IPS(Intrusion Prevention System,入侵防護(hù)系統(tǒng))可以解決企業(yè)網(wǎng)絡(luò)感染病毒�����、遭受攻擊等�。
NIPS必須基于特定的硬件平臺(tái),才能實(shí)現(xiàn)千兆級(jí)網(wǎng)絡(luò)流量的深度數(shù)據(jù)包檢測和阻斷功能�。這種特定的硬件平臺(tái)通常可以分為三類:一類是網(wǎng)絡(luò)處理器(網(wǎng)絡(luò)芯片)����,一類是專用的FPGA編程芯片,第三類是專用的ASIC芯片�。
在技術(shù)上,NIPS吸取了目前NIDS所有的成熟技術(shù)���,包括特征匹配�、協(xié)議分析和異常檢測�。特征匹配是最廣泛應(yīng)用的技術(shù),具有準(zhǔn)確率高�、速度快的特點(diǎn)。基于狀態(tài)的特征匹配不但檢測攻擊行為的特征���,還要檢查當(dāng)前網(wǎng)絡(luò)的會(huì)話狀態(tài)�,避免受到欺騙攻擊����。
協(xié)議分析是一種較新的入侵檢測技術(shù),它充分利用網(wǎng)絡(luò)協(xié)議的高度有序性�,并結(jié)合高速數(shù)據(jù)包捕捉和協(xié)議分析,來快速檢測某種攻擊特征�。協(xié)議分析正在逐漸進(jìn)入成熟應(yīng)用階段。協(xié)議分析能夠理解不同協(xié)議的工作原理�����,以此分析這些協(xié)議的數(shù)據(jù)包��,來尋找可疑或不正常的訪問行為��。協(xié)議分析不僅僅基于協(xié)議標(biāo)準(zhǔn)(如RFC)�,還基于協(xié)議的具體實(shí)現(xiàn),這是因?yàn)楹芏鄥f(xié)議的實(shí)現(xiàn)偏離了協(xié)議標(biāo)準(zhǔn)�。通過協(xié)議分析��,IPS能夠針對(duì)插入(Insertion)與規(guī)避(Evasion)攻擊進(jìn)行檢測。異常檢測的誤報(bào)率比較高�����,NIPS不將其作為主要技術(shù)���。
應(yīng)用入侵防護(hù)(AIP)
NIPS產(chǎn)品有一個(gè)特例��,即應(yīng)用入侵防護(hù)(Application Intrusion Prevention��,AIP)��,它把基于主機(jī)的入侵防護(hù)擴(kuò)展成為位于應(yīng)用服務(wù)器之前的網(wǎng)絡(luò)設(shè)備�����。AIP被設(shè)計(jì)成一種高性能的設(shè)備����,配置在應(yīng)用數(shù)據(jù)的網(wǎng)絡(luò)鏈路上����,以確保用戶遵守設(shè)定好的安全策略,保護(hù)服務(wù)器的安全�。NIPS工作在網(wǎng)絡(luò)上���,直接對(duì)數(shù)據(jù)包進(jìn)行檢測和阻斷,與具體的主機(jī)/服務(wù)器操作系統(tǒng)平臺(tái)無關(guān)�。
NIPS的實(shí)時(shí)檢測與阻斷功能很有可能出現(xiàn)在未來的交換機(jī)上。隨著處理器性能的提高���,每一層次的交換機(jī)都有可能集成入侵防護(hù)功能�。
IPS技術(shù)特征
嵌入式運(yùn)行:只有以嵌入模式運(yùn)行的 IPS 設(shè)備才能夠?qū)崿F(xiàn)實(shí)時(shí)的安全防護(hù)���,實(shí)時(shí)阻攔所有可疑的數(shù)據(jù)包�,并對(duì)該數(shù)據(jù)流的剩余部分進(jìn)行攔截���。
深入分析和控制:IPS必須具有深入分析能力�����,以確定哪些惡意流量已經(jīng)被攔截����,根據(jù)攻擊類型�����、策略等來確定哪些流量應(yīng)該被攔截。
入侵特征庫:高質(zhì)量的入侵特征庫是IPS高效運(yùn)行的必要條件���,IPS還應(yīng)該定期升級(jí)入侵特征庫,并快速應(yīng)用到所有傳感器�����。
高效處理能力:IPS必須具有高效處理數(shù)據(jù)包的能力�,對(duì)整個(gè)網(wǎng)絡(luò)性能的影響保持在最低水平。
IPS面臨的挑戰(zhàn)
IPS 技術(shù)需要面對(duì)很多挑戰(zhàn)�,其中主要有三點(diǎn):一是單點(diǎn)故障,二是性能瓶頸���,三是誤報(bào)和漏報(bào)�。設(shè)計(jì)要求IPS必須以嵌入模式工作在網(wǎng)絡(luò)中��,而這就可能造成瓶頸問題或單點(diǎn)故障�。如果IDS 出現(xiàn)故障,最壞的情況也就是造成某些攻擊無法被檢測到���,而嵌入式的IPS設(shè)備出現(xiàn)問題���,就會(huì)嚴(yán)重影響網(wǎng)絡(luò)的正常運(yùn)轉(zhuǎn)����。如果IPS出現(xiàn)故障而關(guān)閉����,用戶就會(huì)面對(duì)一個(gè)由IPS造成的拒絕服務(wù)問題,所有客戶都將無法訪問企業(yè)網(wǎng)絡(luò)提供的應(yīng)用����。
即使 IPS 設(shè)備不出現(xiàn)故障,它仍然是一個(gè)潛在的網(wǎng)絡(luò)瓶頸��,不僅會(huì)增加滯后時(shí)間�����,而且會(huì)降低網(wǎng)絡(luò)的效率����,IPS必須與數(shù)千兆或者更大容量的網(wǎng)絡(luò)流量保持同步,尤其是當(dāng)加載了數(shù)量龐大的檢測特征庫時(shí)�,設(shè)計(jì)不夠完善的 IPS 嵌入設(shè)備無法支持這種響應(yīng)速度。絕大多數(shù)高端 IPS 產(chǎn)品供應(yīng)商都通過使用自定義硬件(FPGA�����、網(wǎng)絡(luò)處理器和ASIC芯片)來提高IPS的運(yùn)行效率。
誤報(bào)率和漏報(bào)率也需要IPS認(rèn)真面對(duì)�����。在繁忙的網(wǎng)絡(luò)當(dāng)中�����,如果以每秒需要處理十條警報(bào)信息來計(jì)算�,IPS每小時(shí)至少需要處理 36,000 條警報(bào)�,一天就是 864,000 條。一旦生成了警報(bào)��,最基本的要求就是IPS能夠?qū)瘓?bào)進(jìn)行有效處理�����。如果入侵特征編寫得不是十分完善�����,那么"誤報(bào)"就有了可乘之機(jī)����,導(dǎo)致合法流量也有可能被意外攔截�。對(duì)于實(shí)時(shí)在線的IPS來說����,一旦攔截了"攻擊性"數(shù)據(jù)包,就會(huì)對(duì)來自可疑攻擊者的所有數(shù)據(jù)流進(jìn)行攔截�����。如果觸發(fā)了誤報(bào)警報(bào)的流量恰好是某個(gè)客戶訂單的一部分����,其結(jié)果可想而知,這個(gè)客戶整個(gè)會(huì)話就會(huì)被關(guān)閉���,而且此后該客戶所有重新連接到企業(yè)網(wǎng)絡(luò)的合法訪問都會(huì)被"盡職盡責(zé)"的IPS攔截����。
IPS廠商采用各種方式加以解決��。一是綜合采用多種檢測技術(shù)��,二是采用專用硬件加速系統(tǒng)來提高IPS的運(yùn)行效率�����。盡管如此,為了避免IPS重蹈 IDS覆轍�,廠商對(duì)IPS的態(tài)度還是十分謹(jǐn)慎的。例如���,NAI提供的基于網(wǎng)絡(luò)的入侵防護(hù)設(shè)備提供多種接入模式����,其中包括旁路接入方式����,在這種模式下運(yùn)行的 IPS實(shí)際上就是一臺(tái)純粹的IDS設(shè)備���,NAI希望提供可選擇的接入方式來幫助用戶實(shí)現(xiàn)從旁路監(jiān)聽向?qū)崟r(shí)阻止攻擊的自然過渡�。
IPS的不足并不會(huì)成為阻止人們使用IPS的理由�,因?yàn)榘踩δ艿娜诤鲜谴髣?shì)所趨,入侵防護(hù)順應(yīng)了這一潮流�。對(duì)于用戶而言,在廠商提供技術(shù)支持的條件下����,有選擇地采用IPS,仍不失為一種應(yīng)對(duì)攻擊的理想選擇�����。
相關(guān)推薦:
解決惡意軟件需破除老觀念防病毒軟件已死? 網(wǎng)絡(luò)工程:Untangle路由器如何建立安全的VPN
