入侵預防系統(IPS: Intrusion Prevention System)是電腦網路安全設施,是對防病毒軟體(Antivirus Programs)和防火牆(Packet Filter, Application Gateway)的補充。入侵預防系統(Intrusion-prevention system)是一部能夠監視網路或網路設備的網路資料傳輸行為的計算機網路安全設備,能夠即時的中斷、調整或隔離一些不正常或是具有傷害性的網路資料傳輸行為。
基本介紹
- 中文名:入侵防禦技術
- 外文名:IPS: Intrusion Prevention System
- 防病毒軟體:Antivirus Programs
- 防火牆:Packet Filter,
1.1 IPS名詞
1.2 為什麼要使用IPS
隨著網路入侵事件的不斷增加和黑客攻擊水平的不斷提高,一方面企業網路感染病毒、遭受攻擊的速度日益加快,另一方面企業網路受到攻擊做出回響的時間卻越來越滯後。解決這一矛盾,傳統的防火牆或入侵檢測技術(IDS)顯得力不從心,這就需要引入一種全新的技術-入侵防護(Intrusion Prevention System,IPS)。
1.3 IPS的發展
入侵防禦系統(Intrusion Prevention System,IPS)是這段時間網路安全業內比較熱門的一個詞,這種既能及時發現又能實時阻斷各種入侵行為的安全產品,自面世那天起,就受到各大安全廠商和用戶的廣泛關注。入侵防禦系統(IPS)就是入侵檢測系統(Intrusion Detection System,IDS)的升級產品,有了IPS,就可以替代以前的IDS系統,這也正是Gartner在2003年發表那篇著名的“IDSisdead”的理由。
從入侵防禦系統的起源來看,這個“升級說”似乎有些道理:NetworkICE公司在2000年首次提出了IPS這個概念,並於2000年的9月18日推出了BlackICEGuard,這是一個串列部署的IDS,直接分析網路數據並實時對惡意數據進行丟棄處理。但這種概念一直受到質疑,自2002年IPS概念傳入國內起,IPS這個新型的產品形態就不斷地受到挑戰,而且各大安全廠商、客戶都沒有表現出對IPS的興趣,普遍的一個觀點是:在IDS基礎上發展起來的IPS產品,在沒能解決IDS固有問題的前提下,是無法得到推廣套用的。
這個固有問題就是“誤報”和“濫報”,IDS的用戶常常會有這種苦惱:IDS界面上充斥著大量的報警信息,經過安全專家分析後,被告知這是誤警。但在IDS旁路檢測的部署形式下,這些誤警對正常業務不會造成影響,僅需要花費資源去做人工分析。而串列部署的IPS就完全不一樣了,一旦出現了誤報或濫報,觸發了主動的阻斷回響,用戶的正常業務就有可能受到影響,這是所有用戶都不願意看到和接受的。正是這個原因,導致了IPS概念在05年之前的國內市場表現平淡。隨著時間的推進,自2006年起,大量的國外廠商的IPS產品進入國內市場,各本土廠商和用戶都開始重新關注起IPS這一併不新鮮的“新”概念。
IPS-發展方向
明確了IPS的主線功能是深層防禦、精確阻斷後,IPS未來發展趨勢也就明朗化了:不斷豐富和完善IPS可以精確阻斷的攻擊種類和類型,並在此基礎之上提升IPS產品的設備處理性能。
在提升性能方面存在的一個悖論就是:需提升性能,除了在軟體處理方式上最佳化外,硬體架構的設計也是一個非常重要的方面,目前的ASIC/NP等高性能硬體,都是採用嵌入式指令+專用語言開發,將已知攻擊行為的特徵固化在電子固件上,雖然能提升匹配的效率,但在攻擊識別的靈活度上過於死板(對變種較難發現),在新攻擊特徵的更新上有所滯後(需做特徵的編碼化)。而基於開放硬體平台的IPS由於採用的是高級程式語言,不存在變種攻擊識別和特徵更新方面的問題,但在性能上存在處理效率瓶頸:暫時達不到電信級骨幹網路的流量要所以,入侵防禦系統的未來發展方向應該有以下兩個方面:
第一,更加廣泛的精確阻斷範圍:擴大可以精確阻斷的事件類型,尤其是針對變種以及無法通過特徵來定義的攻擊行為的防禦。
第二,適應各種組網模式:在確保精確阻斷的情況下,適應電信級骨幹網路的防禦需求。
1.4 IPS技術特徵
嵌入式運行:只有以嵌入模式運行的 IPS 設備才能夠實現實時的安全防護,實時阻攔所有可疑的數據包,並對該數據流的剩餘部分進行攔截。
深入分析和控制:IPS必須具有深入分析能力,以確定哪些惡意流量已經被攔截,根據攻擊類型、策略等來確定哪些流量應該被攔截。
入侵特徵庫:高質量的入侵特徵庫是IPS高效運行的必要條件,IPS還應該定期升級入侵特徵庫,並快速套用到所有感測器。
高效處理能力:IPS必須具有高效處理數據包的能力,對整個網路性能的影響保持在最低水平。
1.5 IPS的功能
IPS-功能特點
入侵防禦系統作為串接部署的設備,確保用戶業務不受影響是一個重點,錯誤的阻斷必定意味著影響正常業務,在錯誤阻斷的情況下,各種所謂擴展功能、高性能都是一句空話。這就引出了IPS設備所應該關心的重點——精確阻斷,即精確判斷各種深層的攻擊行為,並實現實時的阻斷。
精確阻斷解決了自IPS概念出現以來用戶和廠商的最大困惑:如何確保IPS無誤報和濫報,使得串接設備不會形成新的網路故障點。而作為一款防禦入侵攻擊的設備,毫無疑問,防禦各種深層入侵行為是第二個重點,這也是IPS系統區別於其他安全產品的本質特點;這也給精確阻斷加上了一個修飾語:保障深層防禦情況下的精確阻斷,即在確保精確阻斷的基礎上,儘量多地發現攻擊行為(如SQL注入攻擊、緩衝區溢出攻擊、惡意代碼攻擊、後門、木馬、間諜軟體),這才是IPS發展的主線功能。
常用的攻擊檢測方法有兩種,一種方法是通過定義攻擊行為的數據特徵來實現對已知攻擊的檢測,其優勢是技術上實現簡單、易於擴充、可迅速實現對特定新攻擊的檢測和攔截;但僅能識別已知攻擊、抗變種能力弱。另一種方法是通過分析攻擊產生原理,定義攻擊類型的統一特徵,能準確識別基於相同原理的各種攻擊、不受攻擊變種的影響,但技術門檻高、擴充複雜、應對新攻擊速度有限。
IPS-性能擴展
融合“基於特徵的檢測機制”和“基於原理的檢測機制”形成的“柔性檢測”機制,它最大的特點就是基於原理的檢測方法與基於特徵的檢測方法並存,有機組合了兩種檢測方法的優勢。這種融合不僅是一個兩種檢測方法的大融合,而且細分到對攻擊檢測防禦的每一個過程中,在抗躲避的處理、協定分析、攻擊識別等過程中都包含了動態與靜態檢測的融合。
通過運用柔性檢測機制,天清入侵防禦系統進一步增強了設備的抗躲避能力、精確阻斷能力、變形攻擊識別能力和對新攻擊應變能力,提高了精確檢測的覆蓋面。
擴展功能和高性能,也是入侵防禦系統所必需關注的內容,但也要符合產品的主線功能發展趨勢。如針對P2P的限制:P2P作為一種新興的下載手段,得到了極為廣泛的運用,但由無限制的P2P套用會影響網路的頻寬消耗,並且還隨此帶來智慧財產權、病毒等多種相關問題。而實現對P2P的控制和限制,需要較為深入的套用層分析,交給IPS來限制、防範,是一個比較恰當的選擇。而ACL控制、路由、NAT等,這些都是防火牆可以完成的工作,在IPS上來實現這些功能,就有畫蛇添足之嫌了。
性能表現是IPS的又一重要指標,但這裡的性能應該是更廣泛含義上的性能:包括了最大的參數表現和異常狀況下的穩定保障。也就是說,性能除了需要關注諸如“吞吐率多大?”,“轉發時延多長?”,“一定背景流下檢測率如何?”等性能參數表現外,還需要關註:“如果出現了意外情況,怎樣/多快能恢復網路的正常通訊?”,這個問題也是IPS出現之初被質疑的一個重點。
1.6 IPS不可低估的優勢
實時檢測與主動防禦是IPS最為核心的設計理念,也是其區別於防火牆和IDS的立足之本。為實現這一理念,IPS在如下四個方面實現了技術突破,形成了不可低估的優勢:
線上安裝(In-Line)。IPS保留IDS實時檢測的技術與功能,但是卻採用了防火牆式的線上安裝,即直接嵌入到網路流量中,通過一個網路連線埠接收來自外部系統的流量,經過檢查確認其中不包含異常活動或可疑內容後,再通過另外一個連線埠將它傳送到內部系統中;
實時阻斷(Real-time Interdiction)。IPS具有強有力的實時阻斷功能,能夠預先對入侵活動和攻擊性網路流量進行攔截,避免其造成任何損失;
先進的檢測技術(Advanced Detection Technology)。主要是並行處理檢測和協定重組分析。所謂並行處理檢測是指所有流經IPS的數據包,都採用並行處理方式進行過濾器匹配,實現在一個時鐘周期內,遍歷所有數據包過濾器;而協定重組分析是指所有流經IPS的數據包,必須首先經過硬體級預處理,完成數據包的重組,確定其具體套用協定。然後,根據不同套用協定的特徵與攻擊方式,IPS對於重組後的包進行篩選,將可疑者送入專門的特徵庫進行比對,從而提高檢測的質量和效率;
特殊規則植入功能(Build-in Special Rule)。IPS允許植入特殊規則以阻止惡意代碼。IPS能夠輔助實施可接收套用策略(AUP),如禁止使用對等的檔案共享套用和占有大量頻寬的免費網際網路電話服務工具等;
自學習與自適應能力(Self-study & Self-adaptation Ability)。為了應對黑客們處心積慮、花樣翻新的攻擊手段,IPS必須具有人工智慧的自學習與自適應能力。能夠根據所在網路的通信環境和被入侵狀況,分析和抽取新的攻擊特徵以更新特徵庫,自動總結經驗,定製新的安全防禦策略。
1.7 IPS不可忽視的弱點
總體擁有成本(TOC)高。浩大的高可用性(HA)實時計算需求決定了IPS必須選用高端的專用計算設備,但是可觀的總體擁有成本卻使不少用戶望而卻步;
單點故障(Single-point Fault)。IPS的阻斷能力決定其必須採用網路嵌入模式,而這就可能造成單點故障;
性能瓶頸(Performance Bottle-neck)。即使IPS設備不出現故障,它仍然是一個潛在的網路瓶頸,不僅會增加滯後時間,而且會降低網路的效率,因此,絕大多數高端IPS產品供應商都通過使用自定義硬體(FPGA、網路處理器或者ASIC晶片)來提高IPS的運行效率,以減少其對於業務網路的負面影響;
誤報(False positive)與漏報(False negatives)後果同樣嚴重。在網路流量幾乎成幾何級數增加的情況下,一旦生成警報,最基本的要求就是不讓“誤報”有可乘之機,導致合法流量也很有可能被意外攔截。如果觸發了誤報警報的流量恰好是來自上級、合作夥伴和客戶的重要信息,IPS不僅實施了一次性錯誤阻斷,而且會切斷與他們的信息通道,其結果不言而喻。
1.8 IPS面臨的挑戰
IPS技術需要面對很多挑戰,其中主要有三點:一是單點故障,二是性能瓶頸,三是誤報和漏報。設計要求IPS必須以嵌入模式工作在網路中,而這就可能造成瓶頸問題或單點故障。如果IDS出現故障,最壞的情況也就是造成某些攻擊無法被檢測到,而嵌入式的IPS設備出現問題,就會嚴重影響網路的正常運轉。如果IPS出現故障而關閉,用戶就會面對一個由IPS造成的拒絕服務問題,所有客戶都將無法訪問企業網路提供的套用。
即使IPS設備不出現故障,它仍然是一個潛在的網路瓶頸,不僅會增加滯後時間,而且會降低網路的效率,IPS必須與數千兆或者更大容量的網路流量保持同步,尤其是當載入了數量龐大的檢測特徵庫時,設計不夠完善的IPS嵌入設備無法支持這種回響速度。絕大多數高端IPS產品供應商都通過使用自定義硬體(FPGA、網路處理器和ASIC晶片)來提高IPS的運行效率。
誤報率和漏報率也需要IPS認真面對。在繁忙的網路當中,如果以每秒需要處理十條警報信息來計算,IPS每小時至少需要處理36,000條警報,一天就是864,000條。一旦生成了警報,最基本的要求就是IPS能夠對警報進行有效處理。如果入侵特徵編寫得不是十分完善,那么"誤報"就有了可乘之機,導致合法流量也有可能被意外攔截。對於實時線上的IPS來說,一旦攔截了"攻擊性"數據包,就會對來自可疑攻擊者的所有數據流進行攔截。如果觸發了誤報警報的流量恰好是某個客戶訂單的一部分,其結果可想而知,這個客戶整個會話就會被關閉,而且此後該客戶所有重新連線到企業網路的合法訪問都會被"盡職盡責"的IPS攔截。
IPS廠商採用各種方式加以解決。一是綜合採用多種檢測技術,二是採用專用硬體加速系統來提高IPS的運行效率。儘管如此,為了避免IPS重蹈IDS覆轍,廠商對IPS的態度還是十分謹慎的。例如,NAI提供的基於網路的入侵防護設備提供多種接入模式,其中包括旁路接入方式,在這種模式下運行的IPS實際上就是一台純粹的IDS設備,NAI希望提供可選擇的接入方式來幫助用戶實現從旁路監聽向實時阻止攻擊的自然過渡。
IPS的不足並不會成為阻止人們使用IPS的理由,因為安全功能的融合是大勢所趨,入侵防護順應了這一潮流。對於用戶而言,在廠商提供技術支持的條件下,有選擇地採用IPS,仍不失為一種應對攻擊的理想選擇。
2 IPS產品種類
2.1 基於主機的入侵防護(HIPS)
HIPS通過在主機/伺服器上安裝軟體代理程式,防止網路攻擊入侵作業系統以及應用程式。基於主機的入侵防護能夠保護伺服器的安全弱點不被不法分子所利用。Cisco公司的Okena、NAI公司的McAfee Entercept、冠群金辰的龍淵伺服器核心防護都屬於這類產品,因此它們在防範紅色代碼和Nimda的攻擊中,起到了很好的防護作用。基於主機的入侵防護技術可以根據自定義的安全策略以及分析學習機制來阻斷對伺服器、主機發起的惡意入侵。HIPS可以阻斷緩衝區溢出、改變登錄口令、改寫動態程式庫以及其他試圖從作業系統奪取控制權的入侵行為,整體提升主機的安全水平。
在技術上,HIPS採用獨特的伺服器保護途徑,利用由包過濾、狀態包檢測和實時入侵檢測組成分層防護體系。這種體系能夠在提供合理吞吐率的前提下,最大限度地保護伺服器的敏感內容,既可以以軟體形式嵌入到應用程式對作業系統的調用當中,通過攔截針對作業系統的可疑調用,提供對主機的安全防護;也可以以更改作業系統核心程式的方式,提供比作業系統更加嚴謹的安全控制機制。
由於HIPS工作在受保護的主機/伺服器上,它不但能夠利用特徵和行為規則檢測,阻止諸如緩衝區溢出之類的已知攻擊,還能夠防範未知攻擊,防止針對Web頁面、套用和資源的未授權的任何非法訪問。HIPS與具體的主機/伺服器作業系統平台緊密相關,不同的平台需要不同的軟體代理程式。
2.2 基於網路的入侵防護(NIPS)
NIPS通過檢測流經的網路流量,提供對網路系統的安全保護。由於它採用線上連線方式,所以一旦辨識出入侵行為,NIPS就可以去除整個網路會話,而不僅僅是復位會話。同樣由於實時線上,NIPS需要具備很高的性能,以免成為網路的瓶頸,因此NIPS通常被設計成類似於交換機的網路設備,提供線速吞吐速率以及多個網路連線埠。
NIPS必須基於特定的硬體平台,才能實現千兆級網路流量的深度數據包檢測和阻斷功能。這種特定的硬體平台通常可以分為三類:一類是網路處理器(網路晶片),一類是專用的FPGA編程晶片,第三類是專用的ASIC晶片。
在技術上,NIPS吸取了目前NIDS所有的成熟技術,包括特徵匹配、協定分析和異常檢測。特徵匹配是最廣泛套用的技術,具有準確率高、速度快的特點。基於狀態的特徵匹配不但檢測攻擊行為的特徵,還要檢查當前網路的會話狀態,避免受到欺騙攻擊。
協定分析是一種較新的入侵檢測技術,它充分利用網路協定的高度有序性,並結合高速數據包捕捉和協定分析,來快速檢測某種攻擊特徵。協定分析正在逐漸進入成熟套用階段。協定分析能夠理解不同協定的工作原理,以此分析這些協定的數據包,來尋找可疑或不正常的訪問行為。協定分析不僅僅基於協定標準(如RFC),還基於協定的具體實現,這是因為很多協定的實現偏離了協定標準。通過協定分析,IPS能夠針對插入(Insertion)與規避(Evasion)攻擊進行檢測。異常檢測的誤報率比較高,NIPS不將其作為主要技術。
2.3 套用入侵防護(AIP)
NIPS產品有一個特例,即套用入侵防護(Application Intrusion Prevention,AIP),它把基於主機的入侵防護擴展成為位於套用伺服器之前的網路設備。AIP被設計成一種高性能的設備,配置在套用數據的網路鏈路上,以確保用戶遵守設定好的安全策略,保護伺服器的安全。NIPS工作在網路上,直接對數據包進行檢測和阻斷,與具體的主機/伺服器作業系統平台無關。
NIPS的實時檢測與阻斷功能很有可能出現在未來的交換機上。隨著處理器性能的提高,每一層次的交換機都有可能集成入侵防護功能。
1.2 為什麼要使用IPS
隨著網路入侵事件的不斷增加和黑客攻擊水平的不斷提高,一方面企業網路感染病毒、遭受攻擊的速度日益加快,另一方面企業網路受到攻擊做出回響的時間卻越來越滯後。解決這一矛盾,傳統的防火牆或入侵檢測技術(IDS)顯得力不從心,這就需要引入一種全新的技術-入侵防護(Intrusion Prevention System,IPS)。
1.3 IPS的發展
入侵防禦系統(Intrusion Prevention System,IPS)是這段時間網路安全業內比較熱門的一個詞,這種既能及時發現又能實時阻斷各種入侵行為的安全產品,自面世那天起,就受到各大安全廠商和用戶的廣泛關注。入侵防禦系統(IPS)就是入侵檢測系統(Intrusion Detection System,IDS)的升級產品,有了IPS,就可以替代以前的IDS系統,這也正是Gartner在2003年發表那篇著名的“IDSisdead”的理由。
從入侵防禦系統的起源來看,這個“升級說”似乎有些道理:NetworkICE公司在2000年首次提出了IPS這個概念,並於2000年的9月18日推出了BlackICEGuard,這是一個串列部署的IDS,直接分析網路數據並實時對惡意數據進行丟棄處理。但這種概念一直受到質疑,自2002年IPS概念傳入國內起,IPS這個新型的產品形態就不斷地受到挑戰,而且各大安全廠商、客戶都沒有表現出對IPS的興趣,普遍的一個觀點是:在IDS基礎上發展起來的IPS產品,在沒能解決IDS固有問題的前提下,是無法得到推廣套用的。
這個固有問題就是“誤報”和“濫報”,IDS的用戶常常會有這種苦惱:IDS界面上充斥著大量的報警信息,經過安全專家分析後,被告知這是誤警。但在IDS旁路檢測的部署形式下,這些誤警對正常業務不會造成影響,僅需要花費資源去做人工分析。而串列部署的IPS就完全不一樣了,一旦出現了誤報或濫報,觸發了主動的阻斷回響,用戶的正常業務就有可能受到影響,這是所有用戶都不願意看到和接受的。正是這個原因,導致了IPS概念在05年之前的國內市場表現平淡。隨著時間的推進,自2006年起,大量的國外廠商的IPS產品進入國內市場,各本土廠商和用戶都開始重新關注起IPS這一併不新鮮的“新”概念。
IPS-發展方向
明確了IPS的主線功能是深層防禦、精確阻斷後,IPS未來發展趨勢也就明朗化了:不斷豐富和完善IPS可以精確阻斷的攻擊種類和類型,並在此基礎之上提升IPS產品的設備處理性能。
在提升性能方面存在的一個悖論就是:需提升性能,除了在軟體處理方式上最佳化外,硬體架構的設計也是一個非常重要的方面,目前的ASIC/NP等高性能硬體,都是採用嵌入式指令+專用語言開發,將已知攻擊行為的特徵固化在電子固件上,雖然能提升匹配的效率,但在攻擊識別的靈活度上過於死板(對變種較難發現),在新攻擊特徵的更新上有所滯後(需做特徵的編碼化)。而基於開放硬體平台的IPS由於採用的是高級程式語言,不存在變種攻擊識別和特徵更新方面的問題,但在性能上存在處理效率瓶頸:暫時達不到電信級骨幹網路的流量要所以,入侵防禦系統的未來發展方向應該有以下兩個方面:
第一,更加廣泛的精確阻斷範圍:擴大可以精確阻斷的事件類型,尤其是針對變種以及無法通過特徵來定義的攻擊行為的防禦。
第二,適應各種組網模式:在確保精確阻斷的情況下,適應電信級骨幹網路的防禦需求。
1.4 IPS技術特徵
嵌入式運行:只有以嵌入模式運行的 IPS 設備才能夠實現實時的安全防護,實時阻攔所有可疑的數據包,並對該數據流的剩餘部分進行攔截。
深入分析和控制:IPS必須具有深入分析能力,以確定哪些惡意流量已經被攔截,根據攻擊類型、策略等來確定哪些流量應該被攔截。
入侵特徵庫:高質量的入侵特徵庫是IPS高效運行的必要條件,IPS還應該定期升級入侵特徵庫,並快速套用到所有感測器。
高效處理能力:IPS必須具有高效處理數據包的能力,對整個網路性能的影響保持在最低水平。
1.5 IPS的功能
IPS-功能特點
入侵防禦系統作為串接部署的設備,確保用戶業務不受影響是一個重點,錯誤的阻斷必定意味著影響正常業務,在錯誤阻斷的情況下,各種所謂擴展功能、高性能都是一句空話。這就引出了IPS設備所應該關心的重點——精確阻斷,即精確判斷各種深層的攻擊行為,並實現實時的阻斷。
精確阻斷解決了自IPS概念出現以來用戶和廠商的最大困惑:如何確保IPS無誤報和濫報,使得串接設備不會形成新的網路故障點。而作為一款防禦入侵攻擊的設備,毫無疑問,防禦各種深層入侵行為是第二個重點,這也是IPS系統區別於其他安全產品的本質特點;這也給精確阻斷加上了一個修飾語:保障深層防禦情況下的精確阻斷,即在確保精確阻斷的基礎上,儘量多地發現攻擊行為(如SQL注入攻擊、緩衝區溢出攻擊、惡意代碼攻擊、後門、木馬、間諜軟體),這才是IPS發展的主線功能。
常用的攻擊檢測方法有兩種,一種方法是通過定義攻擊行為的數據特徵來實現對已知攻擊的檢測,其優勢是技術上實現簡單、易於擴充、可迅速實現對特定新攻擊的檢測和攔截;但僅能識別已知攻擊、抗變種能力弱。另一種方法是通過分析攻擊產生原理,定義攻擊類型的統一特徵,能準確識別基於相同原理的各種攻擊、不受攻擊變種的影響,但技術門檻高、擴充複雜、應對新攻擊速度有限。
IPS-性能擴展
融合“基於特徵的檢測機制”和“基於原理的檢測機制”形成的“柔性檢測”機制,它最大的特點就是基於原理的檢測方法與基於特徵的檢測方法並存,有機組合了兩種檢測方法的優勢。這種融合不僅是一個兩種檢測方法的大融合,而且細分到對攻擊檢測防禦的每一個過程中,在抗躲避的處理、協定分析、攻擊識別等過程中都包含了動態與靜態檢測的融合。
通過運用柔性檢測機制,天清入侵防禦系統進一步增強了設備的抗躲避能力、精確阻斷能力、變形攻擊識別能力和對新攻擊應變能力,提高了精確檢測的覆蓋面。
擴展功能和高性能,也是入侵防禦系統所必需關注的內容,但也要符合產品的主線功能發展趨勢。如針對P2P的限制:P2P作為一種新興的下載手段,得到了極為廣泛的運用,但由無限制的P2P套用會影響網路的頻寬消耗,並且還隨此帶來智慧財產權、病毒等多種相關問題。而實現對P2P的控制和限制,需要較為深入的套用層分析,交給IPS來限制、防範,是一個比較恰當的選擇。而ACL控制、路由、NAT等,這些都是防火牆可以完成的工作,在IPS上來實現這些功能,就有畫蛇添足之嫌了。
性能表現是IPS的又一重要指標,但這裡的性能應該是更廣泛含義上的性能:包括了最大的參數表現和異常狀況下的穩定保障。也就是說,性能除了需要關注諸如“吞吐率多大?”,“轉發時延多長?”,“一定背景流下檢測率如何?”等性能參數表現外,還需要關註:“如果出現了意外情況,怎樣/多快能恢復網路的正常通訊?”,這個問題也是IPS出現之初被質疑的一個重點。
1.6 IPS不可低估的優勢
實時檢測與主動防禦是IPS最為核心的設計理念,也是其區別於防火牆和IDS的立足之本。為實現這一理念,IPS在如下四個方面實現了技術突破,形成了不可低估的優勢:
線上安裝(In-Line)。IPS保留IDS實時檢測的技術與功能,但是卻採用了防火牆式的線上安裝,即直接嵌入到網路流量中,通過一個網路連線埠接收來自外部系統的流量,經過檢查確認其中不包含異常活動或可疑內容後,再通過另外一個連線埠將它傳送到內部系統中;
實時阻斷(Real-time Interdiction)。IPS具有強有力的實時阻斷功能,能夠預先對入侵活動和攻擊性網路流量進行攔截,避免其造成任何損失;
先進的檢測技術(Advanced Detection Technology)。主要是並行處理檢測和協定重組分析。所謂並行處理檢測是指所有流經IPS的數據包,都採用並行處理方式進行過濾器匹配,實現在一個時鐘周期內,遍歷所有數據包過濾器;而協定重組分析是指所有流經IPS的數據包,必須首先經過硬體級預處理,完成數據包的重組,確定其具體套用協定。然後,根據不同套用協定的特徵與攻擊方式,IPS對於重組後的包進行篩選,將可疑者送入專門的特徵庫進行比對,從而提高檢測的質量和效率;
特殊規則植入功能(Build-in Special Rule)。IPS允許植入特殊規則以阻止惡意代碼。IPS能夠輔助實施可接收套用策略(AUP),如禁止使用對等的檔案共享套用和占有大量頻寬的免費網際網路電話服務工具等;
自學習與自適應能力(Self-study & Self-adaptation Ability)。為了應對黑客們處心積慮、花樣翻新的攻擊手段,IPS必須具有人工智慧的自學習與自適應能力。能夠根據所在網路的通信環境和被入侵狀況,分析和抽取新的攻擊特徵以更新特徵庫,自動總結經驗,定製新的安全防禦策略。
1.7 IPS不可忽視的弱點
總體擁有成本(TOC)高。浩大的高可用性(HA)實時計算需求決定了IPS必須選用高端的專用計算設備,但是可觀的總體擁有成本卻使不少用戶望而卻步;
單點故障(Single-point Fault)。IPS的阻斷能力決定其必須採用網路嵌入模式,而這就可能造成單點故障;
性能瓶頸(Performance Bottle-neck)。即使IPS設備不出現故障,它仍然是一個潛在的網路瓶頸,不僅會增加滯後時間,而且會降低網路的效率,因此,絕大多數高端IPS產品供應商都通過使用自定義硬體(FPGA、網路處理器或者ASIC晶片)來提高IPS的運行效率,以減少其對於業務網路的負面影響;
誤報(False positive)與漏報(False negatives)後果同樣嚴重。在網路流量幾乎成幾何級數增加的情況下,一旦生成警報,最基本的要求就是不讓“誤報”有可乘之機,導致合法流量也很有可能被意外攔截。如果觸發了誤報警報的流量恰好是來自上級、合作夥伴和客戶的重要信息,IPS不僅實施了一次性錯誤阻斷,而且會切斷與他們的信息通道,其結果不言而喻。
1.8 IPS面臨的挑戰
IPS技術需要面對很多挑戰,其中主要有三點:一是單點故障,二是性能瓶頸,三是誤報和漏報。設計要求IPS必須以嵌入模式工作在網路中,而這就可能造成瓶頸問題或單點故障。如果IDS出現故障,最壞的情況也就是造成某些攻擊無法被檢測到,而嵌入式的IPS設備出現問題,就會嚴重影響網路的正常運轉。如果IPS出現故障而關閉,用戶就會面對一個由IPS造成的拒絕服務問題,所有客戶都將無法訪問企業網路提供的套用。
即使IPS設備不出現故障,它仍然是一個潛在的網路瓶頸,不僅會增加滯後時間,而且會降低網路的效率,IPS必須與數千兆或者更大容量的網路流量保持同步,尤其是當載入了數量龐大的檢測特徵庫時,設計不夠完善的IPS嵌入設備無法支持這種回響速度。絕大多數高端IPS產品供應商都通過使用自定義硬體(FPGA、網路處理器和ASIC晶片)來提高IPS的運行效率。
誤報率和漏報率也需要IPS認真面對。在繁忙的網路當中,如果以每秒需要處理十條警報信息來計算,IPS每小時至少需要處理36,000條警報,一天就是864,000條。一旦生成了警報,最基本的要求就是IPS能夠對警報進行有效處理。如果入侵特徵編寫得不是十分完善,那么"誤報"就有了可乘之機,導致合法流量也有可能被意外攔截。對於實時線上的IPS來說,一旦攔截了"攻擊性"數據包,就會對來自可疑攻擊者的所有數據流進行攔截。如果觸發了誤報警報的流量恰好是某個客戶訂單的一部分,其結果可想而知,這個客戶整個會話就會被關閉,而且此後該客戶所有重新連線到企業網路的合法訪問都會被"盡職盡責"的IPS攔截。
IPS廠商採用各種方式加以解決。一是綜合採用多種檢測技術,二是採用專用硬體加速系統來提高IPS的運行效率。儘管如此,為了避免IPS重蹈IDS覆轍,廠商對IPS的態度還是十分謹慎的。例如,NAI提供的基於網路的入侵防護設備提供多種接入模式,其中包括旁路接入方式,在這種模式下運行的IPS實際上就是一台純粹的IDS設備,NAI希望提供可選擇的接入方式來幫助用戶實現從旁路監聽向實時阻止攻擊的自然過渡。
IPS的不足並不會成為阻止人們使用IPS的理由,因為安全功能的融合是大勢所趨,入侵防護順應了這一潮流。對於用戶而言,在廠商提供技術支持的條件下,有選擇地採用IPS,仍不失為一種應對攻擊的理想選擇。
2 IPS產品種類
2.1 基於主機的入侵防護(HIPS)
HIPS通過在主機/伺服器上安裝軟體代理程式,防止網路攻擊入侵作業系統以及應用程式。基於主機的入侵防護能夠保護伺服器的安全弱點不被不法分子所利用。Cisco公司的Okena、NAI公司的McAfee Entercept、冠群金辰的龍淵伺服器核心防護都屬於這類產品,因此它們在防範紅色代碼和Nimda的攻擊中,起到了很好的防護作用。基於主機的入侵防護技術可以根據自定義的安全策略以及分析學習機制來阻斷對伺服器、主機發起的惡意入侵。HIPS可以阻斷緩衝區溢出、改變登錄口令、改寫動態程式庫以及其他試圖從作業系統奪取控制權的入侵行為,整體提升主機的安全水平。
在技術上,HIPS採用獨特的伺服器保護途徑,利用由包過濾、狀態包檢測和實時入侵檢測組成分層防護體系。這種體系能夠在提供合理吞吐率的前提下,最大限度地保護伺服器的敏感內容,既可以以軟體形式嵌入到應用程式對作業系統的調用當中,通過攔截針對作業系統的可疑調用,提供對主機的安全防護;也可以以更改作業系統核心程式的方式,提供比作業系統更加嚴謹的安全控制機制。
由於HIPS工作在受保護的主機/伺服器上,它不但能夠利用特徵和行為規則檢測,阻止諸如緩衝區溢出之類的已知攻擊,還能夠防範未知攻擊,防止針對Web頁面、套用和資源的未授權的任何非法訪問。HIPS與具體的主機/伺服器作業系統平台緊密相關,不同的平台需要不同的軟體代理程式。
2.2 基於網路的入侵防護(NIPS)
NIPS通過檢測流經的網路流量,提供對網路系統的安全保護。由於它採用線上連線方式,所以一旦辨識出入侵行為,NIPS就可以去除整個網路會話,而不僅僅是復位會話。同樣由於實時線上,NIPS需要具備很高的性能,以免成為網路的瓶頸,因此NIPS通常被設計成類似於交換機的網路設備,提供線速吞吐速率以及多個網路連線埠。
NIPS必須基於特定的硬體平台,才能實現千兆級網路流量的深度數據包檢測和阻斷功能。這種特定的硬體平台通常可以分為三類:一類是網路處理器(網路晶片),一類是專用的FPGA編程晶片,第三類是專用的ASIC晶片。
在技術上,NIPS吸取了目前NIDS所有的成熟技術,包括特徵匹配、協定分析和異常檢測。特徵匹配是最廣泛套用的技術,具有準確率高、速度快的特點。基於狀態的特徵匹配不但檢測攻擊行為的特徵,還要檢查當前網路的會話狀態,避免受到欺騙攻擊。
協定分析是一種較新的入侵檢測技術,它充分利用網路協定的高度有序性,並結合高速數據包捕捉和協定分析,來快速檢測某種攻擊特徵。協定分析正在逐漸進入成熟套用階段。協定分析能夠理解不同協定的工作原理,以此分析這些協定的數據包,來尋找可疑或不正常的訪問行為。協定分析不僅僅基於協定標準(如RFC),還基於協定的具體實現,這是因為很多協定的實現偏離了協定標準。通過協定分析,IPS能夠針對插入(Insertion)與規避(Evasion)攻擊進行檢測。異常檢測的誤報率比較高,NIPS不將其作為主要技術。
2.3 套用入侵防護(AIP)
NIPS產品有一個特例,即套用入侵防護(Application Intrusion Prevention,AIP),它把基於主機的入侵防護擴展成為位於套用伺服器之前的網路設備。AIP被設計成一種高性能的設備,配置在套用數據的網路鏈路上,以確保用戶遵守設定好的安全策略,保護伺服器的安全。NIPS工作在網路上,直接對數據包進行檢測和阻斷,與具體的主機/伺服器作業系統平台無關。
NIPS的實時檢測與阻斷功能很有可能出現在未來的交換機上。隨著處理器性能的提高,每一層次的交換機都有可能集成入侵防護功能。
