下一代網絡入侵防御研究

賈 雷

（延安職業技術學院 陜西 716000）

0 引言

先進的有針對性的攻擊逐漸興起, 在攻擊過程中融合社會工程學、零時差攻擊、僵尸網絡、AET（高級規避攻擊技術）等多種技術手段。傳統入侵防御采用的是基于已知漏洞簽名的深度包檢測技術，對于新型高級攻擊的防護無能為力。網絡入侵防御需要增加先進的威脅檢測和攔截能力，下一代網絡入侵防御應運而生。

1 下一代網絡入侵防御概述

入侵防御系統（IPS）的概念是在2002年由某個國際網絡安全組織提出的，IPS是一種主動的、積極的入侵防范、阻止系統。對于七層網絡模型，IPS能夠提供從網絡層到應用層的細粒度深層防御。通常部署在網絡的進出口處，對流經網絡的數據進行實時的深度檢測，當檢測到攻擊后，它會自動地將攻擊包丟掉或采取措施將攻擊源阻斷。傳統IPS的應用提高了網絡防護的智能性和主動性。

目前，傳統的網絡安全模型正面臨著風險。有針對性的威脅日益復雜，發展方向是有針對性的將惡意程序安裝到用戶電腦，它采用先進的技術如AET躲避檢測，通過僵尸網絡實施多級攻擊[1]。有數據表明，有針對性的攻擊正在不斷的擴大范圍，重點推出針對行業和企業的攻擊，在遠端操控隱蔽行動。例如，從一個單一的命令和控制服務器的數據顯示，一個攻擊組織成功破解32個行業的70家公司。

Gartner在2011年10月發布了《定義下一代網絡入侵防御》的報告，報告指出網絡IPS需要進一步發展，以應對網絡通信、應用程序和安全態勢的變化。并提出了下一代網絡入侵防御系統（Next-Generation Network Intrusion Prevention System，即NGIPS）的概念。Gartner 認為網絡入侵防御實現了不同信任級別的網絡間的實時安全檢測的聯機控制功能。使用NGIPS術語用來表示網絡入侵防御系統必須要演變，才能應對業務流程使用IT的方式和攻擊試圖破壞業務系統的方式的轉變。

2 下一代網絡入侵防御的功能

Gartner認為，在原有的第一代IPS功能基礎上，下一代網絡IPS至少還應具備應用感知和全棧可視、環境感知、內容感知、敏捷引擎等4大功能[1]。

（1）標準第一代IPS功能。

下一代網絡IPS是在傳統IPS基礎上發展起來的，因此，下一代網絡IPS的首要功能特征是支持面向漏洞簽名和威脅的簽名機制，能夠成功檢測并阻擋已知漏洞的攻擊，并且快速研發及發布新的特征碼。

（2）應用感知和全棧可視。

能識別應用程序，執行應用層的安全策略，不僅限于基于端口、協議、服務的策略配置。在識別惡意應用程序的基礎上阻止攻擊。

下一代網絡IPS需要知道在網絡上有哪些應用程序在使用，使用的帶寬是多少，在不同的位置有哪些風險和威脅與應用程序相關聯。只有通過了解應用程序的使用要求和智能實施細粒度的控制，圍繞獲批準的通信和文件傳輸機制，減輕通過變化端口應用交付的風險。

（3）環境感知。

通過上下文信息關聯改善安全規則的制定。環境感知能夠提供綜合的網絡安全相關信息，如發動攻擊的IP地址，IP地址的信譽等級、本身被攻擊的應用程序弱點等。有助于IPS引擎更快速更準確的做出決策，還可減少誤報。許多攻擊來自于從惡意網站下載一個完全不起眼的軟件如PDF文件，位圖，微軟Office文檔，或Java存檔文件。如果沒有潛在的威脅，系統漏洞，用戶行為，以及許多其他的上下文信息，網絡IPS設備幾乎沒辦法檢測復雜的多方位攻擊[2]。如果IPS系統具有實時文件信譽、站點IP地址信譽或它的地理位置等信息，及時阻斷率會明顯提升。如果IPS系統還具有系統信息，如連接的屬性，客戶端系統漏洞，或正常的系統行為模式，及時阻斷率則會進一步上升。該功能也可以掃描自身網絡中主機所開啟的服務，透過這些服務，下一代網絡IPS能動態調整需要開啟的防御規則，提升系統防護能力。

（4）內容感知。

能夠辨識出內嵌于各種內容中的安全威脅，即能夠對入站的包、文件和可執行文件進行檢查和分類,如PDF和Office文件以及出站通信，并可實時做出通過、隔離及丟棄等決定。

（5）敏捷引擎。

支持通過更新來獲得防御新威脅所需的信息及技術。IT環境是高度動態的，隨著網絡攻擊不斷升級，網絡安全防御要不斷跟進。下一代網絡IPS還要滿足私有和公有云架構的需求，保護浮動虛擬基礎設施。

為了應對復雜多變的網絡流量，除了參考Gartner的定義外，部分IPS廠商還將僵尸網絡、APT攻擊的防護和虛擬化等新功能加入到下一代IPS產品中。

3 其它網絡安全產品

隨著互聯網技術的廣泛應用，網絡安全問題也受到越來越多的關注，除下一代網絡IPS外，各廠商還推出了一系列網絡安全產品，如數據丟失防護設備、統一威脅管理設備、web安全網關、下一代防火墻等。這些產品功能和采用的技術與下一代網絡IPS類似，但他們都不是下一代網絡IPS。

（1）傳統IPS

從Gartner定義可以知道，下一代網絡IPS除了具備傳統IPS功能外，還增加了其它新功能。例如，下一代網絡IPS具有應用感知功能，與第一代IPS相比，可辨識的流量類型更廣，對應用程序存取的控管程度更深；傳統IPS防御規則調整周期較長，而下一代網絡IPS具有環境感知功能，可以自動調整防御規則。二者最大的差異在于應用層識別能力，如圖1所示。在攻擊事件發生后，下一代網絡IPS能夠提供封包來源、IP地址、信譽及其所存取的應用程序等信息，而傳統的IPS，只提供攻擊的來源和目的IP地址，詳細信息需通過其它類型設備分析得到。

圖1 第一代和下一代網絡IPS 區別

（2）基于網絡的數據丟失防護設備

基于網絡的數據丟失防護設備工作原理是通過監測、記錄或限制局域網中未加密文檔的方式，來實現數據丟失防護。常見的產品可以分為兩類，一類是針對網絡或郵件服務器進行檢測；另一類通過事先分析機密文件的特征，決定機密文件是否可以通過網絡傳送。大多數數據丟失防護設備采用網絡流量的深層數據包檢測技術，重點檢測先前確定的通過檢查點的數據類型。數據丟失防護設備的實施策略是保證數據的安全性，和下一代網絡IPS的主要區別在于沒有實時性的要求，不能強制執行線速網絡安全策略。

（3）統一威脅管理設備

基于傳統網絡防火墻架構的統一威脅管理設備適用于中小型企業，具有包含第一代防火墻和IPS在內的多種安全功能，除了入侵防御之外，還可依據用戶需求提供防病毒、VPN等網關級安全應用，但是它不具備應用感知、環境感知、內容感知、敏捷引擎等先進功能，一般情況下不能集成引擎，是單引擎產品。它只是把多種安全引擎疊加在了一起，這會使數據流在每個安全引擎分別執行解碼、狀態復原等操作，導致大量的資源消耗。

（4）Web安全網關

Web安全網關是基于Web內容檢測與安全控制的應用層安全設備。其主要功能包括防病毒、URL過濾、Internet應用控制和帶寬管理等。它重點關注通過HTTP瀏覽互聯網時出站的用戶訪問控制和入站的惡意軟件防護，主要是通過集成的URL過濾和Web防病毒軟件，以及基于非簽名的惡意軟件檢測技術來實現。它可以針對用戶的Web交互進行優化，但只支持部分協議下的IPS功能。

（5）下一代防火墻

下一代防火墻是基于深度封包檢測技術的線速綜合網絡平臺，可以實現正在訪問和處理的數據內容的可視化[3]。下一代防火墻將集成下一代網絡IPS，與統一威脅管理設備簡單疊加不同，網絡IPS功能將無縫的融合到下一代防火墻產品中，但目前，只是集成了第一代IPS功能。下一代防火墻作為網關部署在網絡中，一旦出現問題，會造成整個網絡的中斷，而下一代網絡IPS具有多種可靠性設計，可以保證業務的暢通。因此，在嚴重的網絡入侵情況下，下一代網絡IPS的穩定性和可靠性要優于下一代防火墻設備。McAfee網絡安全副總裁Greg brown表示“下一代網絡IPS在未來將更有潛力，尤其面對有針對性的攻擊。短期內下一代防火墻并不會被下一代網絡IPS所取代，會出現二者共存的態勢，但下一代網絡IPS更能代表網絡安全架構的演進趨勢[1]。”

4 關鍵技術

自從Gartner在報告中指出IPS需要進化，國內外網絡安全廠商便開始關注下一代網絡IPS產品的研發，國外產品如McAfee的M系列，Sourcefire的3D系列,HP Tipping point的S系列，國內主要有威播科技的EX系列，啟明星辰的天清系列，綠盟科技NIPS等設備。這些產品都是圍繞下一代網絡入侵防御定義開發的，在Gartner定義的產品特性基礎上，各廠商也根據自己的技術優勢詮釋著對下一代網絡IPS的理解。

4.1 惡意程序的阻擋

在現在的網絡環境下，攻擊手法仍以僵尸網絡和APT攻擊為主，Gartner研究指出，在2013年之前，僵尸網絡仍將持續主宰網絡攻擊。下一代網絡IPS加入了針對僵尸網絡和APT攻擊的防護功能。

為了阻擋僵尸網絡攻擊，大多數下一代網絡IPS產品透過自家數據庫中的IP信譽服務等特征文件，辨識并阻擋流量[4]。如威播科技的EX系列，利用云端惡意程序分析技術，收集各式惡意程序，并用靜態及沙箱的動態分析，來取得命令及控制服務器端的IP地址、網域名稱及溝通協議制作特征文件，透過封包的聯機、內容等特征來判定是否為命令及控制服務器活動，如果判定結果為是系統會記錄及阻擋聯機[5]。有效偵測的關鍵是對比數據庫要具有一定的規模，威播科技特別加入臺灣區僵尸網絡數據庫，徹底杜絕僵尸網絡的攻擊。

在APT防護方面，Sourcefire是透過特征比對的方式。它提供了一個APT防護模塊，能夠防護網絡端未知型態的攻擊[6]。Sourcefire的3D系列能夠偵測封包中的檔案，當檔案經過設備時，IPS會取得檔案特有的算法值，如果檔案被竄改，該數值就會有變化。再將該數值與廠商提供的算法值數據庫比對，來確認該檔案是否為惡意文件。

4.2 應用程序的識別與管控

除有效防護惡意程序外，對網絡應用程序的識別和管控成為下一代網絡IPS的另一關鍵功能。威播科技的EX系列可以自動辨識1800種以上網絡應用軟件，針對各種難以辨識的應用程序，采用應用層深層穿透辨識技術，提高辨識準確度，同時提供網絡使用的可視化監視和管理，可針對特殊的主機、應用程序類別及主機網段，進行強大的網絡流量控管，協助網管人員有效管理網絡資源使用狀況。惠普的NX平臺提供包括應用數字疫苗、Web應用數字疫苗與顧客開發防護過濾器等檢測機制，來達到應用感知與控制要求[7]。

4.3 環境感知功能的實現

環境感知功能一般透過掃描封包，取得網絡環境中的設備及軟件等詳細信息。以McAfee和Sourcefire為例，McAfee網絡安全平臺需要搭配專屬硬件，透過聯動取得網絡內外的詳細數據。而Sourcefire無需使用外接設備，利用被動式探索技術[6]，分析經過IPS的封包，得到網絡設備、實體和虛擬主機、應用程序等信息。

4.4 內容感知功能的實現

越來越多的黑客使用有針對性的客戶端攻擊，訪問重要的企業資料。下一代安全解決方案需要能夠檢測到惡意的內容。McAfee網絡安全平臺采用基于特征的標準內容檢測和基于信譽的主動內容檢測技術識別惡意內容，可自動檢測異常的協議和文件[2]。它的檢測能力包括PDF文件，Flash以XLS文件，最重要的是，可以檢測到隱藏的惡意軟件通過包裝在內容里的shell代碼，這是有針對性的攻擊檢測的關鍵能力。它可以識別JavaScript的shell代碼，一旦shell代碼被檢測到，管理員可提取有效載荷并編寫自定義簽名，以阻止未來的攻擊在網絡內傳播。

4.5 軟件更新

在敏捷引擎方面，下一代網絡IPS透過軟件更新，獲得最新的惡意攻擊信息和技術。各廠商對該功能的實現方法不同。McAfee是將特征碼、行為式啟發偵測、信譽服務等功能，整合進IPS引擎，讓設備擁有多種威脅情報；而HP的敏捷式引擎，則是將軟件與硬件模塊化，當面對新型威脅開發功能模塊時，該模塊不會影響到現有的軟件架構，在硬件方面，則能讓客戶依照自己的需求，根據需求增添模塊化硬件。

4.6 虛擬化技術

隨著虛擬化技術的不斷發展，不少企業將實體主機虛擬化，整并到一臺虛擬主機上管理。因此，需使用虛擬網絡設備控管網絡流量。下一代網絡IPS目前采用2種方式過濾流量，一種是透過硬件IPS掃描或阻擋，典型產品如HP、McAfee和威播科技的IPS產品；另一種則是將IPS虛擬化，在虛擬IPS上處理虛擬層的流量。如Sourcefire產品，只需將其提供的3D感應器部署在虛擬主機環境中，并透過虛擬交換器指定流量到虛擬IPS，就能夠掃描封包。這種方式架構簡單，不會影響IPS效能。

5 發展前景

傳統IPS攻擊檢測方法大多依賴于二進制的決策邏輯：“如果安全則通過”和“如果惡意則阻斷”。其它所有活動則發出警報，由安全分析人員進行詳細調查。下一代網絡IPS的目標應該是足夠的自動分析和評估能力，加快惡意事件的調查。

比如，檢測一個PDF下載，當今的網絡入侵防御設備，可以提醒甚至阻止可疑的事件。但如果這次活動僅僅是一個更廣泛的攻擊的一部分，全面分析應該涉及一些額外問題的提出和回答[2]：發起下載的用戶是誰？是瀏覽網頁，網絡釣魚郵件，還是USB設備連接下載導致了事件的發生？網站、IP地址，位置，信譽等哪些信息可以提供？哪些事件與這個活動有關，垃圾郵件，僵尸網絡，文件傳輸？同時還要對整個網絡威脅評估，包括：系統層次有哪些風險？哪些系統可能會受到影響？那些數據面臨風險等。McAfee認為，未來的下一代入侵防御必須接近人工智能的自動化水平，解決上述這些問題。

目前大多數企業保護IT環境免受惡意滲透，監視和數據竊取的入侵檢測和預防系統，遠遠落后最新的攻擊方法。Gartner認為，到2014年底，20%網絡IPS裝置和40%的新的下一代防火墻的采購將包括下一代網絡IPS功能。隨著云計算和虛擬化技術的不斷普及，下一代網絡入侵防御具有巨大的潛在市場。

[1] John Pescatore,Greg Young.Defining Next-Gene-ration Network Instusion Prevention[R].Stamford:Gartner Group,2011.

[2] McAfee.下一代網絡入侵防御系統白皮書,2012.

[3] 岑義濤.下一代防火墻：未來新起點[N].網絡世界,2013-03-04(033).

[4] 陳思翰.次世代IPS不可或缺的5大重要功能[EB/OL].http://www.ithome.com.tw/itadm/article.php?c=79292&s=1, 2013-03-19.

[5]威播,EX系列產品白皮書，http://www.broadweb. com.tw/index.php?option=com_content&view=article&id=88&Itemid=97.

[6] http://www.sourcefire.com/security-technologies.

[7] 惠普憑借新一代入侵防御系統保護企業安全[EB/OL].http://www.enet.com.cn/article/2012/0912/A20120912161816.shtml,2012-09-12.