网络防入侵保护系统

来源:用户上传      作者: 王胜华

　　摘 要： 随着网络与信息技术的发展，尤其是互联网的广泛普及和应用，网络正逐步改变着人类的生活和工作方式。
　　关键词： 网络安全；防入侵保护系统；防火墙的局限
　　中图分类号：TU89 文献标识码：A 文章编号：1671－7597（2012）0220020－02
　　0 前言
　　越来越多的政府、企业组织建立了依赖于网络的业务信息系统，比如电子政务、电子商务、网上银行、网络办公等，随着互联网应用的迅速发展，计算机网络在经济和生活的各个领域使信息的获取、共享和传播更加方便。政府、企业对网络的依赖程度越来越大，信息安全的重要性也在不断提升。近年来，网络所面临的安全问题越来越复杂，安全威胁正在飞速增长，尤其混合威胁的风险，如黑客攻击、蠕虫病毒、木马后门、间谍软件、僵尸网络、DDoS攻击、垃圾邮件、网络资源滥用（P2P下载、IM即时通讯、网游、视频）等，极大地困扰着用户，给信息网络造成严重的破坏。能否及时发现并成功阻止网络黑客的入侵、保证计算机和网络系统的安全和正常运行便成为网络我单位所面临的一个重要问题。
　　说起网络安全，相信许多人已经不陌生了。大家可能都曾遇到过下面这些情况：
　　1）没有及时安装新发布的一个安全补丁，造成服务器死机，网络中断；
　　2）蠕虫病毒爆发，造成网络瘫痪，无法网上办公，邮件收不了，网页打不开；
　　3）有的员工使用BT、电驴等P2P软件下载电影或MP3，造成上网速度奇慢无比；
　　4）有的员工沉迷在QQ或MSN上聊天，或者玩反恐精英、传奇等网络游戏，或者看在线视频，不专心工作；
　　5）由于员工电脑被植入间谍软件，导致公司机密资料被窃；
　　6）公司WEB服务器遭受SQL注入攻击，造成公司主页内容被篡改；
　　7）部分员工电脑成为僵尸网络的绞肉机，向外网发起DOS攻击，引起公安部门注意并上门进行调查。
　　根据调查数据显示，以上事件呈逐年上升趋势，给网络单位造成越来越大的直接和间接损失。对于上述威胁，传统的安全手段（如防火墙、入侵检测系统）都无法有效进行阻止。
　　1 防火墙的局限
　　绝大多数人在谈到网络安全时，首先会想到“防火墙”，网络单位一般采用防火墙作为安全保障体系的第一道防线，防御黑客攻击。但是，随着攻击者知识的日趋成熟，攻击工具与手法的日趋复杂多样，单纯的防火墙已经无法满足企业的安全需要，部署了防火墙的安全保障体系仍需要进一步完善。传统防火墙的不足主要体现在以下几个方面：
　　1）防火墙作为访问控制设备，无法检测或拦截嵌入到普通流量中的恶意攻击代码，比如针对WEB服务的Code Red蠕虫等。
　　2）有些主动或被动的攻击行为是来自防火墙内部的，防火墙无法发现内部网络中的攻击行为。
　　3）作为网络访问控制设备，受限于功能设计，防火墙难以识别复杂的网络攻击并保存相关信息，以协助后续调查和取证工作的开展。
　　2 入侵检测系统的不足
　　入侵检测系统IDS（Intrusion Detection System）是继防火墙之后迅猛发展起来的一类安全产品，它通过检测、分析网络中的数据流量，从中发现网络系统中是否有违反安全策略的行为和被攻击的迹象，及时识别入侵行为和未授权网络流量并实时报警。IDS弥补了防火墙的某些设计和功能缺陷，侧重网络监控，注重安全审计，适合对网络安全状态的了解，但随着网络攻击技术的发展，IDS也面临着新的挑战：
　　1）IDS旁路在网络上，当它检测出黑客入侵攻击时，攻击已到达目标造成损失。IDS无法有效阻断攻击，比如蠕虫爆发造成企业网络瘫痪，IDS无能为力。
　　2）蠕虫、病毒、DDoS攻击、垃圾邮件等混合威胁越来越多，传播速度加快，留给人们响应的时间越来越短，使用户来不及对入侵做出响应，往往造成企业网络瘫痪，IDS无法把攻击防御在企业网络之外。
　　3 入侵保护系统的特点
　　基于目前网络安全形势的严峻，入侵保护系统IPS（Intrusion Prevention System）作为新一代安全防护产品应运而生。网络入侵防御系统作为一种在线部署的产品，提供主动的、实时的防护，其设计目标旨在准确监测网络异常流量，自动对各类攻击性的流量，尤其是应用层的威胁进行实时阻断，而不是简单地在监测到恶意流量的同时或之后才发出告警。IPS是通过直接串联到网络链路中而实现这一功能的，即IPS接收到外部数据流量时，如果检测到攻击企图，就会自动地将攻击包丢掉或采取措施将攻击源阻断，而不把攻击流量放进内部网络。
　　如何评价入侵保护系统：
　　针对越来越多的蠕虫、病毒、间谍软件、垃圾邮件、DDoS等混合威胁及黑客攻击，不仅需要有效检测到各种类型的攻击，更重要的是降低攻击的影响，从而保证业务系统的连续性和可用性。
　　一款优秀的网络入侵防御系统应该具备以下特征：
　　1）满足高性能的要求，提供强大的分析和处理能力，保证正常网络通信的质量；
　　2）提供针对各类攻击的实时检测和防御功能，同时具备丰富的访问控制能力，在任何未授权活动开始前发现攻击，避免或减缓攻击可能给企业带来的损失；
　　3）准确识别各种网络流量，降低漏报和误报率，避免影响正常的业务通讯；
　　4）全面、精细的流量控制功能，确保企业关键业务持续稳定运转；
　　5）具备丰富的高可用性，提供BYPASS（硬件、软件）和HA等可靠性保障措施；
　　6）可扩展的多链路IPS防护能力，避免不必要的重复安全投资；
　　7）提供灵活的部署方式，支持在线模式和旁路模式的部署，第一时间把攻击阻断在企业网络之外，同时也支持旁路模式部署，用于攻击检测，适合不同客户需要；
　　8）支持分级部署、集中管理，满足不同规模网络的使用和管理需求。
　　4 网络防入侵保护系统产品综述
　　针对目前流行的蠕虫、病毒、间谍软件、垃圾邮件、DDoS等黑客攻击，以及网络资源滥用（P2P下载、IM即时通讯、网络游戏、在线视频、在线炒股…），应提供完善的安全防护方案。作为一种在线部署的产品，其设计目标旨在准确监测网络异常流量，自动对各类攻击性的流量，尤其是应用层的威胁进行实时阻断，而不是在监测到恶意流量的同时或之后才发出告警。这类产品弥补了防火墙、入侵检测等产品的不足，提供动态的、深度的、主动的安全防御，为企业提供了一个全新的入侵保护解决方案。
　　5 新一代网络防入侵保护系统应具备的主要功能
　　网络入侵保护系统融合高性能、高安全性、高可靠性和易操作性等特性，具备深度入侵防御、精细流量控制，以及全面用户上网行为监管等三大功能，为客户带来了深度攻击防御和应用带宽保护的完美价值体验。
　　5.1 入侵防御
　　实时、主动拦截黑客攻击、蠕虫、网络病毒、后门木马、DDoS等恶意流量，保护企业信息系统和网络架构免受侵害，防止操作系统和应用程序损坏或宕机。
　　5.2 流量
　　阻断一切非授权用户流量，管理合法网络资源的利用，有效保证关键应用全天候畅通无阻，通过保护关键应用带宽来不断提升企业IT产出率和收益率。
　　5.3 上网行为监管
　　全面监测和管理IM即时通讯、P2P下载、网络游戏、在线视频，以及在线炒股等网络行为，协助企业辨识和限制非授权网络流量，更好地执行企业的安全策略。
　　6 新一代网络防入侵保护系统的特点
　　基于高性能硬件处理平台，为客户提供从网络层、到应用层，直至内容层的深度安全防御。

　　6.1 智能协议识别和分析
　　协议识别是新一代网络安全产品的核心技术。传统安全产品如防火墙，通过协议端口映射表（或类似技术）来判断流经的网络报文属于何种协议。但是，事实上，协议与端口是完全无关的两个概念，我们仅仅可以认为某个协议运行在一个相对固定的缺省端口。包括木马、后门在内的恶意程序，以及基于Smart Tunnel（智能隧道）的P2P应用（如各种P2P下载工具、IP电话等），IMS（实时消息系统如MSN、Yahoo Pager），网络在线游戏等应用都可以运行在任意一个指定的端口，从而逃避传统安全产品的检测和控制。新一代网络防入侵保护系统采用独有的智能协议识别技术，通过动态分析网络报文中包含的协议特征，发现其所在协议，然后递交给相应的协议分析引擎进行处理，能够在完全不需要管理员参与的情况下，高速、准确地检测出通过动态端口或者智能隧道实施的恶意入侵，可以准确发现绑定在任意端口的各种木马、后门，对于运用Smart Tunnel技术的软件也能准确捕获和分析。新一代网络防入侵保护系统具备极高的检测准确率和极低的误报率，能够全面识别超过100种以上的应用层协议。
　　6.2 协议异常检测
　　基于特征检测（模式匹配）的NIPS产品可以精确地检测出已知的攻击。通过不断升级的特征库，NIPS可以在第一时间检测到入侵者的攻击行为。但是，事实上，存在三个方面的因素导致协议异常的诞生。
　　1）厂商从提取某个攻击特征到最终用户的NIPS产品升级需要一个时间间隔，在这个时间间隔内，基于特征检测的NIPS产品是无法检测到黑客的该攻击行为的；
　　2）来自0-day或未公开exploit的隐蔽攻击即使是安全厂商往往也无法第一时间获得攻击特征，通常NIPS无法检测这类具有最高风险的攻击行为；
　　3）Internet上蠕虫在15分钟内席卷全球，即使是最优秀的厂商也不能够在这么短的时间内完成对其的发现和检测。
　　协议异常检测是新一代网络防入侵保护系统应用的另外一项关键技术，以深度协议分析为核心的冰之眼NIPS，将发现的任何违背RFC规定的行为视为协议异常。协议异常最为重要的作用是检测检查特定应用执行缺陷（如：应用缓冲区溢出异常），或者违反特定协议规定的异常（如：RFC异常），从而发现未知的溢出攻击、零日攻击以及拒绝服务攻击。作为一项成熟的技术，协议异常检测技术使得冰之眼NIPS具有接近100%的检测准确率和几乎0的误报率。
　　6.3 流量异常检测
　　流量异常检测主要通过学习和调整特定网络环境下的正常流量值，来发现非预期的异常流量。一旦正常流量被设定为基准（baseline），新一代网络防入侵保护系统会将网络中传输的数据包与这个基准作比较，如果实际网络流量统计结果与基准达到一定的偏离，则产生警报。在内置流量建模机制的同时，新一代网络防入侵保护系统还提供可调整的门限阀值，供网管员针对具体环境做进一步调整，避免因为单纯的流量过大而产生误报。
　　
　　参考文献：
　　[1]曹天杰等编著，《计算机系统安全》，北京：高等教育出版社.
　　[2]周学广等，《信息安全学》，北京：机械工业出版社.
　　[3]冯元等，《计算机网络安全基础》，北京：科学出版社.

转载注明来源:https://www.xzbu.com/8/view-1702342.htm