System，AIS)來設計的，它的主要功能是識別體內細胞，并將其分為“自我”和“非我”兩類，并通過觸發適當的防御機制來去除“非我”。其中，“自我”對應于機體內自身的組織，“非我”對應于外來的病源或體內的病變組織。因此，如何識別“自我”和去除“非我”是免疫系統的核心功能。具體通過免疫來進行防御的主要過程是免疫識別、免疫學習、免疫記憶和克隆選擇。其中典型的算法有陰性選擇算法，用于監測數據改變；克隆選擇算法，其核心是比例復制和比例變異算子，主要解決模式識別等復雜機器學習任務；免疫遺傳算法，主要是通過抗體之間的相互激勵作用提高抗體的多樣性，動態調整群體收斂性和種群的多樣性之間的平衡，使免疫系統能夠通過學習，知道哪些抗體對抗原的識別有幫助。

3 網絡入侵防御系統存在的問題及發展

3.1 存在的問題

上文介紹了幾種基于不同技術的入侵防御系統，它們都在某—個方面具有明顯的特點和優勢，但是還存在以下幾個方面的不足，且目前其技術標準還不統一，技術上也還沒有完全成熟。

(1)單點失效問題。IPS是串接在網絡中的主動防御系統，產生誤報后將直接影響網絡的正常工作。這樣安全產品就變成網絡的故障點了。

(2)性能瓶頸問題。串接在網絡上的IPS設備，如何在不影響檢測效率的基礎上做到高性能的轉發是一個需要解決的問題。

(3)誤報和漏報問題。與IDS一樣，IPS依然存在誤報和漏報的問題，一旦發生誤判，IPS就會放過真正的攻擊而阻斷合法的事務處理，從而造成損失。

(4)攻擊阻塞的管理問題。主動防御是IPS的重要技術特點，但是如果處理不妥當，則反而會增加管理的負擔，如IPS在與防火墻的聯動中會更改防火墻的訪問控制策略，但這種更改可能并不被允許或者不能被及時發現，從而給管理帶來不便。

3.2 發展方向

目前網絡安全狀況非常復雜，單靠上述一些基于單一技術的入侵防御系統很難全面地保障網絡的安全，因此，新的入侵防御技術有以下幾個發展方向：

(1)綜合應用各種防御技術的優點，能對網絡中的特征、流量和協議等異常行為進行分析，取長補短，盡可能地減少誤報和漏報，增強其檢測、防御和免疫能力。

(2)針對性能瓶頸問題，首先應對現有的軟件結構和算法進行重新設計，使之能夠適應高速網絡的環境，同時開發設計專用的硬件結構，配合設計專用的軟件來解決這一問題。

(3)為了避免單點故障導致整個網絡的無法訪問，IPS需要采用冗余的體系結構，增強其可靠性。

(4)為了更有效地應對未來更大規模的網絡安全事件，提供主動防御的入侵防御系統還應該向更具良好可視化、可控制性和可管理性的入侵管理系統(IMS)發展。

4 結束語

不管是基于策略的、基于聯動機制的、基于行為的、基于數據挖掘的，還是基于免疫原理的入侵防御系統，其目的只有一個，那就是如何去實時、正確地防御網絡攻擊；而這些基于不同技術的IPS只有不斷進步才能適應越來越復雜的網絡環境、越來越高的網絡速度、越來越多的網絡信息，成為真正的網絡安全屏障。