IPS簡介
侵入保護(阻止)系統(IPS)是新一代的侵入檢測系統(IDS),可彌補IDS存在于前攝及假陽性/陰性等性質方面的弱點��。IPS能夠識別事件的侵入�、關聯、沖擊��、方向和適當的分析����,然后將合適的信息和命令傳送給防火墻����、交換機和其它的網絡設備以減輕該事件的風險��。
IPS的關鍵技術成份包括所合并的全球和本地主機訪問控制�、IDS�、全球和本地安全策略、風險管理軟件和支持全球訪問并用于管理IPS的控制臺��。如同IDS中一樣��,IPS中也需要降低假陽性或假陰性��,它通常使用更為先進的侵入檢測技術,如試探式掃描��、內容檢查�、狀態和行為分析,同時還結合常規的侵入檢測技術如基于簽名的檢測和異常檢測��。
同侵入檢測系統(IDS)一樣�,IPS系統分為基于主機和網絡兩種類型?;谥鳈C的IPS依靠在被保護的系統中所直接安裝的代理��。它與操作系統內核和服務緊密地捆綁在一起,監視并截取對內核或API的系統調用��,以便達到阻止并記錄攻擊的作用��。它也可以監視數據流和特定應用的環境(如網頁服務器的文件位置和注冊條目)��,以便能夠保護該應用程序使之能夠避免那些還不存在簽名的��、普通的攻擊��。
IPS百科
侵入保護(阻止)系統(IPS)是新一代的侵入檢測系統(IDS),可彌補IDS存在于前攝及假陽性/陰性等性質方面的弱點。IPS能夠識別事件的侵入��、關聯�、沖擊、方向和適當的分析,然后將合適的信息和命令傳送給防火墻��、交換機和其它的網絡設備以減輕該事件的風險��。
IPS的關鍵技術成份包括所合并的全球和本地主機訪問控制�、IDS�、全球和本地安全策略、風險管理軟件和支持全球訪問并用于管理IPS的控制臺。如同IDS中一樣,IPS中也需要降低假陽性或假陰性��,它通常使用更為先進的侵入檢測技術��,如試探式掃描�、內容檢查��、狀態和行為分析�,同時還結合常規的侵入檢測技術如基于簽名的檢測和異常檢測����。
同侵入檢測系統(IDS)一樣,IPS系統分為基于主機和網絡兩種類型��?�;谥鳈C的IPS依靠在被保護的系統中所直接安裝的代理��。它與操作系統內核和服務緊密地捆綁在一起,監視并截取對內核或API的系統調用,以便達到阻止并記錄攻擊的作用。它也可以監視數據流和特定應用的環境(如網頁服務器的文件位置和注冊條目)��,以便能夠保護該應用程序使之能夠避免那些還不存在簽名的��、普通的攻擊�。
基于網絡的IPS綜合了標準IDS的功能��,IDS是IPS與防火墻的混合體,并可被稱為嵌入式IDS或網關IDS(GIDS)����?���;诰W絡的IPS設備只能阻止通過該設備的惡意信息流��。為了提高IPS設備的使用效率��,必須采用強迫信息流通過該設備的方式。更為具體的來說��,受保護的信息流必須代表著向聯網計算機系統或從中發出的數據�,且在其中:指定的網絡領域中,需要高度的安全和保護和/或該網絡領域中存在極可能發生的內部爆發配置地址能夠有效地將網絡劃分成最小的保護區域�,并能夠提供最大范圍的有效覆蓋率����。
產生原因
A:串行部署的防火墻可以攔截低層攻擊行為,但對應用層的深層攻擊行為無能為力�。
B:旁路部署的IDS可以及時發現那些穿透防火墻的深層攻擊行為����,作為防火墻的有益補充�,但很可惜的是無法實時的阻斷。
C:IDS和防火墻聯動:通過IDS來發現,通過防火墻來阻斷。但由于迄今為止沒有統一的接口規范����,加上越來越頻發的“瞬間攻擊”(一個會話就可以達成攻擊效果����,如SQL注入�、溢出攻擊等),使得IDS與防火墻聯動在實際應用中的效果不顯著。
于是就有下面的一種想法��,如圖所示����。
這就是IPS產品的起源:一種能防御防火墻所不能防御的深層入侵威脅(入侵檢測技術)的在線部署(防火墻方式)安全產品����。由于用戶發現了一些無法控制的入侵威脅行為,這也正是IDS的作用�。
入侵檢測系統(IDS)對那些異常的�、可能是入侵行為的數據進行檢測和報警����,告知使用者網絡中的實時狀況,并提供相應的解決��、處理方法����,是一種側重于風險管理的安全產品。
入侵防御系統(IPS)對那些被明確判斷為攻擊行為��,會對網絡��、數據造成危害的惡意行為進行檢測和防御�,降低或是減免使用者對異常狀況的處理資源開銷�,是一種側重于風險控制的安全產品。
這也解釋了IDS和IPS的關系����,并非取代和互斥����,而是相互協作:沒有部署IDS的時候����,只能是憑感覺判斷,應該在什么地方部署什么樣的安全產品��,通過IDS的廣泛部署�,了解了網絡的當前實時狀況,據此狀況可進一步判斷應該在何處部署何類安全產品(IPS等)�。
功能特點
入侵防御系統作為串接部署的設備,確保用戶業務不受影響是一個重點,錯誤的阻斷必定意味著影響正常業務����,在錯誤阻斷的情況下�,各種所謂擴展功能����、高性能都是一句空話。這就引出了IPS設備所應該關心的重點——精確阻斷,即精確判斷各種深層的攻擊行為,并實現實時的阻斷。
精確阻斷解決了自IPS概念出現以來用戶和廠商的最大困惑:如何確保IPS無誤報和濫報��,使得串接設備不會形成新的網絡故障點�。而作為一款防御入侵攻擊的設備,毫無疑問,防御各種深層入侵行為是第二個重點,這也是IPS系統區別于其他安全產品的本質特點�;這也給精確阻斷加上了一個修飾語:保障深層防御情況下的精確阻斷��,即在確保精確阻斷的基礎上,盡量多地發現攻擊行為(如SQL注入攻擊、緩沖區溢出攻擊����、惡意代碼攻擊����、后門、木馬�、間諜軟件)�,這才是IPS發展的主線功能��。
天清入侵防御系統的專業安全廠商啟明星辰有著自己獨特的技術和專利��。啟明星辰的技術專家介紹說,依托多年以來在入侵檢測技術方面的深厚積累����,啟明星辰獨創性地建立了柔性化檢測機制��,在確保精確判定攻擊行為的基礎上,涵蓋了各種攻擊手法類型�。
常用的攻擊檢測方法有兩種����,一種方法是通過定義攻擊行為的數據特征來實現對已知攻擊的檢測�,其優勢是技術上實現簡單�、易于擴充、可迅速實現對特定新攻擊的檢測和攔截;但僅能識別已知攻擊����、抗變種能力弱�。另一種方法是通過分析攻擊產生原理��,定義攻擊類型的統一特征��,能準確識別基于相同原理的各種攻擊�、不受攻擊變種的影響��,但技術門檻高����、擴充復雜、應對新攻擊速度有限。
性能擴展
融合“基于特征的檢測機制”和“基于原理的檢測機制”形成的“柔性檢測”機制,它最大的特點就是基于原理的檢測方法與基于特征的檢測方法并存,有機組合了兩種檢測方法的優勢����。這種融合不僅是一個兩種檢測方法的大融合����,而且細分到對攻擊檢測防御的每一個過程中�,在抗躲避的處理、協議分析、攻擊識別等過程中都包含了動態與靜態檢測的融合��。
通過運用柔性檢測機制����,天清入侵防御系統進一步增強了設備的抗躲避能力、精確阻斷能力、變形攻擊識別能力和對新攻擊應變能力��,提高了精確檢測的覆蓋面�。
擴展功能和高性能,也是入侵防御系統所必需關注的內容,但也要符合產品的主線功能發展趨勢。如針對P2P的限制:P2P作為一種新興的下載手段,得到了極為廣泛的運用�,但由無限制的P2P應用會影響網絡的帶寬消耗����,并且還隨此帶來知識產權�、病毒等多種相關問題�。而實現對P2P的控制和限制,需要較為深入的應用層分析��,交給IPS來限制��、防范�,是一個比較恰當的選擇����。而ACL控制、路由�、NAT等����,這些都是防火墻可以完成的工作�,在IPS上來實現這些功能,就有畫蛇添足之嫌了����。
性能表現是IPS的又一重要指標����,但這里的性能應該是更廣泛含義上的性能:包括了最大的參數表現和異常狀況下的穩定保障����。也就是說����,性能除了需要關注諸如“吞吐率多大�?”,“轉發時延多長��?”�,“一定背景流下檢測率如何����?”等性能參數表現外,還需要關注:“如果出現了意外情況�,怎樣/多快能恢復網絡的正常通訊�?”�,這個問題也是IPS出現之初被質疑的一個重點。
發展方向
明確了IPS的主線功能是深層防御�、精確阻斷后��,IPS未來發展趨勢也就明朗化了:不斷豐富和完善IPS可以精確阻斷的攻擊種類和類型,并在此基礎之上提升IPS產品的設備處理性能�。
在提升性能方面存在的一個悖論就是:需提升性能�,除了在軟件處理方式上優化外����,硬件架構的設計也是一個非常重要的方面,目前的ASIC/NP等高性能硬件�,都是采用嵌入式指令+專用語言開發�,將已知攻擊行為的特征固化在電子固件上��,雖然能提升匹配的效率��,但在攻擊識別的靈活度上過于死板(對變種較難發現),在新攻擊特征的更新上有所滯后(需做特征的編碼化)��。而基于開放硬件平臺的IPS由于采用的是高級編程語言�,不存在變種攻擊識別和特征更新方面的問題,但在性能上存在處理效率瓶頸:暫時達不到電信級骨干網絡的流量要所以�,入侵防御系統的未來發展方向應該有以下兩個方面:
第一��,更加廣泛的精確阻斷范圍:擴大可以精確阻斷的事件類型,尤其是針對變種以及無法通過特征來定義的攻擊行為的防御����。
第二����,適應各種組網模式:在確保精確阻斷的情況下��,適應電信級骨干網絡的防御需求��。
如何評價入侵防護系統
針對越來越多的蠕蟲��、病毒��、間諜軟件、垃圾郵件�、DDoS等混合威脅及黑客攻擊�,不僅需要有效檢測到各種類型的攻擊����,更重要的是降低攻擊的影響,從而保證業務系統的連續性和可用性。一款優秀的網絡入侵防護系統應該具備以下特征:●滿足高性能的要求�,提供強大的分析和處理能力�,保證正常網絡通信的質量����;●提供針對各類攻擊的實時檢測和防御功能,同時具備豐富的訪問控制能力,在任何未授權活動開始前發現攻擊,避免或減緩攻擊可能給企業帶來的損失��;●準確識別各種網絡流量�,降低漏報和誤報率,避免影響正常的業務通訊;●全面��、精細的流量控制功能����,確保企業關鍵業務持續穩定運轉;●具備豐富的高可用性,提供BYPASS(硬件�、軟件)和HA等可靠性保障措施���;●可擴展的多鏈路IPS防護能力�,避免不必要的重復安全投資�;●提供靈活的部署方式,支持在線模式和旁路模式的部署,第一時間把攻擊阻斷在企業網絡之外���,同時也支持旁路模式部署,用于攻擊檢測�����,適合不同客戶需要�����;●支持分級部署�����、集中管理,滿足不同規模網絡的使用和管理需求。
產品示例
網絡入侵防護系統是網絡入侵防護系統同類產品中的精品典范�,該產品高度融合高性能���、高安全性�����、高可靠性和易操作性等特性,產品內置先進的Web信譽機制,同時具備深度入侵防護�����、精細流量控制�,以及全面用戶上網行為監管等多項功能,能夠為用戶提供深度攻擊防御和應用帶寬保護的完美價值體驗�����。
入侵防護
實時�����、主動攔截黑客攻擊���、蠕蟲���、網絡病毒、后門木馬���、D.o.S等惡意流量,保護企業信息系統和網絡架構免受侵害�,防止操作系統和應用程序損壞或宕機���。
Web安全
基于互聯網Web站點的掛馬檢測結果�,結合URL信譽評價技術�����,保護用戶在訪問被植入木馬等惡意代碼的網站時不受侵害�����,及時、有效地第一時間攔截Web威脅�����。
流量控制
阻斷一切非授權用戶流量�,管理合法網絡資源的利用,有效保證關鍵應用全天候暢通無阻���,通過保護關鍵應用帶寬來不斷提升企業IT產出率和收益率。
上網監管
全面監測和管理IM即時通訊�����、P2P下載�����、網絡游戲、在線視頻�����,以及在線炒股等網絡行為,協助企業辨識和限制非授權網絡流量���,更好地執行企業的安全策略。
工商網監