入侵防御系統在局域網安全系統中的應用

摘要:該文介紹入侵防護系統(IPS)的技術與原理，在局域網中的入侵防護系統的部署與實施方式及其使用效果，入侵防御系統的發展趨勢。

關鍵詞:安全檢測與監控技術;入侵防護系統;部署;發展趨勢

中圖分類號:TP393 文獻標識碼:A 文章編號:1009-3044(2009)15-3899-02

Intrusion Prevention System in the Local Area Network Security System

WU Zhao-xiong， LIANG Shen-qing， ZHU Xuan

(Guang Dong Province Meteorological Information Center， Guangzhou 510080， China)

Abstract: This article introduce the technic and principle of the Intrusion Prevention Systems(IPS)，how to deploy and actualize the IPS in the local area network and it’s effect，the Development trends of the IPS.

Key words: security detection and monitoring technology; Intrusion Prevention Systems; deployment; development trends

1 引言

20世紀90 年代以來，網絡技術高速發展，同時帶來了日益嚴重的安全問題。網絡安全事件的發生頻率呈擴大趨勢，大規模的網絡蠕蟲和DOS、DDOS 等暴力類型攻擊逐漸成為Internet上的主要攻擊手段。此外，隨著黑客入侵水平的提高，入侵行為也不再是單一的行為，應對、協同式、集成式攻擊的入侵行為時，龐大的網絡數據超出了服務器的處理能力，單個的安全組件設備就顯得十分力單勢薄。而且這些組件只能針對獨立的入侵行為，難以防范大規模的、有組織的協同入侵行為和集成式攻擊。在大規模系統中，各安全組件缺乏協同工作和互動的防御機制。所以構建一種高性能的、能緊密聯合各項安全組件和安全技術如防火墻技術、入侵檢測技術、內容過濾技術、反病毒技術等，能夠對安全事件進行動態響應的網絡安全框架結構是當前的迫切需要。因此，本文提出一種新型的入侵防御系統正是解決以上不足之處的有效途徑。

2 入侵防御系統IPS介紹

2.1 入侵防護系統(IPS)

IPS[1]是英文“Intrusion Prevention System”的縮寫，中文意思是入侵防護系統。隨著網絡攻擊技術的不斷提高和網絡安全漏洞的不斷發現，傳統防火墻技術加IDS的技術，已

經無法應對一些安全威脅。在這種情況下，IPS技術應運而生，IPS技術可以深度感知并檢測流經的數據流量，對惡意報文進行丟棄以阻斷攻擊，對濫用報文進行限流以保護網絡帶寬資源。

與入侵檢測系統不同，前者的產品目標是實時發現并準確判斷網絡中存在的攻擊，并及時予以阻斷，而后者的產品目標是全面檢測網絡中的實時網絡數據，及時發現入侵和異常，并將事件的詳細信息和處理建議以報警方式呈現給管理員。

2.2 入侵防護系統基本原理

IPS實現實時檢查和阻止入侵的原理在于IPS擁有數目眾多的過濾器[2]，能夠防止各種攻擊。當新的攻擊手段被發現之后，IPS就會創建一個新的過濾器。

IPS數據包處理引擎是專業化定制的集成電路，可以深層檢查數據包的內容。如果有攻擊者利用Layer2(介質訪問控制)至Layer7(應用)的漏洞發起攻擊，IPS能夠從數據流中檢查出這些攻擊并加以阻止。傳統的防火墻只能對Layer3或Layer4進行檢查，不能檢測應用層的內容。防火墻的包過濾技術不會針對每一字節進行檢查，因而也就無法發現攻擊活動，而IPS可以做到逐一字節地檢查數據包。所有流經IPS的數據包都被分類，分類的依據是數據包中的報頭信息，如源IP地址和目的IP地址、端口號和應用域。每種過濾器負責分析相對應的數據包。通過檢查的數據包可以繼續前進，包含惡意內容的數據包就會被丟棄，被懷疑的數據包需要接受進一步的檢查。針對不同的攻擊行為，IPS需要不同的過濾器。每種過濾器都設有相應的過濾規則，為了確保準確性，這些規則的定義非常廣泛。在對傳輸內容進行分類時，過濾引擎還需要參照數據包的信息參數，并將其解析至一個有意義的域中進行上下文分析，以提高過濾準確性。過濾器引擎集合了流水和大規模并行處理硬件，能夠同時執行數千次的數據包過濾檢查。并行過濾處理可以確保數據包能夠不間斷地快速通過系統，不會對速度造成影響。

3 IPS在局域網安全系統建設中的部署和實施

3.1 入侵防護系統的部署和實施

在部署入侵防御系統的時候，將IPS放置于 FireWall 與內網之間，部署結構如圖1，可以防御來自于外網針對防火墻和內網的攻擊。防火墻往往是攻擊的對象重點，一旦防火墻遭到攻擊后，將會有很大的機會造成網絡中斷。且防火墻僅具有四層封包解析[3-4]的功能，對于利用七層的黑客攻擊手法或是利用合法掩護非法的網絡行為便無法有效管控。透過 IPS 的保護，除了對于來自外網針對內網或防火墻的暴力攻擊能夠有效阻擋之外，對于所有進出的封包均進行詳細的七層分析，黑客利用合法方式進行非法存取的攻擊將無所遁形。

部署IPS，同時可以防御來自于內網的攻擊，同時可針對于內網對于外網的存取應用進行管理。通過使用入侵防御系統，可辨識多種類別如 IM / VoIP / P2P / FTP [5] 等已知的網路應用軟件，進而根據多種條件如 IP群組、VLAN ID等范圍條件制訂各種不同的管理策略。除了開放與禁止的網絡行為管理之外還可針對不同的應用予以不同的帶寬使用以及傳輸總量限制，可讓企業網路實施彈性管理，也不會因為防止網路攻擊而影響到正常的網路訪問，讓省局的網路帶寬得到最有效的利用。

部署在網絡系統中的入侵防御產品包括兩個組成部分:硬件形態的入侵防御引擎[6]和軟件形態的入侵防御控制臺，其具體組成形式如圖2所示。入侵防御引擎串行接入到網絡中，對所有穿透引擎的數據進行分析和作出響應。入侵防御控制臺包括四個可獨立部署也可以組合部署的部分:管理控制臺負責向入侵防御引擎下發策略以及接收引擎上報事件，這些上報的事件依據響應策略實時顯示在報警監控臺和存儲在日志數據庫中，存儲在日志數據庫中的歷史信息可以通過報表分析組件進行報告的生成和查詢。

入侵防御產品提供了對各種入侵威脅行為的防御，通過下發內置默認策略，可以實現對如下攻擊行為的精確阻斷:溢出攻擊、木馬后門、即時通訊行為、SQL注入攻擊[7]、間諜軟件、網絡游戲行為、流行蠕蟲攻擊、僵尸程序、異常協議行為、數據庫漏洞攻擊、惡意代碼、脆弱口令行為、操作系統漏洞攻擊、掃描探測行為、廣告軟件行為。

4 入侵檢測系統發展趨勢

信息安全產品的發展趨勢是不斷地走向融合，走向集中管理。入侵防御系統(IPS)具有檢測入侵和對入侵做出反應兩項功能，可以說是將防火墻、IDS系統[8]、防病毒和脆弱性評估等技術的優點與自動阻止攻擊的功能融為一體。入侵預防之所以有著重大優勢，正是因為它減輕了網絡內部安全管理的負擔。不同于傳統入侵檢測產品，入侵預防實際上通過下列方式來保護內部資源免受來自網絡內部的攻擊:限制可能具有破壞性的代碼的行為又不妨礙內部相互訪問、提供攻擊記錄以及一旦擊退攻擊就通知網絡安全管理人員。此外，高性能級別入侵預防技術能夠擊退基于網絡的攻擊，譬如拒絕服務、探測、畸形數據包及敵意連接攻擊。因為安全功能的融合是大勢所趨，入侵防護順應了這一潮流。所以在不久的將來，它必將會得到更廣泛的應用。

參考文獻:

[1] 梁琳，拾以娟，鐵玲.基于策略的安全智能聯動模型[J].信息安全與通信保密，2004(2):35-37.

[2] 戴英俠，連一峰，王航.系統安全與入侵檢測[M].北京:清華大學出版社，2002:56-57.

[3] Intrusion Prevention System (IPS)[EB/OL].(2004-02).http://www.nss.co.uk.

[4] 陳曉宇，王曉明，孫鵬.淺談廣東省氣象局網絡安全防護體系的部署[J].廣東氣象，2004，26(3):37-39.

[5] 張龍.IPS入侵預防系統研究與設計[D].山東大學碩士學位論文，2006:49-50.

[6] Zhang X Y.Intrusion Prevention System Design[J].Computer and Information Technology，2004.

[7] 李蒙.氣象信息網站安全隱患及防范[J].廣西氣象，2007，28(S2):153-155.

[8] 網絡入侵檢測防御技術綜述[EB/OL].(2007-10-30).http://www.soft6.com/tech/9/95466.html.