浅析入侵防御系统

作者：肖坚

来源：《电脑知识与技术》2011年第14期

        摘要：为了让人们将入侵防御系统与入侵检测系统区分开来，该文首先介绍了入侵防御系统的产生，然后对入侵防御系统与入侵检测系统进行了比较，同时详细分析了入侵防御系统的工作原理。最后，根据安全技术的发展趋势，预测了入侵防御系统的发展方向。

        关键词：入侵防御系统；入侵检测系统；安全

        中图分类号：TP393.08文献标识码：A文章编号：1009-3044(2011)14-3322-02

        Analyses Intrusion Defense System

        XIAO Jian 

        (Beijin College, Hunan University of Commerce, Changsha 410219, China)

        Abstract: In order to let people will intrusion defense system and intrusion detection system, this paper distinguishes first introduced the intrusion defense system produces, and then on the intrusion defense system and compares the intrusion detection system, and detailed analysis of the working principle of intrusion defense system. Finally, according to the safety technology development tendency, and forecasts the development direction of intrusion defense system.

        Key words: intrusion defense system; intrusion detection system; safety

        随着网络入侵事件的不断增加和入侵攻击水平的不断提高，原有的防火墙以及入侵检测系统已经不能适应新形势的需要，这就需要改进技术，开出出新的安全产品进一步巩固信息安全保障体系。

        1 入侵防御系统的由来

        在过去的几十年间，入侵检测成了集中研究的焦点，并且其研究达到了高度先进的水平。入侵检测一般是指分析系统活动信息，分析恶意行为监测数据，以及分析未授权行为的过程。入侵检测系统包括网络型（NIDS）和主机型（HIDS）等多种类型。网络层攻击时指一组数据包或一系列连续的数据包入侵网络层标头区以利用网络中漏洞的行为。一方面NIDS分析网络流量数据以及检测任意两个相互作用的系统间的恶意活动。Snort就是一个网络型入侵检测系统的例子。另一方面，HIDS主要监测并分析计算机系统中诸如存储器，文件系统，账户等内部装置来发现异常行为，而非外部接口。OSSEC就是一个开源主机型检测系统的实例，并且市场上开源HIDS的供应量有很多。一般来说，任何一种入侵检测系统都能发生警报或记录恶意行为。一旦入侵检测系统检测到恶意行为，它便采取回避或纠正行为来制止进攻以确保计算机环境的安全性。这样一种防御措施就叫做入侵防御。典型地，当入侵检测系统弹出警报时，系统管理员要负责检查发出的警报的每一个细节，然后进行适当的防御。遗憾的是，系统管理员既不能跟上入侵检测系统的步伐，也不能在合理的时间限定内根据这些警报做出合适地反应。不仅如此，这些人工防御既没有灵活性也无效率，它们完全依靠于系统管理员的专业知识。但是，自动防御系统却能弥补这一缺陷，它们可以对警报实施更快更准确的防御，这一功能在许多分层系统中都要用到的。虽然，入侵防御系统IPS（Intrusion Prevention System）的组件通常入侵检测系统的组件整合在一起，但是相比入侵检测系统得到的广泛研究，入侵防御系统的研究却缺乏问津。造成这种局面的原因就在于研发及使用自动防御方式的复杂性。自动入侵防御就是指一种不再认为干涉下而自动选择防御方式的机制。它主要的优点就在于能从检测时间中减少防御等待时间，以及为各系统提供一致并精准的防御。与此同时，这种自动防御系统还可以减少某些情况的发生，比如许多系统管理员都未能考虑到与防御相关的成本问题。纵然自动防御系统优点多多，但其投入使用的进程依旧缓慢，因为的操作过程，对于有经验的专家们来说都相当复杂，而且它还需要标准的性能测试框架以及需要改进自动化。

        2 入侵防御系统的原理

        入侵检测技术(IDS)主要是对那些异常的、可能是入侵行为的数据进行检测和报警。几乎所有的IDS系统都不是主动的，这表示在攻击事件发生之前，它们无法提前发出警报。而入侵防护系统（IPS）则能提供主动保护，其设计的目的是针对那些被明确判断为攻击行为，会对网络、数据造成危害的恶意行为提前进行检测和防御，降低或是减免使用者对异常状况的处理资源开销，而不是简单地在恶意流量传送时或传送后才发出警报。它是通过直接嵌入到网络流量中实现这一功能的，即通过一个网络端口接收来自外部系统的流量，对异常活动或可疑内容进行检查后，再通过其他端口将信息传送到内部系统中。这样一来，出现问题的数据包，以及其他来自同一源头的后续数据包，都能在IPS设备中预先被过滤掉。其工作原理如图1所示。 

        3 入侵防御系统与入侵检测系统的比较

        IPS的位置处于防火墙和网络的设备中间。只要检测到遭受攻击，在攻击没有扩散之前恶意的通信就会被IPS阻止。而IDS只在于网络之外起到一个报警的作用，并不能在网络前面起到防御的作用。IPS与IDS检测攻击的方法不同。大多数情况下，IPS系统都是基于对数据包的检测。它首先对入网的数据包进行检测，用以确定这种数据包的真正用意，然后决定是否允许这种数据包进入内部网络。

        如今不管是何种用户，都认为入侵检测系统和入侵防御系统是不同的两类产品，并不存在入侵检测系统被入侵防御系统取代的可能。但是入侵防御产品的出现，确实给用户带来新的疑问：两种产品到底有何不同？

        首先从产品的应用来讲：为了实现全面检测网络安全状况的目标，IPS必须在网络的中心节点进行部署，并且对所有网络数据进行监测。如若信息系统中包含了若干个彼此隔绝的子网，则在整个信息系统中需要实施分布部署，也就是说要将入侵检测分析引擎部署在每个子网，同时引擎的策略管理以及事件分析统一进行，最终达到控制整个网络信息系统安全状况的目的。

        其次从产品的价值角度讲：入侵检测与入侵防御的着重点不同，入侵检测系统关心网络安全状况的监管，而入侵防御系统对入侵行为的控制更为关注。与防火墙类产品以及入侵检测产品可以实施的安全策略不同，入侵防御系统可以实施的安全策略能针对深层防御，即可以在应用层检测出攻击并予以隔绝，而防火墙与入侵检测产品却无法做到。

        入侵检测系统的主要是通过对全息的分析来获得信息系统的安全形势，然后引导信息系统的安全目标的确定和调整安全，而入侵预防系统建设是关键实施安全-对黑客行为的封锁。入侵检测系统部署在网络中，监控范围可以覆盖整个子网，包括来自外部和内部相互间的数据传输等；入侵防御系统必须在网络边界部署，只对外部攻击有效，对于内部攻击无法处理。

        4 入侵防御系统的分类

        4.1 基于网络的入侵防护系统NIPS 

        基于网络的入侵防御系统普遍安装在需要保护的网段中，对网段中传输的各种数据包进行实时监视，并对这些数据包进行分析和检测。如果发现入侵行为或可疑事件，入侵防御系统就会发出警报甚至切断网络连接。基于网络的入侵防御系统如同网络中的摄像机，只要在一个网络中安放一台或多台入侵防御引擎，就可以监视整个网络的运行情况，在黑客攻击造成破坏之前，预先发出警报。基于网络的入侵检测系统自成体系，它的运行不会给原系统和网络增加负担。

        4.2 基于主机的入侵防护系统HIPS 

        基于主机的入侵防御系统是安装在被保护的主机上，主要是对该主机的网络实时连接以及系统审计日志进行分析和检查，一旦发现可疑行为和安全违规事件，系统立即向管理员报警，以便采取措施。HIPS通过监视主机资源网络服务和网络服务的客户端程序来检测和阻断违反安全策略的行为。

        4.3 应用入侵防护系统AIP 

        把基于主机的入侵防护扩展成为位于应用服务器之前的网络设备。它被设计成一种高性能的设备，在应用数据的网络链路上对特定的一些应用服务进行防护。

        5 入侵防御系统的发展方向

        总之，入侵防御系统（IPS）在很多方面融合了其它产品的一些特点，并作了很大的改进。长远来看，它与IDS相比，更具有优势，体现在能够以更细的方式检查网络流量，对安全事件主动地进行响应，防止各种程度攻击事件的发生。

        1）与硬件进行融合随着存储介质的价格的不断下降和其大小的不断增加，厂商生产出将所有功能（包括入侵防御）集中在一起的产品只是一个时间问题。NIPS对硬件要求很高，只有基于特定的平台才能实现大容量网络流量的深度数据包检测和阻断功能。

        2）与入侵检测技术同步提高入侵检测技术的发展使入侵防御技术能走的更远，只有在作为基础的入侵检测技术得到提高后，入侵防御技术才有可能真正得以快速发展。 

        3）以后将提供更加广泛的阻断范围，同时扩大可以精确阻断的事件类型，尤其是针对某些变种以及无法通过特征来定义的攻击行为的防御。

        参考文献：

        [1] Internet Draft Distributed Denial of Service Incident Handling:RealTime Inter-Network Defense 2002.

        [2] Park K;Lee H On the Effectiveness of Route-Based Packet Filtering for Distributed Dos Attack Prevention in Power-Law internets 2001.

        [3] 韩东海.入侵检测系统及实例剖析[M].北京:清华大学出版社,2002.

        [4] Xinyou Zhang.Intrusion Prevention System Design[C].Computer and Information Technology,2004.

        注：本文中所涉及到的图表、注解、公式等内容请以PDF格式阅读原文