目前,随着网络入侵事件的不断增加和黑客攻击数据的不断提高,使得传统的防火墙或入侵检测技术无法满足现代网络安全的需要,而入侵防护技术的产生正是适应了这种要求。
防火墙是实施访问控制策略的系统,对流经的网络流量进行检查,拦截不符合安全策略的数据包。入侵检测技术通过监视网络或系统资源,寻找违反安全策略我的行为或攻击迹象,并发出警报。传统的防火墙旨在拒绝那些明显可疑的网络流量,但仍然允许某些流量通过,因此防火墙对很多入侵放过仍然无计可施。
IPS是一种主动的、积极的入侵防范及阻止系统,部署在网络的进出口处。当它检测到攻击企图后,会自动地将攻击包丢掉或采取措施将攻击源阻断。IPS的检测功能类似于IDS,但IPS检测到攻击后会采取行动阻止攻击,可以说IPS是建立在IDS发展的基础上的新生网络安全产品。
IPS倾向于主动防护,其设计宗旨是预先对入侵活动和攻击性网络流进行拦截,避免其造成损失,而不是简单地在恶意流量传送时或传送后才发出警报。IPS通过一个网络端口接收来自外部系统的流量,经过检查确认其中不包含异常活动或可疑内容后,再通过另一个端口将它传送到内部系统中。这样一来,有问题的数据包,以及所有来自同一个数据流的后续数据包,都能在IPS设备中被清除掉。
IPS实现实时检查和阻止入侵的原理在于IPS拥有数目众多的过滤器,能够防止各种攻击。当新的攻击手段被发现之后,入侵防护系统就会创建一个新的过滤器。IPS数据包处理引擎是专业化定制的集成电路,可以深层检查数据包的内容。如果有攻击者利用第二层(介质访问控制)到第七层(应用)的漏洞发起攻击,IPS能够从数据流中检查出这些攻击并加以阻止。传统我的防火墙只能对第三层或第四层进行检查,不能检测应用层的内容。防火墙的包过滤技术不会针对每一字节进行检查,因而就无法发现攻击活动,而IPS可以做到逐一字节的检查数据包。所有流经IPS的数据包都被分类,分类的依据是数据包中的报头信息,如源IP地址和目的IP地址、端口号和应用域。每种过滤器负责检查分析相应的数据包。通过检查的数据包可以继续前进,包含恶意内容的数据包就会被丢弃,被怀疑的数据包需要进一步接收检查。
针对不同的攻击行为,IPS需要不同的过滤器。每种过滤器都设有相应的过滤规则,为了确保准确性,这些规则的定义非常广泛。在对传输内容进行分类是,过滤引擎还需要参照数据包的信息参数,并将其解析至一个有意义的域中进行上下文分析,以提高过滤准确性。
过滤器引擎集合了流水和大规模并行处理硬件,能够同时执行数千次的数据包过滤检查。并行过滤处理可以确保数据包能够不间断地快速通过系统,不会对速度造成影响。这种硬件加速技术对于IPS有重要意义,因为传统的软件解决方案必须串行进行过滤检查,会导致性能大打折扣。
IPS可分为基于主机的入侵防护、基于网络的入侵防护和基于应用入侵防护。
基于主机的入侵防护是一种软件,位于一台服务器上,并能够阻止网络攻击,保护操作系统和应用。Okena和Entercept Security Technologies的产品在保护服务器,尤其是针对红色代码以及Nimda攻击非常有效。基于主机的入侵防护是快速修复服务器安全漏洞的好办法,但是由于在企业内部很多不同的平台上管理安全软件的管理费用非常昂贵,基于主机的入侵防护系统很难和基于网络的入侵防护一样得到广泛的采用。
基于主机的入侵防护技术可以采用基于事先确定的规则或可学习的行为分析策略来阻挡恶意服务器或PC行为。基于主机的入侵防护可以阻止攻击者进行缓存溢出攻击、修改注册表,改写DLL(Dynamic Link Library,动态链接库)或采用其他方法获得操作系统的控制权。
基于主机的入侵防护可以作为截取应用和底层操作系统之间通信的软件“过滤器”,或作为一个核心更改,比商业操作系统所采用的安全控制更为严格。
基于网络的入侵防护系统的优势包括减少了持续监控的重要性,攻击不会造成尖声警报、局面混乱的结果。网络管理员知道红色代码攻击已经成为互联网中的家常便饭,因此,记录这种的攻击对其做出反应的时间只是浪费。一旦被确认,仅仅是受到影响的任务应该被停止。因此这样做不但节省了宝贵的资源,还达到了更好的保护效果。特性定义和网络入侵防护的好处在于:防火墙和网关反病毒系统绝大部分执行简单的、应激性的、基于签名的防护和阻挡。
一个真正的基于网络的入侵防护系统必须:
(1)作为一个在线的网络设备,并能够以线速运行;
(2)进行包标准化、汇编和检查;
(3)对于数据包采用基于集中方法的规则,包括协议异常分析、签名分析和行为分析;
(4)阻挡恶意的行为,而不是简单重置连接。
为了达到上面的要求,基于网络的入侵防护必须完成对于所有的通信进行深度包检测,并通常会采用特殊目的的硬件来达到千兆级的吞吐量。在服务器上使用软件的方法对于小型企业来说是有效的,基于硬件的方法对于大型企业来说会更合适。但是,对于以千兆速度运行的复杂的网络,Gartner相信将需要特殊应用集成电路和专用网络安全处理器来进行深度包检测,并支持线速阻挡。
应用入侵防护(Application Intrusion Prevention,AIP)把基于主机的入侵防护扩展成位于应用服务器之前的网络设备。AIP被设计成一种高性能的设备,配置在应用数据的网络链路上,以确保用户遵守设定好的安全策略,保护服务器的安全。NIPS工作在网络上,直接对数据包进行检测和阻断,与具体的主机/服务器操作系统平台无关。
IPS技术特征包括嵌入式运行、深入分析和控制、入侵特征库和高效处理能力。
只有以嵌入模式运行的IPS设备才能实现实时的安全防护,实时阻拦所有可疑的数据包,并对该数据流的剩余部分进行拦截。
IPS必须具有深入分析能力,以确定那些恶意流量已经被拦截,根据攻击类型、策略等来确定那些流量应该被拦截。
高质量的入侵特征库是IPS高效允许的必要条件,IPS还应该定期升级入侵特征库,并快速应用到所有传感器。
IPS必须具有高效处理数据包的能力,对整个网络性能的影响保持在最低水平。
这种产品被放置到数据流通路上,而不是从switch或其他设备那里获取数据流。在线系统可以分析并确认包和任务,检查出哪些通信是恶意的,并阻挡相关的数据包流。这对于产品的防护能力非常重要。
为了有效处理千兆级的通信量,必须要采用某些稳定的检测方法。对于特定数据包的通信陈述,包括对于所分析数据包的认识能力。这提供了更大的吞吐量以及更短的反应时间,这也是企业应用所需要的。
没有任何一个运算法则能够单独地在把最多的入侵尝试阻挡在外的同时,并把错误肯定降低到最低的程度。入侵防护系统必须使用多种运算法则的组合。
签名分析是最强大的方法,但是它必须同协议/包异常检测配合使用。
协议/包检测关注的是在被认为是有敌意、恶意、不寻常的协议或包中的签名,这些协议或包可能是拒绝服务攻击的工具,可能发送大量的包到目标服务器。使用互联网聊天传递通道来同进行控制的黑客进行通信,该黑客可以指示传递工具开始攻击特定站点。通过采用大量的通信来攻击站点,黑客可以使该站点瘫痪,不能对合法的连接做出响应。
基于行为的技术没有那么精确,但是却能提供有价值的功能。这种技术包含了对已知通信模式的基准分析,然后建立起报警极限,当异常通信模式变化产生的时候就能够发出警告,比如大的数据流量可能意味着拒绝服务攻击。
一旦一个恶意的行为被确认后,就对它进行阻挡,以此来保护目标服务器或设备。日志和警报是这些设备的功能。
IPS面临的挑战主要有三点:一是单点故障;二是性能瓶颈;三是误报和漏报。
设计要求IPS必须以嵌入式模式工作在网络中,而这就可能造成瓶颈问题或单点故障,如果ISD出现故障,最坏的情况也就是造成某些攻击无法被检测到,而嵌入式的IPS设备出现问题,就会严重影响网络的正常运转,如果IPS出现故障而关闭,用户就会面对一个由IPS造成的拒绝服务问题,所有客户都将无法访问企业网络提供的应用。
即使IPS设备不出现故障,它仍然是一个潜在的网络瓶颈,不仅会增加滞后时间,而且会降低网络的效率,IPS必须与数千兆或更大容量的网络流量保持同步,尤其是当加载了数量庞大的检测特征库是,设计不够完善的IPS嵌入设备无法支持这种响应速度。绝大多数高端IPS产品供应商都通过使用自定义硬件来提高IPS的运行速率。
如果入侵特征编写得不是十分完善,一旦拦截了“攻击性”数据包,就会对来自可疑攻击者的所有数据流进行拦截。如果触发了误报警报的流量恰好是某个客户订单的一部分,其结果可想而知。
IPS厂商采用各种方式加以解决。一是综合采用多种检测技术,二是采用专用硬件加速系统来提高IPS的运行速率。IPS的不足不会成为阻止人们使用IPS的理由,因为安全功能的融合是大势所趋,入侵防护顺应了这一潮流。对于用户而言,在厂商提供技术支持的条件下,有选择地采用IPS,仍不失为一种应对攻击的理想选择。