入侵防御技術發展至今已有十余年,最早是Gartner 2003年年6月在一個學術會議上提出的,目的是為了克服入侵檢測技術和防火墻的不足,由原來的被動防御轉入主動響應和實時阻隔。目前的入侵防御技術正處在理論研究和實踐應用交替階段,因此本計算機軟件畢業論文認為研究入侵防御技術無論是理論上還是實踐上都具有較大意義。
1 入侵防御系統原理及分類
1.1 入侵防御系統原理
入侵防御系統(IPS)有兩種定義,第一種認為它是具有自主的高智能的網絡安全系統,不僅能夠入侵檢測,更能夠主動響應和實時阻隔入侵,是整個網絡安全體系的總體。第二種認為IPS是入侵檢測系統和防火墻的綜合,兩者共同固化集成在一個部件。第二種提出先于第一種,但目前比較認同第一種。IPS原理可用圖1來描述。由圖1可知IPS分兩部分(檢測和防御)和兩階段(檢測和控制),但都要受控于管理中心統一安全管理。
1.2 IPS分類
目前主要從保護對象進行分類,有三種:第一種基于主機的入侵防護(HIPS),用于保護服務器和主機系統不受不法分子的攻擊和誤操作的破壞;
第二種基于網絡的入侵防護(NIPS),通過檢測流經的網絡流量,提供對網絡體系的安全保護,一旦辨識出入侵行為,NIPS就阻斷該網絡會話;
第三種應用入侵防護(AIP),是將基于主機的入侵防護擴展成為位于應用服務器之前的網絡信息安全設備。
2 入侵防御技術特點
IPS作為新興的安全技術,其核心理念是主動防御與實時檢測,也是與防火墻和入侵檢測根本區別。綜合IPS技術實現有4個方面的特點。
?。?)實時在線服務。IPS保留入侵檢測實時檢測的技術與功能,但是卻采用了防火墻的在線服務方式,即直接嵌入到網絡流量中,通過一個網絡端口接收來自外部系統的流量,經過檢測確認不包含異常流量或可疑內容后,再通過另外一個端口將它傳送到內部系統中。
?。?)及時響應。IPS具有強有力的實時阻斷功能,能夠預先對入侵活動和攻擊性網絡流量進行攔截,避免其造成不必要的損失;
?。?)檢測技術豐富。主要是并行處理檢測和協議重組分析。并行處理檢測是指所有流經IPS的數據包,都采用并行處理方式進行過濾器匹配,實現在一個時鐘周期內,遍歷所有數據包過濾器;而協議重組分析是指所有流經IPS的數據包,必須首先經過硬件級預處理,發表數據包的重組,確定其具體應用協議。然后,根據不同應用協議的特征與攻擊方式,對重組后的數據包進行篩選,將可疑包送入特征庫進行比較,從而提高檢測的質量和效率;
?。?)植入特殊規則。植入特殊規則主要是為了阻止惡意代碼攻擊。比如禁止使用對等的文件共享應用和占有大量帶寬的免費互聯網電話服務工具等;
?。?)自主學習與自適應能力強。為了防止黑客們有意攻擊,IPS必須具有智能的自主學習與自適應能力。根據所在網絡的通信環境和被入侵狀況,IPS必須要分析和抽取新的攻擊特征更新特征庫,自動總結經驗,定制新的安全防御策略。
3 關鍵技術分析
由IPS原理可知,入侵檢測技術占據核心位置,根據檢測分析方式不同,又分為異常檢測和誤用檢測。
3.1 異常檢測技術
異常檢測技術是對正常行為建模,在進行網絡檢測時,如果有任何偏離正常行為模型的行為都認為是入侵行為。該技術的優點是能對未知的攻擊行為有自主學習與自適應能力,缺點是誤報率較高。常用異常檢測技術可用表1歸納。
3.2 誤用檢測技術
也稱為特征檢測技術,基本思想是將來自網絡的數據包捕獲后,按照規定的檢測算法對數據包分析檢測,若與設定規則相符則判斷系統出現了誤用并報警。此類技術的核心是檢測引擎的設計。目前主要有四種方法,分析見表2。
4 IPS技術現存在的問題
?。?)系統性能瓶頸依然存在。因為IPS系統一般部署在網關處,流量檢測和系統調用時,必然造成時間滯后。
?。?)網絡誤報率影響嚴重?,F在IPS報警率在3萬條/小時,如果系統一旦報警,就會對后續數據包實施阻隔,不管數據流是否正常,都會拒絕服務,這種現象經常發生。
?。?)成本太高也是阻礙IPS技術發展的重要因素之一。
5 未來IPS的需求
根據Gartner最新發布的下一代網絡IPS研究報告可知,未來IPS在以前的基礎上還應該具備以下功能。
?。?)具有應用識別能力。能識別上千種應用程序的運行情況、所占帶寬以及存在威脅和風險級別。
?。?)對應用程序流量有良好的感知能力,提升系統綜合防護能力?,F在基于協議的流量明細是遠遠不夠的,還應該提供比如攻擊源IP地址及信用等級,攻擊目標IP地址及其安全漏洞。
?。?)具有內容感知能力。能識別各種嵌入在目標源程序中的安全威脅,并能實時響應和阻止異常發生。
?。?)利用云安全實現實時威脅關聯。隨著攻擊手段不斷翻新,云安全技術勢在必行,結合云安全與本地特征碼來提高檢測率,也可對抵御DDoS攻擊提供技術支持。
本畢業論文闡述了,IPS是現在網絡安全領域重要技術手段之一。因此文章從網絡入侵防御技術的原理開始,分析了它一些固有特點,重點綜合分析了當前入侵防御技術分類和算法,最后探討了目前IPS存在的一些問題和未來IPS的發展要求。作為一個新興的技術領域,還存在許多不確定的因素,可同一些其它學科相互關聯,也許會有更多、更大的技術突破,為整個網絡帶來安全可靠的環境。