科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道入侵防御系统IPS技术及发展障碍解析

入侵防御系统IPS技术及发展障碍解析

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

随着网络蠕虫等自动攻击的泛滥,一种漏洞会被多种病毒所利用。防火墙的包过滤技术不会针对每一字节进行检查,因而也就无法发现攻击活动,而IPS可以做到逐一字节地检查数据包。

作者:佚名 来源:比特网论坛 2008年11月25日

关键字: IDS IPS

  • 评论
  • 分享微博
  • 分享邮件

  随着网络蠕虫等自动攻击的泛滥,一种漏洞会被多种病毒所利用。因此在规则库中光检测到一种漏洞已经远远不能满足用户的需求,用户需要看到哪种蠕虫或后门木马。

  这就需要厂商在规则库的更新和维护上投入更多的资源,不光是跟踪官方公布的漏洞和最常见的攻击程序等,还要对网络上流传的种种病毒、木马等程序做分析。规则库的条数要达到几万条以上,更新速度要达到每天更新,现有的IDS规则更新体系已经满足不了IPS要求。

  威胁触目惊心

  根据公安部一份信息网络安全状况调查显示,在被调查的7072家政府、金融证券、教育科研、电信、广电、能源交通、国防和商贸企业等信息网络中,发生网络安全事件的比例为58%。

  其中,计算机病毒、蠕虫和木马程序造成的安全事件占发生安全事件单位总数的79%,拒绝服务、端口扫描和篡改网页等网络攻击事件占43%,大规模垃圾邮件传播造成的安全事件占36%。特别地,计算机病毒的感染率为87.9%,比上一年增加了2%。

  上述调查对象都是国内信息安全投入比较高的大行业,防火墙、入侵检测、防病毒等常见安全产品基本都已部署,但仍然遭受了触目惊心的安全危害。

  就像“911”之后的美国,人们突然发现,以前大家对安全问题的看法已经不适合新形势的需要了,原本人们认为固若金汤的美国本土,被新的攻击手段炸得千疮百孔。目前的互联网和网络安全部署大家原本很乐观,但上面列举的这些触目惊心的危害清楚地表明,在层出不穷的攻击手段面前,我们的网络安全保护措施已经落后了。

  现有技术不够用!

  事实上,“911”美国遭受恐怖主义袭击后,在防护手段方面的变化,也映射出网络安全产品发展的脉络。

  在“911”前,机场在安全方面不是一点手段没有。在登机前要验证旅客的身份证件,并通过金属探测门,防止旅客带管制刀具上机。这种检查手段和防火墙在网络上所起的作用相似。

  通常,人们认为防火墙可以保护处于它身后的网络不受外界的侵袭和干扰。但随着网络技术的发展,网络结构日趋复杂,传统防火墙在使用的过程中暴露出以下的不足和弱点:

  入侵者可以伪造数据绕过防火墙或者找到防火墙中可能敞开的后门,就像恐怖分子可以伪造身份证件上飞机一样;

  防火墙不能防止来自网络内部的袭击,通过调查发现,将近65%的攻击都来自网络内部,对于那些对企业心怀不满或假意卧底的员工来说,防火墙形同虚设,就像恐怖分子可以收买机场人员一样;

  传统防火墙不具备对应用层协议的检查过滤功能,无法对Web攻击、FTP攻击等做出响应,防火墙对于病毒蠕虫的侵袭也是束手无策,就像金属探测器检测不出来非金属的攻击武器,易燃易爆品一样。

  正因如此,在网络世界里,人们开始了对入侵检测技术的研究及开发。入侵检测技术很像在机场安装了多台摄像头,实时观察旅客的行为,以发现安全问题。IDS可以弥补防火墙的不足,为网络提供实时的监控,并且在发现入侵的初期采取相应的防护手段。

  但是,人们也逐渐意识到IDS所面临的问题。

  较高的漏报率和误报率。这已经是世界性难题,就像机场的监控录像不能监控到每个角落,不能从人的行为举止完全准确地判断出其是否为恐怖分子一样。

  IDS是以被动的方式工作,只能检测攻击,而不能做到真正实时地阻止攻击。机场的监控录像最有价值的地方其实是在恐怖事件发生后,警察通过备份的监控录像查找可疑分子,为破案提供线索。

  IPS填补了空白

  在后“911”时代,人们发现机场的安检措施变了,对登机的旅客除了检查身份证件外,还要检查指纹,仔细搜身,连鞋子都要脱了检查;甚至连饮料瓶都要旅客喝一口,以确保那不是汽油。这新增加的检查手段让恐怖分子蒙混过关的几率大为减少。

  安检措施的改进,对应于网络安全防范,就是加强现有的防火墙和IDS等保护功能,同时对经过的数据包进行更为严格的检查措施。于是诞生了IPS技术,我们称之为入侵防御系统。

  IPS是在应用层的内容检测基础上加上主动响应和过滤功能,弥补了传统的主流网络安全技术不能完成更多内容检查的不足,填补了网络安全产品线的基于内容的安全检查的空白。IPS工作原理如图1所示。

  IPS设计宗旨是预先对入侵活动和攻击性网络流量进行拦截,避免其造成损失,而不是简单地在恶意流量传送时或传送后才发出警报。

  IPS是通过直接嵌入到网络流量中实现这一功能的,即通过一个网络端口接收来自外部系统的流量,经过检查确认其中不包含异常活动或可疑内容后,再通过另外一个端口将它传送到内部系统中。这样一来,有问题的数据包,以及所有来自同一数据流的后续数据包,都能在IPS设备中被清除掉。

  IPS实现实时检查和阻止入侵的原理在于IPS拥有数目众多的过滤器,能够防止各种攻击。当新的攻击手段被发现之后,IPS就会创建一个新的过滤器。IPS数据包处理引擎是专业化定制的集成电路,可以深层检查数据包的内容。

  如果有攻击者利用Layer2(介质访问控制)至Layer7(应用)的漏洞发起攻击,IPS能够从数据流中检查出这些攻击并加以阻止。传统的防火墙只能对Layer3或Layer4进行检查,不能检测应用层的内容。

  防火墙的包过滤技术不会针对每一字节进行检查,因而也就无法发现攻击活动,而IPS可以做到逐一字节地检查数据包。

  所有流经IPS的数据包都被分类,分类的依据是数据包中的报头信息,如源IP地址和目的IP地址、端口号和应用域。每种过滤器负责分析相对应的数据包。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章