網(wǎng)絡(luò)入侵防御系統(tǒng)的設(shè)計與關(guān)鍵技術(shù)實現(xiàn)

摘要:入侵防御系統(tǒng)(IPS)作為一種主動的安全防護系統(tǒng)，不僅能檢測來自外部的入侵行為，同時也能監(jiān)督內(nèi)部用戶的未授權(quán)活動，并且能夠成功阻止入侵。在保護計算機網(wǎng)絡(luò)系統(tǒng)的安全中，入侵防御系統(tǒng)發(fā)揮了防火墻和入侵檢測系統(tǒng)無法達到的重要的作用。該文對防火墻技術(shù)和入侵檢測技術(shù)進行了系統(tǒng)研究，并且分析了兩種技術(shù)的缺點，進而對入侵防御系統(tǒng)進行了分析與研究，并提出其關(guān)鍵技術(shù)的實現(xiàn)思路。

關(guān)鍵詞:入侵檢測;網(wǎng)絡(luò)安全;入侵防御

Network Intrusion Prevention System Analysis and Design

LI Wen-jing

(Guangzhou Computer Information Network Security Association， Guangzhou 510050， China)

Abstract: Intrusion Prevention System (IPS) as a proactive security system that can not only detect intrusion from the outside， but also be able to monitor the activities of unauthorized internal users， and can successfully prevent the invasion. In the protection of computer network systems security， intrusion prevention system has played a firewall and intrusion detection systems can not reach an important role. Subject to the firewall technology and intrusion detection technology has been systematically studied， and analysis of the shortcomings of both technologies， and thus to the intrusion prevention system has been analyzed and studied.

Key words: intrusion detection; network security; intrusion prevention

隨著網(wǎng)絡(luò)和通信技術(shù)的不斷發(fā)展，Internet的規(guī)模迅速擴張，越來越多的政府、企業(yè)以及團體等紛紛擁有了自己的內(nèi)部網(wǎng)絡(luò)并直接或間接接入Internet。目前，Internet已經(jīng)深入到了全球的各個角落，網(wǎng)絡(luò)的應(yīng)用領(lǐng)域也從傳統(tǒng)的小型業(yè)務(wù)系統(tǒng)逐漸向大型、關(guān)鍵業(yè)務(wù)系統(tǒng)擴展。隨著網(wǎng)絡(luò)經(jīng)濟和網(wǎng)絡(luò)時代的到來，經(jīng)濟、文化、軍事和社會生活將會強烈地依賴網(wǎng)絡(luò)。以Internet為代表的全球性信息網(wǎng)絡(luò)迅速發(fā)展，極大地提高了生產(chǎn)力，不僅改變了人們的生產(chǎn)方式、生活方式、學習方式，甚至改變了人們的思維方式。

1 入侵防御體系的提出

由于防火墻和入侵檢測系統(tǒng)的自身缺陷，已經(jīng)無法滿足目前網(wǎng)絡(luò)環(huán)境的變化對安全的需求，因此人們提出入侵防御系統(tǒng)(Intrusion Prevention System，簡稱IPS)的解決方案。IPS是一種主動防御的解決方案，它可以阻止由防火墻漏掉的或者IDS只能檢測而不能處理的安全事件，從而減少因安全事件而受到的損失，增強系統(tǒng)和網(wǎng)絡(luò)的安全性和可用性。

和IDS相比較，從功能上來看，IDS是一種并聯(lián)在網(wǎng)絡(luò)上的設(shè)備，它只能被動地檢測網(wǎng)絡(luò)遭到了何種攻擊，它的阻斷攻擊能力非常有限，一般采取報警、日志方式。而IPS則是一種主動的、積極的入侵防范、阻止系統(tǒng)，它部署在網(wǎng)絡(luò)的進出口處，當它檢測到攻擊企圖后，它會自動地將攻擊包丟掉或采取措施將攻擊源阻斷。

和防火墻相比較，防火墻只能對數(shù)據(jù)包進行粗粒度的檢測，檢測性能很低。IPS能對防火墻所不能過濾的應(yīng)用層攻擊進行過濾，可以最大地保證系統(tǒng)的安全。

以P2DR動態(tài)網(wǎng)絡(luò)安全模型角度來分析，入侵防御系統(tǒng)應(yīng)做到對攻擊進行防護、檢測和響應(yīng)的有機統(tǒng)一，主動及時地切斷入侵者的網(wǎng)絡(luò)連接，阻止入侵的進一步發(fā)展，給系統(tǒng)提供及時地防護，進一步提高網(wǎng)絡(luò)防護的智能性。入侵防御系統(tǒng)作為新生事物，目前還沒有一個統(tǒng)一完善的定義。在本文中，我們暫且定義為:入侵防御系統(tǒng)(IPS)是任何能夠檢測已知和未知攻擊并且在沒有人為的干預下能夠自動阻止攻擊的硬件或者軟件設(shè)備。

2 入侵防御體系的設(shè)計

2.1 P2DR模型

P2DR模型包括4個主要部分:Policy(安全策略)、Protection(防護)、Detection(檢測)和Response(響應(yīng))。防護、檢測和響應(yīng)組成一個完事的、動態(tài)的安全循環(huán)，在安全策略的指導下保證信息系統(tǒng)的安全。如圖1所示。

安全策略是模型的核心，為整個網(wǎng)絡(luò)安全的依據(jù)。所有的保護、檢測、響應(yīng)都是依據(jù)安全策略實施的。安全策略的建立包括安全策略的制定、評估、執(zhí)行等，制定可行的安全策略取決于對網(wǎng)絡(luò)系統(tǒng)的了解程度。

檢測是動態(tài)響應(yīng)和加強保護的依據(jù)，也是強制落實網(wǎng)絡(luò)安全策略的有力工具。利用檢測工具來動態(tài)檢測和監(jiān)控網(wǎng)絡(luò)，發(fā)現(xiàn)新的威脅和漏洞，了解和評估系統(tǒng)的安全狀態(tài)，通過循環(huán)反饋來及時做出有效的響應(yīng)。響應(yīng)在網(wǎng)絡(luò)安全系統(tǒng)中占有重要地位。它根據(jù)檢測結(jié)果采取進一步的防護措施增強系統(tǒng)的安全性。

防護是通過一些靜態(tài)的安全技術(shù)來實現(xiàn)，例如訪問控制、加密、認證、防火墻技術(shù)等防范措施。P2DR體現(xiàn)了防御的動態(tài)性和基于時間的特性，它強調(diào)了系統(tǒng)的動態(tài)性和管理的持久性，以入侵檢測、漏洞評估和自適應(yīng)調(diào)整為循環(huán)來提高網(wǎng)絡(luò)安全。

2.2 動態(tài)綜合防御模型

根據(jù)對P2DR模型可以分析出入侵動態(tài)綜合防御模型需要包含以下要素:

1) 策略:理解信息系統(tǒng)的安全需求，制定主動防御的安全策略。該策略說明防護、檢測、響應(yīng)等的聯(lián)動關(guān)系以及處理方法，是實施網(wǎng)絡(luò)安全動態(tài)防御的指南;

2) 防御:保障信息即系統(tǒng)的保密性、完整性、可用性等。將相關(guān)安全技術(shù)分類，建立防護技術(shù)體系;

3) 檢測:動態(tài)檢測入侵及安全威脅，理解信息系統(tǒng)當前的安全狀態(tài)。檢查系統(tǒng)安全漏洞，實時檢測入侵，評估入侵的威脅程度，以利響應(yīng);

4) 響應(yīng):主動響應(yīng)危及系統(tǒng)安全的入侵事件，防止危害蔓延和擴散;如果攻擊造成了一定后果，及時恢復，保障系統(tǒng)提供正常服務(wù);

5) 反擊:在必要的情況下，對攻擊者進行跟蹤追擊或者入侵誘騙，獲取攻擊者詳細的資料以備研究或取證。

2.3 系統(tǒng)體系結(jié)構(gòu)

系統(tǒng)采用分布式的體系結(jié)構(gòu)，可以根據(jù)網(wǎng)絡(luò)的實際情況進行靈活部署，以適應(yīng)不同的網(wǎng)絡(luò)拓撲結(jié)構(gòu)，同時具有良好的可擴展性。整體結(jié)構(gòu)如圖2所示。

3 關(guān)鍵技術(shù)與實現(xiàn)

3.1 異常檢測

主機探測器部署于受保護主機上，對受保護系統(tǒng)進行實時監(jiān)控和分析，檢測出入侵后，向策略管理中心報警。由于是安裝在受保護主機上，因此是與具體的操作系統(tǒng)相關(guān)的，依賴于底層的操作系統(tǒng)。

網(wǎng)絡(luò)入侵防御系統(tǒng)主機探測器的整體結(jié)構(gòu)設(shè)計如圖3所示。

主機探測器可分為數(shù)據(jù)收集模塊，數(shù)據(jù)分析模塊，輸出警報模塊，接收和響應(yīng)控制指令模塊。

數(shù)據(jù)收集模塊從SYSLOG記錄的日志信息里收集相關(guān)數(shù)據(jù)傳遞給數(shù)據(jù)分析模塊進行分析，最后將檢測出的攻擊信息傳給發(fā)送報警信息模塊。

策略管理中心在接到報警信息之后應(yīng)該迅速做出反應(yīng)，及時把控制指令信息發(fā)給主機探測器的控制指令接收器，接收控制指令模塊在監(jiān)聽到控制臺的信息后馬上做出響應(yīng)執(zhí)行相應(yīng)的操作。

3.2 防御策略中心

由于沒有很有效的手段對IP Spoof數(shù)據(jù)流量進行有效辨識，所以目前采用的攻擊防御技術(shù)，都是不加區(qū)別的消極防御手段，要么不作區(qū)別地丟棄，要么不作區(qū)別地分配系統(tǒng)資源進行處理。但是，由于拒絕服務(wù)攻擊來臨時，惡意數(shù)據(jù)包數(shù)量非常巨大，合法用戶的訪問請求被淹沒在惡意數(shù)據(jù)包的海洋中;所以如果沒有有效的手段進行區(qū)分，那么無論處理與否，其后果都將是災(zāi)難性的。

本系統(tǒng)采用基于狀態(tài)控制策略和攻擊期分級保護策略的系統(tǒng)模型，防御使用IP Spoof技術(shù)的協(xié)同控制型分布式拒絕服務(wù)攻擊。

在攻擊期，采用多種近似區(qū)分算法相結(jié)合對接收到的數(shù)據(jù)流量進行區(qū)分，并執(zhí)行相應(yīng)的過濾或轉(zhuǎn)發(fā)操作。由于不同區(qū)分算法在性能和代價之間的平衡點不同，區(qū)分準確性也不同，所以采用分級保護策略進行攻擊防御。

分級保護策略是指在防御系統(tǒng)中采用三級防御策略模型處理數(shù)據(jù)包。先使用數(shù)據(jù)預處理技術(shù)進行簡單過濾，分流一部分畸形的和異常的數(shù)據(jù)包;再使用基于數(shù)據(jù)流指紋識別的防御技術(shù)進行過濾。在大多數(shù)情況下，經(jīng)過這兩個層次的過濾處理后已經(jīng)可以起到很好的防御效果。對于一些特殊的攻擊，例如攻擊源粒度很小且分布范圍很廣的攻擊，如果經(jīng)過前兩個層次的防御策略處理后效果不明顯，將使用基于HCF的深層防御技術(shù)進行處理。三級防御策略模型如圖4所示。

通過分級保護策略，首先將處理過程最簡單，處理效率最高的算法作為第一級過濾策略，進行簡單過濾，這樣可以大大減少后續(xù)過濾算法的工作負荷，提高處理效率;將處理過程最復雜，但最精確的算法作為第三級過濾策略，以保證防御策略的整體有效性。這樣，通過使用由簡單到復雜，由粗到精的分級保護策略，既保證了處理過程的準確有效性，對惡意流量和正常流量進行有效區(qū)分，又滿足了大規(guī)模攻擊發(fā)生時對處理效率的要求。

4 結(jié)束語

隨著計算機網(wǎng)絡(luò)的普及使用，各類網(wǎng)絡(luò)攻擊事件頻繁發(fā)生，網(wǎng)絡(luò)安全問題正受到廣泛關(guān)注。如何防御網(wǎng)絡(luò)攻擊已然成為網(wǎng)絡(luò)安全研究中的主要課題。目前，入侵防御系統(tǒng)(IPS)的研究已經(jīng)興起，并且也有不少產(chǎn)品開始大量投入使用。這種網(wǎng)絡(luò)技術(shù)有著先天的優(yōu)勢性，所以將來必被越來越多的人所認同，入侵防御系統(tǒng)的前景也會越來越光明。

參考文獻:

[1] 聶林等.入侵防御系統(tǒng)的研究與分析[J].計算機應(yīng)用研究，2008(9):131-136

[2] 王志偉，郭文東.基于Snort的入侵防御系統(tǒng)的技術(shù)研究和實現(xiàn)[J].河北科技大學學報，2007，26(4).

[3] 文齊.基于端口掃描和插件的網(wǎng)絡(luò)漏洞掃描系統(tǒng)的研究與設(shè)計[D].哈爾濱工程大學，2008(2).

[4] 段丹青，陳松喬，楊衛(wèi)平.漏洞掃描與入侵檢測聯(lián)動系統(tǒng)的研究[J].計算機應(yīng)用研究，2007，24(7).