IPS原理 防火牆是實施訪問控制策略的系統,對流經的網路流量進行檢查,攔截不符合安全策略的資料包。入侵檢測技術(IDS)透過監視網路或系統資源,尋找違反安全策略的行為或攻擊跡象,併發出報警。傳統的防火牆旨在拒絕那些明顯可疑的網路流量,但仍然允許某些流量透過,因此防火牆對於很多入侵攻擊仍然無計可施。絕大多數 IDS 系統都是被動的,而不是主動的。也就是說,在攻擊實際發生之前,它們往往無法預先發出警報。而IPS則傾向於提供主動防護,其設計宗旨是預先對入侵活動和攻擊性網路流量進行攔截,避免其造成損失,而不是簡單地在惡意流量傳送時或傳送後才發出警報。IPS 是透過直接嵌入到網路流量中實現這一功能的,即透過一個網路埠接收來自外部系統的流量,經過檢查確認其中不包含異常活動或可疑內容後,再透過另外一個埠將它傳送到內部系統中。這樣一來,有問題的資料包,以及所有來自同一資料流的後續資料包,都能在IPS裝置中被清除掉。 IPS工作原理 IPS實現實時檢查和阻止入侵的原理在於IPS擁有數目眾多的過濾器,能夠防止各種攻擊。當新的攻擊手段被發現之後,IPS就會建立一個新的過濾器。IPS資料包處理引擎是專業化定製的積體電路,可以深層檢查資料包的內容。如果有攻擊者利用Layer 2(介質訪問控制)至Layer 7(應用)的漏洞發起攻擊,IPS能夠從資料流中檢查出這些攻擊並加以阻止。傳統的防火牆只能對Layer 3或Layer 4進行檢查,不能檢測應用層的內容。防火牆的包過濾技術不會針對每一位元組進行檢查,因而也就無法發現攻擊活動,而IPS可以做到逐一位元組地檢查資料包。所有流經IPS的資料包都被分類,分類的依據是資料包中的報頭資訊,如源IP地址和目的IP地址、埠號和應用域。每種過濾器負責分析相對應的資料包。透過檢查的資料包可以繼續前進,包含惡意內容的資料包就會被丟棄,被懷疑的資料包需要接受進一步的檢查。 針對不同的攻擊行為,IPS需要不同的過濾器。每種過濾器都設有相應的過濾規則,為了確保準確性,這些規則的定義非常廣泛。在對傳輸內容進行分類時,過濾引擎還需要參照資料包的資訊引數,並將其解析至一個有意義的域中進行上下文分析,以提高過濾準確性。 過濾器引擎集合了流水和大規模並行處理硬體,能夠同時執行數千次的資料包過濾檢查。並行過濾處理可以確保資料包能夠不間斷地快速透過系統,不會對速度造成影響。這種硬體加速技術對於IPS具有重要意義,因為傳統的軟體解決方案必須序列進行過濾檢查,會導致系統性能大打折扣。 IPS的種類 * 基於主機的入侵防護(HIPS) HIPS透過在主機/伺服器上安裝軟體代理程式,防止網路攻擊入侵作業系統以及應用程式。基於主機的入侵防護能夠保護伺服器的安全弱點不被不法分子所利用。Cisco公司的Okena、NAI公司的McAfee Entercept、冠群金辰的龍淵伺服器核心防護都屬於這類產品,因此它們在防範紅色程式碼和Nimda的攻擊中,起到了很好的防護作用。基於主機的入侵防護技術可以根據自定義的安全策略以及分析學習機制來阻斷對伺服器、主機發起的惡意入侵。HIPS可以阻斷緩衝區溢位、改變登入口令、改寫動態連結庫以及其他試圖從作業系統奪取控制權的入侵行為,整體提升主機的安全水平。 在技術上,HIPS採用獨特的伺服器保護途徑,利用由包過濾、狀態包檢測和實時入侵檢測組成分層防護體系。這種體系能夠在提供合理吞吐率的前提下,最大限度地保護伺服器的敏感內容,既可以以軟體形式嵌入到應用程式對作業系統的呼叫當中,透過攔截針對作業系統的可疑呼叫,提供對主機的安全防護;也可以以更改作業系統核心程式的方式,提供比作業系統更加嚴謹的安全控制機制。 由於HIPS工作在受保護的主機/伺服器上,它不但能夠利用特徵和行為規則檢測,阻止諸如緩衝區溢位之類的已知攻擊,還能夠防範未知攻擊,防止針對Web頁面、應用和資源的未授權的任何非法訪問。HIPS與具體的主機/伺服器作業系統平臺緊密相關,不同的平臺需要不同的軟體代理程式。 * 基於網路的入侵防護(NIPS) NIPS透過檢測流經的網路流量,提供對網路系統的安全保護。由於它採用線上連線方式,所以一旦辨識出入侵行為,NIPS就可以去除整個網路會話,而不僅僅是復位會話。同樣由於實時線上,NIPS需要具備很高的效能,以免成為網路的瓶頸,因此NIPS通常被設計成類似於交換機的網路裝置,提供線速吞吐速率以及多個網路埠。 NIPS必須基於特定的硬體平臺,才能實現千兆級網路流量的深度資料包檢測和阻斷功能。這種特定的硬體平臺通常可以分為三類:一類是網路處理器(網路晶片),一類是專用的FPGA程式設計晶片,第三類是專用的ASIC晶片。 在技術上,NIPS吸取了目前NIDS所有的成熟技術,包括特徵匹配、協議分析和異常檢測。特徵匹配是最廣泛應用的技術,具有準確率高、速度快的特點。基於狀態的特徵匹配不但檢測攻擊行為的特徵,還要檢查當前網路的會話狀態,避免受到欺騙攻擊。 協議分析是一種較新的入侵檢測技術,它充分利用網路協議的高度有序性,並結合高速資料包捕捉和協議分析,來快速檢測某種攻擊特徵。協議分析正在逐漸進入成熟應用階段。協議分析能夠理解不同協議的工作原理,以此分析這些協議的資料包,來尋找可疑或不正常的訪問行為。協議分析不僅僅基於協議標準(如RFC),還基於協議的具體實現,這是因為很多協議的實現偏離了協議標準。透過協議分析,IPS能夠針對插入(Insertion)與規避(Evasion)攻擊進行檢測。異常檢測的誤報率比較高,NIPS不將其作為主要技術。 * 應用入侵防護(AIP) NIPS產品有一個特例,即應用入侵防護(Application Intrusion Prevention,AIP),它把基於主機的入侵防護擴充套件成為位於應用伺服器之前的網路裝置。AIP被設計成一種高效能的裝置,配置在應用資料的網路鏈路上,以確保使用者遵守設定好的安全策略,保護伺服器的安全。NIPS工作在網路上,直接對資料包進行檢測和阻斷,與具體的主機/伺服器作業系統平臺無關。 NIPS的實時檢測與阻斷功能很有可能出現在未來的交換機上。隨著處理器效能的提高,每一層次的交換機都有可能整合入侵防護功能。 IPS技術特徵 嵌入式執行:只有以嵌入模式執行的 IPS 裝置才能夠實現實時的安全防護,實時阻攔所有可疑的資料包,並對該資料流的剩餘部分進行攔截。 深入分析和控制:IPS必須具有深入分析能力,以確定哪些惡意流量已經被攔截,根據攻擊型別、策略等來確定哪些流量應該被攔截。 入侵特徵庫:高質量的入侵特徵庫是IPS高效執行的必要條件,IPS還應該定期升級入侵特徵庫,並快速應用到所有感測器。 高效處理能力:IPS必須具有高效處理資料包的能力,對整個網路效能的影響保持在最低水平。 IPS面臨的挑戰 IPS 技術需要面對很多挑戰,其中主要有三點:一是單點故障,二是效能瓶頸,三是誤報和漏報。設計要求IPS必須以嵌入模式工作在網路中,而這就可能造成瓶頸問題或單點故障。如果IDS 出現故障,最壞的情況也就是造成某些攻擊無法被檢測到,而嵌入式的IPS裝置出現問題,就會嚴重影響網路的正常運轉。如果IPS出現故障而關閉,使用者就會面對一個由IPS造成的拒絕服務問題,所有客戶都將無法訪問企業網路提供的應用。 即使 IPS 裝置不出現故障,它仍然是一個潛在的網路瓶頸,不僅會增加滯後時間,而且會降低網路的效率,IPS必須與數千兆或者更大容量的網路流量保持同步,尤其是當載入了數量龐大的檢測特徵庫時,設計不夠完善的 IPS 嵌入裝置無法支援這種響應速度。絕大多數高階 IPS 產品供應商都透過使用自定義硬體(FPGA、網路處理器和ASIC晶片)來提高IPS的執行效率。 誤報率和漏報率也需要IPS認真面對。在繁忙的網路當中,如果以每秒需要處理十條警報資訊來計算,IPS每小時至少需要處理 36,000 條警報,一天就是 864,000 條。一旦生成了警報,最基本的要求就是IPS能夠對警報進行有效處理。如果入侵特徵編寫得不是十分完善,那麼"誤報"就有了可乘之機,導致合法流量也有可能被意外攔截。對於實時線上的IPS來說,一旦攔截了"攻擊性"資料包,就會對來自可疑攻擊者的所有資料流進行攔截。如果觸發了誤報警報的流量恰好是某個客戶訂單的一部分,其結果可想而知,這個客戶整個會話就會被關閉,而且此後該客戶所有重新連線到企業網路的合法訪問都會被"盡職盡責"的IPS攔截。 IPS廠商採用各種方式加以解決。一是綜合採用多種檢測技術,二是採用專用硬體加速系統來提高IPS的執行效率。儘管如此,為了避免IPS重蹈IDS覆轍,廠商對IPS的態度還是十分謹慎的。例如,NAI提供的基於網路的入侵防護裝置提供多種接入模式,其中包括旁路接入方式,在這種模式下執行的IPS實際上就是一臺純粹的IDS裝置,NAI希望提供可選擇的接入方式來幫助使用者實現從旁路監聽向實時阻止攻擊的自然過渡。 IPS的不足並不會成為阻止人們使用IPS的理由,因為安全功能的融合是大勢所趨,入侵防護順應了這一潮流。對於使用者而言,在廠商提供技術支援的條件下,有選擇地採用IPS,仍不失為一種應對攻擊的理想選擇。
IPS原理 防火牆是實施訪問控制策略的系統,對流經的網路流量進行檢查,攔截不符合安全策略的資料包。入侵檢測技術(IDS)透過監視網路或系統資源,尋找違反安全策略的行為或攻擊跡象,併發出報警。傳統的防火牆旨在拒絕那些明顯可疑的網路流量,但仍然允許某些流量透過,因此防火牆對於很多入侵攻擊仍然無計可施。絕大多數 IDS 系統都是被動的,而不是主動的。也就是說,在攻擊實際發生之前,它們往往無法預先發出警報。而IPS則傾向於提供主動防護,其設計宗旨是預先對入侵活動和攻擊性網路流量進行攔截,避免其造成損失,而不是簡單地在惡意流量傳送時或傳送後才發出警報。IPS 是透過直接嵌入到網路流量中實現這一功能的,即透過一個網路埠接收來自外部系統的流量,經過檢查確認其中不包含異常活動或可疑內容後,再透過另外一個埠將它傳送到內部系統中。這樣一來,有問題的資料包,以及所有來自同一資料流的後續資料包,都能在IPS裝置中被清除掉。 IPS工作原理 IPS實現實時檢查和阻止入侵的原理在於IPS擁有數目眾多的過濾器,能夠防止各種攻擊。當新的攻擊手段被發現之後,IPS就會建立一個新的過濾器。IPS資料包處理引擎是專業化定製的積體電路,可以深層檢查資料包的內容。如果有攻擊者利用Layer 2(介質訪問控制)至Layer 7(應用)的漏洞發起攻擊,IPS能夠從資料流中檢查出這些攻擊並加以阻止。傳統的防火牆只能對Layer 3或Layer 4進行檢查,不能檢測應用層的內容。防火牆的包過濾技術不會針對每一位元組進行檢查,因而也就無法發現攻擊活動,而IPS可以做到逐一位元組地檢查資料包。所有流經IPS的資料包都被分類,分類的依據是資料包中的報頭資訊,如源IP地址和目的IP地址、埠號和應用域。每種過濾器負責分析相對應的資料包。透過檢查的資料包可以繼續前進,包含惡意內容的資料包就會被丟棄,被懷疑的資料包需要接受進一步的檢查。 針對不同的攻擊行為,IPS需要不同的過濾器。每種過濾器都設有相應的過濾規則,為了確保準確性,這些規則的定義非常廣泛。在對傳輸內容進行分類時,過濾引擎還需要參照資料包的資訊引數,並將其解析至一個有意義的域中進行上下文分析,以提高過濾準確性。 過濾器引擎集合了流水和大規模並行處理硬體,能夠同時執行數千次的資料包過濾檢查。並行過濾處理可以確保資料包能夠不間斷地快速透過系統,不會對速度造成影響。這種硬體加速技術對於IPS具有重要意義,因為傳統的軟體解決方案必須序列進行過濾檢查,會導致系統性能大打折扣。 IPS的種類 * 基於主機的入侵防護(HIPS) HIPS透過在主機/伺服器上安裝軟體代理程式,防止網路攻擊入侵作業系統以及應用程式。基於主機的入侵防護能夠保護伺服器的安全弱點不被不法分子所利用。Cisco公司的Okena、NAI公司的McAfee Entercept、冠群金辰的龍淵伺服器核心防護都屬於這類產品,因此它們在防範紅色程式碼和Nimda的攻擊中,起到了很好的防護作用。基於主機的入侵防護技術可以根據自定義的安全策略以及分析學習機制來阻斷對伺服器、主機發起的惡意入侵。HIPS可以阻斷緩衝區溢位、改變登入口令、改寫動態連結庫以及其他試圖從作業系統奪取控制權的入侵行為,整體提升主機的安全水平。 在技術上,HIPS採用獨特的伺服器保護途徑,利用由包過濾、狀態包檢測和實時入侵檢測組成分層防護體系。這種體系能夠在提供合理吞吐率的前提下,最大限度地保護伺服器的敏感內容,既可以以軟體形式嵌入到應用程式對作業系統的呼叫當中,透過攔截針對作業系統的可疑呼叫,提供對主機的安全防護;也可以以更改作業系統核心程式的方式,提供比作業系統更加嚴謹的安全控制機制。 由於HIPS工作在受保護的主機/伺服器上,它不但能夠利用特徵和行為規則檢測,阻止諸如緩衝區溢位之類的已知攻擊,還能夠防範未知攻擊,防止針對Web頁面、應用和資源的未授權的任何非法訪問。HIPS與具體的主機/伺服器作業系統平臺緊密相關,不同的平臺需要不同的軟體代理程式。 * 基於網路的入侵防護(NIPS) NIPS透過檢測流經的網路流量,提供對網路系統的安全保護。由於它採用線上連線方式,所以一旦辨識出入侵行為,NIPS就可以去除整個網路會話,而不僅僅是復位會話。同樣由於實時線上,NIPS需要具備很高的效能,以免成為網路的瓶頸,因此NIPS通常被設計成類似於交換機的網路裝置,提供線速吞吐速率以及多個網路埠。 NIPS必須基於特定的硬體平臺,才能實現千兆級網路流量的深度資料包檢測和阻斷功能。這種特定的硬體平臺通常可以分為三類:一類是網路處理器(網路晶片),一類是專用的FPGA程式設計晶片,第三類是專用的ASIC晶片。 在技術上,NIPS吸取了目前NIDS所有的成熟技術,包括特徵匹配、協議分析和異常檢測。特徵匹配是最廣泛應用的技術,具有準確率高、速度快的特點。基於狀態的特徵匹配不但檢測攻擊行為的特徵,還要檢查當前網路的會話狀態,避免受到欺騙攻擊。 協議分析是一種較新的入侵檢測技術,它充分利用網路協議的高度有序性,並結合高速資料包捕捉和協議分析,來快速檢測某種攻擊特徵。協議分析正在逐漸進入成熟應用階段。協議分析能夠理解不同協議的工作原理,以此分析這些協議的資料包,來尋找可疑或不正常的訪問行為。協議分析不僅僅基於協議標準(如RFC),還基於協議的具體實現,這是因為很多協議的實現偏離了協議標準。透過協議分析,IPS能夠針對插入(Insertion)與規避(Evasion)攻擊進行檢測。異常檢測的誤報率比較高,NIPS不將其作為主要技術。 * 應用入侵防護(AIP) NIPS產品有一個特例,即應用入侵防護(Application Intrusion Prevention,AIP),它把基於主機的入侵防護擴充套件成為位於應用伺服器之前的網路裝置。AIP被設計成一種高效能的裝置,配置在應用資料的網路鏈路上,以確保使用者遵守設定好的安全策略,保護伺服器的安全。NIPS工作在網路上,直接對資料包進行檢測和阻斷,與具體的主機/伺服器作業系統平臺無關。 NIPS的實時檢測與阻斷功能很有可能出現在未來的交換機上。隨著處理器效能的提高,每一層次的交換機都有可能整合入侵防護功能。 IPS技術特徵 嵌入式執行:只有以嵌入模式執行的 IPS 裝置才能夠實現實時的安全防護,實時阻攔所有可疑的資料包,並對該資料流的剩餘部分進行攔截。 深入分析和控制:IPS必須具有深入分析能力,以確定哪些惡意流量已經被攔截,根據攻擊型別、策略等來確定哪些流量應該被攔截。 入侵特徵庫:高質量的入侵特徵庫是IPS高效執行的必要條件,IPS還應該定期升級入侵特徵庫,並快速應用到所有感測器。 高效處理能力:IPS必須具有高效處理資料包的能力,對整個網路效能的影響保持在最低水平。 IPS面臨的挑戰 IPS 技術需要面對很多挑戰,其中主要有三點:一是單點故障,二是效能瓶頸,三是誤報和漏報。設計要求IPS必須以嵌入模式工作在網路中,而這就可能造成瓶頸問題或單點故障。如果IDS 出現故障,最壞的情況也就是造成某些攻擊無法被檢測到,而嵌入式的IPS裝置出現問題,就會嚴重影響網路的正常運轉。如果IPS出現故障而關閉,使用者就會面對一個由IPS造成的拒絕服務問題,所有客戶都將無法訪問企業網路提供的應用。 即使 IPS 裝置不出現故障,它仍然是一個潛在的網路瓶頸,不僅會增加滯後時間,而且會降低網路的效率,IPS必須與數千兆或者更大容量的網路流量保持同步,尤其是當載入了數量龐大的檢測特徵庫時,設計不夠完善的 IPS 嵌入裝置無法支援這種響應速度。絕大多數高階 IPS 產品供應商都透過使用自定義硬體(FPGA、網路處理器和ASIC晶片)來提高IPS的執行效率。 誤報率和漏報率也需要IPS認真面對。在繁忙的網路當中,如果以每秒需要處理十條警報資訊來計算,IPS每小時至少需要處理 36,000 條警報,一天就是 864,000 條。一旦生成了警報,最基本的要求就是IPS能夠對警報進行有效處理。如果入侵特徵編寫得不是十分完善,那麼"誤報"就有了可乘之機,導致合法流量也有可能被意外攔截。對於實時線上的IPS來說,一旦攔截了"攻擊性"資料包,就會對來自可疑攻擊者的所有資料流進行攔截。如果觸發了誤報警報的流量恰好是某個客戶訂單的一部分,其結果可想而知,這個客戶整個會話就會被關閉,而且此後該客戶所有重新連線到企業網路的合法訪問都會被"盡職盡責"的IPS攔截。 IPS廠商採用各種方式加以解決。一是綜合採用多種檢測技術,二是採用專用硬體加速系統來提高IPS的執行效率。儘管如此,為了避免IPS重蹈IDS覆轍,廠商對IPS的態度還是十分謹慎的。例如,NAI提供的基於網路的入侵防護裝置提供多種接入模式,其中包括旁路接入方式,在這種模式下執行的IPS實際上就是一臺純粹的IDS裝置,NAI希望提供可選擇的接入方式來幫助使用者實現從旁路監聽向實時阻止攻擊的自然過渡。 IPS的不足並不會成為阻止人們使用IPS的理由,因為安全功能的融合是大勢所趨,入侵防護順應了這一潮流。對於使用者而言,在廠商提供技術支援的條件下,有選擇地採用IPS,仍不失為一種應對攻擊的理想選擇。