入侵保護(hù)系統(tǒng)IPs

王麗

【摘要】本文簡述了入侵保護(hù)/防御系統(tǒng)（IPS）的概念，入侵保護(hù)系統(tǒng)的工作原理、分類，同時(shí)與傳統(tǒng)的IDS（入侵檢測系統(tǒng)）進(jìn)行了對(duì)比。并且對(duì)比了防火墻、IDS相對(duì)于IPS的局限，提出通過部署入侵保護(hù)系統(tǒng)來提升網(wǎng)絡(luò)安全。在討論網(wǎng)絡(luò)安全漏洞的基礎(chǔ)上，對(duì)入侵保護(hù)系統(tǒng)檢測技術(shù)進(jìn)行了研究。

【關(guān)鍵詞】IPS;入侵防御系統(tǒng)：IDS：網(wǎng)絡(luò)安全構(gòu)建

一、入侵防御系統(tǒng)

入侵防御技術(shù)能夠?qū)W(wǎng)絡(luò)進(jìn)行主動(dòng)的防護(hù)，保障網(wǎng)絡(luò)安全。IPS是一種主動(dòng)的、智能的入侵檢測和防御系統(tǒng)，可預(yù)先對(duì)入侵活動(dòng)和攻擊行為的網(wǎng)絡(luò)流量進(jìn)行攔截，保障網(wǎng)絡(luò)安全。IDS是以并聯(lián)的方式部署在不同的服務(wù)器和網(wǎng)段上，通過網(wǎng)絡(luò)傳感器獲取服務(wù)器或網(wǎng)段上的流量，再通過IDS管理控制臺(tái)進(jìn)行分析，當(dāng)檢查到入侵或攻擊行為，管理器會(huì)向管理員發(fā)出警報(bào)。而IPS以串聯(lián)的方式部署在網(wǎng)絡(luò)的進(jìn)出口處（核心三層交換機(jī)或核心路由器），它可以分析所有流量，檢測到有入侵或攻擊企圖后，IPS會(huì)采取相應(yīng)的措施對(duì)攻擊行為（比如自動(dòng)數(shù)據(jù)丟棄包）阻斷。而IDS是之前一些單位采用的網(wǎng)絡(luò)保護(hù)方式，但其存在以下幾個(gè)顯著缺陷：一是部署過程復(fù)雜，費(fèi)用高;二是誤報(bào)、錯(cuò)報(bào)率高;三是防攻擊能力較差;四是被動(dòng)防攻擊等。而IPS能主動(dòng)對(duì)入侵行為和攻擊數(shù)據(jù)包實(shí)行攔截丟棄，再向管理員發(fā)出報(bào)警。

二、IPS的分類

（一）基于主機(jī)的入侵防御系統(tǒng)（HIPS）

HIPS是為了保護(hù)服務(wù)器免受外部入侵或攻擊，主要是將代理程序安裝在服務(wù)器等主機(jī)上以此防止入侵或攻擊。對(duì)于緩沖區(qū)溢出、登錄口令、試圖獲得操作系統(tǒng)入侵權(quán)等行為，HIPS可以根據(jù)系統(tǒng)內(nèi)置的安全策略和分析學(xué)習(xí)機(jī)制阻斷對(duì)主機(jī)的入侵，從而保障主機(jī)系統(tǒng)的安全。

（二）基于網(wǎng)絡(luò)的入侵防護(hù)系統(tǒng)（NIPS）

由于NIPS串聯(lián)在網(wǎng)絡(luò)主干上，對(duì)整個(gè)網(wǎng)絡(luò)流量起到過濾的作用，即檢測出流量具有危害性，NIPS會(huì)直接去除整個(gè)網(wǎng)絡(luò)會(huì)話。但是任何事情都有兩面性，由于IPS是以串聯(lián)的方式接人整個(gè)網(wǎng)絡(luò)的進(jìn)出口，那么NIPS性能的好壞，直接影響著整體網(wǎng)絡(luò)的性能，這種方式的防護(hù)系統(tǒng)有可能成為整個(gè)網(wǎng)絡(luò)的瓶頸。

（三）應(yīng)用入侵防護(hù)系統(tǒng)（AIPS）

AIPS是應(yīng)用服務(wù)器之前的網(wǎng)絡(luò)設(shè)備，保護(hù)應(yīng)用服務(wù)器安全。AIPS是高性能的設(shè)備，部署在特定的網(wǎng)絡(luò)鏈路上，并設(shè)置好安全策略，用戶遵守這些安全策略，從而保護(hù)服務(wù)器的安全。

三、基于認(rèn)知網(wǎng)絡(luò)的入侵防御系統(tǒng)構(gòu)建

（一）入侵防御系統(tǒng)優(yōu)缺點(diǎn)

第一，進(jìn)行更深層次的檢測。OSI模型的（傳輸、會(huì)話、表示、應(yīng)用層）傳統(tǒng)防火墻系統(tǒng)和入侵檢測系統(tǒng)都無法進(jìn)行檢測，但是入侵防御系統(tǒng)卻能夠進(jìn)行檢測。網(wǎng)絡(luò)協(xié)議由TCP/IP封裝起來，由于新型攻擊程序的代碼一般都封裝在TCP/IP協(xié)議包中，這樣很難將其檢測出。而入侵防御系統(tǒng)能夠深入OSI模型4～7層，可以對(duì)網(wǎng)絡(luò)協(xié)議包進(jìn)行檢測，因此對(duì)于這類網(wǎng)絡(luò)的漏檢測概率大大降低。第二，在介紹IPS分類時(shí)就已經(jīng)提過這種防護(hù)是串聯(lián)模式，部署在網(wǎng)絡(luò)主干中，對(duì)于網(wǎng)絡(luò)出現(xiàn)攻擊系統(tǒng)可以快速對(duì)網(wǎng)絡(luò)攻擊做出反應(yīng)，制止網(wǎng)絡(luò)攻擊。第三，實(shí)時(shí)檢測網(wǎng)絡(luò)系統(tǒng)。由于傳統(tǒng)入侵檢測系統(tǒng)只針對(duì)網(wǎng)絡(luò)封包的歷史數(shù)據(jù)進(jìn)行檢測，當(dāng)發(fā)現(xiàn)一些入侵痕跡時(shí)入侵行為已經(jīng)發(fā)生，不能及時(shí)處理網(wǎng)絡(luò)入侵而是報(bào)警給管理員，損失可能已經(jīng)造成，不能及時(shí)止損。而IPS系統(tǒng)是實(shí)時(shí)進(jìn)行網(wǎng)絡(luò)監(jiān)測，實(shí)時(shí)檢測異常，并對(duì)出現(xiàn)攻擊異常做出反應(yīng)，保障網(wǎng)絡(luò)系統(tǒng)的安全性。第四，主動(dòng)防御能力。IPS系統(tǒng)監(jiān)測到流經(jīng)的流量有問題就對(duì)此數(shù)據(jù)進(jìn)行丟棄，主動(dòng)防護(hù)能力強(qiáng)，是IDS入侵檢測系統(tǒng)和傳統(tǒng)防火墻系統(tǒng)的綜合，而且IPS不需要其他系統(tǒng)配合。IPS具有學(xué)習(xí)功能，可以把不在系統(tǒng)防御內(nèi)的入侵行為加入規(guī)則比配數(shù)據(jù)庫中。但有些入侵行為防御系統(tǒng)數(shù)據(jù)庫中沒有比配數(shù)據(jù)，就會(huì)漏報(bào)攻擊行為或入侵行為。為了解決IPS漏報(bào)或錯(cuò)報(bào)的問題，IPS的開發(fā)者傾向于采用智能算法自動(dòng)學(xué)習(xí)入侵模式，自動(dòng)動(dòng)態(tài)更新入侵防御系統(tǒng)數(shù)據(jù)庫，使其能夠在不斷認(rèn)知學(xué)習(xí)中進(jìn)行入侵防御。

（二）基于智能認(rèn)知的IPS

傳統(tǒng)IPS對(duì)網(wǎng)絡(luò)數(shù)據(jù)與數(shù)據(jù)庫中的數(shù)據(jù)，按照一定算法進(jìn)行對(duì)比，這種算法的好壞和數(shù)據(jù)庫是否充實(shí)都會(huì)造成對(duì)網(wǎng)絡(luò)行為的判斷失誤，漏報(bào)、誤報(bào)的情況增多?？梢酝ㄟ^優(yōu)化算法或及時(shí)更新數(shù)據(jù)庫改變這種狀況，但通過智能認(rèn)知的方式更具有優(yōu)越性。智能認(rèn)知網(wǎng)絡(luò)是通過熟悉周圍網(wǎng)絡(luò)環(huán)境，對(duì)網(wǎng)絡(luò)環(huán)境的變化不斷更新，認(rèn)知理解網(wǎng)絡(luò)環(huán)境，從而動(dòng)態(tài)調(diào)整網(wǎng)絡(luò)各種配置，對(duì)網(wǎng)絡(luò)行為做出相應(yīng)的決策。在智能認(rèn)知理論基礎(chǔ)上，讓IPS有較強(qiáng)的自學(xué)習(xí)能力，分析網(wǎng)絡(luò)中的數(shù)據(jù)，對(duì)網(wǎng)絡(luò)異常數(shù)據(jù)進(jìn)行過濾以保護(hù)整個(gè)網(wǎng)絡(luò)。智能認(rèn)知的IPS的自學(xué)習(xí)能力能主動(dòng)識(shí)別出入侵，不需要安全員參與。這種IPS的數(shù)據(jù)庫不斷自動(dòng)動(dòng)態(tài)更新，隨著規(guī)則匹配庫的不斷完善，漏報(bào)、誤報(bào)率就會(huì)相應(yīng)減小。

（三）智能認(rèn)知防御系統(tǒng)網(wǎng)絡(luò)安全構(gòu)建

智能IPS相比傳統(tǒng)IPS和IDS都具有很大的優(yōu)勢，構(gòu)建智能認(rèn)知IPS主要由以下5個(gè)部分組成：

1.嗅探器：掃描流經(jīng)端口及路由的數(shù)據(jù)。

2.狀態(tài)庫：存儲(chǔ)數(shù)據(jù)。

3.知識(shí)庫：這是智能IPS的核心部分，對(duì)狀態(tài)庫的信息進(jìn)行分析以及推理，對(duì)現(xiàn)有的知識(shí)庫進(jìn)行更新，獲得認(rèn)知新知識(shí)的能力。

4.認(rèn)知推理：對(duì)知識(shí)庫的數(shù)據(jù)進(jìn)行知識(shí)推理，對(duì)未知網(wǎng)絡(luò)推理分析學(xué)習(xí)知識(shí)。

5.決策執(zhí)行：這是入侵行為的決策者。該模塊通過認(rèn)知結(jié)果進(jìn)行相應(yīng)的入侵防御。