入侵防御系統(tǒng)（Intrusion Prevention System，IPS）是這段時間網(wǎng)絡(luò)安全業(yè)內(nèi)比較熱門的一個詞，這種既能及時發(fā)現(xiàn)又能實時阻斷各種入侵行為的安全產(chǎn)品，自面世那天起，就受到各大安全廠商和用戶的廣泛關(guān)注。

有人認(rèn)為，入侵防御系統(tǒng)（IPS）就是入侵檢測系統(tǒng)（Intrusion Detection System，IDS）的升級產(chǎn)品，有了IPS，就可以替代以前的IDS系統(tǒng)，這也正是gartner 在2003年發(fā)表那篇著名的“IDS is dead” 的理由。

從入侵防御系統(tǒng)的起源來看，這個“升級說”似乎有些道理：Network ICE公司在2000年首次提出了IPS這個概念，并于同年的9月18日推出了BlackICE Guard，這是一個串行部署的IDS，直接分析網(wǎng)絡(luò)數(shù)據(jù)并實時對惡意數(shù)據(jù)進行丟棄處理。

但這種概念一直受到質(zhì)疑，自2002年IPS概念傳入國內(nèi)起，IPS這個新型的產(chǎn)品形態(tài)就不斷地受到挑戰(zhàn)，而且各大安全廠商、客戶都沒有表現(xiàn)出對IPS的興趣，普遍的一個觀點是：在IDS基礎(chǔ)上發(fā)展起來的IPS產(chǎn)品，在沒能解決IDS固有問題的前提下，是無法得到推廣應(yīng)用的。

這個固有問題就是“誤報”和“濫報”，IDS的用戶常常會有這種苦惱：IDS界面上充斥著大量的報警信息，經(jīng)過安全專家分析后，被告知這是誤警。但在IDS旁路檢測的部署形式下，這些誤警對正常業(yè)務(wù)不會造成影響，僅需要花費資源去做人工分析。而串行部署的IPS就完全不一樣了，一旦出現(xiàn)了誤報或濫報，觸發(fā)了主動的阻斷響應(yīng)，用戶的正常業(yè)務(wù)就有可能受到影響，這是所有用戶都不愿意看到和接受的。正是這個原因，導(dǎo)致了IPS概念在05年之前的國內(nèi)市場表現(xiàn)平淡。

隨著時間的推進，自2006年起，大量的國外廠商的IPS產(chǎn)品進入國內(nèi)市場，各本土廠商和用戶都開始重新關(guān)注起IPS這一并不新鮮的“新”概念。

IPS到底是什么？

“IPS可以阻斷攻擊，這正是IDS所做不了的，所以IPS是IDS的升級，是IDS的替代品”，可能很多人都會有這種看法。

我們先來看IPS的產(chǎn)生原因：

A：串行部署的防火墻可以攔截低層攻擊行為，但對應(yīng)用層的深層攻擊行為無能為力。

B：旁路部署的IDS可以及時發(fā)現(xiàn)那些穿透防火墻的深層攻擊行為，作為防火墻的有益補充，但很可惜的是無法實時的阻斷。

C： IDS和防火墻聯(lián)動：通過IDS來發(fā)現(xiàn)，通過防火墻來阻斷。但由于迄今為止沒有統(tǒng)一的接口規(guī)范，加上越來越頻發(fā)的“瞬間攻擊”（一個會話就可以達成攻擊效果，如SQL注入、溢出攻擊等），使得IDS與防火墻聯(lián)動在實際應(yīng)用中的效果不顯著。

于是就有下面的一種想法，如圖1所示。

圖1 IPS的起源

這就是IPS產(chǎn)品的起源：一種能防御防火墻所不能防御的深層入侵威脅（入侵檢測技術(shù)）的在線部署（防火墻方式）安全產(chǎn)品。

而為什么會有這種需求呢？是由于用戶發(fā)現(xiàn)了一些無法控制的入侵威脅行為，這也正是IDS的作用。

入侵檢測系統(tǒng)（IDS）對那些異常的、可能是入侵行為的數(shù)據(jù)進行檢測和報警，告知使用者網(wǎng)絡(luò)中的實時狀況，并提供相應(yīng)的解決、處理方法，是一種側(cè)重于風(fēng)險管理的安全產(chǎn)品。

入侵防御系統(tǒng)（IPS）對那些被明確判斷為攻擊行為，會對網(wǎng)絡(luò)、數(shù)據(jù)造成危害的惡意行為進行檢測和防御，降低或是減免使用者對異常狀況的處理資源開銷，是一種側(cè)重于風(fēng)險控制的安全產(chǎn)品。

這也解釋了IDS和IPS的關(guān)系，并非取代和互斥，而是相互協(xié)作：沒有部署IDS的時候，只能是憑感覺判斷，應(yīng)該在什么地方部署什么樣的安全產(chǎn)品，通過IDS的廣泛部署，了解了網(wǎng)絡(luò)的當(dāng)前實時狀況，據(jù)此狀況可進一步判斷應(yīng)該在何處部署何類安全產(chǎn)品（IPS等）。

IPS應(yīng)該看重那些方面的功能？

有些人認(rèn)為：“IPS應(yīng)該具備各種擴展功能，ACL、路由、NAT，一個都不能少”�！癐PS最重要的就是性能了，其他的都不重要”。

入侵防御系統(tǒng)作為串接部署的設(shè)備，確保用戶業(yè)務(wù)不受影響是一個重點，錯誤的阻斷必定意味著影響正常業(yè)務(wù)，在錯誤阻斷的情況下，各種所謂擴展功能、高性能都是一句空話。這就引出了IPS設(shè)備所應(yīng)該關(guān)心的重點——精確阻斷，即精確判斷各種深層的攻擊行為，并實現(xiàn)實時的阻斷。

精確阻斷解決了自IPS概念出現(xiàn)以來用戶和廠商的最大困惑：如何確保IPS無誤報和濫報，使得串接設(shè)備不會形成新的網(wǎng)絡(luò)故障點？

而作為一款防御入侵攻擊的設(shè)備，毫無疑問，防御各種深層入侵行為是第二個重點，這也是IPS系統(tǒng)區(qū)別于其他安全產(chǎn)品的本質(zhì)特點；這也給精確阻斷加上了一個修飾語：保障深層防御情況下的精確阻斷，即在確保精確阻斷的基礎(chǔ)上，盡量多地發(fā)現(xiàn)攻擊行為（如SQL注入攻擊、緩沖區(qū)溢出攻擊、惡意代碼攻擊、后門、木馬、間諜軟件），這才是IPS發(fā)展的主線功能。

如何確保對深層入侵行為的準(zhǔn)確判斷？剛剛推出天清入侵防御系統(tǒng)的專業(yè)安全廠商啟明星辰有著自己獨特的技術(shù)和專利。啟明星辰的技術(shù)專家介紹說，依托多年以來在入侵檢測技術(shù)方面的深厚積累，啟明星辰獨創(chuàng)性地建立了柔性化檢測機制，在確保精確判定攻擊行為的基礎(chǔ)上，涵蓋了各種攻擊手法類型。

我們知道常用的攻擊檢測方法有兩種，一種方法是通過定義攻擊行為的數(shù)據(jù)特征來實現(xiàn)對已知攻擊的檢測，其優(yōu)勢是技術(shù)上實現(xiàn)簡單、易于擴充、可迅速實現(xiàn)對特定新攻擊的檢測和攔截；但僅能識別已知攻擊、抗變種能力弱。另一種方法是通過分析攻擊產(chǎn)生原理，定義攻擊類型的統(tǒng)一特征，能準(zhǔn)確識別基于相同原理的各種攻擊、不受攻擊變種的影響，但技術(shù)門檻高、擴充復(fù)雜、應(yīng)對新攻擊速度有限。兩種檢測機制如圖2所示。

圖2 基于特征和原理的檢測機制對比

融合“基于特征的檢測機制”和“基于原理的檢測機制”形成的 “柔性檢測”機制，它最大的特點就是基于原理的檢測方法與基于特征的檢測方法并存，有機組合了兩種檢測方法的優(yōu)勢。這種融合不僅是一個兩種檢測方法的大融合，而且細(xì)分到對攻擊檢測防御的每一個過程中，在抗躲避的處理、協(xié)議分析、攻擊識別等過程中都包含了動態(tài)與靜態(tài)檢測的融合，如圖3所示。

圖3 啟明星辰柔性檢測機制原理

通過運用柔性檢測機制，天清入侵防御系統(tǒng)進一步增強了設(shè)備的抗躲避能力、精確阻斷能力、變形攻擊識別能力和對新攻擊應(yīng)變能力，提高了精確檢測的覆蓋面。

當(dāng)然，前面提到的擴展功能和高性能，也是入侵防御系統(tǒng)所必需關(guān)注的內(nèi)容，但也要符合產(chǎn)品的主線功能發(fā)展趨勢。如針對P2P的限制：P2P作為一種新興的下載手段，得到了極為廣泛的運用，但由無限制的P2P應(yīng)用會影響網(wǎng)絡(luò)的帶寬消耗，并且還隨此帶來知識產(chǎn)權(quán)、病毒等多種相關(guān)問題。而實現(xiàn)對P2P的控制和限制，需要較為深入的應(yīng)用層分析，交給IPS來限制、防范，是一個比較恰當(dāng)?shù)倪x擇。而ACL控制、路由、NAT等，這些都是防火墻可以完成的工作，在IPS上來實現(xiàn)這些功能，就有畫蛇添足之嫌了。

性能表現(xiàn)是IPS的又一重要指標(biāo)，但這里的性能應(yīng)該是更廣泛含義上的性能：包括了最大的參數(shù)表現(xiàn)和異常狀況下的穩(wěn)定保障。也就是說，性能除了需要關(guān)注諸如“吞吐率多大？”，“轉(zhuǎn)發(fā)時延多長？”，“一定背景流下檢測率如何？”等性能參數(shù)表現(xiàn)外，還需要關(guān)注：“如果出現(xiàn)了意外情況，怎樣/多快能恢復(fù)網(wǎng)絡(luò)的正常通訊？”，這個問題也是IPS出現(xiàn)之初被質(zhì)疑的一個重點。串接設(shè)備出現(xiàn)故障和旁路設(shè)備不一樣，是會影響到正常業(yè)務(wù)運營的，而做深層分析的串接設(shè)備更加如此，在長時間做大量數(shù)據(jù)深度分析的情況下，如何確保通訊的順暢？如何確保出現(xiàn)異常情況后通訊的順暢？

天清入侵防御系統(tǒng)通過內(nèi)置硬件Watchdog、軟件監(jiān)控進程，對系統(tǒng)的異常實時監(jiān)控和處理，實現(xiàn)了軟件和硬件的雙BYPASS功能，在各種異常情況下確保了網(wǎng)絡(luò)的通暢，部署后不增加網(wǎng)絡(luò)故障點。天清IPS始終遵循最短時間優(yōu)先原則，調(diào)度任務(wù)、算法和CPU時間，具體如圖4所示。

采用CPU綁定技術(shù)，減少串行處理帶來的等待和切換時間

圖4 天清IPS的性能表現(xiàn)

IPS的未來發(fā)展方向是什么？

明確了IPS的主線功能是深層防御、精確阻斷后，IPS未來發(fā)展趨勢也就明朗化了：不斷豐富和完善IPS可以精確阻斷的攻擊種類和類型，并在此基礎(chǔ)之上提升IPS產(chǎn)品的設(shè)備處理性能。

而在提升性能方面存在的一個悖論就是：需提升性能，除了在軟件處理方式上優(yōu)化外，硬件架構(gòu)的設(shè)計也是一個非常重要的方面，目前的ASIC/NP等高性能硬件，都是采用嵌入式指令+專用語言開發(fā)，將已知攻擊行為的特征固化在電子固件上，雖然能提升匹配的效率，但在攻擊識別的靈活度上過于死板（對變種較難發(fā)現(xiàn)），在新攻擊特征的更新上有所滯后（需做特征的編碼化）。而基于開放硬件平臺的IPS由于采用的是高級編程語言，不存在變種攻擊識別和特征更新方面的問題，但在性能上存在處理效率瓶頸：暫時達不到電信級骨干網(wǎng)絡(luò)的流量要求。

所以，入侵防御系統(tǒng)的未來發(fā)展方向應(yīng)該有以下兩個方面：

第一， 更加廣泛的精確阻斷范圍：擴大可以精確阻斷的事件類型，尤其是針對變種以及無法通過特征來定義的攻擊行為的防御。

第二，適應(yīng)各種組網(wǎng)模式：在確保精確阻斷的情況下，適應(yīng)電信級骨干網(wǎng)絡(luò)的防御需求。

標(biāo)簽： 安全 代碼 防火墻 推廣 網(wǎng)絡(luò) 網(wǎng)絡(luò)安全

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請與原作者聯(lián)系。