网络入侵防御相关技术探究

2009-03-23谭方勇周莉张燕顾才东

计算机时代 2009年1期

谭方勇　周　莉　张　燕　顾才东

摘要：入侵防御系统(IPS)是继防火墙和入侵检测系统(IDS)之后一种新的网络安全技术。它弥补了IDS处于旁路模式，只能检测网络攻击，而不能直接阻止这些威胁的弱点，采用了串联模式的主动防御技术，能实时阻断网络的攻击行为。基于不同技术的IPS从不同的方面增强了网络安全的防御能力，但也存在着一些共同的缺点，需要在硬件、软件结构以及算法上进一步改进。文章分析了基于不同技术的网络入侵防御系统，提出了其存在的共同缺陷，同时也提出了网络入侵防御系统今后的发展方向。

关键词：IDS；IPS；安全策略；主动防御

0引言

防火墙和入侵检测系统(Intrusion Detection System，IDS)一直作为计算机网络安全中的主要工具，但是，它们并不能完全满足对网络攻击的检测和防御的要求。其中，防火墙是提供粗粒度访问控制的设备，它只能根据事先没定的规则，对进出网络的数据包进行过滤，而对于应用级的攻击不具有防御能力。事实证明，很多攻击行为可以绕过防火墙来实现对网络的攻击，同时造成巨大的损失。入侵检测系统主要的目的是检测网络中的攻击行为，及时发现网络中存在的安全威胁，进而采取相关措施来阻止攻击的再次发生。但是，它一个致命的缺点就是只能够检测到攻击而不能采取任何主动的防御行为，只适合在某些需要流量监控、分析与回放的情况下部署。另外，误报率也相对较高。

防火墙和IDS基本都是被动的，在攻击发生之前无法预先发出警报。而入侵防御系统(Intrusion Prevention System，IPS)则提供了主动性防护，它对入侵活动和攻击性网络流量进行拦截，避免造成任何损失。

1网络入侵防御的工作原理

入侵防御系统(IPS)是指具有检测并阻止已知或未知攻击的内嵌硬件设备或软件系统，它分为网络入侵防御系统(Network Intrusion Prevention System，NIPS)和主机入侵防御系统(Host Intrusion Prevention System，HIPS)。NIPS一般部署于网络的进出口处，即在数据转发的路径上，可以根据预先设定的安全策略，对经过的每个数据包进行深度检测，如协议分析跟踪，流量统计分析、特征匹配、事件关联分析等，一旦发现隐藏于其中的攻击行为，则可以根据该攻击的危险级别立即采取相应的防御措施，如丢弃报文、切断应用会话、切断TCP连接、向管理中心报警等。其一般的工作原理如图1所示。

NIPS检测引擎中根据不同的过滤规则设置了很多过滤器，且规则的定义非常全面，确保检测的准确性。如果发现新的攻击手段，则在检测引擎中将创建并添加一个新的过滤器。

NIPS的设计是基于一种全新的思想和体系结构，工作于内嵌方式，采用专用集成电路(Application Specific IntegratedCircuits，ASIC)等硬件设计技术实现网络数据流的捕获。

2基于不同技术的网络入侵防御系统分析

目前，入侵防御技术的系统模型有很多，每一种都有自己的特点，下面主要针对几种较为常见的模型来进行分析。

2.1基于策略的入侵防御系统(Policy-based Intrusion Pre-vention System)

基于策略的入侵防御系统主要由入侵检测部分和安全管理部分组成。其中，入侵检测部分主要负责数据的收集和分析，记录日志信息，发现入侵行为及时报警，如需要，则将报警信息存入其数据库，并启动另一个动态规则；而安全管理部分则主要接收和处理告警信息，根据告警的类型及当前网络的安全状态给出解决方案和需要采取的措施，同时更新相关设备的规则库。

此系统的核心是检测分析引擎，负责数据包的解码、预处理、规则解析和数据检测等主要任务。它对经过的数据包中的高层协议进行解码，然后经过预处理模块来检查数据包是否需要注意，接着通过规则库中的不同规则来对每个数据包进行详细的匹配检测，从而决定是否需要采取防御措施。而安全管理部分主要获取入侵检测端得到的日志信息以及每个设备的MB库中的信息，并对此进行分析和决策，更新入侵检测端的规则库以及某些设备的配置。同时也可以通过邮件等方式通知管理员。

2.2基于联动机制的入侵防御(Linkage Mechanism-BasedIntrusion Prevention System)

基于联动机制的入侵防御系统主要是使得入侵防御系统和防火墙相互协同工作，利用相互之间传递的策略规则来达到防御的目的。入侵防御系统将自身阻塞率较高的安全事件及其相关规则传给网络防火墙，使其能够阻止此类安全事件。防火墙的规则根据入侵防御系统的情况而动态改变且有一定的时效性，过期则规则自动失效。因此防火墙在使用动态开启的端口协议时，必须发送相关的规则给入侵防御系统，使得该通信流量能够正常地通过。这样的整体联动防御使得入侵防御系统和防火墙的压力得到减轻。

但是，入侵防御系统和防火墙的联动也存在安全防御机制不相同的问题，即不能直接把防火墙的规则套用到入侵防御系统中，只能通过较为抽象的规则语言来解决此问题。

2.3基于行为的入侵防御(Behavior-Based Intrusion Pre-vention System)

基于行为的入侵防御系统是一种利用异常检测方法进行实时监测并防御的技术，对于网络中的攻击源以及被攻击的目标都会发生一些异常行为或异常反应，如数据包的定义不符合RFC的标准、包的长度超过限制、指向不存在的信息资源的包等。如果能够利用这些异常的行为来提前做出反应并进行防御，那就可以有效地阻断攻击，从而降低甚至避免攻击造成的损失。

此系统的核心是“行为分析”，它依靠相应算法实现，因此算法的好坏也决定了其是否能够进行有效的入侵防御。

2.4基于数据挖掘的入侵防御(data mining-based Intru-sion Prevention System)

基于数据挖掘的入侵防御系统一般应用于内部具有多局域网结构并连接到Internet的企业网络之中，多个支干的局域网通过骨干网连接，在每个支干中的本地安全策略服务器(Local Policy Server,LPS)后都配置一个IPS，且每个IPS都有一个数据库，用来存放其收集到的警报日志。此外，在主干网络中还配备一个全局安全策略服务器(Global Policy Server，GPS)，用来监测和控制支干上的IPS。它也具有一个全局数据库，用来存放所有从支干的IPS上产生的日志信息。GPS上具有安全信息管理模块(Secufity Information Model,StM)，负责通过数据挖掘技术来分析这些收集到的日志，如果发现攻击或

异常，则发送命令来控制各支干上的LPS来调用本支干的IPS来清除掉这些攻击包。

在这种系统中，GPS是其核心部分，而SIM又是GPS的核心部件，它由在线检测阶段和离线训练阶段组成。当在线数据挖掘器检测到攻击时，其警报管理器会将警报通知管理员，并在每次通知一个警报时请求一个确认响应，其中包括3种类型：正常、入侵和可疑事件。得到响应后将该响应记录存放到数据库，然后调用机器学习方法来分析和了解这些响应。而离线训练阶段则负责对全局数据库中的攻击数据流进行分类，并将其交给在线数据挖掘器。

该系统对检测的准确率有较好的提升，但是其结构较为复杂，代价也较高。

2.5基于免疫原理的入侵防御(Immune Principle-Based In-trusion Prevention System)

基于免疫原理的入侵防御系统主要是模拟人体的免疫系统，即基于人工免疫系统(Artificial Immune System,AIS)来设计的，它的主要功能是识别体内细胞，并将其分为“自我”和“非我”两类，并通过触发适当的防御机制来去除“非我”。其中，“自我”对应于机体内自身的组织，“非我”对应于外来的病源或体内的病变组织。因此，如何识别“自我”和去除“非我”是免疫系统的核心功能。具体通过免疫来进行防御的主要过程是免疫识别、免疫学习、免疫记忆和克隆选择。其中典型的算法有阴性选择算法，用于监测数据改变；克隆选择算法，其核心是比例复制和比例变异算子，主要解决模式识别等复杂机器学习任务；免疫遗传算法，主要是通过抗体之间的相互激励作用提高抗体的多样性，动态调整群体收敛性和种群的多样性之间的平衡，使免疫系统能够通过学习，知道哪些抗体对抗原的识别有帮助。

3网络入侵防御系统存在的问题及发展

3.1存在的问题

上文介绍了几种基于不同技术的入侵防御系统，它们都在某—个方面具有明显的特点和优势，但是还存在以下几个方面的不足，且目前其技术标准还不统一，技术上也还没有完全成熟。

(1)单点失效问题。IPS是串接在网络中的主动防御系统，产生误报后将直接影响网络的正常工作。这样安全产品就变成网络的故障点了。

(2)性能瓶颈问题。串接在网络上的IPS设备，如何在不影响检测效率的基础上做到高性能的转发是一个需要解决的问题。

(3)误报和漏报问题。与IDS一样，IPS依然存在误报和漏报的问题，一旦发生误判，IPS就会放过真正的攻击而阻断合法的事务处理，从而造成损失。

(4)攻击阻塞的管理问题。主动防御是IPS的重要技术特点，但是如果处理不妥当，则反而会增加管理的负担，如IPS在与防火墙的联动中会更改防火墙的访问控制策略，但这种更改可能并不被允许或者不能被及时发现，从而给管理带来不便。

3.2发展方向

目前网络安全状况非常复杂，单靠上述一些基于单一技术的入侵防御系统很难全面地保障网络的安全，因此，新的入侵防御技术有以下几个发展方向：

(1)综合应用各种防御技术的优点，能对网络中的特征、流量和协议等异常行为进行分析，取长补短，尽可能地减少误报和漏报，增强其检测、防御和免疫能力。

(2)针对性能瓶颈问题，首先应对现有的软件结构和算法进行重新设计，使之能够适应高速网络的环境，同时开发设计专用的硬件结构，配合设计专用的软件来解决这一问题。

(3)为了避免单点故障导致整个网络的无法访问，IPS需要采用冗余的体系结构，增强其可靠性。